جميع مواضيع الكاتب بشار

نتائج تحدّي التحقيق الجنائي الرّقمي

في مجتمع الحماية العربي نسعى الى الارتقاء بالمحتوى العربي على الانترنت وتحديد في أمن المعلومات الرقمية سواء كان ذلك من خلال توفير تغطية لجوانب متعددة في أمن المعلومات. أو عبر نشر تحديات في مواضيع مختلفة بهدف توفير بيئة للشباب لاختبار قدراتهم ووضعها على محط التحدي.

التحدي الاخير كان حول التحقيق الجنائي الرقمي وهو موضوع قل ما يطرح عربيا. التحدي كان من وضع زميلنا الدكتور علي الشّمري والذي يعتبر من روّاد هذا المجال عربياً.

قبل أن نعلن اسماء الفائزين بهذا التحدي نود أن نشكر جميع من شاركنا في هذا التحدي سواء عبر ارسال حلول أو عبر دعمنا بنشر التحدي ونخص بالذكر الإخوة في نقطة أمن على دعمهم لنا عبر تقديهم جائزة المركز الثالث.

تلقينا العديد من الحلول الرائعة والتي تظهر قدرات كبيرة وخبرات عالية لدى الشباب العربي. الإجابة التي حازت على تقديرنا الشديد كانت للاخ علي خوجه والذي شارك في كافة مراحل التحدي وكانت اجاباته تفصيلية ورائعة ولهذا اخترناها لتكون الاجابة التي سنقدمها للجميع لهذا التحدي.

يمكن تحميل إجابة الاخ علي خوجه من هنا.

المركز الثاني فاز به الاخ علي خلفان حيث قام بحمل جميع مراحل التحديث أيضاً وكانت اجاباته رائعة كذلك.

المركز الثالث فاز به الاخوان مصطفى العيسائي ومحمد الغامدي حيث تقدما بحل مشترك لتحدي.

مشاركات رائعة: الاخوة محمد الغامدي ومحمد الجولاني شاركونا حلولهم لبعض مراحل التحدي وليس جميعها ولكن كان حلولهم رائعة فاحببنا ان نذكرهم ونشكر لهم مشاركتنا التحدي.

مرة أخرى نشكر الجميع ونتمنى لكم حظا طيبا في القادم من تحديات مجتمع الحماية.

ملاحظة: بخصوص الجوائز للفائزين نرجو من الاخوة التواصل معنا عبر البريد الالكتروني challenges @ security4arabs dot net او بمراسلتنا على توتير @seecurity4arabs

أمن تطبيقات الهواتف المحمولة

شهدت السنوات القليلة الماضية ارتفاع هائل في استخدام الهواتف المحمولة الذكية بل ان عدد ما انتج وبيع ومنها زاد على عدد سكان العالم (1). ولا شك ان هذه الزيادة جعلت هذه الهواتف هدفاً خصباً للصوص الانترنت وحتى الحكومات التي تريد التجسس على مواطنيها أو مواطني دول أخرى. في المقالة السابقة ركزت على أمن الهواتف الذكية بشكل عام. هنا إن شاء الله سأركز على أمن التطبيقات.

هواتفنا اليوم تحمل جميع أسرارنا وهي لا تفارقنا في كل الاوقات على عكس الحاسب الشخصي او المحمول. هذه الهواتف تحمل صورنا ورسائلنا، تعرف من نتصله به ومتى، وتعرف كل الاماكن التي نتردد عليها. قدرات هواتفنا المحمولة هذه زادت كذلك فنراها أصبحت حواسيب مصغرة تحمل العشرات ان لم يكن المئات من البرامج. نحن كمستخدمين نقوم بتحميل هذه البرامج في كثير من الأحيان بدون أن نعرف ما الذي تقوم به هذه البرامج أو ما هي الصلاحيات التي تتطلبها.

تركيزنا هنا سيكون على الهواتف التي تعمل بنظام اندرويد كونه الأكثر انتشارا وكذلك الاكثر عرضة للاصابة بالبرامج الخبيثة التي تسهتدف المستخدم ومعلوماته وذلك لعدّة أسباب منها: نظام أندوريد يسمح بارسال رسائل نصية بدون علم المستخدم، تعدد أسواق البرامج والتي لا يوجد أي نوع من الراقبة في بعضها، سهولة إعادة تغليف البرامج الشرعية ببرمجيات خبيثة ومن ثمّ اعادة طرحها مرّة أخرى، طريقة توزيع النظام من خلال مزويدي الخدمة مع كثرة العتاد مع تأخرّ أو انعدام الدعم الفني وتحديدا التحديثات كلها أمور تجعل من النظام بئية جذابة للصوص الانترنت.

