RSSمحتويات التصنيف: "المقالات الرئيسية"

كيف تكتب الـ CV الخاص بك في مجال تكنولوجيا المعلومات

banner_formazione

السلام عليكم ورحمة الله وبركاته,

واجهتني مشاكل كثيرة في بداية حياتي العملية بسبب كتابة ال CV ولم أملك الخبرة الكافية وقتها لكتابته بشكل احترافي, أما وبعد سنوات من الأسئلة والتجربة والتعديلات, أحببت أن اشارك معكم الطريقه الأفضل لكتابة ال CV الخاص بك في مجال تكنولوجيا المعلومات بشكل عام سواء كنت مبرمج او مختبر اختراق او مكتشف ثغرات او مهندس شبكات إلي آخره.

سأقوم إن شاء الله في نهاية المقال بإرفاق نسخة معدة مسبقا ويمكنكم التعديل عليها وإستخدامها لكتابة سيرتكم الذاتية.

مقدمة سريعة:

كما نعلم جميعا أن الـ CV الخاص بك هو عباره عن انعكاس لك, بمعني انه هو الذي يتحدث نيابة عنك ويوضح ما اللذي تعرفة وماذا عملت مسبقا لذا ما يحتويه الـ CV الخاص بك لابد ان يظهر مهاراتك ونجاحاتك بشكل إحترافي.

الـ CV يجب أن ينقسم لعدة أجزاء كل جزأ يوضح نقطه معينة, لذا سأبدا بتحديد النقاط فيما يلي مع مراعاة ان هذا هو الترتيب المناسب والذي أستخدمه شخصيا في كتابة سيرتي الذاتية.

 

١- معلومات عنك

بداية الـ CV الخاص بك يجب ان يحتوي علي معلومات لتعريف الشركة بك, مثل اسمك, بريدك الإلكتروني الذي سيتم مراسلتك من خلاله, رابط لموقعك اذا كان لديك موقع خاص بك حتي يمكنهم الإطلاع علي المقالات التي تقوم بكتابتها او عن اخر اكتشافاتك وبالطبع رابط لحسابك علي موقع LinkedIn الشهير فهو بمثابة سيرتك الذاتية, مثال:

Name: Ebrahim Hegazy
Email: [email protected]
Website: http://www.security4arabs.com
LinkedIn: https://www.linkedin.com/hegazy

لا تكتب: 

لا تقم أبدا بكتابة تفاصيل خاصة عن حياتك داخل الـ CV فقد رأيت الكثير من الناس يقوم بكتابة اسمه بالكامل وعنوان بيته وحالته الإجتماعية وموقفه التجنيدي والمزيد المزيد!! لا داعي مطلقا لكتابة مثل هذه البيانات فهي لن تفيد في أي شئ للوظيفة ولو احتاج صاحب العمل ان يعرف عنوانك او حالتك الاجتماعية فإنه سيقوم بمراسلتك علي البريد الذي قمت بكتابته.

ملحوظة: هناك بعض الوظائف تتطلب ان يكون رقم هاتفك مكتوب في السيرة الذاتية لذا القرار لك أن تكتبه او لا فليست كل الوظائف تتطلب ذلك.

٢- من أنت (Profile)

هذا القسم يشرح طبيعة عملك لمن يقرأ الـ CV, ليس هناك مسؤل توظيف يفهم كل الوظائف, فأنت مثلا لو قرأت سي في خاص بأحد العاملين في مجال الكيماويات هل ستفهم منه شئ؟ بالطبع لا, لذا لابد أن تكتب في بداية الـ CV الخاص بك ما يوضح طبيعة عملك حتي يستطيع مسؤل التوظيف فهم ما تفعله تحديدا بدون استخدام مصطلحات معقدة خاصه بمجالك, مثال:

Profile

Ebrahim is a security researcher specialized in finding web applications vulnerabilities, He has over 3 years of experience in information security field that varies from Web Application Security, Incident handling and Network Security with a good knowledge of Web Applications Development

ما كتبته هو مثال بسيط (لا يعبر عني) يوضح طبيعة عملك إذا كنت مكتشف ثغرات مثلا او تعمل بمجال أمن المعلومات بشكل عام.

٣- نجاحاتك (Achievements)

هذا القسم هام جدا جدا وهو عامل الإنبهار الذي سيميز سيرتك الذاتية عن باقي المئات من السير الذاتية المقدمة للشركة, فهو يحتوي علي أهم النجاحات التي قمت بها خلال فترة عملك او حتي خلال فترة دراستك بالجامعة, فمثلا لو كنت تعمل مبرمجا فسيكون هذا القسم مثلا بالشكل التالي:

Achievements
Won the second place with my team in ACM competition X
Ranked as 45 in CodeForces website after solving complex programing problems
Achieved a certificate of appreciation from my University for building their internal Application/database system
etc etc etc

ولو كنت تعمل بمجال إكتشاف ثغرات المواقع فسيكون هذا القسم بالشكل التالي مثلا:

Achievements
Rewarded and acknowledged by Facebook, Yahoo, Google for finding critical vulnerabilities in their systems
Ranked as number 4 in X Bug bounty program for finding critical RCE vulnerability in their website
Won the 3rd place with my team in X CTF (Capture the Flag) competition
etc etc etc

وعلي هذا المنوال يمكنك كتابة نجاحاتك الشخصية بإختلاف مجال عملك فبالتأكيد كل منا له نجاحاته الشخصية 🙂

00000000316.0

٤- مستواك التعليمي (Education)

هذا الجزأ خاص بمستواك التعليمي كمثال أنك تخرجت من جامعة كذا بقسم كذا ويمكنك كتابة سنة التخرج إذا أردت, وحتي إذا لازلت طالب بالجامعة فيمكنك أن توضح ذلك, نفس القسم أيضا يشمل الشهادات التي حصلت عليها من خلال الكورسات التي درستها, واذا لم تحصل علي شهادات فيمكنك كتابة المستوي التعليمي فقط كما يلي:

Education
Bachelor of Computer Science from Cairo University (Egypt)

مثال آخر علي كتابة المستوي التعليمي والشهادات

Education & Certification
Bachelor of Computer Science from Cairo University (Egypt)
Cisco Certified Network Associate (CCNA)
Certified Ethical Hacker (CEH)
Red Hat Certified Engineer (RHCE)

٥- عملك وخبراتك السابقة (Work Experience)

في هذا القسم تقوم بكتابة أسماء الشركات التي عملت بها مسبقا وطبيعة عملك او المسمي الوظيفي الخاص بك في كل شركة ووقت العمل بها, حتي لو كان ذلك العمل عمل حر FreeLance Job او من خلال الإنترنت إلخ فيجب أن تقوم بكتابته أيضا, ويكون ترتيب كتابة الشركات بناء علي الأحدث ثم الأقدم بحسب ترتيب السنوات, وكما يلي عدة أمثلة لتساعدك علي كتابة هذا القسم بإختلاف مجال عملك:

Work Experience

Vodafone, from December 2012 to October 2013 – Network Engineer
My job at Vodafone as a network engineer included managing the company network infrastructure
Administering & designing LANs, WANs internet/intranet, and voice networks
Working with multiple technical platforms i.e. mainframe, two tiered client servers and three tiered client servers
Co-operating with the systems team during the installation/implementation of new appliances inside our data-center etc etc

Security4Arabs, from September 2015 to Present – Security Engineer
My job in Security4Arabs company includes incident handling, network security reviews, Penetration testing and managing security devices such as the Firewall, IDS & IPS, my job role also includes etc etc

Freelance Security Researcher, from May 2014 to June 2015 – Red Team
I’ve been working as a security researcher with different platforms such as Hackerone and BugCrowd, the projects i joined included public and private bug bounty programs and it was mainly focused on Web Applications Vulnerabilities hunting, during that time i was ranked as number 5 in X bug bounty program for finding critical vulnerabilities in their website

SecDown, from October 2013 to March 2014 – System Administrator
I joined SecDown company as a systems engineer managing their linux servers and handling the full servers installation including the physical and virtual servers running Vmware technology, my job role also included Windows servers installation and configuration of active directory

Freelance Developer, from June 2011 to October 2013 – PHP Developer
I’ve been working as a freelance developer in different online platforms such as StackOverFlow, etc, etc, building applications with different technologies such as bootstrap, NodeJS, etc etc and using different frameworks such as CakePHP & Symfony, my job role also included etc etc

٦- مقالاتك وشروحاتك (Publications)

هذا القسم يتضمن بعض المقالات الهامة التي قمت بكتابتها في مواقع معينه او حتي في مدونتك الخاصة او خبر تم كتابته عنك في صحيفة معينه او بحث قمت بعمله او كتاب قمت بتأليفه او محاضرة قمت بإلقائها في مؤتمر في جامعتك او مؤتمر عالمي أو ورقة بحثية قمت بكتابتها إلخ إلخ مع كتابة رابط او صفحه تحتوي علي ما قمت بذكره حتي يمكن الإطلاع عليه, مثال علي ذلك :

Publications
Write-up, How to develop web application in NodeJS from Zero to Hero – reference
Speaker at Cairo Security Camp conference about xyz – reference
Write-up, How to build a threat intelligence system in your corporate – reference
Contributed to TechnlologyGuru Magazine with 2 articles – reference

الرابط المدرج في كلمة Reference عليك إستبدالة برابط يحتوي علي ما قمت بذكرة حتي يتثني للشركة الرجوع إليها للإطلاع علي محتوي المقالات.

