No replies
manar
Offline
Joined: 2005-11-23
هذه مقالتي التي تشاركت في كتابتها مع الاستاذ الايهم صالح ونشرناها في مجلة المال :
========================================================

مع ازدياد الاعتماد على البريد الالكتروني كأحد أهم وسائل الاتصال في قطاع الأعمال يزداد القلق من مخاطر استخدام البريد الالكتروني على سرية المراسلات ومن إساءة استخدامه عن قصد. وخاصة بعد انكشاف منظومات تجسس عملاقة تديرها حكومة الولايات المتحدة الأمريكية وحلفاؤها في بريطانيا وأستراليا. ومؤخرا أقرت الولايات المتحدة قانونا يبيح التجسس على مراسلات الأفراد بدون إذن قانوني، مما يزيد المخاوف من عمليات تجسس مستمرة على المراسلات الشخصية للأفراد والشركات.
هذه المخاوف مشروعة، فالبريد الالكتروني ليس خدمة كاملة وآمنة ومثالية بالحالة العادية، ولكن مع بعض الإجراءات الإضافية يمكن رفع مستوى أمن المراسلات لدرجة تعتبر آمنة لقطاع الأعمال.

أهم مخاطر إساءة استخدام البريد الالكتروني
=========================
* الاطلاع على الرسالة: بعض الرسائل قد تكون سرية ولا يرغب المرسل والمستقبل بتسرب محتواها، وخلال سير الرسالة عبر الإنترنت قد يقوم أحد المخدمات بالتجسس عليها.
للأسف، في الاستخدام العادي للبريد الالكتروني، يستطيع أي مخدم تعبر الرسالة عبره أن يتجسس عليها، بل وأن ينسخ نسخة منها، بمنتهى البساطة.
* انتحال الشخصية: يقوم شخص ما بإرسال رسائل منتحلا اسما وبريد الكترونيا خاصين بشخص آخر، وتصل الرسائل إلى الشخص الثالث فيعتقد أنها صادرة من الشخص الثاني ويعاملها على هذا الأساس.
للأسف لا يمكن عمليا أن نمنع أي شخص من إرسال بريد الكتروني باسم أي شخص آخر، مثلا يستطيع أي شخص أن يعدل برنامج البريد الذي يستخدمه لتظهر رسائله كأنها صادرة من جورج بوش.
* تغيير الرسالة: حتى لو كانت الرسالة صادرة من جهة معروفة، فمن الممكن لمن يعترضها أن يعدل فيها، فمثلا يستطيع أن يغير رقما أو اسما لإحداث تأثير ما لدى المستقبل. وأيضا فهذا التهديد وارد في حالة الاستخدام العادي للبريد الالكتروني.
* إرسال محتوى مؤذي أو مزعج: مثل الفيروسات أو البرامج المؤذية بمختلف أنواعها، أو البريد المزعج الإعلاني أو البريد الممهد لعمليات الخداع عبر الإنترنت.

هل أنت معرض لهذه المخاطر؟
==================
من يدري، فهذه المخاطر جميعها قائمة ولا أحد يدري من سيستغلها ومتى قد يفعل ذلك ولأي دافع. وحتى لو لم يكن لديك أعداء مستعدون لدفع ثمن إيذائك، فربما تقع ضحية مهووس أو غاوي تقليعات يرغب بالتفاخر أنه تجسس على بريدك. 
وبسبب طبيعة عمل الإنترنت، لا يمكن في أغلب الأحوال التنبؤ بالمسار الذي تسلكه الرسالة من المرسل إلى المستقبل، ولذلك فمهما كانت احتياطات الأمن التقنية لدى المرسل ولدى المستقبل، ولدى مخدمات البريد التي يستخدمانها، يبقى احتمال تعرض الرسالة لإساءة ما على الطريق أمرا وارد الحدوث في كل لحظة.
مواجهة الأخطار:
==============
عندما اخترع البريد الالكتروني في سبعينات القرن الماضي، لم يكن مخترعوا الخدمة يحلمون أن تحقق هذا الانتشار، فقد طورت أساسا لتبادل البيانات الرقمية بين المؤسسات العلمية وبين أشخاص يعرفون بعضهم شخصيا. ومع انتشار الخدمة بدأت تظهر المشاكل والأخطار الناتجة عن أن تصميم الخدمة لم يأخذ بعين الاعتبار إمكانية انتشارها جماهيريا بهذا الشكل.
تبدأ مواجهة هذه الأخطار من إدراكها أولا، فعندما ترسل رسالة بريد الكتروني تذكر أن رسالتك قد تتعرض للتجسس، وقد تتعرض للعبث بمحتوياتها. وعندما تستقبل رسالة بريد الكتروني تذكر أن هذه الرسالة قد تكون مزورة، وقد تكون تعرضت لتدخل ما في مرحلة ما من مراحل انتقالها إليك.

المستوى صفر: التعود على الاستخدام الآمن.
========================
حاول قدر الإمكان أن لا ترسل معلومات بالغة الأهمية بالبريد الالكتروني، بل أرسل المعلومات العامة واحتفظ بالمعلومات المهمة لإرسالها بطريقة أكثر أمنا. مثلا قد ترسل مواصفات ونشرات فنية في رسالة الكترونية، وقد ترسل الأسعار إذا كنت تخاطب زبونا بشكل مباشر، ولكن عندما تعمل على الإعداد لمناقصة أو لمشروع ما، وترغب بإبقاء خططك وأسعارك سرية، حاول استخدام وسيلة أخرى لنقاشها غير البريد الالكتروني.
أيضا تجنب إرسال أرقام بطاقات الاعتماد، أو أية معلومات بالغة الحساسية بالنسبة لك، باستخدام البريد الالكتروني، وحاول قدر إمكانك أن ترفض استلام مثل هذه المعلومات بالبريد الالكتروني حرصا على سريتها.
وإذا كنت تستخدم البريد الالكتروني لتوزيع أخبار شركتك أو مؤسستك، حاول قدر الإمكان أن لا توزع نص الخبر في رسالة، بل انشر الخبر على موقعك على الإنترنت، وأرسل رابطا للصفحة التي تعرض الخبر، فبهذه الطريقة تعود مستقبلي رسائلك على أنك لا توزع إلا ارتباطات، ولا يستطيع الآخرون أن يوزعوا أخبارا باسمك.
إضافة إلى محاولة تغيير عادات استخدام البريد الالكتروني، يمكن استخدام أدوات تقنية تساعد في رفع مستوى أمان المراسلات إلى درجة قد تكون كافية. وأهم أداة تساعد على ذلك هي استخدام التشفير بأنواعه المختلفة.
بعض الدول تمنع استخدام التشفير في المراسلات، وبعضها الأخر تعتبر استخدام التشفير حقا من حقوق المواطن لضمان خصوصيته الشخصية، وهناك دول أخرى تفرض قيودا على استخدام التشفير في بعض الحالات.
وفي سوريا لا توجد نصوص قانونية تشرع استخدام التشفير في التراسل الالكتروني، ولكن مع تطور خدمات الحكومة الالكترونية ستنشأ حاجة لهذا التشريع وسيصبح من الممكن استخدام أنواع من التشفير في المراسلات.
بالمقابل فإن بعض خدمات البريد الالكتروني تستخدم التشفير بشكل مبيت، أي مضمن ضمن الخدمة، وبعض هذه الخدمات متاح من سوريا، وأغلبها يستخدم تقنية SSL لتشفير البيانات أثناء عملية انتقالها عبر الإنترنت.

المستوى +1: استخدام SSL 
=================
لا يعتبر بروتوكول SSL آمنا بشكل كامل، ولكنه يقدم أمانا كافيا لاغلب تطبيقات تبادل البيانات عبر الإنترنت، ويمكن القول أن SSL يحمي الرسالة أثناء انتقالها من التجسس والعبث، ولكن لا يمكن ضمان أن كل المسارات التي ستسلكها الرسالة ستكون مشفرة باستخدامه.
يمكن اختبار تطبيق عملي على استخدام SSL في مراسلات البريد الالكتروني على مخدم GMail وهو مخدم بريد الكتروني يستخدم التشفير في التخاطب مع مستخدميه، ولكنه لا يستخدم التشفير في التراسل مع مخدمات البريد الأخرى.
يوضح الدعم التقني لخدمة GMail كيفية ضبط برامج البريد الالكتروني لاستخدام وصلته الآمنة، والشكل المرفق يشرح ضبط الإعدادات المتقدمة في برنامج Outlook 2003 لحساب بريد الكتروني يستخدم مخدم Gmail