سأحاول في المستقبل إن شاء الله أن أغطي تفاصيل النظام التقنية بالتفصيل ولكن لاختصار الوقت هنا سأركز على الصلاحيات للبرامج. نظام أندوريد والذي اطلقته غوغل يسمح لشركات العتاد بإصدار هواتف تدعم حاجات وقدرات المستخدمين المختلفة. والتسهيلات التي تضعها غوغل على المطورين تجعله بئية ممتازة لهم كون القيود المفروضة عليه أقل من مثيلتها في نظام ويندوز فون وأقل بكثير منها في نظام  iOS الذي تصدره شركة آبل والذي يعد ثاني أشهر انظمة الهواتف المحمولة.

فلسفة غوغل تقوم على نظام مفتوح للجميع تنتقل فيه مسؤولية الحماية والأمان للهاتف من غوغل إلى المستخدم، ولهذا فعلى المستخدم مراقبة ما يقوم بتحميله من برامج ومعرفة صلاحيات هذه البرامج.

ما هي صلاحيات البرامج؟

كل برنامج يحتاج إلى صلاحيات حسب وظيفة هذا البرنامج يسهلها له نظام التشغيل. مثلا برنامج سكايب الذي يستخدم في الاتصالات الهاتفية سوف يحتاج الى المايكروفون والى الكاميرا الى غير ذلك من الصلاحيات. في حين ان لعبة ما قد تحتاج الى صلاحيات الوصول الى الانترنت من أجل متابعة أداء اللاعبين ونقاطهم ومراحل تقدمهم فيها. لكن عندما نشاهد مثلا برنامج لحاسبة علمية يحتاج الوصول الى الرسائل النصية،فعندها نحتاج كمستخدمين أن نتسائل لماذا يحتاج مثل هكذا برنامج الى مثل هكذا خدمة. الصورة التالية تظهر أمثلة على بعض البرامج وصلاحياته.

الصورة الأولى للعبة تطلب عدّة صلاحيات منها الموقع ومعرّف الجهاز ومعلومات عن المكالمات بالإضافة الى معلومات أخرى.

الصورة الثانية لبرنامج فيسبوك والذي يطلب صلاحيات تتضمن جهات الاتصال والمايكروفون والكاميرا والرسائل النصية، إلخ.

الصورة الثالثة لبرنامج f-secure والذي يقوم بإعلام المستخدم بالصلاحيات الفعلية التي تستخدمها البرامج المثبتة على هاتفه ولكنه لا يحتاج الى أي صلاحيات على الهاتف.

الهاتف المحمول المخترق وطرق استخدامه

شكل -1- يظهر تشريح لهاتف محمول وكيف يمكن للصوص الاستفادة منه. هذا الشكل هو من تقرير صادر لشركة سوفس وقام مجتمع الحماية بترجمة الشكل للعربية. أي هاتف يجري اختراقه يجري استخدامه طبقا لما يريده المخترق. فلصوص الانترنت هدفهم بالدرجة الاولى مادي وبالتالي سيكون اختراقهم من أجل ارسال رسائل نصية عالية التكلفة (كالرسائل التي ترسل الى برامج شهيرة للتصويت على مشترك ما او التبرع المادي لقضية ما). اما الحكومات فهدفها سيكون بالدرجة الأولى تجسسي لذلك ستحاول التلصص على المكالمات أو تسجيل المحادثات وما إلى ذلك.

شكل -1- صورة تظهر حالة هواتف أندرويد والاخطار المعرضة لها

كيف يقوم الأشرار باخترق الهواتف المحمولة

هناك عدّة طرق يمكن للاشرار استخدامها لاختراق هواتف الضحايا، أسهلها هو متابعة اشهر البرامج في السوق ومن ثم تحميلها والتعديل عليها لزرع برامج خبيثة فيها ومن ثم طرحها مجددا في السوق الرئيسي او الاسواق الأخرى. في حالة الحكومات أو غيرها من المنظمات الإجرامية يمكن أن يتم عبر انشاء شركات وهمية تقوم باصدار برامج مغرية يقوم المستخدمون العاديون بتحميلها ومن ثم اعطاء صلاحيات لها ولهم على هواتفهم. اما الطرق الأخرى للاختراق فتكون عبر استغلال ثغرة في نظام التشغيل نفسه او في أحد البرامج الشرعية او تحويل المستخدمين الى صفحات ويب وهمية لسرقة صلاحياتهم. شكل -2- يظهر كيف يقوم مطور خبيث بسرقة برنامج شرعي ومن ثم زرع برمجيته فيها ورفعها الى سوق البرامج.

