جميع مواضيع الكاتب أحمد ابوالعلا

Bitdefender تطلق أداة جديدة للقضاء على Bootkits

تكلمنا سابقاً في مقاله منفصلة عن Bootkits و مخاطرها و ماذا يمكن ان تفعل و كم هي معقده و متطورة بكثير عن الـ rootkits و الـ malwares العادية .

منذ فترة اطلقت شركة Bitdefender اداة جديدة للقضاء على اغلب Bootkits المعروفة والتى تساعد على التخلص منها بأمان ,, الأداة تعد الأولى من نوعها التى تقوم بتصميمها شركة من شركات برامج مكافحة الفيروسات و نشكر Bitdefender على توفير هذة الأداة بشكل مجاني و متاح للجميع .

الأداة تستطيع التخلص و القضاء على قائمة الـ Bootkits التالية :

• Rootkit.MBR.Alipop.B
• Rootkit.MBR.Alipop.C
• Rootkit.MBR.Fengd.A
• Rootkit.MBR.Fips.A
• Rootkit.MBR.Locker.A
• Rootkit.MBR.Locker.B
• Rootkit.MBR.Mayachok.A
• Rootkit.MBR.Mebratix.A
• Rootkit.MBR.Mebratix.B
• Rootkit.MBR.Mebroot.A
• Rootkit.MBR.Mebroot.B
• Rootkit.MBR.Mybios.A
• Rootkit.MBR.Pihar.A
• Rootkit.MBR.Pihar.B
• Rootkit.MBR.Pihar.C
• Rootkit.MBR.Pihar.D
• Rootkit.MBR.Ramnit.A
• Rootkit.MBR.Sst.A
• Rootkit.MBR.Sst.B
• Rootkit.MBR.Sst.C
• Rootkit.MBR.TDSS.A
• Rootkit.MBR.TDSS.B
• Rootkit.MBR.TDSS.C
• Rootkit.MBR.Whistler.A
• Rootkit.MBR.Whistler.B
• Rootkit.MBR.Whistler.C
• Rootkit.MBR.Yoddos.A
• Rootkit.MBR.Yoddos.B
• Rootkit.MBR.Zegost.A
• Win32.Ramnit.N

لتحميل الأداة :

• لمستخدمي x23 bit
• لمستخدمي x64 bit

httprecon اداة كشف إصدار و معلومات خادم الويب

الكثير منا قد يسمع عن مصطلح ” security by obsecure ”  و هي اضعف طرق الحماية لكنها تكون مهمة في بعض الأحيان . و هذة الطريقة فكرتها تتركز على اخفاء معلومات لا تكون هامة جدا و لكنها قد تكون مفيدة للمخترق مثل اصدار التطبيق الذي يريد ان يخترقه . و مرحلة جمع المعلومات هي اهم مرحلة من مراحل تجربه الإختراق لذلك قد يكون من المزعج جدا لـPenteration Tester عدم قدرته على معرفة اصدار التطبيق او اصدار الخدمه التى تعمل على الخادم .

واذا تكلمنا على خوادم الويب او Webservers فبعض مدراء الخوادم يقومون بأخفاء معلومات الخادم او تغيرها بمعلومات وهمية , و من المعروف انه يمكن التعرف على نوع الخادم فقط من Headers الواردة التى تأتي كرد من الخادم  عند طلب صفحة ما . مثال على ذلك تجربة على موقع Microsoft.com تكون النتيجة مثل التالي :

HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Content-Type: text/html; charset=utf-8
Expires: -1
Vary: Accept-Encoding
Server: Microsoft-IIS/7.5
X-AspNet-Version: 2.0.50727
VTag: 438270830600000000
P3P: CP=”ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI”
X-Powered-By: ASP.NET
Date: Fri, 20 Jan 2012 04:55:02 GMT
Content-Length: 202404

هنا نرى بوضوح اصدار و نوع خادم الويب و هو ” Microsoft-IIS ” و الأصدار 7.5 و تستطيع ايضا ان ترى بعض المعلومات الأخرى مثل اصدار الـASP.NET و هو 2.0.50727

لذلك الأن هذة المعلومات تساعد و تفيد المخترق بتحديد نوع الهجوم و التركيز فقط على  نوع هذا الخادم و فحص ثغراته . لكن نفترض اذا قام penteration tester بالتجربة على خادم و لم يظهر نوع هذا الخادم او اصداره او ظهر له اصدار و لكنه غير متأكد اذا كان هذا حقيقي ام لا .

هنا يأتي دور الـfingerpritning و هي عملية التعرف على نوع الخدمة او اصدارها عن طريق عمل بعض الأختبارات المتقدمة عليها و التى تكشف نوعها و اصدارها الحالي  .

و اداة httprecon هي من افضل الأدوات التى قمت بتجربتها بنفسي على نظام وندوز و تقوم بالتعرف و الكشف عن نوع الخادم و معرفة اصداره حتى اذا كان الأصدار مخفي او وهمي . و الأداة  تظهر النتائج بالنسبة المئوية حسب نسبة التوقع مثلا اذا كان كل التجارب توافقت مع خادم Apache سوف يظهر لك نسبة 100% و اذا كان مثلا الكثير منها توافقت مع IIS سيظهر مثلا 80% و غيره .

الأداة سهلة جدا الأستخدام كل ما عليك فعلة ان تضع عنوان الموقع الذي تريد ان تتعرف على نوع الخادم الخاص به و سوف تقوم الأداة بعمل الفحوصات الازمة للتعرف عليه .

وهذا مثال بسيط على عمل الأداة عند تشغيلها و ظهور النتائج بشكل ممتاز .

تحميل الأداة | رابط الموقع

Hash-Identifier اداة مفيدة للتعرف على أنواع الهاشات

Hash-Identifier هي اداة  بسيطة و مفيدة تساعد على التعرف على أنواع الهاشات المختلفة و تحديد نوع الـخوارزمية او Algorithm المستخدمة و إكتشافها بسهولة  .. الأداة مكتوبة بلغة python لذلك تستطيع العمل على اي نظام تشغيل و هي مفتوحه المصدر تحت رخصة GNU GPL .

الأداة تستطيع التعرف على أنواع الهاشات التالية :

• ADLER-32
• CRC-32
• CRC-32B
• CRC-16
• CRC-16-CCITT
• DES(Unix)
• FCS-16
• GHash-32-3
• GHash-32-5
• GOST R 34.11-94
• Haval-160
• Haval-192 110080 ,Haval-224 114080 ,Haval-256
• Lineage II C4
• Domain Cached Credentials
• XOR-32
• MD5(Half)
• MD5(Middle)
• MySQL
• MD5(phpBB3)
• MD5(Unix)
• MD5(WordPress)
• MD5(APR)
• Haval-128
• MD2
• MD4
• MD5
• MD5(HMAC(WordPress))
• NTLM
• RAdmin v2.x
• RipeMD-128
• SNEFRU-128
• Tiger-128
• MySQL5 – SHA-1(SHA-1($pass))
• MySQL 160bit – SHA-1(SHA-1($pass))
• RipeMD-160
• SHA-1
• SHA-1(MaNGOS)
• Tiger-160
• Tiger-192
• md5($pass.$salt) – Joomla
• SHA-1(Django)
• SHA-224
• RipeMD-256
• SNEFRU-256
• md5($pass.$salt) – Joomla
• SAM – (LM_hash:NT_hash)
• SHA-256(Django)
• RipeMD-320
• SHA-384
• SHA-256
• SHA-384(Django)
• SHA-512
• Whirlpool

و غيرهم الكثير من أنواع التشفير المختلفة التى تستطيع التعرف عليها 🙂

تحميل الأداة | موقع الأداة

كيف تتخلص من ملفاتك الهامة بأمان

الكثير منا يحتفظ بملفات مهمة دائما على حاسوبه الشخصي و هذه الملفات قد تحتوى بعض من الخصوصيات و الأمور الهامة التي  يجب أن لا يطلع عليها احد .و قد تلجأ في بعض الأحيان للتخلص من هذه الملفات عن طريق حذفها من الحاسوب و من على مساحة القرص الصلب , لكن للأسف الكثير لا يعلم انه فعليا لم يتخلص من هذه الملفات الهامة بعد حذفها و من الممكن ان يتم استعادتها مرة أخرى حتى بعد عمليه فورمات كاملة للقرص الصلب

كيف يحدث ذلك ؟

دعونا نتخيل الملفات كأنها صفحات في كتاب , عندما تقوم بحذف ملف فانك تقوم بحذف صفحة من الكتاب و لكنها تبقى خارج الكتاب لذلك فان الصفحة مازلت موجودة و لكنها غير معروفة في أي مكان كانت موجودة في الكتاب . هذا المكان هنا هو بمثابة الـ sector فالقرص الصلب لا يعرف شئ يسمى ملفات و لكنه يتعامل مع sectors فقط و الـ sectors هي أجزاء صغيرة من data غالبا تكون 512 بايت و نظام الملفات مثل نظام NTFS مهمته هو ترجمة هذه الـ sectors لملفات حتى يستطيع التعامل معها  نظام التشغيل .

نظام الملفات يعمل على بناء جدول للملفات , هذا الجدول يحتوى في كل صف أو الـ row على اسم الملف و مكان sector الخاص بيه على القرص الصلب .لذلك عندما تقوم بحذف ملف ما من نظام التشغيل فكل ما تم حذفه هو معلومات هذا الملف من نظام الملفات الـfile system و تنرك فراغ في الجدول لملف أخر .

قد يستخدم نظام التشغيل هذا المكان في الجدول لاحقا و قد لا يستخدمه في حاله عدم استخدامه و الكتابة عليه مرة أخرى بمعلومات جديدة فمازلت عملية استعادة الملفات ممكنة و ذلك عن طريق بعض البرامج المتخصصة و المبرمجة من قبل خبراء في هذا المجال مثل برنامج photorec او testdisk المجاني الذي يعمل على أنظمة لينوكس و العديد من البرامج المجانية و المدفوعة على أنظمة ويندوز .

الآن فأن وسيلة حذف الملفات بالطريقة التقليدية من نظام التشغيل هي غير أمنه و تعرض ملفاتك للخطر و احتمالية استرجاع الملفات و استعادتها مرة أخرى و يجب عليك حذفها بشكل كامل و الحذف هنا بشكل كامل يطلق عليه shredding او wiping و فكرته بسيطة جدا لكن فعاله تماما .

 ما هي الطريقة التي يتم بها حذف الملفات بصورة نهائية ؟

طريقة التخلص و حذف الملفات نهائيا و بشكل امن من القرص الصلب هي عن طريق عمل إعادة كتابة على نفس sector بمعلومات أخرى تحل محل القديمة . بمعنى انك تقوم بعمل overwrite لـ data القديمة بأخرى جديدة . فهذا يجعل من استعادة الملفات القديمة مرة أخرى عملية مستحيلة .

إذا كيف أتخلص من ملفاتي بشكل تام و أمن تماماً ؟

تستطيع التخلص من ملفاتك بشكل أمن و تام عن طريق بعض البرامج التي تقوم بهذه المهمة و عمل shredding لملفات بشكل امن و سريع .

في أنظمة Linux يوجد أمر ” shred ” و هو يقوم بحذف الملفات بشكل نهائي بديلا عن أمر ” rm ” التقليدي .

مثال على حذف ملف تاريخ الأوامر في الشيل او الـ bash history من على خادم centos يكون بهذا الشكل :

 [email protected] [~]# shred -f -v -z -u /root/.bash_history
shred: /root/.bash_history: pass 1/26 (random)…
shred: /root/.bash_history: pass 2/26 (222222)…
shred: /root/.bash_history: pass 3/26 (eeeeee)…
shred: /root/.bash_history: pass 4/26 (333333)…
shred: /root/.bash_history: pass 5/26 (cccccc)…
shred: /root/.bash_history: pass 6/26 (924924)…
shred: /root/.bash_history: pass 7/26 (dddddd)…
shred: /root/.bash_history: pass 8/26 (888888)…
shred: /root/.bash_history: pass 9/26 (777777)…
shred: /root/.bash_history: pass 10/26 (ffffff)…
shred: /root/.bash_history: pass 11/26 (444444)…
shred: /root/.bash_history: pass 12/26 (666666)…
shred: /root/.bash_history: pass 13/26 (random)…
shred: /root/.bash_history: pass 14/26 (aaaaaa)…
shred: /root/.bash_history: pass 15/26 (999999)…
shred: /root/.bash_history: pass 16/26 (555555)…
shred: /root/.bash_history: pass 17/26 (249249)…
shred: /root/.bash_history: pass 18/26 (db6db6)…
shred: /root/.bash_history: pass 19/26 (492492)…
shred: /root/.bash_history: pass 20/26 (bbbbbb)…
shred: /root/.bash_history: pass 21/26 (000000)…
shred: /root/.bash_history: pass 22/26 (b6db6d)…
shred: /root/.bash_history: pass 23/26 (6db6db)…
shred: /root/.bash_history: pass 24/26 (111111)…
shred: /root/.bash_history: pass 25/26 (random)…
shred: /root/.bash_history: pass 26/26 (000000)…
shred: /root/.bash_history: removing
shred: /root/.bash_history: renamed to /root/0000000000000
shred: /root/0000000000000: renamed to /root/000000000000
shred: /root/000000000000: renamed to /root/00000000000
shred: /root/00000000000: renamed to /root/0000000000
shred: /root/0000000000: renamed to /root/000000000
shred: /root/000000000: renamed to /root/00000000
shred: /root/00000000: renamed to /root/0000000
shred: /root/0000000: renamed to /root/000000
shred: /root/000000: renamed to /root/00000
shred: /root/00000: renamed to /root/0000
shred: /root/0000: renamed to /root/000
shred: /root/000: renamed to /root/00
shred: /root/00: renamed to /root/0
shred: /root/.bash_history: removed

بهذا الشكل تم حذف الملف و الكتابة على نفس مكانه 26 مرة مما يجعل استعادة الملف مستحيلة بأي برامج استرجاع للملفات . بالنسبة لأنظمة ويندوز يوجد الكثير من الأدوات المساعدة و هنا سأشرح أداة رائعة حقا و مجانية في نفس الوقت اسمها Eraser .

من مميزات الأداة أنها تحتوى على الكثير من algorthims المختلفة الخاصة بمسح الملفات و التي تم استخدامها في الكثير من المؤسسات الهامة مثل الجيش الأمريكي و سلاح الطيران الأمريكي و غيرهم  . و هنا صورة توضيحية تظهر الطرق المستخدمة و  كم مرة تقوم بعمل overwrite على الملف .

الطرق المختلفة لحذف الملفات و عدد عمليات إعادة الكتابة على الملف

طريقة استخدام برنامج eraser سهله للغاية , كل ما عليك هو تحميل البرنامج و تنصيبه بالطريقة التقليدية و بعد ذلك يكون جاهز لحذف ملفاتك بصورة أمنة .

أسهل و أسرع طريقة للحذف هو  الذهاب للملف الذي تريد أن تحذفه و تضغط بزر الفارة كليك يمين على الملف و تختار من قائمة eraser -> erase

كيفية حذف ملف او مجلد بالطريقة السريعة

بعدها سيقوم برنامج Eraser بحذف الملف حسب algorthim أو الطريقة الافتراضية المجهزة لحذف الملفات .
و يمكنك تعديل الطريقة الافتراضية لحذف الملفات عن طريق البرنامج بهذه الخطوات :

اضغط على الصورة للمشاهدة بالحجم الكامل

اضغط على الصورة للمشاهدة بالحجم الكامل

يمكنك أيضا إضافة tasks او مهام لحذف ملفات أو مجلدات عن طريق البرنامج في توقيت معين او عند عملية إعادة النظام .

اضغط على الصورة للمشاهدة بالحجم الكامل

اضغط على الصورة للمشاهدة بالحجم الكامل

بهذا الشكل يمكنك تحديد مهام معينة و تحديد طريقة تشغيلها إذا كانت يدوية أو في الحال او عند استعادة النظام أو في توقيت معين يوميا مثلا . و هكذا يمكنك حذف الملفات بطريقة أمنة و سهله تماما و الحماية من أسترجعها مرة أخرى ببرامج الـ Data Recovery ..

قد يسألني احد , الآن أنا قد أخطأت من قبل و قمت بحذف ملفات هامة عن طريق نظام التشغيل بالطريقة التقليدية و أخاف أن يسترجعها احد و يتطلع عليها , هل يوجد حل لحذف الملفات التي تم حذفها من قبل عن طريق نظام التشغيل و بشكل نهائي  ؟ 

الجواب نعم بالطبع برنامج Eraser يحتوى على خاصية حذف تسمى unused disk space .
بمعنى انها تقوم بحذف المساحة الفارغة من القرص مع الإبقاء على ملفاتك الحالية دون ضرر و تقوم بحذف جميع الملفات التي تم حذفها من قبل من نظام التشغيل لديك و الحماية من أسترجعها مرة أخرى .

و لكن هذه العملية قد تأخذ وقت طويل عند تنفيذها و تختلف مع طريقة الـ algorthim المستخدمة و كم مرة سوف يتم إعادة الكتابة على كل ملف . لذلك إذا كنت  سوف تقوم ببيع حاسوبك القديم او الاب توب الخاص بك لا تنسى ان تستخدم خاصية unused disk space الموجودة في برنامج Eraser فهي مفيدة للغاية .

و هكذا نكون قد غطينا مفهوم استرجاع الملفات و شرحنا كيفية التخلص من الملفات بأمان و بصورة نهائية 🙂

تحميل البرنامج | الموقع الرئيسي

هاكر يبلغ من العمر 15 عام يكتشف ثغرة جديدة في تويتر

أكتشف شاب يبلغ من العمر فقط خمسة عشر عاماً ثغرة من نوع Cross site scripting او XSS في موقع تويتر الشهير  .

هذا الشاب الصغير سن و لكن الكبير خبراً في اكتشاف ثغرات من نوع Xss و يدعى “Belmin Vehabovic” او (~!White!~) كأسم  حركي استطاع أن يستغل ثغرة قام باكتشافها بنفسه  في تويتر و النجاح في تنفيذ اكواد جافا سكربت مما يمسح بسرقة كوكيز اي مستخدم على تويتر اذا قام بالدخول لصفحة تحتوى على استغلال لهذه الثغرة ..

صورة توضيحية تظهر استغلال و تنفيذ الثغرة بنجاح .

كما استطاع أيضا باكتشاف ثغرة في موقع فيسبوك من نفس النوع  و حصل على 700$ من إدارة موقع الفيس بوك كما ذكر على حسابه الخاص في تويتر

Facebook is finally sending me my money for my Xss Vuln on http://developers.facebook.com/ I’m getting $700 🙂

أدوبي تصدر تحديثاً أمنياً للإصلاح 15 ثغرة في Flashplayer

أصدرت شركة Adobe تحديثاً أمنياً جديدا لإصلاح 15 ثغرة أمنية عالية الخطورة في Flashplayer . التحديث يقوم بإصلاح الثغرات التى ظهرت في اصدر 11.0.1.152 و ما قبله في انظمة Windows و Linux و MAC و في اصدار  11.0.1.153 و ما قبلة في انظمة Andorid .

الثغرات صنفت بأنها عالية الخطورة و تؤدي إلى إختراق النظام و تشغيل ملفات ضارة بمجرد زيارة صفحة موقع تحتوى على ملف فلاش الذي يستغل الثغرة , لذلك ننصح بتحديث اصدار مشغل الفلاش لديك الأن إلى الأصدار الأخير لتفادي الإصابة .

