الوحدة 8
توثيق النتائج
آخر تحديث في: 15 يناير 2025
GitHub تعديل هذه الصفحة علىحالة استخدام
يمكن أن تكون هناك عدة أسباب لعدم قيام منظمات المجتمع المدني بالإبلاغ عن النتائج التي توصلت إليها أو مشاركتها، وقد يفتقرون إلى الوقت للقيام بذلك أو قد يقلقون بشأن مشاركة عينات البرمجيات الضارة أو مؤشرات الاختراق، أو قد يفتقرون ببساطة إلى الخبرة حول كيفية توثيق نتائج التحقيق في البرمجيات الضارة بشكل مسؤول، ويتناول هذا الموضوع الفرعي النقطة الأخيرة. قبل إكمال هذا الموضوع الفرعي، تأكد من أنك قد قرأت وفهمت بدقة المقالتين المكتوبتين (من قبل منظمة العفو الدولية/هيومن رايتس ووتش وبيلنيغكات) الموضحتين في الموضوع الفرعي 7.
الأهداف
بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:
- كتابة مقالة سريعة حول عملية التحقيق
- اختيار المؤشرات المناسبة للاختراق ومشاركتها بمسؤولية
- فهم أفضل السبل لنشر نتائج المقالة
العرض
أثناء التحقيق في البنية التحتية الضارة المرتبطة بحملة تصيد احتيالي معينة أو تهديد آخر من الضروري أن تُبقي ملاحظات مفصلة، فقد تنسى التفاصيل الصغيرة التي تبين أنها مهمة. علاوة على ذلك، من المرجح أن تقوم الجهات الفاعلة في التهديد بتغيير بنيتها التحتية (مثل إيقاف تشغيل الخوادم) أثناء تحقيقك. لذلك يجب أن تبقي ملاحظات حول ما تفعله وما تكتشفه. يجب أن تُضمن جميع المعلومات التي تجمعها بما في ذلك الأشياء مثل نتائج الاستعلام من نظام أسماء المجالات/هو إز ورسائل البريد الإلكتروني للمهاجم وصفحات الويب (المصدر الكامل ولقطات الشاشة)، وما إلى ذلك. ليست الصيغة الدقيقة لهذه الملاحظات ذات أهمية ولكن يجب أن تكون شاملة.
مع استمرار تحقيقك، سترغب في البدء بإبقاء ملاحظات تحليل مفصلة أكثر لتتبع النتائج المهمة التي توصلت إليها، ويمكنك أيضًا توثيقها في ملاحظاتك التفصيلية، ولكن من الجيد أيضًا تتبعها بشكل منفصل حيث من المحتمل أن تصبح ملاحظاتك التفصيلية طويلة جدًا وغير عملية. يجب أن تحتوي ملاحظات النتائج المهمة الخاصة بك على استنتاجاتك حول أجزاء مختلفة من البنية التحتية والصلات بينها. فكر في الأمر على أنه يحتوي على أشياء من المحتمل أن ترغب في الاحتفاظ بها في تقريرك النهائي. كما هو الحال مع ملاحظاتك التي لم تتم تصفيتها، ليست لصيغة هذه الملاحظات أهمية ولكن العديد من الأشخاص يحبون استخدام مالتيغو Maltego لتوثيق الصلات.
أخيرًا وبعد الانتهاء من تحقيقك يحين وقت كتابة تقريرك. يجب أن يحتوي التقرير على سرد واقعي لما حدث وللبنية التحتية المستخدمة بالإضافة إلى انطباعاتك واستنتاجاتك. بشكل عام، سيأتي هذا التحقيق نتيجة نوع من هجمات الهندسة الاجتماعية (عبر البريد الإلكتروني، والرسائل القصيرة، وواتسآب، وما إلى ذلك). سترغب في هذه الحالة بملاحظة أي استنتاجات توصلت إليها حول طبيعة الهجوم. هل كانت مستهدفة؟ إذا كان ذلك ممكنًا، هل يمكنك تحديد الآخرين الذين تلقوا الرسالة؟ ما هي التقنيات التي استخدمها المهاجم لمحاولة خداع الشخص المستهدف؟ حسب الجمهور، قد ترغب أيضًا في ملاحظة تصرفات الشخص المستهدف وأي استنتاجات توصلت إليها حول وعي المهاجم بالموقف. هل اتبعوا الروابط أو أدخلوا معلومات حساسة في مواقع الويب التي يتحكم بها المهاجمون أو قاموا بتنزيل المرفقات أو فتحها وما إلى ذلك؟ ما مدى احتمال خضوع تصرفاتك أنت والشخص المستهدف للتتبع؟ لاحظ أنه إذا أدخلت الضحية بيانات اعتماد أو فتحت برمجيات ضارة سيدعو الأمر إلى بذل جهد أعمق للتحقيق والمعالجة (تتجاوز نطاق مسار التعلّم هذا). بمجرد إنشاء تقرير ومشاركته مع عميلك (إن وجد) هناك بعض الأشياء التي يمكنك القيام بها باستخدامه:
- مشاركته مع زملائك من المدافعين الرقميين من المجتمع المدني
- نشره بصورة علنية يمكنك القيام بأحد هذين الأمرين أو كليهما. إذا كنت تعمل مع عميل تعرض جهازه للاختراق، فستحتاج بالطبع إلى التأكد من أنه مرتاح لمشاركة التقرير ومن الأفضل الحصول على موافقته كتابيًا.
