RSSجميع مواضيع الكاتب علي الشّمري

علي (B!n@ry). دكتوراة في أنظمة الحاسوب. يعمل كأستاذ جامعي في قسم علم الحاسوب. مختص في التحقيقات الجنائية الالكترونية والإستجابة للحوادث الالكترونية (DFIR)، أمن الشبكات وتحليلها، وكذلك أمن أنظمة التشغيل المختلفة. حاصل على العديد من الشهادات التقنية، وسابقاً كان يعمل كمختص في جدر النّار، أنظمة كشف الاختراق، ادارة الثغرات والترقيعات، حماية الأنظمة، فحصوصات الاختراق، وتطبيق السياسات. مسؤول سابق عن متابعة وتطبيق (PCI DSS).

تحدي: تحقيق جنائي ألكتروني رقم (4)

السلام عليكم ورحمة الله وبركاته

مرحباً بجميع زوار مجتمع الحماية العربي هذا أولاً، وأتمنى يضيف هذا التحدي المزيد من المعلومات والأفكار لجميع المشاركين وحتى لللذين سوف يقوموا بقراءة نتائج التحدي في نهاية المشوار. قبل أن أبدأ بشرح فكرة التحدي وما الى ذلك، أود أن أقوم بشكر خاص لجميع الأخوة الذين شاركوا في مسابقة المجتمع الرمضانية السابقة، وبصراحة عملهم الرائع هو من دفعنا الى القيام بإضافة هذا التحدي الجديد.

التحدي رقم (4):
تم إختراق الموقع اللألكتروني لأحدى الشركات، وقام فريق العمل بالذهاب الى الشركة وأخذ صورة جنائية (Forensic Image) من النظام وكذلك الذاكرة وذلك من أحل إجراء التحقيق اللازم. الملفات الخاصة بالجريمة هي:
1- صورة النظام (هنا)
2- صورة ذاكرة النظام (هنا)
3- ملف يحتوي على قيم الـ Hash للملفات (هنا)
password = DFChallenge@s4a

لحل التحدي بنجاح، يجب تسليم تقرير مفصل يجيب على ما يلي:
1- ما هي الهجمات ونوع الهجمات التي قام بها المهاجم؟
2- عدد المستخدمين الذي قام بإضافتهم المخترق، وما هي الآلية التي قام بإضافة كل واحد منهم؟
3- ما هي الملفات، الادوات، المعلومات، الى آخره، من الأمور التي تركها المهاجم خلفه؟ (لنفترض إنه لم يستطع حذفها لضيق الوقت وسرعة وصول فريقنا الى موقع العمل).
4- ما هي البرمجيات المنصبة على النظام وهل تم تنصيبها من قبل المهاجم أم لا؟
5- بإستخدام التحليل الرقمي للذاكرة، هل تستطيع ان تكتشف ما هو نوع الـ shellcode التي تم حقن النظام بها؟
6- ما هو التحليل الزمني (Timeline Analysis) لجميع ما حصل على هذا النظام؟
7- ما هي فرضيتك للقضية، وما هو المنهج المتبع في حل القضية؟
8- هل هناك ملاحظات إضافية تود إضافتها؟

سؤال إضافي (BONUS):
ما هي الملفات أو المجلدات التي قام بإنشاءها المهاجم على النظام؟ عدد جميعها مع ذكر أدلة تثبت صحة ذلك.

ملاحظات مهمة:
يجب أن يتم حل القضية بإستخدام أدوات مجانية أو حُرة بالكامل، وأن لا يتم إستخدام أدوات تجارية.

بالتوفيق للجميع.

ENGLISH Version:
Digital Forensic Challenge #4:
A company’s webserver has been breached through their website. Our team arrived just in time to take a forensic image of the running system and its memory for further analysis. The files can be found below:
1- System Image: here
2- System Memory: here
3- Hashes: here
4- Passwords = DFChallenge@s4a

To successfully solve this challenge, a report with an answers to the tasks below is required:
1- What type of attacks has been performed on the box?
2- How many users has the attacker(s) added to the box, and how were they added?
3- What leftovers (files, tools, info, etc) did the attacker(s) leave behind? (assume our team arrived in time and the attacker(s) couldn’t clean & cover their tracks)
4- What software has been installed on the box, and were they installed by the attacker(s) or not?
5- Using memory forensics, can you identify the type of shellcode used?
6- What is the timeline analysis for all events that happened on the box?
7- What is your hypothesis for the case, and what is your approach in solving it?
8- Is there anything else you would like to add?

