1404 نقطة اتصال لاسلكي في أربع مناطق لمدينة الرياض معظمها مهددة بالاختراق

بالتزامن مع جيتكس السعودية 2008 والذي اختتم أول أمس في مركز معارض الرياض، أنهت شركة الحلول المتميزة المتخصصة في أمن المعلومات والأعمال الإلكترونية دراسة مسحية للشبكات اللاسلكية في مدينة الرياض وتمت الدراسة الميدانية بواسطة مهندسي أمن معلومات متخصصين في الشبكات اللاسلكية وتقنياتها.
وأوضح المهندس أسامة بن ناصر العمراني نائب الرئيس لأمن المعلومات لشركة الحلول المتميزة المنفذة للدراسة قائلاً إن الهدف من الدراسة هو تقييم مستوى الحماية الأمنية للشبكات اللاسلكية في مدينة الرياض، وركزت على دراسة فعالية war-driving وتأثيرها إضافة إلى نشر مفهوم أمن الشبكات اللاسلكية لدى المستخدمين وزيادة الوعي الأمني لهم. ومن المهم الإشارة إلى أن الدراسة تمت دون انتهاك أو تخريب أي من الشبكات المكتشفة كما أنها لا تتضمن محاولة التقاط البيانات المرسلة داخل الشبكات. وألمح العمراني إلى أن الأدوات المستخدمة في هذه الدراسة تتيح لنا فقط معرفة اسم الشبكة ونوع التشفير وقوة التردد ومداه.

حماية من الفضوليين والمخربين
وبين العمراني أنه خلال السنوات الأخيرة، ارتفع معدل انتشار الشبكات اللاسلكية في المملكة العربية السعودية، كشبكات الأفراد وشبكات الشركات، بغض النظر عن أسباب استخدامها، فإنها بازدياد مطرد، ويرجع ذلك إلى سهولة استخدامها فهي لا تحتاج إلى تمديدات وأسلاك لتوصيلها وأيضا لتوفر جميع أجهزة نقاط الاتصال اللاسلكي Access Point بأسعار زهيدة. حيث يتم تقديم خدمة الشبكات اللاسلكية مجانا أو برسوم زهيدة في عدد من الأماكن الخاصة كانت أو العامة (كالفنادق، المطارات ، المجمعات التجارية، مقاه عامة) وذكر المهندس العمراني أن المشكلة الأهم في الشبكات اللاسلكية هي "الأمان" فعدم تحديد مستوى حماية وأمان مع إغفال اتخاذ الاحتياطات اللازمة يؤدي إلى سهولة وصول الأشخاص غير المرغوب فيهم من فضوليين ومخربين Crackers ومشاركتهم في الشبكة وهذا يخولهم الاطلاع على البيانات السرية والمراسلات أو حتى تعطيل بعض الخدمات وفي بعض الأحيان تعطيل الخدمة بشكل كامل.
واضاف العمراني قائلاً" إن الحلول المتميزة وتأكيداً لدورها الرئيس في خدمة المجتمع وإدراكا منها لضرورة توعيته بأهمية أمن المعلومات، قامت بدراسة في أربع مواقع مختلفة في مدينة الرياض، وهي: شارع العليا العام، وشارع موسى بن نصير، وشارع الثلاثين بالسليمانية، وشارع الأمير محمد بن عبد العزيز، حيث تعتبر هذه المواقع الأكثر حركة إضافة لكونها مركز الأعمال في الرياض. وتمت الدراسة باستخدام عدد من الأدوات والأجهزة المخصصة إضافة للطرق والآليات المتبعة في مثل هذه الاختبارات. وشملت العينة عدد 1404نقاط اتصال لاسلكي Access Point

