الجديد..لكل ما هو جديد
اصالة وتميز

معلومات المدون:
الإسم : bouazzisami
البلد : المغرب
(اعرض صفحتي)

:: إختراق مواقع الإنترنت !!
الخميس, 18 اكتوبر, 2007

 

ماذا سيكون رد فعلك إذادخلت إلى موقع أحد الشركات التجارية الكبرى أو أحد مواقع إنترنت الحكومية بقصدالحصول على بيانات رسمية معينة،  وإذ برسالة بذيئة تطالعك في الصفحة الرئيسية من الموقع؟!
- إذا كنت مستخدماً عادياً فستنتقل بسرعةمن حالة الصدمة والاندهاش، إلى حالة السخرية منالموقع والجهة التي يمثلها!
- أما إذا كنتمشرفاً على هذا الموقع أو مسؤولاً عن الشبكة التي ينتمي إليهافنتوقع أن يؤدي مزيج المشاعر التي ستنتابكإلى تصبب العرق منك بغزارة.. لأنك ستكون أنت موضعالسخرية!

حدث الموقفان السابقان ملايين المرات، خلالشهر فبراير/ شباط الفائت.. فقد وقعت عشرات من عملياتاختراق مزودات ويب، نفذتها مجموعات مختلفة منالمخترقين في مناطق عديدة من العالم



 وهدف بعضهاإلى تشويه مواقع ويب(defacement) وذلكبتغيير الصفحة الرئيسية فيها، وتَمثّل بعضها الآخر فيهجمات حجب الخدمة الموزعةDDoS (distributed denial of service) التي هدفت كما أشارالمحللون إلى تدمير شبكة إنترنت بالكامل! وكانت مواقع ويب حكومية عربية، ضحية عدد كبير نسبياً من تلكالعمليات. وقد تتبع فريقDIT بعضها وقتحدوثها.

تتكرر عمليات التشويه بشكل يومي تقريباً، فيعدد كبير جداً من مواقع ويب، إلا أن الأمر الذي لفت الانتباهإليها في هذه الفترة تحديداً، هو ترافقها مععمليات الاختراق التي أصابت أكبر مواقع إنترنت العالمية، علىشكل هجمات حجب الخدمة.

لكن، كيف حدثت هذهالهجمات والتشويهات؟ ومن وراءها؟ وما هي أهدافها؟


تشويه مواقع ويب

هل شاهدت أفلاماً سينمائية قديمة، تدورأحداثها حول عمليات القرصنة البحرية، التي كانت تتم في القرونالماضية؟ ربما كان أكثر المشاهد بروزاً في هذهالأفلام، هو مشهد إنزال علم السفينة التجارية، ورفع علمالقراصنة (المكون من عظام وجمجمة) مكانه،للدلالة على السيطرة والنصر!

يوجد تشابه كبير بين عمليات تشويه مواقع ويب(defacement) ومشهد إنزال علم دولة معينة عنالسفينة ورفع علم القراصنة مكانه. حيث أنعملية التشويه في أغلب الأحيان ليست سوى تغيير الصفحةالرئيسية للموقع بصفحة أخرى يعلن المخترقفيها انتصاره على نظام مزود ويب، والإجراءات الأمنيةللشبكة، ويقصد من ورائها إبراز قدراتهالتقنية وإعلان تحديه للمشرفين على نظم مزودات ويب ليثبتلنفسه أو لغيره امتلاكه المقدرة التقنية علىكسر نظام الحماية في هذه المزودات، الأمر الذي يتطلب معرفةمعمقة لطريقة عمل إنترنت وبروتوكولاتالتشبيك وأنظمة التشغيل المختلفة التي تعمل عليها مزوداتويب.

وتتضمن الصفحة الجديدة أحياناً رسالةيرغب الشخص الذي قام بعملية التشويه إيصالها للعالم. وقدتتضمن هذه الرسالة اعتراضاً منه على حالةسياسية أو اجتماعية، أو صرخة يريد إيصالها، إلى كل منيزور هذا الموقع!

وتقتصر الأضرار التي تتسبب بها عمليات تشويهمواقع ويب، على الإضرار بسمعة الجهة المالكة للموقع،حيث يتم تغيير الصفحة الرئيسية فقط من الموقعبصفحةHTML من تصميم المخترق، الذي يقتصر هدفهكما ذكرنا على إيصال رسالته إلى العالم عبرالموقع. ولا يلجأ المخترقون عادةً في عمليات التشويه إلىتدمير محتويات الموقع، حيث يمكنك في أغلبالمواقع التي تتعرض لعمليات التشويه، الوصول إلى جميعصفحات المكونة الموقع، إذا كنت تعلم عنوانالصفحة كاملاً.


