ما هو ال SSL؟
هو عبارة عن اختصار لكلمة “secure socket Layer “ بروتوكول يقوم بتشفير البيانات المنتقلة من وإلى متصفح الانترنت و الخادم “server” باستخدام مفتاحين للقيام بعملية التشفير ، المفتاح الأول وهو مفتاح عام “public key” يقوم المفتاح الأول بتشفير العملية “http transaction” ، ويقوم المفتاح الثاني وهو مفتاح خاص ”private key” يمكن الحصول على مزيد من التفاصيل من هنا

عندما تقوم بزيارة موقع مثل الموقع الخاص ب amazon.com وتقوم بتسجيل عملية الدخول ستلاحظ أن العنوان يبدأ ب HTTPS وهو عبارة عن برتوكل HTTP عبر SSL. ولكن كيف يمكنك أن تتأكد من أن الموقع هو بالفعل لأمازون؟ الجواب من خلال الشهادات. الشهادات يمكن الحصول عليها من جهة ثالثة متفق عليها مثل Verisgin تثبت للمستخدم أن الموقع بالفعل لأمازون. ولكن يمكن لمدير الموقع إنشاء شهادة خاصّة بموقعه تسمح لزوّاره بتأمين اتصالهم بخادمه. المدير هنا لا يحتاج إلى طرف ثالث من أجل اثبات أنه بالفعل نفس الشخص. (خصوصاً في المواقع ذات الطبيعة غير التجاريّة. . (مثل خدمة SVN وسيأتي إن شاء الله في تدوينة لاحقة شرح استخدامها مع ssl)

هذه التدوينة ستشرح إن شاء الله الخطوات المطلوبة لاصدار وتثبيت شهادة سواء من طرف ثالث أو من نفس الشخص. وهي تفترض أنّ الخادم لديك بستخدم توزيعة ابنتو وتمّ تثبيت اباشي عليه.

الخطوة الأولى هي إنشاء المفتاح الخاص بك:

openssl genrsa -des3 -out mtafran_com.key 2048

هذا الأمر معناه استخدم مولد مفاتيح rsa وقم بوضع حماية عليه باستخدام des3 لتوليد مفتاح وخزنه في ملف اسمه mtafran_com.key بطول 2048 (للمفتاح).

الان سنستخدم هذا المفتاح في عملية إنشاء طلب شهادة.

openssl req -new -key mtafran_com.key -out mtafran_com.csr

الملف ذو الامتداد csr ( SSL Certificate Signing Request) يتم ارساله إلى الطرف الثالث (مثلاً verisign) ليتم استخدامه في اصدار الشهادة للموقع (أو ملف ال crt)

قبل اصدار الملف سيتم سؤالك بضعة أسئلة عن الدولة والبلد والشركة والدائرة (داخل الشركة في الغالب دائرة التكنولوجيا) والاسم كالتالي

Enter pass phrase for mtafran_com.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:NA
State or Province Name (full name) [Some-State]:NA
Locality Name (eg, city) []:NA
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Mtafran
Organizational Unit Name (eg, section) []:IT
Common Name (eg, YOUR name) []:Ba7eth
Email Address []:email@mtafran.com
تم حذف بعض المخرجات لتسهيل العرض

لاحظ أنّه قد تمّ سؤالنا عن كلمة المرور التي استخدامها كحماية للمفتاح. وأخيراً تعطى الخيار بوضع كلمة مرور لملف ال csr يمكنك تركه فارغاً بضغط مفتاح الدخول.

إذا أردنا أن نصدر شهادة موقّعة ذاتيّاً نقوم بتنفيذ الأمر التالي:

openssl x509 -req -days 365 -in mtafran_com.csr -signkey mtafran_com.key -out mtafran_com.crt

ومعناه أصدر شهادة باستخدام معيار x509 صالحة لسنة (365 يوماً).

لاحظ استخدام المفتاح و الطّلب لاصدارة الشهادة.