Bonus Question:
what are the directories and files, that have been added by the attacker(s)? List all with proof.

Important Note:
The case MUST be solved using open source and free tools only (NO EnCase, FTK, etc) are allowed.

Good luck…

تحدي: تحقيق جنائي ألكتروني رقم (3)

أجدد الترحيب بكم ونبدأ على بركة الله التحدي الثالث لمجتمع الحماية العربي، والذي يتركز حول التحقيق في قيام مشتبه به بعمليات إختراق غير شرعية. لكن قبل البدأ في تفاصيل التحدي، أود شكر الأخوة من “نقطة أمن” حول دعمهم للتحدي بجوائز للأخوة المشاركين تضاف الى الجوائز التي يقدمها مجتمع الحماية العربي نفسه. كما أود أن أشكر كل من صرف من وقته سواء القليل أو الكثير للقيام بحل هذه التحديات والتي أسئل الله أن تكون مفيدة لنا جميعاً.

تحدي: تحقيق جنائي ألكتروني رقم (2)

مرحباً مرة آخرى، اليوم نصل لتحدي مجتمع الحماية العربي الثاني، نتمنى تكونوا قد أستفدتم من التحدي السابق. كل تحدي سيكون أهدافه مختلفة وذلك لنستفيد من المشكلة الموجودة وكيف سنقوم بحلها بواسطة أدواة بسيطة متوفرة للجميع. كذلك سنقوم بجعل كل تحدي أصعب من الذي يسبقه، وبعضها هي التي تفتح لك إمكانية العمل على التحدي الذي بعده، أي لن تستطيع مثلاً أن تعمل على التحدي رقم 3 بدون حل التحدي رقم 2. تحدي اليوم إجباري تجاوزه إن كنت تريد الوصول للتحدي القادم، وذلك لأن القادم يعتمد بالكامل على نجاحك في التحدي الحالي وتجاوزه.

قبل أن أدخل في تفاصيل التحدي، أريد التأكيد على أفكار لتحديات. فإن كانت لديك أفكار لجرائم ممكن يتم تحويلها الى قضايا للدراسة والإستفادة العلمية والتقنية منها، فلا تترددوا إما بإرسالها لنا وسيتم نشرها بإسمكم أو بالتواصل معنا لعملها لبقية زوار ومتابعي الموقع والإستفادة من الأفكار التي فيها.

تحدي: تحقيق جنائي ألكتروني رقم (1)

في البداية رمضان مبارك على الجميع، وأدعوا الله أن يعيننا على صيامه وقيامه، وأن يغفر لنا جميع ذنوبنا.

قررنا في مجتمع الحماية العربي، عمل مسابقة أسبوعية خلال شهر رمضان المبارك، وتكون عبارة عن جريمة ألكترونية بسيطة وعليكم بالقيام بحل القضية وذلك بهدف زيادة الوعي في مجال التحقيقات الجنائية الالكترونية. المسابقات سوف تبدأ بقضية بسيطة، وبعد ذلك تتعقد شيئاً فشيئاً. خلال عملك في حل كل قضية سوف تكتسب خبرة ولو بسيطة في جانب من جوانب التحقيقات الجنائية الالكترونية وبإستخدام أداوت بسيطة ومتوفرة للجميع. على بركة الله نبدأ القضية الأولى، ولديكم أسبوع واحد من الآن لحل القضية.

ملاحظة: إن كانت لديك أفكار لجرائم ممكن يتم تحويلها الى قضايا للدراسة والإستفادة العلمية والتقنية منها، فلا تترددوا إما بإرسالها لنا وسيتم نشرها بإسمكم أو بالتواصل معنا لعملها لبقية زوار ومتابعي الموقع والإستفادة من الأفكار التي فيها.

تحليل جنائي لإكتشاف الفرق بين إضافة مستخدم من قبل CLI أو GUI

الفكرة لهذه التدوينة جائت بعد أن قام أحد المتابعين (azeemnow) لـ #DFIR على تويتر بطرح السؤال حول كيف يمكننا أن نعرف هل قام المُخترق بإضافة مستخدم على نظام ويندوز من CLI أم من GUI؟

حاولت بالبداية أن أطرح عليه بعض الحلول ولكن على ما يبدو لم تنفعه كثيراً. هنا قلت لنفسي لما لا أقوم بعمل الخطوات نفسها وأرى بنفسي مالذي يمكنني التوصل له، وهذا ما فعلت!