7- المشاريع التي أنجزتها (Projects)

في هذا القسم ستقوم بكتابة المشاريع التي أنجزتها خلال فترة عملك او حتي مشروع التخرج الخاص بك في الجامعة وكذلك المشاريع التي قمت بعملها أثناء فترة عملك الحر إلي آخره, مثال إذا كنت مهندس شبكات:

Projects
Vodafone: I was one of the team who designed the corporate network inside vodafone which included the installation and configration of routers and switches
Saudi Telecom Company (STC): Installed and configured WAN Optimizer across their branches, also worked on the implementation of their new VPN solution

مثال إذا كنت مختبر إختراق

Projects
Isecur1ty: I’ve been a consultant in Isecurity team conducting consultation and penetration testing services for various customers in the middle east
HSBC: Worked on a penetration testing project of HSBC bank internal network and internal web-applications
Zain: Worked on a Security Assessment for Zain newly launched mobile application along with its back-end system

مثال إذا كنت مبرمج

Projects
By2olak: I’ve been part of the team who developed by2olak application, responsible for the development of the backend application to manage users comments & adding more features to the API
Shopping Application: During my graduation project i worked with 4 other colleagues to develop a shopping application in PHP and a Mysql Database as a backend.
Masrawy.com: Developed the search engine of Masrawy.com using ASP.NET and MVC Framework with MSSQL Server database

7- الكورسات (Courses)

كثيرا ما قمت بحضور كورسات بدون إمتحان هذا الكورس للحصول علي شهادته, لذا في هذا القسم تقوم بكتابة أسماء الكورسات التي حضرتها, مثال علي ذلك:

Courses
Ebrahim also attended below courses
Cybrary.it (CYB-3008) – POST Exploitation Technique
Red Hat Certified Technical (RHCT)
SANS (Sec504 – GCIH) – Hackers Techniques, Exploits & Incident Handling

نصائح هامة:

١- لابد أن تكتب السيرة الذاتية الخاصة بك باللغة الإنجليزية

٢- لا يمكن بأي شكل من الأشكال ان تزيد سيرتك الذاتية عن ثلاث صفحات, قم بتصغير الخطوط وحذف المسافات وكتابة العناصر المهمه فقط المهم أن لا يتعدي الـ CV الخاص بك الثلاث صفحات ويفضل أن يكون صفحتين إن أمكن.

٣- جهز لديك بعض جهات التواصل كمرجع للشركة التي تقوم بالتقديم فيها إذا أرادات السؤال عنك فمثلا إذا قمت بعمل مشروع لشركة X فبالتأكيد لديك البريد الإلكتروني لأكثر من شخص داخل الشركة يمكنك إستخدامهم كمرجع Reference لتقييمك وإعطاء رأيهم عنك Feedback حينما تريد ذلك.

٤- السيرة الذاتية قد تسمي CV وقد تسمي Resume والفرق ان ال Resume هو نسخة مختصرة لتعبر عن مهاراتك وأعمالك فقط بينما ال CV يحمل تفاصيل أكثر, لكن لا مشكلة في ذلك يمكنك إعتبارهم نفس الشئ 😀

وإليكم رابط الـ CV التالي في نسخة Word يمكنكم التعديل عليها بحسب وظيفتكم وطبيعة عملكم حتي يكون الموضوع أسهل عليكم إن شاء الله.

https://docs.google.com/document/d/1fvZ5BMVoy3IXue_qulOdJNwdmRibtRmaVdsZRNDuQfY/edit?usp=sharing

وفي نهاية الموضوع أود توجيه الشكر للمهندس حاتم الصفطي والمهندس محمد طاهر علي مساعدتهم أثناء فترة الإعداد لهذا المقال.

إذا كانت هناك نقطه غير واضحه او أردتم المساعدة فقط قم بكتابة تعليق علي هذه التدوينة وسيتم الرد عليكم بالتفصيل ان شاء الله 🙂

أمن الهواتف الذكيّة

secmobالهواتف النّقالة، ولاسيما الذكيّة منها هي عبارة عن حواسيب محمولة. فهي تسمح لك بالوصول الى الانترنت والى بريدك الالكتروني، كذلك تسمح لك بتحميل التطبيقات والألعاب وتخزن معلوماتك الشخصية، الأشخاص الذين تتصل بهم، صورك وغيرها. لهذا أنت تحتاج الى حماية هاتفك تماماً مثلما تقوم بحماية حاسوبك المنزلي او المحمول. تذكر دائماً أنّ هاتفك الذكي ليس مجرد هاتف لذلك تأكد دائماً من انه معك في كل الأوقات.

تأمين هاتفك

قم بتفعيل خصائص الحماية على هاتفك. جميع الهواتف اليوم تحتوي على خصائص حماية لذلك تعرّف على هذه الخصائص في هاتف وفعّلها.

ضع كلمة مرور أو رقم تعريف (PIN) والذي يجب على مستخدم الهاتف أن يدخله قبل أن يبدأ باستخدام الهاتف. كلمات المرور أو الأرقام التعريفية تجعل من سرقة معلومات الشخصية من هاتفك أمراً أصعب على لصوص الهاتف أو المتلصصين.

حاول تثبيت برنامج لمكافحة الفيروسات والبرمجيات الضارة الاخرى من مرزوّد خدمة موثوق (خصوصاً ان كنت تستخدم انظمة أندرويد).

حدّث نظام التشغيل الذي يستخدمه هاتفك بشكل دوري. ثبّته متى توفر بأسرع وقت لأن هذه التحديثات في العادة تحتوي على تحديثات تساعد على حماية هاتفك. للأسف أندرويد في هذه النقطة متأخر جداً في كثير من الأحيان عن باقي الأنظمة.

اذا قمت بتفعيل خاصية بلوتوث على هاتفك (بلوتوث خاصية تسمح لك بالاتصال لاسلكياً بأدوات أخرى من أجل نقل معلومات أو غيرها من مسافة قصيرة) قم بجعل هاتفك “مختفي” بحيث لا يستطيع أن يراه الأخرون. هذا يعني أن عملية اكتشافه من قبل القراصنة ستكون أصعب إلا اذا كانوا يعرفون عنوانه. حاول أن تستخدم هذه الخاصية في مناطق خاصة أو غير مزدحمة.

عند استخدامك للانترنت عبر شبكة لاسلكية تأكد من أن تكون الشبكة مشفّرة وتكون تثق في مصدرها، سواء كانت منزلية أو مقدّمة من شركة تجارية. كذلك قم بتغيير الخصائص بحيث يقوم هاتفك بسؤالك للسماح له بالاتصال مع شبكة لاسلكية قبل أن ينضم لهذه الشبكة اللاسلكية الجديدة.

اذا كنت لا تستخدم خاصية بلوتوث أو خاصية تحديد المكان فقم بتعطيلهما. فعّل احداهما أو كلاهما عند الحاجة فقط.

استخدم خاصية المسح عن بعد (remote wipe) اذا كان هاتفك أو مزوّد الخدمة يدعم هذه الخاصية. هذه الخاصية تتيح لك مسح هاتفك وحماية معلوماتك الشخصية في حال فقدت هاتفك او تمت سرقته.

حماية معلوماتك

شفّر بياناتك. بعض الهواتف تسمح لك بتشفير البيانات المخزّنة على الهاتف نفسه أو على الذاكرة المتنقلة. التشفير سيحمي معلوماتك في حالة فقد أو سرقة هاتفك (لا قدر الله).

قم بعمل نسخة احتياطية من بياناتك بشكل دوري. اعمل لنفسك برنامج زمني (يومي أو اسبوعي مثلاً) تقوم فيه بحفظ بياناتك على حاسوبك أو على ذاكرة متنقلة (مشفرّة) واحفظها في مكان آمن.

تجنب الأماكن العامة في حال قيامك بأي معاملات بنكية. البعض يستطيع ان يرى ما الذي تكتبه على هاتفك سواء كان من خلفك أو حسب حركة يدك. وكذلك في حالة الاتصال عبر شبكة لاسلكية قد يستطيع القراصنة الوصول الى معلوماتك الشخصية والبنكية.

أمن الانترنت والتطبيقات

لا تقم بتحميل برامج قبل ان تعرف ما هي الصلاحيات التي تتطلبها هذه البرامج (كصلاحيات الوصول الى دليل الهاتف، او الكاميرا او الصور وغيرها.)

العديد من الهواتف الذكية تسمح لك بتحديد صلاحيات البرامج اذا كان هاتفك يدعم هذه الخاصية فاستفد منها للتّقليل من صلاحيات البرنامج الذي تنوي تثبيته على هاتفك.

