محتويات التصنيف: "الحوادث الأمنية"
إختراق جميع أنظمة شركة Adobe وسحب بيانات 3 مليون عميل
يبدوا أن عام 2013 يأبي ان يرحل قبل تساقط جميع العمالقة والرواد في مجال تكنولوجيا المعلومات!
شركة أدوبي Adobe إحدي عمالقة شركات تكنولوجيا المعلومات والتي اخرجت لنا برمجيات ﻻ يوجد جهاز كمبيوتر لا يستخدمها مثل:
Adobe Flash Player الذي يتسخدم في المتصفح لعرض الفيديوهات .. و Adobe Acrobat Reader الذي يستخدم في قرائة ملفات الكتب الإلكترونية .pdf وكذلك ال Adobe Photoshop وغيرها الكثير والكثير.
تم بالأمس (الخميس 03-10-2013) إختراق السرفرات والشبكات الداخلية لشركة Adobe وقام المخترقون بسحب بيانات ما يقرب من 2.9 مليون عميل من مستخدمي منتجات أدوبي بكامل بياناتهم بما فيها بيانات بطاقات الإئتمان !
ليس هذا فحسب .. حيث قام المخترقون بسحب الكود المصدري (Source Code) الخاص ببرامج ومنتجات أدوبي مثل Adobe Acrobat reader و ColdFusion وغيرها!!
وقد أعلن مدير أمن المعلومات في شركة أدوبي [Brad Arkin] في تدوينة علي موقع الشركة الرسمي قائلا ما معناه:
“نحن نعمل بشكل جاد جدا بالتعاون مع جهات أمنية وقانونية وأيضا شركات أمن معلوماتية .. لمعرفة كافة التفاصيل عن ذلك الحادث ومعرفة من وراءة”
وعلق أيضا قائلا: “نحن نعلم بأن المخترقون قاموا بحذف بيانات ما يقرب من 2.9 مليون عميل من داخل أنظمتنا وتوصلوا الي الكود المصدري لبرامج تابعة لشركة أدوبي وحاليا نحصل علي الدعم مم المباحث الفدرالية للتحقيق في الحادث” المصدر
حاليا قامت شركة أدوبي بتغيير كلمات المرور لعملاءها وكذلك بالتواصل مع عملاءها وتحذيرهم بما جري و التواصل مع البنوك التي تتعامل معهم حتي ﻻ يتم إستخدام بطاقات الإئتمان المسروقة تلك في سرقة محتواياتها المالية.
يذكر أنه في شهر نوفمبر من عام 2012 قام هكر مصري يلقب نفسه ب Virus_Hima بإختراق أحد مواقع شركة أدوبي والحصول علي بيانات ما يقرب من 150000 من عملاء وشركاء لشركة أدوبي بما فيهم بيانات تتبع جوجل و ناسا وغيرها. المصدر
وبناء عليه فاننا نتوقع ثغرات عالية الخطورة 0day ستظهر قريبا جدا بعد ان يقوم المخترقون بتحليل الكود المصدري Source code لبرامج أدوبي المخترقة
وموقع مجتمع الحماية العربي ينصح مستخدمي برنامج Adobe Acrobat reader في الفترة الحاليه بإستخدام بديل عن هذا البرنامج ك Foxit Reader
كما ننصح بإستخدام أداة No-Script الخاصه بمتصفح الفايرفوكس للحماية من عدة انواع من الثغرات وكذلك تقوم بتعطيل الجافا سكربت الا في المواقع الموثوقه فقط وهذا سيسهم بشكل كبير في حماية جهازك من عدة أنوع من الثغرات وطرق الإختراق.
لانه من المؤكد ان تلك الثغرات ستستخدم بشكل كبير جدا قبل ان تعلم عنها الشركة اي شئ!
روسيا تعزف بعنف علي أوتار الحرب الإلكترونية ضد التشيك.
من المعروف أن روسيا من أقوي الدول التي يمكنها إدارة الحروب الإلكترونيه علي مستوي العالم كنظيراتها الأمريكية, ألمانيا وغيرهم وإن كانت الصين هي المتربعه علي عرش القوة الضاربه في مجال الحرب الإلكترونية ..
في عام 2008 عندما قامت روسيا وبعض من حلفائها بشن هجمات حجب الخدمه DDOS علي دولة جورجيا علي نطاق واسع مما تسبب في تهاوي البنيه التحتيه لدولة جورجيا حيث جاء الهجوم علي مواقع البنوك ومزودات الإنترنت وشركات المحمول ومواقعها الإخبارية وكذالك لم تسلم شركات الطيران والمواصلات من تلك الهجمات .. وقتها أدرك العالم مدي قوة الحروب الإلكترونيه وظهر أوجها أيضا مع ظهور Stuxnet ..
وﻻكن دعونا نركز الان علي روسيا .. يلقب الهكرز الروسيين في مجتمعات ال Underground بلقب Botnet Masters ..