إذا كنت عضوًا في منظمة مثل سيفي سيرت CiviCERT فهي من الأمكنة الرائعة لمشاركة النتائج التي توصلت إليها ومن المرجح أن يقرأ الأعضاء الآخرون تقريرك ويقدموا ملاحظات ويتخذوا إجراءات بناء عليه. يمكنك أيضًا نشر النتائج التي توصلت إليها على مدونتك أو في مكان ما مثل غيت هب CiviCERT وهو أمر يتطلب القليل من الجهد ولكن يمكن أيضًا أن يكون محدودًا في تأثيره. لكن قد يكون تقريرك لا يقدر بثمن لشخص يحقق في مجموعة بنية تحتية مماثلة.
اختبار مهارة
خذ إما إحدى رسائل البريد الإلكتروني الاحتيالية أو رسائل البريد الإلكتروني الضارة المستهدفة التي ناقشتها في الموضوع الفرعي 2 أو مجالًا وجدته على فيش تانك (PhishTank) (انتبه في حال كنت تحليل المجال وافترض أن جميع النطاقات المدرجة هناك ضارة). يمكنك أيضًا استخدام بريد إلكتروني أو نطاق قمت بتحليله في موضوع فرعي سابق. تخيل وخطط ما سيبدو عليه تقرير يصف الحملة الأوسع وراء رسائل البريد الإلكتروني هذه. بما أن التقرير لن تتم مشاركته مع أي شخص، لا تتردد في اختلاق بعض التفاصيل وبعدها اكتب بعض الملاحظات التي من شأنها تلخيص أو تفصيل هذا التقرير.
ناقش تلك الملاحظات مع نظير أو مُرشِد إذا كنت تتعامل معه. يجب عليهم التحقق من بعض الأشياء:
- هل تصف الملاحظات نوع الهجوم بدقة؟
- هل يحتوي التقرير على معلومات ويقدمها بطريقة يمكن أن تكون مفيدة للآخرين في مجال المجتمع المدني، على سبيل المثال من خلال تضمين مؤشرات الاختراق؟
- هل يلخص التقرير نتائجه بطريقة مسؤولة، على سبيل المثال عن طريق إزالة الضرر من عناوين مواقع الويب وحجب البيانات الحساسة حول الأشخاص المستهدفين؟
موارد التعلّم
(Maltego) مالتيغو
يوجد إصدار مجتمعي مجاني للاستخدام غير التجاري، في حين تبلغ تكلفة الإصدارات الاحترافية 999 دولارًا أمريكيًا سنويًايمكن استخدام مالتيغو لتمثيل النتائج بصورة مرئية وتسهيل تحديد الروابط بين المؤشرات المختلفة
اللغات: الإنجليزية
زيارة الموقععودة غوسيفر؟ حملة التصيد احتيالي على بروتون ميل استمرت لأشهر استهدفت العشرات من الصحفيين والمنظمات غير الحكومية التي تركز على روسيا
مجانًا(تمت مشاركته سابقًا في مسار التعلّم هذا) هذا تقرير دقيق جدًا عن حملة تصيد كبيرة. لا داعي لأن تشعر بالحاجة إلى كتابة تقرير بهذا التعمّق ولكن لا تتردد في الاستلهام منه
اللغات: الإنجليزية
زيارة الموقعإيران: قرصنة تدعمها الدولة ضد الناشطين والصحفيين والسياسيين
مجانًا(تمت مشاركته سابقًا في مسار التعلّم هذا) مقالة رائعة أخرى وملخص للتحقيق. مرة أخرى من المرجّح أن تكون مقالتك أقل شمولًا ولكن هذا مثال رائع
اللغات: الإنجليزية
زيارة الموقعتهانينا على إنهائك الوحدة 8!
حدد خانة الاختيار لتأكيد إكمالك والمتابعة إلى الوحدة التالية.
تحديد الوحدة الحالية على أنها مكتملة وحفظ التقدم للمستخدم.
🎉
تهانينا!
لقد أكملت جميع الوحدات في مسار التعلم هذا.