كيف تحدث عمليات تشويه موقع ويب؟

يتبع المخترقون أساليب عدة في عمليات تشويهصفحات ويب. وتختلف هذه الأساليب من موقع إلى آخربناءً على نوع نظام التشغيل ومزود ويب الذييعتمد عليه الموقع. ونوضح هنا، أكثر هذه الأساليب انتشاراً:

1 الدخول بهوية مخفية(anonymous)، عبر منفذبروتوكولFTP :

تمكن هذه الطريقة في بعضالحالات المخترق من الحصول على ملف كلمةالدخول المشفرة الخاصة بأحد المشرفين على الشبكة، أومن يملكون حق تعديل محتويات الموقع، والعملعلى فك تشفيرها، حيث يتم إرسال كلمة السر مشفرة فيمختلف المزودات. لكن هذه الشيفرة تظهر في بعضالمزودات ضمن ملف كلمة السر, ويظلل البعض الآخرمن المزودات هذه الكلمة بعد تشفيرها (أي يظهرحرفx مكان كل رمز من الكلمة المشفرة). وتصعب الحالةالأخيرة على المخترقين عملية كسرالشيفرة.

ويلجأ المخترقون، بعد الحصول على ملف كلمةالسر إلى استخدام برامج خاصة لتخمين كلمات السر. ومنأكثر هذه البرامج انتشاراً

Cracker Jack،وJohn The Ripper، وJack The Ripper، وBrute Force Cracker.

وتعمل هذه البرامج علىتجربة جميع الاحتمالات الممكنة لكلمة السر، منحروف وأرقام ورموز، لكنها تستغرق وقتاً أطولفي التوصل إلى هذه الكلمة إذا احتوت على عدد أكبر منالرموز.

وقد تصل الفترة التي تتطلبها هذهالبرامج للتوصل إلى كلمة السر إلى سنوات، بناءً على عددالرموز المستخدمة والنظام المستخدم في عملياتالتخمين. وننصح باستخدام كلمة سر طويلة نسبياًوتغييرها خلال فترات متقاربة, للتقليل مناحتمال توصل أحد المخترقين إليها. فمن شأن حصول المخترقعلى كلمة السر الخاصة لأحد المشرفين السماحله بالدخول إلى مزود ويب وتغيير الصفحة الرئيسية.

2 استغلال الثغرات الأمنية في مزودات ويب،وأنظمة التشغيل:

لا يخلو أي نظام تشغيل أو مزود ويب منثغرات أمنية تعرض مستخدميه لخطر الاختراق،ويعمل المطورون بشكل مستمر على سد هذه الثغرات كلمااكتشفت. ويستغل الهكرة هذه الثغرات الأمنية فيعمليات الاختراق، إلى أن تجد الشركة المصممة للنظامالحل المناسب لها. وتبقى بعض الثغرات متاحةلفترة طويلة حتى يتم اكتشافها، وذلك لأن أغلب هذه الثغراتيكتشفها الهكرة الذين لا يعلنون عنها بسرعة،ليتمكنوا من استغلالها فترة أطول! وننصح لذلك جميع مدراءومشرفي الشبكات بمتابعة مواقع الشركاتالمصممة لنظم التشغيل ومزودات ويب، للاطلاع على آخر ما تمالتوصل إليه من ثغرات أمنية وجلب برامجالترقيع(patches) لها، حيث تحرص هذه الشركات علىتقديم مثل هذه البرامج بأسرع وقت ممكن.

3 استخدام بروتوكولTelnet :

تسمح كثير منالثغرات الأمنية في الأنظمة المختلفة سواء كانت يونكسأو ويندوز أو غيرها، باستخدام تطبيقات تعتمدعلى بروتوكولTelnet، الذي يسمح بالوصول إلى أجهزةالكمبيوتر عن بعد، وتنفيذ الأوامر عليها. ويمكن استخدام هذا البروتوكول للدخول إلى مزودات ويب، وتغييرالصفحات فيها.

