RSSجميع مواضيع الكاتب مجتمع الحماية

Cyber Talents اول منصة عربية لتوظيف المواهب في الأمن السيبراني عن طريق المسابقات والاختبارات التقنية

cyber-talents

العديد من المبرمجين في الوطن العربي قاموا بالمشاركة في مسابقات البرمجة الدولية التي تقام علي مستوي العالم سواء

كانت Google Jam اوFacebook Hacker اومسابقة ACM الشهيرة لطلبة الجامعات . يعلم المشاركون في هذه المسابقات انه بمجرد وصولك للمسابقة العالمية فان عروض التوظيف تنهال عليك من جميع الشركات العالمية بالاف الدولارت شهريا.وهذا امر طبيعي فكل طالب قد تم وضعه في اختبارت و تحديات عملية استطاع من خلالها اثبات نفسه واثبات مهاراته سواء علي نطاق جامعته او حتي بلده مما يجعل هذه المسابقات مقصد الشركات العالمية كل عام

ولكن يظل عدم وجود مسابقة قارية او عالمية بهذا الحجم في مجال الامن السيبراني هو مشكلة تحتاج الي حل. معتز صلاح وادهم محمد بداوا حملة تمويل جماعي علي موقع ذومال من اجل حل مشكلة النقص الحاد في العاملين بمجال الامن السيبراني عن طريق انشاء اول منصة عربية لتقييم وتوظيف المواهب في مجال الامن السيبراني من خلال المسابقات التقنية و اطلقوا عليها اسم Cyber Talents .

تقام الاختبارات التقنية التفاعلية سواء علي نطاق فردي او علي نطاق اقليمي . كل مستخدم لديه حسابه الخاص الذي يقوم من خلاله بحل مئات التحديات في مجالات الامن السيبراني المختلفة مثل امن الشبكات , امن المواقع , الهندسة العكسية , التشفير وغيرها الكثير. كلما استطاع كل مستخدم حل عدد اكبر من التحديات المختلفة كلما ارتفع ترتيبه علي المستوي الدولي او الاقليمي . عن طريق نفس المنصة سيكون من السهل علي الشركات التي تسعي لتوظيف هذه المهارات الوصول الي افضل الكفاءات بعد ان تم تقييمهم و مرورهم بهذه التحديات المختلفة. الهدف من Cyber Talents ان يكون هوالمجتمع الذي يجمع افضل المواهب في مجال الامن السيبراني علي مستوي الوطن العربي كبداية و علي مستوي العالم كخطوة ثانية .

بسؤال معتز صلاح مؤسس Cyber Talents قال ان الدافع الرئيسي لانشاء Cyber Talents هو ان الشركات تعاني من نقص شديد في ايجاد المهارات المطلوبة في هذا المجال و ليس بسبب نقص الافراد ولكن بسبب انه لايوجد وسيلة لربط اصحاب المهارات باصحاب الشركات. بالاضافة ان اساليب التوظيف الحالية لهذه الوظائف غير دقيقة ولاتلائم طبيعة العمل الذي يعتمد بالمقام الاول علي مهارات الشخص التقنية مما يجعل الشركات تعاني في ايجاد الشخص المناسب . فليس من المنطقي ان يمر المتقدم علي اختبارات لغة اجنبية لعدة ساعات و اختبارات موارد بشرية لعدة ساعات اخري ثم يكتفي الجزء التقني فقط بمقابلة مع مديره المباشراما لعدم وجود الاختبارات التقنية الكافية لدي الشركة التي قد تحتاج الي معمل و اجهزة وشبكة منفصلة و غيرها من البنية التقنية المكلفة او بسبب ان انشاء هذه الاختبارات يحتاج الي مهارة معينة ربما لا تكون موجودة في شركات التوظيف.

Cyber Talents هو مشروع فريد من نوعه في مجال الامن السيبراني ويهدف الي بناء جيل جديد من المواهب والمهارات تستطيع حماية البنية التحتية لاوطاننا العربية التي اصبحت تدارمعظمها اليكترونيا بدءا من محطات الكهرباء والمياه مرورا بمنظومة المواصلات و الطيران مرورا بالمنظومة البنكية والمصرفية التي تشتمل علي بطاقات الائتمان وغيرها . ومع تطور التكنولوجيا السريع في الخمس سنوات السابقة اصبح من الواجب علينا ان يواكب هذا تطورا مماثلا في مهارات الافراد و هذا مايحاول Cyber Talents توفيره.

المشروع سيبدا اطلاقه التجريبي بنهاية هذا العام و ويحتاج فريق العمل لدعمكم . لمعرفة التفاصيل عن المشروع و خطواته الضغط علي الرابط التالي :

https://www.zoomaal.com/projects/48486?ref=38627481

تعرّف على نادي امن المعلومات بجامعة الاميرة سميّة للتكنولوجيا

قامت جامعة الأميرة سميّة قبل أربعة سنوات بطرح برنامج لدراسة الماجستير في تخصص أمن المعلومات والجرائم الإلكترونية. ونظراً لأهميّة هذا المجال في وقتنا هذا، ورغبةً من الطُلاب بتطويره على مستوى الجامعة وخارجها، قام مجموعة من الطُلاب بإنشاء نادي جامعي علمي بعنوان “نادي أمن المعلومات”.

أسّس النادي في نهاية شهر نوفمر 2014 ويرأسه حالياً الطالب محمد زكريا، وينوب عنه شريكه المؤسس محمد الجولاني، هذا وقد إنطلق النادي وبكل فخر تحت إشراف الدكتور علي الشمري.

أعضاء النادي هم من طُلاب الماجستير تخصص أمن المعلومات والجرائم الإلكترونية في الجامعة، وكذلك طلاب البكلوريوس المهتمين في هذا المجال. كما ويجري دراسة إمكانية الإنتساب للنادي من المهتمين سواء طلاب أو باحثين من خارج الجامعة.