ملاحظة: في حالة قمنا باصدار شهادة لموقع mtafran.com مثلاً ونريد التّأكد من كون الشهادة قم تمّ تظمينها بالفعل قبل تضمين الشهادة في خادم الويب تمهيداً لنشرها نقوم بتنفيذ الأمر التالي:

openssl x509 -text -noout -in mtafran_com.pem

لتثبيت المفتاح والشهادة لاستخدامها في أباشي:

الطريقة التي افضّلها هي عملية جمع الملفين في ملف من نوع pem كالتالي

cat mtafran_com.key mtafran_com.crt > mtafran_com.pem

ثم انسخ الملف في

cp mtafran_com.pem /etc/ssl/certs

بعدها افتح الملف الافتراضي
vi /etc/apache2/sites-available/default-ssl

وتأكد من ان تكون اعداداتك كالتالي

SSLEngine on
SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
SSLCertificateFile /etc/ssl/certs/mtafran_com.pem

بعد ذلك نحتاج إلى تفعيل منفذ 443 من خلال

echo "Listen 443" >> /etc/apache2/ports.conf

ثم تفعيل الوحدة التالية

a2enmod ssl

ثم تفيعل الموقع الافتراضي لل SSL
a2ensite default-ssl

انتهى الان اعد تشغيل اباشي
/etc/init.d/apache2 restart

ملاحظة: أباتشي سيقوم بسؤالك عن كلمة المرور الخاص بالمفتاح لإكمال عملية إعادة تشغيله مع الشهادة.
ومن ثم زر الصفحة للتّاكد من أنها تعمل

https://mtafran.com

قبل البدء في المقارنة أود الإشارة إلى أنّه لا يوجد شهادة قط تعادل الخبرة، ولكن الكثير من أماكن العمل تطلب هذه الورقة المسمّاة شهادة. ولذلك حاول الإلتحاق بدورة في مركز يوجد به أشخاص كفء للتدريب ويمتلكون بالإضافة إلى شهادة ما خبرة عملية في مجال هذه الشهادة قبل ان تقوم بالتقدم للإمتحان، كذلك حاول أن تقوم بعمل تطبيقات وإنشاء مختبرك الخاص بك لهذا الغرض. سوف تستغرق عملية كهذه على الأقل ستة أشهر وهذا يعتمد بالدرجة الأساسية على مقدار الوقت الذي ستخصّصه للدراسة.

غالب الجوانب التي سأغطّيها في هذا الموضوع مبنيّة على خبرة شخصية في التعامل مع هذه الشهادات. ولذلك الرأي فيها يمثّل وجهة نظري الشخصيّة في الموضوع قبل أي شيء آخر.

Security+ من CompTIA
هذه الشهادة تعد شهادة محايدة بمعنى أنها غير تابعة لمنتج أو شركة معنية. الإمتحان يغطي خمس مجالات وهي:
1- أمن الإتصال.
2- أمن البنية التحتية.
3- التشفير.
4- أمن العمليات.
5- مبادئ عامة.
الشهادة معروفة في السوق ولكن مشكلتها تكمن في أنها بدائية تتناول مواضيع عديدة بقليل من التفصيل والاهم من ذلك أنّه لا يوجد أي جانب عملي في المعلومات المطروحة. فهي نظريات في الأمن وفقط. هي وسيلة “تثبت” ان الشخص حامل هذه الشهادة يفهم المصطلحات والمبادئ الامنية. ولهذا فعلى الشخص الذي يريد التخصص أكثر البحث عن شهادة اخرى سواء كانت سيسكو أو ويندوز أو غيرها. المفيد في هذه الشهادة هو أنك إذا توجهت نحو MCSE + Security ستوفر عليك أخذ كورس من كورسات المسار. الإمتحان يحتوي على 100 سؤال متعددة الخيارت، مدّته تسعون دقيقة علامة النجاح هي 764 وستظهر النتيحة حال إنتهائك من الإمتحان.