تاريخ عمليات تشويه صفحات ويب

بلغ عدد عمليات تشويه صفحات ويب التي رصدت في أنحاء العالم منذ العام 1995 وحتى الآن حوالي 5000 عملية، توزعت على مختلف مواقع ويب التي تملك أسماء نطاقات تجارية com وnet، وorg ونطاقات محلية في جميع دول العالم تقريباً. وتشير الدراسات إلى أن حوالي 20 في المائة من عمليات التشويه تتم يوم الأحد. ويرجح السبب في ذلك إلى أن تغيير الصفحة الرئيسية في موقع معين يوم العطلة الأسبوعية (في معظم دول العالم)، يضمن بقاء التغيير أطول مدة ممكنة إلى أن يعود مدير الشبكة وموظفو الشركات، من إجازتهم، ويرجعوا الصفحة الأصلية للموقع إلى ما كانت علية .

وحدثت أوائل عمليات التشويه في العالم، العام 1995، ولم تتعدَ في ذلك الوقت، أربع عمليات. وتلتها 18 عملية العام 1996، و28 عملية سنة 1997، ثم تضاعفت العام 1998، عشر مرات، ليصل العدد إلى 233 عملية. وانتشرت حمى تشويه مواقع إنترنت سنة 1999، ليتضاعف عددها حوالي 15 مرة، وليبلغ 3699 عملية تشويه في مختلف أنحاء العالم، ومن ضمنها 16 عملية تمت على مواقع محلية في الدول العربية!

وحدثت أوائل عمليات التشويه في العالم، العام، ولم تتعدَ في ذلك الوقت، أربع عمليات. وتلتها 18عملية العام 1996، و28 عملية سنة 1997، ثمتضاعفت العام 1998، عشر مرات، ليصل العدد إلى 233عملية. وانتشرت حمى تشويه مواقع إنترنت سنة، ليتضاعف عددها حوالي 15 مرة، وليبلغ 3699عملية تشويه في مختلف أنحاء العالم، ومن ضمنهاعملية تمت على مواقع محلية في الدول العربية

وكانت المواقع المحلية البرازيلية، أكثر دولالعالم إصابة بعمليات التشويه، وبلغ عدد العمليات فيها 178عملية، تلتها الولايات المتحدة الأمريكيةالتي بلغ عدد العمليات فيها 126 عملية.

وجدير بالذكر أن كثيراً من عمليات التشويهمرت بدون أن يذاع صيتها، فلم تدخل ضمن هذه الإحصائيات.

ويتوقع لذلك أن يكون عدد عمليات التشويهالفعلية التي تمت أكبر من العدد المذكور!


هجمات حجب خدمة:

الهدف.. تدمير إنترنت!

"الوصول إلى هذا الموقع، غير ممكن!"

قد تعني الرسالة السابقة أن الموقع الذي تحاولأن تزوره، تعرض لهجمات حجب الخدمة، خاصة إذا كانواحداً من المواقع الكبرى، التي يعني ظهور مثلهذه الرسالة في موقعها خسارة عشرات الآلاف من الدولارات!

يكمن الفرق بين عمليات التشويه وبين هجماتحجب الخدمةDoS (denial of service)، أن الأولىتتم عن طريق اختراق مزودات ويب، وتتم الثانيةعن طريق توجيه جهة معينة حزم بيانات شبكية بصورةكثيفة جداً إلى هذه المزودات بهدف إيقافهاعن العمل. ويعتبر القيام بمثل هذه الهجمات سهلاً للغاية، حيثيوجد عدد كبير من البرامج التي يمكن استخدامهالتوجيه الطلبات والحزم الشبكية إلى هدف محدد، كموقعإنترنت أو عنوانIP .

اعتمدت أولى هجمات حجب الخدمة التي ظهرت فيالعالم على توجيه طلبات كثيفة باستخدام بروتوكولرسائل التحكم بإنترنتICMP (Internet Control Message Protocol)، الذي يسمح بتبادلرسائل التحكم والتعامل مع رسائل الخطأ بينمزودات ويب. وتحدث هذه الهجمات اليوم باستخدام منافذبروتوكولاتTCP، وUDP، بالإضافة إلىICMP، فيتسليط سيل من الرزم الشبكية إلى مزودات معينةعبر أوامر مثلPing. ومن أشهر الهجمات تلكالتي تستخدم نوع الهجوم المعروف باسمWinNuke،

والتي تسلط سيلاً من الحزم الشبكية عبر المنفذ139 من نظامNetBIOS، الذي يسمح بتحاور التطبيقاتالموجودة على الأجهزة المرتبطةبالشبكة.