يهدف النادي إلى تكوين  مجتمع (Community)  لجميع المهتمّين في هذا المجال ودعمهم، من خلال تقديم الشروحات اللازمة، الكتب، المحاضرات الإضافية، ورشات العمل،  جلسات حوارية، الدورات والعديد من النشاطات الأخرى. كما يطمح النادي بأن يكونَ مرجعاً أساسياً للطلاب في الجامعة في مجال أمن المعلومات، وأن يكون أيضاً مرجعاً أساسياً
للمهتمين في هذا المجال من خارج الجامعة.

بدأ النادي أُولى نشاطاته مع بداية شهر ديسمبر الحالي بإقامة ورشة عمل عن مقدمة لإستخدام لغة “بايثون” (للمبتدئين في اللغة) وذلك لأن النادي يهدف الى إقامة ورشة عمل قريباً تكون متقدمة أكثر وتهتم بجانب إستخدام لغة البرمجة بايثون في أمن المعلومات. ورشة العمل وبفضل من الله، حازت على إهتمام جميع أعضاء النادي وكذلك زوار من خارج الجامعة. لمعرفة المزيد من التفاصيل عن الورشة السابقة، وما تم تقديمه فيها، بالإضافة الى جميع الأكواد البرمجية التي كتبت يمكن مراجعة روابط التواصل الإجتماعي للنادي.

لمتابعة النادي على مواقع التواصل الاجتماعي أو إرسال أي إقتراحات أو إستفسارات هنا عناوين النادي على توتير و فيسبوك

ملاحظة: كاتب هذا المقال هو محمد زكريا – رئيس نادي أمن المعلومات.

إجابات التحدي الثاني

وصلنا العديد من الإجابات الصحيحة للتحدي الثاني وهذا شيء طيب ونشكر الجميع على مشاركاتهم القيمة. قررنا هذه المرة اعتماد أحد الحلول التي تقدم بها المشاركون كونه كان حلا نموذجيا مع بعض الجماليات التي ادخلها المشارك عليه. والحل الذي تم اعتماده هو حل الأخ مشعل السيف (السعودية) مع بعض التصرف.

والآن نترككم مع الحل.

التحدي الثاني عبارة عن مجموعة من الأرقام المتسلسلة وهنا يبدأ اللغز الأول!

104 116 116 112 58 47 47 100 108 46 100 114 111 112 98 111 120 46 99 111 109 47 117 47 49 48 55 54 49 55 48 48 47 123 99 104 97 108 108 101 110 103 101 46 122 105 112 44 99 104 97 108 108 101 110 103 101 46 98 122 50 44 97 100 109 105 110 46 116 120 116

لم يكن صعبا أبداً تخمين وتحليل هذه الأرقام لأني مررت بهذه التجربة كثيراً فأول ما خطر لي هو العد العشري decimal وذلك لأني أتذكر معظم الحروف وماذا ترمز في العد العشري والعد الست عشري hexdecimal. يوجد الكثير من الطرق لتحويل هذه السلسلة إلى حروف وذلك عن طريق استخدام سكربت بسيط بلغة البيرل يقوم بتحويل العد العشري إلى حرف مباشرةً. قبل البدء بكتابة سكربت البيرل يجب أن تقوم بتخزين هذه الأرقام في ملف على سبيل المثال .file.txt بعد ذلك افتح محرر النصوص المفضل لديك واكتب التالي:

قم بعدها بحفظ الملف باسم myperl

لتنفيذ السكربت اكتب في سطر الأوامر (terminal shell)


[email protected]:~#./myperl

الناتج:


http://dl.dropbox.com/u/10761700/challenge.zip,challenge.bz2,admin.txt

المرحلة التالية هي استخدام wget لتنزيل الملفات challenge.zip/challenge.bz2/admin.txt


[email protected]:~#wget http://dl.dropbox.com/u/10761700/{challenge.zip,challenge.bz2,admin.txt}

بعد ذلك سيظهر في المجلد الحالي ثلاث ملفات:

challenge.zip ملف مضغوط وعليك بإدخال كلمة المرور لاستخراج محتوى الملف.
challenge.bz2 ملف مضغوط غير محمي.
admin.txt قائمة بالكلمات wordlist.

في البداية قمت بتجربة الكلمات الموجودة في ملف admin.txt واستخدامها لفك كلمة السر على ملف challenge.zip عن طريق برنامج fcrackzip الموجود في نظام الباك تراك طريقة تطبيق الأمر سهلة وهي كالتالي:


[email protected]:~#fcrackzip -Dp admin.txt challenge.zip

ولكن للأسف لم تفلح الطريقة وأيقنت أن لهذا الملف استخدام آخر فيما بعد ولكن ليس الآن!

بعد ذلك قمت باستخراج محتوى challenge.bz2 بالطريقة الآتية:


[email protected]:~#bzip2 -d challenge.bz2

ظهر لي ملف challenge . لجهلي بمحتوى الملف قمت بتنفيذ أمر file لتفقد نوعية الملف:


[email protected]:~#file challenge
challenge: IFF data, AIFF audio

الملف عبارة عن ملف صوتي بعد تشغيله يظهر أنه يحتوي على موسيقى لاتتجاوز الـ11 ثانية فقط !

استخدمت بعد ذلك أمر hexdump لقراءة معلومات الهيدرز والكومنت والبحث عن أي نص قد يفيدني في هذه المرحلة وبعد تنفيذ الأمر التالي:


[email protected]:~#hexdump -C challenge | tail

ظهرت لي رسالة مهمة تقول

“You have to look for the Disk-ID on freedb.org”

أمر strings ايضا يخرج لك نفس الرسالة وبشكل أرتب.

