تعريفات هامة بأشهر مصطلحات أمن المعلومات والفرق بينها

السلام عليكم ورحمة الله وبركاته

كثيرا ما يكون لدي البعض إلتباس حول مصطلحات مثل Phishing و Spear Phishing او حول Targeted Attack و APT وغيرها

لذا إن شاء الله في هذه التدوينة سأشرح أهم مصطلحات أمن المعلومات لكي يكون المعني واضح تجاهها.

ملحوظة: تعمدت كتابة المصطلحات باللغة الإنجليزية لأنها لابد أن تحفظ كما هي 🙂

phishing

1- ما الفرق بين Phishing, Vishing, Spear Phishing, Spam؟

Spam: هي رسائل دعائية يتم إرسالها بكميات كبيرة أو إلي عدد كبير من ال Emails بغرض دعائي, مثلا دعايه لبرمجيات معينه او منتجات معينه إلخ.

Phishing: هي رسائل إحتيال إلكتروني يتم إرسالها أيضا إلي كميات كبيرة من ال Emails بشكل عشوائي بغرض سرقة حساباتهم البنكية او بطاقات الإئتمان Credit Cards أو كلمات المرور الخاصة بهم أو طلب من المستخدم أن يفتح ملف معين بغرض إختراق جهازه.

Spear Phishing: هو نفسه ال Phishing ولكن الفرق هنا أن ال Spear Phishing يتم إرساله إلي أهداف معينه ومحدده ويتم إرساله بشكل مدروس وليس عشوائيا, مثال إذا كان أحد المخترقين يستهدف شركة بعينها فإنه يقوم بعملية بحث علي مواقع التواصل مثل LinkedIn وغيرها وينتقي موظفين في وظائف معينة داخل الشركة ويقوم بإنتحال شخصية أحدهم لإرسال رسائل إلي زملائه في الشركة حتي يكسب ثقتهم في فتح ملفات معينه تسمح للمخترق بالتحكم في أجهزتهم او بسرقة كلمات المرور الخاصة بهم.

Vishing: هو نفس فكرة عمل ال Phishing لكنه يتم من خلال الإتصال بهاتف الضحية Voice Phishing حيث يقوم الهاكر بالإتصال بهاتف الضحيه من أي خدمة إتصال من خلال الإنترنت وينتحل صفة البنك او شركة الإتصالات إلخ ويطلب من الضحيه بياناته الشخصية والتي ستساعده فيما بعد في الوصول إلي حسابات الضحية.

apt

2- ما الفرق بين ال Targeted Attack, State Sponsored Attack, APT, Zeroday Attack ؟

Zeroday Attack: (شكرا إبراهيم مسعد علي التعديل)

تطلق كلمة Zeroday علي الثغرات التي تصيب تطبيقات معينة وتكون الثغرة غير منتشرة علي الإنترنت والشركة صاحبة التطبيق المصاب لديها 0 أيام لإصدار ترقيع للثغرة قبل نشرها علي الإنترنت وفي بعض الأحيان حتي الشركة صاحبة التطبيق تظل لشهور أو سنوات لا تعلم عن الثغرة شئ.

it often takes not just days but months and sometimes years before a developer learns of the vulnerability that led to an attack.

مثال: هاكر صيني إكتشف ثغرة في ال Microsoft Office تمكنه من إختراق أي جهاز يستخدم هذا التطبيق بمجرد فتح ملف وورد ينتهي ب .doc او .docx

وبالطبع بما أنها ثغرة ZeroDay فهذا يعني أنه لا يمكن إكتشافها بواسطة برامج ال AntiVirus وليس لها أي سجل او بصمة Hash علي الإنترنت.

نفس المفهوم ينطبق أيضا علي ثغرات تطبيقات الويب مثل WordPress, Joomla وغيرهم وليس فقط ال Client Side Applications مثل Office, flash وغيرها.

APT :APT هي إختصار ل Advanced Persistent Threat وهي تطلق علي المخترقين اللذين يقومون بإستخدام برمجيات متطورة ومتقدمة تسمح لهم بالبقاء داخل شبكات الشركات وأجهزتها لمدة طويلة جدا دون أن يتم إكتشافهم وهؤلاء النوعية من المخترقين غالبا ما يستخدمون ثغرات  من نوعية ال Zeroday لكي يقوموا بعملية الإختراق وزرع ال Backdoors الخاصة بهم داخل أجهزة وشبكات الشركات التي يقومون بإختراقها.