شكل -2- يظهر عملية كيف يقوم الأشرار باستغلال برامج شرعية لزرع برمجياتهم الخبيثة بهدف اختراق هواتف المستخدمين لشركة Lookout

ما العمل

تذكر أن هاتفك هو مستودع أسرارك فلا تسمح لما هب ودب من برامج بالعمل عليه.

راجع صلاحيات كل برنامج قبل ان تقوم بتثبيته على هاتفك.

لو كان برنامجك المفضل يحتاج الى صلاحيات كبيرة فابحث عن بديل له. لا يغرك أن شركة كبيرة تقوم بتطويره. الشركة فيها موظفين والموظفون ليسوا ملائكة فقد تسوّل لبعضهم انفسهم بالتلصص على وبيع معلومات المستخدمين. حصل مثل هذا سابقا ولا يوجد ما يمنع حدوثه اليوم.

قم بتثبيت برامج مثل f-secure في الصورة الثالثة أعلاه أو برنامج Dcentral لمعرفة صلاحيات البرامج على هاتفك. برنامج Dcentral يعطي تقييم لهذه البرامج بناء على نوع الصلاحيات التي تطلبها. الصورة التالية تظهر مثال لعمل برنامج Dcentral

أمن الهواتف الذكيّة

الهواتف النّقالة، ولاسيما الذكيّة منها هي عبارة عن حواسيب محمولة. فهي تسمح لك بالوصول الى الانترنت والى بريدك الالكتروني، كذلك تسمح لك بتحميل التطبيقات والألعاب وتخزن معلوماتك الشخصية، الأشخاص الذين تتصل بهم، صورك وغيرها. لهذا أنت تحتاج الى حماية هاتفك تماماً مثلما تقوم بحماية حاسوبك المنزلي او المحمول. تذكر دائماً أنّ هاتفك الذكي ليس مجرد هاتف لذلك تأكد دائماً من انه معك في كل الأوقات.

تأمين هاتفك

قم بتفعيل خصائص الحماية على هاتفك. جميع الهواتف اليوم تحتوي على خصائص حماية لذلك تعرّف على هذه الخصائص في هاتف وفعّلها.

ضع كلمة مرور أو رقم تعريف (PIN) والذي يجب على مستخدم الهاتف أن يدخله قبل أن يبدأ باستخدام الهاتف. كلمات المرور أو الأرقام التعريفية تجعل من سرقة معلومات الشخصية من هاتفك أمراً أصعب على لصوص الهاتف أو المتلصصين.

حاول تثبيت برنامج لمكافحة الفيروسات والبرمجيات الضارة الاخرى من مرزوّد خدمة موثوق (خصوصاً ان كنت تستخدم انظمة أندرويد).

حدّث نظام التشغيل الذي يستخدمه هاتفك بشكل دوري. ثبّته متى توفر بأسرع وقت لأن هذه التحديثات في العادة تحتوي على تحديثات تساعد على حماية هاتفك. للأسف أندرويد في هذه النقطة متأخر جداً في كثير من الأحيان عن باقي الأنظمة.

اذا قمت بتفعيل خاصية بلوتوث على هاتفك (بلوتوث خاصية تسمح لك بالاتصال لاسلكياً بأدوات أخرى من أجل نقل معلومات أو غيرها من مسافة قصيرة) قم بجعل هاتفك “مختفي” بحيث لا يستطيع أن يراه الأخرون. هذا يعني أن عملية اكتشافه من قبل القراصنة ستكون أصعب إلا اذا كانوا يعرفون عنوانه. حاول أن تستخدم هذه الخاصية في مناطق خاصة أو غير مزدحمة.

عند استخدامك للانترنت عبر شبكة لاسلكية تأكد من أن تكون الشبكة مشفّرة وتكون تثق في مصدرها، سواء كانت منزلية أو مقدّمة من شركة تجارية. كذلك قم بتغيير الخصائص بحيث يقوم هاتفك بسؤالك للسماح له بالاتصال مع شبكة لاسلكية قبل أن ينضم لهذه الشبكة اللاسلكية الجديدة.

اذا كنت لا تستخدم خاصية بلوتوث أو خاصية تحديد المكان فقم بتعطيلهما. فعّل احداهما أو كلاهما عند الحاجة فقط.

