جميع مواضيع الكاتب بشار
بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.
كل ما تحتاج معرفته عن فيروس DNSChanger
في الثامن من شهر مارس (آذار) القادم سيقوم جهاز المباحث الجنائية الأمريكي بإيقاف خدمة أسماء النطاق على الخوادم التي قام بمصادرتها من مجموعة القراصنة الاستونيين ضمن ما يعرف بعملية “نقرة الشبح”. والتي تمّ فيها اعتقال المجموعة المسؤولة عن سلسلة الفيروسات الشهيرة والمعروفة ب DNSChanger. في هذا المقال سنتاول تعريفاً بهذا الفيروس وكيف يعمل، وماذا يعني ايقاف الخدمة على الخوادم المصادرة.
ما هو فيروس DNSChanger؟
فيروس DNSChanger هو فيروس يقوم بتغيير خادم نطاق الخدمة المعروف باسم DNS على حاسوب الضحية الى خادم يسيطر عليه مجرموا الانترنت من اجل سرقة بياناتهم، التجسس على عليهم، اونشر الفيروسات.
خدمة DNS
انظر الشكل التالي
عبد الله هو مستخدم انترنت منزلي، يحاول الوصول الى موقعه المفضل توتير، من أجل متابعة أخبار أصدقائه ومشاركة اخباره أو ما يهمه معهم. خادم اسماء النطاق لعبد الله يكون في العادة ما يزوده به مزوّد الخدمة الذي يوفر خدمة الانترنت لعبد الله. بدون خدمة اسماء النطاق على عبد الله حفظ العناوين الرقمية لكل موقع يزوره او يتابعه. فمثلاً، أحد العناوين الرقمية لموقع توتير هو 199.59.148.10. تشغيل لو كان على عبد الله حفظ هذا العنوان أو عنوان غوغل أوالجزيرة أو موقع الحماية العربي. من هنا تأتي أهمية هذه الخدمة، حيث أنها تتيح لعبد الله زيارة مواقعه المفضلة دون القلق على العناوين الرقمية التي تستخدمها.
في الشكل أعلاه، عندما قام عبد الله بكتابة https://twitter.com في متصفحه، قام المتصفح بإرسال الطلب خادم النطاق الذي يستخدمه عبد الله. يرد خادم النطاق على المتصفح بإعطائه العنوان 199.59.148.10 لتبدأ بعدها سلسلة اتصالات بين حاسوب عبد الله وموقع توتير.
فيروس DNS
في حال اصابة حاسوب عبد الله بفيروس DNSChanger، فإن الفيروس سيقوم بتغيير عنوان خدمة النطاق من خادم مزوّد الخدمة إلى خادم يسيطر عليه مجرموا الانترنت. كما في الشكل التالي
هنا عبد الله يقوم بطلب موقع توتير فيرد عليه خادم خدمة نطاق يسيطر عليه المجرمون حيث يقوم هذا الخادم بإرسال عنوان رقمي لخادم آخر يسيطر عليه المجرمون يظهر على أنه توتير فيقوم عبد الله بتسجيل دخوله ولكن في موقع توتير على خادم المجرمين وهو ما يمكنه من سرقة بيانات دخوله. قس على ذلك البريد الالكتروني والبنك الذي يتعامل معه…إلخ. كذلك يمكن للمهاجمين استغلال ثغرات على حاسوب عبد الله والسيطرة عليه بشكل كامل أو تثبيت برامج ضارة أو برامج تجسس عليه. من أصيب بهذا الفيروس لم يتمكن من الحصول على تحديثات أمنية لنظام تشغيله.
ما علاقة ذلك كله بما ستقوم به المباحث الأمريكية؟
بعد أن قامت المباحث الامريكية بالسيطرة على هذه الخوادم في شهر نوفمبر (تشرين الثاني)، قامت بالتعاون مع مؤسسة ISC المطوّرة لبرنامج خدمة اسماء النطاق الشهير BIND. قامت المؤسسة بالرّد على طلبات خدمة اسماء النطاق للمستخدمين، وبهذا تمّ إعادة المستخدمين الى المواقع الاصلية بدل المواقع المشبوة.
في الثامن من الشهر القادم (مارس – آذار) ستتوقف هذه الخوادم عن العمل. وهو ما يعني أن أي حاسوب مصاب بالفيروس، لن يستطيع تصفح الاانترنت أو زيارة أي موقع (طبعاً الا اذا كان يعرف العناوين الرقمية كما بينا اعلاه).
عناوين الخوادم التي تمّت السيطرة عليها هي
من الى
| 77.67.83.1 | 77.67.83.254 |
| 85.255.112.1 | 85.255.127.254 |
| 67.210.0.1 | 67.210.15.254 |
| 93.188.160.1 | 93.188.167.254 |
| 213.109.64.1 | 213.109.79.254 |
| 64.28.176.1 | 64.28.191.254 |
ما الذي يبغي على المستخدمين القيام به؟
اذا كنت تستخدم نظام ويندوز اكس بي
1- اضغط على Start أو أبدأ
2- اذهب الى Run واكتب الامر cmd
3- في شاشة سطر الاوامر التي ستظهر اكتب الأمر ipconfig /all | findstr -i “dns”
4- اذا ظهر لديك أحد العناوين أعلاه فهذا يعني أن حاسوبك مصاب بهذا الفيروس. أفضل طريقة لتطهير حاسوبك هي اعادة تهيأته بعد عمل نسخة احتياطية لملفاتك الهامة.
