📘 قراءة كتاب The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage أونلاين
وصف عن الكتاب:
قبل أن تصبح الإنترنت معروفة على نطاق واسع كأداة عالمية للإرهابيين ، أدرك أحد المواطنين الأمريكيين الفهم إمكاناتها المشؤومة. مسلحًا بأدلة واضحة على تجسس الكمبيوتر ، بدأ بحثًا شخصيًا للغاية لكشف شبكة مخفية من الجواسيس التي كانت تهدد الأمن القومي. لكن هل ستدعمه السلطات؟ رواية كليف ستول الدرامية المباشرة هي "قصة بوليسية عن عصر الكمبيوتر ، رائعة على الفور [و] تجتاح بشكل مذهل" (سميثسونيان).
كان كليف ستول عالم فلك تحول إلى مدير أنظمة في مختبر لورانس بيركلي عندما نبهه خطأ محاسبي يبلغ 75 سنتًا إلى وجود مستخدم غير مصرح به على نظامه. كان الاسم الرمزي للمتسلل هو "Hunter" - وهو غازي غامض تمكن من اقتحام أنظمة الكمبيوتر الأمريكية وسرقة معلومات عسكرية وأمنية حساسة. بدأ Stoll مطاردة رجل واحد من تلقاء نفسه: التجسس على الجاسوس. لقد كانت لعبة خطرة من الخداع ، والأكواد المعطلة ، والأقمار الصناعية ، وقواعد الصواريخ - عملية لرجل واحد استحوذت أخيرًا على انتباه وكالة المخابرات المركزية ... وفي النهاية حاصرت حلقة تجسس دولية تغذيها النقود والكوكايين و KGB.
Before the Internet became widely known as a global tool for terrorists, one perceptive U.S. citizen recognized its ominous potential. Armed with clear evidence of computer espionage, he began a highly personal quest to expose a hidden network of spies that threatened national security. But would the authorities back him up? Cliff Stoll's dramatic firsthand account is "a computer-age detective story, instantly fascinating [and] astonishingly gripping" (Smithsonian).
Cliff Stoll was an astronomer turned systems manager at Lawrence Berkeley Lab when a 75-cent accounting error alerted him to the presence of an unauthorized user on his system. The hacker's code name was "Hunter" -- a mysterious invader who managed to break into U.S. computer systems and steal sensitive military and security information. Stoll began a one-man hunt of his own: spying on the spy. It was a dangerous game of deception, broken codes, satellites, and missile bases -- a one-man sting operation that finally gained the attention of the CIA...and ultimately trapped an international spy ring fueled by cash, cocaine, and the KGB.
أمن الحاسوب:
تقنيات أمن الحاسوب مبنية على المنطق. بما أن الأمن ليس بالضرورة الهدف الرئيسي لمعظم تطبيقات الحاسوب، فإن تصميم برنامج حاملا الأمن في البال كثيرا ما يفرض قيودا على سلوك هذا البرنامج.
توجد عدة طرق للأمن في مجال الحوسبة، وأحيانا يسمح بمزيج من المقاربات :
الثقة بجميع البرامج الملتزمة بسياسة الأمن ولكن يكون البرنامج ليس جديرا بالثقة (وهذا هو انعدام أمن الحاسوب).
الثقة بجميع البرامج الملتزمة بسياسة الأمن والبرمجيات صُدّق على أنها جديرة بالثقة (عن طريق فرع تيديوس وتحليل المسارات على سبيل المثال).
عدم الثقة بأي برمجيات ولكن فرض سياسة أمنية مع آليات ليست جديرة بالثقة (مرة أخرى هذا هو انعدام أمن الحاسوب).
عدم الثقة بأي برمجيات ولكن فرض سياسة أمنية مع آليات جديرة بالثقة.
نظم عديدة أسفرت عن الاحتمال الأول من دون قصد. وبما أن المنهجية الثانية مكلفة وغير قطعية، فاستخدامها محدود جدا. والمنهجيات واحد وثلاثة تؤدي إلى الفشل. ولأن المنهجية رقم أربعة غالبا ما تقوم على آليات الأجهزة وتبتعد عن التجريدات وتعدد درجات الحرية، فإنها عملية أكثر. مزيج من الطريقتين رقم اثنين ورقم أاربعة غالبا ما تستخدم في البنية ذات الطبقات مع طبقات رقيقة من اثنين وطبقات سميكة من أربعة.