الخطوات التي قمت بها ولكن ليست بالترتيب المذكور وذلك لكي أخلق لك عزيزي القاريء جو من التشويق والتجربة بنفسك، هي:
1- قمت بتشغيل cmd.exe بصلاحيات Administrator وقمت بتنفيذ الأمر الذي بالأسفل لإضافة مستخدم جديد سميته cmduser وكلمة السر له هي cmduser كذلك:
net user cmduser cmduser /add

2- بعد ذلك ذهبت الى لوحة التحكم (Control Panel) في نظام الويندوز ومن ثم الى User Account ومن هناك قمت بإضافة مستخدم أسميته guiuser.

الآن الفكرة التي كانت في مخيلتي هي إنه يمكنني من خلال تتبع السجلات الخاصة بالنظام (system logs) أن أحصل على أدلة كافية تقودني للتفريق بين المستخدم الذي تم عمله من سطر الأوامر وبين المستخدم الذي تم عمله من داخل لوحة تحكم النظام، لكن للأسف تبيين إنه لا يمكن معرفة ذلك بهذه الطريقة! فبعد أن أطلعت على السجلات، تبيين إنه لا فرق بتاتاً بين كلا العمليتين سوى التاريخ، وبدون شك إسم المستخدم 🙂 حيث في برنامج عرض الأحداث (Event Viewer)، قام النظام بتسجيل الحدث رقم 4720 والذي يعني “إنشاء حساب مستخدم جديد” (A user account was created) لكلا الحالتين. وكما أسلفت، لكي لا تعرف عزيزي القاريء أيهما تم إنشاءه أولاً، فإنه المستخدم الأول (بغض النظر عن إسمه حالياً) تم إنشاءه بتاريخ 1/7/2014 4:40:02 pm بينما المستخدم الثاني تم إنشاءه بتاريخ 1/7/2015 4:40:30 pm.

صديقنا azeemnow كان قد عمل ما يسمى بـ super timeline وذلك لتوضيح تواريخ الأحداث وترتيبها “تسلسلها”، ولكن هذا لم يجدي الكثير من النفع!

قمت بالتواصل والدردشة مع هارلان (keydet89)، أحد أفضل الكتاب بمجال التحليل الجنائي الالكتروني في نظام الويندوز وسألته عن الأمر، فأخبرني أن أبحث وأتأكد من ملفات الـ prefetch (المزيد عنه لاحقاً في تديونة آخرى) الخاصة بكل من net.exe و net1.exe وتاريخ آخر تنفيذ لهما. حيث إنهما سوف يظهران قبل بداية إضافة المستخدم من سطر الأوامر (cmd.exe) بقليل من الوقت (إلا لو قام المخترق بالعمد بتأخير الأمر). هنا قمت بعمل إستخراج لكلا الملفين (prefetch) بواسطة FTK Imager ومن ثم أستخدمت أداة بسيطة كتبت بلغة بايثون لـ جين مايكل (jmichel_p) وذلك لتحليل الـ prefetch الخاص بـ net.exe و net1.exe.

من خلال النتائج الخاصة بملف NET.EXE prefetch، تبيين التالي:
net-prefetchمن خلال النتائج الخاصة بملف NET1.EXE prefetch، تبيين التالي:
net1-prefetch

الآن بعد القيام بربط الأحداث مع بعضها البعض:
1- نتائج الأحداث (السجلات)
2- نتائج ملفات Prefetch

يمكننا أن نفترض بإنه المستخدم الذي تم إنشاءه بتاريخ 2015-01-07 14:40:02، هو المستخدم الذي تم إضافته من سطر الأوامر (cmd.exe).

الآن وماذا عن المستخدم الذي تم إنشاءه من لوحة التحكم؟ هنا أقترح علي هارلان أن أتحقق من مداخل الـ ShellBags (المزيد عنه لاحقاً في تديونة آخرى) الخاصة بالمستخدم الذي قام بعملية الإنشاء للحسابات. هنا قلت مع نفسي إن هذه أفضل فرصة لتجربة أداة أريك (EricRZimmerman) والتي قام بالإنتهاء منها قبل فترة ليسطة بعيدة أسماها ShellBagsExplorer. يمكن تحميلها من هنا.