Gmail
الشكل 1: اعدادات استخدام SSL للوصول إلى بريد GMail
المستوى +2: المعرف الرقمي Digital ID
========================
صممت خدمة المعرف الرقمي في أواخر القرن الماضي لحل مشكلة انتحال الشخصية وتغيير الرسالة عند انتقالها عبر الإنترنت.  تعمل هذه الخدمة اعتمادا على وجود جهة مستقلة تؤكد شخصية المرسل وتعطيه شهادة تسمح له بتوقيع رسائله بطريقة مقبولة من قبل برامج البريد الالكتروني، وهذا التوقيع يقدم ميزتين:
* إمكانية تدقيقه لدى الشركة المستقلة، مما يمكن من كشف محاولات انتحال الشخصية
* إمكانية تدقيق محتوى الرسالة لكشف أية محاولة تلاعب بها أثناء انتقالها.
وفي حال كان المرسل والمستقبل يستخدمان ميزة التوقيع الرقمي، تستطيع برامج البريد الالكتروني تشفير الرسالة بحيث لا يستطيع فك رموزها إلا المرسل والمستقبل.
تظهر أهمية التوقيع الرقمي في المراسلات التي تتضمن صفقات بحاجة الى مصادقة من عدة اطراف , فعندما تستلم الرسالة تتأكد من وجود تواقيع رقمية لكل الأطراف لتضمن ان الرسالة اثناء سيرها اليك لم يقم احد بانتحال شخصية أي طرف .
يستطيع أي شخص الحصول على معرف رقمي مقابل مبلغ مالي، وبعض الشركات التي تقدم خدمة المعرف الرقمي تقدم معرفا مجانيا لفترة محدودة، ومثلا موقع comodogroup.com مثلا يقدم لكل حساب بريد الكتروني معرفا رقميا مجانيا مدة سنة، والحصول على هذا المعرف الرقمي أمر سهل، ويمكنك ببساطة تصفح الموقع وطلب المعرف لتصلك رسالة بريد الكتروني الى عنوانك الذي زودت الموقع به تتضمن طريقة ضبط الاعدادات لاستخدام هذا المعرف لتشفير وتوقيع رسائلك.

المستوى +3: استخدام التشفير PGP :
=====================
تقدم تقنية PGP امكانية تشفير وتوقيع الرسائل رقميا وقد اثبت هذا البرنامج صموده في وجه جميع محاولات الكسر، وتوضح الحسابات أنه لا يمكن كسر تشفير PGP من قبل أحد في العالم ضمن زمن مقبول، ولذلك فهو يعتبر سرا عسكريا، وتمنع حكومة الولايات المتحدة تصدير برامج PGP إلى بلدنا، ولكن يمكن الحصول عليها من مصادر أخرى.
على الإنترنت عدة برامج مفتوحة المصدر تدعم تشفير PGP، وأهمها GnuPGP الشهير اختصارا ب GPG. ويمكنك إضافة هذا البرنامج الى أغلب برامج البريد الالكتروني لتتمكن من تشفير الرسالة او توقيعها رقميا باستخدامه. ولكن أشهر برامج PGP هو البرنامج الذي يوزعه مطور التقنية والمتاح مقابل أجر من موقع www.pgpi.com.
بعد تنزيل برامج PGP يجب القيام بتوليد مفتاحك الخاص private key الذي ستستخدمه في عملية التشفير والتوقيع الرقمي لرسائلك.

PGP
الشكل 2: استخدام تشفير PGP ضمن برنامج Outlook
مستويات أمن إضافية:
===================
لا تكفي هذه الطرق لتأمين استخدام البريد الالكتروني، فيجب أن تدعم باستخدام مضاد للفيروسات يستطيع كشف أحدث الفيروسات، وخصوصا ديدان البريد الالكتروني، واستخدام جدار ناري محلي للحماية من إرسال بريد الكتروني من حاسبك بدون أن تعرف.

منار وسوف والأيهم صالح
http://
www.manarwassouf.com
http://www.alayham.com

 

مقالات منار

تابعوني على فيسبوك

أحدث التعليقات

في حديقتي الان

There are currently 0 users and 0 guests online.

من أين يزار الموقع اليوم؟