استخدم خاصية المسح عن بعد (remote wipe) اذا كان هاتفك أو مزوّد الخدمة يدعم هذه الخاصية. هذه الخاصية تتيح لك مسح هاتفك وحماية معلوماتك الشخصية في حال فقدت هاتفك او تمت سرقته.

حماية معلوماتك

شفّر بياناتك. بعض الهواتف تسمح لك بتشفير البيانات المخزّنة على الهاتف نفسه أو على الذاكرة المتنقلة. التشفير سيحمي معلوماتك في حالة فقد أو سرقة هاتفك (لا قدر الله).

قم بعمل نسخة احتياطية من بياناتك بشكل دوري. اعمل لنفسك برنامج زمني (يومي أو اسبوعي مثلاً) تقوم فيه بحفظ بياناتك على حاسوبك أو على ذاكرة متنقلة (مشفرّة) واحفظها في مكان آمن.

تجنب الأماكن العامة في حال قيامك بأي معاملات بنكية. البعض يستطيع ان يرى ما الذي تكتبه على هاتفك سواء كان من خلفك أو حسب حركة يدك. وكذلك في حالة الاتصال عبر شبكة لاسلكية قد يستطيع القراصنة الوصول الى معلوماتك الشخصية والبنكية.

أمن الانترنت والتطبيقات

لا تقم بتحميل برامج قبل ان تعرف ما هي الصلاحيات التي تتطلبها هذه البرامج (كصلاحيات الوصول الى دليل الهاتف، او الكاميرا او الصور وغيرها.)

العديد من الهواتف الذكية تسمح لك بتحديد صلاحيات البرامج اذا كان هاتفك يدعم هذه الخاصية فاستفد منها للتّقليل من صلاحيات البرنامج الذي تنوي تثبيته على هاتفك.

بعض البرامج في المتاجر الالكترونية (وهذا نجده أكثر في متاجر أندرويد) تحتوي على فيروسات أو غيرها من البرمجيات الضارة. لذلك دائماً تأكد من البرامج التي تقوم بتحميلها.

هاتفك يحتوي على معلوماتك وصورك الخاصة. فكرّ جيداً في ما تحمله من برامج وما تشارك به من معلومات. هاتفك في بعض الاحيان يحتوي على معلومات خاصة أكثر من حاسوبك الشخصي. لهذا المحتالون والقراصنة بأمكانهم إن لم تكن حذراً الحصول على كم هائل من المعلومات عنك.

عند زيارتك لموقع انترنت تأكد من أنه موقع موثوق بمعنى أن تعرف هذا الموقع واستخدام HTTPS متى توفر ذلك لضمان ان تصفحك مشفر.

فكّر قبل أن تضغط عند استلامك لرسائل الميديا (MMS) أو الملحقات في البريد الالكتروني تماماً كما تفعل على حاسوبك الشخصي (نأمل أنّك تقوم بذلك :)). قد تحتوي هذه الرسائل أو الملحقات على برمجيات ضارة أو تقوم بتوجيهك الى مواقع انترنت ضارة (مثلا موقع فيسبوك مزيف لسرقة صلاحياتك ومن ثمّ حسابك على فيسبوك).

علامات على أن هاتفك مصاب ببرمجيات ضارة

هناك ارتفاع مفاجئ في فاتورة هاتفك بدون سبب واضح

هناك رسائل الكترونية او نصية في مجلد المرسل لم تقم أنت بإرسالها

واجهة هاتفك تغيرت ولم تقم أنت بهذا التغيير.

تذكّر…

هاتفك يحتوي على تفاصيل حياتك. فاحتفظ به واحمه كما تحفظ أسرارك وخصوصيّاتك بل أكثر.

إن كان لديك نصائح أخرى لم نتطرق إليها فاذكرها في التعليقات ليستفيد منها الجميع وسنقوم بإضافة الأفضل منها كتحديث على المقال.

قائمة اواسب 2013 للعشرة الاوائل في ثغرات الويب باللغة العربية

صدرت مؤخراً النسخة العربية من قائمة اواسب للعام 2013 للثغرات العشرة الاوائل في الويب. هذه الاصدارة هي حصيلة جهد رائع من مجموعة من الشباب العربي. قائمة اواسب تساعد كلاً من المطورين والباحثين في امن المعلومات في تركيز جهودهم على اهم واخطر ثغرات الويب من اجل الحماية منها او اكتشافها.