قمت كذلك بعملية سحب الملف UsrClass.dat الخاص بالمستخدم الذي قام بعملية الإنشاء (لا تنسى عزيزي القاريء يمكن معرفة من قام بذلك من السجلات نفسهم) ومن ثم قمت بتحليله من خلال الأداة التي ذكرتها ShellBagsExplorer. الأداة سهلة الإستخدام ورائعة للغاية وأنصح كل من يهتم بمجال التحقيقات الجنائية الالكترونية أن يقوم بتجربتها. الأداة قامت بتسهيل كل شيء من خلال عرض النتائج على شكل شجيري، ومن هناك وجدت إن المستخدم قام بتشغيل لوحة التحكم ومن ثم لوحة إدارة المستخدمين (User Accounts) في تاريخ 1/7/2015 2:40:20 pm، كما هو مبيين في الصورة أدناه:
sbe1-useraccountsمن خلال ذهابه الى هذه اللوحة قام بالذهاب من هناك الى صفحة إدارة الحسابات (Manage Accounts) بتاريخ 1/7/2015 2:40:22 pm، كما هو مبيين بالصورة أدناه:
sbe2-manageaccounts
بعد ذلك قام المستخدم بتشغيل صفحة إضافة مستخدم جديد (Create New Account)، حيث قام هو/هي بإضافة الحساب بتاريخ 1/7/2015 2:40:30 pm، كما هو مبيين في الصورة أدناه:
sbe3-createuser

الآن بعد القيام بربط الأحداث مع بعضها البعض، كما فعلنا سابقاً:
1- الاحداث التي وجدناها في برنامج Events Viewer
2- الاحداث التي وجدناها في ShellBags Explorer
تثبت بإنه المستخدم الثاني الذي تم إنشاءه بتاريخ 1/7/2015 4:40:30 pm، هو المستخدم الذي تم عمله من خلال لوحة التحكم GUI وليس من سطر الأوامر CLI.

كذلك لو قمنا بعمل تحليل زمني (timeline) لجميع ما تم ذكره، فإنه يمكننا تأكيد ما تم ذكره بالأعلى، وذلك لأننا سوف نجد تسلسلهم الزمني وراء بعض.

هذا كل ما لدي في هذا الموضوع، وإن شاء الله نلتقي مع مواضيع آخرى في هذا المجال في القريب العاجل.

مقدمة عن الـ Logs وأهميتها – الجزء الأول

سابقاً بعض الشركات والمصانع الكبيرة تجد هناك شخص يقف على باب الدخول وبيده ورقة وقلم، ويقوم بتسجيل دخول الموظفين الى الشركة أو المصنع وبأي وقت، وحين يغادر الموظف العمل يقوم بتسجيل ساعة الخروج. كل هذا لأجل إعلام اصحاب العمل بإنضباط الموظف في أوقات العمل، ومتى دخل الى الشركة ومتى غادرها. وبالإضافة الى ذلك تساعد هذه الورقة بشكل كبير في حالة حصول مشكلة معينة في وقت من الأوقات، سواء أثناء الدوام أو خارج وقت الدوام. يعني لو أخذنا مثال بسيط: حصول سرقة في الشركة بساعة 9:00 مساءاً. كون هذا الرجل الذي على الباب قام بتسجيل دخول كل شخص الى الشركة وبأية وقت. فذلك سوف يتيح للمعنيين من خلال مراجعة هذه الورقة من معرفة على الأقل من كان في المبنى في ذلك الوقت. صحيح لربما هذه الورقة لم تقم بحل المعادلة “من هو السارق؟”، لكنها سوف تساعد بشكل كبير على حصر المشكلة والذي هي أحد أساسيات إيجاد الحلول. كلما استطعنا تصغير المشكلة، سهل علينا حلها!

ملاحظة: طريقة التسجيل هذه قديمة للغاية، وأغلب الشركات اليوم أصبحت تستخدم أجهزة ألكترونية مرتبطة بالمداخل تقوم بتسجيل دخول الموظفين وخروجهم إما بواسطة بطاقات أو البصمة الى غيرها من التقنيات الحديثة.

