عرض مشاركة واحدة
  #10  
قديم 07-12-2012, 02:22 PM
 


اختراق البريد

عدد لانهائي من الطرق و الحيل‬ ‫ولكنه صعب ‫ومن اسهلها ان يخترق جهاز الضحيه
بالبيست أو الصب سفن ويذهب الى‬ ‫قائمه الباسووردات المحفوضه اذا كان حافض الباس وورد
راح يلقاها مع‬ ‫اسم بريد .




طريقة عمل البريد الإلكتروني





الشكل المقابل يوضح طريقة عمل البريد من خلال خطوات مرقمة,
فعندما تريد إرسال رسالة فإنها تحتاح إلى برنامج عميل البريد مثل Microsoft outlook
وتضع عنوان المستقبل وبعد أن تضغط زر إرسال يقوم برنامج العميل بتنسيق الرسالة على هيكل بريد إلكتروني ويكون على صيغة معينة
وبعدها يقوم البرنامج بإرسال الرسالة بواسطة بروتوكول (smtp) إلى عميل الإرسال
(mail transfer agent (MTA وهو هنا smtp.a.org

وهو يبحث عن العنوان b.org فيقوم بمراسلة سيرفر ns.b.org
يقوم الخادم ns.b.org بإرسال عنوان موزع البريد (mail exchange) ويكون غالبا mx.b.org إلى خادم a.org
يقوم a.org بإرسال الرسالة إلى mx.b.org بواسطة بروتوكول SMTP
يقوم mx.b.org بوضع الرسالة في صندوق Pop
يقوم la_lune50 بجلب الرسالة بواسطة النظام(POP3 (Post Office Protocol من صندوق بريده.




أمن البريد الإلكتروني

أمن البريد الإلكتروني هو الوسيلة الأساسية لقطاع الأعمال والاتصالات، ويزداد استخدامه يوما بعد يوم.
يستخدم لنقل الرسائل النصية ونقل المستندات وجداول البيانات،
وبما أن عملية نقل البيانات عملية حساسة جدا فسلامة هذه البيانات هي موضع تساؤل, وهذا يمثل مشكلة ....

هناك عدد من الحلول القائمة باستخدام المفتاح العمومي القائم على الترميز.
في هذه النظم المستخدم لديه مفتاحين رمزيين للمحافظة على أمن مصادر البيانات؛

المفتاح الأول هو المفتاح العمومي المشهور,
و الثاني هو مفتاح الحفاظ على السرية بالنسبة للمستخدم,
وباستخدام الطرق الرياضية يمكن استخدام المفتاح السري الخاص لتوقيع مجرى البيانات مثل رسائل البريد الإلكتروني،
وهذا التوقيع يدعى "التوقيع الرقمي" الذي يجري جنبا إلى جنب مع البيانات عند نقلها,
وعندئذ يمكن استخدامها للتحقق من أن الرسالة لم يحدث
عليها تغيير أثناء نقلها وذلك باستخدام المفتاح العمومي
ويجب أن يكون المرسل على علم ودراية بالمفتاح الخاص.

هناك مجموعة من الطرق الرياضية المشهورة مثل خوارزمية (RSA)، وكالة الفضاء الروسية كثيرا ما تستخدم بالاشتراك مع تشفير البيانات الموحدة لتزويد نظام أمن كامل
يزود بالرسائل الإلكترونية مع خدمات أمنية مثل :
التوثيق الأصلي : وهو التأكد من معرفة من قام بإرسال الرسالة.
نزاهة المحتوى : وهو ضمان محتوى الرسالة بأنه لم يتغير بعد إرسالها.
عدم التنصل : التأكد من أن المنشىْ لا ينكر أنه أرسل الرسالة في وقت لاحق.
التشفير : تشفير محتوى الرسالة لمنع قراءتها.

هناك ثلاثة أنظمة رئيسية ستخدم هذه التقنية للمحافظة على أمن نقل الرسائل
وهي:PGP ،PEM ،X-400، ففي النظام الأول (PGP) مستخدم الرسالة يحدد الاسم ثم ينشيْ زوج من المفتاحين العام والخاص باستخدام البرمجيات المتاحة للاسم،
أما الجزء الخاص فيبقى سري لدى المستخدم.
وعندما ترسل الرسالة تكون قد شفرت بالمفتاح الخاص مع المحافظة على أمن المعلومات التي بالرسالة.