اذا كنت تستخدم نظام ويندوز 7
1- اضغط على Start أو أبدأ
2- اكتب الامر cmd
3- في شاشة سطر الاوامر التي ستظهر اكتب الأمر ipconfig /allcompartments /all | findstr -i “dns”
4- اذا ظهر لديك أحد العناوين أعلاه فهذا يعني أن حاسوبك مصاب بهذا الفيروس. أفضل طريقة لتطهير حاسوبك هي اعادة تهيأته بعد عمل نسخة احتياطية لملفاتك الهامة.
اذا كنت تستخدم نظام ماك
1- اذهب الى System Prefrences
2- اذهب الى Network
3- وانظر الى العناوين الرقمية بجانب DNS Server
4- اذا ظهر لديك أحد العناوين أعلاه فهذا يعني أن حاسوبك مصاب بهذا الفيروس. أفضل طريقة لتطهير حاسوبك هي اعادة تهيأته بعد عمل نسخة احتياطية لملفاتك الهامة.
ملاحظة: قد يظهر عنوان ال DNS لديك على شكل 192.168.1.1 هذا يعني أن موجه الانترنت لديك (الراوتر) هو ما يقوم بالخدمة وهو الذي يحتوي على العناوين التي تستخدمها. في هذه الحالة ادخل الى واجهة المستخدم التي تدير منها الموجه وقم بالبحث عن خوادم ال DNS التي يستخدمها الراوتر لديك.
الفحص عبر المتصفح
للفحص عبر المتصفح قم بزيارة أحد الصفحات التالية
كيف تقوم بحذف تاريخ بحثك في غوغل
في موضوع سابق تتطرقنا لطريقة حذف تاريخ البحث والمشاهدة في يوتيوب، وذكر ان غوغل ستقوم بتعديل سياستها الخاصة بخدمتها بحيث تقوم بتوحيدها وهو ما سيتيح لها مراقبة تامة للمستخدمين.
يرجى الانتباه لأن عملية حذف وتعطيل تسجيل التاريخ لن تمنع غوغل من جمع معلومات حول من أجل الاستخدام الداخلي لغوغل. كذلك هذا لا يغير حقيقة ان هذه السجلات يتم الاطلاع عليها من قبل الأجهزة الأمنية التي تتعاون معها شركة غوغل.
في حالة ترك تاريخ المشاهدة والبحث مفعلاً، غوغل سوف تحتفظ بسجلات المستخدمين بدون مدّة زمنية (قد تكون سنوات أو عقود). في حالة تعطيل التاريخ فإن غوغل ستحتفظ بها بها لمدّة 18 شهراً في حين جزء منها سيكون مخفي وبعد انواع الاستخدام مثل تخصيص نتائج البحث سيتم منعها.
لحذف تاريخ بحثك اتبع الخطوات التالية بعد تسجيل دخول الى حسابك في غوغل
1- اذهب الى http://www.google.com/history
2- اضغط على Remove all Web History
3- اضغط على Pause لتعطيل تسجيل التاريخ
ابدأ بالبحث عن بديل. محرك goduckduck محرك جيد ويحترم خصوصية المستخدمين. قمنا بتغطيته هنا
احذف تاريخك تصفحك من موقع يوتيوب خطوة بخطوة
في الأول من مارس (آذار القادم)، ستقوم غوغل بتطبيق سياستها الجديدة في توحيد البيانات التي يتمّ جمعها عن المستخدمين عبر جميع تطبيقات غوغل. هذا الجزء الأول من سلسلة تساعد المستخدمين في حذف تاريخ تصفحهم من المواقع التابعة لغوغل قبل أن تبدأ غوغل بتنفيذ السياسة الجديدة.
يرجى الانتباه لأن عملية حذف وتعطيل تسجيل التاريخ لن تمنع غوغل من جمع معلومات حول من أجل الاستخدام الداخلي لغوغل. كذلك هذا لا يغير حقيقة ان هذه السجلات يتم الاطلاع عليها من قبل الأجهزة الأمنية التي تتعاون معها شركة غوغل.
في حالة ترك تاريخ المشاهدة والبحث مفعلاً، غوغل سوف تحتفظ بسجلات المستخدمين بدون مدّة زمنية (قد تكون سنوات أو عقود). في حالة تعطيل التاريخ فإن غوغل ستحتفظ بها بها لمدّة 18 شهراً في حين جزء منها سيكون مخفي وبعد انواع الاستخدام مثل تخصيص نتائج البحث سيتم منعها.
أي فرد حريص على خصوصية ينصح بالقيام بإنشاء حساب جديد ثانوي يتم استخدامه من اجل التصفح ومشاركة فيديوهات يوتيوب. قم بتحميل تسجيلاتك على يوتيوب وحذفها ومن ثمّ ارفعها على ذلك الحساب الثانوي.
