RSSمحتويات التصنيف: "عام"

كيف تبدأء في مجال أمن المعلومات

Security concept: Lock on digital screen

في البدايه احب اوضح ان مجال امن المعلومات مجال واسع وهو يضم العديد من المهارات  وابضاً يتفرع منه عده مجالات فرعيه فأذا كنت من العاشقين لهذا المجال فستفيدك هذه المقالة بأذن الرحمن

هذا المجال الرائع يتطلب الكثير من الدراسه والجهد وكل شىء يعتمد على الأساسيات  فكما يقال (الأساسيات تصنع المعجزات ) فى مقالتنا هذه سنركز على الأساسيات الذى يستطيع أى شخص بدأ فعلياً فى امن المعلومات أن يشق بها طريقه بكل سهوله ويسر

الباحث الامنى يجب أن يكون مطلع على كل الجديد والمستحدث فى هذا المجال  من أخبار الأمن الالكترونى وأخر أخبار الثغرات ألخ  وهذا لن يتم إلا عن طريق تعلم اللغه الانجليزية

فأول العوامل هذه هو تعلم اللغه بشكل عام حتى يتمكن الباحث الأمني من متابعه اخر التطورات التى تطرأ على مجالنا هذا  فيمكننا الأن تعلم الانجليزية ببساطه عن طريق الانترنت  فالم يعد ذلك صعباً بعد الأن  وبعيداً عن الكثير من الحديث عن مزايا اللغه أنصحكم بكورس معهد Berlitz   فهو كورس قوى جداً بالبحث وتحميله والاستفادة منه فهو اكثر من رائع ويناسب جميع المجالات

أما بالنسبه لمحبين الشرح المباشر والمدرس أمامك مباشره فأنصحكم بالبحث عن كورس English4u عن طريق موقع  Youtube وبالنسبه للأساسيات اللغه فأنصحكم بهذا الموقع   http://ar.talkenglish.com  فهو يحتوى على كثير من الدروس المفيدة ويمكن ان تستمع لها صوتياً وبهذا نكون قد انتهينا من احد اهم النقاط في موضوعنا

ونأتى للنقطه الثانية فماذا بعد تعلم اللغه نأتى للعامل الثانى إلا وهو القاعده التقنية الكافية للدخول فى هذا المجال فمثلا الشخص الأمني بحق يجب أن يكون ملماً ببعض انظمه التشغيل أو الشائع منها وأيضاً الشبكات وبنائها لنرى معاً الصورة او الخريطة التى يجب أن يضعها الباحث الأمنى لنفسه

Nfg7c

 المرحله الاولى

وهى دراسه كورس مثل Mcitp  أو Mcsa  وذلك حتى يصل الدارس الى مستوى الـ Administrator وذلك فى بيئه العمل ويندوز فعلينا الانتقال من مجرد مستخدمين عاديين للنظام (users) إلى مستوى الـ Admin  للتحكم الكامل بالنظام ومعرفه خبايا وطرق الحمايه وأيضاً الاختراق لهدف معرفه طريقه المخترقين . ومن وجهه نظرى أرجح دراسه دوره الـ Mcitp  فهى شامله وقويه لعديد من المهارات وينبثق منها الكثير من المجالات  فأذا كنت مقبل على دراسه الدورة فأنصحك بدراسه Enterprise administrator فهو جزء شامل وستتعلم الكثير منه بأذن الله

وللراغب دراسه Mcsa  فهو حر والدورة مفيده أيضاً  أما الجزء الثاني من المرحله الآولى  هو دوره RHCE وهو مهندس انظمه الريد هات  الدورة مفيده جداً للوصول لمستوى Admin فى انظمه Linux فعلى على الباحث الأمنى فى البدايه ان يتقن ويندوز ولينكس  وكما قلت فى السابق يتقنها كا مستوى Admin  وليس User

وبهكذا نكون قد انتهينا من المرحله الأولى وتأتى المرحله الثانيه

المرحلة الثانية

المرحلة الثانية وهى دراسه الشبكات ومعرفتها جيداً  فكيف هو حال الباحث الامنى بدون معرفه الشبكات جيداً فهنا علينا أيضا دراسه Network + الخاصه بشركه Compita  فهى دوره رائعة وتغطى خلفيتك بشكل ممتاز عن الشبكات

اما بالنسبه لدوره CCna  فهى خاصه بسيسكو  فأذا اتممت هذه الشهاده ونجحت فى اختباراتها  فأنت بلا شك عالم بشئون الشبكات جيداً  ولكن هناك ينقصك سلاح الخبره  و الخبره عن طريق انغماسك بالعمل الحقيقى فى بيئات شركات حقيقيه  تعطيك الأفضلية بين الناس لأن مؤهل بشهاده الدوره و مؤهل أيضاً بخبرتك فعليك الاختيار الحر بين الشهاديتن كما تريد

ملحوظه : جميع الشهادات التى نتكلم عنها موجوده بالفعل بشكل مجانى عبر مواقع عده ويمكنك البحث عنها على Google او Youtube

المرحله الثالثه

هنا هى عباره عن بداية الدخول فى عالم أمن المعلومات  دوره Security+  هى احدى دورات شركه Comptia  وتعطيك الدوره المفاهيم للبدايه فى هذا المجال  فاذا سرت على هذا الدرب من البدايه  ستجد معلوماتك قد تطورت بشكل سريع وقوى  ويمكنك أن تفهم مبادىء وأساسيات الأمن المعلوماتى

المرحله الرابعه

فهى عباره عن دوره CEH  وهى خاصه بمفاهيم عمليات الاختراق واساليب المخترقين  حتى وأن كنت رأيت الدوره مجرد مفاهيم  ففائدتها مساعدتك فى تحديد أى مجال من مجال الحمايه  تريد دراسته فهى مهمه جداً فى تحديد مجالك  فعند دراسه هذه الدوره  حاول أن تجد اى مجال سيحذبك أكتر  هل على سبيل المثال WEB APPLICATION  من فحص وحمايه  فعليك هنا بالقراءه عن اى مقال تقع فى يدك عن  الثغرات فى تطبيقات المواقع  والكثير غير هذا المجال  وكما قلنا فان شهاده CEH  هى بوصلتك التى ستعرف بها ماذا ستدرس فى مجال أمن المعلومات تحديداً

نكون هنا قد انتهينا من موضوعنا  اسئل الله عز وجل أن يوفقنا الى ما يحبه ويرضاه

بعض روابط الدورات التى تضمنها فى موضوعنا

اعتذر عن وضع بعد الروابط فقط ولكن يمكنكم البحث عبر Google , Youtube

حل تحدي مجتمع الحماية العربي

بالبداية أشكر جميع من شارك في هذا التحدي وقام بالمحاولة حتى وإن لم يصل الى الحل النهائي متأكد بإنه أستفاد من التحدي ولو الشيء القليل.