ما هو ال ?Botnet
http://en.wikipedia.org/wiki/Botnet
http://searchsecurity.techtarget.com/definition/botnet
ومن المعروف أيضا ان أشهر استخدامات الإجهزه التي يتم اختراقها من خلال البوت نت والتي تلقب بالـ Zombies .. انها تستخدم في شن هجمات حجب الخدمه بشكل قوي معتمدة علي نوع الهجوم .. فهجمات حجب الخدمه أنواع مختلفه .. لذلك نجد ان روسيا فعليا من أقوم الدول في شن هجمات حجب الخدمه .. وقد ظهر هذا واضحا جليا في الهجوم علي دولة جورجيا .. والآن؟
روسيا تضرب من جديد ..
في واحده من أعنف الهجمات الإلكترونية التي ترقي الي مستوي الحرب الإلكترونية ..
يوم 7 مارس ظهر العديد من المتحدثين الرسميين بإسم شركات الإتصالات والبنوك الوطنيه وشركات البورصة في دولة التشيك ليخبروا العالم بالعديد من الكلمات والجمل التي تتلخص في:
“البنية التحتية لدولة التشيك تحت القصف الإلكتروني بواسطة روسيا”
حيث ظهرت Martina Kemrova وهي المتحدثة الرسمية لشركة T-mobile أحد شركات الإتصالات في التشيك والتي وقعت ضحيه لتلك الهجمات .. وقالت بأن الخدمات التي تقدمها الشركه لعملاءها من خلال الإنترنت قد منع الوصول إليها تماما من خلال هجمات حجب الخدمه والتي يتضح بأن روسيا ورائها .. وهذا أيضا ما قاله المتحدث الرسمي لشركة الإتصالات الوطنية بدولة التشيك .. كذالك ظهر المتحدث بإٍسم البنك المركزي في التشيك Marek Petrus ليقول:
Hackers on Wednesday targeted the central bank CNB along with a number of commercial banks.and the attack appeared to come from Russia.
كذالك لم تسلم مواقع الأخبار الإلكترونية مثل ihned.cz, idnes.cz, and novinky.cz والتي تصنف من أكثر المواقع زيارة بشكل يومي في التشيك .. وقد أكد مدراء تلك المواقع بأنهم أيضا كانو ضحية لتلك الهجمات!
تلك الهجمات علي المواقع الإخباريه يجعلنا نطرح سؤال مهم ومنطقي .. هل كانت روسيا أيضا وراء هجمات حجب الخدمة التي تمت في 2012 ضد New York Times and Wall Street Journal ؟؟
والان لنحاول ربط بعض الأحداث ببعضها البعض لنجعل الصورة واضحه بشكل أكبر ..
النقطة الأولي .. منذ فترة قريبه تحدثت شركة Kaspersky علي لسان العديد من الباحثين الأمنيين لديها عن عملية تسمي Red October والتي تم فيها اختراق العديد من أجهزة الكومبيوتر لأجهزة حكوميه وسفارات وسياسيين وأيضا مؤسسات تابعه لأجهزة الإستخبارات لدول مختلفه يقع أغلبها في اوروبا .. كانت دولة التشيك واحده من تلك الدول التي وقعت ضحية الهجوم!
النقطه الثانيه .. في نهاية العام المنصرم ظهرت العديد من المواضيع علي مدونات الباحثين الأمنين تتحدث عن إنتشار ثغره في برنامج Adobe Reader تم بها إستهداف العديد من أجهزة أشخاص عاملين بأجهزة حكوميه وسياسية وأيضا جهات حكومية وعسكرية تابعة لدول أوروبا .. كانت أيضا التشيك واحده من تلك الدول التي وقع عليها الهجوم!
النقطه الثالثه .. هو ما حدث الان من هجمات حجب الخدمة المروعه التي شنت أيضا ضد التشيك!
كما ترون فإن التشيك كانت عامل مشترك في العديد من الهجمات وما حدث مؤخرا من هجوم تم من خلال روسيا.
وهنا السؤال المهم .. هل كانت روسيا أيضا وراء عملية Red October؟
هل كان الصينين حقا هم وراء انتشار عملية الإختراق المستهدفة للجهات الحكومية والأجهزة الأمنيه أم أنها روسيا أيضا وﻻكن مختبأه في عباءة الصينيين!؟
شأركونا بأرائكم ومقترحاتكم حول الإستفسارات المطروحه.
هكر مصري ينجح في إختراق شركة Adobe العملاقة
قامت شركة أدوبي العالمية بإغلاق أحد مواقعها لإجراء عمليات بحثيه وتقصي عن ماهية الثغرات التي استطاع من خلالها الهاكر المصري
ان يخترق أحد سرفرات شركة أدوبي والحصول علي ما يقرب من 150 الف من الباينات الكامله للعاملين والعملاء بشركة أدوبي ..
وقد قام الهاكر بتسريب بعض البيانات من اميلات @adobe.com كدليل علي اختراقه لاحد سرفرات شركة أدوبي ..