لحذف التاريخ اتبع الخطوات التالية بعد أن تقوم بتسجيل دخول الى حسابك
1- اضغط على ايقونة حسابك
2- اضغط على Video Manager
3- اضغط على History
4- اضغط على Clear all viewing history وأكد الاختيار عندما يظهر السؤال
5- اضغط على Pause viewing history لأجل تعطيل تاريخ المشاهدة
قم بتكرار ذلك على Playlists و Watch Later و Likes و Favorites
أبدأ بالبحث عن شركات تحترم خصوصية مستخدميها
تفاصيل أكثر تجدونها هنا
فيروس المحكمة الشرعية
انتشر في الآونة الأخيرة فيروس يصيب حواسيب المستخدمين في السعودية يستخدم أسلوب التخويف. حيث يقوم بإظهار رسالة للمتسخدم تخبره بأنه خالف تشريعات المملكة بزيارته لمواقع اباحية واحتواء الحاسوب على مواد إباحية ولهذا تمّ حظر اتصال الحاسوب. لإزالة الحظر على المستخدم دفع مبلغ 300 دولار غرامة. الدفع يتم عبر كاش يو. ويتمّ تهديد المستخدم بتحويله للمحكمة إذا لم يقم بدفع المبلغ خلال 24 ساعة.
وفقاً للمحقق الجنائي عبد الله العلي فإن طريقة التخلص من هذا الفيروس تتم من خلال الضغط على مفتاح F8 بعد إعادة تشغيله للدخول في الوضع الآمن مع دعم الشبكة (Safe Mode With Network). وعمل مسح كامل للحاسوب (المسح من خلال أحد برامج مكافحة الفيروسات).
هذه احدى الحيل التي يستخدمها المحتالون لخداع المستخدمين. يتمّ استخلال عامل الخوف من اجل اجبار المستخدم على القيام بشيء بدون تفكير. إعطاؤه مدّة زمنية يتمّ من أجل تعزيز الخوف لديه وجعله يتصرف دون تفكير. لغة الرسالة نفسها تكشف عن أنها علمية احتيال. فهناك الفاظ لا يمكن ان تستخدمها جهة رسمية مثل “سكس” أو أخطاء إملائية “ذات محتوى الإباحة”. كذلك لن تقوم جهة رسمية بالطلب بتهديدك “ونمسح جميع المعلومات من كمبيوترك” إلخ.
المجهولون تضرب عشر مواقع بما فيها وزارة العدل الأمريكية
أعلنت مجموعة المجهولين Anonymous عن ضربها لعشرة مواقع بما فيها موقع وزارة العدل الأمريكية كردّة فعل على إغلاق موقع مشاركة الملفات الشهير والمثير للجدل Megaupload.
وفقاً للمجموعة فإن العملية التي اطلق عليها اسم OpMegaupload كضربت مواقع وزارة العدل الامريكية usdoj.gov و justice.gov موقع universalmusic.com موقع صناعة التسجيلات riaa.org وموقع اتحاد الصور المتحركة mpaa.org موقع حقوق الملكية الامريكي copyright.gov وموقع حقوق الملكية الفرنسي hadopi.fr مو مجموعة وارنر wmg.com موقع اعلان الموسيقى bmi.com وموقع مكتب التحقيقات الفيدرالية fbi.gov
والهجوم والذي يعتبر الأضخم من نوعه في يوم واحد قامت به المجموعة شارك به في ذروته 5635 مشارك وفقاً للمجموعة، هو هجوم حجب خدمة الغرض منه الضغط على الخادم بحيث لا يستطيع الاستجابة الى طلبات الزوّار.
قراصنة سعوديون ينشرون بيانات 400 ألف اسرائيلي
اعلن قراصنة سعوديون اختراقهم لمواقع اسرائيلية وحصولهم على بيانات اكثر من 400 ألف اسرائيلي. البيانات التي تمّ الحصول عليها هي اسماء أشخاص، عناوينهم، بطاقاتهم الشخصية، وبطاقاتهم الائتمانية. حسب شركة ماجلان المتخصص في تقنيات الانترنت الدفاعية فإن القراصنة على الأغلب هم كويتي، سعودي، و كرواتي.
شركات الائتمان الاسرائيلية قالت أن القوائم تحتوي على الكثير من التكرار، وانها تحتوي على 14 ألف بطاقة فقط تم تعطيلها جميعاً، وأن النقود سيتم ارجاعها الى الى المستهلكين في حال تم استخدامها في أي عملية شراء.
بعض الشركات التي تعرضت للهجوم هي sale365.co.il، bizmakebiz.co.il و ezpay.co.il
المصدر: وكالات أنباء
كيف حاولت الحكومات حجب تور
تور يستخدم حالياً لحماية شخصية المستخدمين من المراقبة التي تفرضها الحكومات او الشركات على مواطنيها. هذه المقالة هي عبارة عن تلخيص لعرض قدمه القائمون على مشروع تور في مؤتمر 28C3. وأنصح الجميع بمشاهدة العرض:
المشروع بدأ كأداة للمجهولية (جعل شخصية المستخدم الحقيقية غير معروفة) عام 2002. وفي عام 2004 تم نشر ورقة حول تصميمه.
بداية في المحاربة
بدأت محاربة تور في ٢٠٠٦ عندما قامت حكومة تايلاند بعمل فلترة لموقع تور من خلال ال DNS (خدمة اسماء النطاق) حيث تمّ تحويل زوار الموقع الى صفحة تديرها الحكومة تظهر ان الموقع محظور. الحظر كان من قبل بعض وليس كل مزودي الخدمة في تايلاند.
شركة smartfilter/websense كانت اول شركة تعمل على الية لحظر تور.