هذا نموذج بسيط تنامى بسرعة كبيرة لتأمين الحماية للرسائل والإنترنت بشكل خاص، لكن الأسماء ليست مضمونة فهناك إمكانية لاستخدام مفتاح خاطيْ لتشفير البيانات وليس هناك طريقة للسيطرة التامة إذا تم كشف المفتاح الخاص عن طريق الصدفة مثلا.


أهم نقاط الضعف في المفاتيح الرقمية

- شخص ما يمكنه سرقة المفتاح الخاص بك من جهازك، لذا فالطريقة المثلى لحماية المفتاح الخاص هي وضع كلمة سر وعندها المفتاح المسروق لا قيمة له.
- المصدر للشهادة يمكن أن يعطي لشخص آخر معلومات كافية لتسهيل إنشاء نسخة من المفتاح الخصوصي.
- يمكن أن تكون الشهادة مزورة.
- التوقيع الرقمي يحمل نفوذ أقوى من العنوان العادي، فإذا ضاعت الشهادة أو تم فقد كلمة السر ؛ الطريقة الأفضل هي التوقف عن استخدام عنوان البريد الإلكتروني المسروق والبداية من جديد.

الشهادة الرقمية هي كجواز السفر وتحتوي مفتاح عام ومفتاح خاص،
ويعمل المفتاحان معا للتأكد من أن الرسالة جاءت من المعالج "ردا على"
عن طريق تحقيق التوقيع الرقمي للرسالة الإلكترونية ويتم ذلك عن طريق إرفاق التوقيع الرقمي إلى البريد الإلكتروني.

التوقيع الرقمي يتم إنشاؤه عن طريق برمجية خاصة والمفتاح الخاص ويعملان معا وتعتبر المفاتيح الخاصة مفاتيح ذكية.
التوقيع الرقمي يضمن :
- صحة مطالب مرسل العنوان الإلكتروني.
- أن الرسالة الإلكترونية لم تتغير أثناء إرسالها.

كلمة السر: نظرا للمشاكل التي تواجه سرية البيانات والرسائل الإلكترونية
قامت لجنة من الأوروبيين بتمويل مشروع الكلمة السرية ووضع البنى التحتية لقيادة الخدمات الأمنية اعتمادا على إطار X-509،
وبعد ذلك تم استخدام البنى التحتية لقيادة (X-400,PEM) في أوروبا.
مشروع كلمة السر انتهى في هذا الوقت لكن هناك بقايا للبنى التحتية ما زالت موجودة ومتوقع إعادة استخدامها كأساس لمشاريع جديدة بإطارات جديدة.

تأمين الأدلة , إن الحلول الأمنية للرسائل الإلكترونية في هذا الوقت تركز على أمن وسرية نقل الرسائل تلك بين أي طرفين.
لكن المشكلة هي الارتفاع في استخدام الأدلة المفتوحة مثل دليل (X-500) لدعم الرسائل الإلكترونية، فعلى سبيل المثال :
عند استخدام منتجات (NEXOR) يقوم المستخدم بإرسال رسالة (X-400) لمستخدم آخر فيلجأ للبحث في دليل (X-500)
وهذا يعني أن المستخدم ليس بالضرورة أن يكون علي معرفة بعنوان البريد الإلكتروني وهذه طريقة اتصال ضعيفة أمنيا .
لذا (X-500) هي ميكانيكية لمنع حدوث هذا النوع من المشاكل باستخدام موديل (X.509)
لعرض مجموعات مختلفة من المعلومات لفئات مختلفة من المستخدمين.
هذا هو العنصر الرئيسي من مشروع إدارة الوجهات السياحية.

إدارة المفاتيح هناك عنصر آخر آمن ومهم وهو التخزين الآمن للمفاتيح الخاصة، يتم تخزينهم ببطاقة معدات مادية .
بحيث أن المفتاح الخاص لا يغادر البطاقة أبدا والبطاقة نفسها تقوم بجميع الوظائف تبعا للمفتاح المستخدم وهذه الوظائف مثل :
التشفير، التوقيع، التحقق من الرسالة الإلكترونية.

لتطبيق النظام يجب شراء بطاقة من مصدر موثوق به، بحيث يكون هذا المصدر لا يعرف عن ميكانيكية الأمن المستخدمة.
و هذا كذالك شبه مستحيل وقد تم كسره ......!!!!

رد مع اقتباس