CISSP
Certified Information Systems Security Professional
واحدة من أكثر الشهادات شهرة في مجال أمن المعلومات. هذه الشهادة تغطي 10 مجالات في أمن المعلومات وتعتبر إدارية أكثر منها عملية ولكن الشخص المتقدم للامتحان يحتاج إلى خمس سنوات خبرة.
المجالات التي يتم تغطيتها في الشهادة هي:
1- التحكم بالوصول.
2- أمن التطبيقات.
3- استمرارية العمل و التخطيط للاسترجاع بعد الخراب.
4- التشفير.
5- امن المعلومات وإدارة المخاطر.
6- القوانين والتحقيقات.
7- أمن العمليات.
8- أمن البيئي.
9- أمن التخطيط والتصميم.
10- الإتصالات وأمن الشبكات.

متطلبات الشهادة:
1- خمس سنوات خبرة أو أربع سنوات خبرة وسنة جامعية أو شهادات أخرى من منظمات أخرى.
2- قبول الكود الأخلاقي ل CISSP.
-3 الإجابة على أسئلة حول الخلفية وتحديداً الجنائية للمتقدم.
4- مصادقة شخص حامل للشهادة على خبرات الشخص المتقدم.

الشهادة صالحة لثلاث سنوات فقط وبعدها على حامل الشهادة تقديم الإمتحان مرّة اخرى. أو الحصول على تدريب او المشاركة في تدريب او إعداد أبحاث في مجالات الشهادة يحصل من خلالها حامل الشهادة على نقاط تعرف ب CPE أو Continuing Professional Education إذا حصل الشخص على 120 نقطة مع نهاية الثلاث سنوات فبإمكانه تجديد الشهادة من إعادة الإمتحان.

امتحان CISSP غير سهل بالمرّة ولكن بالدراسة يمكن اجتيازه. عدد أسئلة الإمتحان 250 ومدّته ستة ساعات. للنّجاح على الممتحن الحصول على 700 نقطة على الأقل. الإمتحان يعطى على الورق وليس على الحاسوب والنتيجة تظهر بعد أسبوعين على الأقل من يوم تقديم الإمتحان.

C|EH
Certified Ethical Hacker
اكتسب هذه الشهادة الكثيرة من الشهرة كونها من أوائل الشهادات التي طرحت في هذا المجال واعتمدت على الجانب التطبيقي في العديد من مساراتها. ولكن هناك الآن العديد من الشهادات التي تنافس وبقوة هذه الشهادة. آخر نسخة من هذه الشهادة هي الإصدارة السادسة والتي تحتوي على تعديلات هائلة إذا ما قورنت بالإصدارات السابقة. ولكن نظراً كثرة الحاملين لهذه الشهادة وتوفر نسخ من الإمتحان على مواقع مثل TestKing فسوف تتأثر مكانة هذه الشهادة في المستقبل القريب لتصبح مثل شهادات مايكروسوفت وسيسكو. (يستثنى من ذلك الشهادات المتقدمة مثل CCIE).

ميزة هذه الشهادة انه تثبت أن لديك معرفة بأساليب الهاكرز وأدواتهم المستخدمة. ولكن عيب كبير فيها ان التركيز في غالبه يتم على الادوات والعديد من الادوات المستخدمة قديمة للغاية ولم يعد لو وجود أو استخدام حقيقي. حجم المادة المطروحة والعدد الكبير لل Modules مقارنة بعدد أيام التدريب يجعل التغطية العملية للأدوات المطروحة سطحي نوعاً ما. ولذلك المختبر الخاص مهم جدّاً هنا للتعرف على تفاصيل أكثر والقيام بتجارب أكثر.
عدد أسئلة الإمتحان هو 150 تقدم في 4 ساعات ونصف في الدول غير الناطقة بالإنجليزية. وعلامة النجاح المطلوبة هي 70%.
OSCP
Offensive Security Certified Professional