تور كان يستخدم قناتين من أجل إخفاء نشاط المستخدمين،الاولى، قناة مشفرة لتشفير الاتصال عبر TLS والثانية غير مشفرة تعرف بخدمة الدليل وتستخدم لمعرفة اين يوجد محول* تور آخر. عملية الحجب تتم عن طريق قطع اي طلب HTTP GET ل /tor/
شركة Websense و Cisco وغيرهما لازالوا يستخدم هذه الطريقة مع انها قد اصبحت من الماضي وذلك لاسباب تسويقية في الأغلب.
الحظر الذي قامت بهSmartfilter امتد الى دول اخرى مثل ايران في ٢٠٠٧ حيث تمّ تحديث قواعد الفلترة، هناك تمّ نقل خدمة الدليل من قبل المشروع الى قناة مشفرة. بعد ان طردت ايران الشركة عاد طور القديم (بدون تشفير الدليل للعمل)
الحالة الإيرانية
ايران تعتبر حالة فريدة حيث تعتبر رقم ٢ من حيث مستخدمي تور. ايران اعتمدت فلترة اي اتصال مشفر ليس بسبب تور بشكل مباشر ولكنها اثرت عليه بشكل فعلي بطريقة غير مباشرة. في يناير (كانون ثاني) 2011 قامت ايران عن طريق DPI (Deep Packet Inspection) أو الفحص المعمق للحزم بحجب تور عن طريق فلترة معامل دوفي هلمان والذي يستخدم في التشفير. في حالة استخدام Socks Proxy كان يعمل بدون مشاكل في تلك الفترة حيث ان DPI لم يقم بفلترته. سوريا تشبه ايران في مراقبتها وسيأتي تفصيل ذلك لاحقاً.
في سيبتمبر (ايلول) 2011، ال DPI كان يقوم بالبحث عن صلاحية شهادة تور حيث كان يجري تدويرها كل ساعتين في حين غالب مواقع الانترنت تقوم بذلك بشكل سنوي وهذا يساعد في الكشف عنها. شهر اكتوبر (تشرين الأول) 2011 شهد تطور في طريقة التعامل مع تور. فبدلاً من أن يتم حجبه تمّ تحديد سرعته على سبيل المثال بدلاً من 20 كيلوبت في الثانية الى 4 كيلو بت في الثانية.
الحالة الصينية
كما ذكرنا أعلاه تور يعتمد على خدمة الدليل لايجاد محوّلات تور. هذه الخدمة تعتمد على عدد محدود من الخوادم. السلطات الصينية قامت بأخذ قائمة بهذه المحوّلات ومن ثمّ حجبتها. عمليات الحجب وتخطيها مرّة بأربع مراحل
1- عبر http://bridges.torproject.org حيث سيعطي عناوين بناء على وقت الطلب وموقع الطالب. هذه تمّ حجبها كما ذكر اعلاه.
2- عن طريق ارسال بريد الكتروني من خدمة gmail الى [email protected] وهم سيقومون بإرسال عناوين محولات بعدد محدود. هذه تمّ حجبها في الصين في شهر مارس (آذار) 2010.
3-عن طريق اعطاء العناوين لصديق في شانغهاي وهو يقوم بتوزيعها عبر شبكته الاجتماعية
4- كذلك يمكن لمستخدم انشاء جسر خاص به واخبار من يعرفهم به بشكل مباشر
طريقة اخرى قامت بها الصين، عمل فحص عميق ل SSL. ثم تتبع ذلك بفحص ماهية ال SSL. هل هو تابع لشبكة تور أو خلاف ذلك. ولكن لم يأخذوا اجراء بحقه.
الحالة التونسية
الحالة التونسية فريدة حيث كانت تتم الفلترة على مستوى خط المشترك الواحد. في صيف ٢٠٠٩ حالة فريدة حيث تم فلترة جميع المنافذ باستثناء ٨٠ و ٤٤٣ وبعض خوادم خدمة اسماء النطاق. واذا كان شخص محور اهتمام للنظام فسوف يتم السماح له بمنفذ ٨٠ فقط. لحل ذلك قام جاكوب أحد مطوّري المشروع بعمل دليل يدعم التشفير ويعمل على منفذ ٨٠. لا زالت اجهزة شركة smartfilter مستخدمة في تونس ولكن حسب مسؤول محلي فقط في المدارس والحكومات والجيش. الشركة بيعت الى عدة شركات والان تملكها شركة انتل. الشركات والحكومات الغربية متورطة في المراقبة. الأجهزة داخل انظمة الحجب لايوجد تنسيق بينها فمثلاً يمكن لشخص أن يقوم بعمل حجب لبرنامج سكايب دون أن يُشعر أحداً بذلك وفقاً لمقدمي العرض. الاجهزة تديرها شركات فرنسية.
الحالة المصرية
يناير (كانون الثاني) 2011. مصر استهدفت مواقع محددة بالحجب. توتير كان يمكن الوصول اليه لان الحجب لم يكن قد تم بشكل جيّد. بعد أن تمّ إغلاق الانترنت بشكل نهائي توقف تور عن العمل. بعد سقوط النظام المصري، التقى جاكوب في مصر في ندوة مع عدد من مزودي خدمة الانترنت وسألهم إن كانوا سيقومون بالرقابة على الانترنت بعد انهيار النظام. ولكنه لم يتلق جواباً شافياً. بل إن شركة فودا فون قالت بانّها تلتزم بالقانون من حيث القيام بالحظر بغض النظر عن صحته من عدمها. (القانون لو كان يمنع الناس من الادلاء برأيهم).