بعض البرامج في المتاجر الالكترونية (وهذا نجده أكثر في متاجر أندرويد) تحتوي على فيروسات أو غيرها من البرمجيات الضارة. لذلك دائماً تأكد من البرامج التي تقوم بتحميلها.

هاتفك يحتوي على معلوماتك وصورك الخاصة. فكرّ جيداً في ما تحمله من برامج وما تشارك به من معلومات. هاتفك في بعض الاحيان يحتوي على معلومات خاصة أكثر من حاسوبك الشخصي. لهذا المحتالون والقراصنة بأمكانهم إن لم تكن حذراً الحصول على كم هائل من المعلومات عنك.

عند زيارتك لموقع انترنت تأكد من أنه موقع موثوق بمعنى أن تعرف هذا الموقع واستخدام HTTPS متى توفر ذلك لضمان ان تصفحك مشفر.

فكّر قبل أن تضغط عند استلامك لرسائل الميديا (MMS) أو الملحقات في البريد الالكتروني تماماً كما تفعل على حاسوبك الشخصي (نأمل أنّك تقوم بذلك :)). قد تحتوي هذه الرسائل أو الملحقات على برمجيات ضارة أو تقوم بتوجيهك الى مواقع انترنت ضارة (مثلا موقع فيسبوك مزيف لسرقة صلاحياتك ومن ثمّ حسابك على فيسبوك).

علامات على أن هاتفك مصاب ببرمجيات ضارة

هناك ارتفاع مفاجئ في فاتورة هاتفك بدون سبب واضح

هناك رسائل الكترونية او نصية في مجلد المرسل لم تقم أنت بإرسالها

واجهة هاتفك تغيرت ولم تقم أنت بهذا التغيير.

تذكّر…

هاتفك يحتوي على تفاصيل حياتك. فاحتفظ به واحمه كما تحفظ أسرارك وخصوصيّاتك بل أكثر.

إن كان لديك نصائح أخرى لم نتطرق إليها فاذكرها في التعليقات ليستفيد منها الجميع وسنقوم بإضافة الأفضل منها كتحديث على المقال.

شرح ثغرات Dom-Based XSS بالتفصيل

Xss

ثغرات XSS او Cross-Site Scripting اصبحت واحدة من أشهر ثغرات تطبيقات الويب فهي تأتي في المرتبة الثالثة حسب تصنيف موقع OWASP لأشهر و أكثر 10 ثغرات انتشاراً في تطبيقات الويب لعام 2013 .

صحيح ان ثغرات الـ XSS لا تعد من الثغرات عالية الخطورة لأنها لا تؤثر بشكل مباشر على الموقع او الخادم و إنما تؤثر على جانب العميل الـ Client Side او المستخدم و تحتاج لإضافة القليل من الهندسة الاجتماعية حتى تصل إلى هجوم قوي من خلالها .

لكن هذا لا يمنع ان ثغرات XSS كانت سبباً أساسي في أختراق أكبر الشركات و المواقع العالمية كما حدث منذ أشهر مع المنتديات الخاصة بموقع ubuntu الشهير و تم سرقة معلومات قرابة الـ 2 مليون مستخدم عن طريق استغلال لثغرة XSS بالموقع كما ان ثغرات الـ Xss ايضا كانت سبباً رئيسي في اختراق موقع Apple للمطورين خلال نفس الفترة . فمن المؤكد أن هذا النوع من الثغرات قد يشكل خطورة أكبر بكثير من خطورة ثغرات الـ SQL Injection في حال قام الـهاكر باستغلالها بشكل ذكي و قوي .

موضوعنا اليوم سنتكلم فيه بشكل أساسي على نوع مختلف بعض الشئ من ثغرات الـ XSS و الذي يطلق عليه Dom-Based XSS و قد يكون الكثير ممن يقرؤون هذا المقال لم يتعرفوا إلى هذا النوع من ثغرات xss او يعرفوه اسماً فقط .

من المتعارف عند الجميع ان أشهر أنواع لثغرات XSS هي ما يطلق عليها الـ Reflected XSS و الـ Stored XSS .

و لكن يوجد ايضاً أنواع اخرى تقوم بنفس التأثير لثغرات XSS مثل الـ Flash XSS و Dom-Based XSS و الأخيرة هي التي سوف نقوم بالحديث عنها اليوم في هذة المقالة ان شاء اللًه .

ما هي فكرة ثغرات XSS و كيف تعمل؟

كما نعلم ثغرات XSS تكمن خطورتها في تعديل لمحتوى صفحات الموقع التي تظهر للمستخدم و ذلك عن طريق حقن اكواد HTML او Javascript , كانك تقوم بالضبط بالتعديل على ملفات الـ html و javascript الخاصة بالموقع من خلال احد برامح محرر صفحات الويب .فثغرات XSS تساعد المخترق على تعديل صفحات الموقع و عمل صفحات مزورة مع الاحتفاظ بنفس رابط الصفحة و الدومين , كما يستغلها لبعض لسرقة Sessions او الـ Cookies الخاصة بالمستخدمين و هو يعد اخطر استغلال لثغرات XSS و ذلك عن طريق استخدام داله جافا سكريبت التي تستطيع قراءة بينات الكوكيز مثل document.cookie و ايضاً يستخدم هاكرز أخرون ثغرات الـ XSS في اختراق صفحات الموقع في حال كانت الثغرة من نوع Stored Xss .

دعونا اولا نستعرض طريقة عمل XSS حتى يمكنا بعد ذلك فهم فكرة عمل ثغرات Dom Based Xss بسهولة , ببساطة ثغرات XSS تحدث عندما يقوم المستخدم بأرسل مدخل للصفحة و تقوم الصفحة بأخذ هذا المدخل من المستخدم وعرضه مباشرة كما هو في HTML عن طريق دوال البرمجة مثلا print و echo

مثال بسيط جداً على ذلك صفحة تطلب من المستخدم إدخال اسمه الشخصي

1

و يدخل اليها الاسم

Ahmed Aboul-Ela

بعد ذلك تقوم بعرض الجملة “Welcome Ahmed Aboul-ELa

2

و اذا استعرضنا html code يكون كالتالي

3

جميل , لكن ماذا سوف يحدث اذا أدخلت للصفحة اسماً مصحوب بـtags خاصة بالـhtml مثلا هذا الأسم

<h1> Ahmed Aboul-ELA </h1>

ببساطة سوف تكون النتيجة كالتالي

4

و اذا قمنا باستعراض html code هذة المرة سوف يصبح كالتالي

5

اذاً الأن تتضح لدينا المشكلة بوضوح , فعند كتابة الاسم مصحوباً بـ الـ tags الخاصة بالـhtml المتصفح هنا لم يفهم انه هذا هو مجرد اسم الشخص و لكنه قام بترجمة اكواد html في الاسم و قام بعرضة بالشكل المطلوب و عندها تغير شكل الاسم في الصفحة و أصبح بخط أكبر . اذاً فان المشكلة كلها كانت في ان الصفحة أخذت الاسم من المستخدم و أظهرته مباشرة دون اي تحقق من ان الاسم قد يحتوى على اكواد خاصة بالـ HTML .

دعونا الأن نحدد هنا من المسؤول عن أخذ الاسم من المستخدم في الصفحة و من المسؤول عن إظهار الأسم في html , في هذة الحالة فان المسؤول عن أخذ الاسم هي داله $_POST في لغة برمجة php و المسؤول عن إظهار الاسم في html هي داله echo . الأن هذة المقدمة كانت ضرورية لنا حتى نستطيع ان نستوعب فكرة عمل dom-based xss في الجزء التالي .

ما هي ثغرات Dom Based Xss و كيف تعمل ؟

ببساطة ثغرات XSS لا تختلف كثيراً في مفهموها عن ثغرات refelected xss و لكن الفرق بينها و بين ثغرات XSS في الأسلوب و الطريقة , فكما ذكرنا في ثغرات xss التقليدية فان من يقوم باستقبال المدخل من المستخدم هي لغة PHP عن طريق داله $_POST او $_GET التى تستطيع قرائه المدخلات من خلال form في صفحة ما او من خلال الرابط . لكن في حاله Dom-Based فأن من يقوم بأخذ المدخل من المستخدم هي دوال الـ javascript و من يقوم بطباعة المدخل ايضاً هي دوال الـ javascript دون الحاجة إلى اي لغات برمجة أخرى او حتى web server لترجمة و تشغيل الملفات .

سوف نطلق على دوال التي تقوم بأخذ المدخل من المستخدم هي دوال الـ sources و ان الدوال التي تقوم بطباعة هذا المدخل و إظهاره في html هي sinks . و الأن نبدأ بشرح بعض دوال sources و sinks و نرى كيف يمكن ان تؤدي بعد ذلك إلى ثغرات XSS .