الشباب الذين شاركوا في هذه الترجمة (وفقاً للترتيب الابجدي) هم:

خليفة الشامسي
فهد
عبدالإله الصهيل
صبري صالح
مهند شحات
محمد الدوسري

لتحميل الاصدارة https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf

يتقدم مجتمع الحماية العربي بجزيل الشكر الى هؤلاء الشباب على عطائهم ورفعهم لمستوى الوعي الامني عربياً

تحديث 20/11: تم تعديل خطأ في أسماء الأخ مهند والأخ عبد الإله

باحث أمني يكتشف ثغرة خطيرة في موقع مطوّري توتير

ابراهيم حجازي، شاب عربي يعمل باحثاً أمنياً في في مجال إكتشاف ثغرات برمجيات المواقع Web Applications. حجازي اكتشف العديد من الثغرات الخطيرة في مواقع شركات كبيرة مثل مايكروسوفت وغوغل و فيسبوك وآخر اكتشافاته ثغرة خطيرة في موقع توتير للمطورين.
شركة توتير كمكافأة منها للباحث الشاب قامت بنشر اسمه ضمن قائمة الشرف الخاص بأمن الموقع (https://twitter.com/about/security)

تفاصيل الثغرة

الثغرة التي تم اكتشفها تسمح للمهاجم برفع ملفات تشغيلية من نوع PHP (احدى اللغات المستخدمة في تطوير مواقع الانترنت) أو ملفات من نوع .txt وامتدادات اخري كذلك،
وهو ما يتيح للمهاجم في العديد من الحالات التحكم بالخادم الذي يشغل الموقع او إستخدامه في إختراق مستخدميه.

كما يمكن للمهاجمين رفع ملفات .txt تحمل أوامر معينة .. ويستخدمون تلك الاوامر في توجيه الأجهزة المخترقه من خلالهم فيقوم الجهاز المخترق بزيارة الصفحة المرفوعه علي تويتر من قبل المهاجم وياخذ الاوامر ويقوم بتنفيذها .. وبما ان موقع تويتر هو موقع لا يثير الشكوك مطلقا لانه موقوع موثوق .. فلن يثير ذلك شكوك المستخدمين او من يقومون بتحليل البرمجيات الضارة.

موقع توتير للمطورين يتيح لهم رفع ايقونة للتطبيقات التي يقومون بتطويرها للعمل مع موقع توتير. ومع أن الموقع يقوم بفحص الملفات المرفوعة ويحصرها في ثلاثة انواع وهي PNG، GIF و JPEG وهي انواع ملفات خاصة بالصور، إلا أنّ حجازي تمكن من تجاوز آليات الفحص ورفع ملف PHP

الفيديو الاتي يظهر الثغرة وكيف عثر عليها الباحث الامني

الفيديو التالي يظهر الاستغلال

التبليغ عن الثغرة

قام الباحث الامني بالتواصل مع توتير للابلاغهم بوجود الثغرة والعمل على ترقيعها قبل نشرها التفاصيل. هذه الخطوة هامة جدا لانها تظهر ان الباحث يهتم بأمن المستخدمين وليس فقط الشهرة، وهذا ما نحترمه جدا في مجتمع الحماية العربي ونحث الباحثين الامنيين العرب على القيام به.

نتقدم للاخ ابراهيم حجازي بالتهنئة على هذا الانجاز الرائع والذي يضاف الى قائمة طويلة من انجازات هذا الباحث الشاب.

مجتمع الحماية العربي – التّحدّي الثاني

الشهر الماضي أطلقنا تحدي المجتمع الأول لهذا العام، وبفضل الله كانت المشاركة فيه كبيرة ووصلنا العديد من الإجابات الصحيحة ولهذا كان اختيار الفائزين فيها صعباً. الفائزون في التحدي الأول كانا الأخ علي الحبشي من الكويت حيث فاز بالمركز الأول وحصل على اشتراك سنوي في مجلة اختبار الأختراق. في حين فاز الأخ بركات سرور من السعودية بالمركز الثاني وحصل على برنامج حماية من شركة الحماية الشهيرة BitDefender. واليوم نعلن بفضل الله وتوفيقه عن انطلاق الجزء الثاني من سلسلة التحدي والذي تم وضعه بالتعاون مع شركة سيكيورتي نينجا وممثلها الأخ الأستاذ محمد رمضان.  سلسلة التّحدّي والتي هي عبارة عن مسابقات في أمن المعلومات، هي ثمرة تعاون بين مجتمع الحماية والعربي ومجلة الاختراق وشركة بت دفندر – الشرق الأوسط. سيحصل الفائزون في هذه المسابقات على جوائز قيمة جدّاً من الشركات الراعية.

