دورة المنطقة الأمنية 2 (الدفاع المضاد)

- تـقـــديـــم




قبل عدة أشهر طلب مني أحد الإصدقاء
المساعدة في تقييم درجة الأمان بموقعهم الخاص بمؤسسته التجارية على
الشبكة العالمية ، وقد أعلمته حينها بأن هذا الأمر سيتطلب مني إجراء
بعض التجاوزات لمعرفة نقاط القوه والضعف بموقعهم التجاري وبصيغة أخرى
محاولة جادة لإختراق الموقع ومن ثم تصحيح اية مشاكل امنية أجدها ،
وقد أبدى موافقته الفورية لأنه كان يهتم كثيرا بدرجة الأمان في
موقعهم .


حسنا .. مضى على ذلك اللقاء عدة أسابيع وفي
كل يوم منها يلح ذلك الصديق على امر الإختراق من مبداء الأمان ، كنت
اعلم بأنه يقضي معظم وقته امام جهاز الكمبيوتر يراقب اية تغيير في
الموقع يدل على عملية الإقتحام ، ولأنه كذلك فقد تفاديت اجراء اية
محاولة جادة لإختراق موقعهم خلال ساعات النهار.


إن معظم عمليات إختراق المواقع - وهذه
حقيقة تجب معرفتها - تتم في اوقات يكون فيها الموقع خامل ، او لنقل
بعد منتصف الليل بالتوقيت المحلي للبلد ، إنها عملية جرئية كجرأة
مايفعله اللصوص عند السرقة ، إنهم يختارون الوقت الأخير من الليل
لأنه فترة خمول بالنسبة للأخرين ، وهذا مافعلته عند الثانية من بعد
منتصف الليل. كانت الخطوة الأولى إجراء عملية Ping بسيطة تقليدية
لمعرفة الـ host الخاص بالموقع وهو شبيه برقم الأي بي تلتها عملية
FScan وذلك للحصول على لائحة بالخدمات العامة ، لقد اجريت بعض
التحريات الشخصية المسبقة وعلمت من الشركة التي صممت الموقع لهم
بأنهم يستخدمون ملقم NT ولأن ذلك الصديق يمتلك اكثر من فرع لمؤسسته
فأنه حتما سيحتاج الي برنامج pcAnywhere لمتابعة أعماله من خلاله.
كان على الـ FScan إعطائي اية منافذ للـ NetBIOS ولكن لم تكن هناك
اية إشارات تدل على ذلك وهذا معناه إحتمالين لاثالث لهما ، إما ان
يكون صديقي يعلم كيف يحصن نظام الـ NT ويزيل كل خدمات الـ NetBIOS او
على الغالب انه قد جهز جدارا ناريا صلدا لبوابة موقعهم وهذة الخطوات
من الأهمية بمكان لحماية المواقع من عمليات الإختراق. على كل حال لم
أيأس ، وحين أن الفجر قد بزغ عند هذة المرحلة فقد فضلت تأجيل
المتابعة لوقت أخر.


لقد زودتني عملية الـ FScan بنتيجه مقبولة
لمحاولة إيجاد نقاط القوة والضعف بموقع ذلك الصديق ، فحينما كانت
خدمات الـ NetBIOS مخفية إلا أن الـ FScan أظهر أن المنفذين 80 و
5630 هما اللذين يجب أن اتعامل معهما . لقد بدأت مع الهجوم الأكثر
بساطة وهو تخمين كلمة مرور pcAnywhere ولأنني أدرك بأنهم غالبا
مايكونوا قد اعدوا محاولات الدخول على ثلاثة محاولات فقد لجأت الي
عملية التخمين تحسبا لهذا الوضع وكانت اثنتين منهما فاشلتين وعلى عدم
إجراء اية عملية تخمين ثالثة لألا اغلق هذا الباب المفتوح قليلا في
وجهي فكانت الخطوة التالية هي توجية الهجمات نحو المنفذ 80 .



لقد استعنت في هذة المرحلة بالـ telent مع
المنفذ 80 وقد جمعت المعلومات التي احتاجها وقد كان النص البرمجي
webping.pl الموجود على موقع معين بالأنترنت يعمل كالسحر ، لقد دلت
النتائج الأوليه على ضعف ملقم الويب هذا تجاه نقطة الضعف الجميلة
MDAC وبعد لحظات نجح الإستثمار وحصلت على موجه بعيدة من حق الوصول
Adminstartor للـ pcAnywhere. وايضا داهمني الفجر من جديد عند الوصول
لهذة المرحلة فتوقفت هنا .