ما هي دوال Sources ؟

دوال الـsources هي دوال في لغة javascript و التي من خلالها يمكن ان تقوم بإرسال مدخل إلى الصفحة في هذه الحالة غالبا يكون المدخل من المستخدم مرسل من خلال رابط الصفحة او url مثلا لدينا الرابط التالي :

https://site.com/home/file.html?name=ahmed#Securtiy4arabs

فمن الممكن من خلال هذة الدوال ان تقوم بقراءة رابط الصفحة بالكامل او فقط مسار الصفحة home/file.html/ او قيمة الاسم المدخل ahmed او الهاش تاج security4arabs كأنك بالضبط تقوم عمل تحليل الرابط و تقسيمه إلى إجزاء , جزء هو مسار الصفحة و اسم ملف الصفحة و جزء هي المتغيرات او parameters المرسلة إلى الصفحة

و يمكن عمل ذلك من خلال javascript ببساطة عن طريق الدوال التالية :

دوال تقوم بقرائه رابط الصفحة بالكامل

  • document.URL
  • document.documentURI
  • document.URLUnencoded
  • document.baseURI
  • location
  • location.href

مثال على ذلك اقوم بكتابة صفحة تحتوى على كود الجافا سكريبت التالي :

<script>
alert(location.href);
</script>

و بعد ذلك اقوم بتشغيل الصفحة و تكون النتيجة كالتالي :
dombased_xss1

نلاحظ ان الصفحة قامت باظهار msg box يحتوى على رابط الصفحة التي قمت بتشغيلها كما قمنا بكتابة في ملف html , و يكون نفس الحال مع باقي الدوال التي قمنا بذكرها , سوف تظهر رابط الصفحة بالكامل , الأن نتطرق إلى داله اخرى تقوم بقرائه اسم الصفحة فقط دون المدخلات إليها او اسم domain .

دوال تقوم بقرائه اسم الصفحة و مسارها

location.pathname

مع استخدام نفس كود الصفحة السابق و استبدال فقط اسم الدالة location.href باسم الدالة يصبح لدينا النتيجة التالية

dombased_xss2

الفكرة بسيطة أليست كذلك ؟ الأن نستكمل ذكر بعض الدوال الأخرى و التي تستطيع قرائه جزء من رابط الصفحة كالدوال السابقة .

دوال تقوم بقرائه المدخلات او parameters فقط المرسلة إلى الصفحة

  • location.search

مثال على ذلك قمت بتشغيل الصفحة بهذة الدالة و ارسلت اليها بعض المدخلات مثلا

https://site.com/page.html?name=ahmed

تكون النتيجة كالتالي :

dombased_xss3

و اخيرا نقوم بذكر دالة تستخدم كثير في مواقع و هي داله تقوم بقرائة الـ hashtag # في الرابط

دوال تقوم بقرائه HashTag

  • location.hash

نقوم بتشغيل الصفحة مرة اخرى بهذة الدالة و نرى النتيجة

dombased_xss4

قمنا فقط بفتح رابط الصفحة مع اضافة #Ahmed Aboul-Ela في نهاية الرابط و قامت الصفحة بأظهار هذا الجزء فقط من الرابط الأن تعرفنا الى جميع دوال sources الأن ننطلق إلى الدوال التي تستطيع ان تظهر هذة sources في مخرج الصفحة

ما هي دوال Sinks ؟

دوال sinks ببساطة كما ذكرنا هي المسؤلة عن إظهار و كتابة القيمة المرسلة من خلال داله من دوال sources بالظبط كداله print في لغات البرمجة

دوال الـsinks ليست صعبة و سوف اقوم بذكر اهمها

  • داله document.write و doucment.writeln

هي داله المكافئة لدالة print في لغات البرمجة فتقوم مباشرة بطباعة الكلام داخل كود HTML

مثال على ذلك صفحة تحتوى على كود HTML التالي

<script>
document.write(‘hello world’) ;
</script>

ستكون النتيجة لدينا كما في الصورة

dombased_xss5

  • داله anyElement.innerHTML

هذه الدالة ببساطة تقوم بقراءة او كتابة كود بداخل Tag معين في الصفحة

مثلا document.body.innerHTML سوف تقوم بقرائة محتوى <body> </body> بالكامل

و اذا قمت بعمل document.body.innerHTML = ‘ahmed’ سوف يقوم بعمل استبدال كامل لمحتوى تاج body و كتابة فيه الكلمة Ahmed

مثال على ذلك كود الصفحة التالي

<html>
<body>
Just a text in body tag
<script>
document.body.innerHTML = ‘www.security4arabs.com’;
</script>
</body>
</html>

عند تشغيل الصفحة ستقوم الـJavaScript بتغير محتوى الصفحة الأصلي
و المكتوب فيه Just a text in body tag بـالكلمة www.security4arabs.com

dombased_xss6

كما نلاحظ لم تظهر الجملة just a text in body tag الأن تعرفنا إلى اهم دوال html sinks و التي تستطيع كتابة كلام في الصفحة و تعرفنا الى دوال Sources التي تستطيع ان ترسل مدخل إلى الصفحة من خلال الرابط

الأن نتطرق إلى الخطوة الأخيرة و هي كيفية حدوث ثغرات dom based xss من خلال هذة الدوال

كيف تحدث ثغرات Dom-Based Xss باستخدام دوال Sources و Sinks

كما ذكرنا في السابق ان xss تحدث عندما يرسل المستخدم للصفحة مدخل و تقوم الصفحة بأخذ المدخل و عرضه مباشرة داخل الصفحة
و نحن الأن تعرفنا كيف من الممكن ان تقوم بقراءة جزء من رابط الصفحة كمدخل و تعرفنا كيف يمكن ان نقوم بكتابة كلام من خلال javascript بداخل الصفحة

اذاً الأن يتحقق لدنيا طرفي المعادلة التي تقوم بإحداث ثغرات XSS , نرى في الجزء التالي كيف يمكن ان تقوم بتنفيذ ثغرة XSS فقط من خلال Javascript

لن اسرد المزيد من الكلام النظري و دعونا ننتقل مباشرة إلى كود الصفحة التالي و نرى ماذا تفعل

<html>
<body>
<script>
document.body.innerHTML = location.hash;
</script>
</body>

الأن فقط بالنظر لكود الصفحة يمكن فهم ماذا تفعل

ببساطة الصفحة تقوم بكتابة location.hash و هو الهاش تاج # الذي يأتي في نهاية رابط الصفحة بداخل <body> </body>

نفتح الصفحة الأن من خلال المتصفح و نرسل اليها اي كلام بعد # لنرى اذا كان هذا الكلام صحيح ام لا

dombased_xss7

جميل لقد قامت الصفحة بطباعة الـhash tag كما كتبناه و عند تغير كلمة Test سوف تتغير النتيجة في الصفحة

طيب الأن ماذا سيحدث اذا ارسلنا كلمه test مصحوبة باكواد html او javascript ؟

مثل سوف ارسل للصفحة Xss Payload كالنالي :

<img src=x onerror=alert(1337)>

دعونا نرى النتيجة 🙂

dombased_xss8

هل لاحظت ما حدث ؟ الأن اتضحت لدنيا ثغرة xss بوضوح و تم تشغيل كود alert لـ 1337 🙂 هذا كان فقط مثال بسيط يوضح لدينا فكرة عمل ثغرات Dom-Based Xss

قد يسألني احد الأن هل تعتقد ان مثل هذة الثغرات قد تكون موجودة في كثير من المواقع !؟

الأجابة بالطبع نعم فثغرات Dom Based Xss ظهرت في اكبر المواقع العالمية مثل google , microsoft , yahoo , Adobe و غيرهم الكثير

و هذا مثال على احدى الثغرات الذي قمت باكتشافها بنفسي و ابلغت عنها في شركة Redhat

و الثغرة كانت في صفحة التسجيل الرئيسية لإنشاء الحسابات لموقع redhat.com

redhat

كيف يمكن إكتشاف ثغرات Dom Based Xss ؟

إكتشاف ثغرات Dom-Based Xss هي عملية ليست سهله لأنها تحتاج إلى فحص و تدقيق في اكواد Javascript و اغلب المواقع الأن تستخدم الكثير من اكواد Javascript قد يصل الكود فيها إلى الاف من الأسطر و سيصبح من الصعب ان تقوم بعمل ذلك و فحص هذة الأكواد بشكل يدوي

لكن اصبح هناك ادوات تساعد على اكتشاف مثل هذة الثغرات و من اشهر و اقوى هذة الأدوات هي اداة Dominitor و لكنها ليست مجانية للأسف والأداة هي عبارة عن متصفح firefox معدل يستطيع بتبع الـ Dom في الصفحات و يمكنه اكتشاف sinks و sources بمجرد زيارة الصفحة من خلال المتصفح

واليكم الفيديو التالي الذي يوضح فيه كيف استطاع مبرمج الأداة اكتشاف ثغرة Dom Based Xss في Google Plus Button

فيديو اخر لإكتشاف ثغرة اخرى في موقع google

و إلى هنا نكون قد غطينا اهم النقاط الأساسية في موضوعنا اليوم و اتمنى ان يكون الشرح كان واضحاً و سهلأً 🙂

المراجع

كيف يتم إختراق حسابك في Facebook وكيف تحمي نفسك

facebook-shatter

عام 2013 .. حيث اقتحمت المواقع الاجتماعية حياتنا بشكل كامل .. فلم يعد يمر يوم علي أحدنا إلا وقد فتح ال Facebook و Twitter و Youtube وغيرها ليتابع الجديد مع عائلته وأصدقاءه وما يحدث ..وبهذا أصبحت حياتنا الخاصة كاملة معرضة لكسر خصوصيتها وإذاعتها علي المشاع!