المشاركين الذين قاموا بحل التحدي هم ثلاث، أو بالأحرى أربعة كون أثنين من الشباب عملوا كفريق. الذين قاموا بحل التحدي وعلى حسب الترتيب هم:
1- رغدة حريز (طالبة ماجستير في أمن المعلومات)
2-أبو عبيدة عبدي (باحث في أمن المعلومات)
3- مصطفى العيساني ومحمد الغامدي (باحثون في أمن المعلومات)

مرفقا الأجوبة الثلاثة التي قاموا بكتابها:
الحل الأول | الثاني | الثالث

شكراً مرة أخرى لكل من شارك وإن شاء الله هذه ليست النهاية.

تحدي جديد من مجتمع الحماية العربي

chall

يسعدنا ان يعود إليكم من جديد مجتمع الحماية العربي بمزيد من التحديات المميزة و الشيقة و التي يشرف عليها فريق عمل المجتمع

تحدي اليوم معانا هدفه الأساسي هو  إستخراج جميع المعلومات الممكنة من الملف challenge2.pcap وذلك لتساعدك على قراءة الرسالة المخفية. التحدي فكرته جائت من التحديات التي يقوم بها Vivek Ramachandran الباحث الأمني الشهير في الأكاديمية التي يشرف عليها، لكن هنا تم إضافة نكهة آخرى. في هذا التحدي عليك أن تكون على دراية بسيطة على الأقل بالهجمات الموجهة للعميل أو ما يطلق عليها (Client Side Attacks) وذلك لكي تستطيع حل التحدي.

كذلك يجب أن تكون على دراية بكيفية قراءة الملفات من خلال Hex Editor بالإضافة الى معرفة ولو بسيطة بمسألة قراءة Header لأي ملف، كل حسب نوعه. المواقع التي سوف تفيدك هي:

عند نجاحك في حل التحدي يمكنك إرسال الحل او write-up إلى بريد مجتمع الحماية التالي:

[email protected]

  التحدي سوف يكون متاح لمدة 10 ايام بعد ذلك سوف نقوم بالإعلان عن اسماء اول 3 فائزين في حل التحدي و يتم التقيم حسب النقاط التالية:

1) سرعة الوصول و إرسال حل للتحدي

2) طريقة الوصول إلى الحل و الأسلوب المتبع

بالتوفيق للجميع ان شاء اللًه 🙂

قائمة اواسب 2013 للعشرة الاوائل في ثغرات الويب باللغة العربية

صدرت مؤخراً النسخة العربية من قائمة اواسب للعام 2013 للثغرات العشرة الاوائل في الويب. هذه الاصدارة هي حصيلة جهد رائع من مجموعة من الشباب العربي. قائمة اواسب تساعد كلاً من المطورين والباحثين في امن المعلومات في تركيز جهودهم على اهم واخطر ثغرات الويب من اجل الحماية منها او اكتشافها.

الشباب الذين شاركوا في هذه الترجمة (وفقاً للترتيب الابجدي) هم:

خليفة الشامسي
فهد
عبدالإله الصهيل
صبري صالح
مهند شحات
محمد الدوسري

لتحميل الاصدارة https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf

يتقدم مجتمع الحماية العربي بجزيل الشكر الى هؤلاء الشباب على عطائهم ورفعهم لمستوى الوعي الامني عربياً

تحديث 20/11: تم تعديل خطأ في أسماء الأخ مهند والأخ عبد الإله

مقابلة مع عمرو علي الخبير المصري في أمن المعلومات.

Amr Ali

أخي عمرو هل لك أن تعرفنا بنفسك؟

إسمي عمرو علي وعمري 24 عام .. بدأ إهتمامي بالكمبيوتر والبرمجة منذ سن صغير جدا ومن ثم توجهت الي مجال أمن المعلومات والتشفير وبدأت العمل فعليا منذ سن ال 16 عام كمبرمج C and C++ وغيرها
ثم سافرت للعمل في أمريكا في شركات تابعة لمجال أمن المعلومات لفترة وعدت إلي مصر وعملت مع العديد من صناع القرار في هذا المجال مثل طاهر الجمل و Jeff Bardin وغيرهم
وشاركت أيضا في العمل في مشاريع تخص أمن المعلومات ولكن علي مستوي عدة دول فمثلا حادثة مثل Stuxnet شاركت العديد من الدول في العمل علي هذا الفيروس لتحليله ومعرفة دوافعه ومن وراءه
والعديد من تلك المشاريع وقمت بإفتتاح شركة Databraket الخاصه بي وكان عمري 20 عام وكنت محاضرا في العديد من مؤتمرات أمن المعلومات حول العالم.

بما انك كنت أحد المحاضرين في مؤتمر BlueKaizen عن الحرب الإلكترونية عالميا .. كيف تري الحرب الإلكترونية في الشرق الأوسط؟

في كلامي عن الشرق الأوسط اري انهم دائما ضحايا فقط يعني لم اري لهم هجمات فعليه معروفه وهم دائما محط الهجوم.

ولكن يا عمرو لاتنسي بأن إيران هي أيضا جزأ من الشرق الأوسط وهي معروفه بقوتها في هذا المجال؟

لا أري ان هذا الكلام واقعي فإّيران كغيرها من الدول القمعية التي تريد نشر الحديث عن أنها دولة قويه في كل المجالات حتي تنشر عنها تلك الصورة ولكن فعليا ليس لديها القدرات البشرية لذلك

ألا تري ان موضوع اختراق وحدة الحرب الإلكترونية لنظام الطائرة بدون طيار الأمريكية وإنزالها هو شئ يدل علي قوة إيران في هذا المجال؟

من قال ذلك؟ هم أصلا فعلوا ذلك بأدوات روسية تستغل ثغرة في النظام الملاحي لهذه الطائرة وأعود لأكرر كون ان لديك القدرات علي إستخدام أدوات الغير لا يعني انك قوي ولاكن القوة تكمن في
مقدرتك أنت علي تصنيع الأدوات والبرمجيات والتكنولوجيا التي تستخدمها فمثلا أمريكا لديها شركة جوجل وشركة HP وغيرها وهم لديهم من التكنولوجيا ما لم نسمع عنه أصلا لذا تستطيع أن تقول بأن

أمريكا لديها القدرة علي تكوين وحدات حرب إلكترونية ولديها القدرة البشرية والتكونولوجية لذلك.

 هل تظن ان الدول العربيه تملك القدرة علي شن حرب الكترونية او حتي الدفاع عن منظوماتها في حالة نشوب حرب الإكترونية ضدها؟

ربما يكون هناك بعض الفرق في الدول العربية التي يمكنها إحداث الضرر أو الخسائر بدول أخري ولاكنه ليس الهجوم الذي يرقي إلي مستوي الحرب الإلكترونية فالحرب الإلكترونية نتحدث فيها عن الهجوم علي البنية التحتية كاملة لدولة ما وليس مجرد الهجوم علي مواقع او قواعد بيانات وان كانت هذه ايضا مهمه لاكنها لا ترقي إلي مستوي الحرب الإلكترونية
اما علي الجانب الدفاعي فأري ان الإمارات هي البلد العربي الوحيد الذي يهتم بأمن المعلومات بكل ما تحويه الكلمة من معني فنجدهم يقيمون العديد من المؤتمرات الخاصة بأمن المعلومات ويستضيفون مؤتمرات خارجيه كما حدث مع مؤتمر BlackHat حتي انهم يوظفون العديد من الخبراء الأجانب لديهم ليستفيدوا من خبراتهم ويقومون بالإستعانة بأنظمة الحمايه العالمية لتطبيقها علي مستوي البلد كاملة وليس علي مستوي شركات معينة

أخي عمرو .. كونك عملت علي المشروع الخاص بتتبع وتحليل فيروس Stuxnet فهل فعليا ستوكس نت كان أول سلاح حرب إلكترونية حقيقي علي الانترنت؟

ﻻ يمكنني الجزم بأن هناك أسلحة مشاببه لستوكس نت تم إستخدامها مسبقا فربما حدث ذلك ونحن ﻻ نعلم ولكن كشئ متعارف عليه فإن ستوكس نت كان هو الشرارة لبدأ تطوير أسلحة حرب إلكترونية أشرس
فكما نر ي أنه كان موجة ليس إلي إيران بشكل عام ولكن إلي المفاعل النووي الإيراني في بوشهر تحديدا وفعليا نجح في الوصول إليه!
النقطة التي أحاول إيصالها هي أن الخوف ليس من ستوكس نت فقط ولكن بعد عمليات تحليل هذا الفيروس والهندسة العكسية التي تمت عليه أصبح لدي الكثير نسخه من الكود المصدري الخاص بستوكس نت لذا
يمكن لتلك الشركات او المؤسسات أن تقوم بأخذ نسخة من ستوكس نت وتقوم بتطويرة إلي فيروس أقوي في عملية التخريب أو حتي في إستخدامات التجسس ويتم الإستعانة ببعض من الكود الخاص بستوكس نت

ليتم إضافتها إلي فيروس أخر وهكذا .. لذا ليس الخوف فقط من ستوكس نت ولكن مما سيصبح عليه ستوكس نت بعد ذلك!

ما هو الفارق من وجهة نظرك بين مجال أمن المعلومات في الوطن العربي وبين مجال أمن المعلومات في الدول الأجنبية؟

اري انها إختلاف في الثقافة وليس إختلاف في العقول فكلنا لدينا عقول وليس كلنا لدينا ثقافة .. فمثلا تجد في الغرب الجميع يساعد بعضه البعض وينظرون الي ما ستكون عليه انت
بعد 5 سنوات او 10 سنوات وليس إلي ما أنت علية الآن! فالعرب تجد كل شخص يهتم لصورته هو فقط ولتلميع صورته وليس لمساعدة الاخرين كي ينهضوا ثقافيا ﻻن ذلك من رأيه

سيأثر علي صورته هو! لذا هو إختلاف في ثقافة العمل فالغرب لديهم مفهوم المشاركة فأنا علمتك المعلومه كذا اليوم وغدا انت تعلمني معلومه اخري وهكذا.

قرأت لك تعليق ذات مره بأن منظمات أمريكية تقوم بتوظيف الهكرز ذات القبعات السوداء ليعملوا لصالحها لتطوير قدراتها في الهجمات الإلكترونية حتي انك قلت بأن لديهم أشخاص “مجانين” يعملون لديهم .. فهل لك ان تحكي لنا ببعض التفصيل عن ذلك الموضوع؟

هذا صحيح فالجيش الأمريكي يحاول تطوير قوتة العسكرية بكل الأشكال المتاحة حتي إن لديهم ما يقرب من 42 ألف خبير في أمن المعلومات والحرب الإلكترونية يعملون في الجيش الأمريكي وهو رقم مهول
وغير ذلك من المنظمات الأمريكية التي مثلها مثل RBN الروسية.
اما عن لفظة مجنون فدعني اوضح لك ما قصدته بذلك .. هناك أشخاص تكون حياتهم كلها مخصصه للدراسه والعمل علي مجال واحد فقط وتجدهم منعزلين عن العالم الخارجي

فمثلا اذا كان هناك مواطن عربي يعيش حياته كلها لدراسة البرمجه والعمل بها وﻻ يفعل اي شئ اخر بحياته سوي ذلك فهو منقطع عن حياته الاجتماعية والاسرية الخ ونحن العرب ندعو هذا الشخص مجنون او لديه مرض نفسي .. ولكن أمريكا نجحت في اظهار مثل هؤلاء الأشخاص علي أنهم هم الصورة الأفضل وأنهم أشخاص عباقرة وقاموا بالإستعانة بكثير منهم في تكوين فرق تابعة لوحدة الحرب الإلكترونية .. وهذا ما قصدته.

شكرا لك أخي عمرو علي هذا الحديث الشيق والممتع.

 

ANONYMOUS (انونيموس) المخترقين الناشطون

 

التدوينه التالية ليست تدوينة تاريخية عن انونيموس. حيث يمكن الحصول على هذه المعلومات من ملف ويكيبيديا. هذه التدوينة مجرد محاولة لاسقاط الضوء على هذه المجموعة. او رؤوس اقلام.

– تكونت ٢٠٠٣ تقرييا

– ليست مجموعة موحدة تحت قيادة مركزية ولا يوجد قائد واحد.

-تتكون من مجموعات لامركزية بطريقة سرية منظمة.

-لاتتبع اي دولة

-تحيرت كثيرا خلال محاولتي ايجاد ترجمة او مصطلح عربي يصلح ان يكون معنى لكلمة hacktivist. في قاموس اوكسفورد تعني الكلمه: الشخص الذي يحصل على تصريح بالدخول الى ملفات كمبيوتر او شبكات لايملك صلاحية الدخول اليها لتحقيق اهداف سياسية او اجتماعية.

– لهم ظهور علني (يلبسون اقنعة جاي فوكس مثل فيلم فانديتا) ونظموا عدة احتجاجات علنية

-قاموا بتوزيع برمجيات للمساعدة في الهجمات المنظمة لحجب الخدمات.

-قاموا بعدة هجمات واختراقات ونشر معلومات كان لها تأثر كبير سياسيا واعلاميا واقتصاديا في مواضيع كثيرة مثل:

  1. مهاجمة المواقع الاسرائلية خلال قصف غزة ٢٠١٢
  2. حرية المعلومات على الانترنت
  3. قضايا استغلال الاطفال على الانترنت
  4. مساندة مواقع megaupload و wikipedia و thepiratesbay

-لا يوجد طريقة معينة للانضمام اليهم

-لمتابعة اخبارهم مباشرة على توتير[email protected]

 

السؤال المهم او الاسئلة المهمة:
  1. هل هم جيدون هل هم سيئون؟
  2. هل هم روبين هوود رقمييون؟
  3. لماذا تكرههم معظم الحكومات؟
  4. هل هم الشكل الجديد للمستقبل في الحرب المعلوماتية؟
  5. هل نيتهم صادقة ام هناك اطماع في نفوذ او نقود؟

اسئلة تدعوا للتفكير ولايمكن الاجابة عليها في سطر او مقالة. الاجابة تعتمد على وجهات نظر وطريقة الرؤية الى الموضوع واقتناعات.

وشكرا لكم على المتابعة اللطيفة

للباحثين الأمنين .. حائط الشهره ونظام المكافأت الماليه.

بسم الله الرحمن الرحيم ..

موضوعنا اليوم ان شاء الله يتكلم عن حائط الشهره (Wall of fame) ونظام الكافأت الماليه.

ما هو حائط الشهره؟  (Wall of fame)

سنأخذ علي سبيل المثال موقع الفيس بوك .. فعندما يقوم احد بالإبلاغ عن ثغره أمنيه بموقع الفيس بوك ويتواصل مع الفريق الأمني الخاص بالموقع بتفاصيل الثغره الأمنيه فانهم يقومون بترقيع الثغره الأمنيه ومن ثم طرح اسم الشخص الذي قام بالإبلاغ عن الثغره علي صفحة تابعه للموقع تسمي حائط الشرف .. حيث يتم فيها طرح اسماء الباحثيين الأمنين او حتي الأشخاص العاديين الذين قاموا بالإبلاغ عن ثغرات بالموقع كنوع من الشكر والتقدير لهم ولمجهوداتهم ..

ومن أشهر المواقع التي تستخدم نظام حائط الشرف هي:

Microsoft.com

Google.com

Facebook.com

Paypal.com

وغيرها .. وعلي الجانب الاخر نري ان مواقع عملاقه كشركة الياهو لا يستخدمون نظام حائط الشرف!

والان ساتاحدث عن أهمية حائط الشرف للشركات .. وأهميته بالنسبة للافراد الذين يقومون بالإبلاغ عن الثغرات الأمنيه للموقع .

ما هي فائدة حائط الشهره للأفراد؟

1- لو انك باحث أمني وتريد ان تساهم في حماية المعلومات وتأمينها فانك بالطبع ستحب فكرة حائط الشرف ..
2- ان كنت باحث امني وتريد ربح المال من خلال البحث عن الثغرات الأمنيه فانك بالطبع ستحب فكرة حائط الشرف .. فشركة مثل جوجل والفيس بوك

يقومون بدفع أموال جيده للباحثين الأمنيين الذيين يقومون بالإبلاغ عن ثغرات أمنيه في مواقعهم .. فمثلا نجد ان الفيس بوك يدفع 500 دولار لمن يجد ثغره من نوع Cross Site Scripting(xss)  وتدفع 1337 دولار لمن يجد ثغره عالية الخطورة ك SQL Injection

اما عن جوجل فحدث ولا حرج فهي اعلي شركه في ناحية مكافأة الباحثين الأمنين فهي تدفع 3000 الاف دولار لمن يجد ثغرات تصنف من النوع عالي الخطورة .. انظر الفرق بين الفيس بوك وجوجل .. فجوجل احيانا تدفع اعلي من ذلك المبلغ علي حسب نوع الثغره نفسها 🙂

مع الوضع بالحسبان ان ميكروسوفت لا تقوم بدفع اي مبلغ من المال نظير ابلاغها عن ثغرات امنيه بموقعها ولاكن اسمك علي موقع ميكروسوفت يفرق كثيرا!

3- اذا كنت باحث امني او حتي شخص عادي وتبحث عن الشهره فانك بالطبع ستحب فكرة حائط الشرف .. فتخيل مثلا اسمك يتم كتابته علي موقع شركة جوجل او ميكروسوفت او الفيس بوك وموجه اليك كلمة شكر 🙂 كيف سيفرق معك ذلك في تذكيتك وظيفيا او عندما تقوم بكتابته داخل ال CV الخاص بك من ضمن أعمالك .. او حتي عندما يري أصدقاءك ذلك!

والكثير من الفوائد الاخري لمن يقوم بالإبلاغ عن ثغرات امنيه لمواقع الشركات الكبري .

ما هي فائدة حائط الشهره للموقع او الشركه؟

من المعروف ان اي شركه كبيره بحجم ميكروسوفت والفيس بوك لابد وان يكون لديهم فريق أمني كبير وباحثين أمنين داخل الشركه يقومون بالبحث الدائم عن أي ثغره أمنيه قد تتواجد في موقع الشركه او أنظمتتها الداخليه كاجهزة العاملين بالشركه او شبكات الانترنت الخاصه بالشركه او حتي نظام ادارة المحتوي الخاص بالموقع الي اخره ..

ولاكن أيضا كلنا يعلم بانه لا توجد حمايه 100% .. فمهما كانت خبرة فريقك فلابد بانهم لم يقومو بتامين نظامك بشكل كامل فهناك دائما نقاط ضعف لا يتم ملاحظتها .. ويوما عن يوم تظهر ثغرات وتهديدات أمنية جديده منها ما يتم طرحه في العلن ومنها ما يتم استخدامه بشكل خاص ودون الاعلان عنه ..

لذلك قامت الشركات الكبيره بعمل نظام حائط الشرف فهو يوفر للشركه أمان أعلي حيث سيتم إبلاغ الفريق الأمني للشركه عن اخر الثغرات الامنيه في انظمتهم ومواقعهم ..
كما ان ذلك سيعطي انطباع كبير بالأمان لمستخدمي منتجات هذه الشركه لانها وضعت امن المعلومات وامن المستخدمين محط الإهتمام ومن أولوياتها .

مع العم بان مثل هذا النظام سيوفر علي الشركه الكثير من الخسائر الماديه والسمعه السيئه ..

فمثلا لو ان شركة جوجل دفعت 3000 الاف دولار لباحث أمني قام بالابلاغ عن ثغرة من نوع SQL Injection باحد خدماتها .. فهل هذا افضل؟ ام انهم يتجنبون مثل هذه الرسائل ولا يضعوا لها اي اهتمام.. فيقوم الهاكر باستغلال الثغره وطرح عشرات الالاف من كلمات المرور الخاصه بشركة جوجل ومستخدميها علي الملأ! مما سيتسبب في ان كثير من المستخدمين سيسحبون الثقه من الشركه واخرين لن يستخدموا خدمات الشركه لانها لم تصبح امنه .. وقيمة اسهم الشركه في البورصة ستقل .. والبيع لمنتجاتها كذالك سيقل .. والتصنيف العالمي لها سيقل!!
أرايتم؟ فقط 3000 الاف دولار انقذت الشركه من كل الكوارث المذكورة بالأعلي!

كما ان هناك شركات مثل ميكروسوفت تستخدم نظام حائط الشرف دون ان تدفع اي مليم واحد للباحثين الأمنين نظير إبلاغها عن الثغرات الامنيه بمواقعها وخدماتها .. فقط تقوم بطرح اسماء الباحثين الامنين علي حائط الشرف الخاص بها ..

وكان من حسن حظي انني قمت بفضل الله عز وجل بالابلاغ عن ثغرة من نوع Source Code Disclosure في موقع شركة ميكروسوفت وتم طرح اسمي علي حائط الشرف للشركه
http://technet.microsoft.com/en-us/security/cc308589

بعض الملاحظات:

لا يتم طرح اسم الباحث الأمني عند الابلاغ عن الثغرة مباشرة .. ولاكن لابد ان يرسل كافة المعلومات المطلوبه من الفريق الامني للشركه عن الثغره

ومن ثم ياخذ الفريق الامني وقته في البحث والتاكد من وجود الثغره وانها موجوده فقط بهذا المنتج او الرابط الذي تم الابلاغ عنه ام انها موجوده بمنتجات او روابط اخري؟

وعندما يتم التأكد يقوم الفريق الامني للشركه باصدار ترقيع امني للثغره لاصلاحها تماما ..

بعد هذه الخطوات وبعد التاكد من ان الموقع او الخدمه لم يعد مصاب .. يتم طرح اسم الباحث الامني او مكافاته علي حسب الجهه التي يقوم بالابلاغ لديها

كما ان علي الباحث الامني ان يراسل الشركه باستخدام بياناته الحقيقيه فلا يمكن ان يراسلهم من خلال اسم مستعار او حتي بريد مزيف

فعلي سبيل المثال لو كانت الجهه التي يراسلها جهه تعتمد نظام المكافاءات فانهم سيحتاجون بياناتك الحقيقيه ليرسلوا لك مبلغ المكفأه.

من الجدير بالذكر أيضا ان شركة البايبال Paypal قامت بتطبيق نظام حائط الشهره ونظام المكفأه منذ وقت قريب .. لمزيد من التفاصيل:

http://www.security4arabs.com/2012/06/30/paypal-will-pay-security-researchers/

شكرا لحسن المتابعه .

CSCAMP 2012 اول مؤتمر عربي لأمن المعلومات فى مصر والشرق الاوسط

مع تطور التكنولوجيا و زيادة الوعي في الفترة الأخيرة لأهمية امن المعلومات نتيجة لما تتعرض له المؤسسات و الشركات و المواقع الالكترونية من تهديدات و مخاطر امنية تؤثر بشكل سلبي و مباشر على استمرار العمل. تأتي الحاجة لمزيد من المعرفة و متابعة اخر ما يحدث من تطورات في مجال امن المعلومات و لذلك تقوم  مجموعة BlueKaizen بتنظيم مؤتمر Cairo Security Camp  للعام الثالث على التوالي  في مصر .

إجابات التحدي الثاني

وصلنا العديد من الإجابات الصحيحة للتحدي الثاني وهذا شيء طيب ونشكر الجميع على مشاركاتهم القيمة. قررنا هذه المرة اعتماد أحد الحلول التي تقدم بها المشاركون كونه كان حلا نموذجيا مع بعض الجماليات التي ادخلها المشارك عليه. والحل الذي تم اعتماده هو حل الأخ مشعل السيف (السعودية) مع بعض التصرف.

والآن نترككم مع الحل.

التحدي الثاني عبارة عن مجموعة من الأرقام المتسلسلة وهنا يبدأ اللغز الأول!

104 116 116 112 58 47 47 100 108 46 100 114 111 112 98 111 120 46 99 111 109 47 117 47 49 48 55 54 49 55 48 48 47 123 99 104 97 108 108 101 110 103 101 46 122 105 112 44 99 104 97 108 108 101 110 103 101 46 98 122 50 44 97 100 109 105 110 46 116 120 116

لم يكن صعبا أبداً تخمين وتحليل هذه الأرقام لأني مررت بهذه التجربة كثيراً فأول ما خطر لي هو العد العشري decimal وذلك لأني أتذكر معظم الحروف وماذا ترمز في العد العشري والعد الست عشري hexdecimal. يوجد الكثير من الطرق لتحويل هذه السلسلة إلى حروف وذلك عن طريق استخدام سكربت بسيط بلغة البيرل يقوم بتحويل العد العشري إلى حرف مباشرةً. قبل البدء بكتابة سكربت البيرل يجب أن تقوم بتخزين هذه الأرقام في ملف على سبيل المثال .file.txt بعد ذلك افتح محرر النصوص المفضل لديك واكتب التالي:

قم بعدها بحفظ الملف باسم myperl

لتنفيذ السكربت اكتب في سطر الأوامر (terminal shell)


[email protected]:~#./myperl

الناتج:


http://dl.dropbox.com/u/10761700/challenge.zip,challenge.bz2,admin.txt

المرحلة التالية هي استخدام wget لتنزيل الملفات challenge.zip/challenge.bz2/admin.txt


[email protected]:~#wget http://dl.dropbox.com/u/10761700/{challenge.zip,challenge.bz2,admin.txt}

بعد ذلك سيظهر في المجلد الحالي ثلاث ملفات:

challenge.zip ملف مضغوط وعليك بإدخال كلمة المرور لاستخراج محتوى الملف.
challenge.bz2 ملف مضغوط غير محمي.
admin.txt قائمة بالكلمات wordlist.

في البداية قمت بتجربة الكلمات الموجودة في ملف admin.txt واستخدامها لفك كلمة السر على ملف challenge.zip عن طريق برنامج fcrackzip الموجود في نظام الباك تراك طريقة تطبيق الأمر سهلة وهي كالتالي:


[email protected]:~#fcrackzip -Dp admin.txt challenge.zip

ولكن للأسف لم تفلح الطريقة وأيقنت أن لهذا الملف استخدام آخر فيما بعد ولكن ليس الآن!

بعد ذلك قمت باستخراج محتوى challenge.bz2 بالطريقة الآتية:


[email protected]:~#bzip2 -d challenge.bz2

ظهر لي ملف challenge . لجهلي بمحتوى الملف قمت بتنفيذ أمر file لتفقد نوعية الملف:


[email protected]:~#file challenge
challenge: IFF data, AIFF audio

الملف عبارة عن ملف صوتي بعد تشغيله يظهر أنه يحتوي على موسيقى لاتتجاوز الـ11 ثانية فقط !

استخدمت بعد ذلك أمر hexdump لقراءة معلومات الهيدرز والكومنت والبحث عن أي نص قد يفيدني في هذه المرحلة وبعد تنفيذ الأمر التالي:


[email protected]:~#hexdump -C challenge | tail

ظهرت لي رسالة مهمة تقول

“You have to look for the Disk-ID on freedb.org”

أمر strings ايضا يخرج لك نفس الرسالة وبشكل أرتب.

بعد ذلك أيقنت أن علي معرفة معلومات عن المقطع الموسيقي للحصول على disk-id فكانت أسهل الطرق هو استخدام برنامج التعرف على الموسيقى ، وأفضل هذه البرامج من وجهة نظري هي SoundHound وبعد ما عرفت اسم الأغنية ذهبت مباشرةً لموقع freedb.org للحصول على المعلومة المهمة وهي الديسك آي دي.

الديسك الآي دي الخاص بالأغنية Terranova just enough كان 1603eb03

ولم يكن صعباً تخمين أن هذا هو باسوورد ملف challenge.zip فبعد استخراج محتوى الملف ظهر ملف challenge.txt

وبعد استعراض الملف عن طريق أمر cat ظهر الناتج الآتي:


646d467949463877654449325a6d553957794a6365445a4458486732526c78344e6a4e6365445978584867334e4678344e6a6c6365445a475848673252534973496c78344e6a686365446330584867334e4678344e7a426365444e4258486779526c78344d6b5a6365446333584867334e3178344e7a646365444a46584867324e5678344e7a526365445934584867324f5678344e6a4e636544597858486732513178344d6b52636544593558486732525678344e7a526365446379584867334e5678344e7a4e636544593558486732526c78344e6b566365444a46584867324d3178344e6b5a6365445a4558486779526c78344e6a6c6365445a46584867324e4678344e6a56636544633458486779525678344e7a426365445934584867334d434a644f336470626d5276643174664d4867794e6d5a6c577a4264585431664d4867794e6d5a6c577a46644f773d3d

طبعا حسيت أن الحروف والأرقام ترمز إلى نظام الست عشري hexdecimal فقررت أن أضع \x قبل كل خانتين عن طريق محرر الـvim والذي اعتبره أقوى محرر تعاملت معه حتى هذا الآن..!

ببساطة نقوم بفتح الملف أولا عن طريق الـvim

[email protected]:~#vim challenge.txt

بعد ذلك نضغط على Shift مع حرف الكاف لنحصل على الرمز : ثم نطبق الأمر التالي كما هو موضح هنا

:%s/../\='\\x'.submatch(0)/g

هنا سيقوم الـvim بوضع قبل كل خانتين الرمز \x مع ابقاء الرقم وعدم تبديله وذلك لغرض الإضافة فقط.