بعد ذلك أيقنت أن علي معرفة معلومات عن المقطع الموسيقي للحصول على disk-id فكانت أسهل الطرق هو استخدام برنامج التعرف على الموسيقى ، وأفضل هذه البرامج من وجهة نظري هي SoundHound وبعد ما عرفت اسم الأغنية ذهبت مباشرةً لموقع freedb.org للحصول على المعلومة المهمة وهي الديسك آي دي.

الديسك الآي دي الخاص بالأغنية Terranova just enough كان 1603eb03

ولم يكن صعباً تخمين أن هذا هو باسوورد ملف challenge.zip فبعد استخراج محتوى الملف ظهر ملف challenge.txt

وبعد استعراض الملف عن طريق أمر cat ظهر الناتج الآتي:


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

طبعا حسيت أن الحروف والأرقام ترمز إلى نظام الست عشري hexdecimal فقررت أن أضع \x قبل كل خانتين عن طريق محرر الـvim والذي اعتبره أقوى محرر تعاملت معه حتى هذا الآن..!

ببساطة نقوم بفتح الملف أولا عن طريق الـvim

[email protected]:~#vim challenge.txt

بعد ذلك نضغط على Shift مع حرف الكاف لنحصل على الرمز : ثم نطبق الأمر التالي كما هو موضح هنا

:%s/../\='\\x'.submatch(0)/g

هنا سيقوم الـvim بوضع قبل كل خانتين الرمز \x مع ابقاء الرقم وعدم تبديله وذلك لغرض الإضافة فقط.

هنا تظهر لنا النتيجة بعد التعديل:

\x64\x6d\x46\x79\x49\x46\x38\x77\x65\x44\x49\x32\x5a\x6d\x55\x39\x57\x79\x4a\x63\x65\x44\x5a\x44\x58\x48\x67\x32\x52\x6c\x78\x34\x4e\x6a\x4e\x63\x65\x44\x59\x78\x58\x48\x67\x33\x4e\x46\x78\x34\x4e\x6a\x6c\x63\x65\x44\x5a\x47\x58\x48\x67\x32\x52\x53\x49\x73\x49\x6c\x78\x34\x4e\x6a\x68\x63\x65\x44\x63\x30\x58\x48\x67\x33\x4e\x46\x78\x34\x4e\x7a\x42\x63\x65\x44\x4e\x42\x58\x48\x67\x79\x52\x6c\x78\x34\x4d\x6b\x5a\x63\x65\x44\x63\x33\x58\x48\x67\x33\x4e\x31\x78\x34\x4e\x7a\x64\x63\x65\x44\x4a\x46\x58\x48\x67\x32\x4e\x56\x78\x34\x4e\x7a\x52\x63\x65\x44\x59\x34\x58\x48\x67\x32\x4f\x56\x78\x34\x4e\x6a\x4e\x63\x65\x44\x59\x78\x58\x48\x67\x32\x51\x31\x78\x34\x4d\x6b\x52\x63\x65\x44\x59\x35\x58\x48\x67\x32\x52\x56\x78\x34\x4e\x7a\x52\x63\x65\x44\x63\x79\x58\x48\x67\x33\x4e\x56\x78\x34\x4e\x7a\x4e\x63\x65\x44\x59\x35\x58\x48\x67\x32\x52\x6c\x78\x34\x4e\x6b\x56\x63\x65\x44\x4a\x46\x58\x48\x67\x32\x4d\x31\x78\x34\x4e\x6b\x5a\x63\x65\x44\x5a\x45\x58\x48\x67\x79\x52\x6c\x78\x34\x4e\x6a\x6c\x63\x65\x44\x5a\x46\x58\x48\x67\x32\x4e\x46\x78\x34\x4e\x6a\x56\x63\x65\x44\x63\x34\x58\x48\x67\x79\x52\x56\x78\x34\x4e\x7a\x42\x63\x65\x44\x59\x34\x58\x48\x67\x33\x4d\x43\x4a\x64\x4f\x33\x64\x70\x62\x6d\x52\x76\x64\x31\x74\x66\x4d\x48\x67\x79\x4e\x6d\x5a\x6c\x57\x7a\x42\x64\x58\x54\x31\x66\x4d\x48\x67\x79\x4e\x6d\x5a\x6c\x57\x7a\x46\x64\x4f\x77\x3d\x3d

بعد تنفيذ الأمر يجب علينا حفظ التغييرات على ملف آخر أو نفس الملف عن طريق تطبيق هذا الأمر

:w challenge2.txt

الآن يأتي الأمر الذي سيقوم بتحويل الهيكس إلى حروف، يوجد أوامر كثيرة تؤدي نفس الغرض ولكن في مسابقات التحدي دائما ألجأ للأسهل! وهنا يأتي أمر echo

طريقة تنفيذ الأمر:

[email protected]:~#echo -e `cat challenge2.txt`

الناتج عبارة عن ترميز base64 ويحتاج فقط عملية فك الترميز decoding لقراءة النص الأصلي

بتنفيذ الأمر التالي

[email protected]:~#echo -e `cat challenge2.txt` | base64 -d -

يظهر لنا هذا النص:

var _0x26fe=["\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x2E\x65\x74\x68\x69\x63\x61\x6C\x2D\x69\x6E\x74\x72\x75\x73\x69\x6F\x6E\x2E\x63\x6F\x6D\x2F\x69\x6E\x64\x65\x78\x2E\x70\x68\x70"];window[_0x26fe[0]]=_0x26fe[1];

يبدو أن النتيجة لازالت تحتوي على نصوص مشفرة فلذلك قمت بعمل echo مرتين وكانت النتيجة أفضل وهنا يتم تنفيذ echo مرتين على نفس الملف:

[email protected]:~#echo -e `echo -e \`cat challenge2.txt\` | base64 -d -`

مخرج الأمر يبدو أكثر وضوحاً:

var _0x26fe=["location",http://www.ethical-intrusion.com/index.php"];window[_0x26fe[0]]=_0x26fe[1]

النص هو عبارة عن جافا سكربت يقوم بتحويلك على الموقع ethical-intrusion.com

بعد الذهاب إلى الرابط ، تظهر لنا صفحة login ويبدو أن الآن هو وقت استخدام الملف المستخرج في بداية المسابقة admin.txt

باستخدام برنامج BurpSuite قمنا بتفعيل خاصية Proxy Interception وذلك للحصول على البيانات المرسلة والمستقبلة من وإلى الموقع واعتراضها للتعديل عليها.