بصراحة التدريب الذي يسبق هذه الشهادة رائع بمعنى الكلمة والشرح المرافق أكثر من رائع. التركيز هو على الجانب العملي بشكل كبير جدّاً يتم الشرح بشكل بسيط للمبادئ مع إعطائك مصادر (في الغالب من الويكي) للقراءة أكثر حول الموضوع. ما ستتعلمه في التحضير لهذه الشهادة يفوق بمراحل ما يمكن تعلمه في شهادة ك C|EH.

SANS GPEN
GIAC Certified Penetration Tester

إذا كان المجال الذي ترغب بالعمل فيه هو penetration testing فهذه هي الشهادة التي تحتاج إليها. SANS معروفة بكورساتها المركزة والمحتوى المفيد جدّاً في كل مجالات أمن المعلومات. مع طاقم رائع وممتاز جدّاً من المدرّبين أمثال Ed Skoudis. مدة التدريب هي ستة أيام تغطي كل ما تحتاج إلى معرفته ك pen tester. الأيام الخمس الأولى موزعة كالآتي:
اليوم الاول: يغطي التخطيط و مجال الإختبار والجوانب القانونية والإدارية وختماً عملية تفحص الهدف.
اليوم الثاني: يغطي عملية المسح.
اليوم الثالث: يغطي عملية استغلال الثغرات.
اليوم الرابع: هجمات كلمات المرور.
اليوم الخامس: الشّبكات اللاسلكية وتطبيقات الويب.

وأخيراً اليوم السادس وهو اليوم الذي على الدارس القيام فيه بتطبيق كل ما تعلّمه في الأيام الخمس الأولى في مسابقة أمسك العلم. جانب مهم جداً في هذه الشهادة هو التركيز على الأدوات التي فعلاً يحتاج إليها المختبِر وليس مثل C|EH في عرض عشرات الأدوات لكل مهمة من المهمات. الجانب السيء في هذه الشهادة هو التكلفة العالية للامتحان إذا تم التقدم إليه بدون تدريب. الإمتحان رغم أنّه يسمح لك بإدخال الكتاب فيه (كتب التدريب) ولكن عدد الأسئلة وصعوبة الإمتحان تجعل من عملية البحث عن الأجوبة في الوقت المحدد غير سهلة ولا عملية. أجمل ما في هذا الإمتحان هو عدم وجود TestKing ولا Pass4Sure. المتقدّمين لشهادات ال GIAC عليهم إعادة تقديم الإمتحان مرة كل أربع سنوات وذلك للتّاكد من أنّهم متبعون للجديد في مجال أمن المعلومات.

عدد أسئلة الإمتحان هو 150 تقدم في 4 ساعات وعلامة النجاح المطلوبة هي 70%.

نصيحة أخيرة. أنت أخي الباحث أختي الباحثة هو من يعرف احتياجات سوق العمل لديه وكذلك مجال اهتمامه أين ولذلك أنت من يقرر أي هذه الشهادات أو غيرها هو الأفضل لك. هذه فقط محاولة لتسليط الضوء على بعض أشهر الشهادات الموجودة في السوق.

أسأل الله أن ينفعكم بهذه المعلومات. لا تنسوا أهل غزة من دعائكم.

أخيراً أرجو ذكر المصدر (باحث عن المعرفة) عند النقل.

