المساعدات الرقمية الشخصية

انتشـــرت في السنوات الأخـيرة المساعـــدات الرقميــة الشخصيـــة(Personal DigitalAssistants)التي يمكــن وصفهــا بأنها هاتف جوال مدمج مع حاسوب صغير جداً، ومن أمثلتها جهاز كيوتك (Qtek)،وآي ميت (I-Mate)،وبلاك بري (Blackberry). ويمكن استخدام هذه الأجهزة لخزن المعلومات وتشغيل البرامج والاتصالات بالشبكات تماماً، كما يستخدم الحاسوب العادي .

وقد انتشرت هذه الأجهزة انتشار النار في الهشيم، وتفيد التقديرات أن قرابة 50% من هذه الأجهزة يستخدم نسخة من نظام التشغيل(Windows)،مما يجعلها عرضة لهجمات القراصنة أصحاب الخبرة في نظام التشغيل هذا(
[1]). ومن جهة أخرى تشير التقديرات إلى أن أكثر من 80% من المساعدات الرقمية يشتريها الأفراد وليس الجهات التي يعملون فيها، مما يجعلها غير خاضعة لسياسات تلك الجهات خاصة فيما يتعلق بأمن المعلومات([2]).
وهناك عاملان يدفعان إلى العناية بالمشكلات الأمنية التي تنجم عن استخدام المساعدات الرقمية، وهذان العاملان هما:
(أ) إمكان ربط المساعدات الرقمية بالشبكة الداخلية لأي منشأة، وفي الوقت نفسه الاتصال لاسلكياً بشبكة الإنترنت، مما يفتح ثغرة في الدفاعات المنصوبة لحماية الشبكة الداخلية، كما يعرضها لجميع المخاطر المحدقة بالاتصال اللاسلكي.
(ب) مع تزايد إمكانات المساعدات الرقمية فإنها أصبحت قادرة على تنفيذ التطبيقات الكبيرة التي تستخدمها الشركات والمنظمات، وهذه ميزة عظمية ولا ريب ، غير أنها – في الوقت ذاته – تزيد من خطر اختراق تلك التطبيقات من قبل المتطفلين نتيجة لضعف الإجراءات الأمنية الموجودة في المساعدات الرقمية .
ولفهم ما يصاحب استخدام مساعد رقمي معين يجب على المستخدم معرفة أمرين مهمين:
(أ) نظام التشغيل المستخدم في المساعد الرقمي: وأهمية هذا الأمر تأتي من أن المخاطر الأمنية تختلف من نظام تشغيل إلى آخر، فيلزم المستخدم معرفة نظام التشغيل في جهازه ليحدد المخاطر التي قد يتعرض لها جهازه.
(ب) طريقة ربط المساعد الرقمي بالشبكة الداخلية أو شبكة الإنترنت، ويمكن القول بأن هناك طرقاً ثلاثاً للربط هي :
(1) ربط المساعد الرقمي بجهاز حاسوب شخصي باستخدام برامج التناغم (Synchronization Software)،مثل: برنامــج (ActiveSync)المستخـــدم لنظام(Windows)،وبرامج التناغم لا تخلو من الثغرات الأمنية، فبرنامج (ActiveSync)،عندما يعمل يطلب إدخال كلمة عبور (Password)،لكن هذه الكلمة يمكن تخزينها في القرص الصلب للحاسوب الشخصي الذي يرتبط به جهاز المساعد الرقمي، ونتيجة لذلك فإن أي متطفل يخترق النظام الأمني للحاسوب الشخصي يمكنه الوصول إلى المعلومات المخزنة في المساعد أثناء عملية التناغم.
(2) الربط السلكي واللاسلكي باستخدام بطاقة الشبكة (Network Interface Card).
(3) الربط اللاسلكي مثل تقنية البلوتوث والواي فاي:
ومما سبق يتضح أن المعلومات المخزنة في المساعد الرقمي عرضة لمخاطر أمنية جمة، كما أن ربط المساعد الرقمي بشبكة ما يفتح ثغرة في الحماية المنصوبة حول تلك الشبكة، كما أنه في الوقت ذاته يجعل الجهاز عرضة للهجوم من قبل المهاجمين الذين سبق لهم اختراق الشبكة وكونوا لأنفسهم موطئ قدم فيها.