يذكر أن شركة أدوبي قامت بتأكيد خبر الإختراق بعد ان قامة بمراسلة المخترق عن بيانات الثغره التي استطاع من خلالها الدخول الي أحد سرفرات شركة أدوبي
وقد قام المخترق علي حسب ذكر شركة أدوبي بإبلاغ الشركه بالثغره وببيانات التي حصل عليها تفصيلا ..
ونقلت وسائل إعلام أجنبية عن الشركة، قولها إن الموقع تعرض للاختراق من قِبَل “قرصان مصرى”، وهو ما سوف يترتب عليه إعادة تعيين كلمات المرور الخاصة، لأكثر من 150 ألف مستخدم على النطاق العالمى، الخاصة بالحسابات مدفوعة الأجر.
يذكر ان التدوينه التي كتبها الهكر المصري علي موقع موقع pastebin كان يقول فيها بأن سبب هذا الاختراق هو التاخر الكبير من جانب شركة ادوبي في الاستجابه لعملية الابلاغ عن ثغراتها والتعامل مع مشاكلها الأمنيه حيث تقوم الشركه بالرد علي رسائل استقبال الثغرات بعد 5 الي 7 ايام من ارسال تفاصيل الثغره اليهم
وتأخذ الشركه ما بين 3 الي 4 شهور حتي تقوم بترقيع الثغره وهو الامر الذي يهدد أمن المستخدمين لمنتجات الشركه بشكل كبير.
بعض المصادر عن الخبر :
http://www.msnbc.msn.com/id/49826676/ns/technology_and_science-tech_and_gadgets/
http://www.bitdefender.com/security/adobe-investigating-possible-leak-of-150-000-customer-database.html
http://www.reuters.com/article/2012/11/14/net-us-adobe-breach-idUSBRE8AD1FJ20121114
تعليق شركة أدوبي علي عملية الإختراق:
http://blogs.adobe.com/adobeconnect/2012/11/connectusers-com-forum-outage-following-database-compromise.html
Linkedin تأكد خبر نشر الملايين من كلمات المرور الخاصه بحسابات تابعه للموقع
أكد مسؤلون بموقع Linkedin الشهير .. عن خرق أمني أدي الي نشر الملايين من كلمات المرور الخاصه بحسابات تابعه للموقع ..
في حين قال موقع Norweigan بأنه في اليومين الماضيين تم نشر 6.5 مليون كلمة مرور [password] في احد مواقع الهاكرز الروسية ولاكن كلمات المرور تم نشرها مشفره ..
وقد أقر Vicente Silveira وهو احد مدراء Linkedin علي مدونة الموقع بان الخبر صحيح وان الفريق الخاص بموقع Linkedin يقوم الان بالتقصي فيما حدث لإصلاح الخرق الامني الحاصل في الوقت الحالي .. وقال بان اصحاب الحسابات التي تم نشر كلمات المرور التابعه لهم سيتم تنبيههم بان كلمات المرور الخاصه بهم لم تعد صالحه للإستعمال لكي يتم إجبارهم علي تغييرها ..
الجدير بالذكر ان ما تم نشره كان عباره عن كلمات مرور فقط بدون نشر اسماء المستخدمين الخاصه بهم او اي من بياناتهم .. كما ان كلمات المرور التي تم نشرها كاانت مشفره بخوارزمية SHA-1
خوارزمية SHA-1
هي نوع من الخوارزميات التي تقوم بتحويل كلمة المرور الخاصه بك الي حروف وأرقام فريدة
فعلي سبيل المثال اذا كانت كلمة المرور الخاصه بك هي Linkedin1234
فانه بعد إدخالها الي خوارزمية SHA-1 ستصبح بالشكل التالي
“abf26a4849e5d97882fcdce5757ae6028281192a.”
وذكرت شركة Imperva المختصه بأمن المعلومات انه عند محاولة كسر بعض كلمات المرور التي تم نشرها وجد ان نسبه كبيره جدا من كلمات المرور المنشورة عباره عن ارقام
123456 و 123456789 ! وكانت حصيلة الحسابات التي تستخدم كلمات المرور كهذه هي اكثر من نصف مليون حساب!
وتكمل الشركه قولها بانه باستخدام احدي التقنيات لتخمين كلمات المرور باستخدام كلمات المرور الإفتراضيه المكونه من أرقام فقط فان الامر يتطلب 15 دقيقه لإختراق 1000 حساب!
المصدر:THN
كإنفراد لموقع مجتمع الحمايه العربي ..يمكنكم تحميل كلمات المرور المسربه من خلالا الرابط التالي :
http://www.sendspace.com/file/o2bi4b
كلمة المرور لفك ضغط الملف هي : security4arabs.com
اختراق شركة Stratfor الأمنية الأمريكية
اعلنت مجموعة انونيمس عن اختراقها لموقع شركة Stratfor الأمنية الأمريكية والحصول على بيانات شخصية لعملائها بالإضافة الى 90 ألف بطاقة ائتمانية واستخدام هذه البطاقات في التّبرع لجمعيات خيرية. جاء ذلك في تصريح لقائد المجموعة Sabu
[blackbirdpie url=”https://twitter.com/#!/anonymouSabu/status/150667190310412288″]
ٍStartfor هي شركة متخصصة في الابحاث الأمنية الاسترايجية ولديها مجموعة كبيرة من العملاء من شتى أنحاء العالم.
قامت مجموعة انونيمس بنشر قائمة بحوالي 4000 من عملاء شركة ستراتفور من ضمن هؤلاء العملاء
جامعة ابو ظبي
مجموعة الثريا الاستشارية
قناة الجزيرة الانجليزية
الموقع حالياً يظهر رسالة تحت الصيانة
صورة الموقع بعد اختراقه حيث تمّ تغير صفحته الرئيسية
قائمة بعملاء الشركة: http://pastebin.com/8MtFze0s
جيش من “الآلات الإجتماعيّة” يسرق معلومات مستخدمي فيسبوك
قام باحثون في جامعة كندية بدراسة حول عرضة الشبكات الإجتماعيّة لسرقة معلومات مستخدميها (لا غرابة في الموضوع). الطريقة التي اتبعوها تشبه إلى حدٍّ ما طريقة الآلات الإجتماعيّة في توتير. حيث قام بكتابة كود يقوم بطريقة آلية بإنشاء حسابات على فيسبوك، ووضع صور “تجلب الانتباه”، مع استخدام اقتباسات من موقع ihearthquotes.com لنشرها كتحديث لصفحة المستخدم (المزيّف) والغرض من ذلك أن يظهر الحساب وكأنّه حساب حقيقي.
التّجربة استمرت 8 اسابيع، في نهاية الأسبوع الثامن تمكن الباحثون من الحصول على أكثر من 250 جيجابيات من معلومات شخصيّة لمستخدمي فيسبوك حقيقييّن. هذه المعلومات متوفرة فقط لأصدقاء هؤلاء الأشخاص.
لتجنب حماية فيسبوك، والتي تبين من خلال الدراسة أنّها لم تكن فعالة في التّصدي لهكذا هجوم، قام الباحثون بإرسال 5053 طلب صداقة عشوائي ولكن بمعدل 25 طلب في اليوم لكل حساب مزيّف وهو ما تطلب ارسال كامل الطلبات على مدى يومين. خلال اسبوعين من الدراسة، 976 حساب او ما يعادل 19% من الطلبات قد تمّ قبولها.
على مدار الستة أسابيع التالية، قامت “الآلات” بإرسال طلبات صداقة لأصدقاء الحسابات التي قبلت الطلب الأصلي. من أصل 3517 مستخدم استلموا طلبات صداقة، 2079 أما ما يعادل 59% قبلوا الطلب. مع ادخال تحسينات أخرى على الآلات يمكن الوصول الى نسبة 80% نجاح.
هذا الارتفاع في نسبة القبول، يرجع الى مبدأ “الإغلاق الثلاثي”، والذي يتوقع ان امكانيّة أن يقبل شخص طلب صداقة في شبكة اجتماعية هو أعلى بحاولي 3 أضعاف عندما يكون هناك صديق مشترك بين الطرفين.
هنا تذكير للمستخدمين، لا تقبل طلبات صداقة إلّا من أشخاص تعرفهم وتثق بهم.
دودة جديدة تضرب إيران والسّودان
في منتصف الشهر الحالي ظهرت تقارير تتحدث عن ظهور دودة جديدة مشابهة لدودة Stuxnet والتي ضربت المفاعلات النووية الإيرانيّة في منتصف 2010. وبعيداً عن الجدل الدّائر حول إذا ما كان الفريق الذي طوّر Stuxnet هو نفسه الذي قام بتطوير الدودة الجديدة والتي اطلق عليها Duqu، أمّ أنّه فريق مختلف، فإن الأمر المؤكد هو أنّ هذه الدّودة متطورة بشكل كبير جدّاً. فمختبرات شركة الحماية كاسبيرسكي قد أظهرت وجود أربع إصدارات من هذه الدودة حتى اللحظة، ثلاثة منها في إيران والرابع في السودان.
كل نوع من هذه الأنواع (او التعديلات) للدّودة تستخدم آلية إصابة للنظام مختلفة. ففي حالة استخدمت موجّه يستخدم شهادة رقميّة مزيفة، وفي حالات أخرى لم يستخدم الموجّه أي شهادة. وفي بعض الحالات كان هناك مؤشرات على وجود إصابة بالدودة ولكن لم يعثر على الملفات أثناء دراستها. هذا اعطى إنطباع للباحثين أنّ الدودة تغير من هدفها والذي لا زال معروفاً حتى الآن تبعاً للحاسوب أو النّظام الذي قامت بإصابته.
أحد الدراسات التفصليّة لهذه الدودة قامت بها شركة سيمانتك، والتي ذكرت أنّها حصلت على عيّنة مخبريّة لهذه الدودة في الرابع عشر من الشهر الحالي (اكتوبر تشرين اول). حيث ذكرت الدّراسة أن العيّنة التي تمّت دراستها أظهرت العديد من أوجه الشبه بين هذه الدودة و Stuxnet إلى الحدّ الذي دفع القائمين عليها للقول بأن Duqu هي ابنة (أو ابن) Stuxnet، أو Stuxnet 2.0.
ما نعرفه عن الدّودة حتى الآن؟
الدودة اطلق عليها اسم Duqu لأنّها تقوم بإنشاء ملفات مسبوقة بالأحرف DQ. العينة التي حصلت عليها شركة Symantec مصدرها هو مؤسسة أوروبيّة. الهدف الظاهر للدودة وفقاً ل Symantec هو جمع المعلومات (وإن كان الهدف الحقيق غير معلوم لغاية الآن) من شركات صناعيّ وغيرها من أجل استخدامها في هجمات مستقبلية. Duqu لا تحتوي على اكواد متعلقة بأنظمة التحكم الصناعي وفقاً ل Symantec، فهي بدرجة أساسية مشابهة لتروجانات التحكم عن بعد (المعروفة ب RAT)، والتي تسمح للمهاجم بالتحكم عن بعد بحاسوب الضحية. الدودة تقوم بتحميل برنامج لسرقة المعلومات والذي يقوم بتسجيل جميع المفاتيح التي قام الضحيّة بضغطها في لوحة مفاتيحه بالإضافة إلى معلومات أخرى وارسالها للمهاجم.
Duqu تستخدم كلاً من HTTP و HTTPS للاتصال بخادم التحكم والاتصال وعنوانه 206.1830.111.97 وهو موجود في الهند. السلطات الهندية قامت اليوم (29-10) بمصادرة بعض العتاد من هذا الخادم ضمن إطار التحقيق في هذه الدودة. Duqu استخدمت هذا الخادم في تثبيت البرنامج الذي يقوم بسرقة المعلومات. حيث تقوم الدودة بتشفير البيانات التي تمّ جمعها تمهيداً لإرسالها.
Duqu تقوم باستخدام برتوكول اتصال للتحكم والاتصال مخصص لها، يقوم مبدئيّاً بتحميل أو رفع ما يبدو أنّه ملف صوري بامتداد jpg. ولكن بالإضافة لهذا الملف الوهمي يتمّ كذلك ارسال المعلومات مشفرة من وإلى حاسوب الضحيّة.
أخيراً الدودة مبرمجة لتقوم بحذف ذاتها بعد 36 يوماً من الإصابة، وهو ما يصعب على الخبراء عملية التحقق من الإصابة. وفقاً ل Symantec في بعض الحالات استلمت الدودة أوامر من أجل البقاء مدّة اطول من 36 يوماً.
تحديث 1 – 1-11-2011:
تم العثور على أحد الملفات التي تقوم بتحميل الدودة على حاسوب الضحيّة حيث تبين أنّها عبارة عن ملف مايكروسوفت وورد يحتوي على استغلال لثغرة اليوم صفر في نواة نظام ويندوز. مايكروسوفت قالت أنّها تقوم بدارسة الثغرة لاصدار ترقيع في أقرب وقت.
سنقوم إن شاء الله بتغطيّة مفصّلة لهذا الموضوع قريباً.
شركات عربية تمّ استهدافها من قبل مهاجمي شركة RSA
تناولنا في مقال سابق قصة الاختراق الذي تعرضت له شركة RSA الأمنيّة الشهيرة، والتي استحوذ خبر اختراقها على صدارة العناوين الأمنية في شهر مارس (آذار). والذي أيضاً كان سبب في اهتمام الكونجرس الأمريكي بما بات يعرف بالتهديد المستمر والمتقدّم APT.
قام اليوم الكاتب بريان كريبس بنشر قائمة تحتوي على 760 شركة تعرضت لهذا الهجوم منها 6 شركات عربية.
ALMAZAYA Almazaya gateway L.L.C
EMIRATES-INTERNET Emirates Internet
ETISALAT-MISR
FAWRI-AS
JAWWAL
Jordan Data Communications Company LLC
هذا الشركات، أو على الأغلب أحد مشتركيها كونها شركات اتصالات قد تمّ اختراقه من قبل هؤلاء المهاجمين.
كيف تمّ الحصول على هذه القائمة؟
الكاتب لم يذكر مصدره ولكن ذكر أنّ العناوين التابعة للشركات المذكورة قد حاولت الاتصال بمراكز القيادة والتّحكم والتي كما يظهر في الشكل التالي غالبيتها موجود في الصين.