هناك استراتيجيات وتقنيات مختلفة مستخدمة في تصميم أنظمة الأمن. ومع ذلك فهناك عدد قليل، إن وجد، من الاستراتيجيات الفعالة لتعزيز الأمن بعد التصميم. أحد الأساليب يفرض مبدأ الامتيازات الأقل إلى الحد الأعلى، حيث يمتلك الكيان الامتيازات المحتاجة لوظيفته فقط. وبهذه الطريقة حتى لو استطاع المهاجم الوصول إلى جزء من النظام، فالأمن الحبيبي-الجيد يضمن انه من الصعب عليهم الوصول إلى باقي الأجزاء.
وعلاوة على ذلك، فعن طريق تجزيء النظام إلى مكونات أصغر، فإن مدى تعقيد المكونات الفردية يتم تخفيضها، وبالتالي فتح إمكانية استخدام تقنيات مثل النظرية الآلية التي تبرهن على إثبات صحة برمجيات النظم الفرعية الحاسمة. هذا يتيح حلاً ذو هيئة مغلقة للأمن الذي يعمل بشكل جيد عندما تعزل ممتلكات واحدة فقط ذات سمات جيدة على أنها في غاية الأهمية، وأن الملكية هي أيضا خاضعة للتقييم من الرياضيات. ليس من المستغرب، أن ذلك غير عملي للصحة العامة، والتي ربما لا تستطيع حتى أن تعرّف، والأقل بكثير أن تثبت. عندما لا تكون براهين الصحة الرسمية ممكنة، فالاستخدام الصارم للقانون، وفحص كل وحدة يمثل نهج ذو سعي-أفضل لجعل الوحدات آمنة.
وينبغي للتصميم استخدام "الدفاع في العمق"، حيث يوجد أكثر من نظام فرعي واحد يحتاج إلى أن ينتهك لتسوية سلامة النظام والمعلومات التي يحتفظ بها. الدفاع في العمق يعمل عندما لا يوفر خرق واحد من الاجراءات الأمنية منبرا لتسهيل تخريب أجراء آخر. أيضا، فإن مبدأ المتتالية يقر بأن العديد من العقبات المنخفضة لا يخلق عقبة عالية. ولذلك فتتالي عدة آليات ضعيفة لا يوفر سلامة آلية واحدة أقوى.
وينبغي أن تتخلف النظم الفرعية لتأمين الإعدادات، وحيثما كان ذلك ممكنا ينبغي أن تهدف إلى "فشل آمن" بدلا من "فشل غير آمن" (انظر الفشل الآمن للتعادل في هندسة السلامة). من الناحية المثالية، فالنظام الآمن ينبغي أن يتطلب قرارا متعمدا، وواعيا، وعلى دراية وحرا من جانب السلطات الشرعية لجعلها غير آمنة.
بالإضافة إلى ذلك، لا ينبغي للأمن أن يكون قضية إما كل شيء أو لا شيء. ينبغي على مصممي ومشغلي الأنظمة أن يفترضوا أن الخروقات أو الثغرات الأمنية لا مفر منها. التدقيق الكامل للمسارات ينبغي أن يبقى من نشاط النظام، حتى إذا حدث خرق أمني، فآلية الخرق ومداه يمكن تحديدهما. تخزين مراجعة المسارات عن بعد، حيث لا يمكن إلا اللحاق بها، يمكنها أن تبقي المتسللين من تغطية مساراتها. أخيرا، فالكشف الكامل يساعد على ضمان أنه عندما يتم العثور على الخلل فإنه يتم الاحتفاظ ب "نافذة الضعف" لأقصر قدر ممكن.
سنة النشر : 2005م / 1426هـ .
عداد القراءة:
اذا اعجبك الكتاب فضلاً اضغط على أعجبني و يمكنك تحميله من هنا:
شكرًا لمساهمتكم
شكراً لمساهمتكم معنا في الإرتقاء بمستوى المكتبة ، يمكنكم االتبليغ عن اخطاء او سوء اختيار للكتب وتصنيفها ومحتواها ، أو كتاب يُمنع نشره ، او محمي بحقوق طبع ونشر ، فضلاً قم بالتبليغ عن الكتاب المُخالف: