أروع اكتشافات 2010 الأمنيّة

شهد العام 2010 العديد من الإكتشافات الأمنيّة المثيرة، فمن اختراق آلات الصرف الآلي وسحب ما بها من نقود، إلى معرفة موقع مستخدم من خلال موجّه (router) الشبكة لديه، مروراً بالرّد على المخترقين باختراقهم من خلال أدواتهم. في هذه المقالة سنتطرق إلى ستٍّ من هذه الاكتشافات.

افراغ آلات الصرف الآلي من محتوياتها

مدير البحث في شركة IOActive بارنابي جاك عرض هجوم يمكن المجرمين من اختراق آلات الصرف الآلي (ATM)، تُمكّن اللص الافتراضي من سرقة نقود، نسخ معلومات بطاقة الائمتان، أو معرفة كلمات المرور الرئيسيّة المستخدمة في الآت.

تقوم طريق جاك على استغلال البرمجيّات المستخدمة في آلات الصرف الآلي، سواءاً كان ذلك عبر ذاكرة متنقلة يضعها في النظام للكتابة فوقه، أو عن بعد من خلال استغلال ثغرة في برنامج إدارة هذه الآلات.

جاك عرض اكتشافه في مؤتمر القبّعات السوداء في فيجاس

اعتراض مكالمات GSM

الباحث كريس باجيت أراد إثبات أن برتوكل GSM معيوب، لهذا الغرض قام بتصنيع محطة GSM أساسيّة تعمل فوق موجات ham. أحضر كريس المحطة التي كلّفته 1500 دولار وتدعى IMSI Catcher إلى مؤتمر Defcon 18. خلال عرضه تمكن كريس من تضليل العديد من هواتف الحاضرين للاتصال بمحطّته ومن ثمّ الاستماع إلى مكالماتهم. قام كريس بتدمير الذاكرة المتنقلة التي احتوت على البيانات التي تمّ جمعاها، كإجراء إضافي (لاجراءات أخرى) لتفادي مشاكل قانونيّة بسبب اعتراضه للهواتف.

ذكر كريس أنّ هواتف iPhone كانت أكثر الهواتف التي تقوم بالاتصال ببرج الاتصال المزيّف.

اختراق المهاجمين

المستشار الأمني أندري ديريزوفيسكي في مؤتمر القبّعات السوداء في أوروبا عرض دليلاً على كيفية شنّ هجوم مضاد على المهاجمين (القراصنة) من خلال إيجاد ثغرات في برمجيّاتهم الضّارة. شرائح العرض يمكن الحصول عليها من هنا

أي شخص يمكنه أن يكون قرصاناً

هذه هي فكرة إضافة فايرفوكس Firesheep الذي قام بتطويرها ايرك بتلر. يقوم المستخدم بتحميل هذه الإضافة، والذهاب إلى موقع يقوم بتوفير خدمات انترنت عبر الشبكة الّلاسلكيّة لروّاده. Firesheep تستغل المواقع التي لا تقوم باستخدام برتوكول SSL لتشفير بيانات الدّخول، لذلك عندما يقوم مستخدم بزيارة فايس بوك، توتير، هوتميل، أو ياهوميل، يتمّ رفع الكوكيز الخاصة به واستخدامها من قبل المهاجم في الشبكة اللاسلكيّة للاستيلاء على حساباته.

نوع جديد من هجمات XSS

هذا النّوع يدعى Meta-Information XSS أو اختصاراً miXSS. هذا الهجوم يختلف سابقيه من هجمات XSS بكونه يعمل حتى لو كانت مدخلات المستخدم صحيحة ومعالجة بشكل سليم. مكتشف هذا الهجوم هو تايلر ريجولي.

معرفة موقع المستخدم

الباحث سامي كامكر، كاتب دودة MySpace والتي اصابت أكثر من مليون مشترك خلال 20 ساعة لجعلهم أصدقاء لسامي، عرض اثبات لاكتشافه الذي يقوم على معرفة مكان المستخدم عبر موجّهه (router) المنزلي. حتى تعمل هذه الطريقة يجب أن يكون المستخدم  قد سجّل دخولاً في لوحة تحكّم الموجّه، وكذلك قام بزيارة موقع مشبوه أو مصاب. في حال تحقق هذان الشرطان، يقوم المهاجم بقراءة العنوان الفيزيائي للموجّه، ومن ثمّ يستخدم خرائط غوغل والبيانات التي قامت غوغل بجمعها عن الشبكات الّلاسلكيّة، في تحديد مكان الموجّه بشكل دقيق. يمكن كذلك التّلاعب بإعدادات DNS الخاصة بالمستخدم، كإعادة توجيه موقع ما إلى عنوان آخر مختلف يسيطر عليه المهاجم.