في دقائق: ثبّت أنظمة كشف الدّخلاء في شبكتك

في الكثير من الأحيان حين نريد تجربة نظام أو برنامج أو أداة جديدة، نخسر الكثير من الوقت في عملية تحميل الحزم المطلوبة ومن ثم تركيبها وعمل الإعدادات اللازمة للبرنامج الجديد … وأحياناً أخرى نكتشف بإننا بحاجة الى حزم أخرى نضطر الى تركيبها بعد صراع طويل من خلال الكومبايل وتعدداته !

ما كتبته بالأعلى هو واقع تجربة حدثت مع كاتب هذه الكلمات وأنا متأكد إنها حدثت مع الكثير من قراءها !

توزيعة Security Onion مشكوراً مطورها السيد Doug Burks سهل علينا من خلالها الكثير من المتاعب التي كنا نلاقيها حين قمنا بتجربة تنصيب وإعداد برمجيات مثل: Snort و Sguil و Suricata وغيرها من الأدوات المتعلقة بمجال أنظمة كشف الدخلاء.

إذن ما هي Security Onion ؟
هي ببساطة عبارة عن توزيعة لينوكس مبنية على توزيعة Xubuntu وذلك لتركيب، إعداد وتجربة أنظمة كشف الدخلاء وتحليلها … يشرف على تطويرها السيد Doug Burks … وتحتوي على برمجيات عدة مثل: Snort، Suricata, Sguil, ,Xplico ,nmap و scapy, hping, netcat, tcpreplay وغيرها الكثير …

التوزيعة يأتي عليها نسخة Snort 2.9.0 بشكل أساسي وكذلك نظام كشف الدخلاء الآخر Suricata والذي يمكنك التحول من واحد الى آخر بسهولة وذلك لتجربة كلاهما … وأيضاً يمكنك إضافة القوانين أو كتابة القوانين الخاصة بك مع إمكانية تحديث القوانين إما من خلال Emerging Threats أو من خلال Snort VRT … كذلك يمكنك تحليل هذه البيانات إما من خلال Sguil أو من خلال واجهته الأخرى Squert التي تعمل من المتصفح …

كذلك يوجد مجموعة من أفضل أدوات الـ Packet Crafting وذلك لإختبار أنظمة كشف الدخلاء هذه أو أي أنظمة أخرى، مثل: nmap و hping3 و inundator و ostinato و scapy و metasploit الى آخره …

صراحة التوزيعة رائعة وعملية تنصيبها مثلها مثل تنصيب أي توزيعة أوبنتو أخرى، وإعداد Sguil عليها عبارة عن بعض الضغطات من الأزرار ليس إلا … كل ما عليك فعله هو وضعها في المكان الصحيح سواءاً من خلال TAP أو من خلال Inline mode … أختر ما يناسبك … للحصول على التوزيعة، أضغط هنا … وللذهاب للموقع الرسمي أضغط هنا …

وكذلك عزيزي القاريء إن كنت جديد على التوزيعة بشكل عام وعلى الأداة Sguil بشكل خاص؟ أنصحك بمتابعة السلسلة التي يقوم بها مطور الأداة، والتي يمكن أن تجدها هنا:
Introduction to Sguil and Squert: Part 1
Introduction to Sguil and Squert: Part 2
Introduction to Sguil and Squert: Part 3
Introduction to Sguil and Squert: Part 4

النسخة الثانية من سياسات PCI DSS و PA-DSS لا تشهد الكثير من التغييرات

قام مجلس PCI Standards بإطلاق الخلاصة لما سيصدر في قوانين الـ PCI DSS و PA-DSS الجديدة والتي ستصدر في نهاية شهر 10 من العام الجاري … النسخة الجديدة لم تشهد أي تغييرات جديدة … ولكن شهدت إضافات على المستوى التوضيحي … وذكر مدير المجلس Bob Russo بإن السبب في إطلاق هذه الخلاصة، هو لكي يعلم التجار بها، ويكون لديهم متسع من الوقت للتجهيز لها …

النسخة الجديدة PCI DSS و PA-DSS تحتوي على التالي:
– تركيز وتوضيح أعلى على متطلبات PCI DSS و PA-DSS
– زيادة المرونة بالنسبة للتجار
– المساعدة على إدارة المخاطر والتهديدات الجديدة
– العمل بإصطفاف أو بموازاة التغييرات الجديدة في أفضل التجارب الصناعية
– توضيح المجالات والتقارير
– إزالة المتطلبات الفرعية المتكررة والوثائق المدعومة