الحالة الليبية
في مارس (آذار) 2011 قام النظام الليبي بتحديد سعة الانترنت المستخدمة حيث جعلها محدودة جداً بشكل يجعلها غير قابلة للاستعمال.
الحالة السورية
الحالة السورية تشابه في بعض اجراءاتها الحالة الايرانية. ولكن ما يميزها هو انّه يجري مراقبة كل بايت داخل الى وخارج من سوريا. في الحالة السورية أجهزة BlueCoat يجري استخدامها بكثرة ويتمّ تحديثها بحيث تقوم بحجب حركة تور. نظراً لأن كل شيء تتم مراقبته فإن خطأ واحد يرتكبه المستخدم اثناء تصفحه قد يكلفه حياته وهو ما حصل بالفعل للبعض. تمّ ذكر بعض الحالات التي تعرضت للقتل في العرض. مجموعة Telex قامت بالكشف عن وجود أجهزة ال BlueCoat والكشف عن سجلاتها وهو ما اعتبر خطوة مستهترة لانها تسمح للنظام في تتبع المستخدمين بوسائل اخرى مثل قائمة الاصدقاء في برنامج دردشة.
قصة طريقتان لتجاوز الحظر
الاولى عبر Ultrasurf
– تصرفه يمكن تمييزه
-يقوم بتسجيل الكثير من البيانات داخل سجله
-أدلة على حركة غير مؤكدة
مثال لسجل UltraSurf
تور
-يشبه ال SSL
-لا يعطي بيانات زيادة في السجل
مثال لسجل تور
ملاحظات عامة
الفرق بين المحول والمكتشف
المحول: يبني دوائر تور ويقوم بارسال الحركة اليها مع التشفير الصحيح
المكتشف: يعلم عن اي المحولات متوفر
الجسور هي حل لمشكلة الدليل
الدليل عدد محدود يمكن الحصول عليه ومن ثم حجبه. الجسور موزعة على اعداد المستخدمين وهو يصعب بشكل كبير مسألة حجبها.
كيف يتمّ منع المستخدمين من الاتصال بتور
-عبر حجب إدارة الدليل
-عبر حجب جميع كل عناوين المحولات في الدليل. يمكن التحايل عليها بتزويدها بعناوين مسموح بها داخل الدولة وهو ما سيؤدي الى حجب هذه المواقع (مثل موقع حكومي لدولة ما)
– الحجب عبر بصمة شبكة تور
– عبر حجب موقع تور نفسه
يمكن من خلال هجمات تسميم خدمة النطاق ارسال المستخدمين الى موقع مزيف للمشروع تسيطر عليه الجهة المراقبة وتقوم عبره بوضع نسخة معدلة من البرنامج تحتوي على بوابة خلفية لتلافي ذلك يمكن (يجب) القيام بفحص التوقيع الخاص بالبرنامج وذلك عبر ارسال رسالة بريدية الى [email protected]
تور يجعل عملية المراقبة صعبة للغاية حيث يمكن لطرف معرفة أن مستخدم دخل الى شبكة تور ولكن لا يعرف ما هي وجهته، وقد يعرف أن الطلب الخارج من الشبكة هو لموقع توتير ولكن لا يعرف مصدر. الحماية الأخرى لشبكة تور عند الانتقال من عدد محدود من الجسور الى ملايين الجسور وهو ما يصعب عملية حجب الشبكة.
أين المشكلة؟
المشكلة ليست في الحجب في هذه الدولة أو تلك بل في الشركات الغربية التي تقوم بتطوير مثل هذه الأدوات. تأتي شركة مثل بيونغ وتطلب من شركة سيسكو فلترة الحركة. شركة سيسكو تطلب ملايين الدولارات لتطوير مثل هذا النظام والذي تحصل عليه الانظمة القمعية بثمن بخس. اعطاء هذه الانظمة مثل هذه الادوات يشبه اعطاء القاتل لسلاح كلاشنكوف ليطلق به النار على ضحاياه.
الجدر النارية للحكومات كانت عبارة عن اجهزة منع بدون معرفة للحالة (اجهزة حجب بسيطة). الان الشركات التجارية (الأمريكية) تنتج نظم مراقبة معقدة. شركات مثل
BlueCoat
Smartfilter
Websense
Nokia
Cisco
علينا ان نري هذه الشركات اقتصادياً (عبر المقاطعة ) وانسانيا (حقوق الانسان) انها تقوم بعمل خطير يمكن ان يخسر اناس ارواحهم بسببه.
مقارنة بين شهادات أمن المعلومات
إذا كنت مهتم في مجال أمن المعلومات فلا بدّ أنّه قد مرّ عليك العديد من الشهادات في هذا المجال، وهو ما يوقع المرء في حيرة من أمره. فأي هذه الشهادات يختار وعلى أي أساس يجري مقارنة بين هذه الشهادات وأي يكمن أفضل إنفاق لماله وعلى أي شهادة من هذه الشهادات. هذا ما سأحاول إن شاء الله تغطيته.