تعريف بمراكز القيادة والتحكم
القراصنة يحاولون ايقاع ضحاياهم عبر وسائل عدّة منها على سبيل المثال البريد الالكتروني، حيث يقومون بإرسال رسائل إلكترونيّة مثل، لقد فزت بالسحب على جائزة بقيمة مليون دولار. كل ما هو مطلوب منك هو ملئ الاستمارة الملحقة وارسالها الى العنوان التالي. المحلق عبارة عن ملف امّا بصيغة مايكروسوفت ورد أو PDF أو حتى “صورة”. هذا الملف يحتوي على برمجيّة ضارّة (فيروس مثلاً). يقوم الضحية بفتح الملف الملحق بالرسالة الالكترونية فتقوم البرمجيّة الضارة بتثبيت نفسها على حاسوب الضحيّة. بعد فترة تقوم هذه البرمجية بعمل اتصال مع عنوان او موقع معين مثل badsite.com، الهدف من الاتصال هو الحصول على تعلميات بالخطوة التالية. هذه الخطوة قد تكون العمل على تحميل وتثبيت برمجيات ضارّة أخرى، أو تسجيل كل حرف يقوم المستخدم بطابعته على لوحة مفاتيحه ومن ثم ارسال ملف يحتوي على ما تمّ تسجيله الى موقع يقع تحت تصرف المهاجم الذي قام بإعداد البرمجيّة الضّارة. أو غير ذلك.
حتى لا تكون ضحيّة
الحسّ الأمني لدى الأفراد هو خط الدّفاع الأول وفي كثير من الأحيان الأخير لأمن الشركات. زيارة مواقع مشبوهة، فتح بريد الكتروني دون تدقيق، عدم القيام بتحديث النّظام والبرامج الأخرى المثبّتة عليه كلها مداخل يستغلها المخترقون في هجماتهم.
إذا استلمت رسالة من أخوك أو أختك، أو زميلك أو صديقك وهذه الرسالة تحتوي على ملحق قم بالاتصال بمرسل الرسالة للتّأكد من أنّه قد قام بالفعل بإرسالها. لن تخسر شيئاً باتصالك بالمرسل ولكن ستخسر الكثير لو قمت بفتح رسالة تحتوي على برمجيّة ضارة.
القرصان الإيراني يضرب مرّة أخرى
في مجتمع الحماية العربي قمنا بتغطية الهجمات التي تعرض لها مُصدرا شهادات SSL كمودو و ديجناتور. شهادات كمودو أعلن عنها قرصان إيراني شكك بعض الخبراء الأمنيين بكونه المنفذ ليتبيّن في ما بعد أنّه بالفعل هو من نفذ الهجوم. واليوم أعلن هذا القرصان في رسالة نشرها على موقع بيست بين دوت كوم عن قيامه بالهجوم على ديجناتور، حيث ذكر ان هجومه يأتي في الذكرى السادسة عشرة لمجزرة سربينيتسيا والتي حدثت في 11 يوليو (آذار) وراح ضحيتها 8000 آلاف مسلم. وحسب القرصان فإن هجومه يأتي كرد على الحكومة الهولندية والتي ضحت بالضحايا في مقابل سلامة 30 من جنودها.
الهجوم وفق القرصان كان هجوماً معقداً. لم يقم بكشف تفاصيله ولكن ذكر بأنّه سيقوم بذلك في وقت لاحق. ولكن اثباتاً على اختراقه فقد ذكر معلومات أحد الخوادم الداخلية لديجناتور
Username: PRODUCTION\Administrator Domain Administrtor of certifiate network
Password: Pr0d@dm1n
الهجوم على ديجناتور يأتي في وقت تتصاعد في الانتقادات لنظام الشهادات الحالي. في حالة كومودو لا زالت الشركة تعمل بدون مشاكل ولكن في حالة ديجناتور في الأغلب سوف تخرج الشركة من سوق العمل نظراً لفداحة الهجوم الذي تعرضت له.
في ما يلي النّص الكامل لرسالة القرصان مترجماً
مرحبا مرة أخرى , الهجوم عاد ثانيةً, هه؟
قلت لكم أستطيع أن أعيد كل ما حدث مرة أخرى. قلت في المقابلات أنني ما زلت أمتلك الوصول إلى موزعين شركة كومودوComodo.
قلت للجميع أمتلك الوصول إلى أغلب شهادات الموثوقية Certificate Authority(CA) , هل رأيتم هذه الكلمات الآن؟أتعلمون, أنا أملك الوصول إلى أكثر من أربع شهادات موثوقية عالية و التي أستطيع أن أنشئ منها شهادات جديدة أيضًا و سوف أفعل.
أنا لاأستطيع ذكر أسمائها, كما أني أمتلك الوصول إلى شهادات الموثوقية الخاصة بـStartCom. لقد اخترقت خوادمهم أيضا بطريقة معقدة جدا, ولقد كان
محظوظا بكونه كان متواجد مقابل توقيع HSM. سأذكر اسم أخر فقط و الذي ما زلت أملك وصول إليه ألا و هو GlobalSign,
دعني أستخدم شهادات الموثوقية الخاصة بهم و سأتكلم عنهم لاحقا أيضا.