سنتحدث اليوم عن الطرق التي يتمكن من خلالها الهاكرز اختراق حساب ال Facebook الخاص بك حتي نعرف كيف نحمي خصوصيتنا من الاختراق .. وتنطبق نفس الطرق علي باقي المواقع الاجتماعية.

والطرق كالتالي:

1- صفحات تسجيل الدخول المزيفة (Phishing Attacks)
2- برمجيات الطرف الثالث المستخدمة في حساباتنا (Third party Applications)
3- تخمين كلمة المرور (Brute force attacks)
4- تخمين الإجابات لطرق استعادة كلمة المرور
5- كلمات المرور المسجلة في متصفحك

الآن دعونا نفصل كل نقطة علي حدي حتي نفهمها جيدا.

1- صفحات تسجيل الدخول المزيفة (Phishing Attacks)
بالطبع هذا هو أكثر أنواع الهجوم إنتشارا فمن منا لم يصله رابط يشبه رابط موقع الفيس بوك ويطلب منه تسجيل الدخول حتي يمكنه رؤية الفيديو الفلاني او الصورة التالية الخ
وفي هذا الهجوم يستخدم المخترق أسماء نطاقات(domains) تشبه نطاقات الفيس بوك .. مثال:
fb
هل لاحظت الفارق؟

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1-  تأكد بأن الرابط انت من كتبته بيدك ولم يأتيك من خلال رساله علي الفيس بوك او رساله علي بريدك الإلكتروني.
2- عليك بالتأكد من ان الموقع الذي تقوم بإدخال بياناتك فيه هو رابط موثوق يبدأ ب https

2- برمجيات الطرف الثالث المستخدمة في حساباتنا (Third party Applications)
المقصود بهذه الجملة هي البرمجيات (applications) التي لم يتم برمجتها بواسطة الفيس بوك ولكنها تستخدم لإضافة ميزات لحسابك في فيس بوك .. مثل برمجيات الألعاب, وبرمجيات المحادثة او برمجيات الأخبار .. أمثلة علي ذلك:
المزرعة السعيدة .. Skype .. اعرف من اكثر صديق مقرب إليك .. اعرف من زار بروفايلك .. اعرفي اسم زوجك المستقبلي!

وغيرها من البرمجيات التي نستخدمها في حساباتنا . ولكن!
عندما تقوم بالإشتراك في أحد هذه البرمجيات ستأتيك رسالة تخبرك بالتالي وتطلب منك تأكيد ذلك:
facebook_allow_access
هل تري مقدار البيانات التي سيتمكن هذا التطبيق من الحصول عليها في حسابك بمجرد الموافقة علي الاشتراك فيه؟!!

ولكن للأسف المشكلة انه ﻻ أحد يقرأ اصلا ما هو مكتوب .. فلدينا ثقافة “أضغط Next حتي النهاية!”

الكثير من هذه البرمجيات يكون خطير جدا حيث يمكن لصاحب هذه البرمجيات التحكم في حساباتنا بشكل كامل مثل النشر علي صفحتنا والحصول علي نسخه من البريد ألإلكتروني و الصور الخاصة بنا إلخ.

وهنا شرح فيديو لأحد مكتشفي الثغرات يستخدم ثغره في أحد البرمجيات علي الفيس بوك لإختراق المستخدمين والتحكم بحساباتهم:

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1- ﻻ توافق علي هذه البرمجيات إلا الموثوق منها فقط
2- لا تسمح بالبرمجيات التي ستحصل علي صلاحية كاملة علي حسابك!
3- تأكد من البرمجيات الموجودة في حسابك من خلال الرابط التالي وقم بحذف البرمجيات التي تشك بأمرها أو لم تعد تستخدمها
https://www.facebook.com/settings?tab=applications

3- تخمين كلمة المرور (Brute force attacks)

هناك العديد من الأشخاص يستخدمون كلمات مرور سهله يمكنه تخمينها بسهوله مثل رقم هاتفه او اسمه او ارقام مثل 123456789 او 123qwe وغيرها من كلمات المرور التي يسهل تخمينها .. وكلمات المرور كهذه تجعل حسابك معرض للاختراق في أي لحظة!

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1- قم بعمل كلمة مرور صعبه تحتوي علي حروف صغيرة وكبيرة + أرقام
فمثلا لو كنت تنسي كلمة مرورك كثيرا لذلك اخترت ان تكون كلمة المرور هي اسمك .. فيمكنك ايضا عملها بشكل صعب ﻻ يمكن تخمينه
فمثلا لو أن اسمك هو mohamed واردت ان تكون كلمة محمد هي كلمة مرورك فيمكنك تعديلها بحيث تصبح كلمة مرورك هي M0hAmeD!$
هو نفس الاسم ولكن تم استبدال حرف O برقم صفر واستخدام حروف صغيره وكبيرة + بعض الرموز
هذا مثال بسيط وبالطبع يمكنك زيادة ارقام او التعديل عليها كما تشاء المهم ان لا تجعلها سهلة التخمين

4- تخمين الإجابات لطرق استعادة كلمة المرور
حيث يفوم المخترق بمحاولة إستعادة كلمة المرور الخاصة بك .. وفي هذه الحالة سيظهر له سؤال الأمان الذي قمت أنت باختياره حتي تتمكن من خلاله بإسترجاع كلمة مرورك في حالة فقدانها .. للاسف كثيرون يختارون أسئله سهله مثل محل الميلاد .. المنطقة التي تعيش بها .. اسم الأب وخلافه من هذه الأسئلة التي يمكن تخمينها بسهوله وهو ما يعرض حسابك للاختراق.
Facebook-Answer-Your-Security-Question

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1-قم بإختيار سؤال سري يصعب تخمين إجابته
2- حاول تجنب طريقة استرجاع بريدك من خلال السؤال السري ويفضل ان يكون إستعادة كلمة مرورك من خلال بريد إلكتروني آخر تملكه أو من خلال رقم هاتفك.

5- كلمات المرور المسجلة في متصفحك
حينما تقوم بتسجيل الدخول إلي موقع الفيس بوك أو اي موقع آخر فان المتصفح سيقوم بسؤالك .. هل تود حفظ كلمة المرور في المتصفح؟
هذا الخيار يتيح لك ان تقوم بحفظ كلمة المرور في المتصفح وعندما تقوم بتسجيل الدخول في المره القادمه لن يتوجب عليك كتابة كلمة المرور مره اخري فهي محفوظه في المتصفح كل ما عليك هو الضغط علي زر تسجيل الدخول فقط.

نعم هو خيار يسهل عليك الموضوع ويساعدك أيضا علي ان ﻻ تحفظ كلمات مرورك أًصلا!  ولكن ما مدي خطورة هذه الميزة؟

تخيل ببساطة انك قمت بعمل ذلك علي جهازك في العمل .. أي شخص يمكنه الجلوس علي حاسوبك لن يستغرق اكثر من دقيقتين لاستخراج كلمات المرور التي قمت بحفظها في متصفحك!

فلو أنك تستخدم متصفح ال Firefox علي سبيل المثال فيمكنك التأكد من كلمات المرور المسجلة في متصفحك من خلال الخطوات التالية:

1- من قائمة متصفح الفايرفوكس قم بالذهاب الي Tools ثم Options وفي إصدارات اخري من المتصفح تكون باسم Edit ثم Preferences
2- من القائمة التي ستظهر لك اختار Security ثم Saved Passwords
3- ستظهر لك قائمة بكل المواقع وكلمات المرور واسم المستخدم التي قمت بحفظها في متصفحك!!!
firefox-password

اذا كما تري فالأمر ﻻ يستغرق سوي بضع ثواني حتي يمكن لأي شخص يمكنه الجلوس علي حاسوبك حتي يقوم بأخذ كلمات المرور الخاصة بك!

كيف أحمي نفسي من هذا انوع من الإختراقات؟

1- ﻻ تقم بحفظ كلمات المرور الخاصه بك في المتصفح بالطبع!
2- اذا كنت تواجه مشكلة النسيان فإرجع للحل رقم 1 في طريقة الاختراق رقم 3 في نفس الموضوع.
3- ان كنت لا محالة تريد حفظ كلمات المرور الخاصة بك فيمكنك استخدام احد برامج حفظ وتشفير كلمات المرور الخاصة بك مثل KeePass وغيره
4- ان كنت ﻻ محالة تريد فعل ذلك وتتكاسل عن استخدام برامج حفظ وتشفير كلمات المرور فيمكنك علي الأقل حفظ كلمات المرور الخاصه بك في ملف Text وحفظه في مكان ليس بالسهل إيجاده داخل حاسوبك.
5- إن كنت لا محالة تريد فعل ذلك وﻻ يمكنك استخدام اي من الطرق أعلاه .. فاكتب كلمة مرورك في Post علي الفيس بوك وأرح عقلك 😀

شكرا لمتابعتكم.