بعد عدة ايام تابعت عملية جس الأمن بموقع
ذلك الصديق وكانت الخطوة التالية هي استخدام Pwdump من اجل الحصول
على كلمات المرور وقد لجأت في هذا الي تطبيق John the Ripper الغني
عن التعريف وإن عملية dir* و cif/s كانت كافية للبحث عن اي ملفات cif
في النظام وبعد ان عثرت عليها استخدمت TFTP لنقلها الي جهازي حيث كان
ShoWin بالإنتظار وبأستخدام خاصية use-from-work من خلال pcAnywhere
حصلت على اتصال بالنظام عن بعد مع كلمة المرورالمكتشفة حديثا.



لقد كان اول شئ اقوم به هو هو الغاء اقفال
الـ pcAnywhere لكي اتمكن من الدخول لاحقا ثم انني عدت مجددا الي
الطرفية البعيدة TFTP لإستخراج الملفات من النظام ، لقد كانت الأدوات
اللازمة لهذة المهمة متاحة ضمن طقم موارد الـ NT وهي Pulist.exe من
NTRK لسرد عمليات قيد التشغيل وkill.exe لإيقاف الخدمات وبعد تفعيل
خاصية سرد العمليات عثرت على معرف PID من اجل خدمة الجدار الناري
وبأستخدام الملف التنفيذي kill اوقفت جدار النار في بيئة الـ NT.



لقد اضفت عبارة Aims Was Here بخط صغير في
واجهة الموقع ثم اعدت تشغيل الجدار الناري لكي احمي النظام من
المهاجمين الاخرين لقد قتل هذا وصلة WinVNC كما كنت اتوقع ولذا اعدت
الاتصال مع النظام عبر pcAnywehre وكلمة المرور التي عثرت عليها
والتي ابقيتها كما هي دون تغيير وبعد هذا الاتصال الثاني اغلقت وصلة
WinVNC لوقف الخدمة وايضا حذفت ملفات WinVAC لكي اكون امينا ثم حذفت
كذلك Pulist و Kill و Netcat وPwdump واغلقت جلسة MDAC واخيرا رقعت
نقطة الضعف MDAC بأستخدام الطريقة المفصلة من قبل Rain Forest Puppy
ثم اعدت إستنهاض النظام حتى تأخذ رقعة MDAC مفعولها وقد كانت هذة
الهجمة من اساسها للتصحيح وهنا ينتهي عملى مع بزوغ فجر يوم جديد .



بالطبع لم يتفاجأ صديقي ولكنه تعلم شيئا
جديدا وهو انه ليس هناك أمان بكل ماتحمله هذة الكلمة من معنى في بيئة
الإنترنت المتشعبه ، لقد كلفتني هذة العملية الكثير الكثير من الجهد
والوقت وقابل ذلك الكثير من القراءة والإطلاع إما من خلال المراجع
والكتب والمصادر العالمية المتخصصة او عبر الإنترنت ولأنها كانت ضربة
موفقة فقد رغبت بأطلاعكم عليها هنا من أجل امر واحد فقط وهو أن
عمليات الإختراق مضنية ومتعبه وشاقة ، وفي المقابل فأن عمليات تصحيح
وسد الثغرات الأمنية التي قد تستغل من اجل الإختراق اكثر مشقة وضناء
لأنك لكي تتعرف على ذلك واقصد به اخذ الأمان عليك القيام بالأختراق
الفعلي من اجل ذلك فيكون دورك هنا مضاعفا عن مايقوم به المخترقون
المحترفون.

الحلقة الدراسية الأولى : الثغرات
الأمنية بالمؤسسة




من خلال التجربة المذكورة في تقديم هذة
الدورة الدراسية نرى أن عمليات اختراق الأنظمة تتخللها كثير من
المهام والترتيبات المتلازمة وهي – اي عمليات الاختراق – تستند على
مبداء قياسي واحد هو اخطاء برمجية يخلفها البشر . فالشيفرات والاكواد
البرمجية هي الاساس الذي يتعقبه المخترق ويبحث في تفاصيلة عن ثغرة
هنا او خطأ هناك وهذا يتطلب كثير من الجهد والمثابرة وتكرار المحاولة
عقب المحاولة وهي طريقة شائعة بل لنقل متعارف عليها عند كلا الطرفين
الخبراء الامنيون والمخترقون المحترفيون.


