أدهش الشاب السوداني الناجي عبدالغفار الحسن علماء أمن المعلومات بنظمه قصيدة شعرية على النمط الكلاسيكي للشعر العربي يشرح فيها مخاطر (الهكرز)، وكيفية نُظم الحماية.
وقال (الناجي) : أنتجت ديواناً كاملاً تحت عنوان (مداد الهكرز)، والقصيدة محل النقاش تتألف من (20) بيتاً.
وأكد خبير أمن المعلومات الدكتور محمد الدوراني أن القصيدة تصلح لأن تكون كورس كامل.
وقال : إن هذا الأمر ينم عن موهبة كبيرة للشاعر، وفيه خروج عن المألوف، ودمج العلمي مع الشعر يعطي إضافة ومتعة.
هناك 3 تعليقات:
القصيدة رااااائعة
لكن أريدها مكتوبة
قافيَّة الناجي
في أمن المعلومات
1- من كان في كل ما يبدو له يثقُ(1)
فلا محالة يوماً سوف يُخْتَرقُ
2- ويفقد الأمن لا يدري له سبباً
يصيبه الهَمُّ والإرهاق والأرقُ
3- لا تُخْدَعَنَّ بلين القول من أحدٍ
قد خادعوا الناس طول الدهر ما صدقوا(2)
4- حصِّن نظامك بالتحديث(3) من خطر
يطاله البغي(4) أو تهوي به الفِرقُ(5)
5- باتت تجنده بالحرب ترهقه
بغزوها قوماً ناموا وقد غرقوا (6)
6 - تراه في شغل ناءَتْ موارده
من هول ما حملت تكاد تنفتقُ(7)
7- حصن شباكك بالجدران موقدةً(8)
وانصب جرارك(9) فيها البغي ينزلقُ
8- وأمسح منافذ ما شبَّكْت من نظم
واغلق منافذ ما للأمن ينغلقُ(10)
9- جهز لكشفك ما تخشاه أنظمة(11)
وأمنع(12) بأنظمة من جاء يخترق
10- نصِّب مكافح فيروسات عالمنا
وقم بتحديث ما نصَّبْتَ تستبقُ(13)
11 – وتحرز النصر بالتحصين تهزمهم
وتكبح القوم إنْ جاؤوك يستبقوا
12- قل للمبرمج كُنْ دوماً على حذر
ونَقِّحِ(14)(الكود) أَنْ يبدو به نفقُ
13- يسوق خصمك سراً لا تُحِسُّ به
فيصبح الصبح والتطبيق يحترقُ
14- لربما حقنوا طلباً(15) بقاعدة
فيَهْدِمُ الأصل أو ما منه ينبثقُ
15- وربما حقنوا أمراً(16) ينفذه
قسراً نظامك إن بالغزو قد سبقوا
16- وربما حقنوا كوداً(17) صنائعه
في ما كتبت ثقوباً ما لها رَتْقُ
17 - وأحذر من الفيض(18) إن الفيض مهلكة
كالسوس يهدم ما بالفيض ينخرقُ
18 – شفِّر (19)بيانات ما تخشى تَسَرُّبَه
قد أعجز الناسُ بالتشفير من سرقوا
19 – وشفر الوصل(20) بين الناس محترساً
من التصنُّتِ إن السَّمْعَ يُسْتَرَقُ
20 – يا صاحب الأمر(21) كن دوماً على حذر
واحْكِمْ سياسة أمن(22) ما بها رفقُ
21- وطبق الأمر حزماً لا يخالطه
من التساهل شيْ إن هُمُ مرقوا
22 – وخالفوا الأمر إن الأمر ذو بال
وتارك الحزم حتماً سوف يُخْتَرَقُ
حاشية القصيدة و شرح المفردات :
__________________________________
(1) أعنى أن من ينقر على كل الروابط التي ترسل له أو يجدها على الإنترنت فإنه سوف يتعرض للإختراق لأنها أحد أهم وسائل الهاكرز لنشر الفيروسات وسيرفرات الإختراق هي الروابط المفخخة التي يزينونها للضحايا ، وعند النقر عليها تصبح أجهزتهم في قبضة الهكرز، وأيضاً فإن الإنترنت مليء المواقع المزيفة التي تحاكي مواقع البنوك ومواقع الخدمات، وعند زيارتها من قبل المستخدمين إذا لم يتأكدوا من هويتها فإنهم سوف يكونون عرضة لسرقة بيانتهم عند إدخالها في تلك المواقع. وهذه العلمية تسمى الإصطياد الإلكتروني (Phishing).