[1] المخاطر المصاحبة لاستخدام المساعدات الرقمية الشخصية
إن قائمة المخاطر المصاحبة لاستخدام المساعدات الرقمية، الشخصية طويلة جداً لكن حديثنا سيكون منصباً على أهمها:
(أ) سهولة الحمل:
هذه تعتبر ميزة كبرى للمساعدات الرقمية، غير أنها في الوقت ذاته هي الخطر الأكبر المحدق بها، فسهولةحمل الجهاز يجعله عرضه للسرقة أو الضياع أكثر من غيره، وبذلك يمكن استخدامه لتخطي الحواجز الأمنية المنصوبة حول الشبكة التي يسمح للجهاز بالاتصال بها. ولمعرفة حجم هذه المشكلة علينا أن نستحضر بعض الدراسات التي تفيد بأن ما يقارب 250.000 جهاز مساعد رقمي فقدت في المطارات الأمريكية في عام 2001م([3])، ولاشك أن الرقم ازداد تبعاً لزيادة اقتناء الناس للمساعدات الرقمية.
(ب) ضعف وسائل الحماية الأصلية التي تأتي مع المساعدات الرقمية من الشركات المصنعة:مثل:
(1) ضعف تشفير كلمات العبور (Password).
(2) إمكان تجاوز آلية كلمات العبور بتغيير إعدادات الجهاز.
(جـ) البرامــج الخبيثة(Malicious Software):

من مميزات المساعدات الرقميةحيازتها معالجاً وتخزيناً يكفيان لحفظ ملفات المعلومات وتشغيل البرامج، وهذه الميزة تجعلها أيضاً هدفاً للبرامج الخبيثة كالفيروسات والديدان التي تنتقل من المساعد الرقمي إلى الحاسوب العادي والعكس عند ربط هذين الجهازين، وعندما يكون الحاسوب العادي جزءاً من شبكة بها معلومات مهمة، فإن ربط مساعد رقمي بالحاسوب لغرض التناغم أو نقل الملفات يفتح ثغرة، يمكن أن تتسلل منها البرامج السيئة إلى الشبكة انطلاقاً من المساعد الرقمي ومروراً بالحاسوب العادي.
ومن أمثلة الفيروسات التي تهاجم المساعدات الرقمية المعتمدة على نظام التشغيل (Windows CE)فيروس (WinCE4.Dust)،وهذا الفيروس يمكنه مهاجمةالملفات من نوع (exe) المخزنة في المساعد الرقمي، ولكن الهدف من تطويره كان مجرد لفت الانتباه إلى أن مثل هذا الفيروس يمكن تطويره، وقد ظهر قريباً واحد من أحصنه طروادة يسمى (Backdoor.Brador.A)، وهذا البرنامج السيئ إذا حملته في مساعدك الرقمي فإنه يفتح قناة اتصال مع جهاز الشخص الذي طوره، ويمكن لذلك الشخص من مساعدك الرقمي، فيصبح قادراً على تحميل الملفات والبرامج إلى مساعدك الرقمي، وتنفيذها، وحذفها، واستعراض الملفات الموجودة في مساعدك الرقمي، وهلم جرا([4]).
(د) الهندسة الاجتماعية:

هناك صلة وثيقة بين الخطر الناجم عن سرقة أو فقدان المساعد الرقمي الشخصي والهندسة الاجتماعية ، وذلك أن المعلومات الموجودة في المساعد الرقمي المسروق تعطي المهاجم باستخدام الهندسة الاجتماعية، ترسانة ضخمة من المعلومات يمكنه استخدامها للحصول على المزيد من المعلومات.
(هـ) الاتصال اللاسلكي بين المساعد الرقمي والأجهزة المناظرة أو الشبكات:

كان ومازال البوابة التي يسهل ولوج المهاجم منها، نتيجة لطبيعة الاتصال اللاسلكي، والثغرات الموجودة في الإجراءات الأمنية المتبعة في تقنيات الاتصال اللاسلكي، كالبلوتوث والواي فاي.