مجتمع الحماية العربي – التّحدّي الثاني

الشهر الماضي أطلقنا تحدي المجتمع الأول لهذا العام، وبفضل الله كانت المشاركة فيه كبيرة ووصلنا العديد من الإجابات الصحيحة ولهذا كان اختيار الفائزين فيها صعباً. الفائزون في التحدي الأول كانا الأخ علي الحبشي من الكويت حيث فاز بالمركز الأول وحصل على اشتراك سنوي في مجلة اختبار الأختراق. في حين فاز الأخ بركات سرور من السعودية بالمركز الثاني وحصل على برنامج حماية من شركة الحماية الشهيرة BitDefender. واليوم نعلن بفضل الله وتوفيقه عن انطلاق الجزء الثاني من سلسلة التحدي والذي تم وضعه بالتعاون مع شركة سيكيورتي نينجا وممثلها الأخ الأستاذ محمد رمضان.  سلسلة التّحدّي والتي هي عبارة عن مسابقات في أمن المعلومات، هي ثمرة تعاون بين مجتمع الحماية والعربي ومجلة الاختراق وشركة بت دفندر – الشرق الأوسط. سيحصل الفائزون في هذه المسابقات على جوائز قيمة جدّاً من الشركات الراعية.

حظّاً طيباً للجميع

التّحدّي الثاني

النص التالي يحتوي على نص يشكل بداية الطريق في هذا التحدي الممتع. قم بتحليل النص حتى تحصل على باقي تفاصيل التحدي:

104 116 116 112 58 47 47 100 108 46 100 114 111 112 98 111 120 46 99 111 109 47 117 47 49 48 55 54 49 55 48 48 47 123 99 104 97 108 108 101 110 103 101 46 122 105 112 44 99 104 97 108 108 101 110 103 101 46 98 122 50 44 97 100 109 105 110 46 116 120 116 125

الشروط

1- ترسل الإجابات إلى العنوان التالي

 

2- الإجابة يجب أن تكون على شكل نص (Plain Text)

3- آخر موعد لاستلام الإجابات هو ١٥ يوليو (تموز) 2012

4- سيتم إعلان النتائج في أول شهر رمضان المبارك إن شاء الله

مجتمع الحماية العربي – التّحدّي الأول

بعون الله وتوفيقه يعلن مجتمع الحماية العربي سلسلة التّحدّي والتي هي عبارة عن مسابقات في أمن المعلومات. هذه السلسلة هي ثمرة تعاون بين مجتمع الحماية والعربي ومجلة الاختراق وشركة بت دفندر – الشرق الأوسط. سيحصل الفائزون في هذه المسابقات على جوائز قيمة جدّاً من الشركات الراعية.

حظّاً طيباً للجميع

التّحدّي الأول

تعرض حاسوب في شركة إلى الاختراق، حيث قام المخترق باستخدام ثغرة شهيرة من أجل السيطرة على حاسوب الضحية. هل تستطيع مساعدة الشركة في معرفة الحاسوب الذي تمّ اختراقه عبر الإجابة على الأسئلة التالية؟

ما هو عنوان الضحية؟

ما هو نظام تشغيل الضحية؟

ما هي الأوامر التي نفذها المهاجم على حاسوب الضحية وما هو الغرض منها؟

كيف كان بإمكان الشركة منع مثل هذا الهجوم؟

سؤال إضافي:

ما هي الثغرة التي أدى استغلالها الى اختراق حاسوب الضحية؟

الشروط

1- ترسل الإجابات إلى العنوان التالي

 

2- الإجابة يجب أن تكون على شكل نص (Plain Text)

3- آخر موعد لاستلام الإجابات هو 31 مايو (آيار)  2012

4- ذكر الطريقة التي توصلت بها إلى الإجابة والإجابة على السؤال الإفتراضي ستعطيك علامات إضافية قد تساعدك في تحسين فرصك بالفوز.

ملف التّحدّي

تحميل

وثائق ويكليكس تظهر تجسس الحكومات باستخدام برامج مشبوهة

أظهرت الوثائق التي نشرها مؤخراً موقع ويكليكس نظرة عن قرب حول برامج التجسس التي تقوم الحكومات باستخدمها من أجل التجسس على مواطينها او مواطني دولٍ أخرى. الوثائق تظهر نشرات دعائية سريّة (دعاية مخصصة لجهات الحكومية وليس عامة النّاس)، بالإضافة إلى ملفات عرض تستخدمها الشركات في تسويق أدوات المراقبة والتجسس للحكومات والأجهزة الأمنية.

التقرير الذي نشره الموقع يثير علامات استفهام حول مثل هذه البرامج التي تقوم بمراقبة لدولة بكاملها وقانونية هذا الاستخدام. صحيح أنّ الرقابة على الانترنت أمر متوقع من قبل أنظمة شمولية سواء في منطقتنا العربية أو في مناطق تعتبر من العالم الثالث. ولكن رواد ومطوّرا مثل هذه التقنيات هم دول تدعي الديمقراطية، ولكنها لا تمنع في بيع مثل هذه الأنظمة لدول تعرف الحكومات الغربية أنها ستستخدمها في قمع شعوبها. بل إنّ الدول الغربية تستخدمها أيضاً بحق مواطنيها وهو ما يجعل الإدعاء بالحرية وخلافه عبارة عن نكتة سمجة.

الوثائق التي نشرها موقع ويكليكس تعيد إلى الأذهان تقريراً نشرته منذ فترة قريبة جريدة وال ستريت جورنال وقمنا بنشره في مجتمع الحماية العربي.

تقع وثائق ويكليكس في 287 ملف تصف منتجات ل160 شركة حيث قال الموقع أنّ هذا الوثائق عبارة جزء من مجموعة اكبر من الملفات سيجري نشرها تباعاً في المستقبل. حسب التقرير فإن “أجهزة المخابرات، والقوات المسلحة والشرطة لديها القدرة على مراقبة جمعية واعتراض مكالمات هاتفية والسيطرة على حواسيب دون مساعدة أو حتى معرفة شركات الاتصالات”.

وسائل المراقبة التي كشف عنها في الملفات تغطي مجموعة واسعة من تقنيات الاتصالات. العديد منها مصمم لتغطي وسائل الحماية وحفظ الخصوصية بغرض جمع أكبر كم من المعلومات من أجهزة المواطنين. بل إن بعض هذه البرامج صممت لتعمل تماماً مثل البرامج الضارّة.

أحد هذه البرامج التي تعمل مثل البرامج الضّارة، برنامج من انتاج شركة تدعى DigiTask. حسب وثائق الشركة، فإن البرنامج مصمم ليعمل على أنظمة ويندوز، ماك او اس، ولينكس، وبعض الهواتف الذكية. البرنامج بإمكانه تغطي تشفير SSL (وهو عبارة عن برتوكول يقوم بحماية المعلومات التي يتم تبادلها بين حاسوب المستخدم وموقع انترنت مثلا موقع فيسبوك). البرنامج بقوم كذلك بالتقاط المحادثات الفورية (مثل ياهو ماسنجر وغيرها)، بالإضافة إلى البريد الالكتروني وتصفح الانترنت. بالإضافة إلى ذلك فإن البرنامج يحتوي على مسجل مفاتيح (تقنية تقوم بتسجيل كل مفتاح يقوم المستخدم بضغطه في لوحة مفاتيحه)، وإمكانية للوصول الى ملفات المستخدم عن بعد، كذلك قدرته على التقاط صور لسطح المكتب.

كذلك حسب منشورات الشركة، فإن برنامجها يقوم باستخدام ثغرات اليوم صفر والهندسة الإجتماعية كوسائل مساعدة في تثبيت برامجها على حواسيب المواطنين.

شريحة تظهر امكانيات برنامج شركة Digitask

 

شريحة تظهر امكانيات برنامج شركة Digitask

 

شريحة تظهر امكانيات برنامج شركة Digitask

لمزيد من التفاصيل يمكنكم زيارة موقع ويكيلكس

المصدر: وكالات أجنبية + ويكيليكس

أنظمة المراقبة والتجسس الالكترونية

من وضع برامج تجسس على حواسيب الضحايا، إلى التنصت على الاتصالات ومتابعتها وارشفتها، ومراقبة الهواتف النقالة…إلخ. تقوم العديد من شركات التكنولوجيا بتطوير تقنيات تساعد الحكومات في قمع مواطنيها أو التجسس على مواطني دول اخرى. في تحقيق صحفي نادر  و عبر الاطلاع على أكثر من 200 منشور دعائي لشركات متخصص في أنظمة التجسس والمراقبة، قامت صحيفة وال ستريت جورنال بنشر تقرير مثير حول تقنيات التجسس والمراقبة التي تستخدمها الحكومات في مراقبة مواطنيها وعالمنا العربي يأتي كالعادة في صلب مثل هذه التقنيات. الصحيفة اتبعت تقريرها بفهرس كامل تمّ تجميعه من المنشورات الدعائية للشركات المصممة لهذه التقنية.

