حماية المواقع من الاختراق

تتعرض العديد من المواقع عبر شبكة الويب العالمية لمحاولات اختراق متكررة ، وفي كثير من الأحيان لا يتخذ مالكو هذه المواقع احتياطات أمنية لحماية مواقعهم ؛ يعتقدون أنهم لا يشكلون هدفًا حقيقيًا للمتسللين ، ولكن هناك العديد من الإجراءات التي يجب اتخاذها لتجنب مثل هذا الخطر.

حماية الموقع من حُقن إس كيو إل

تتعرض العديد من المواقع عبر شبكة الإنترنت العالمية إلى محاولات اختراق مُتكررة، وفي كثير من الأحيان لا يتخذ أصحاب هذه المواقع تدابير أمان احتياطية لحماية مواقعهم؛ ظناً منهم أنّها لا تُشكل هدفاً حقيقياً للمُخترقين، إلّا أنّ هناك العديد من التدابير التي يجب أن يتمّ اتخاذها لتجنُب مثل هذا الخطر، ومن هذه التدابير حماية الموقع ضد ما يُعرَف بحُقن إس كيو إل أو التي تُسمى لغة الاستعلامات البنيوية (بالإنجليزية: SQL Injection)، ويعتمد هذا النوع من الهجمات على قيام المهاجمين (بالإنجليزية: Attackers) بإضافة شيفرة مكتوبة بلغة (SQL) لتسهيل الدخول على قاعدة البيانات الخاصة بالموقع،^[١] ويُمكن تجنُب هذا النوع من الهجمات عبر العديد من الإجراءات، ومنها استخدام بعض اقترانات (SQL) -مثل ماي إس كيو إل (بالإنجليزية: MySQL)‏ أو إس كيو إل الديناميكي (بالإنجليزية: Dynamic SQL)- للتأكد من صحة البيانات التي يتمّ تمريرها من قِبل مُستخدمي الموقع الإلكتروني، بالإضافة إلى معالجة نقاط الضعف الموجودة في قواعد البيانات واستخدام جدار حماية (Firewall) خاص بحماية الموقع، ومن الإجراءات الأخرى التي يُمكن اتباعها لتجنُب مثل هذا النوع من الهجمات هو استخدام قاعدة البيانات بحساب ذي صلاحيات مُحددة قدر الإمكان، وتجنُب استخدام حساب ذي امتيازات عُليا للدخول إلى قاعدة البيانات.^[٢]

تحديث برامج الموقع

يُعدّ تحديث البرامج التي يُشغلها الموقع من أكثر الأمور أهمية بخصوص حمايته من التعرُض للاختراق؛ وذلك لمنع استغلال المُخترقين لأيّة ثغرات قد تكون موجودة في تلك البرامج، ويتوجب تحديث أيّ برنامج يتمّ استخدامه على الموقع، بالإضافة إلى تحديث نظام التشغيل (بالإنجليزية: Operating System) الذي يعمل به الخادم (Server) الخاص بالموقع، وعادة ما توفر الشركات المُطوِّرة للبرامج المُستخدَمة في مواقع الإنترنت تحديثّها بشكل تلقائي، لذا لا يتوجب على الشخص القلق حيال هذا الأمر إذا كان يستخدِم برنامجاً تتمّ إدارته من شركات مُتخصصة، أمّا في حال استخدام برنامج غير مُدار من جهات مُتخصصة، فيجب عليه تحديث تلك البرامج بنفسه وذلك لتصحيح أيّة مُشكلات تتعلق بأمان الموقع.^[٣]

تثبيت البرامج المُساعِدة للأمان

يوجد العديد من برامج الأمان المُساعدِة التي تُمكّن صاحب الموقع من الحفاظ على موقعه من التعرُض للاختراق، ومن هذه البرامج ما هو موجود بشكل تلقائي في المواقع التي تتمّ إدراتها باستخدام ما يُعرف بنظام إدارة المُحتوى (بالإنجليزية: Content Management System) اختصاراً (CMS) كبرنامج جدار الحماية، وبرامج مُكافحة الفيروسات، وغيرها من البرامج الأخرى التي تُعالج الثغرات الأمنية الموجودة في الموقع، والتي تحدّ من خطر تعرُض الموقع للاختراق، وهناك برامج أخرى تُعنى بحماية الموقع جميعها سواءً تلك التي تُدار عبر نظام إدارة المُحتوى أم نظام صفحات (HTML)، ومنها برنامج (SiteLock) الذي يُوفر مراقبة دورية وبشكل يومي لكل ما يتعلق بأمان الموقع بدءاً من اكتشاف وجود أيّ برامج ضارة أو فيروسات إلى تحديد الثغرات الأمنية التي قد تكون موجودة في الموقع.^[٤]