لن أتكلم عن تفاصيل كثيرة, فقط أريد الآن أن يعلم العالم أنه أي شئ تفعله له عواقب و أي شئ تفعله بلدكم في الماضي يجب أن تدفع ثمنه.لقد كنت متأكداً أني لو استخدمت شهادات شركة ما لنفسي ستقوم هذه الشركة بإغلاق هذه الشهادات و لن أستطيع أن أنشئ شهادات مرة أخرى, شركة كومودو كانت بالفعل محظوظة جدا.
لقد فكرت أنه لو أنشأت شهادات موثوقية من الحكومة الهولندية سيخسرون الكثير من المال.
http://www.nasdaq.com/aspx/dynamic_charting.aspx?selected=VDSI&timeframe=6m&charttype=lineلكن تذكرت شيئا و اخترقت شركة DigNotar بدون التفكر في تلك الغلطة.
http://www.tepav.org.tr/en/kose-yazisi-tepav/s/2551عندما قامت الحكومة الهولندية بمقايضة 8000 ملسم بـ30 جندي هولندي و الجنود الصربيين الحيوانات قتلوا 8000 مسلم في نفس اليوم, الحكومة الهولندية
يجب أن تدفع نتيجة ما حدث, ولم يتغير شئ فقط بعد مرور 16 عام.
الـ 13 مليون دولار خاصة الحكومة الهولندية و التي تم دفعها لشركة DigNotar يجب أن تذهب إلى القمامة.
إنه من الكافي جدًا للحكومة الهولندية أن تفهم أنّ جندي مسلم واحد أفضل من 10000 جندي هولندي.سأتكلم في بعض التفاصيل التقنية الخاصة بالاختراق لاحقا, فأنا لا أمتلك وقت الأن.
كيف استطعتُ الوصول إلى 6 طبقات في الشبكة الداخلية الخاصة بشركة DigNotar, كيف وجدت كلمات المرور, كيف وصلت إلى صلاحيات النظام لأنظمة مكتملة التحديثات يوما بيوم
كيف تخطيت نظام nCipher NetHSM, و عتاد توليد المفاتيح, مدير شهادات الـ RSA, كيف اخترقت الطبقة السادسة للشبكة الداخلية و التي ليس
لها وصول إلى الإنترنت إلا بالمنفذ 80,443 و التي لا تقبل الاتصال العكسي أو المباشر لإتصالات الـ VNC و المزيد و المزيد و المزيد.عندما أشرح كل هذا, ستعرف إلى أي مدى هذا لاختراق كان معقدا, سيكون دورة اختراق جيدة للهاكرز مثل فريق Anonymous و Lulzsec.
لقد كان هنا الكثير من ثغرات اليوم صفر والطرق و المهارات.هل سمعت عن لغة البرمجة XUDA و التي يستخدما مدير شهادات RSA؟ لا لم تسمع. لقد عرفت مدير شهادات RSA و تعلمت لغة برمجته في نفس الليلة.
إنها لغة غير عادية إن علامة أكبر من في كل اللغات هي ”على أي حال,, سأتكلم عن شركة DigNotar لاحقا! أما الأن أكمل التفكر فيما فعلته الحكومة الهولندية منذ 16 عام مضت في نفس اليوم الذي اخترقت أنا فيه.
سأتكلم لاحقا و سأوضح لكم أكثر الاختراقات تعقيدا لهذا العام و الذي سيكون منها المزيد و التي سأتكلم عنها أيضا.المقابلة ستكون عن طريق البريد الإلكتروني [email protected]
بمناسبة الحديث, إسأل شركة DigNotar عن هذا المستخدم و كلمة المرور جميعا
Username: PRODUCTION\Administrator Domain Administrtor of certifiate network
Password: Pr0d@dm1nالأمر لا يتعلق كله بكسر كلمة المرور
1. لن تستطيع الاتصال RDP في شبكة مغلقة و محمية بجدران نارية و التي لا تسمح باتصال عكسي عن طريق VNC , RDP إلخ بسبب مراقبة الحزم.
2. لن تستطيع حتى أن تأخذ نسخة من الـهاش لكلمات المرور إذا لم تكن مدير على النظام.
3. لن تستطيع الوصول إلى الطبقة السادسة من الشبكة و التي لا تحتوي على أي اتصال من و إلى الإنترنت.نعم
إلى اللقاء الأن
الرسالة الأصليّة
http://pastebin.com/1AxH30em
غوغل ضحيّة هجوم جديد على شهادات SSL
قبل عدّة أيام ذكر مستخدموا بريد غوغل في إيران عن ظهور رسائل حول شهادات مواقع مثل بريد غوغل، ليتبيّن في ما بعد أن أحد مُصدر (DigiNotar) شهادات SSL قدّ تمّ اختراقه ومن ثمّ استخدامه في إصدار شهادات لغوغل بالإضافة الى مئات المواقع من بينها مواقع تابعةللحكومة الهولنديّة.