فبعد تفعيل هذه الخاصية نقوم بكتابة أي شي في حقل اسم المستخدم وكلمة المرور وبعدها نقوم بالضغط على login ويظهر لنا الآن الملعومات المرسلة في برنامج BurpSuite

بالضغط على زر اليمين بالفأرة نقوم باختيار send to intruder وذلك لتفعيل خاصية تخمين كلمة المرور.

بعدها نقوم باختيار

positions -> attack type (sniper)

الآن نقوم بتصفية قيمة المتغيرات المرسلة عن طريق الضغط على زر clear

في اسم المستخدم نقوم بوضع كلمة admin وفي كلمة المرور نقوم بتضليل القيمة وبعدها نختار زر add

بعدها نقوم باختيار payloads ونذهب إلى load ونختار ملف admin.txt

لتشغيل هجوم تخمين الباسوورد نذهب في أعلى البرنامج ونختار
intruder -> start attack

في هذه المرحلة علينا بالإنتظار ومشاهدة البيانات التي تختلف في الحجم حيث لو تلاحظون في البداية طول البيانات ثابت 992

وبعد فترة معينة وبالأخص في الطلب رقم 55 يظهر لنا طول غريب عن السابق وهو 474

بتجربة الباسوورد الخاصة بهذا الطلب في الموقع يظهر أننا حصلنا على الباسوورد لاسم المستخدم admin وهي m0use456g

الآن كل ماعلينا فعله هو تسجيل الدخول والذهاب إلى صفحة News 1

ومشاهدة الفيديو الموجود في هذه الصفحة ..

لم يأخذ مني الوقت الطويل لاكتشاف أن هذا الفيديو يحتوي على صوت معكوس وكانت الطريقة لعكسه مرة أخرى سهلة جداً وذلك باستخدام برنامج Audacity.

فبعد عكس الفيديو قام الرجل الموجود بالفيديو بتزويدنا باسم مجلد قد يحتوي على المرحلة التالية.

اسم المجلد: /a98dhkjd

بعد الدخول على هذا المجلد عن طريق الرابط الآتي

http://www.ethical-intrusion.com/a98dhkjd

يطلب الموقع صلاحيات معينة للدخول ، فجاء على بالي ثغرة file-inclusion الموجودة في الموقع والتي تستعرض الصفحات News 1 و News 2 فكان خياري هو محاولة قراءة ملف الباسوورد الموجود على سيرفر الأباتشي وهو .htpasswd

هنا ثغرة File-Inclusion:

http://www.ethical-intrusion.com/index.php?news=[LFI]

وهنا طريقة الاستغلال لقراءة ملف .htpasswd الخاص بالمجلد المحمي:

http://www.ethical-intrusion.com/index.php?news=a98dhkjd/.htpasswd

بعد الحصول على اسم المستخدم وكلمة المرور نقوم بكتابتها في الصفحة المحمية لتظهر لنا الآن جملة من ثلاث أسطر مشفرة بتشفير غريب , ويبدو أننا اقتربنا من الانتهاء من حل اللغز!

(Jy het die uitdaging suksesvol voltooi.
Die wagwoord is:
“Dit is net die begin.”)

حاولت طبعا أطبق في البداية أساسيات اكتشاف النص المشفر وكيفية تفكيكه وقمت بتجربة

Rotation/substitution/addition/etc..

ولكن لم تنجح أي من الطرق السابقة فبعد التفكير خارج الصندوق! قمت بنسخ النص كاملا والذهاب به إلى Google-Translator ، وبعد لصق النص في مربع الترجمة

ذهلت من النتيجة !!!!!!!!!!!!!

لقد اقترح علي ترجمة النص من اللغة الإفريقانية ، فبعد الترجمة من هذه اللغة ظهر لي النص باللغة الإنجليزية بكل وضوح:

You have successfully completed the challenge.

This password is:

“This is just the beginning.”

ما اكتشفته لاحقا هو باستخدام متصفح Google Chrome يقوم باقتراح الترجمة مباشرة ومن دون الذهاب إلى موقع الترجمة وهذا كان سيختصر مني الوقت الكثير!!!

في النهاية لا يسعنا إلا ان نتقدم بالشكر من الأخ محمد رمضان على مساهمته في هذا التحدي ونتقدم بالتهنئة من الإخوة مشعل السيف (من السعودية) و يحيى الغالي (مصري مقيم في قطر) بمناسبة فوزهم في التحديث

 إجابات التحدي الأول

في البداية رمضان مبارك ونسأل الله أن يعود علينا وعلى أمتنا بأفضل حال. نشكر جميع من شاركونا هذا التحدي، حيث وصلتنا العديد من الأجابات الصحيحة مما اثلج صدورنا. ونعتذر عن التأخر في اصدار الإجابات. والآن الى هذه الإجابات التي طال انتظارها:

ما هو عنوان الضحية؟

192.168.1.11 نرى في الشكل التالي محاولات اتصال من 192.168.1.16 الى المنفذ 445 على العنوان 192.168.1.11 ونلاحظ في الحزم من رقم 9 وما يليها محاولة انشاء اتصال باستخدام NULL Session

شكل -1-

هناك كذلك حزم أخرى تظهر لنا ان هذا عنوان الضحية سنأتي عليها لاحقاً.

ما هو نظام تشغيل الضحية؟

كما هو واضح من الشكل التالي فإن نظام الضحية هو Windows XP Professional ومن خلال الاصدارة 5.1.2600 يمكننا القول أنها نسخة 32bit من النظام (5.2.2600 هي النسخة 64bit).

شكل -2-

ما هي الأوامر التي نفذها المهاجم على حاسوب الضحية وما هو الغرض منها؟

في حال استخدام الأداة Wireshark لو قمنا بعمل “Follow TCP Stream” سنشاهد التالي

شكل -3-

 هذا سيظهر لنا الحزم التي تحتوي على حصول المهاجم على shell على حاسوب الضحية وكما نرى فإن إصدارة ويندوز قد ظهرت فيه. الآن نأتي للأوامر

1- قام المهاجم بإضافة مستخدم معرفه attacker وبكلمة مرور Pa5$w0rd!

2- قام المهاجم بجعل هذا المستخدم (attacker) عضوا في مجموعة مدراء النظام administrators

3- قام المهاجم بإضافة تعليق على حساب attacker يقول I hacked you 🙂

4- قام المهاجم بتنفيذ الامر whoami وهو أمر لا يعمل على انظمة XP

كيف كان بإمكان الشركة منع مثل هذا الهجوم؟

هناك عدّة اجراءات يمكن للشركة اتخاذها للحماية من مثل هذا الهجوم

1- تفعيل الجدار الناري على الشبكة ومنع الوصول الى المنفذ 445 من خارج الشبكة وكذلك تفعيل الجدار الناري على النظام نفسه.

2- التحديث الدائم للنظام ومتابعةآخر الأخبار الامنية للنظام حيث هناك تحديثات يتم الاعلان عنها خارج دورة التحديث العادية.

3- وجود نظام كشف أو صد المتسللين كذلك سيساعد في منع الهجوم او على الاقل تنبيه مدير النظام بحدوثه.

4- برامج مكافحة الفيروسات.

ما هي الثغرة التي أدى استغلالها الى اختراق حاسوب الضحية؟

الثغرة هي MS08-067 والتي تؤدي الى تنفيذ كود عن بعد على نظام الضحية. الشكل التالي يظهر احد الخيوط الرئيسية الدالة على هذه الثغرة، حيث نرى اتصال على دالة NetPathCanonicalize المصابة بهذه الثغرة

شكل -4-

 

مراجعة لعدد مجلة اختبار الاختراق حول حرب المعلومات

صدر عدد جديد من مجلة اختبار الاختراق وقد خصصته بمقالات حول حرب المعلومات. يأتي هذا العدد في أجواء فيروس فليم (ألشعلة) والذي ترددت انباء عن كونه من انتاج أمريكي-اسرائيلي مشترك. هذا الفيروس بالإضافة الى فيروس ستكسنت قد دشنا بداية لعصر الحروب الالكترونية وفقاً للعديد من الخبراء الأمنيين. فيما يلي تغطية لأهم مقالات هذا العدد:

النهاية الرقمي: من أنونيمس و اللولز واللتان قامتا بالعديد من الهجمات الالكترونية المؤثرة ضد العديد من المواقع، الى اعلان العديد من الدول عن تشكيل وحدات عسكرية مختصة بالهجمات الالكترونية، الى اطلاق هجمات فعلية الكترونية تتسبب في تعطيل المشروع النووي الايراني. كل هذه قد تشكل بداية النهاية للعصر الرقمي  كما نعرفه.

لا توجد هناك حرب الكترونية: هذا المقال يعرض واجهات نظر متقابلة لمجموعة من الخبراء الأمنيين بعضهم يشكك في وجود شيء اسمه الحرب الالكترونية والبعض الآخر يدعي بوجودها.

عدم وضوح القوانين وتأثيره على اختبارات الاختراق:  احد الأسئلة الهامة التي تثار عند كل مهمة لمختبر الاختراق هو حول نشاطه اذا ما قد تم ضمن اطار القانون.  بعض الادوات مثل nmap مثلا تقع في دائرة رمادية تجعل مطوريها عرضة للملاحقة القانونية وان كانت نسبة ذلك ضئيلة للغاية.

كيف يقوم المهاجمون والمجرمون باستغلال مفهوم الحماية في العمق لصالحهم: مقال يعرض لاحد المفاهيم الأمنية الشهيرة لصالحهم عبر استهلاك طاقات المدافعين

اختبارات الاختراق كوسيلة لانقاذ الارواح: لا تستغرب فإمكان اختبارات الاختراق أن تنقذ الاوراح اذا احسنت المؤسسات استغلالها.

الحالة العامة لأمن المعلومات: يبدأ هذا المقال بتشخيص وضع برامج مكافحة الفيروسات وكيف يقوم بالمهاجمون بتغطيها وتغطي انظمة كشف المتسللين والحرب المتواصلة على هذه الجبهة

كما يحتوي العدد على العديد من المقالات مع خبراء أمنيين في مجالات عدة منها التوظيف في حقل امن المعلومات

هذا العدد حقيقة رائع في تغطيته ومقالاته وننصح جدا بقراءته.

———

ملاحظة: مجلة اختبار الاختراق هي راعي رسمي لمسابقة مجتمع الحماية العربي

مجتمع الحماية العربي – التّحدّي الأول

بعون الله وتوفيقه يعلن مجتمع الحماية العربي سلسلة التّحدّي والتي هي عبارة عن مسابقات في أمن المعلومات. هذه السلسلة هي ثمرة تعاون بين مجتمع الحماية والعربي ومجلة الاختراق وشركة بت دفندر – الشرق الأوسط. سيحصل الفائزون في هذه المسابقات على جوائز قيمة جدّاً من الشركات الراعية.