قبل البدء في المقارنة أود الإشارة إلى أنّه لا يوجد شهادة قط تعادل الخبرة، ولكن الكثير من أماكن العمل تطلب هذه الشهادة أو تلك. أنت من سيحدد مسارك سواء إذا ترغب في الالتحاق بوظيفة او القيام بمشروعك الذاتي أو خلاف ذلك. في هذه المقالة سنحاول مقارنة بعض أشهر شهادات المعلومات وما الذي يحتاجه المرء للحصول عليها. تذكر، لاشيء يعادل الخبرة.
Security+
هذه الشهادة تعد شهادة محايدة بمعنى أنها غير تابعة لمنتج أو شركة معنية. شركة CompTIA هي الشركة الراعية لهذه الشهادة. الإمتحان يغطي خمس مجالات وهي:
- أمن الشبكات
- أمن العمليات والامتثال (Compliance)
- الثغرات والتهديدات
- أمن التطبيقات والبيانات والأجهزة
- التحكم بالدخول وإدارة الشخصيات
- التشفير
الشهادة مرّت بتغير كبير عام 2008. هناك معاهد تقوم بإجراء تدريب على هذه الشهادة حيث يتمّ فيه عمل تغطية عملية للمواضيع المطروحة. لا يوجد متطلبات لهذه الشهادة ولكن CompTIA تنصح المتقدم لهذه الشهادة بان يكون حاصل على شهادة Network+ ولديه سنتان خبرة عملية.
مدة الامتحان: 90 دقيقة
عدد الأسئلة: 100 سؤال
العلامة المطلوبة للنجاح: 750 من 900
رسوم الشهادة: ~270 دولار
CISSP Certified Information Systems Security Professional
واحدة من أكثر الشهادات شهرة في مجال أمن المعلومات. هذه الشهادة تغطي 10 مجالات في أمن المعلومات وتعتبر إدارية أكثر منها عملية ولكن الشخص المتقدم للامتحان يحتاج إلى خمس سنوات خبرة. سامر قام بتغطية رائعة لهذه الشهادة في مقال يمكن الاطلاع عليه هنا.
المجالات التي يتم تغطيتها في الشهادة هي:
1- التحكم بالوصول.
2- أمن التطبيقات.
3- استمرارية العمل و التخطيط للاسترجاع بعد الخراب.
4- التشفير.
5- امن المعلومات وإدارة المخاطر.
6- القوانين والتحقيقات.
7- أمن العمليات.
8- أمن البيئي.
9- أمن التخطيط والتصميم.
10- الإتصالات وأمن الشبكات.
متطلبات الشهادة:
1- خمس سنوات خبرة أو أربع سنوات خبرة وسنة جامعية أو شهادات أخرى من منظمات أخرى.
2- قبول الكود الأخلاقي ل CISSP.
3- الإجابة على أسئلة حول الخلفية وتحديداً الجنائية للمتقدم.
4- مصادقة شخص حامل للشهادة على خبرات الشخص المتقدم.
الشهادة صالحة لثلاث سنوات فقط وبعدها على حامل الشهادة تقديم الإمتحان مرّة اخرى. أو الحصول على تدريب او المشاركة في تدريب او إعداد أبحاث في مجالات الشهادة يحصل من خلالها حامل الشهادة على نقاط تعرف ب CPE أو Continuing Professional Education إذا حصل الشخص على 120 نقطة مع نهاية الثلاث سنوات فبإمكانه تجديد الشهادة من إعادة الإمتحان.
امتحان CISSP يحتاج الى دراسة مكثفة ولهذا عليك التخطيط جيداً والعمل طويلاً إذا اردت التقدم لهذه الشهادة.
عدد أسئلة الإمتحان: 250 سؤال
مدة الامتحان: 6 ساعات.
رسوم الامتحان: 599 دولار
للنّجاح على الممتحن الحصول على 700 نقطة على الأقل. الإمتحان يعطى على الورق وليس على الحاسوب والنتيجة تظهر بعد أسبوعين على الأقل من يوم تقديم الإمتحان.
C|EH Certified Ethical Hacker
اكتسبت هذه الشهادة الكثيرة من الشهرة كونها من أوائل الشهادات التي طرحت في هذا المجال. ولكن هناك الآن العديد من الشهادات التي تنافس وبقوة هذه الشهادة. آخر نسخة من هذه الشهادة هي الإصدارة السابعة و تحتوي على تعديلات هائلة إذا ما قورنت بالإصدارات السابقة. هناك الكثير من الانتقادات لهذه الشهادة واتهامات باحتوائها على مواد مسروقة.
ميزة هذه الشهادة انه تثبت أن لديك معرفة بأساليب الهاكرز وأدواتهم المستخدمة. ولكن عيب كبير فيها ان التركيز في غالبه يتم على الادوات والعديد من الادوات المستخدمة قديمة.
عدد أسئلة الإمتحان: 150
مدّة الامتحان: 4 ساعات
علامة النجاح: الحصول على 70% على الاقل
رسوم الامتحان: 500 دولار (الاصدارات السابقة كانت 100 دولار) + 100 دولار للطلب
OSCP Offensive Security Certified Professional
هذه الدورة عملية بمعنى الكلمة. من التدريب وحتى الامتحان. المبادئ يتم شرحها بشكل بسيط مع إعطائك مصادر (في الغالب من الويكي) للقراءة أكثر حول الموضوع. ما ستتعلمه في التحضير لهذه الشهادة يفوق بمراحل ما يمكن تعلمه في شهادة ك C|EH. يمكن الاطلاع على مقالة صبري الرائعة حول الشهادة هنا.