في هذه المقالة سنتناول جزءاً من هذه التقنيات على أن نعود إن شاء الله في موضوع آخر لنلقي نظرة أخرى على الوثائق وما تضمنه من معلومات.

تمّ تقسيم التقنيات وفق استخداماتها الى خمسة أقسام وهي القرصنة، الاعتراض، التحليل، المسح، والمجهولية. وفي ما يلي تفصيلها:

القرصنة

صورة تظهر نظام يستطيع مراقبة مئات آلاف الأهداف ويمكن ادارة بلوحة تحكم سهلة تقوم بتسهيل مراقبة النشاطات اليومية - نقلاً عن WSJ

العديد من الشركات توفر أدوات تستخدم في العادة من القراصنة أصحاب القبعات السوداء (القراصنة الذين يقوم بأعمال القرصنة للأغراض التخريبيّة أو سرقة معلومات الضحايا وبيعها في السوق السوداء). في الصورة أعلاه منتج لشركة تدعى HackingTeam يستطيع مراقبة مئات آلاف الأهداف حسب ما تدعي الشركة.

شركة أخرى تدعى VUPEN تقوم باستغلال ثغرات في أنظمة التشغيل بالإضافة الى البرامج (مثل ارواكل) من أجل زرع برامج أجهزة الضحايا، ولكن الشركة تدعي انّها لديها قيود أمنية على مناطق بيع المنتج. منتج هذه الشركة لا يختلف عن أداة مثل الثقب الأسود والتي يقوم بتطويرها قراصنة القبعات السوداء.

شركة أخرى تدعى FinFisher تطرح منتجات متعددة ضد انظمة مختلفة. المثير في منتجات هذه الشركة أنّها تقوم بتزوير تحديثات منتجات أدوبي كفلاش مثلاً أو iTunes من أبل (هذا له قصة أخرى حيث ان الثغرة المستخدمة اعلن عنها من 3 اعوام ولم تقم أبل بترقيعها إلّا قبل حوالي شهر أو أقل ولكن سنعود إلى هذا الموضوع في مقال آخر ان شاء الله).

رسم بياني لطريقة عمل أجهزة FinFisher

شركة FinFisher ظهر اسمها اثناء الثورة المصرية حيث قامت بعروض لجهاز أمن الدولة المصري حول أنظمة تجسس على المواطنين المصريين.

وثائق شركة FinFisher تقول أن منتجات الشركة تستطيع إصابة الحواسيب عبر تزوير مواقع انترنت، أو تزيف تحديثات لأنظمة مشهورة، ثم تقوم أنظمة المراقبة التي تطورها الشركة في متابعة كل ما يقوم به المستخدم على الانترنت. هذا يشمل البريد الالكتروني وعادات التصفح وحتى الوثائق التي يجري ارسالها.

الأنظمة التي يمكن لأجهزة FinFisher اختراقها - نقلاً عن WSJ

وثائق الشركة تظهر أن باستطاعة أنظمتها اختراق نظم تشغيل مايكروسوفت وأبل. متحدث باسم أبل ذكر لصحيفة وال ستريت ان شركته تبحث باستمرار عن حلول لأي مشاكل قد تؤدي الى اختراق أنظمتها (والدليل استغراقهم 3 سنوات لاغلاق ثغرة)، في حين رفضت شركة مايكروسوفت التعليق.

الاعتراض

رسم بياني لأحد انظمة الاعتراض - نقلاً عن WSJ

شركات المراقبة قامت بتطوير انظمة للتعامل مع الكم الهائل للبيانات. اجهزة الاعتراض التي قامت هذه الشركات بتطويرها تستطيع اعتراض كافة البيانات التي تسير في شبكة مزود الخدمة وحتى مزودي الخدمة العمالقة ومن ثم تمرير هذه البيانات من خلال معدات تقوم بفحص حزم البيانات، وتحديد محتواها، ومن ثم اتخاذ قرار بعمل نسخة منها يتم ارسالها الى الأجهزة الأمنية.

مراقب الهواتف النقالة

أجهزة الهاتف النقال تأتي دائماً في صلب معدات الاعتراض والمراقبة -نقلاً عن WSJ

تحديد المواقع عبر أجهزة الهاتف النقال تعبر جزءاً أساسياً من أدوات القوى الأمنية. هذه الأنظمة تعتمد في الغالب على ما يعرف بالتثليث لتحديد موقع الهاتف. في التثليث يتم اختبار قوّة الإشارة بين الهاتف والبرج الهوائي ومن خلال عمليات حسابية يتم تحديد مكان الهاتف بدقة.

الأبراج وعملية التثليث ليستا الوسيلتان الوحيدتان في تحديد موقع الهاتف فهناك أدوات يمكن حملها باليد وتقوم بعملية الكشف وحدها دون الاستعانة بالأبراج.

أجهزة للكشف عن مواقع الهواتف النقالة - نقلاً عن WSJ

رجل المنتصف

رجل المنتصف هو أحد اسم لأحد الهجمات الحاسوبية والذي يقوم فيه المهاجم بوضع نفسه بين الضحية والهدف (في الأغلب الخادم الذي يقوم الضحية بالاتصال به). من خلال هذا الهجوم يستطيع المهاجم اعتراض الاتصال والتنصت عليه أو حتى تغيره عبر تعديل البيانات التي يتمّ ارسالها بين الضحية والخادم، وهو ما يجعل امكانية زرع ملفات ضارة امراً ممكناً حيث يتمّ حقن الاتصال بمثل هذه البيانات، أو تزوير الصحفة التي يحاول الضحية الوصول إليها بصحفة أخرى ملغومة.

تحليل البيانات

أحد انظمة تحليل البيانات - نقلاً عن WSJ

كمّ البيانات الهائل الذي يتمّ جمعه من الأجهزة الأمنية المتعددة سواء عبر القرصنة أو الاعتراض أو طرق التجسس التقليدية يحتاج الى برامج متقدمة من أجل تخزين وتحليل البيانات. الشركات المطورة لمثل هذه البرامج تحاول التركيز على قدرة البرامج التي تطورها على القيام بتحليل البيانات المجعمة وتكوين صورة متكاملة عن الهدف أو اكتشاف نمط معين قد لا يتم اكتشافه عند تحليل جزء من البيانات.

من التحديات التي تواجه المراقبين التعامل مع لغات أخرى وتحليل البيانات التي يتمّ تجميعها بهذه اللغات. فالكلمات يختلف معناها حسب السياق الذي تأتي فيه. هناك شركة عديدة تدعي قدرتها على تحليل مثل هذه البيانات كشركة Expert Systems

مثال توضيحي لأنظمة التحليل اللغوي - نقلاً عن WSJ

التنصت على المكالمات الهاتفية

نظام تنصت على المكالمات الهاتفية -نقلاً عن WSJ

التنصت على كم هائل من المكالمات الهاتفية يتطلب حواسيب تقوم بالبحث خلال الأصوات وتحديد موضوع المكالمة. الشركة المطورة لهكذا برامج تقوم بالدعاية لقدرة منتجاتها على تحليل الكلام بلغات متعددة والكشف عن كلمات معينة اذا وردت خلال المكالمة والموضوع العام للمكالمة وفي بعض الأحيان الشخص المتحدث.

مسح الشبكة العنكبوتية

جمع البيانات من مصادر متعددة - نقلاً عن WSJ

ماسحات الشبكة تقوم بجمع البيانات من مواقع متعددة وتخزينها في قاعدة بيانات من أجل تحليلها لاحقاً. OSINT او الاستخبارات مفتوحة المصدر تقوم على جمع البيانات من مواقع عامة مثل السجلات الحكومية، وسائل الاعلام، الشبكات الاجتماعية إلخ ومن ثم تحليلها.

تقنية Deep Web

تقوم هذه التقنية على جمع المعلومات من مواقع لم تقم محركات البحث بفرستها. هذا يشمل الوثائق وصفحات الانترنت.

المجهولية

رسم بياني يظهر كيف يدخل عميل مخابرات غربية الى موقع عربي من خلال عنوان مصري - نقلاً عن WSJ

هذه التقنية تتيح للمحقق تصفح مواقع انترنت (في الأغلب مواقع عربية) أو بناء ملف شخصي على الانترنت دون أن يظهر موقعه الحقيقي (مثلاً محقق في دولة غربية يظهر وكأنه قادم للمواقع من عنوان عربي) وهذا يتيح للمحقق مراقبة أسهل لهدفه.

 

دودة جديدة تضرب إيران والسّودان

في منتصف الشهر الحالي ظهرت تقارير تتحدث عن ظهور دودة جديدة مشابهة لدودة Stuxnet والتي ضربت المفاعلات النووية الإيرانيّة في منتصف 2010. وبعيداً عن الجدل الدّائر حول إذا ما كان الفريق الذي طوّر Stuxnet هو نفسه الذي قام بتطوير الدودة الجديدة والتي اطلق عليها Duqu، أمّ أنّه فريق مختلف، فإن الأمر المؤكد هو أنّ هذه الدّودة متطورة بشكل كبير جدّاً. فمختبرات شركة الحماية كاسبيرسكي قد أظهرت وجود أربع إصدارات من هذه الدودة حتى اللحظة، ثلاثة منها في إيران والرابع في السودان.