حظّاً طيباً للجميع

التّحدّي الثاني

النص التالي يحتوي على نص يشكل بداية الطريق في هذا التحدي الممتع. قم بتحليل النص حتى تحصل على باقي تفاصيل التحدي:

104 116 116 112 58 47 47 100 108 46 100 114 111 112 98 111 120 46 99 111 109 47 117 47 49 48 55 54 49 55 48 48 47 123 99 104 97 108 108 101 110 103 101 46 122 105 112 44 99 104 97 108 108 101 110 103 101 46 98 122 50 44 97 100 109 105 110 46 116 120 116 125

الشروط

1- ترسل الإجابات إلى العنوان التالي

2- الإجابة يجب أن تكون على شكل نص (Plain Text)

3- آخر موعد لاستلام الإجابات هو ١٥ يوليو (تموز) 2012

4- سيتم إعلان النتائج في أول شهر رمضان المبارك إن شاء الله

تفعيل المصادقة المزدوجة على نظام ابنتو

مع ازدياد الطرائق التي يستخدمها المهاجمون في عمليات الإختراق التي يقومون بها، يحتاج مدراء الانظمة الى رفع مستوى الحماية الخاص بأنظمتهم. إحدى هذه الطرائق هي عبر المصادقة المزدوجة أو ما يعرف ب Two-Factor Authentication.

ما هي المصادقة المزدوجة؟

كلمات المرور هي شيء يعرفه المستخدم (something you know). هنا العديد من الوسائل التي يتم من خلالها مهاجمة كلمات المرور. وكون كلمات المرور هي الحماية الأكثر استخداما والتي بمعرفتها (او الحصول عليها) يمكن للمهاجم اختراق الأنظمة، تعتبر اضافة شيء آخر لعملية المصادقة أمراً مهماً من أجل جعل مهمة المهاجم أمراً أصعب. الإضافة هنا هي عبارة عن شيء في حوزة المستخدم (something you have) وهو في حالتنا هذه الهاتف النقال.

قامت غوغل في الفترة الأخيرة بجعل المصادقة المزدوجة متوفرة على نطاق واسع سواء على بريدها الإلكتروني (سنقوم إن شاء الله بتغطيته قريباً)، وكذلك عبر توفير إضافات يمكن للمستخدمين تثبيتها على أنظمتهم لتسهيل تفعيل المصادقة المزدوجة.

هنا سنقوم إن شاء الله بتغطية طريقة تفعيل المصادقة المزدوجة على أنظمة ابنتو. ننصح مدراء هذه الأنظمة بتفعيلها من أجل حماية أفضل لأنظمته. هذه الحماية لا تكلفك عزيزي مدير النظام شيئاً سوى وقت تثبيتها على أنظمتك.

الخطوات

تفعيل المصادقة المزدوجة

اذهب الى لوحة ادارة نطاقك (او ادارة بريدك في حال لم تكن تمتلك نطاق) واختر الأدوات المتقدمة (Advanced Tools) ثم اختر “Allow users to turn on two-factor authentication”. بعد ذلك اذهب الى حسابي (My Account) واضغط على استخدام المصادقة المزدوجة (Using 2-step verification).

تثبيت مصادق جوجل (Google Authenticator) على ابنتو

ملاحظة: الخطوات التالية تم تنفيذها على نظام ابنتو 10.04

١- قم بتحميل مكتبة libpam0g-dev والتي يحتاجها Google Authenticator


apt-get install libpam0g-dev#

٢- قم بتحميل Google Authenticator من هنا https://code.google.com/p/google-authenticator/downloads/list

ملاحظة: لحظة كتابة هذا المقال كان اسم الملف هو  libpam-google-authenticator-1.0-source.tar.bz2

٣- قم بتثبيت برنامج gcc


#apt-get install gcc


ملاحظة: وجود برنامج gcc على خادمك له محاذير أمنية لذلك قم بإزالته بعد الانتهاء من تثبيت Google Authenticator

٤- قم بفك ضغط البرنامج وتثبيته


$bunzip2 libpam-google-authenticator-1.0-source.tar.bz2
$tar xvf libpam-google-authenticator-1.0-source.tar
$cd libpam-google-authenticator-1.0-source
$sudo make install


٥- نقوم الآن بتحرير ملف common-auth حتى يشمل إضافة Google Authenticator


vim /etc/pam.d/common-auth


وإضف السطر التالي


auth required pam_google_authenticator.so

بحيث يصبح شكل الملف النهائي هو


# here are the per-package modules (the "Primary" block)
auth required pam_google_authenticator.so
auth [success=1 default=ignore] pam_unix.so nullok_secure
# here's the fallback if no module succeeds

ملاحظة: لا تقم بأي تعديل على الملف عدا عن اضافة سطر  Google Authenticator قبل سطر pam_unix.so

٦- قم بتفعيل خاصية ChallengeResponseAuthentication في برنامج SSH حتى يصبح Google Authenticator جزءا منه.