نتائج مسح الدراسة
وكشفت الدراسة عن نتائج War-Driving في مدينة الرياض بأن معظم نقاط الوصول للشبكات اللاسلكية تستخدم الاسم الافتراضي لـSSID بنسبة 36 في المائة وعدم تغيير الـSSID الافتراضي يتيح للمخترق فرصة معرفة اسم الجهاز المستخدم للشبكة اللاسلكية ومن هذا الباب يستطيع تخمين كلمات المرور الافتراضية بنسبة 66 في المائة وكشفت الدراسة أن الكثير من المستخدمين يعتمدون على أنواع ضعيفة من التشفير مثلWEP والتي يمكن كسرها بسهوله باستخدام برامج خاصة بنسبة 67 في المائة. إضافة إلى أن بعض المستخدمين لا يولون اهتماما بأمن الشبكات اللاسلكية، وشبكاتهم تكون مفتوحة للجميع بنسبة 64 في المائة وعدم مراقبة مدير الشبكة أو صاحب الشبكة للتردد والبث اللاسلكي (مع أنه يمكن أن يحصرها داخل نطاق عمله أو منزله أو نطاق عمل الشبكة المفترض)، ويمكن للمخترقين والعامة من خارج بيئة عمله أو منزله التقاط إشارة الشبكة 100 في المائة.
وكشفت الدراسة أن 63في المائة من المستخدمين يغير اسم الشبكة إلى أسماء أو أرقام هواتف تساعد المخترق على جمع معلومات عن الهدف واستخدام ما يسمى بـالهندسة الاجتماعية Social Engineering لهذا الغرض.
وفي هذا السياق حذر المهندس العمراني من إهمال تطبيق الإجراءات الأمنية لحماية الشبكات اللاسلكية من الاختراق، موضحاً أهمية الشبكات اللاسلكية المحلية حيث تمثل تقنية واسعة الانتشار نظراً لما تقدمة من دعم لجميع المميزات التي تقدمها الشبكات السلكية التقليدية مفيداً أن للشبكات اللاسلكية قواعدها ومعاييرها التقنية التي تسهم في استقرار هذه التقنية وبالتالي الاعتماد عليها في الإنتاج في مختلف بيئات الأعمال وخصوصاً مع سهولة استخدامها ونقاط الوصول Access Point المنخفضة إضافة إلى دعم الشبكات اللاسلكية في معالجات الأجهزة المحمولة واتساع هذه التقنية حيث لا يكاد يخلو منزل أو منشأة من نقاط الوصول للشبكات اللاسلكية.
وشدد العمراني على أهمية العناية بتطبيق الإجراءات الأمنية لحماية الشبكات من خلال استخدامها بطرق ومعايير أمنية حيث يعرض بيانات المستخدم والأنظمة المتصلة بالشبكة اللاسلكية لمخاطر كبيرة من المخترقين والمتسللين إلى داخلها.
وأفاد العمراني أن عددا من الإجراءات التي يجب تطبيقها لحماية الشبكات اللاسلكية للأفراد والمنشآت وأهمها حماية نقطة الوصول باسم مستخدم وكلمة سر معقدة كما ينبغي التنبه إلى أن نقاط الوصول الجديدة تكون محمية بكلمة سر متعارف عليها من قبل الشركة المصنعة، لذا يجب على المستخدم المبادرة بتغيير كلمة السر تفادياً لدخول أحد المتسللين إلى الشبكة والتحكم بها من خلال تغيير إعدادات نقطة الوصول وتكون كلمة السر مناسبة تتكون من لا يقل عن سبع خانات على أن تكون خليط بين الحروف والأرقام، مضيفاً أن إجراءات أخرى لحماية الشبكات ومنها تشفير الشبكات اللاسلكية حيث إن هناك أكثر من نظام أو ما يسمي بروتوكول التشفير منها WPA أو WPA2. كما يجب تغيير معرف الشبكة اللاسلكية SSID بحيث لا يدل على نوع نقطة الوصول أو مكان وجودها فالمعرف الافتراضي في نقاط الوصول الجديدة يدل على نوع نقطة الوصول والشركة المصنعة لها مما يتيح للمتسللين فرصة مهاجمة نقطة الوصول والسيطرة عليها باستغلال الثغرات الخاصة بنوعها، كما يوصي أيضا بتعطيل خيار الإعلان عن معرف نقطة الوصول Broadcasting SSID وأوضح العمراني عن أفضلية وضع نقطة الوصول في مكان مناسب بحيث تضمن تغطية المكان المراد وتقليل نسبة تسرب الذبذبة خارج النطاق المطلوب لأن وضعها في مكان قريب من أحد جوانب المنزل أو المنشأة يقوي الإشارة في تلك الجهة من خارج المنزل وبالتالي يكون بمقدور من هو خارج المنزل الاتصال بالشبكة والعبث بها، منوها إلى أن يتم توفير حماية أكثر من خلال تحديد قائمة مسبقة للأجهزة القادرة على الارتباط بنقطة الوصول وذلك من خلال تسجيل عنوان كرت الشبكة MAC في نقطة الوصول وشدد العمراني على أهمية تحديث نظم التشغيل نقطة الوصول Firmware وبطاقات الاتصال في الأجهزة drivers إلى آخر وأحدث النسخ المتوافرة وبين العمراني أهمية التأكد من موثوقية الشبكات اللاسلكية التي يتم الاتصال بها حيث يعمل بعض المخترقين إلى إنشاء شبكات وهمية على أجهزتهم لغرض خداع المستخدمين وسرقة معلوماتهم.
وألمح العمراني إلى أهمية إشراك القطاع الخاص في تقديم وتنفيذ الخدمات والاستشارات في مجال أمن المعلومات والأعمال الإلكترونية لتقديم خدمات تفيد جميع القطاعات ومن أهم الخدمات التي تقدمها إدارة أمن المعلومات لهذه الشركات لديهم وهي تقييم المخاطر واختبار قدرة الشبكات على الصمود أمام الاختراق وتقييم الثغرات، وتقييم أمن التطبيقات، وتقييم أمن الشبكات اللاسلكية، ومراجعة مخرجات التدقيق على أمن المعلومات، وتدقيق أمن المنشأة الفيزيائي وتطوير لوائح وإجراءات أمن المعلومات، وتصميم هيكلية أمنية للشركات، والتخطيط لاستمرارية العمل التجاري BCP التخطيط للنهوض من الكوارث DRP، ونظام إدارة أمن المعلومات ISMS، والخدمات الأمنية المستمرة. والاستجابة للحوادث وتحليل الأدلة الجنائية، ومن بين المشاريع التي قامت إدارة الأعمال الإلكترونية عبر شركته خدمات الرسائل القصيرة الـ sms وتقنيات الاتصال اللاسلكي والجوال المصرفي و جوال تداول الأسهم وخدمة إدارة المحتوى وغيرها من المشاريع الإبداعية التي قدمت للقطاعات البنكية والمالية والقطاع الحكومي وقطاع الاتصالات.
و" الحلول المتميزة" شركة مساهمة سعودية وبدأت بمزاولة أنشطتها بداية عام 2003 لمساعدة شركائها على تحقيق أهدافهم، ودعم صناعة تقنية المعلومات محلياً، وتطوير الخبرات والموارد الوطنية". ولمزيد من المعلومات حول الدراسة يمكن زيارة www.is.com.sa .