وتوجد بالإضافة إلى ما سبق عشرات الطرق التييمكن اتباعها لدفع الحزم أو الطلبات الشبكية إلىمزودات معينة لإيقافها عن العمل، سواء كانتمزودات ويب أو مزودات بريد إلكتروني أو أي مزود يمكنهأن يستقبل الحزم الشبكية. وتعرف أنواع هذهالهجمات بأسماء غريبة منها

: SYN، وSmurf، وFloods، وLand، وPing Bomb، وPing O'Death،وFraggle، بالإضافة إلىWinnuke،المذكور سابقاً.

، و، و، و، و، و،و، بالإضافة إلى،المذكور سابقاً.

والأمر الذي يزيد الطين بلةبالإضافة إلى سهولة القيام بمثل هذه الهجمات، هو أن توقعهاأو صدها صعب جداً!



لكن ما دوافع هذهالهجمات؟!

توجد عدة أهداف قد تدفع جهة معينة أو شخصاًمعيناً إلى القيام بمثل هذه الهجمات، وأهمها:

1- التسلل إلى النظام:

يمكن أن يتمكن بعضالمخترقين من التسلل إلى النظام وقت انهياره وحجبه عنالخدمة، أو وقت إعادة إقلاعه. وتوجد عدة طرقلذلك على مختلف الأنظمة، وهي أحد الأسباب الأكثرمنطقية لمثل هذه الهجمات.

2-أسباب سياسية:

قد توجه جهة معينة مثل هذهالهجمات إلى موقع حكومي يتبع دولة تعاديها أو موقعشركة تنتمي إلى هذه الدولة. ويتوقع أن تزدادفي المستقبل الهجمات ذات الأهداف السياسية مع ازديادانتشار إنترنت!

3- أسباب اقتصادية:

قد توجه شركة صغيرة مثل هذهالهجمات إلى شركة كبيرة تسيطر على السوق في نوعمن المنافسة التجارية غير الشريفة!

4- الانتقام:

يحدث كثيراً، أن تسرّح شركة أحدالموظفين المسؤولين عن إدارة الشبكة. وقد يلجأ بعض هؤلاءإذا ما شعروا بالظلم إلى الانتقام منالشركة!

5-الطبيعة التخريبية:

يلجأ بعض الأشخاص إلىمثل هذه الهجمات لإشباع رغبات تخريبية تتملكهم!


ليسوا هكرة!

أثارت العمليات التخريبية الأخيرة من جديدحفيظة المدافعين عن المفهوم الحقيقي للهاكر، الذي لا يحتويعلى أي معنىً تخريبي، ويطلق أصلاً على كل محبللتعمق في المعرفة التقنية. وكان السبب في ذلكالحملة الإعلامية الكبيرة التي شنّتها وسائلالإعلام المختلفة على من يطلق عليهم خطأً لقب الهكرة نتيجةلهذه العمليات، وهم في الحقيقة ليسوا سوى بعضالمراهقين الذين حصلوا علىمجموعة من البرامج أوالنصوص البرمجية الجاهزة التي تقوم بهذهالهجمات، وبدءوا باستغلالها في شن هجمات حجب الخدمةعلى مواقع إنترنت المختلفة. وأطلق المحللونوالهكرة الحقيقيون لقب "أطفال النصوص البرمجية" (Script kiddies) على هؤلاء!

وهم مجموعة منالأشخاص الذين يملكون الحد الأدنى من المعرفة التقنيةفي مجال الشبكات، ويسبرون مواقع إنترنت بحثاًعن المزودات التي تتضمن ثغرة معينة سعياً وراءاستغلالها لتدمير الموقع. وتشير تحريات مكتبالتحقيقات الفيدرالي(FBI) الأمريكي، إلى أن الشكوك تحومحول شخصين يدعيانMafiaboy، وCoolio ظهرتاسماهما في عدد من مواقع إنترنت السفلية.


أكبر عملية حجب خدمة في تاريخ إنترنت!

تعتبر هجمات حجب الخدمة الموزعةDDoS (Distributed Denial of Service)، نوعاً جديداً منهجمات حجب الخدمة العادية التي تعتمد علىاستخدام برامج معينة في الهجوم. وهذا النوع من الهجماتهو الذي استخدم في الهجوم على كبرى مواقعإنترنت، مثلZDNet وYahoo!، وeBay، وAmazon،وCNN، وغيرها.