دراسة المؤسسة


إن كل محاوله للأختراق تعتمد من اساسها على
طريقة المخترق هذة الطريقة ترمز بالخطوة الأولى ، إن مبداء الخطوة
الأولى منشأه الأول المعلومات او بصيغة اخرى تجميع اكبر قدر ممكن من
المعلومات عن الهدف قبل القيام بمحاولة الأختراق الفعلي حيث ان تلك
المعلومات على قدر من الاهمية عند تنفيذ الأختراق كما سنرى لاحقا.
ولتقريب هذة الصروة اكثر الي ذهن القارى فإن دراسة المؤسسة يمكن
تشبيهها بعملية اقتحام البنوك بقصد السرقة ، إن اللصوص في هذة الحالة
لايذهبون ويطلبون النقود ، بل إنهم عوضا عن ذلك يعانون مشقة في تجميع
اكبر قدر ممكن عن البنك المستهدف ، كموقع البنك وعدد المخارج به وعدد
كميرات المراقبة ووقت تسليم النقود من الخزينه المركزية للبنك وعدد
العاملين به واي شئ اخر يمكن ان يساعدهم في القيام بعملية سرقة
ناجحة. إن كل تلك المعلومات تأخذ جهدا ووقتا مضنيين وهذه المتطلبات
نفسها تنطبق على كل حال على المخترقين الناجحين إلا انهم يجمعون اكبر
كمية لازمة من المعلومات حول مظاهر امن الأنظمة الخاصة بالهدف .



تحصيل الهدف (الخطوة الأولى)



تستند الخطوة الاولى مبدئيا على ثلاثة اسس
مترابطة فيما بينها هي على التوالي :


- تقفي الأثر Traceroute


- المســح Scanning


- التعداد Enumeration


تقفي الأثر Traceroute


يسمح تقفي الأثر المنظم للمخترقين إنشاء
تكوين عام عن المؤسسة الهدف ، ويخلصون من ذلك الي تحديد اسماء
النطاقات وكتل الشبكات وعناوين IP الفردية للأنظمة المتصلة بشكل
مباشر بالأنترنت . ومع أن هناك انواع عديدة لتقنيات تقفي الأثر، فهي
تهدف اساسا لإكتشاف المعلومات المتعلقة بالهدف والوصول اليها عن بعد
وهذة التقنيات لاتختص بالأنترنت وحدها لعمليات الوصول تلك ولكنها
تتجاوزها عبر تقنيات أخرى تشمل الإنترانت والأكسترانت والوصول عن بعد
Remote وفيما يلي تلخصيا لهذة التقنيات ويقابلها التعرف على خصائصها
بواسطة خاصية تقفي الأثر Traceroute :


1) الإنترنت


- يستخدم تقفي الإثر في الإنترنت لإستخلاص
الأمور التالية:


- أسماء الميادين


- كتل الشبكات


- عناوين IP محددة لأنظمة قابلة للوصول عبر
الإنترنت


- خدمات TCP تعمل على كل نظام تم التعرف
علية


- بنية النظام


- تعداد النظام (اسماء المستخدمين
والمجموعات ومعلومات snmp )


2) الإنترانت


- بروتوكولات الشبكة المستخدمة ( على سبيل
المثال IP ، IPX ، DecNET )


- اسماء الميادين الداخلية


- كتل الشبكات


- عناوين IP محددة للأنظمة القابلة للوصول
عبر خدمات TCP/UDP للإنترانت التي تعمل على كل نظام تعمل عليه



- بنية النظام


- اليات التحكم بالوصول ولوائح التحكم
بالوصول المتعلقة


- انظمة التقاط الدخلاء


- تعداد النظام ( اسماء المستخدمين
والمجموعات وملصقات النظام وجدول التوجيه و معلومات SNMP )