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication yes

ملاحظة: هنا قمت فقط بغير القيمة من no إلى yes

الآن نقوم بإعادة تشغيل خدمة SSH من أجل أن تصبح التغييرات التي قمنا بها مفعلة.


service ssh restart


لا تقم بالخروج من النظام أبداً في هذه المرحلة وإلا فلن تتمكن من الدخول مرة أخرى

٧- لتفيعل Google Authenticator على حساب

[email protected]:~$ google-authenticator
Do you want authentication tokens to be time-based (y/n) y
https://www.google.com/chart?chs=200×200&chld=M|0&cht=qr&chl=otpauth://totp/[email protected]%3Fsecret%
Your new secret key is:
Your verification code is
Your emergency scratch codes are:
***55**
***22**
***77**
***22**
***11**
Do you want me to update your “/home/bashar/.google_authenticator” file (y/n) y
Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y
By default, tokens are good for 30 seconds and in order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with poor
time synchronization, you can increase the window from its default
size of 1:30min to about 4min. Do you want to do so (y/n) y
If the computer that you are logging into isn’t hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y

٨- قم بنسخ العنوان إعلاه في متصفحك

https://www.google.com/chart?chs=200×200&chld=M|0&cht=qr&chl=otpauth://totp/[email protected]%3Fsecret%<USERS_KEY>

٩- قم بعملية مسح لكود الذي سيظهر (كود يعرف ب QR) من خلال تطبيق Google Authenticator على هاتفك النقال.

التطبيق متوفر في اسواق هواتف اندوريد، ايفون، وبلاك بيري بالإسم Google Authenticator وفي سوق هاتف ويندوز فون بالإسم Authenticator وهو اصدار غير رسمي بخلاف Google Authenticator المدعوم من قبل غوغل.

مثال للصورة التي ستظهر عند زيارة الموقع

١٠- جرب من شاشة سطر أوامر أخرى الوصول الى الخادم حتى تتأكد من أن المصادقة المزدوجة تعمل الآن


$ssh [email protected]
Verification code:
Password:
Linux s4a 2.6.32-41-server #88-Ubuntu SMP Thu Mar 29 14:32:47 UTC 2012 x86_64 GNU/Linux
Ubuntu 10.04.4 LTS
[email protected]:~$

كما تلاحظون هناك شيء جديد يسبق كلمة المرور وهو Verification Code والذي تحتاج إليه بالإضافة إلى كلمة المرور من أجل الوصول الى خادمك عبر خدمة SSH

صدور عدد جديد من مجلة اختبار الاختراق – 4/2012

صدر عدد جديد من مجلة اختبار الإختراق.* يحتوي العدد على العديد من المقالات تركز على اختراق تطبيقات الويب. فيما يلي ملخص لهذا العدد:

-بوابات خلفية في CSS.  CSS تعدد لغة وصفية لكيفة ظهور صفحة الويب والصور والخطوط التي تتضمنها. هذا المقال يغطي طرق يستخدمها المهاجمون عند اختراقهم لأنظمة عبر زرع بوابات خلفية داخل CSS. كذلك يغطي طرق العثور على مثل هذه البوابات.

-كيف تختبر برامج اداة المحتوى (CMS) المشهورة. اي شخص يستطيع بناء موقع خاصة به بسهولة. العديد من هذه المواقع لها نفس الشكل وبنية الصفحة مع اختلاف في الألوان والشعارات. هذا المقال يغطي برامج ادارة محتوى شهيرة مثل ورد برس، جملة ودروبال وغيرها وكيف يمكن عمل فحوص اختبار لها.

-اطارات العمل والتطبيق الجيد للتصميم.  اطارات العمل عبارة عن طرق تسعى لحل مشاكل عبر بنية مجرّدة  للبرامج يمكن اعادة استخدامها في وظائف عامة. هذا المقال يناقش بعض النقاط التي ينبغي ان تأخذ بعين الاعتبار من أجل الوصول الى حل مثالي.