وتعتمد هذه الهجمات على تجنيدأجهزة كمبيوتر متصلة بإنترنت بدون علم مالكيها،وتوجيهها إلى بث الرزم الشبكية إلى مزود معينبهدف إيقافه عن العمل نتيجة ضغط البيانات المستقبلة.

ويعتمد هذا النوع من الهجمات على وضع برنامجخبيث خاص، من نوع"حصان طروادة" (Trojan horse)، في كل كمبيوتر متصل بإنترنت يمكنالوصول إليه، عن طريق إرسال البرنامج بواسطة البريدالإلكتروني مثلاً, وتفعيله على هذه الأجهزةلتعمل كأجهزة بث للرزم الشبكية عند تلقيها الأمر بذلك منبرنامج محدد يقبع على جهاز أحد المخترقين. ومنأشهر البرامج المستخدمة في إجراء هذه الهجمات:

TRINOO، وTribe FloodNet، وTFN2K،وstacheldraht.

ويعتبر هذا النوع من هجماتحجب الخدمة أكثر الأنواع خطورة، حيث يمكن أنيشكل خطراً على شبكة إنترنت كلها وليس على بعضالمواقع فقط، حيث أن كل موقع من المواقع التيأصيبت في شهر فبراير/ شباط الفائت بهذا النوع منهجمات حجب الخدمة هي مواقع تحجز جزءاً كبيراًمن حزمة البيانات في إنترنت، ما قد يهدد الشبكةبالكامل. وإن حدث ذلك يوماً، فنتوقع أن يشهدالعالم أزمة اقتصادية شاملة!


مــا الحــل؟! ..

معلومات تقنية مهمة، للتصدي لهجمات حجبالخدمة

إذا كنت تعمل مديراً لشبكة ويب أو كنتمسؤولاً عن أحد مواقع ويب، فمن المؤكد أن تكون عمليات التشويهوحجب الخدمة الأخيرة التي تمت خلال فتراتسابقة والتي طالت أكبر مواقع إنترنت فيالدول العربية والعالم، سببت لك قلقاً كبيراًعلى وظيفتك، وربما بعضاً من الكوابيس ليلاً!

استخدمت جميع هجمات حجب الخدمة التي تمت فيشهر فبراير الفائت برامج من نوع حصان طروادة، لاتعمل إلا على أنظمة يونكس ولينكس فقط، مايعني أن مستخدمي أنظمة ويندوز كانوا في أمان نسبي من أنتُستخدم أجهزتهم بدون علمهم لشن هجمات علىمواقع إنترنت معينة. لكن شركةTrendMicro، التيتعمل في مجال الحماية من الفيروسات، كشفتأواخر الشهر ذاته عن انتشار برنامج(TROJ_TRINOO) الجديد من نوع حصان طروادة تمتبرمجته لشن هجمات حجب الخدمة هذه المرة،من أنظمة ويندوز!

وهذا البرنامج هو زبون لبرنامجTrinoo الذييعمل كمركز القيادة لشن هذه الهجمات.. فإذا تمكن أحدالمخترقين وضع هذا البرنامج في نظامك بدونعلمك عن طريق إرساله بالبريد الإلكتروني مثلاً، فإنهسيتمكن من استخدام جهازك لشن الهجمات على أيمزود متصل بإنترنت. ولا يحتاج في هذه الحالة، إلا إلىمعرفة عنوانIP لجهازك، خلال اتصالك بإنترنت! ويمكنك التأكد من خلو نظامك من هذا البرنامج، كما يلي:

افصل اتصال جهازك بإنترنت، ثم شغّل برنامجمحرر سجل النظام(Regedit.exe)، واذهب إلى المفتاح

( HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run)،

وابحث عن الملف SERVICE.EXE (وليس الملفSERVICES.EXE، الموجود أصلاً فيأنظمةNT، و2000)، واحذفه من النظام إن وجد،ثم أعد تشغيل الجهاز. ويمكنك التأكد من أن الملف الذيتحذفه هو هذا البرنامج الخبيث، بالتأكد منحجمه، الذي يعادل 23145 بايت. وجدير بالذكر أن معظم برامج

الحماية من الفيروسات ستطرح تحديثات تحمي منهذا البرنامج، في أحدث إصداراتها

أضافها bouazzisami @ 12:15 ص
خبّر عن هذا المقال: KhabberDel.ici.ousDiggRedditY! MyWebGoogle Bookmarks
(0) تعليقات


أضف تعليقا



أضف تعليقا

<<الصفحة الرئيسية


انت الزائر رقم

التقويم


 


Script Language='Javascript'>