3) الوصول عن بعد


- ارقام الهواتف الرقمية


- نوع النظام البعيد


- اليات التحقق من صحة المعلومات



4) الإكسترانت


- مصدر ووجهة الوصلة


- نوع الوصله


- الية التحكم بالوصول


1) تقفي الإثر على الإنترنت



تذكر هنا بأن عنوان هذه الدورة الدراسية
(الدفاع المضاد) ويقصد به الدفاع عن عمليات الاختراق التي تغزوا
بريدك الإلكتروني ، كمبيوترك الشخصي بالبيت او المكتب ، موقعك الخاص
على الشبكة العالمية، متجرك الإلكتروني على الإنترنت وأخيرا شخصيتك
الحقيقية التي تخفيها خلف قناع الإنترنت بأختراق مضاد للمخترق . ومن
هنا وإبتداء من السطر القادم بهذة الدورة الدراسية سأبداء بخطوات
(الدفاع المضاد) والتي من خلالها سيخرج القراء بحصيلة تقنية متشعبة
تمدهم بالمعلومات اللازمة للحماية ولكن ليس من اجل الوقاية كما سبق
تعلمه بالدورتين الدراستين السابقتين ، وإنما كأساس للنيل من
المخترقين وصد إختراقاتهم المنظمة والعشوائية عليهم.


مع أن العديد من تقنيات تقفي الأثر متماثلة
عبر التكنولوجيا المتعددة (الإنترنت والإنترانيت) فأننا هنا سنركز
على تقفي الأثر لوصلات الإنترنت فقط .


إن البند الأول الذي يجب أن تعالجه هو
تحديد مدى نشاط تقفي الأثر الذي تريده. هل ستتقفى اثر منظمة بكاملها
ام أنك ستكتفي بتحديد نشاط معين على مواقع محددة ( على سبيل المثال
البريد الإلكتروني )


أ) عملية البحث المفتوح


كنقطة بداية استخدم بشكل جيد صفحة بدء
المؤسسة الهدف ، تقدم صفحة البدء مقدارا لابأس به من المعلومات يمكن
ان تساعد المهاجمين ، لقد رأينا فعلا بعض الشركات تسرد خيارات إعداد
الأمن لجدران النار الخاصة بهم مباشرة على ملقم ويب الإنترنت الخاص
بهم . بعض المواد المهمة الأخرى تضم التالي:


الأماكن - الشركات او الكينونات المرتبطة



- اخبار الدمج والتحصيل


- ارقام الهواتف


- اسماء الإتصال وعناوين البريد الإلكتروني



- سياسات الأمن والخصوصية التي تشير الي
انواع اليات الأمن الموضوعة


- ارتباطات الي ملقمات ويب اخرى مرتبطة
بالمؤسسة


بالإضافة الي ذلك راجع شيفرة مصدر HTML ،
إن عرض شيفرة المصدر بدون اتصال قد تكون اوضح من عرضها اثناء الإتصال
، لذا من المفيد دوما عكس موقع بأكمله من اجل عرضه بدون اتصال، إن
الحصول على نسخة من الموقع محليا قد تسمح لك بأن تبحث برمجيا عن
البنود المهمة الأخرى وتجعل بذلك عملية تقفي الأثر اكثر فعاليه.
إنWget (ftp://gnkilux.ce.fer.hr/pub/unix/util/wget) من اجل UNIX و
teleport Pro

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
من اجل ويندوز هما اداتان عظيمتان لعكس مواقع ويب بأكملها.



وبعد دراسة صفحات الويب ، تستطيع أن تؤدي
عمليات بحث مفتوحة من اجل المعلومات المتعلقة بالهدف، ويمكن أن تقدم
مقالات الأخبار وإصدارات الصحف وغيرها دلائل إضافية حول وضع المؤسسة
ومخطط الأمن بها . تقدم مواقع مثل [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
و[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] بحرا من المعلومات. بل إنك يمكنك أن تتعقب
شركة تعتمد على الإنترنت بشكل اساسي حيث تجد بأن لديها حوادث أمنية
متعدده عن طريق البحث عن قصص الأخبار المتعلقة بها ويكفيك في هذة
الحالة محرك البحث الذي تختاره من اجل هذة المهمة وعلى كل حال هناك
ادوات بحث متقدمه اكثر ومعايير تستطيع ان تستخدمها لكي تكشف معلومات
اضافية ومن هذة الأدوات مجموعة FerretPRO [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] اخيرا
تستطيع أن تستخدم إمكانات البحث المتقدمة لبعض محركات البحث المعروفة
مثل ياهو والتافيستا وهوتبوت وغيرها.


ب) تعداد الشبكة


تستخدم عملية تعداد الشبكة في التعرف على
اسماء الميادين حيث تمثل اسماء الميادين حضور المؤسسة على الإنترنت
وهي المكافئ على الإنترنت لأسم المؤسسة .