استخدام شهادة إس إس إل

وهي عبارة عن أداة أمان تُعرَف ببروتوكول طبقة المقابس الآمنة (بالإنجليزية: Secure Sockets Layer) اختصاراً (SSL)، وتعني استخدام بروتوكول (HTTPS) الآمن بدلاً من بروتوكول (HTTP)، حيث إنّه وعند استخدام هذه الأداة يتمّ تشفير المعلومات التي يتمّ تزويدها من مُستخدمي الموقع كمعلومات البطاقة الائتمانية وبيانات الاتصال الشخصية الخاصة بهم، وبالتالي تمنع المُتسلليين والمُخترقين من الوصول إلى بيانات عُملاء الموقع، ويُمكن الحصول على هذه الشهادة وإضافتها إلى الموقع من خلال ما يُعرف بشركات تزويد (SSL)، أو من خلال الشركة التي تستضيف الموقع المُراد تأمينه ضد الاختراق، وتجدر الإشارة إلى أنّه يُمكن تمييز المواقع التي تستخدم شهادة (SSL) عن المواقع الأخرى من خلال ملاحظة ظهور أيقونة القفل في بداية عنوان (URL) الخاص بالموقع.^[٥]

استخدام رموز التحقُق

تُعدّ بعض النماذج الفارغة التي يتمّ عرضها للمُستخدِمين عبر الموقع لتعبئتها ثغرة أمنية يُمكن أن يستغلها المخترقون أو الهاكرز لاختراق الموقع وإحداث أيّ ضرر به، وذلك من خلال تنفيذ هجمات مُتكررة تتمّ بشكل تلقائي وآلي، ولتجنُب ذلك والتحقُق من أنّ المُستخدِم هو عبارة عن شخص حقيقي يرغب بتعبئة النموذج أياً كان نوعه على الموقع، يُنصح بإضافة رموز التحقُق (بالإنجليزية: Captcha Forms)، وهي عبارة عن نماذج مجانية يُمكن إضافتها إلى الموقع تطلب من المُستخدِم تحديد نوع مُعين من الصور أو غيرها من الأمور التي لا يُمكن أن يقوم بها إلّا شخص بشري، وهذا الأمر يضمن صحة هوية المُستخدِم ويتجنب الهجمات التي يتمّ تنفيذها عبر البرامج الإلكترونية.^[٦]

ضبط رفع الملفات

يُشكّل السماح لمُستخدمي المواقع الإلكترونية برفع الملفات أحد الثغرات الأمنية في المواقع الإلكترونية، حيث يُمكن أن تتضمن تلك الملفات أنواع من البرامج الضارة التي تعمل بشكل تلقائي عند رفعها إلى تلك المواقع، لذا لا بدّ من التعامُل بحَذر بالغ مع جميع الملفات التي يتمّ رفعها من قِبل المُستخدِمين، وعدم اعتبار نوع وامتداد مُعين من الملفات آمناً، ويرجع هذا إلى أنّه يُمكن بكل سهولة تغيير امتدادت الملفات وأنواعها عند رفعها، ويُمكن التعامل مع هذا التهديد الأمني للموقع الإلكتروني من خلال منع المُستخدمين من عمل تثبيت بشكل تلقائي لأيّ ملف يقومون بتحميله، حيث يتوجب أولاً فحص هذه الملفات للتأكُد من أنّها آمنة على الموقع ولا تُشكّل أيّ تهديد له.^[٣]

النسخ الاحتياطي للموقع

يُعدّ إجراء نسخ احتياطي لبيانات الموقع من الأمور المهمة للحفاظ على أمان الموقع وديمومته، حيث ثُشير الأبحاث إلى أنّ فقدان بيانات المواقع وتوقفها عن العمل وتعطيل الموقع يؤدي إلى خسارة في الاقتصاد العالمي تُقدّر بحوالي 1.7 تريليون دولار في السنة الواحدة، حيث إنّه وعلى الرغم من جميع الاحتياطات الأمنية التي يتمّ إجراؤها على الموقع إلّا أنّه قد يتبقى بعض الثغرات التي يُمكن أن تؤدي إلى فقد البيانات، لذا يتوجب حفظ نسخة احتياطية من تلك البيانات لضمان عدم ضياعها واسترجاعها عند الحاجة، ويُمكن إجراء النسخ الاحتياطي لبيانات المواقع عبر البرامج الموجودة في تطوير وبناء تلك المواقع أو من خلال اللجوء إلى الشركة المُستضيفَة للموقع لإجراء النسخ الاحتياطي، حيث قد يتمّ تقديمه من قِبل بعض الشركات بشكل مجاني أو مقابل مبلغ معين من المال.^[٧]