(2) من أهم أساليب الهكرز لإستدراج الضحايا هو ما يعرف بالهندسة الإجتماعية (Social Engineering) وتدور حول إقناع الضحية بمعسول الكلام وطيبه لحمله على تحميل بعض الملفات الملغومة أو إستدراجه لإفشاء بعض المعلومات عن نظامه مما يمكنهم من إختراقه.
(3) من اهم وسائل حماية الأنظمة هي متابعة أخر التحديثات للنظام والتي تصدرها الشركة المنتجة للنظام لترقيع الثغرات الأمنية التي تكتشف في ذلك النظام.
(4) البغي أعنى بها هجمات القراصنة ، وغالباً ما تنبني على ثغرات معينة في الأنظمة، ويمكن تلافي ذلك بمتابعة التحديثات.
(5) الفِرَقُ : هي جيوش الزومبي (Zombie armies)، وهي آلاف البرمجات الخبيثة (Botnets) التي تستغل ثغرات الأنظمة لغزو الأجهزة والسيطرة عليها وتستغل لاحقاً لمهاجمة أهداف أكبر لمنع الخدمة عنها مثل ما حصل لموقع ويكيليكس.
(6) أعنى استغلال هذه الفرق للأجهزة المصابة للقيام بهجماتها ضد الأنظمة المستهدفة.
(7) من الآثار السالبة لأنشطة البوت نت على الأجهزة المصابة هي استنزافها لموارد الجهاز خاصة الذاكرة والمعالج ، فيصبح الجهاز بطيئاً ومشغولاً جداً مما قد يمنعه من خدمة صاحبه بالشكل الطبيعي.
(8) أعنى نصب الجدارن النارية (Firewalls) على الشبكات لحمايتها من الهجمات المختلفة.
(9) الجرار هي ما يعرف بال (Honey pots) ، وهي أنظمة تعد لإستقبال وإستدراج الهجمات والبرمجيات المضرة لمنعها من الوصول للأنظمة الحقيقة المستهدفة بتلك الهجمات.
(10) من أساليب حماية الأنظمة مسح منافذ تلك الأنظمة بالبرمجات المخصصة لذلك (Port scanners) ، وإغلاق المنافذ التي تمكن المهاجمين من إختراق الأنظمة عندما تكون هذه المنافذ مفتوحة.
(11) أعنى إعداد أنظمة كشف محاولات الإختراق (Intrusion Detection Systems IDS).
(12) أعنى إعداد انظمة منع الإختراق (Intrusion Prevention Systems).
(13) من أساسيات الحماية إعداد مكافحات الفيروسات وتحديثها في سباق مع المخترقين لمنعهم.
(14) في هذا البيت بدأت في ذكر مبادئ أمن المعلومات لمطوري الأنظمة، وما سبق كان للمستخدم العادي ومدير النظام.
من أهم مبادئ حمياة البرمجيات هي تنقية الأكواد بحيث لا تستقبل من المستخدم إلا ما يريده صاحب البرنامج وتمنع حقن الأوامر والأكواد الخبيثة ويأتي تفصيله في الأبيات القادمة.
(15) عدم تنقيح مدخلات المستخدم في الأكواد البرمجية قد تمكن المهاجم من حقن طلبات لقاعدة البيانات ( known as Sql injection Attacks) قد تؤدى لمسح قاعدة البيانات نفسها وبالتالي إنهيار النظام أو ربما تؤدي لسرقة المعلومات المخزنة في النظام أو مسح بعض الأجزاء من النظام التي تنبني على قاعدة البيانات تلك.
(16) أعنى ثغرات حقن الأوامر التي تنتج عن ضعف التنقيح سابق الذكر وتؤدي للسيطرة على النظام المصاب بها عبر حقن أوامر مضرة.
(17) أعنى حقن أكواد مضرة عبر ثغرات (xss) .
(18) أعنى ثغرات الفيض (buffer overflow , stack overflow).
(19) هنا أدعو لأستخدام التشفير كوسيلة لحماية البيانات داخل الأنظمة وخارجها.
(20) وهنا أعني تشفير الإتصالات عبر الشبكات والإنترنت عبر البروتوكولات الآمنة (SSL, Https, SSH)، وغيرها لمنع التصنت على هذه الإتصلات وسرقة بيانات المستخدمين ومحتويات الرسائل المرسلة عبر آلية ال(traffic Sniffing).
(21) صاحب الأمن أعني به المسئول عن الأنظمة الإلكترونية في المؤسسة.
(22) أعنى أن عليه إعداد سياسة أمن معلومات محكمة وضبط إستخدام تلك الأنظمة بتوزيع الصلاحيات حسب الحاجة ، لتجنب تسرب المعلومات.(الخلل في هذه السياسة في أمريكا قادت لكل تسريبات ويكيليكس التي هزت العالم.)
إرسال تعليق