لكي تقوم بتعداد هذة الميادين وتبداء
بأكتشاف الشبكات المقترنه بها يجب ان تجوب الإنترنت. يوجد هناك قواعد
بيانات whois متعدده تستطيع أن تستعملها وسوف تقدم لك ثروة من
المعلومات حول كينونة تحاول ان تقتفي اثرها . يوجد هناك اليات مختلفة
عديدة لإستعلام قواعد البيانات whois المتنوعة من اهم هذة المصادر

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] يمكن أن
يتم الكشف عن معلومات مختلفة مع كل استعلام حيث تقدم انواع
الإستعلامات التالية معظم المعلومات التي يستخدمها المخترقون لبدء
هجومهم:


شركة التسجيل: تعرض معلومات شركة تسجيل
محدوده وملقمات whois المقترنة بها. التنظيمية: تعرض كل المعلومات
المتعلقة بالمنظمة المحددة. الميدان: يعرض كل المعلومات المتعلقة
بميدان محدد. الشبكة: تعرض كل المعلومات المتعلقة بشبكة محددة او
عنوان IP مفرد. نقطة الإتصال: POC تعرض كل المعلومات المتعلقة بشخص
محدد ، عادة مسؤول الإتصال الإداري.


ج) إستجواب DNS


بعد التعرف على كل الميادين المقترنه
تستطيع أن تبدأ بإستعلام DNS ، إن إستعلام DNS هو قاعدة بيانات موزعة
تستخدم لتقابل عناوين IP مع اسماء مضيفين والعكس بالعكس . إذا كان
DNS معدا اصلا بشكل غير امن ، من الممكن الحصول على معلومات مهمة حول
المؤسسة. إن احد اكثر الأخطاء الشائعة التي يمكن أن يرتكبها مدير
النظام هي السماح لمستخدمي إنترنت غير الموثوقين بأداء عملية نقل
منطقة Zone Transfer.


يسمح نقل المنطقة لملقم ثانوي بأن يحث
قاعدة بيانات منطقته. إن هذا يتسبب عند تشغيل DNS في وجوب عدم اتاحة
الأسم الأولي وعلى كل حال فإن العديد من ملقمات DNS معدة بشكل سئ
وتقدم نسخة من منطقة لأي شخص يطلبها حيث تعطي هذة النتيجة اسماء
المضيفات الداخلية وعناوين IP وهي الهدف الذي ينشده المخترق لأن
إعطاء عناوين IP الداخلية لمستخدم غير موثوق عبر الإنترنت هو مماثل
لتقديم مخطط عمل كامل او مخطط الطريق للشبكة الداخلية في الشركة.



الخلاصة



كما رأيت توجد هناك طرق عديدة يستطيع أن
يتعرف بها المخترقون على الشبكات والمواقع ويتقفون اثرها ، لقد حددنا
في نقاشنا الأدوات والتقنيات الشائعة فقط وهناك ادوات جديدة تصدر كل
يوم ، وأكثر من ذلك لقد اخترنا مثالا بسيطا لتوضيح مفاهيم تقفي الأثر
وهو بطبيعة الحال قد رسم صورة ذهنية لما يقوم به المخترقون لرصد هدف
معين ( بريد اليكتروني ، موقع على الإنترنت ، شبكة محلية Intranet
مرتبطة بالأنترنت) قبل المباشرة بمهاجمته . إن الفكرة العامه تعني أن
عمليات الإختراق الناجحة تتقدمها عمليات رصد مضنية ولايكتب النجاح
للإختراق إلا عبر عمليات الرصد المسبوقة تلك.


سنتطرق في الحلقة الدراسية القادمة الي
الأساس الثاني من الخطوة الأولى للدفاع المضاد :












2) المسح Scanning




كان الغرض من تقفي الأثر دراسة مكان الحصول
على المعلومات الخاصة بالهدف ، وكما اشرنا في بداية الدورة الدراسية
بأن ألأسس الثلاث للخطوة الأولى مترابطة ، فإن المسح هنا يكمل الأساس
الأول (تقفي الأثر) للنقر على الجدران من أجل البحث عن المنافذ التي
يمكن عن طريقها استغلالها للدخول الي الموقع المستهدف.