وهناك شهادات أخرى مثل CEH تغطي مواضيع واسعة تحتاج إلى خبرة عملية طويلة تغطى في فترة قصيرة جداً وتعتمد بدرجة أساسية على أدوات. كيف يستخدم الطالب هذه الأداة؟ ما فائدة هذه الأداة؟ وغير ذلك. قد تبدو هكذا شهادات للوهلة الأولى على أنها مهمّة ومفيدة ولكن في رأي هي ليست كذلك تماماً. فأغلب الأدوات الموجودة في مختبرات هكذا شهادات تحتاج منك إلى تعطيل برنامج مكافحة الفيروس لديك وحتى إلى تعطيل الجدار الناري وتتعدى ذلك إلى تعطيل بعض الخصائص الهامة في النظام حتى تعمل هذه الأدوات. ثم يقوم الطالب بتجريبها ويستطيع اختراق النظام (الغير محمي) ليشعر أنه قد تعلم وتطبق وأصبح لديه خبرة في هذا المجال ومعه شهادة تثبت ذلك. يذهب هذا المسكين بشهادته إلى شركة ليقتنعهم بأنه لديه خبرة في مجال أمن المعلومات وحاصل على شهادة راقية في هذا المجال.

الشركة توافق بعد دراسة على أن يقوم هذا الشخص بفحص شبكتهم والتأكد من أنها محمية بشكل جيد. يبدأ الشخص يومه بتطبيق ما تعلمه في الدّورة ليجد أن غالب إن لم يكن كل الادوات التي تعلمها لا تعمل (وهذا ليس غريباً). عندها هو أمام أمرين إمّا أن يقوم بإبلاغ الشركة أنّ فصحه قد تمّ وأنّ الشبكة محمية بشكل ممتاز وهذا غير صحيح (لأن الأدوات المستخدمة في العملية قديمة). وإمّا أن يبدأ بعملية بحث عن أدوات أخرى أو يبدأ بطرح أسئلة هنا وهناك عن الخطوة التالية. والنتيجة في كلا الحالتين فاشلة.

الاختراق ليس كما يظنّه كثيرون في منطقتنا العربية عبارة عن تدمير موقع (طبعاً في الغالب ما يتم تدميره هو الصفحة الرئيسية فقط) أو سرقة بريد الكتروني. وأمن المعلومات ليس فقط تأمين خادم من خلال إجراء تحديث، أو وضع جدار ناري أو ترقية لبرنامج مكافحة فيروس، أمن المعلومات هو عملية شاملة مستمرة جزء منها حماية الشبكة والخادم ولكن في جزء آخر حماية المستخدم نفسه كونه في كثير من الاحيان هو الحلقة الأضعف في الحماية. وإدارة هذه العملية أمر ضروري من أجل نجاحها.

نعود إلى الشهادات والدّارسين والمعاهد التي تدّعي أنها رائدة في هذا المجال. هل تدريب الطالب على استعمال أدوات غالبها لم يعد يعمل اليوم أو يعمل في شبكات محدودة جداً جداً؟ لماذا لا يتمّ تدريبهم على أحدث الأدوات والتقنيات المستخدمة بدلاً من اجترار الماضي بالحديث عن أداة كانت مشهورة وقت كان ويندوز 2000 منتشراً في الشركات والمؤسسات.كذلك لماذا لا يتمّ تدريب الطلاب على كيف تعمل الاداة (داخلياً) وكيف يمكن صنع أداة مشابهة من خلال فهم النظام الذي يعملون عليه او يحاولون حمايته داخلياً. عملية البناء ستعطي الطالب فهم أعمق للنظام وآلية عمله وكيّفية بناء ادوات عليه.

الهاكرز تقنياتهم تطورت بشكل مذهل وإذا استمرت طريقة تدريب خبراء أمن المعلومات بالطريقة الحالية فالمعركة حول أمن المعلومات ستكون خاسرة ولا شك.

حتى يكتمل الحديث أود أن أشير إلى أنّ هناك أدوات مهمة ولا بد للطالب أن يتعملها مثل nmap و metasploit وغيرها وهذا أدوات تتطور باستمرار ولا حاجة إلى إعادة صناعة العجلة من خلال بناء أدوات كهذه.

ارحب بأرائكم حول هذا الموضوع زوّاري المحترمين، وهذه دعوة لنقاش هادئ حول هذا الموضوع.