ما هو الهكر

إنّ مصطلح الهكر أو الاختراق (بالإنجليزية: Hacker, Hacking) يشير تاريخياً إلى الذكاء، والتفكير الاستنتاجيّ، ولم يكن مقترناً فقط بأنظمة الحاسب الآلي وشبكة الإنترنت، وفي عالم الحاسب الآلي أو الكمبيوتر وشبكات الإنترنت، تعتبر القرصنة أي جهد تقني يبذله الشخص للتلاعب، والتحكم بسير المنظومة الطبيعيّ للشبكات أو الأجهزة، وبالتالي فإنّ القرصان أو المخترق هو الشخص المسؤول عن عمليّة الاختراق، والتلاعب بخطّ سير عمل الأجهزة والشبكات، حيث ترتبط الهجمات والاعتداءات الإلكترونيّة الحاصلة على المواقع، والبرامج وغيرها بعمليّات القرصنة والقراصنة، وتعود أصول القرصنة في شكلها الحالي إلى فترة الستينيات، عندما قرّر مهندسو معهد ماساتشوستس للتكنولوجيا (بالإنجليزية: MIT – Massachusetts Institute of Technology) لأوّل مرة تعميم مصطلح القرصنة ومفاهيمها، ثمّ بدء العمل على هذه المفاهيم في ذلك الوقت، وكان المهندسون وقتها يرتكبون القرصنة من باب التجارب العلمية، والتقنية والتي لا تسبّب أي ضرر.^[١]

الأساليب المتبّعة للاختراق

يعتمد القراصنة أو المخترقون على عدّة مصادر للولوج إلى أجهزة الحاسب الآلي، ولكن المصدر الرئيسيّ والأساسي الذي يعتمد عليه القراصنة، هو الرموز المُبرمجة الخاصّة بالحاسب الآلي (بالإنجليزية: computer code)، حيث إنّ الأغلبية العظمى من قراصنة الإنترنت تعتمد على هذه الرموز والتي من السهل الحصول عليها من على شبكة الإنترنت، بينما هناك قِلّة من القراصنة يكتبون الرموز الخاصّة بهم، ويوجد أيضاً عدد كبير من البرامج الخبيثة التي تساعد القراصنة على اختراق الأجهزة والشبكات، ويستخدم القراصنة هذه البرامج لعدّة أسباب هي:^[٢]

• إمكانية تسجيل نقرات لوح المفاتيح التي قام الضحية بضغطها (بالإنجليزية: Log keystrokes).
• سرقة كلمات السر الخاصة بالضحية (بالإنجليزية: Hack passwords).
• إيجاد ثغرات، والاختراق من خلالها (بالإنجليزية: Gain backdoor access).

القرصنة الأخلاقية

الاختراق الأخلاقيّ أو المعروف بالقرصنة الأخلاقيّة، هي عبارة عن عمليات اختراق يقوم بها مخترقون، وخبراء كمبيوتر مهرة، وذلك لتحديد نقاط الضعف في النظام المراد حمايته وتصحيحها، وينقسم عالم القرصنة الإلكترونيّة إلى قسمين؛ الأول هو القراصنة الفاسدين الملقّبين بالقبّعات السوداء، وأمّا بالنسبة القسم الثاني فهو القراصنة الأخلاقيين والملقّبين بالقبعات البيضاء، وإنّ وجود القبعات البيضاء أو القرصنة الأخلاقيّة في عالم الإنترنت أمر مهم جداً، حيث إنّ الإنترنت يعتبر مخزناً لكمّيّات لا تعدّ ولا تحصى من المعلومات الخاصّة والسريّة، ونتيجة لوجود هذا الكم الهائل من المعلومات، يجب أن يكون هناك تحديث مستمرّ للنظام، وتطوير دائم لأنظمة الحماية، وهنا يكمن دور القرصنة الأخلاقية، وذلك لمنع القراصنة الفاسدين من الوصول إلى المعلومات والبيانات الخاصّة.