لقد حصلنا في تقفي الأثر على لائحة بعناوين
الشبكة وعناوين IP من خلال استعلام whois وعمليات تحميل نقل المناطق
حيث تقدم تلك التقنيات معطيات قيمة للمهاجمين بما في ذلك اسماء
المستخدمين وارقام الهواتف ونطاقات عناوين IP وملقمات DNS وملقمات
البريد، والأن سنحدد ماهي الأنظمة الفعالة القابلة للوصول من
الإنترنت بإستخدام ادوات متنوعة وتقنيات الرسائل المرجعية ping ومسح
المنافذ scanning.


أنواع المسح


1) مسح وصلة TCP يتصل هذا النوع من المسح
مع المنفذ الهدف وينجز مصافحة كاملة ثلاثية الطرق ack, syn/ack, syn
يتم التقاطه بسهولة من قبل النظام الهدف.


2) مسح tcp/syn تدعى هذة التقنية المسح نصف
المفتوح لأنه لاتقام وصلة tcp كاملة بل يتم ارسال رزمة syn الى
المنفذ الهدف


3) مسح TCP FIN ترسل هذه التقنية رزمة FIN
الي المنفذ الهدف.


4) مسح tcp xmas tree ترسل هذة التقنية
رزمة push, urg, fin الي المنفذ الهدف


5) مسح tcp null تلغي هذة التقنية كل
الإعلام من اجل محاولة فتح كل المنافذ المغلقة


6) مسح TCP Windows هذة التقنية خاصة
بأنظمة ويندوز وهي الأكثر شعبية وتسخدم لالتقاط المنافذ المفتوحة
وكذلك المنافذ المصفاة والغير مصفاه بسبب العطل في الطريقة التي يتم
فيها تقرير حجم إطار tcp


7) مسح TCP RCP هذة التقنية خاصة بأنظمة
UNIX وتستخدم لإلتقاط منافذ استتدعاء الأجزاء عن بعد RPC والبرامج
المقترنه بها ورقم الإصدار


مسح TCP ACK تستخدم هذة التقنية لتخطيط
قواعد جدران النار .


ماسحات المنافذ التي تعتمد على الويندوز



معظم القراء إن لم يكن كلهم يستخدم
الويندوز كبيئة نظامية لتشغيل اجهزتهم ، بل وبصدور ويندوز 2000 تمت
هجرة كثير من الشركات والمؤسسات ومزودي خدمة الإنترنت اليه ، ولهذا
فأنني سأعتمد نظام الويندوز كمقياس في هذة العجالة وساتطرق لتقنيات
المسح الخاصة به والتي يمكن تنزيلها مباشرة من الشبكة العالمية.



1) المسح بواسطة الدوس DOS


أ) تطبيق هجوم DOS على ملقم Telent لويندوز
2000


تم إكتشاف هذة الطريقة بواسطة مختبرات
SecureXpert
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
وتتضمن ارسال سلسة من الأصفار الي الخدمة Microsoft Telent Service
مما يؤدي الي انهيار الخدمة وبالتالي يؤدي ذلك الي انهيار النظام
الهدف.


ب) هجوم DOS لخداع برتوكول ملقم NetBIOS



في يوليو 2000 اكتشفت مختبرات COVERT

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] بأن المخترق
يستطيع ارسال رسالة تعارض في اسم NetBIOS الي الخدمة NetBIOS Name
Service حتى حينما لايكون جهاز الإستقبال في حالة تسجيل اسم NetBIOS
الخاص به وهذا الوضع يؤدي الي تعارض في الأسماء ولايمكن للنظام
الأستمرار في العمل بعد ذلك لأنه يمنع فعالية النظام في المشاركة في
جزء NetBIOS من الشبكة.


ج) ارسال الرسائل المرجعية التقليدية ping
في بيئة الدوس


تؤدي الرسائل المرجعية ping إذا الحقت
بالباروميتر t الي تنفيذ اجراء تلقائي للرد في حلقة دائرية غير
منتهية حينما ترسل دفعة واحدة الي النظام الهدف عبر اكثر من مخترق في
وقت واحد


2) SuprScan


إن هذة التقنية من

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] هي
إحدى اكثر ماسحات منافذ TCP سرعة ومرونه وهي تسمح ايضا بتحديد مرن
لعنوان IP للهدف ولوائح المنافذ حيث تمسح Scan اي ملف في النظام
الهدف وتستخرج عناوين IP واسماء مضيفات .


3) WinScan


يمكن تنزيل هذة التقنية الحرة مباشرة من
موقع
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
وهي ماسح منافذ TCP مجاني ويستخدم عادة في إصدار سطر الأوامر للنصوص
البرمجية لقدرته على مسح شبكات من حجم Class C وكذلك للنتائج الجيدة
التي يستخرجها ولسهولة استخدامه.


