امن المعلومات و الامن السيبرانى - البداية

[0:00]الداتا من غير مبالغة، الداتا هي أكثر شيء قيم في عصرنا الحالي. زي ما اتكلمنا عن نقل البيانات في حلقة الـ IT واتكلمنا عن معالجة وتخزين البيانات في حلقة الكلاود كومبيوتنج. النهاردة هنتكلم عن الجزء الأكثر خطورة والأصعب. النهاردة هنتكلم عن أمن المعلومات. أهلا بكم.

[0:26]السلام عليكم يا شباب، يا رب تكونوا بخير، معكم أيمن محمد في حلقة جديدة من خمسة برمجة. النهاردة هنتكلم على أمن المعلومات والـ Cyber Security. بس قبل ما ندخل ونتكلم ونتعمق في الموضوع ده، يا ريت يعني لو أنت ما شوفتش الحلقة بتاعت الـ IT وحلقة الـ Cloud Computing تخلص الحلقة دي وترجع تشوفهم على طول. لأن الكلام اللي أنا هأقوله مبني نوعًا ما على بعض المفاهيم اللي أنا قولتها في حلقة الـ IT وبعض المفاهيم اللي أنا قولتها في حلقة الـ Cloud Computing. فالصورة العلمية عشان تبقى واضحة معاك لازم تشوف الحلقتين دول. موضوع أمن المعلومات عشان كبير شوية هيبقى مقسم لأربع حلقات. من أول حلقة النهارده اللي هنقول فيها المفاهيم الأساسية، لحد آخر حلقة واللي هي الحلقة الرابعة اللي هنتكلم فيها عن الكورسات والروود ماب. بس عشان تبقى فاهم أساسًا الروود ماب دي بتتكلم عن إيه، لازم تبقى عندك بعض المفاهيم الأساسية ودي اللي إحنا هنغطيها في الثلاث حلقات في البداية من حلقة النهاردة. فـ يعني من غير كلام كتير بقى، لايك للفيديو وسبسكرايب للقناة وفعل جرس التنبيهات، ويلا بينا.

[1:19]أول فكرة عايزين نتكلم فيها النهاردة هي الفرق ما بين أمن المعلومات والـ Cyber Security. وتعالى كده مع بعض نحاول نشوف تعريف أمن المعلومات من كتاب الحكومة. أمن المعلومات هو العلم الذي يختص بدراسة أساليب حماية المعلومات والبيانات في كل الأماكن وبكل الطرق الممكنة. ده تعريف أمن المعلومات. طب إيه هو بقى الـ Cyber Security أو الأمن السيبراني؟ هو العلم الذي يختص بدراسة أساليب وبروتوكولات حماية المعلومات في الفضاء الإلكتروني. يعني بكل بساطة علاقة بين أمن المعلومات والـ Cyber Security تقريبًا زي العلاقة ما بين الـ Artificial Intelligence الـ AI والـ Machine Learning والـ Deep Learning. الـ AI هي الفكرة العامة وبعد كده في جزء منه اسمه الـ Machine Learning والـ Deep Learning. بكل بساطة عندنا حاجة اسمها أمن المعلومات و بداخل أمن المعلومات في جزء يختص بالـ الفضاء الإلكتروني أو الـ Cyber Security أو الأمن السيبراني. طيب، حلو أوي. تعالى بقى ندخل في الكلام اللي بجد. دلوقتي أنا عندي مكان متخزنة فيه معلومات. إيه هي الحاجات اللي أنا دلوقتي كراجل بتاع أمن سيبراني أو بتاع Cyber Security اللي أقدر أعمله في البيانات دي عشان يتّقال عليها مؤمنة؟ عشان يتّقال عليها البيانات دي آمنة. عشان البيانات يتّقال عليها مؤمنة أو آمنة لازم يتوفر 3 شروط. Confidentiality, Integrity, Availability. يعني إيه الثلاث حاجات دول؟ Confidentiality يعني السرية، Integrity يعني السلامة، Availability يعني التوافر. يعني بكل بساطة الداتا بتاعتك دي عشان تقدر تقول عليها آمنة لازم يتوفر فيها أنها تكون سرية مش أي حد يقدر يوصل لها. لازم تكون سليمة يعني مش ناقصة. لازم تكون متاحة للشخص المخول له الوصول لهذه الداتا. لازم الثلاث شروط دول يبقوا متوفرين في الداتا بتاعتك عشان تقدر تقول الداتا دي آمنة وما حصلهاش أي نوع من أنواع التشويه أو الاختراق أو التلاعب. التلاعب ده في بلاوي زرقاء، هنتكلم عليها بعدين. المهم، السرية أو الـ Confidentiality بكل بساطة نقدر نقول عليها زي الباسورد. الباسورد هو شكل بسيط جدًا من أنواع السرية على الداتا. لو أنت معكش باسورد مش هتقدر تشوف الداتا دي عبارة عن إيه، بسيطة جدًا، أو مش هتقدر تعمل Access على هذه الداتا، بسيطة جدًا. الـ Integrity أو سلامة الداتا نقدر نديها مثال الهاش. فاكر حلقة البيتكوين؟ مهمة جدًا أنصحك تشوفها، كمان قولت لك بكل بساطة أن تعدين البيتكوين هو أن إحنا نقدر نجيب الهاش الصحيح. الهاش الصحيح ده هو اللي هيدينا العملة الإلكترونية بتاعتنا. الهاش بكل بساطة هو نقدر نقول عليها هو مفتاح مشفر للداتا يضمن الداتا بتاعتك توصل كاملة. يضمن أن الداتا بتاعتك توصل كاملة ومن غير نقص ومن غير تلاعب، يعني من غير ما يتبدل فيها حاجة، بسيطة جدًا. الحاجة الثالثة وهي الـ Availability، الـ Availability أن الداتا تبقى متاحة. يا حلاوتك لما الداتا تبقى سرية، بس سرية أوي. ما حدش يعرف يوصل لها خالص، حتى الأشخاص اللي هم مسموح لهم يوصلوا لها. يبقى بكل بساطة المشكلة بين حاجتين، دائمًا المشكلة بتبقى بين حاجتين دول هي السرية، الـ Confidentiality، والـ Availability، التوافر. إحنا ما ينفعش نعمل غرفة مصمتة متقفلة من كل حتة. دي سهلة ما فيهاش مشاكل، المشكلة دائمًا أن الغرفة بتاعتنا اللي فيها الداتا بيبقى فيها باب والباب ده مفروض يعدي حد. بكل بساطة معاه مفتاح أو معاه باسورد، طب ينفع شخص يسرق الـ ID دي أو يتنكر على أنه شبه الشخص المفروض يدخل الغرفة دي ويدخل؟ آه، زي ما أنت فكرت كده، الكلام ده هنتكلم عنه في حلقة الـ Hacking. الفيروس ده مشهور جدًا اللي هو التروجن. حصان طروادة. يبقى دلوقتي إحنا فهمنا الثلاث حاجات اللي لو حصلت نقدر نقول عليها الداتا دي مؤمنة، ولو فيها حاجة غلط نقدر نقول عليها الداتا دي مش مؤمنة. إيه هي بقى الأماكن اللي ممكن تتسرق منها الداتا؟ الداتا ممكن تتسرق من ثلاث أماكن، يا إما من الـ Sender يا إما من الـ Destination أو الـ Path. الـ Sender يعني هو الجهاز اللي بيبعت الداتا، الموبايل بتاعك مثلًا. الـ Destination هي الوجهة اللي بتوصل لها الداتا. الـ Path هو كل الـ Nodes أو كل الأماكن اللي الداتا دي بتعدي عليها في الطريق. من أول الراوتر بتاعك اللي في الأوضة الثانية للشركة القمر الصناعي لتليفون صاحبك، كل ده يعتبر Path وكل نقطة من النقاط دي على الطريق ده ينفع الداتا تتسرق منها أو يتم التلاعب بها أو التصنت عليها من الثلاث أبواب اللي إحنا قولناهم. يا إما الهاكر يقدر يدخل من حتة الـ Confidentiality يقدر يشوف الداتا، كسر حتة السرية، أو يقدر يتلاعب في الداتا أو ينقص منها حتة الـ Integrity، أو بكل بساطة يمنع الشخص الثاني أن هو يوصل لها من حتة الـ Availability. الداتا توصل له متشفره، مش مفهوم منها حاجة. فيروس مشهور جدًا، هنتكلم عنه بعدين. عايزك بقى إيه؟ تصحص كده وتركز معايا لأن بدأنا نتقل في المفاهيم. يبقى دلوقتي عندنا ثلاث أماكن لازم نأمنهم كويس، والثلاث أماكن لو أنت هاكر هتقدر تدخل منهم. وعندك ثلاث مفاهيم ولو أنت هاكر هتقدر تتعمل مع الـ Concepts أو المفاهيم دي. إيه بقى حتة الـ Permissions أو الأذونات؟ الكبير وصل. بص يا معلم، كل حاجة أو خلينا نقول الكور بتاع الـ Cyber Security هو الـ Permissions الأذونات. Did you allowed to access this data? هو السؤال ده، ركز معايا يا معلم، أنت بكل بساطة مسموح لك أنك تـ Access الداتا دي أو مسموح لك أنك تشوف الداتا دي، دائمًا كل الموضوع بيتعلق بالأذونات. لأن الثغرة الكبيرة كلها في موضوع الـ Cyber Security هي مشكلة بين حاجتين. توافر الداتا وسرية الداتا. الداتا إحنا عايزينها تبقى سرية بس متوفرة في نفس الوقت، بسيطة جدًا ودي الـ General Problem بتاعتنا في الـ Cyber Security كله. بص، الـ Cyber Security عامة هو دراسة أساليب وبروتوكولات، يعني إيه؟ يعني أنت هتدرس أساليب وطرق عشان تقدر تنفذها بأيًا كان كان السيستم اللي أنت بتشتغل عليه. الطرق أو الأساليب دي تقدر تنفذها عشان عشان تقدر تأمن الداتا بتاعتك. زي مثلًا الـ Firewalls بأنواعها أو الجدار الناري اللي دائمًا بيتم استخدامه مع البيانات الحساسة جدًا اللي هي لو اتكشفت لشخص، هتبقى مصيبة. وهنتكلم عن الطرق اللي أنت بتأمن بها الداتا في حلقة خبير الأمن السيبراني. هنتكلم عن الفيروسات وأنواعها وطرق الاختراق وطرق التلاعب والـ Manipulation في حلقة الـ Hacking أو حلقة الـ Hackers. وهنا أنا متأكد أن أكيد في سؤال في دماغك. هل أنا لازم أوفر الثلاث شروط دول؟ سرية والسلامة والتوافر كلهم؟ دي شيء صعب يعني مش منطقي أو شيء بيفتح ثغرات كتيرة جدًا، الموضوع بيبقى يعني متفتح من كل حتة. لا، أنت مش لازم تركز عليهم كلهم، في الواقع أنت مش صح أن أنت تركز عليهم كلهم. أنت دائمًا بيبقى عندك جزء معين بتركز عليه، هو الجزء المعين ده بتاع الداتا بتاعتك. يعني مثلًا في الانتقالات أو التعاملات البنكية بيركزوا على حاجتين، بيركزوا على الـ Integrity السلامة بتاعت الداتا، وبيركزوا على الحاجة الثانية وهي السرية. السلامة بتاعت الداتا لأن دي فلوس يعني لو رقم بيتغير أو رقم جه ناقص فأنت هتسب شخص ينفع