[2] كيفية التقليل من المخاطر المصاحبة لاستخدام المساعدات الرقمية الشخصية
سنتطرق في هذا الجزء من الكتاب لعدد من السبل الممكن اتخاذها لتقليل تلك المخاطر، ومن هذه السبل ما هو على مستوى المنشآت ومنها ما هو على مستوى الأفراد.
وضع سياسات تضبط استخدام المساعدات الرقمية الشخصية في المؤسسات والشركات ونحوها، ويجب أن تنظم هذه السياسات الأمور التالية:
(1) تحديد الاستخدام الأمثل للمساعدات الرقمية في محيط العمل داخل المنشأة.
(2) تحديد طريقة اقتناء المساعدات الرقمية داخل المنشأة.
(3) تحديد الإعدادات التشغيلية والأمنية التي يجب أن يجهز بموجبها كل مساعد رقمي.
(4) تقديم الدعم الفني لمستخدمي المساعدات الرقمية، مما يسهل لأخصائي تقنية المعلومات متابعة كيف تستخدم هذه الأجهزة، والتنبيه لأي خطر قد يتسلل إلى البنية المعلوماتية للمنشأة من قبل هذه الأجهزة.
(5) تنميط (Standardization)البرامج والأجهزة التي تستخدم مع المساعدات الرقمية، فإذا اعتمدت منشأه برنامج تناغم معين فإن تحديد الثغرات الأمنية الموجودة في ذلك البرنامج أمر سهل، وبالتالي يكون التعامل الصحيح مع الثغرات الموجودة فيه أمرا ممكنا. أما إذا ترك الحبل على الغارب لمستخدمي المساعدات الرقمية فسيكون على المسؤولين عن أمن المعلومات في المنشأة التعامل مع عدد كبير من برامج التناغم، وبالتالي عليهم التعرف على عدد كبير من الثغرات مما يصعب اتخاذ خطوات احترازية ضدها.
(6) استخدام وسائل توثيق الـهوية(Authentication Tools)التي توفر قدراًملائما من الحماية بدلاً من الاعتماد على ما هو موجود أصلاً في المساعدات الرقمية. ومما يجب أن تتحلى به وسائل توثيق الهوية الجيدة ما يلي:
(أ) استخدام الأسلوب المركزي في إدارة كلمات المرور للتحقق من موافقتها للسياسات المعتمدة لأمن كلمات المرور، مثل: قوة الكلمات المستخدمة وأنها تغير بشكل دوري.
(ب) وجود إجراءات مضادة لطرائق الهجوم الشائعة التي تهدف إلى تقويض كلمة المرور.
(جـ) برمجة المساعد الرقمي بحيث يقوم بحذف الملفات المخزنة فيه تلقائيا عند اكتشاف محاولات اختراق لآليات الحماية الموجودة في المساعد الرقمي.
(د) وجود الآليات المناسبة لتشفير كلمات المرور.
(هـ) استخدام أدوات التعريف المعتمدة على الخصائص البيولوجية للمستخدم (Biometrics)للتحقق من الهوية مثل البصمة والتعرف على التوقيع والتعرف على الصوت.
(7) استخدام تقنيات التشفير لحماية المعلومات المخزّنة في المساعد الرقمي، وحماية الاتصال بين المساعد الرقمي والحاسوب العادي.
(8) تحميل برامج الحماية مثل البرامج المضادة للفيروسات والديدان وغيرها من البرامج السيئة. ومن أمثلة برامج الحماية برنامج )Airscacanner Mobile(.
(9) الاستفادة من الحلول المتكاملة للحماية(Integrated Security Tools)التي بدأت تظهر أخيراً، ومن مزاياها محاولتها التعامل في آن واحد مع عدد كبير من المشكلات الأفقية للمساعدات الرقمية.
(10) تحميل برنامج جدار حماية في المساعد الرقمي لكبح أي محاولة غير مشروعة لإنشاء اتصال مع الجهاز.
(11) وضع برامج التناغم على وضع الإطفاء (Off)عندما لا تكون مستخدمة.
(12) تجنب تخزين كلمة المرور الخاصة بعملية التناغم على الحاسوب العادي.
(13) التحقق من متابعة التحديثات الأمنية وتنزيلها بشكل موقوت إلى المساعدات الرقمية.
(14) تجنب استخدام المساعدات الرقمية التي فيها معلومات حساسة في الأماكن العامة.

الخلاصة

المساعدات الرقمية بلا شك ذات فوائد عظيمة، لكنها مثل باقي معطيات التقنية الحديثة سلاح ذو حدين، و للاستفادة القصوى منها على الانسان التعرف على المحاذير المحيطة باستخدامها لتجنبها. أما على مستوى المنشآت فإن حماية أنظمة المعلومات من المخاطر التي تجلبها المساعدات الرقمية يتطلب عددا من الإجراءات التي قد يترتب عليها إدخال تغييرات في بيئة العمل.

الكاتب ayman

ayman

مواضيع متعلقة

اترك رداً