4) WUPS


ماسح خاص للمنافذ ups إلا انه يمسح مضيف
واحد من اجل منافذ محدده يمكن الحصول عليه من

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



5) Pinger


ماسح فردي لبيئة انظمة ويندوز المختلفة :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



6) ماسحات موقع ZdNet


من أجل الأمان تتوفر عدة ادوات للمسح بموقع
ZdNet
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] من اشهرها
portscan الخاص برصد المنافذ المفتوحة على الأجهزة الشخصية واغلالقها
عن بعد.


[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



الخلاصة :


لقد غطينا الأدوات والتقنيات المطلوبة
لإداء عمليات الكشف Scanning في كل من TCP و ICMP . تستطيع بأستخدام
ادوات الكشف أن تتعرف على انظمة التشغيل وتكتشف هوية الهدف . تستطيع
أن تتعرف على خدماته ، وأخيرا لقد وضحت كيف يمكن للمخترقين أن
يستخدموا برمجيات التقاط نظام التشغيل عن بعد لكي يحددوا بدقة نظام
التشغيل الخاص للهدف وهو الثلث الأول لإنجاز مهمة الإختراق . وفي
الحلقات الدراسية القادمة من هذة الدورة سترى أن المعطيات المجمعة
حتى الأن حساسة لبناء دفاع مضاد ومركز عن عرينك ( جهازك الشخصي ،
بريدك الإلكتروني وموقعك الشخصي على الشبكة العالمية)



في الحلقة الدراسية القادمة سنتعرف سوية إن
شاء الله على الأساس الثالث والأخير من الخطوة الأولى للدفاع المضاد
:


3) التـعـــداد Enumeration

التـعـــداد





3) التـعـــداد Enumeration



تلاحظون معي بأن عمليات إختراق المواقع
لاتحتاج الي تطبيقات خاصة بالقدر الذي توفره تقنيات جمع المعلومات
وقد تطرقنا الي تقنيتين مهما لتنفيذ هذا الأمر واليوم سنناقش الثالثة
وهي التعداد.


يساهم التعداد في التعرف على حسابات او
تشاركات في موارد محمية بالنظام قد تتسرب من الثغرات التالية:



1) موارد وتشارك الشبكة


2) المستخدمون والمجموعات


3) التطبيقات والملصقات


إن تقنية التعداد هي في معظم الأوقات تختص
بنظام التشغيل ويتم استهدافها عن طريق المعلومات المجمعة في الأساسين
السابقين للدفاع المضاد ( تقفي الأثر والمسح) .


1) تعداد موارد تشارك الشبكة



إن التقنيات والأدوات للبحث عن روابط تعداد
موارد الشبكة في بيئتي ويندوز 2000 و NT متاحة فورا في الـ NetBIO
وTCP/IP وهي مبيته ضمن بيئة نظام التشغيل نفسه ولتنفيذ تعداد الشبكة
هذة نحتاج الي الأمر net view وهو اداة مثالية من ادوات التعداد
المبيته وهي اداة سطر اوامر بسيطة في الويندوز 2000 و NT . ايضا هناك
اداتين اخرتين في كلا نظامي التشغيل وهما nbtstat و nbtscan وهما
اداتان عظيمتان لإستخراج المضيفات التي تشغل ويندوز على الشبكة جرب
ان تشغلهما ضمن المواقع الكبيرة على الشبكة العالمية وسترى مايعنيه
ذلك.


2) تعداد مجموعات مستخدمي ويندوز 2000و NT



لسؤ الحظ فإن اجهزة الكمبيوتر المزودة
بأنظمة تشغيل ويندوز 2000 و NT والمعدة بشكل غير صحيح – وهي كثيرة
بالعالم العربي- تقدم معلومات المستخدم بالسهولة نفسها التي تكتشف
فيها التشاركات كما رأينا في تعداد موارد تشارك الشبكة . حيث أن
تعداد المستخدمين في جدول اسماء NetBIOS لاتتطلب جلسة طويله وتظهر
اسماء المستخدمين بعدة نقرات على لوحة المفاتيح.