هنا تظهر لنا النتيجة بعد التعديل:

\x64\x6d\x46\x79\x49\x46\x38\x77\x65\x44\x49\x32\x5a\x6d\x55\x39\x57\x79\x4a\x63\x65\x44\x5a\x44\x58\x48\x67\x32\x52\x6c\x78\x34\x4e\x6a\x4e\x63\x65\x44\x59\x78\x58\x48\x67\x33\x4e\x46\x78\x34\x4e\x6a\x6c\x63\x65\x44\x5a\x47\x58\x48\x67\x32\x52\x53\x49\x73\x49\x6c\x78\x34\x4e\x6a\x68\x63\x65\x44\x63\x30\x58\x48\x67\x33\x4e\x46\x78\x34\x4e\x7a\x42\x63\x65\x44\x4e\x42\x58\x48\x67\x79\x52\x6c\x78\x34\x4d\x6b\x5a\x63\x65\x44\x63\x33\x58\x48\x67\x33\x4e\x31\x78\x34\x4e\x7a\x64\x63\x65\x44\x4a\x46\x58\x48\x67\x32\x4e\x56\x78\x34\x4e\x7a\x52\x63\x65\x44\x59\x34\x58\x48\x67\x32\x4f\x56\x78\x34\x4e\x6a\x4e\x63\x65\x44\x59\x78\x58\x48\x67\x32\x51\x31\x78\x34\x4d\x6b\x52\x63\x65\x44\x59\x35\x58\x48\x67\x32\x52\x56\x78\x34\x4e\x7a\x52\x63\x65\x44\x63\x79\x58\x48\x67\x33\x4e\x56\x78\x34\x4e\x7a\x4e\x63\x65\x44\x59\x35\x58\x48\x67\x32\x52\x6c\x78\x34\x4e\x6b\x56\x63\x65\x44\x4a\x46\x58\x48\x67\x32\x4d\x31\x78\x34\x4e\x6b\x5a\x63\x65\x44\x5a\x45\x58\x48\x67\x79\x52\x6c\x78\x34\x4e\x6a\x6c\x63\x65\x44\x5a\x46\x58\x48\x67\x32\x4e\x46\x78\x34\x4e\x6a\x56\x63\x65\x44\x63\x34\x58\x48\x67\x79\x52\x56\x78\x34\x4e\x7a\x42\x63\x65\x44\x59\x34\x58\x48\x67\x33\x4d\x43\x4a\x64\x4f\x33\x64\x70\x62\x6d\x52\x76\x64\x31\x74\x66\x4d\x48\x67\x79\x4e\x6d\x5a\x6c\x57\x7a\x42\x64\x58\x54\x31\x66\x4d\x48\x67\x79\x4e\x6d\x5a\x6c\x57\x7a\x46\x64\x4f\x77\x3d\x3d

بعد تنفيذ الأمر يجب علينا حفظ التغييرات على ملف آخر أو نفس الملف عن طريق تطبيق هذا الأمر

:w challenge2.txt

الآن يأتي الأمر الذي سيقوم بتحويل الهيكس إلى حروف، يوجد أوامر كثيرة تؤدي نفس الغرض ولكن في مسابقات التحدي دائما ألجأ للأسهل! وهنا يأتي أمر echo

طريقة تنفيذ الأمر:

[email protected]:~#echo -e `cat challenge2.txt`

الناتج عبارة عن ترميز base64 ويحتاج فقط عملية فك الترميز decoding لقراءة النص الأصلي

بتنفيذ الأمر التالي

[email protected]:~#echo -e `cat challenge2.txt` | base64 -d -

يظهر لنا هذا النص:

var _0x26fe=["\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x2E\x65\x74\x68\x69\x63\x61\x6C\x2D\x69\x6E\x74\x72\x75\x73\x69\x6F\x6E\x2E\x63\x6F\x6D\x2F\x69\x6E\x64\x65\x78\x2E\x70\x68\x70"];window[_0x26fe[0]]=_0x26fe[1];

يبدو أن النتيجة لازالت تحتوي على نصوص مشفرة فلذلك قمت بعمل echo مرتين وكانت النتيجة أفضل وهنا يتم تنفيذ echo مرتين على نفس الملف:

[email protected]:~#echo -e `echo -e \`cat challenge2.txt\` | base64 -d -`

مخرج الأمر يبدو أكثر وضوحاً:

var _0x26fe=["location",http://www.ethical-intrusion.com/index.php"];window[_0x26fe[0]]=_0x26fe[1]

النص هو عبارة عن جافا سكربت يقوم بتحويلك على الموقع ethical-intrusion.com

بعد الذهاب إلى الرابط ، تظهر لنا صفحة login ويبدو أن الآن هو وقت استخدام الملف المستخرج في بداية المسابقة admin.txt

باستخدام برنامج BurpSuite قمنا بتفعيل خاصية Proxy Interception وذلك للحصول على البيانات المرسلة والمستقبلة من وإلى الموقع واعتراضها للتعديل عليها.

فبعد تفعيل هذه الخاصية نقوم بكتابة أي شي في حقل اسم المستخدم وكلمة المرور وبعدها نقوم بالضغط على login ويظهر لنا الآن الملعومات المرسلة في برنامج BurpSuite

بالضغط على زر اليمين بالفأرة نقوم باختيار send to intruder وذلك لتفعيل خاصية تخمين كلمة المرور.

بعدها نقوم باختيار

positions -> attack type (sniper)

الآن نقوم بتصفية قيمة المتغيرات المرسلة عن طريق الضغط على زر clear

في اسم المستخدم نقوم بوضع كلمة admin وفي كلمة المرور نقوم بتضليل القيمة وبعدها نختار زر add

بعدها نقوم باختيار payloads ونذهب إلى load ونختار ملف admin.txt

لتشغيل هجوم تخمين الباسوورد نذهب في أعلى البرنامج ونختار
intruder -> start attack

في هذه المرحلة علينا بالإنتظار ومشاهدة البيانات التي تختلف في الحجم حيث لو تلاحظون في البداية طول البيانات ثابت 992

وبعد فترة معينة وبالأخص في الطلب رقم 55 يظهر لنا طول غريب عن السابق وهو 474

بتجربة الباسوورد الخاصة بهذا الطلب في الموقع يظهر أننا حصلنا على الباسوورد لاسم المستخدم admin وهي m0use456g

الآن كل ماعلينا فعله هو تسجيل الدخول والذهاب إلى صفحة News 1

ومشاهدة الفيديو الموجود في هذه الصفحة ..