حظّاً طيباً للجميع

التّحدّي الأول

تعرض حاسوب في شركة إلى الاختراق، حيث قام المخترق باستخدام ثغرة شهيرة من أجل السيطرة على حاسوب الضحية. هل تستطيع مساعدة الشركة في معرفة الحاسوب الذي تمّ اختراقه عبر الإجابة على الأسئلة التالية؟

ما هو عنوان الضحية؟

ما هو نظام تشغيل الضحية؟

ما هي الأوامر التي نفذها المهاجم على حاسوب الضحية وما هو الغرض منها؟

كيف كان بإمكان الشركة منع مثل هذا الهجوم؟

سؤال إضافي:

ما هي الثغرة التي أدى استغلالها الى اختراق حاسوب الضحية؟

الشروط

1- ترسل الإجابات إلى العنوان التالي

 

2- الإجابة يجب أن تكون على شكل نص (Plain Text)

3- آخر موعد لاستلام الإجابات هو 31 مايو (آيار)  2012

4- ذكر الطريقة التي توصلت بها إلى الإجابة والإجابة على السؤال الإفتراضي ستعطيك علامات إضافية قد تساعدك في تحسين فرصك بالفوز.

ملف التّحدّي

تحميل

للمرة الاولي في مصر ورشة عمل وملتقى مهندسي أمن المعلومات بالمعهد المصرفي المصري

في الفترة الاخيرة زاد الحديث عن أمن المعلومات و الاختراقات التي تحدث علي المواقع الالكترونية, سواءا الحكومي او الخاص منها, و اصبح لزاما علي أي مؤسسة تمتلك موقعا علي الانترنت او بنية معلوماتية عموما ان تحصل علي المعرفة الاساسية  علي الاقل لتامين معلوماتها او بيانات مستخدميها او حتي لحماية سمعتها في حالة تعرضها للاختراق.

و لذلك قامت مجموعة بلوكايزن المهتمة بامن المعلومات بتنظيم اول ورشة عمل في هذا المجال تحت اسم سيكوريتي كايزن لابز . تمتد ورشة العمل علي مدي يومين متواصلين في الفترة من التاسع الي العاشر من مايو  في المعهد المصرفي بمدينة نصر.

الجدير بالذكر ان بلو كايزن هم مجموعة من الشباب يعملون في مجال امن المعلومات و قد قاموا قبل اكثر من عام  باصدار اول مجلة متخصصة في امن المعلومات في مصر و الشرق الاوسط.

ويعد هذا الحدث هو ثاني احداثهم بعد مؤتمر  Cairo Security Camp او معسكر الأمان الالكتروني الذي اقيمت فعاليته في الجامعة الامريكية العام الماضي و حضره اكثر من اربعمائة من العاملين و المهتمين بامن المعلومات في مصر و الشرق الاوسط.

لمتابعة جميع نشاطات بلوكايزن و الحصول علي نسخة من المجلة المجانية يرجي الدخول علي الرابط التالي: www.bluekaizen.org

يتم تقسيم الحضور علي ثلاثة غرف. غرفة للمبتدئين و غرفة للخبراء و الغرفة الثالثة خاصة بالشركات التي تبيع برامج او منتجات تساعدك علي حماية المؤسسة الخاصة بك وتقوم بشرح عملي لهذه المنتجات . الجديد ان الحضور يقوموا بالحصول علي محاضرات عملية و يقوموا بالتدريب العملي علي اجهزة اللابتوب الخاصة بهم بعيدا عن الكلام النظري و من هنا جاءت تسمية ورشة العمل بسيكيوريتي كايزن لابز او معامل سيكيوريتي كايزن

الجديد ايضا في فكرة سيكيوريتي كايزن لابز هو ان بلوكايزن استطاعت ان تجمع كل الشركات التي تقدم خدمات التدريب في هذا المجال في مكان واحد. من الشركات المشاركة

SANS, EC-COUNCIL, Fixed Solutions , GUIDENCE SOFTWARE, SYNAPSE-LABS, RAPID7, CISCO, MCAFEE, FORTINET,

واستطاعت بلوكايزن ان تحصل علي دعم فريق الاستجابة الطارئة للهجمات الاليكترونية  المعروف بالسرت المصري EGCERT التابع لجهاز تنظيم الاتصالات المصري NTRA


للمزيد من المعلومات عن ورشة العمل

http://bluekaizen.org/sklabs.html


bluekaizen

[email protected]

www.bluekaizen.org

تغطية مؤتمر RSA 2012 في أمريكا

مؤتمر RSA هو أحد اشهر المؤتمرات الأمنية حيث يحضره آلاف الخبراء الأمنيين من شتى أنحاء العالم، وتعرض فيه الشركات آخر التقنيات الأمنية. كان لمجتمع الحماية العربي تواجد في هذا المؤتمر نغطي جانباً منه في هذه المقالة.

المعرض

الملاحظ في أغلب المعروض هو تقنيات الجيل القادم Next Gen سواء كان للجدر النارية، او نظم ضبط المتسللين، وغيرها. ولكن لا يوجد حقيقة تطور يستحق الذكر في هذه التقنيات سوى اثنان سأتطرق لهما لاحقاً. الامر الآخر الذي كان ملاحظاً في المعروضات هي التقنيات التي تستهدف ما يعرف بال Big Data أو البيانات الضخمة. وهنا في اغلبها هي نظم تقوم بتخزين كم هائل من البيانات والبحث عن علاقات داخل هذه البيانات بغرض تحليلها سواء كان لأغراض تجارية أو أمنية.

التقنيتان اللتان لفتتا انتباهي Mykonos Deception من شركة Mykonos Software والتي استحوذت عليها مؤخراً شركة Juniper. و Kona Site Defender من شركة Akamai المختصة في نقل المحتوى.

ما هو Mykonos Deception؟

هذه التقنية وكما تسوقها الشركة المنتجة بأنها تقنية كشف المتسللين والمهاجمين بدون False Positive. قد يسأل المرء كيف يمكن لشركة أن تتدعي أن منتجتها يخلو من اخطاء في الكشف عن المتسللين. الإجابة عن هذا التساؤل تتأتي من خلال معرفة كيف تعمل هذه التقنية.