كل نوع من هذه الأنواع (او  التعديلات) للدّودة تستخدم آلية إصابة للنظام مختلفة. ففي حالة استخدمت موجّه يستخدم شهادة رقميّة مزيفة، وفي حالات أخرى لم يستخدم الموجّه أي شهادة. وفي بعض الحالات كان هناك مؤشرات على وجود إصابة بالدودة ولكن لم يعثر على الملفات أثناء دراستها. هذا اعطى إنطباع للباحثين أنّ الدودة تغير من هدفها والذي لا زال معروفاً حتى الآن تبعاً للحاسوب أو النّظام الذي قامت بإصابته.

أحد الدراسات التفصليّة لهذه الدودة قامت بها شركة سيمانتك، والتي ذكرت أنّها حصلت على عيّنة مخبريّة لهذه الدودة في الرابع عشر من الشهر الحالي (اكتوبر تشرين اول). حيث ذكرت الدّراسة أن العيّنة التي تمّت دراستها أظهرت العديد من أوجه الشبه بين هذه الدودة و Stuxnet إلى الحدّ الذي دفع القائمين عليها للقول بأن Duqu هي ابنة (أو ابن) Stuxnet، أو Stuxnet 2.0.

ما نعرفه عن الدّودة حتى الآن؟

الدودة اطلق عليها اسم Duqu لأنّها تقوم بإنشاء ملفات مسبوقة بالأحرف DQ. العينة التي حصلت عليها شركة Symantec مصدرها هو مؤسسة أوروبيّة. الهدف الظاهر للدودة وفقاً ل Symantec هو جمع المعلومات (وإن كان الهدف الحقيق غير معلوم لغاية الآن) من شركات صناعيّ وغيرها من أجل استخدامها في هجمات مستقبلية. Duqu لا تحتوي على اكواد متعلقة بأنظمة التحكم الصناعي وفقاً ل Symantec، فهي بدرجة أساسية مشابهة لتروجانات التحكم عن بعد (المعروفة ب RAT)، والتي تسمح للمهاجم بالتحكم عن بعد بحاسوب الضحية. الدودة تقوم بتحميل برنامج لسرقة المعلومات والذي يقوم بتسجيل جميع المفاتيح التي قام الضحيّة بضغطها في لوحة مفاتيحه بالإضافة إلى معلومات أخرى وارسالها للمهاجم.

Duqu تستخدم كلاً من HTTP و HTTPS للاتصال بخادم التحكم والاتصال وعنوانه 206.1830.111.97 وهو موجود في الهند. السلطات الهندية قامت اليوم (29-10) بمصادرة بعض العتاد من هذا الخادم ضمن إطار التحقيق في هذه الدودة. Duqu استخدمت هذا الخادم في تثبيت البرنامج الذي يقوم بسرقة المعلومات. حيث تقوم الدودة بتشفير البيانات التي تمّ جمعها تمهيداً لإرسالها.

Duqu تقوم باستخدام برتوكول اتصال للتحكم والاتصال مخصص لها، يقوم مبدئيّاً بتحميل أو رفع ما يبدو أنّه ملف صوري بامتداد jpg. ولكن بالإضافة لهذا الملف الوهمي يتمّ كذلك ارسال المعلومات مشفرة من وإلى حاسوب الضحيّة.

أخيراً الدودة مبرمجة لتقوم بحذف ذاتها بعد 36 يوماً من الإصابة، وهو ما يصعب على الخبراء عملية التحقق من الإصابة. وفقاً ل Symantec في بعض الحالات استلمت الدودة أوامر من أجل البقاء مدّة اطول من 36 يوماً.

تحديث 1 – 1-11-2011:

تم العثور على أحد الملفات التي تقوم بتحميل الدودة على حاسوب الضحيّة حيث تبين أنّها عبارة عن ملف مايكروسوفت وورد يحتوي على استغلال لثغرة اليوم صفر في نواة نظام ويندوز. مايكروسوفت قالت أنّها تقوم بدارسة الثغرة لاصدار ترقيع في أقرب وقت.

سنقوم إن شاء الله بتغطيّة مفصّلة لهذا الموضوع قريباً.

تقرير: مراقبة الانترنت في سوريا

أشارت تقارير في مطلع الشهر الحالي إلى استخدام النّظام السوري لأجهزة مراقبة للإنترنت من انتاج شركة أمريكيّة تدعى BlueCoat. لا غرابة في الموضوع حتى اللحظة كون أنظمة أخرى استخدمت أدوات مشابهة لمراقبة مواطنيها مثل أمن الدولة المصري الذي استخدم أنظمة من انتاج شركة بريطانيّة. أمّا النظام الليبي فقد استخدم اجهزة مراقبة من انتاج فرنسي، وهناك العديد من الأمثلة الأخرى لدول عربيّة أخرى تستخدم هذه الأجهزة ،لن نتطرق إليها الآن. لكن الغريب أن تقوم شركة امريكية ببيع أجهزة مراقبة انترنت لدولة على اللائحة السوداء لأمريكا. صحيفة وال ستريت جورنال قامت بعمل تحقيق صحفي ومقابلات مع مسؤولي شركة BlueCoat والذين قاموا بنفي علمهم بأن أجهزتهم قد بيعت للنظام السوري مباشرة، وإن كانوا قد اعترفوا بأنّ الأجهزة موجودة بالفعل في سوريا.

حسب الصحيفة عدد من كبار مزوّدي الانترنت في سوريا يستخدمون هذا الأجهزة منذ 2005. الأربعة عشر جهاز الذين حصلت عليهم سوريا مقابل حوالي 700 ألف دولار هم العدد الأكبر حتى الآن الذي تمّ بيعه في صفقة واحدة. وإن كانت سوريا تمتلك 25 جهازاً من أجهزة BlueCoat. غالبية الأجهزة تمّ شراؤها عبر وسيط متواجد في دبي.

الكشف عن وجود هذه الأجهزة يعود الى شهر أغسطس (آب)، حين قامت مجموعة من نشطاء الانترنت تطلق على نفسها تليكومكس (Telecomix) باختراق أحد هذه الأجهزة والوصول إلى سجّلات هذا الخادم والتي أظهرت فلترة أجهزة BlueCoat. هذه السجّلات منشورة على الانترنت ويمكن الحصول على رابطها في نهاية هذا التقرير.

أظهرت السجلات أن أجهزة BlueCoat قامت بحجب 6% من مجموع 750 مليون طلب (لصفحات انترنت) ما بين 22 يوليو (آذار) و 6 أغسطس (آب). كما قاموا بمراقبة أو منع 26 ألف محاولة اتصال بمواقع للمعارضة تغطي الثورة السورية مثل all4syria.info و welati.net.

ما هي هذه الأجهزة؟

شركة BlueCoat هي شركة متخصص في بيع أجهزة مراقبة للأنترنت. الأجهزة التي جرى الحديث عنها هي ProxySG 9000 وهي تعتبر الأعلى مواصفات وأداءاً في مجالها.

أجهزة ProxySG 9000

ما هي امكانيّات هذه الأجهزة؟

هذه الأجهزة لديها القدرة على اعتراض أي اتصال يقوم به مستخدم الانترنت سواء كان اتصال عادي (غير مشفر) مثل HTTP، أو حتى الاتصالات المشفرة عبر HTTPS. كذلك يمكن لهذه الأجهزة التحكم بالكلمات المتفاحية التي يقوم المستخدمون بإدخالها في محركات البحث. مثلاً منع المستخدمين من الوصول الى نتائج البحث عن كلمة ثورة. الشركة في صفحة التعريف بالمنتج قسم التحكم بالتطبيقات(1) تعرض قدرات نظامها كالآتي:

السماح بالوصول الى الصفحة أو منعه سواء كان المحتوى فيديو أو غيره

السماح ب أو منع الوصول إلى مواقع

 

بالإضافة إلى السماح أو منع الوصول، يمكن لهذه الأجهزة تعديل المحتوى والتحكم فيه. مثلاً عن طريق وضع مشاركات، رفع صور، إرسال رسائل إلكترونيّة (عبر انتحال المستخدم)، تحميل الملفات المرفقة في الرسائل الالكترونيّة

مراقبة الشبكات الإجتماعية

مراقبة البريد الإلكتروني

 أمثلة حيّة لمواقع تمّت مراقبتها أو منع الوصول إليها

محاولات الوصول إلى صفحات انترنت - الصورة من موقع جريدة وال ستريت جورنال

 

مثال على صفحات فيسبوك - صورة مأخوذة من جريدة وال ستريت جورنال

بعض نشطاء الانترنت قاموا بنشر سجلات المراقبة لهذه الاجهزة في سوريا، ويمكن الحصول على هذه السجلات من هنا

1) hxxp://www.bluecoat.com/security/web-application-controls