الرئيسية
بسم الله الرحمن الرحيم
كلنا سمعنا عن كيفن متنيك الأسطورة ولكن للأسف كانت المعلومات التي تعطيها لي المواقع العربية كلها لا تتعدى صفحة أو اثنين وكلها متشابهة لذا وبعد أن اطلعت عليه وأجريت الكثير من الأبحاث حوله في المواقع العالمية
المقدّمة:
يُحطّمُ بَعْض الهاكرز ملفاتَ الناسَ أَو كامل الأقراص الصلبةِ؛ هؤلاء يَدْعونَ الهاكرز إي اللصوصَ أَو مخربون. بَعْض الهاكرز المبتدئون لا يُكلفون أنفسهم عناء تَعَلّم التقنيةِ، لكن ببساطة عن طريق البرامج وأدوات هاكر آخر لتحميلِ و لاقتحام أنظمةِ الحاسوب؛ هم يَدْعونَ أطفال التصفح. الهاكرز أكثر خبرة بالبرمجة العليا وِ يُطوّر الهاكرز البرامج وتُعيّنُهم لاختراق الويبِ و الأنظمة . وبعد ذلك هناك الأفرادَ الذين لَيْسَ لهُمْ اهتمام في التقنيةِ، لكن يَستعملونَ الحاسوبَ كمجرّد أداة لمُسَاعَدَتهم في سَرِقَة المالِ، سلع، أَو خدمات. وبالرغم التشويه من قبل أجهزةَ الإعلام يقول كيفن متنيك لَستُ لصّ كومبيوتر خبيث. لكنني طورت نفسي.
البَداية:
مسيرتي كانت على نحو مبكر. كطفل سعيد، لكن سريع الملل .بَعْدَ غياب والدي وانأ في الثالثة،عَملتْ أمي كنادلة لتعيلنا .فكانت الإنسانة التي كرست حياتها لتراني اكبر يوم بعد يوم رغم كل الصعاب التي تعرضنا لها البداية كانت في مدينة سان فرنان دو فالي منحني المجال لاستكشاف معالم لوس أنجلس ، وبعُمرِ أثنا عشرَ اكتشفت طريقة لركوب الحافلات مجانا في كافة أنحاء لوس أنجلس ِ من خلال بعض الأسئلة التي كانت تبدو بريئة من قبل طفل صغير واستطعت إن أتحايل على جهاز قطع التذاكر . (منذ الصغر تمتعت بذاكرة كانت ولا تزال تمكنني من َتذكّرُ أرقامَ الهواتف، كلمات سر، والتفاصيل التافهة الأخرى. ) الهواية الأخرى التي ظهرت في عُمرِ مبكّر لديِ كَانَت ولعي بالتقنية فما إن أرى جهازا أو برنامج حتى أبدا تعلمه واتقانة وتطويره هذه كانت المتعةَ في كَسْب إسرار المعرفة.
التحول مِنْ لص الهاتف إلى لصِّ الكومبيوتر:
لقائي الأول مَع ما تعلّمت تسميته في النهاية َ الهندسة الاجتماعية.
؟؟الهندسة الاجتماعية هي التي نسميها نحن خداع الناس أو النصب أي أن تتحايل على شخص لتأخذ منه معلومات تحتاجها لعمل معين وقد اختار لها كيفن هذا الاسم لذا سوف نستخدمه في ترجمتنا للكتاب؟؟
حَدثتْ أثناء سَنَواتِ الدراسة في المدرسة العليا عندما قابلتُ طالباً آخراً منغمسَ في هواية التحايل على المقاسم الهاتفية. وهو نوع أخر من الهاكر الذي يدخل شبكةِ الهاتفَ باستغلال أنظمةِ الهاتفَ أو الزبائن أنفسهم . أطلعني صديقي على خُدَعَ لطيفةَ مع الهاتف، مثل الحُصُول على أيّ معلومات عن زبون معين لدى إحدى شركات الهاتفَ ، واستعمال اكواد سرية خاصة بالشركةِ لإجراء مكالمات خارجية مجانيةِ. (في الحقيقة كان مجانا بالنسبة لنا فقط. اكتشفت كثيراً فيما بعدً بأنّ الاكواد لا تمكننا من إجراء مكالمة مجانية وإنما تضاف المكالمة على حساب شخص آخر
تلك كَانتْ بداياتي. صديقي و صديقه الذي كان ملك قرصنة الهواتف اسمعاني النداءاتَ الزائفة إلى شركةِ الهاتفَ. على نحو خدع موظفو الشركة؛ تَعلّمتُ خداع مختلف شركات الهاتفِ، تدربت طويلا على خداع الآخرين وانتحال الشخصية ْ. حتى تفوقت على من علموني ذلك. الدرس الذي اثر على مجرى حياتي لخمسة عشر سنة التالية.