State Sponsored Attack: المخترقين اللذين يطلق عليهم كلمة State Sponsored هم المخترقين اللذين يعملون تحت مظلة الأجهزة الحكومية والإستخباراتية التابعة لبلادهم ويتم دعمهم ماديا وخططيا وعدديا ومعلوماتيا من تلك الجهات الحكومية/الإستخباراتية, وبما أن هؤلاء المخترقين هدفهم دائما هو البقاء داخل شبكات الجهات التي قاموا بإختراقها لأطول فترة فإنهم يطلق عليهم لقب ال APT الذي تم شرحه بالأعلي ودائما ما يستخدمون ثغرات من نوعية Zeroday في إختراقاتهم.

أهداف ال State Sponsored Attackers دائما ما تكون أهداف حكومية, عسكرية, إستخباراتية أو حتي أهداف سياسية.
مثال علي ذلك, فريق المخترقين التابع لوكالة الأمن القومي الأمريكي NSA واللذين تم تلقيبهم ب Equation Group  حيث قاموا بإختراقات لأهداف حكومية وإستخباراتية وعسكرية علي مدي أكثر من عشر سنوات, وكان من ضمن ضحاياهم (بحسب ذكر شركة Kaspersky) الجيش الليبي وشركة الإتصالات اليمنية وأحد شركات الطاقة بالجزائر.

equ

مثال آخر علي ال State Sponsored Attackers المجموعة الروسية الشهيرة بلقب APT28 والوحدة 8200 في الجيش الإسرائيلي التي قامت ببرمجة فيروس Stuxnet

وال PLA التابع للجيش الصيني وغيرهم.

Targeted Attack: كما هو موضح من إسمه, هو إختراق يستهدف شركة معينة لكنه لا يستهدف جهات حكومية مثل ال State Sponsored وغرض هذا الإختراق دائما هو سرقة البيانات من الشركات بهدف بيعها والربح منها أو إستخدامها فيما بعد لأغراض أخري مثل سرقة البطاقات الإئتمانية وأموال المستخدمين.

مثال علي ذلك إختراق أحد الشركات العاملة في مجال البورصة لسرقة أموال ال Bitcoin التي يتم تداولها من خلال هذه الشركة.

مثال آخر, إختراق أحد شركات الألعاب الشهيرة لسرقة الكود المصدري Source Code الخاص بها وبيعه لشركة اخري منافسه لها.

مثال ثالث, إختراق موقع تابع لبنك معين لسرقة بيانات من قاعدة بياناته ويتم إستخدامها فيما بعد للإحتيال علي مستخدمي هذا البنك لسرقة أموالهم.

q

والآن إليك عزيزي القارئ هذه الأسئله, برجاء الرد عليها بناء علي ما قرأته في هذا المقال:

1- المخترق X قام بإنتحال شخصية أحد موظفي الشركة Y وقام بإرسال ملف pdf يحتوي علي ثغرة تم الإعلان عنها مسبقا لكنه قام بتشفيرها من جميع برامج الحماية, من وجهة نظرك, هل هذه الثغرة يتم تصنيفها ك ZeroDay بما أنها عالية الخطورة وغير مكتشفة من أي برنامج حماية وتصيب تطبيق يستخدمه ملايين الأشخاص, نعم أو لا؟ وتحت أي تصنيف يقع هذا المخترق من بين التصنيفات التي تم ذكرها بالأعلي؟

2- المخترق X قام بإختراق الشركة Y وقام بزرع RootKit داخل سرفرات الشركة لكي يتمكن من التحكم الكامل بها لفترة طويلة دون أن يتم إكتشافه, تحت أي تصنيف يقع هذا النوع من الإختراق؟

3- مؤخرا حدث صدام ما بين تركيا وروسيا بسبب إسقاط تركيا لطائرة روسية, بعدها بأيام أعلنت تركيا عن أن أنظمتها البنكية Online Banking تحت هجوم عنيف من الهكرز واللذين تم تتبعهم لتجد تركيا أن مصدر الإختراقات قادم من روسيا, في رأيك, هل هذا State Sponsored Attack ام Targeted Attack ؟

نبذة عن الكاتب

خبير أمن معلومات مصري , متخصص في تجربة إختراق تطبيقات الويب و أمن الشبكات و متحدث في عدة مؤتمرات دولية عن أمن المعلومات , تم مكآفأته و إدراج اسمه عدة مرات على حائط الشكر بموقع Google , Ebay , Microsoft , Yandex وتم تكريمة من قبل Yahoo و Avira و Barracuda. يمكنكم التواصل مع الكاتب عبر حسابة علي تويتر @Zigoo0

التعليقات:

أضف تعليقاً | عدد التعليقات: (9)

  1. أنس قال:

    1-نعم
    2-APT
    3-State Sponsored Attack

  2. lahcen loujdy قال:

    السلام عليكم شكرا لكم على هذا الموضوع القيم و الذي صراحة أتمنى بأنكم تركزون على مثل هذا النوع من المواضيع لأنه يعلمنا بالضبط الأساسيات و المفاهيم و يعطينا علم أكاديمي و الذي نتجاوزه في كثير من المرات لنتجه الى سطر الاوامر شكرا لكم
    1 – نعم يمكن اعتبارها 0day لأنها المكافحات لم تستطع التعرف عليها بعد . أما النوع فهو Targeted attack
    2 – هذا النوع من الاختراقات يمكن أن ندخله في قائمة APT لأنه هدفه يريد البقاء في السيرفر أو الشبكة لمدة أطول
    3 – أما النوع هنا هو State Sponsored Attack لانه يستهدف الحكومة بحد ذاتها
    تحياتي و ياريت ما تحرمونا من ابداعاتكم

  3. إبراهيم حجازي قال:

    شكرا إخواني علي تعليقاتكم.
    الثغره لا يمكن إعتبارها 0day لأنها غير مكشوفه من الحمايه فمن الممكن أن تكون الثغره قديمه ولكن المخترق قام بتشفيرها من برامج الحمايه والطرق لذلك كثيرة. كمان ذكرت الشرط أن تكون الثغرة غير معروفة للشرطة صاحبة البرنامج المصاب وقد كتبت في السؤال أن الثغرة تم الإعلان عنها مسبقا لذلك في هذه الحالة هي ليست 0day.

    باقي الإجابات ممتازة ما شاء الله 🙂

  4. lahcen loujdy قال:

    نعم نعم معك حق أستاذنا الكريم
    في المرات القادمة أتمنى بأن تقوموا بمثل هذه الطريقة لأنها تعمق الفهم و شكرا لكم
    تحياتي أخي ابراهيم

  5. أمير حسني قال:

    1- لا .. لا تعتبر 0day .. لانه تم الاعلان عنها من قبل .. وتم تشفير الملف .. وتلك الشروط لا يجيب توافرها في الثغرات من نوع 0day — اما عن نوع الهجمه فهو Spear Phishing…

    2- APT .. لانهم تم زراعة Backdoor داخل سيرفرات الشركة .

    3- للوهله الأولي .. يفترض ان تكون State Sponsored Attack … لكن في تصوري من الوارد ان تكون Targeted Attack .. لان المستهدف هي البنوك وبالتالي سرقة بيانات حسابات العملاء احد الاهداف .. ثانيا .. لم يتم ذكر اذا ما كان هؤلاء الهكرز يعملون تحت مظلة حكوماتهم ام لا .. فمن الوارد ان يكون الوازع او الدافع هو الدافع الوطني او العرقي .. بغض النظر عن توجيهات بلادهم .. مثال استهداف الشركات والمواقع الاسرائيلية من قبل العرب من قبل هكرز لا يعملون تحت مظلة حكومات .. احذاً في الاعتبار مره ثانيه ان ما يتم استهدافه هي البنوك وليست المواقع الحكوميه علي اقل تقدير ..

    واخيراً جزاك الله خيرا .. انا استفدت جدا جدا من المقال .. وهو اكثر من رائع ..

    • إبراهيم حجازي قال:

      شكرا أخي أمير علي التعليق, أعجبتني النقطة التي أثرتها حول “من الوارد ان يكون الوازع او الدافع هو الدافع الوطني او العرقي .. بغض النظر عن توجيهات بلادهم”
      لكن بالنظر إلي تاريخ روسيا فسنجد أنها قد إعتادت علي فعل ذلك كثيرا, مثال علي ذلك وقت خلافها مع دولة إستونيا قاموا بفعل نفس الشئ من هجمات حجب الخدمة علي مزودات الإنترنت في إستونيا وتوقفت خدمات البلد جميعها بشكل تام لمدة يوم ونصف! ونفس السيناريو حدث أثناء الخلاف بين روسيا وجورجيا.
      أما بخصوص ما حدث في تركيا فقد كان أيضا هجوم حجب الخدمة وليس إختراق فعلي لأنظمتهم لذلك “يرجح” أن يكون State Sponsored Attack لأن نفس السيناريو يتكرر مره اخري.

      شكرا لمشاركتك 🙂

  6. C1aSic قال:

    طب وبالنسبة لمصر ياباشا مفيش اي فرق للكلام ده ولا اي حاجة?

  7. KARAWAN قال:

    I HAVE TO THANK YOU HERE BY THE WAY YOU HAVE REALLY CALRIFIYING TO ME SOME CLOUDS IN THIS TOPIC AND I ENSURE YOU THAT I APPRECIATE VERY DEEPLY YOUR GREAT EFFORTS .CONTINUE MAN/
    BRAVO

  8. 1- لايمكن اعتبارها ثغرة 0day لانها غير مكشوفه من الحمايات
    2-APT
    3-State Sponsored Attack

أكتب تعليق