مدّة الامتحان: 24 ساعة
رسوم الامتحان: 750 دولار تشمل التدريب و30 يوم للدخول على المختبر بالاضافة الى الشهادة
SANS GPEN GIAC Certified Penetration Tester
هذه الشهادة يسبقها 6 أيام من التدريب والذي يقدمه معهد سانز الأيام الخمس الأولى موزعة كالآتي:
اليوم الاول: يغطي التخطيط و مجال الإختبار والجوانب القانونية والإدارية وختماً عملية تفحص الهدف.
اليوم الثاني: يغطي عملية المسح.
اليوم الثالث: يغطي عملية استغلال الثغرات.
اليوم الرابع: هجمات كلمات المرور.
اليوم الخامس: الشّبكات اللاسلكية وتطبيقات الويب.
وأخيراً اليوم السادس وهو اليوم الذي على الطالب القيام فيه بتطبيق كل ما تعلّمه في الأيام الخمس الأولى في مسابقة أمسك العلم. جانب مهم جداً في هذه الشهادة هو التركيز على الأدوات التي فعلاً يحتاج إليها المختبِر وليس مثل C|EH في عرض عشرات الأدوات لكل مهمة من المهمات. وهي ليست مثل شهادة OSCP حيث انها تغطي الجوانب النظرية والعملية معاً. الشهادة تعدّ المتقدم الى سوق العمل بشكل ممتاز خصوصاً إذا كانت اختبارات الاختراق هي اهتمامك.
عدد أسئلة الإمتحان: 150 سؤال
مدّة الامتحان: 4 ساعات
العلامة المطلوبة: 70%.
رسوم الامتحان: 499 دولار إذا حصل الطالب على التدريب 899 دولاراً بدون تدريب
نصيحة أخيرة، أنت من يعرف احتياجات سوق العمل لديه، وكذلك مجالات اهتمامه، ولذلك أنت من يقرر أي هذه الشهادات أو غيرها هو الأفضل لك. هذه فقط محاولة لتسليط الضوء على بعض أشهر الشهادات الموجودة في السوق.
اختراق الشبكة الداخلية من خلال الطابعة
أعلن الباحث الأمني أنج كوي في مؤتمر لأمن المعلومات عن نتائج بحثه حول الثغرات في الطباعات والذي ركز فيه على طابعات شركةHP، حيث شرح كيف قام بعمل هندسة عكسية لآلية تحديث ال firmware في ملايين الطابعات.
أنج كوي أثناء عرضه حول الثغرة
اكتشف كوي والذي يعمل على انتهاء رسالته في الدكتوراة حول حماية الأنظمة المضمنة، طريقة تسمح له بتحميل برامج عشوائي داخل أي نظام مضمن (embedded system) في الطابعات عبر وضعه داخل وثيقة يقوم الضحية بطباعتها، أو عبر الاتصال المباشر بالطابعة اذا كانت موصولة بالانترنت.
اثناء عرضه قام باستعراض للطريقتين، حيث قام بالعرض الاول بإرسال وثيقة تحمل الكود الذي يريد حقنه في الطابعة. عند اصداره لأمر الطباعة تمّ تحويل الوثيقة الى الطابعة ومن ثمّ تحميل كود يقوم بتوجيه كل وثيقة يتم طباعتها الى حاسوب خارجي يقوم بطباعتها الى طابعة خارجية. هذا بالطبع سيمكن المهاجم من الاطلاع على كل وثيقة يتمّ طباعتها داخل المؤسسة التجارية أو الحكومية او التعليمية…الخ.
طباعة وثيقة تحتوي على كود ضار تؤدي الى عمل نسخة منها على طابعة أخرى يسيطر عليها المهاجم (في هذه الحالة الباحث)
في العرض الثاني قام باختراق حاسوب عبر استخدام الطابعة كوسيط (بروكسي) ومن ثمّ جعل الحاسوب يتصل بحاسوب خارجي.
السيطرة على حاسوب من خلال استخدام الطابعة كوسيط في الهجوم
أحد السيناريوهات الممكنة لمثل هذا الهجوم هو ان يقوم المهاجم بإرسال سيرته الذاتية الى مؤسسة عسكرية مثلاً يصعب اختراقها. يقوم فيها موظف بإصدار أمر طباعة الوثيقة (السيرة الذاتية) بسبب احتوائها على الكود الضار سوف تقوم بتحميل هذا الكود على الطابعة، هذا الكود دائم بمعنى لو قام شخص بإعادة تشغيل الطابعة بعد اصابتها ستبقى الطابعة مصابة ولن يشعر أحد بذلك لعدم وجود برامج مكافحة فيروسات للطباعات. هذا الكود سوف يقوم بفتح اتصال خلفي مع حاسوب المهاجم وهو ما سيمكنه فعلياً من اختراق شبكة المؤسسة.
شركة HP قامت باصدار ترقيع لهذه الثغرة في 23 من الشهر الماضي. الترقيع الذي صدر حسب العرض كان للطابعات في الصورة التالية
انواع الطابعات التي صدر لها تحديث
اذا كنت مسؤولاً عن الشبكة في مؤسسك فبادر بأسرع وقت الى ترقية الطابعة لديك.