لمن يرغب في قراءة التغييرات يمكنه تحميل الخلاصة المطروحة عبر الرابط التالي (أضغط هنا) …

BlindElephant أداة كشف تطبيقات الويب الجديدة

كوني أستخدم خدمات شركة Qualys فإنني على إطلاع مستمر بآخر التطورات والمستجدات التي يقومون بها … وقبل كم شهر وصلني بريد بإنهم يقومون بعمل أداة للتعرف على برمجيات الويب … لم يمضي الكثير من الوقت حتى صدرت الأداة وتم شرح فوائدها وكيفية إستعمالها في مؤتمر Blackhat 2010 الأخير … ويمكن الحصول على الإستعراض الذي تم عن الأداة من خلال هذا الرابط (أضغط هنا) … في الإستعراض أعطوا أرقام وإحصائيات الى أي درجة هي مفيدة أن تقوم بعمل Fingerprint لمعرفة التطبيق وإصداره في إستعمالك لشن هجوم … وكذلك الأداة من خلال كشف هذه الأمور تساعدك في إخبارك بما هو معروف وبالتالي تحاول أن تقوم بإخفائه …

تعمل الأداة من خلال مقارنة الملفات التي تمر عليها مع قاعدة بيانات كبيرة جداً لـ Hashes لملفات ذلك التطبيق الأصلي وأماكن تواجد هذه الملفات … يعني مثلا ملف edit-tags.php الموجود في تطبيق الورد بريس، إذا تم إيجاده أثناء الفحص فإنه يتم مقارنته مع قاعدة البيانات التي يستخدمها BlindElephant وذلك لمعرفة هل النسخة المستعملة هذه هي 3.0 أو 3.0.1 أم غيرها … وهكذا …

لتحميل وإستعمال الأداة، يرجى زيارة الموقع الرسمي لها (أضغط هنا) …

حافظة كلماتك السرية KeePass

في حياتنا العامة لدينا مفتاح مختلف لباب المنزل، لباب الغرفة، لباب مكتبك بالعمل، ولسيارتك الى آخره من المفاتيح … تخييل معي لو إن مفتاح منزلك هو نفسه مفتاح سيارتك ونفسه مفتاح مكتبك الى آخره … هل تعلم حجم المشكلة التي ستقع فيها لو ضاع منك هذا المفتاح؟ وحجم الإصلاحات التي يجب ان تقوم بها لحل هذه المشكلة ؟ ستحتاج الى تغييرهم جميعاً بدون شك وذلك بسبب ضياع مفتاح واحد !!!

على الأنترنت الحياة ليست بمختلف عن الحياة الحقيقية … فهي في الكثير من الأحيان تم بناءها بناءاً على نمذجة الواقع … وأنا أكاد أجزم بإن الكثير منا يستعمل الى يومنا هذا نفس الكلمة السرية (المفتاح) لفتح البريد، ولفتح الموقع الألكتروني الفلاني وللإشتراك مع الخدمة الفلانية والى آخره من الأمور … والسبب في ذلك هي بالغالب صعوبة حفظ عدد كبير من الكلمات السرية (المفاتيح) وكذلك بالغالب هي كلمات سرية بسيطة وركيكة سهلة الكسر من قبل برامج كسر كلمات السر …

من هنا جائت فكرة إستعمال حافظة خاصة بمفاتيحك أي كلماتك السرية التي تستعملها على الأنترنت … ومن هنا جاء KeePass الذي أعتبره أهم برنامج في أي جهاز حاسوب أستخدمه سواءاً لأغراض المنزل أو لاغراض العمل … وذلك لأنه يساعدني على:

1- حفظ جميع كلماتي السرية لكافة المواقع والخدمات

2- يساعدني على توليد كلمات سرية معقدة حسب رغبتي وذلك لأصعب أمر كسرها على برامج كسر الكلمات السرية

3- يساعدني على تصنيف الكلمات السرية في الحافظة حسب نوعها (كلمات سرية لمواقع، كلمات سرية لخدمات، كلمات سرية لبريد، الى آخره)

4- يساعدني على سهولة نقل هذه الحافظة من مكان الى آخر وذلك لكي أتمكن من إستعمال هذه الكلمات وقت الحاجة

هذه ببساطة أبرز ما يفيدني إياه KeePass … اما ميزاته هو كبرنامج فهي:

1- يستعمل تشفير قوي AES و Twofish لتشفير قاعدة البيانات (الكلمات السرية)

2- مفاتيح متعددة، حيث يمكن أن تشفر قاعدة البيانات بواسطة كلمة سرية أو بواسطة كلمة سرية ومفتاح تشفيري

3- سهولة نقله من مكان الى آخر

4- إمكانية تصدير وإستيراد الكلمات السرية من والى عدة انواع من الإمتدادات مثل XML, HTML, TXT

5- دعم البحث والترتيب

6- دعم للغات عدة

7- توليد كلمات سرية بشكل عشوائي

8- دعم الإضافات Plugins

9- مفتوح المصدر

حافظة كلمات المرور

أنصحكم بشدة في إستعماله وأن تبدؤوا بشكل جدي في إختيار كلمات سرية جيدة جداً، وكذلك في وضع كلمة سرية مختلفة لكل خدمة، بريد، موقع، الى أخره وذلك لكي لا تقعوا في نفس مشكلة صاحب المنزل والسيارة الذي فقد مفتاحه الذي يفتح كلاهما.

لتحميل البرنامج ولمزيد من المعلومات يرجى زيارة الموقع الرسمي له.

‫مقدمة الى إستعمال ‪Wireshark‬‬

خطأ شائع يقع فيه الكثير حين يود إلتقاط البيانات/الحزم بواسطة Wireshark حيث يقوم بإلتقاط جميع الحزم، وهناك قاعدة هنا تقول:
العبرة ليست بكثرة المعلومات، ولكن بدقتها !

وهذه مقولة صحيحة، فكلما كانت عدد المعلومات والتي هي هنا “الحزم” الملتقطة أقل أو بالأحرى أدق، كلما سهل تتبع المشكلة أو الأمر المراد الإستكشاف عنه بسهولة … في هذا الموضوع سأوضح ولو بشكل مبسط أساسيات إستعمال Wireshark وذلك لكي يكون نقطة إنطلاق لكم … حيث سأوضح كيفية إستعمال أبسط الفلاتر للوصول الى معلومات بشكل أدق …

الفلاتر في Wireshark نوعان:

Capture Filters: وهي الفلاتر التي تحددها لكي يتم تسجيلها. هذه الفلاتر يتم تحديدها قبل عملية تشغيل التسجيل/الإلتقاط للحزم.
Display Filters: وهي الفلاتر المستعملة للبحث داخل البيانات/المعلومات المسجلة أو الملتقطة من قبل Wireshark. يمكن إستخدامهم أثناء قيام Wireshark بستجيل الحزم.

الآن ربما يتسائل أحدكم: طيب أيهما أستعمل؟
الجواب ببساطة هو إن النوع الأول من الفلترة يستعمل وذلك لتقليل حجم الحزم المسجلة وبالتالي عدم الحصول على سجل من الحزم الكبير جداً. أما الثاني فهو أكثر قوة ولكنه أكثر تعقيداً بنفس الوقت، ويستعمل لكي تبحث عن بيانات أو معلومات محددة داخل الحزم المسجلة.

إكتشاف سوق سوداء لبيع أكثر من 1.5 مليون حساب Facebook

حسب بعض الباحثين في VeriSign’s iDefense فقد تم إكتشاف بإنه في أحد أسواق الـ Underground يجري بيع حوالي مليون ونصف (1.5 مليون) حساب تعود لمستخدمي موقع Facebook … الشخص الذي جالس يبيع يستعمل الإسم المستعار “kirllos” وحسب ما فهمت بإنه جالس يبيع الألف حساب بـ 25$ لأول عشرة أصدقاء بهذا السعر وبسعر 45$ لعشرة أصدقاء أو أكثر بسعر 45$ لكل ألف حساب !!!

المهم حسب الخبر لم يتم التأكد من دقة الأمر والسرقة هذه … وأيضاً حسب ما يقوله “kirllos” فإنه قام ببيع نصف الحسابات الى الآن !