الآن، أعلم ما يخطر في خاطرك: ما علاقة هذا بعنوان الموضوع؟
الجواب بسيط للغاية: الورقة التي سجل عليها الرجل الذي على الباب هو السجل أو ما يطلق عليه بأسم Log … هل تفكرت الآن الى أي درجة هذه الورقة البسيطة للغاية مفيدة؟ نحن تكلمنا عن مشكلة واحدة فقط، وهي حصول سرقة. هناك مشاكل أخرى عديدة يمكن أن تحصل داخل الشركات والمصانع. تلك الورقة البسيطة التي يكتب عليها ذلك الرجل نستطيع أن نستفيد منها بشكل كبير للغاية. تخييل نستطيع معرفة معدل وصول الموظفين اليومي، وبأي ساعة يعتاد الموظف الفلاني على الوصول والخروج. يعني الورقة البسيطة هذه يتعدى أهميتها فقط إكتشاف السرقة!

ما ذكرته بشكل بسيط للغاية هو بالضبط ما تستطيع الحصول عليه من خلال السجلات Logs التي بداخل الحواسيب، الخوادم، المعدات الخاصة بالشبكة، الأنظمة والبرمجيات. هناك بداخل جهازك الحاسوب سجلات Logs وهناك بداخل هاتفك الخلوي السجلات Logs وهناك بداخل نظام التشغيل الذي تستخدمه السجلات Logs وهناك مع العديد من البرمجيات التي تستعملها السجلات Logs! إذن لو تلاحظ معي بإن كل ما تستخدمه بشكل يومي له سجلات Logs، وحجم الفائدة التي تستطيع أن تحصل عليها منهم (Logs)، كبير جداً جداً.

هل تذكر الموظف الذي تم تسجيل إسمه عند دخوله الى الشركة؟ هذا ما يفعله حاسوبك عندما تقوم بتسجيل الدخول اليه (Login)، وأكيد سيعمل المثل عند خروجك منه (Logout). أيضاً الموظف الذي يقوم بالتسجيل، هو يقوم بتجهيز ورقة بشكل يومي عليها التاريخ لكي يستطيع أن يمييز إن هذه الورقة ليوم السبت أو الأحد وهكذا، هذا شيء مشابه لما يقوم به جهازك حين تقوم بتشغيله بذلك اليوم. حين يبدأ الجهاز بالعمل سوف يتم تسجيل إنه تم تشغيله في الساعة الفلانية وباليوم الفلاني. هل تلاحظ أي فائدة لهذه السجلات؟ لن أقف هنا، ساكمل مع أمثلة أخرى…

في العمل لديكم طابعة مشتركة من خلال الشبكة بين جميع الموظفين. بيوم من الأيام في العمل وجدت حبر الطابعة قد نفذ! لربما تتسائل، “طيب أنا قبل كم يوم أشتريت حبر جديد للطابعة”. إذا كانت الطابعة مليئة بالحبر وهي لا تطبع الآن بسبب نفاذ الحبر التي بداخلها، طيب مالذي حصل؟ هل تعلم بإن تلك السجلات البسيطة سوف تخبرك؟ نعم! ستجد تلك السجلات قد سجلت بإن المستخدم الفلاني في اليوم الفلاني في الساعة الفلانية قام بعملية طباعة. هل تعتقد هذا فقط؟ لا! سوف تخبرك كذلك بكم عدد الأوراق التي طبعها! يا سلام هل هناك شيء آخر أجمل من ذلك؟ تخييل لو عُدنا الى الزمن الذي لم تتواجد فيه هذه التكنلوجيا الرائعة، كنا سنضطر الى توظيف موظف خاص لمراقبة الطابعة (مثلاً)!!! هل ترى معي حجم الفائدة الآن؟ دعنا نرى مثال آخر، رغم إن الأمثلة عديدة للغاية ولن تنتهي لكن لنرى مثال آخر…