يمكن للشركات التي تستخدم هذه التقنية تثبيتها بسهولة داخل حدود شبكاتها. أما طريقة العمل فتقوم على حقن حقول ادخال في الغالب مخفية  تظهر لمن يقوم بمشاهدة الكود المصدري للصحفة.  المستخدم العادي للموقع يقوم بإدخال بياناته في المربعات الظاهرة. في حين ان المهاجم سيقوم بمحاولة ادخال بيانات في جميع المربعات من أجل اكتشاف ثغرة في الكود المصدري للاستغلالها. إذا قام المهاجم (وفي الغالب هذا الذي سيحصل) بوضع بيانات في احد المربعات التي يقوم Mykonos بادخالها سيقوم النظام بمراقبة كل ما يقوم به هذا الشخص (عبر عدة وسائل أحدها عنوانه على الانترنت)، ارسال تحذير الى مدير الموقع، وفي حال تكرار المحاولة يقوم النظام بتحديد سرعة اتصال المهاجم بالموقع، او اظهار رسائل التحقق Captcha، أو حجبه إلخ.

كذلك يمكن للنظام عبر الحقول المدخلة ونوع المحاولة، من تصنيف المهاجم كScript Kiddie أو مهاجم متوسط او خطير.

سنتابع ان شاء الله هذه التقنية في المستقبل حتى نرى مدى نجاحها في التصدّي للمهاجمين.

Kona Site Defender

التقنية الأخرى كانت متميزة هي التي قامت بها شركة Akamai لنقل المحتوى. شركة Akamai تقوم بنقل المحتوى للعديد من المواقع الشهيرة والكبيرة كمايكروسوفت وفيسبوك وتوتير وغيرها. شبكات  نقل المحتوى تساعد في تحسين أداء المواقع بشكل كبير، وكذلك تساعد في الحماية من هجمات حجب الخدمة.

Kona Site Defender هو عبارة عن حل امني يساعد المواقع في التصدي لهجمات حجب الخدمة المختلفة. Kona أيضاً يعمل كجدار ناري للويب WAF يقوم بالتصدي لهجمات الويب وحماية الموقع الأصلي منها ويعطي مدير الموقع تغطية حية للهجمات التي يتعرض لها موقعه. الإضافة الأخرى التي كانت مميزة ل Kona هي عبارة عن ما يعرف بال Virtual Patching أو الترقيع الإفتراضي.  شركة Akamai تتعاون مع شركة Whitehat والتي تقوم بعمل مسح للثغرات المواقع للالاف من المواقع ومن ضمنها مواقع كبيرة لشركات عملاقة. نتائج المسح يتم ادخالها في Kona بشكل يومي ويقوم Kona بحماية المواقع من هذه الهجمات.  العديد من الشركات قد لا تستطيع ترقيع الثغرات المكتشفة في مواقعها بشكل فوري، فبعض الثغرات تحتاج الى شهور حتى يتم ترقيعها. باستخدام Kona والترقيع الافتراضي يمكن للشركات حماية مواقعها والعمل على اصلاح هذه الثغرات ضمن فترة زمنية “معقولة” بالنسبة لهذه الشركات.

نظام Kona من شركة Akamai

متفرقات

شركة Sophos قامت بعمل عرض حي لكيفية اصابة فيروسات لحاسوب يعمل بنظام Mac OS X من شركة أبل. هذا الفيروسات على عكس غيره من الفيروسات لن يقوم بلفت انتباه المستخدم كونه لا يطلب من المستخدم ادخال اسم المستخدم وكلمة المرور من أجل تثبيته. فكما تبيين اذا كان البرنامج يتم تثبيته ليعمل في بيئة المستخدم نفسه وليس لجميع المستخدمين فيمكن تثبيته بدون النافذة التي تطلب الموافقة. الفيروسات كان عبارة عن Scareware هو يهدف الى خداع المستخدمين حتى يقوم بشراء البرامج. ولكنه يظهر ارتفاع في البرمجيات الخبيثة التي تستهدف نظام Mac OSX

عرض إصابة Mac OSX بفيروس

الجلسات

كان هناك العديد من الجلسات في المؤتمر ولكن لم يسنح الوقت لتغطيتها. الجلسة التي كانت مميزة بحق هي جلسة  اتجاهات الهجمات الصاعدة في الفترة الأخيرة. وتغطيتنا لها تتم عبر تغطية مواقع أخرى لها.

خدمة أسماء النطاق DNS كمراكز سيطرة وتحكم

البرامج الخبيثة والتي تعتمد على خدمة اسماء النطاق كمصدر للهجوم كان سبب في هجمات أدت الى سرقة مئات الملايين في الحسابات في العام الماضي (2011).  التصدي لهذه الهجمات صعب ومحاولة كشفها تتطلب العديد من المصادر (مثلاً تسجيل كل طلب استعلام لموقع ما). اد سكوديس احد المتكلمين في هذه الجلسة نصح باستخدام اداةDNSCAT بالاضافة الى عمل sniffing بشكل دوري بحثاً عن طلبات DNS غير اعتيادية.

هجمات ال SSL

محور آخر للهجمات الصاعدة هو الهجمات ضد SSL. وهو البرتوكول المستخدم حماية الاتصال بين المستخدم والموقع حيث من خلاله يستطيع المستخدم التأكد من هوية الموقع. الهجمات ضد SSL أخذ عدّة وجوه، فمن هجمات ضد الشركات التي تصدر شهادات SSL مثل شركة DigiNator الهولندية والتي اعلنت افلاسها بعد الهجوم. الى هجوم BEAST والذي يستهدف المستخدمين بشكل عام، الى هجمات حجب الخدمة ضد المواقع عبر SSL. وكما أشار الخبير الامني اد سكوديس فإن من المتوقع حدث زيادة في عدد الهجمات التي تستخدم برامجيات ضارة التي تقوم بحمل شهادات مواقع وتثبيتها على حواسيب الضحايا ومن ثم توجيه الضحايا الى مواقع يسيطر عليها المهاجمون.