، إحدى مزحِاتي المفضّلةِ كَانت اختراق مقسم هاتف المدرسة والدخول إلى حساب صديقي ملك قرصنة الهواتف.
فعندما حاول الاتصال مِنْ البيتِ، سمع رسالة تُخبرُه بان رصيده غير كاف لإجراء أي مكالمة أصبحت خبير اتصالات، لَيسَ فقط الإلكترونياتَ،المقاسم، والكومبيوترات، لكن أيضاً كل ما يتعلق بالشركاتَ، والإجراءات التي يتبعونها ، أكثر من أي خبير اتصالات آخر . بعمر سبعة عشرَ سنةً، كُنْتُ قادرا على مُنَاقَشَة أكثر موظفي Telco عن إي قسم و موضوع مَعهم شخصياً أَو بالهاتفِ.بَدأتْ رحلتي المشهورة جداً في المدرسة العليا.لا أَستطيعُ وَصْف التفاصيلِ هنا، يكفي القول إن ما دفعني بكل قوة في هذا المجال إن اقبل في شلة الهاكر.استعملنا تعبير الهاكر لتعني الشخص الذي يقضي الكثير مِنْ الوقت يستخدم الأجهزةِ والبرامجِ، أمّا لتَطوير البرامج أَو لتَجَاوُز الخطواتِ الغير ضروريةِ وانجازُ العمل بسرعة أكبر.أصبحَ التعبيرُ الآن ذو صدى سيء، "مجرم خبيث." بَعْدَ تخرجي من المدرسة العليا دَرستُ الحاسباتَ –مركز التقنيات في لوس أنجلس خلال بِضْعَة شهورِ،أدركَ مدير المدرسةَ باني اكتشفت ضعفاً في نظامِ التشغيل والسيطرة الكاملة كأي إداري على شركة IBMِ. أفضل خبراء الحاسوب لم يَستطيعوا ُفْهمَ كيف قمت بذلك. فقاموا باستغلالي وعرض علي ما ليس بقدرتي رفضه : العمَلُ لتَحسين أمنِ كومبيوتر المدرسةَ أو سيتم ملاحقتي قانونياِ. بالطبع، اخترت أَنْ أتعاون معهم، وتخرجت بدرجة الشرفِ.
نحو المهندس الاجتماعي:
معظم الناس يعانون من الروتين في العمل ِ لحد الإعياء. كُنْتُ محظوظُ بما فيه الكفاية للتَمَتُّع بعملِي. ،
لا يمكن ُ تَخَيُّل التحدي، والسرور الذي تملكني كمحقّق خاصّ. كُنْتُ أطور مواهبَي في فنِ الأداء ما اسميه هندسة اجتماعية (تدفع الناس للقيام بأمور لصالحك وبالتالي هم من يدفع الثمن في النهاية ).
بالنسبة لي لم تكن هناك صعوبة في الهندسة الاجتماعية. فعائلة أبية كَانَت في التسويق لأجيالِ، لذا فَنّ التأثير والإقناع كَان ميزةً مَوْرُوثةً. عندما تَجْمعُ تلك الميزةِ بميلِ لخَدْع الناسِ، عندها تملك لمحةُ عن حياة المهندس الاجتماعي المثالي.
عَملتُ على تَطوير مهاراتِ حرفتِي، أَدْعوها حرفة،
كَأنَ أَنْ يَختارَ موضوع غير مهمة لي وأَرى إذا كنت استطيعُ أَنْ أناقش شخص ما على الهاتفِ في ذلك الموضوع وأبدو له إني اعرف جيدا عما أتحدث ، فقط لتحَسّينْ مهاراتَي. بالطّريقة نفسها كُنْتُ أُزاولُ خُدَعَي السحريةَ، زاولتُ
التَحَجُّج. خلال هذه التدريباتِ، وَجدتُ قريباً بأنّني يُمْكِنُ أَنْ احصل على أيّ معلومات أريدها.