كما يظهر في الصورة الشهادة تمّ اصدارها في 10 يوليو (آذار) -هذا لا يعني أنّ الاختراق تمّ في نفس اليوم – والكشف عنه تمّ بعد حوالي أكثر من شهر تقريباً. هذا الاختراق ليس الأول في تاريخ الشّركة فقد وثّقت مدوّنة f-secure حوادث اختراق يعود تاريخها إلى مايو (آيار) 2009.

ملف تركه مخترقوا DigiNotar على أحد خوادمها - المصدر مدوّنة f-secure
وهذه صورة أخرى

ملف آخر تركه المخترقون - المصدر مدوّنة f-secure
ما يجعل الأمر محرجاً أكثر للشّركة هو أنّ هذه الملفات حتى وقت قصير كانت لا تزال على خوادم الشّركة، وهو ما يجعل الأمر أكثر إحراجاً للشّركة.
الاختراق الذي تعرّضت له DigiNotar يعيد إلى الإضواء الذي الإختراق الذي تعرضت له Comodo والتي تعدّ إحدى أكبر الشركات المُصدرة لشهادات SSL. وهو ما يطرح مرّة إخرى أمر مراجعة شهادات SSL والثقة التي يبنيها المستخدمون عليها. فSSL قد بدأ في عام 1995 في مختبرات Netscape في وقت كانت هجمات رجل المنتصف غير ممكنة لعدّة أسباب من ضمنها عدم وجود الأدوات التي تساعد في هذا الهجوم هذا بالإضافة لوجود مُصدر واحد أو مُصدرين لهذه الشهادات في حين اليوم لدينا أكثر من 650 مُصدر شهادات. هذا العدد الكبير من المصدرين والذين يمكنهم اصدار أي شهادة لأي موقع، بالإضافة إلى الإجراءات الأمنيّة التي تتبعها هذه الشركات يضع شهادات SSL تحت المجهر. فقد رأينا مُصدرين للشهادات وقد تمّ اختراقهما لإصدار شهادات لمواقع لم تطلب اصدار هذه الشهادات، فماذا الذي يجعل غوغل تذهب الى شركة صغيرة في هولندا لكي تصدر شهادة عامة شاملة لمواقعها؟ وما هي عملية التدقيق التي تقوم بها الشركات؟ فكيف لم يتنبه القائمون على شركة DigiNotar على أنّه تمّ اصدار شهادات لغوغل من خلالهم؟
هذا بالإضافة الى المتصفحات التي يستخدمها زوّار المواقع والتي تحتوي على العديد العديد من مُصدري الشهادات، فمثل تحتوي بعض المتصفحات على مصدرين مثل الحكومة الصينية والأمريكية والبرازيلية وهو ما يجعل أمر إصدار شهادات باسماء مواقع مثل غوغل هوتميل ممكناً.
في الحالة الإيرانية أمرٌ مشابه لنا عربيّاً من حيث قيام الحكومة بمراقبة مستخدمي الانترنت لديها عبر التعاون مع مزوّدي خدمة الانترنت للاطلاع على عادات التصفح لديهم بالاضافة الى معلومات الدخول الى حساباتهم.
كل هذا طرح بشكل جدّي إيجاد حلٍّ بديل أو على الأقل التقليل من آثار هذه الهجمات عبر التّحكم بالثقة. أحد هذه الحلول هو convergence والذي قام عليه مطور أداة SSLStrip المستخدمة في هجمات رجل المنتصف ضد SSL.
وفق موقع المشروع (والذي لا زال في المرحلة التطويريّة) يمكن للمستخدمين 1- تحميل إضافة فايرفوكس 2- اختيار من تثق به 3- التصفح بشكل آمن. سنحاول إن شاء الله في تدوينات قادمة شرح آلية عمل convergence.
تحديث 1-
قائمة ببعض النطاقات التي تمّ اصدار شهادات لها
*.*.com
*.*.org
*.10million.org
*.android.com
*.aol.com
*.azadegi.com
*.balatarin.com
*.comodo.com
*.digicert.com
*.globalsign.com
*.google.com
*.JanamFadayeRahbar.com
*.logmein.com
*.microsoft.com
*.mossad.gov.il
*.mozilla.org
*.RamzShekaneBozorg.com
*.SahebeDonyayeDigital.com
*.skype.com
*.startssl.com
*.thawte.com
*.torproject.org
*.walla.co.il
*.windowsupdate.com
*.wordpress.com
addons.mozilla.org
azadegi.com
friends.walla.co.il
login.live.com
login.yahoo.com
my.screenname.aol.com
secure.logmein.com
twitter.com
wordpress.com
www.10million.org
www.balatarin.com
www.cia.gov
www.cybertrust.com
www.Equifax.com
www.facebook.com
www.globalsign.com
www.google.com
www.hamdami.com
www.mossad.gov.il
www.sis.gov.uk
www.update.microsoft.com