البرمجيات الضارة والهواتف النقالة

البرمجيات الضارة في الهواتف المحمولة تقلق الخبراء الامنيين بشكل أو بآخر. بالنسبة لاد سكوديس الخوف ليس من تطبيق يحتوي على بوابة خلفية يتم تثبيته على هاتف الضحية. ولكن الخوف يأتي من الضرر الهائل الذي يمكن ان تتعرض له الشركات وشبكاتها. “اذا استطعت جعلك تقوم بتثبيت برنامج يحتوي على بوابة خلفية، وقمت بالاتصال بالشبكة اللاسلكية للمؤسسة التي تعمل بها، استطيع السيطرة (كمهاجم) على هذه الشبكة” وفقاً لسكوديس.  احد الوسائل التي يمكن ان تساعد في التصدي لمثل هذه الهجمات، هي وجود سياسة للهواتف المحمولة داخل الشركات. على الشركات والقول لسكوديس انشاء عملية تقييم وموافقة على التطبيقات التي يتم بها وتحليل التطبيقات داخل صناديق الرمل (مصطلح يعني تنفيذ التطبيقات في بيئة يمكن للخبراء السيطرة عليها).

الهاكتيفيزم (القرصنة لغاية)

عام 2011 شهد ارتفاع ملحوظ في هجمات مجموعة المجهولين وغيرها من المجموعات لغاية ما سواء أكانت سياسية ام انسانية أم تخريبية ام خلاف ذلك.  على الشركات وفقاً لمدير البحث في معهد سانز الأمني جونز اولريتش لحماية نفسها من هكذا هجمات تطبيقات الأساسيات الامنية في الحماية.

SCADA

انظمة SCADA هي انظمة تتحكم في العديد من التطبيقات التقنية سواء كانت للتحكم بالمنازل أو المفاعلات النووية. الهجمات ضدها في ارتفاع مستمر وهي تشكل خطورة حقيقية على امن الشركات والافراد وحتى الدول.

الأمن السحابي

مع انتشار التطبيقات السحابية مثل امازون و dropbox و تطبيقات غوغل وغيرها يزداد التهديد الامني التي تمثله هذه التقنية. فبيئات الاستضافة المتشاركة تجعل عملية حماية وعزل هذه التطبيقات أصعب فأصعب.

دراسة لبتديفندر تتوقع زيادة البرمجيات الخبيثة بنسبة 23% في عام 2012

وفقاً لشركة بتديفندر فإن البرمجيات الخبيثة ستزيد بنسبة 23% في عام 2012 الى 90 مليون عينة، أي أكثر بحوالي 17 مليون مقارنة بنهاية عام 2011.

هذه البيانات تشكل جزءاً من تقرير بتديفندر حول التهديدات الالكترونية، و الذي يتطلع الى المستقبل و يتوقع تطور البرمجيات الخبيثة على الشبكات الاجتماعية مثل الفيسبوك و تويتر و حتى على اجهزة الهواتف المحمولة بالإضافة الى نمو في الجريمة الالكترونية.

يتوقع التقرير أيضاً انواعاً جديدة من البرمجيات الخبيثة و الاحتيال الالكتروني التي تركز على الشبكات الاجتماعية في 2012، بينما ستزيد البرمجيات الخبيثة المصممة خصيصاً لأنظمة أندرويد عدد التهديدات ضد الهواتف الذكية و الاجهزة الللوحية. ( يمكن تحميل التقرير كاملاً من هنا على شكل ملف pdf)

“سيشهد  عام 2012 نمواً هائلاً في البرمجيات الخبيثة، و يعود ذلك الى انتشار الشبكات الاجتماعية و اغراءاتها،” يقول محلل التهديدات الالكترونية في بتديفندر Bogdan Botezatu، و الذي قام بتحرير هذا التقرير. “سيزداد عدد البرمجيات الخبيثة المخصصة لنظام أندرويد بشكل ملحوظ لكن بدءاً من قاعدة أقل بكثير من البرمجيات الخبيثة.”

هذا التقرير هو حصيلة عام كامل من الكشف و الحماية و الازالة للبرمجيات الخبيثة حول العالم، كما انه يتضمن مراجعة لأكثر 10 برمجيات خبيثة خطورة في عام 2011، بالإضافة الى تغطية عن حركات الاختراق و سوء استغلال الشهادات الرقمية. و يشمل التقرير ايضاً تحليلاً للرسائل الالكترونية المزعجة و التي شكلت 75.1% من عدد الرسائل الالكترونية المرسلة حول العالم العام الماضي.

وزارة الداخلية الكويتية توقف حسابات تويتر المجهولة

أعلنت وزارة الداخلية الكويتية عن أنها طلبت من وزارة الاتصالات ايقاف جميع الحسابات المجهولة على تويتر. الحسابات المجهولة هي أي حساب يقوم المستخدم باستخدامه بدلاً من اسمه الحقيقي مثل متفائل، محب الخير، إلخ.

الوزارة اعلنت في بيان صحفي ان مثل هذا الاجراء يأتي من اجل حماية حقوق المواطنين والمقيمين من أي شخص يحاول الإساءة لهم أو لعوائلهم باستخدام أسماء مزيّفة. وحسب البيان فإن حرية الرأي مضمونة وفقاً للدستور ما لم تتجاوز القانون.

حجب الحسابات كإجراء لن يكون عمليّاً لأنّه يمكن لأي شخص تغييره الى حساب آخر وهكذا. مثل هذه الاجراءات قد تؤثر بشكل سلبي على خصوصية المستخدمين. يمكن في مثل هذه الحالات (التي ذكرتها الوزارة) اللجوء الى سياسة تويتر نفسها والتي تحمي المستخدم من الانتحال لشخصياتهم (يمكن الاطلاع على سياسة تويتر هنا)