يمكن التحديث لمستخدمى متصفحات Internet explorer مباشرة من الروابط التالية :

• X32 Installer : اضغط هنا
• X64 Installer :اضغط هنا

لمستخدمى متصفحات Opera و Firefox يمكنهم التحديث مباشرة من الروابط التالية :

• X32 Installer : اضغط هنا
• X64 Installer :اضغط هنا

للأنظمة و المتصفحات الأخرى يمكنك زيارة الرابط التالي : http://get.adobe.com/flashplayer

ISpy تقنية جديدة للتجسس على الهواتف المحمولة

كن حذراً عندما تكون مرتدياً لنظارة شمسية و انت تستخدم هاتفك المحمول فقد يكون هناك من يراقبك عن بعد و انت لا تعرف ذلك . فقد ظهر مؤخرا تطبيق جديد للتجسس على الهواتف المحمولة التى تعمل بنظام المس مثل Iphone و هواتف الـ Andorid و الذي يمكن من مراقبة كل ما تكتبه على شاشة هاتفك المحمول من كلمات سر و رسائل و قد يكون السبب هو نظارة الشمس التى تلبسها 🙂

نعم لا تتعجب فهذا هو اخر ما توصل إلية Frahm  و Fabian Monrose من جامعة North California بأطلاقهم لتطبيق جديد اطلقوا عليه ISPY الذي يستغل تقينة تكبير الحروف (magnify) عند الكتابة في الهواتف الحديثة مثل iphone . فالتطبيق على حسب ما ذكر مطوريه انه يمكن شخص ما واقف في  في الطابق الثاني من التجسس على شخص واقف على الأرض . و ايضا يستطيع التطبيق التقاط ما تكتبه عن طريق انعاكس الصورة في نظارة الشمس التى تلبسها

و هذا فيديو يوضح استخدام هذا التطبيق على ارض الواقع :

حتى الأن غير معلوم ان كان سيصدر التطبيق بشكل تجاري ام لا و لكن من المتوقع ان يخرج إلى النور قريبا 🙂

Scareware خطر حقيقي يهدد المستخدمين احذر من الوقوع فيه

مع زيادة مستخدمي الأنترنت تزيد المخاطر و طرق الأحتيال على المستخدمين و كما نعرف ان طرق الأحتيال كثيرة كالصفحات المزورة و ايميلات الأسبام الوهمية التى تصل إلى صناديق بريد المستخدمين بغير ارادتهم  وما شابه من طرق الأحتيال التقليدية المعروفة في وقتنا الحاضر فهي كلها تقع في دائرة اقناع المستخدم ان يدخل المصيدة بنفسه و يقوم بكتابة معلوماته الخاصة او الحسابات البنكية دون إكراه . و لكن كما نعرف في حياتنا اليومية انه يوجد نوعين من الأحتيال او السرقة , احتيال ذكي يقنع الضحية دون ان يرغمه على فعل شئ و احتيال اخر يسرق من الضحية ما يملك بالأكراه و تحت تهديد السلاح .

انباء عن صدور backtrack 5 قريبا هذا الشهر

و أخيرا و بعد طول إنتظار تم الأعلان عن أخبار جديدة  عن صدور اخر نسخة من توزيعة اللينكس الشهيرة في عمليات تجربة الأختراق Back|Track 5 و التى من المفترض ان تتحوى على بعض التعديلات الجديدة و المطورة عن النسخة السابقة  و اليوم قد طرح مطوري التوزيعة  بعض الصور الجديدة الملتقطة من النسخة القادمة التى من المفترض ان تصدر  بشكل رسمي هذا الشهر يوم 10 مايو

BootKits مفهوم و إستراتيجية جديدة لـ Rootkits

من المعروف عند الجميع و من المعتاد هذة الأيام السماع عن الـ Rootkits فيوجد الكثير من هذة البرمجيات الخبيثة  و التى تختلف في انواعها و طرق إصابتها للنظام  و Rootkits اصبح شئ معروف جدا  لدى جميع شركات الحماية  و مكافحة الفيروسات و التى تعمل دائما على التصدى إلى الأنواع الجديدة من Malwares  Spywares , Torjans , Rootkits  و غيرها من البرمجيات الخبيثة .