كما وَصفني ليبرمان وطومسون في شهادتهما أمام الكونغرس
؟؟ليبرمان وطومسون هما عضوان في الكونغرس الأمريكي وهما اللذان ناقشا قضية كيفن في الكونغرس بعد إلقاء القبض عليه؟؟
بعد فترة تمكنت من اختراق أنظمةِ الحاسوب في بعض مِنْ اكبرِ الشركات على الكوكبِ، واختراق لبعض مِنْ أنظمة الحاسوب المختصة بالبرمجيات الأمنية المتطورة جداً. استعملت في ذلك وسائل مختلفة تقنية وغير تقنية للحُصُول على النسخ الأصلية لأنظمةِ التشغيل المُخْتَلِفةِ لدِراسَة نقاطِ ضعفهم وطرق عملها. كُلّ هذا كان كفيلاَ بإرضاء فضولَي لاكتشاف قدراتي
الخلاصة:
اعترفت منذ إلقاء القبض علي بأنّ أعمالي كَانتْ غير شرعيه ولكن كل ما فعلته كان بدافع الفضول أردتُ أن اكتشف مهاراتي. تحولت بعد ذلك من الطفل المشاكس إلى ذلك الهاكرز الأكثر شراسة في العالم وأصبحت كابوسا تخَافَه الشركاتِ والحكومةِ. كان كل ذلك انعكاس لل 30 سنة القاسية التي مضت من عمري الآن لم اعد كما كنت عليه في سابق عهدي لقد أصبحت شخصا آخر أوظف مواهبَي ومعرفتي لزيادة أمنِ المعلوماتِ ومساعدة الحكومة والشركات ودرع أي تهديد لأمن المعلومات لديهمِ.
؟؟ لقد أصبح كيفن بعد خروجه من المعتقل خبير امن ومستشار حماية وهو يدعي انه ترك الاختراق وهذا موضوع يكثر الجدل فيه؟؟
الفصل الأول
إيجاد الثغرة الأضعف
لا تدخر الشركات جهدا أو مالا في سبيل زيادة أمنها سواء بشراء أفضل ما توصل له الأمن التقني و رفع كفاءة موظفيها و الحراسة المكثفة لمباني المؤسسة.
مع ذلك تبقى الشركة ضعيفة بما فيه الكفاية
أما الأشخاص فإنهم يتبعون كافة الإرشادات الأمنية الموصى من ذوي الخبرة و استخدام برامج الحماية
َ
مع ذلك يبقون ضعفاء بما فيه الكفاية.
.
العَامِل البَشَرِيّ
في شهادتي أمام الكونغرس، وضّحتُ بأنه يُمْكِننيُ الحصول على كافة المعلومات الحساسة و كلمات السر وذلك بانتحال شخصية شخص آخر مثلا مسؤول كبير في الشركة .
من المسلم به أننا تواقون للإحساس بالأمان الكامل. مما يؤدي إلى الشعور الزائف بالأمن وانه ما من مخاطر محدقة..
لا يوجد أمان كامل مهما استخدمت من وسائل و إجراءات لِماذا؟
لأن العَامِل البَشَرِيَّ هو النقطة الأضعفِ.
الأمن أيضاً في أغلب الأحيان مجرّد وهمُ، له نتائج كارثية أحيانا عند التصرف بغباء . هناك قول مأثور عن. العالم المِنْ خبراء تقديرا ، ألبرت آينشتاين، ،"فقط شيئان لانهاية لهما، الكون والغباء الإنساني، " في النهاية، هجمات الهندسة اجتماعية توتي ثمارها أمام الأغبياء المتجاهلون للقواعد الأمنية.، العديد مِنْ خبراء تكنولوجيا المعلوماتِ
يقعون فريسة فكرة إنهم جَعلوا الشركات محصّنة بشكل كبير ضدّ الهجومِ اعتمادا علىً مُنتَجات - برامج حماية، أنظمة تعقّب المتطفلين، أَو أدوات تحقُّق أقوى مثل رموزِ أساسهاِ الوقتَ لاعتقاد السائد إن المنتجات الأمنية فقط توفر الحماية الكافية.هذا كله مجرد وهم . فهذا اعتقاد موجود فقط في الخيال سيندم عليه أصحابه.ولقد أشار مستشار أمنِي بارزِ وهو بروس شناير إن الأمن ليس مجرد برامج حماية، بل ممارسة ." علاوة على ذلك، الأمن لَيسَ مشكلة تقنيةِ - بل قضية إدارة و أشخاص. فبينما يطور خبراء الأمن بشكل مستمر أفضل تقنياتَ الأمنِ، لجعل نقاط الضعف الأمني صعبة الاستغلال فبالمقابل المهاجمون يعتمدون أكثر وأكثر على استغلال العنصرِ الإنسانيِ. لان التغلب على العامل الإنسانيُ في أغلب الأحيان سهل، خالي من المخاطر.