لم يأخذ مني الوقت الطويل لاكتشاف أن هذا الفيديو يحتوي على صوت معكوس وكانت الطريقة لعكسه مرة أخرى سهلة جداً وذلك باستخدام برنامج Audacity.

فبعد عكس الفيديو قام الرجل الموجود بالفيديو بتزويدنا باسم مجلد قد يحتوي على المرحلة التالية.

اسم المجلد: /a98dhkjd

بعد الدخول على هذا المجلد عن طريق الرابط الآتي

http://www.ethical-intrusion.com/a98dhkjd

يطلب الموقع صلاحيات معينة للدخول ، فجاء على بالي ثغرة file-inclusion الموجودة في الموقع والتي تستعرض الصفحات News 1 و News 2 فكان خياري هو محاولة قراءة ملف الباسوورد الموجود على سيرفر الأباتشي وهو .htpasswd

هنا ثغرة File-Inclusion:

http://www.ethical-intrusion.com/index.php?news=[LFI]

وهنا طريقة الاستغلال لقراءة ملف .htpasswd الخاص بالمجلد المحمي:

http://www.ethical-intrusion.com/index.php?news=a98dhkjd/.htpasswd

بعد الحصول على اسم المستخدم وكلمة المرور نقوم بكتابتها في الصفحة المحمية لتظهر لنا الآن جملة من ثلاث أسطر مشفرة بتشفير غريب , ويبدو أننا اقتربنا من الانتهاء من حل اللغز!

(Jy het die uitdaging suksesvol voltooi.
Die wagwoord is:
“Dit is net die begin.”)

حاولت طبعا أطبق في البداية أساسيات اكتشاف النص المشفر وكيفية تفكيكه وقمت بتجربة

Rotation/substitution/addition/etc..

ولكن لم تنجح أي من الطرق السابقة فبعد التفكير خارج الصندوق! قمت بنسخ النص كاملا والذهاب به إلى Google-Translator ، وبعد لصق النص في مربع الترجمة

ذهلت من النتيجة !!!!!!!!!!!!!

لقد اقترح علي ترجمة النص من اللغة الإفريقانية ، فبعد الترجمة من هذه اللغة ظهر لي النص باللغة الإنجليزية بكل وضوح:

You have successfully completed the challenge.

This password is:

“This is just the beginning.”

ما اكتشفته لاحقا هو باستخدام متصفح Google Chrome يقوم باقتراح الترجمة مباشرة ومن دون الذهاب إلى موقع الترجمة وهذا كان سيختصر مني الوقت الكثير!!!

في النهاية لا يسعنا إلا ان نتقدم بالشكر من الأخ محمد رمضان على مساهمته في هذا التحدي ونتقدم بالتهنئة من الإخوة مشعل السيف (من السعودية) و يحيى الغالي (مصري مقيم في قطر) بمناسبة فوزهم في التحديث

 إجابات التحدي الأول

في البداية رمضان مبارك ونسأل الله أن يعود علينا وعلى أمتنا بأفضل حال. نشكر جميع من شاركونا هذا التحدي، حيث وصلتنا العديد من الأجابات الصحيحة مما اثلج صدورنا. ونعتذر عن التأخر في اصدار الإجابات. والآن الى هذه الإجابات التي طال انتظارها:

ما هو عنوان الضحية؟

192.168.1.11 نرى في الشكل التالي محاولات اتصال من 192.168.1.16 الى المنفذ 445 على العنوان 192.168.1.11 ونلاحظ في الحزم من رقم 9 وما يليها محاولة انشاء اتصال باستخدام NULL Session

شكل -1-

هناك كذلك حزم أخرى تظهر لنا ان هذا عنوان الضحية سنأتي عليها لاحقاً.

ما هو نظام تشغيل الضحية؟

كما هو واضح من الشكل التالي فإن نظام الضحية هو Windows XP Professional ومن خلال الاصدارة 5.1.2600 يمكننا القول أنها نسخة 32bit من النظام (5.2.2600 هي النسخة 64bit).

شكل -2-

ما هي الأوامر التي نفذها المهاجم على حاسوب الضحية وما هو الغرض منها؟

في حال استخدام الأداة Wireshark لو قمنا بعمل “Follow TCP Stream” سنشاهد التالي

شكل -3-

 هذا سيظهر لنا الحزم التي تحتوي على حصول المهاجم على shell على حاسوب الضحية وكما نرى فإن إصدارة ويندوز قد ظهرت فيه. الآن نأتي للأوامر

1- قام المهاجم بإضافة مستخدم معرفه attacker وبكلمة مرور Pa5$w0rd!

2- قام المهاجم بجعل هذا المستخدم (attacker) عضوا في مجموعة مدراء النظام administrators

3- قام المهاجم بإضافة تعليق على حساب attacker يقول I hacked you 🙂

4- قام المهاجم بتنفيذ الامر whoami وهو أمر لا يعمل على انظمة XP

كيف كان بإمكان الشركة منع مثل هذا الهجوم؟

هناك عدّة اجراءات يمكن للشركة اتخاذها للحماية من مثل هذا الهجوم

1- تفعيل الجدار الناري على الشبكة ومنع الوصول الى المنفذ 445 من خارج الشبكة وكذلك تفعيل الجدار الناري على النظام نفسه.

2- التحديث الدائم للنظام ومتابعةآخر الأخبار الامنية للنظام حيث هناك تحديثات يتم الاعلان عنها خارج دورة التحديث العادية.

3- وجود نظام كشف أو صد المتسللين كذلك سيساعد في منع الهجوم او على الاقل تنبيه مدير النظام بحدوثه.

4- برامج مكافحة الفيروسات.

ما هي الثغرة التي أدى استغلالها الى اختراق حاسوب الضحية؟

الثغرة هي MS08-067 والتي تؤدي الى تنفيذ كود عن بعد على نظام الضحية. الشكل التالي يظهر احد الخيوط الرئيسية الدالة على هذه الثغرة، حيث نرى اتصال على دالة NetPathCanonicalize المصابة بهذه الثغرة

شكل -4-