لو فرضنا إن المبنى الذي تعمل به له أكثر من مدخل، وكل مدخل عليه رجل يقوم بالتسجيل (كما وضحنا في البداية). في هذه الحالة بغض النظر من أين دخلت الى المبنى، سوف يتم تسجيل دخولك، ليس للمبنى فحسب وإنما تسجيل دخولك من أين جاء. نفس الشيء في الشبكة. تخييل لديكم بالعمل خادم تستخدمه للقيام ببعض الحسابات. هذا الخادم أحياناً تقوم بالدخول أليه من خلال الذهاب أليه بشكل مباشر وتسجل الدخول وثم تقوم بإجراء العمل المطلوب. وبعض الأحيان تكون أنت في المنزل مثلا أو خارج العمل ويتصل بك المدير ويطلب منك القيام بتلك العمليات الحسابية على الخادم، فالذي سوف تفعله هو الدخول الى الخادم ولكن عن بعد Remotely. الفرق بين الحالتين، هي بالأولى أنت دخلت الى الخادم من خلال تواجدك أمام الخادم نفسه، وفي الحالة الثانية أضطررت للدخول أليه من مكان آخر. كما في ذلك الرجل الذي على الباب، سجل دخولك من الباب الفلاني، الحاسوب سوف يعمل نفس الأمر. سوف يسجل بإنك في الحالة الأولى كنت قد سجلت الدخول من خلال التواصل مع الحاسوب بشكل مباشر، بينما في الحالة الثانية سوف يسجل إنك كنت قادم من الجهاز صاحب الـ IP Address الفلاني. هل ترى كيف لهذه السجلات Logs البسيطة للغاية أن تكون مفيدة؟

هل تعتقد بإن هذا كل ما يمكن أن نراه من خلال السجلات Logs هذه؟ هل تعلم كم عددها؟ وأين تقع؟ وكيف يمكن قرائتها؟

هذه الاسئلة وأكثر هي ما سوف أجيب عليه في الجزء الثاني إن شاء الله.

حل تحدي مجتمع الحماية العربي

بالبداية أشكر جميع من شارك في هذا التحدي وقام بالمحاولة حتى وإن لم يصل الى الحل النهائي متأكد بإنه أستفاد من التحدي ولو الشيء القليل.

المشاركين الذين قاموا بحل التحدي هم ثلاث، أو بالأحرى أربعة كون أثنين من الشباب عملوا كفريق. الذين قاموا بحل التحدي وعلى حسب الترتيب هم:
1- رغدة حريز (طالبة ماجستير في أمن المعلومات)
2-أبو عبيدة عبدي (باحث في أمن المعلومات)
3- مصطفى العيساني ومحمد الغامدي (باحثون في أمن المعلومات)

مرفقا الأجوبة الثلاثة التي قاموا بكتابها:
الحل الأول | الثاني | الثالث

شكراً مرة أخرى لكل من شارك وإن شاء الله هذه ليست النهاية.

تحدي جديد من مجتمع الحماية العربي

chall

يسعدنا ان يعود إليكم من جديد مجتمع الحماية العربي بمزيد من التحديات المميزة و الشيقة و التي يشرف عليها فريق عمل المجتمع

تحدي اليوم معانا هدفه الأساسي هو  إستخراج جميع المعلومات الممكنة من الملف challenge2.pcap وذلك لتساعدك على قراءة الرسالة المخفية. التحدي فكرته جائت من التحديات التي يقوم بها Vivek Ramachandran الباحث الأمني الشهير في الأكاديمية التي يشرف عليها، لكن هنا تم إضافة نكهة آخرى. في هذا التحدي عليك أن تكون على دراية بسيطة على الأقل بالهجمات الموجهة للعميل أو ما يطلق عليها (Client Side Attacks) وذلك لكي تستطيع حل التحدي.

كذلك يجب أن تكون على دراية بكيفية قراءة الملفات من خلال Hex Editor بالإضافة الى معرفة ولو بسيطة بمسألة قراءة Header لأي ملف، كل حسب نوعه. المواقع التي سوف تفيدك هي:

عند نجاحك في حل التحدي يمكنك إرسال الحل او write-up إلى بريد مجتمع الحماية التالي:

[email protected]

  التحدي سوف يكون متاح لمدة 10 ايام بعد ذلك سوف نقوم بالإعلان عن اسماء اول 3 فائزين في حل التحدي و يتم التقيم حسب النقاط التالية:

1) سرعة الوصول و إرسال حل للتحدي

2) طريقة الوصول إلى الحل و الأسلوب المتبع

بالتوفيق للجميع ان شاء اللًه 🙂

ثغرة خطيرة في أدوبي ريدر أكس وأكروبات – CVE-2011-2462

أعلنت شركة أدوبي عن ثغرة خطيرة في أدوبي ريدر أكس وأكروبات. هذه الثغرة يمكنها عمل إنهيار والسماح للمهاجم بالتحكم بالنظام المصاب. هذه الثغرة موجودة في المنتجات التّالية:
– Adobe Reader X (10.1.1) والنسخ السابقة عن 10.x في كل من نظام ويندوز وماكنتوش
– Adobe Reader 9.4.6 والنسخ السابقة عن 9.x في كل من ويندوز، يونكس/لينُكس، وماكنتوش
– Adobe Acrobat X (10.1.1) والنسخ السابقة عن 10.x في كل من ويندوز وماكنتوش
– Adobe Acrobat 9.4.6 والنسخ السابقة عن 9.x في كل من نظام ويندوز وماكنتوش

ملاحظة: أدوبي ريدر للأندرويد والأدوبي فلاش غير مصابين بهذه الثغرة

أدوبي أعلنت إنها ستقوم باصدار ترقيع لكل من Adobe Reader 9.x و Acrobat 9.x قبل نهاية ناريخ 12-12-2011. وأما بخصوص Adobe Reader X و Adobe Acrobat X فإنه سيتم إصدار تحديث لهما وذلك لأنه حسب قول الشركة إنه هذه البرمجيات فيها نظام حماية سيمنع عملية تنفيذ مثل هذه الثغرات على أنظمة الويندوز، وبالتالي التحديث سيكون حسب التحديثات الامنية الربع سنوية في 10-1-2012. باقي الأنظمة سيتم كذلك معالجة الخلل في هذه البرمجيات بحلول 10-1-2012.

طريقة تقليل المخاطر:
النمط المحمي في أدوبي ريدر X والإستعراض المحمي في أدوبي أكروبات X تمنع مثل الثغرات من التنفيذ. للتأكد إنه الإستعراض المحمي مفعل في أكروبات، أذهب الى Edit ثم Preferences ثم Security (Enhanced) وتأكد من “Files from potentially unsafe locations” أو “All files” مع “Enable Enhanced Security” تم عمل إختيار لهم. أما للتأكد من النمط المحمي في أدوبي ريدر X مفعل قم بالذهاب الى Edit ومن ثم Preferences ثم General وتأكد من إختيار “Enable Protected Mode at startup”.

للمزيد يمكن مراجعة نشرة ادوبي الأمنيّة

Android Network Toolkit أداة للإختراق وإختبار الإختراق

في مؤتمر Defcon19 الذي أنعقد هذه السنة في أمريكا، قام Itzhak Avraham أو بإختصار “Zuk” من شركة Zimperium بعرض لأداة جديدة سيتم إطلاقها في متجر Android خلال الأيام القادمة تساعد على كشف الأجهزة التي لم يتم عمل Patch بشكل صحيح عليها وبالتالي إختراقها. الأداة لقبت بـ “Anti” وذلك لانها قادرة بضغطة زر البحث عن الشبكات اللاسلكية من أجل أهداف ممكن إستغلالها بطريقة الـ Trojan.

الشركة التي قامت بتطوير الأداة، تقول إن هدفهم هو لكي يسهلوا على الناس إكتشاف الثغرات التي في شبكاتهم وبالتالي ترقيعها قبل أن يتم إستغلالها، وبالتالي يقومون بحماية شبكاتهم بشكل أفضل. بإمكانك بواسطة الأداة ليس فقط إستغلال الثغرات، وإنما عمل snooping وهي أحدى أنواع الـ MITM على المستخدمين الموجودين في الشبكة وبضغطة زر! كما ذكرت في البداية Anti ستكون في متاجر Android في الأيام القادمة وممكن الحصول على corporate upgrade من خلال دفع مبلغ بسيط قدره 10$، وبالتالي هو يحذر العالم إنه حال نزول الأداة ستحصل عليك إما أن تقوم بترقيع مشاكل شبكتك؟ أو أنتظر سيتم إختراقها من قبل احد المخترقين.

حسب موقع Forbes فإن الأداة شبيهة بـ Firesheep وما كان يقصده Zuk بكلمة Anti هو “penetration tool for the masses” أي أداة إختبار الأختراق للجماهير ويتمنى أن يتم إستعمالها للخير. أعتقد تم تحذيركم، فما عليكم الآن سوى بدأ عملية حماية شبكاتكم بشكل صحيح.