ثغرة تسمح بكسر حماية الشبكات اللاسلكية
كشف الباحث الأمني ستفان فيبوك عن ثغرة في آلية من المفترض أنها تقدم حماية للشبكات اللاسلكية لا سيما في موجهات (الرواترز) الشبكات اللاسلكية الحديثة. الثغرة تسمح بكسر الرقم السري (ليس كلمة المرور) وهو ما يعني السيطرة على موجه الشبكة وهو ما يعني أيضاً أن الملايين من هذا الموجهات تحتوي على هذه الثغرة وهو ما يضع أصحابها في خطر.
ما هي تهيئة الشبكة المحمية أو المعروفة ب WPS (Wi-Fi Protected Setup)؟
لا بد وانّك شاهدت هذا الشعار (أو ما يشبهه) من قبل إذا قمت بإعداد شبكتك المحلية اللاسلكية. هذا شعار تقنية تدعى Wi-Fi Protected Setup أو تهيئة شبكة لا سلكية محميّة. هذه التقنية وضعها ما يعرف بتالحف الشبكات اللاسلكية. وهي مصصمة “من أجل تسهيل مهمّة إعداد شبكة لاسلكية بشكل آمن. حيث أن WPS تمكن المستخدم العادي والذي يمتلك فهم بسيط للشبكة اللاسلكية العادي واعداداتها الآمنة من إعداد شبكة لاسلكية جديدة، إضافة اداوت جديدة وتأمين الحماية لها”.
بالنسبة للمستخدم العادي إعداد شبكة لاسلكية آمنة يتطلب منه تصفح قوائم صفحة إدارة الموجّه (الراوتر) بحثاً عن إعدادات الحماية ليجد نفسه في قائمة مصطلحات تزيد من حيرته فماذا يختار كتشفير WEP أو WPA أو WPA2 وماذا عن TKIP وغيرها. وعليه بعد ذلك القيام بخطوات مشابهة للاعداد الاجهزة التي يرغب في ضمها الى شبكته اللاسلكية.
هنا يأتي دور WPS. الموجهات التي تدعم تقنية WPS تأتي مع رقم تعريفي (PIN number) مؤلف في الغالب من 8 خانات مطبوعة على الموجه. كل ما على المستخدم فعله من اجل اعداد شبكته الآمنة هو الضغط على زر على الموجه وبعد ذلك ادخال الرقم التعريفي في شاشة الاعدادات. طبعاً هذه خطوة ممتازة فالمستخدم حصل على شبكة آمنة وبدون أن يوجع رأسه في أي الخيارات يختار.
المشكلة
حسب الباحث الأمني فإن الموجهات التي تدعم WPS معرضة لهجوم قرصنة بدائي معروف باسم هجوم Brute-Force، أو هجوم القوة العنيفة*. ما هو هجوم القوة العنيفة؟ هو هجوم يقوم المهاجم من خلاله بعمليات متلاحقة من ادخال كلمات المرور (أو الرقم التعريفي) يهدف من وارئها الى معرفة كلمة المرور أو الرقم التعريفي المستخدم. وهو في هذه الحالة من 8 خانات رقمية وهذا ما يجعل عملية كسره أمراً سهلاً.
بعض منتجي الموجهات (مثل D-Link و Netgear إلخ) تقوم بوضع حماية ضد هجمات القوة العنيفة ولكن هذه الحماية بسيطة وكل ما يمكن أن تفعله هو أن تبطئ من الهجوم ولكن لن تمنعه. الباحث قام بإصدار أداة تقوم بمثل هذا الهجوم وأثناء بحثه تمكن من فحص جميع الاحتمالات الممكنة (للخانات الثمانية) على أجهزة D-Link خلال أربع ساعات في حين استغرقته العملية 24 ساعة على أجهزة Netgear.
أي مهاجم في مدى موجة الموجه الشبكة اللاسلكية يمكنه القيام بهذا الهجوم.
ما يجب وضعه في عين الاعتبار هو أن الهجوم ممكن ضد الأجهزة التي تدعم WPS سواء استخدمها المستخدم أم لم يستخدمها. وبغض النظر عن أي تشفير كنت تستخدم حتى لو كان WPA2-AES، إذا كان موجهك يدعم WPS فيمكن للمهاجم اختراقه.
الحل
الموجّهات التي تدعم WPS تأتي وهذه الخاصية مفعلة فيها بشكل تلقائي. فإلى حين أن تقوم الشركات وتحالف الشبكات اللاسلكية بوضع حل او ترقيع لهذه المشكلة فإن ما يستطيع المستخدم القيام به لحماية شبكته هو تعطيل هذه الخاصية. هذا يختلف باختلاف منتجي هذه الاجهزة لذلك استعن بدليل الارشاد الخاص بموجه الشبكة اللاسلكية لديك من أجل خطوات تعطيل WPS.
صورة من ورقة بحث الباحث الأمني ستفان فيبوك - تمّ وضع إشارة سهم من قبل مجتمع الحماية للتوضيح.
شاشة ادخال المفتاح التعريفي على نظام ويندوز. صورة مأخوذة من ورقة الباحث الامني ستفان فيبوك
* اذا كان لديكم ترجمة أدق فشاركونا بها
مصادر أخرى:
1- http://isc.sans.org/diary/Wi-Fi+Protected+Setup+WPS+PIN+Brute+Force+Vulnerability/12292
2- http://krebsonsecurity.com/2011/12/new-tools-bypass-wireless-router-security/
جاري التحميل ...