تعمل فيه مشكلة. والحاجة الثانية وهي السرية، ما حدش يطلع على حساب الشخص ده. بس حتة الـ Availability دائمًا بتبقى مش مركزين عليها أوي في الأنظمة البنكية. ممكن في بعض الحسابات البنكية أنت عشان تطلع على حسابك لازم تروح البنك ذات نفسه أو لازم تعمل خطوات كتيرة جدًا عشان تقدر تشوف الحساب البنكي بتاعك. فالنقطتين اللي دائمًا بيبقى فيهم شغل مثلًا في موضوع الحسابات البنكية هما الـ Integrity والـ Confidentiality. ده مثلًا على عكس كل شغل السوشيال ميديا اللي بيركزوا على حاجتين اللي بيركزوا على الـ Availability السهولة في الـ Access بتاعت الداتا دي وبيركزوا على الـ Confidentiality السرية بتاعت الداتا. بس الـ Integrity مش مهم أوي، يعني بكل بساطة الرسالة أو المكالمة بتاعتك ما حدش يتصمت عليها وبكل بساطة الشخص الثاني يقدر يشوف الرسالة بسهولة، بس مش مشكلة لو جات ناقصة. وده بيحصل يعني كان زمان كتير أوي في التليفونات القديمة ولحد دلوقتي بيحصل على فكرة في الواتساب وبيحصل في الماسنجر. بيحصل شوية Bugs كده، لأن هم بكل بساطة حاطين الباور بتاعتهم كلها بيستخدموا أكثر الأساليب في أن هم الداتا ما حدش يتفرج عليها أو الداتا ما حدش يعمل لها Access غيرك والداتا تبقى سهلة للشخص الثاني يوصل لها مش هيهات متشفره، بس مش مهتمين أوي بموضوع السلامة. بس موضوع سلامة الداتا أو أنها توصل كاملة، تكتب رسائل إلكترونية فأنت يعني أكيد هتفهم الصياغة بتاعت الموضوع. ده مش معنى كده أن هم مطنشين خالص، لا أنا بتكلم على توزيع الباور، هنتكلم عن توزيع الباور ده لأنها فيها علاقات رياضية شوية. يعني مثلًا لو أنت زودت الـ Levels أو زودت الـ Layers بتاعت التعقيد في موضوع الـ Confidentiality موضوع السرية بتاعت الداتا، غصبًا عنك هتضطر تقلل في موضوع بتاع الـ Availability، الداتا مش هتبقى متاحة بسهولة. لأن أنت دلوقتي لو أنت زودت في موضوع الـ Confidentiality يعني زودت في موضوع السرية فأنت هتحط باسورد على باسورد، هتـ Confirm مثلًا تأكيد برقم التليفون وتأكيد مش عارف بإيه وتأكيد مش عارف إيه. التأكيدات دي كلها هتضمن سرية الداتا بالتأكيد ولكنها من ناحية ثانية هتقلل من حتة أن هي الداتا تبقى Available لكل الناس أو حتى Available ليك أنت. يعني أنت دلوقتي لو أنت ضيعت مفتاح من المفاتيح اللي معاك الداتا مش هتبقى لك Available أساسًا. آخر نقطة هنتكلم فيها وهي أنظمة التشغيل أو الـ Operating System. الحاجة اللي إحنا هنبني عليها الثلاث مفاهيم بتوعنا أو الحاجة اللي إحنا هنبني عليها ثلاث مفاهيم والحاجة اللي إحنا هنخزن فيها الداتا. طيب الـ Operating System هو نوعًا ما أساسًا الـ Operating System ده موضوع مهم جدًا طبعًا هو الأشهر والأكثر استخدامًا هي الـ Kali Linux. سؤال، ليه ليه معظم الناس اللي بيشتغلوا أمن السيبراني بيبقوا بيستخدموا الـ Kali Linux مثلًا أو بيستخدموا توزيعات Linux المختلفة ما بيستخدموش Windows أو iOS؟ بكل بساطة Windows أو iOS مأكدين جدًا في موضوع الـ Confidentiality والـ Integrity، عشان كده الـ Availability مش متاحة أوي للمطور. يعني السيستم بتاع Windows و iOS مشفر. أنت كمطور ما عندكش Access، ما عندكش Availability أنت تشوف الـ Access اللي أنت أن أنت تشوف كل أبواب هذا السيستم. عشان كده ما بيتمش استخدامه من قبل المطورين. أما بقى من ناحية ثانية، Kali Linux أكد على الـ Availability. أنت يا معلم معاك Access أن أنت تشوف السيستم أساسًا مبني إزاي وده نوعًا ما بيفتح الطريق من سكتين، لبتوع الأمن السيبراني وهم يسدوا كل الثغرات لأن هم شايفين السيستم كله. ومن ناحية ثانية لـ الهاكرز عشان هم يكتشفوا ثغرات جديدة. لو أنت اشتغلت على الـ Kali Linux قبل كده فأنت أكيد عارف ولو أنت اشتغلت على Windows فأنت أكيد عارف الشاشة دي شاشة الـ Command. الشاشة بتاعت الـ Commands أو الشاشة اللي أنت بتدي فيها الأوامر بتاعتك للسيستم. تكتب الأوامر بالطريقة الكتابية يعني هي بتعمل لك Access نقول على 10% من السيستم على حسب الـ User أو على حسب الـ Admin في السيستم ده ولا لا. فأنت عندك Access لحاجات بسيطة جدًا، حفاظًا على السرية بتاعت السيستم، حلو أوي. أما بقى لو أنت اشتغلت على الـ Linux في أي نوع من أنواع الـ Linux فأنت أكيد عارف الأمر الأشهر الـ Sudo. الـ Sudo بكل بساطة هو التنين المجنح اللي بيخليك تعمل Access على 100% من السيستم بتاع الـ Linux. حرفيًا أنت ينفع تتعمل مع كل الـ Permissions، تقدر تشوف كل الثغرات اللي عندك. أنا عارف الكلام اللي بأقوله دلوقتي قد يبدو General أوي ولكن زي ما أنا قولت، أن إحنا بنحاول نبني المفاهيم عشان بعدين لما أقول لك مصطلح ما دماغك ما تلفش معايا يعني. تعال نعمل ملخص بسيط عشان بس إيه نلم الدنيا. تكلمنا على الثلاث حاجات الأساسية Confidentiality, Integrity, Availability. تكلمنا بعد كده على الثلاث أماكن اللي الداتا ممكن تتسرق منها، قلنا الـ Sender والـ Path والـ Destination. وبعد كده اتكلمنا عن الـ Permissions، الأذونات، وبعد كده اتكلمنا عن توازن ما بين الـ Three Concepts السرية والسلامة والتوافر. واتكلمنا على مثال لأنظمة البنوك واتكلمنا على مثال لأنظمة السوشيال ميديا بتبقى إزاي، ولو أنت أكدت على حاجة وزودت Layers أو عقدت في شيء من الـ Three Concepts دول، غصبًا عنك هتضطر أنك تفقد شيء ثاني. لأن ما فيش سيستم مثالي، هو لسه ما تمش اختراعه يعني. تكلمنا بعد كده عن أنظمة التشغيل، ومن الحلقة اللي جاية بقى يا معلم بكل بساطة هي الأساليب والبروتوكولات اللي بيتم بها تأمين الداتا. دلوقتي فهمنا الأساسيات واستناكم الحلقة الجاية، ومش هأقول لك بقى لو الحلقة عجبتك لايك للفيديو وسبسكرايب للقناة وفعل جرس التنبيهات وأشوفكم الحلقة الجاية. سلام عليكم، باي.