لمتابعة باقي الخبر أضغط هنا … تعليقي على الخبر وعلى الـ Facebook بالذات:

Netsparker – Web Application Security Scanner

Netsparker هو عبارة عن برنامج فحص أو ماسح لخوادم الويب أي Web Application Security Scanner … والشركة المنتجة لا تقوم بإنتاج أي منتج آخر ولهذا تركيزهم كله منصب على هذا البرنامج الرائع … الأسبوع الماضي قمت بتجربة هذا الماسح على خوادم منها للتجربة ومنها تعود لبيئة العمل وبصراحة كانت نتائج الماسح Netsparker مميزة … خاصة وإنني قمت بإستعمال النسخة المجانية والتي لا تحتوي على جميع الإمكانيات … الماسح Netsparker يمتاز بإمكانيات متعددة منها:
إكتشاف ثغرات SQL Injection
إكتشاف ثغرات Cross-site Scripting أو XSS
إكتشاف ثغرات Local File Inclusion أو ما يعرف بـ LFI
إكتشاف ثغرات Remote File Inclusions أو ما يعرف بـ RFI
إكتشاف Remote Code Injection / Evaluation

مسابقة CTF من شركة Offensive-Security

أعلنت شركة Offensive-Security إنه سوف تنطلق مسابقة لـ Capture the Flag في الشهر القادم ما بين 8 و 9 من شهر مايو 2010 … المسابقة حسب المعلومات المتوفرة الحالية تفيد بإنه مطلوب من المتسابق إختراق جميع مختبراتهم وذلك في سباق مع الزمن ومع المتسابقين الآخرين … والفائز يحصل على أحدى الدورات التي يقدمونها بالمجان (دورة PWB أو دورة CTP مع إشتراك لمدة شهر في مختبراتهم) …

سيتم الإعلان عن معلومات أخرى هذا اليوم عبر مدونتهم من هنا …

من يود إختراق الأجهزة وتجربة إمكانياته، فلن يجد ربما أفضل من هذه الطريقة التي تتيح لك تجربة مهاراتك بالمجان وبدون أن يتم إلقاء القبض عليك بسبب إختراقك لموقع أو جهاز أحد (هكذا في الخارج، عندنا في دولنا حدث ولا حرج) !

Apache.org يخترق مرة أخرى !

نعم تمكن بعض المخترقون من إختراق موقع Apache قبل كم يوم وذلك عبر ثغرة في البرنامج الذي يستعملونه لمتابعة المشاكل والمشاريع Atlassian JIRA … حيث قام المخترق حسب ما فهمت من الخبر الموجود هنا وهنا من فتح تذكرة ووضع فيها رابط مختصر بواسطة إستعمال tinyurl.com يمكن المخترق من الوصول الى صلاحيات Administrator على JIRA الخاص بموقع أباتشي في إختراق من نوع cross site scripting (XSS) attack … أي الرابط قام بتوجيه المتصفح الى موقع JIRA الخاص في أباتشي ولكن تم تنفيذ هجوم XSS عليهم وحصلوا على صلاحياتهم من خلال ذلك …

من هناك بدأت قصة جديدة أهم ما في تلك القصة حسب وجهة نظري:
– التخطيط الرهيب الذي قام به المخترقون للوصول الى المحطة الأولى JIRA الخاص بفريق الأباتشي … ومن ثم الوصول الى حساب المستخدم root على خادمهم brutus.apache.org بسبب إستعمال أحدهم لكلمة سرية لحسابه في JIRA لنفس حسابه على الخادم … يعني وصلوا الى Local ومن ثم عملوا Privilege Escalation !!!

Is your browser configuration rare or unique

عندما نتصفح الأنترنت والتجول من موقع الى آخر، فإن متصفحاتنا تقوم بالتخاطب مع ذلك الموقع وبنفس الوقت تقوم بإرسال بعض المعلومات أليه أو لنقول بعبارة أخرى ستظهر بعض المعلومات عن المتفصح الذي تستعمله في سجلاته Log Files … مثلا سيظهر نوع النظام ونوع المتصفح والكثير من المعلومات الأخرى … نستيطع أن نسمي هذه تواقيع/Signature أو Fingerprint البصمة الخاصة بذلك المستخدم … لكن … أغلبنا وأنا منهم كنا نظن بإن هذه الخطوات التي نقوم بها على الأنترنت لا يمكن تعقبها … أو تمييز بإن هذه خطوات علي أي التوقيع/Signature أو Fingerprint البصمة الخاصة بالمستخدم علي وهذه خطوات أو توقيع/Signature أحمد وهكذا … للأسف أثبتت منظمة EFF بإن هذا الكلام غير صحيح عبر أداة تم عملها ووضعها على الأنترنت كنوع من الإثبات PoC لما يقولون … حيث أثبتوا بإن بصمتي على النت مختلفة عن بصمة غيري وهكذا من خلال هذه الأداة … الأداة إسمها Panopticlick …