-لماذا التقييم الآلي للثغرات(Automated Vulnerability Assessment) غير كافي. في السنوات الأخيرة اعتبر الكثيرون ان اجراء تقييم آلي للثغرات، يمكن أن يتبع عمل فحص اختبار، كافيان لتأكيد وجود ثغرات داخل نظام معلوماتي. هذا المقال يشرح أهمية أن يرافق الاثنان بعملية تدقيق للتطبيقات.

-ادارة فريق فحوص اختبارات ناجح. الصورة العامة لفرق فحوصات الاختبار هي صورة سلبية تظهر هذه الفرق على انها عبارة عن مهوسين تقنيين بعدين عن اهداف العمل. هذا المقال يطرح بعض النصائح التي تساعد فرق فحصوص الاختبار في تغيير هذه الصورة.

-احذر من سلبيات الهندسة الاجتماعية. بعد فترة من الأهمال ادركت الشركات والمدققون أهمية الهندسة الإجتماعية خصوصا وانها استخدمت في العديد من الهجمات الناجحة. ولهذا اصبح العديد يطلب ان تشمل الاختبارات على الهندسة العكسية. هذا المقال يطرق نصائح من أجل  القيام بهندسة اجتماعية ناجحة.

—-

* تأخرت مراجعتنا لهذا العدد لظروف طارئة. إن شاء الله المراجعات القادمة ستكون متوفرة بشكل أسرع.

** مجلة اختبار الاختراق تصدر في بولندا باللغة الانجليزية وهي تتطلب اشتراك سنوي. هناك عرض للاشتراك لمدة سنة بالمجلة مقابل 133 دولاراً.

*** مجتمع الحماية العربي يقوم بالتعاون مع مجلة اختبار الاختراق وسيتم طرح مسابقات عامة في المجتمع برعاية المجلة.

–

كسر حماية ايفون بإقل من دقيقتين

اصدرت شركة Micro Systemation اصدارة جديدة من اداة تعرف باسم XRY تستطيع كسر حماية العديد من الهواتف الذكية مثل ايفون، اندوريد وبلاك بيري. الالية التي تعمل بها هذه الاداة تقوم اولاً على كسر النظام عبر ما يعرف ب Jailbreaking، بعد ذلك تقوم الأداة بهجوم brute-force لكسر مفتاح الدخول حتى الوصول الى الكلمة الصحيحة. العملية تبدأ من 0000 إلى 9999. وهي عملية لا تستغرق وقتاً طويلاً. أقل من دقيقتين.

بعد عمل jailbreak والحصول على مفتاح الدخول، يمكن الوصول الى كافة البيانات المخزّنة على النظام، من سجل المكالمات، والرسائل، الى عناوين الاتصال وحتى المفتاتيح التي نقرها المستخدم اثناء استخدام لمحموله.

هذا النظام لا يستطيع في الوقت الحالي كسر حماية iPhone 4S و iPad 2 وما بعدها.

الفيديو التالي يظهر عملية ميزات الاداة

هذه الأجهزة متوفرة لأجهزة الأمن. استخدام المفتاح المتقدم يساعد على جعل عملية الكسر اصعب وتستغرق وقت أطول.

ملاحظة: الشركة وضعت فيديو يظهر عملية كسر الحماية خطوة بخطوة ولكن قامت بعد ذلك بحذفه من قناتها على يوتيوب.

أبل تصدر ترقيع لثغرة جافا

اصدرت شركة  أبل قبل ساعات ترقيع لثغرة خطيرة جافا. اذا كنت تمتلك حاسوب يعمل على نظام Mac OS فننصحك بترقيع نظامك في أسرع وقت ممكن. استغلال الثغرة متوفر على شبكة الانترنت، وقد تمّ اضافة الاستغلال الى مشروع ميتاسبلويت. اذا لم تكن بحاجة الى جافا فقم بإزالتها فمشاكلها كثيرة واستغلالها متوفر ويتيح للمهاجم سيطرة كاملة على نظامك.

الجدير بالذكر ان ترقيع هذه الثغرة في ويندوز قد تم في شهر فبراير (شباط) الماضي. كذلك قامت موزيلا المؤسسة المصدرة للمتصفح الشهير بتضمين خاصية تقوم بتعطيل الاضافة غير المحدّثة ولكن هذه الخاصية تعمل على نظام ويندوز في الوقت الحالي.