إحدى حالات المكر التقليدية
ما هو الخطر الأكبر على ممتلكاتك ؟ ذلك سهلُ:
المهندس الاجتماعي -- ساحر عديم الضمير لا يمكنك إدراك ما يفعل و هو معك . ودودا جداً في أغلب الأحيان ومرح،
يدفعك للامتنان له بَعْدَ أَنْ صادفتَه.
انظر إلى هذا المثال عنِ الهندسة الاجتماعية:
لازال البعض يذكّرْون الشابَّ ستانلي مارك ريفكن ومغامرته الصَغيرة بإحدى مصارف لوس أنجلس. تفاوتت الأقاويل عنهُ، وهو (مثلي) لم يسبق أن نشر قصته من جهة نظره الخاصة، لذا فيما يلي مستند على التقاريرِ المَنْشُورةِ.
اختراق الكود:
في 1978, مَشى بتثاقل نحو قسم الحوالات في .بنك الباسيفيك ، حيث الموظّفون فقط مسموح لهم بالدخول لحساسية القسم. يتم يوميا تحويل مليارات الدولارات . وهو كان يَعْملُ لدى الشركة بِموجب عقد لتُطوّيرُ النظام الاحتياطي لبيانات قسم الحوالات في حالة تعطل حاسوبهم الأساسي . ذلك العمل خوله الاطلاع على إجراءاتِ وسير العمل ، بضمن ذلك موظفو الحوالات يقومون بوضع كلمات المرور المتغيرة يوميا أمامهم في مكان يسهل رويته . في احد أيام نوفمبر/تشرين الثّاني ولسبب معين ووجيه قام ستانلي بزيارة القسم.وألقى نظرة خاطفة نحو القصاصات الورقية المدون عليها كلمات المرور أي الباسوردات .، متظاهرا بأنه يدون ملاحظات حول سير إجراءات سير العمل و التأكد من حسن سير العمل .
. في هذه الأثناء، بدون أن يلاحظه احد حفظ الباسورد.ثم بعد دقائق قليلة خَرجَ.
الحساب المصرفي السويسريِ
. . .
تَرْك الغرفةِ في حوالي السّاعة الثّالثة بعد الظهر،توجه نحو هاتف عمومي قرب البنك .واتصل مع قسم الحوالات .
. ليتصل مرة أخرى منتحلا شخصية ، مستشار البنك هانسن، عضو القسم الدولي.
وطبقا للمصادر فقد جرت المحادثة كالأتي:
بما انه مطلع على نحو كافي استطاع أن يقنع الموظفة التي اتصل بها ليتم بعد ذلك عملية تحويل 8 مليون دولار لحساب حدده مسبقا.هذه العملية كانت الأكبر في سرقة البنوك حيث لم يستعمل فيها السلاح وحتى الكومبيوتر. بل الخداع والمهارة الدقيقة لجمع المعلومات المطلوبة بدون إثارة الشبهات.
هذا ما يتحدث الكتاب عنه .أساليب الهندسة الاجتماعية الماكرة . وكيفية تفادي مخاطرهم
.
طبيعة الخطر:
توضح حادثة ستانلي بشكل جلي - إلى أي مدى يمكن إقناعنا على نحو خطير ومكلف جدا. هذا يَحْدثُ كُلّ يوم. أنت قَدْ تَفْقدُ مالَ الآن، أَو شخص ما قَدْ يَسْرقُ منه خططَ منتج جديدِ، وأنت لا تَعْرفُه حتى.القضية الجوهرية ليست انه إذا لم تتعرض لهكذا حوادث يعني انك بمنأى .بل متى ستتعرض لعملية كتلك.
منقول