3) تعداد ملصق تطبيقات ويندوز 2000 و NT



يوفر ملصق تطبيقات ويندوز الحصول على مزيد
من المعلومات حول النظام عن بعد . إن الإتصال بالتطبيقات البعيدة
ومراقبة الخرج غالبا ما يستخرج ملصق النظام ويمكن ان يكون ذلك مفيدا
بشكل كبير للمخترق عن بعد، فعلى الأقل سيتعرف على البرمجيات التي
تعمل على الملقم واصداراتها وهو كافيا في العديد من حالات بدء البحث
عن نقاط الضعف. لتنفيذ التقاط الملصق افتح وصلة telent الي منفذ معرف
على الملقم الهدف ثم اضغط على Enter عددا من المرات إذا لزم الأمر
وانظر الي النتيجة التي ستظهر امامك على الشاشة.


الملخص
:


إن المعلومات هي الأداة القوية الوحيدة
المتاحة للمخترقين بل هي متاحة للجميع إن احسنوا استغلالها . هناك
العديد من نقاط الضعف في انظمة التشغيل بعضها اكتشف وبعضها الأخر لم
يكتشف بعد وهي اساس عمليات اختراق تلك الأنظمة ، فحين نجد أن اختراق
الإجهزة الشخصية عن بعد يحتاج الي تطبيقات خاصة وزراعة ملف الخادم في
جهاز الضحية ، نجد أن إختراق الأنظمة لاتحتاج الا الي البحث عن نقاط
الضعف بها واستغلالها للدخول ، هذة الثغرات الأمنية هي حلقة الوصل
الوحيدة بين الدخول للنظام وتغير كينونته وبين البقاء بعيدا كبقية
زائري الموقع.


في الحلقة الدراسية الثانية من دورة
المنطقة الأمنية II (الدفاع المضاد) سنناقش ميكانيكية الدفاع
المضادعن الأجهزة الشخصية المرتبطة بالشبكة العالمية وكيف ترد عملية
إختراق جهازك الشخصي بإختراق مضاد على جهاز المخترق ، ايضا سنناقش
غزوا القنابل البريدية وكيف تحول مسارها من بريدك الي بريد مموه .
هناك الكثير من زوار الساحة العربية وموقع Aims on Line

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
يطلبون مني دوما عبر البريد الألكتروني إعادة حسابات بريدهم
الإلكتروني الذي سرق منهم ، سنتطرق الي ميكانيكية استعادة تلك
الحسابات في الحلقات القادمة من الدورة الدراسية إن شاء الله.

الحلقة الدراسية الثانية : الــدفــــاع
المــضــــاد




إن القاعدة الدفاعية المتعارف عليها تقول "
خير وسيلة للدفاع ... الهجوم" ، ونحن في هذه الدورة الدراسية سنطبقها
كمبدأ وأساس ولكننا سنستعيض عن تعبير الهجوم بتعبير أخر أشمل وأقوى
هو "الدفاع المضاد" لأن الغرض من الدورة الدراسية الدفاع واما الهجوم
فنتركه للهاكرز لأننا لن نهاجم أجهزة شخصية او أنظمة ومنشئات مالم
يشن اصحابها هجومهم على اجهزتنا وانظمتنا ومنشآتنا .


في هذه الحلقة الثانية من دورة المنطقة
الأمنية II (الدفاع المضاد) سنناقش ميكانيكية صد إختراق الأجهزة
والمواقع الشخصية بأختراق مضاد وسنستخدم التقنيات التي تمت مناقشتها
في الحلقة الأولى من الدورة الدراسية حيث سنطبق ماتعلمناه بها فعليا
في هذه الحلقة ، ايضا سنستعين ببعض التطبيقات الخارجية للمساندة في
صد محاولات إختراق أجهزتنا ومواقعنا الشخصية وعكسها على جهاز المخترق
نفسه، وسنستعين بها كذلك في رصد وصد القنابل البريدية وتحويل مسارها
الي رصيد بريدي وهمي اخر . سنناقش ايضا إستعادة ارصدة البريد
المسروقة وميكانيكية حماية البريد الإلكتروني من السرقة.

تعرف على أهداف مخترق جهازك





قبل الخوض في غمار صد عمليات الأختراق
بأختراق مضاد ، علينا اولا ان نعرف هل تعرضت كمبيوتراتنا لعمليات
اختراق مباشر من خلال زرع فيروسات التروجان عبر البورتات او المنافذ
المفتوحة او غير مباشر (مقنن) بواسطة سكريبتات الجافا والسي جي أي
والكوكيز المرفقة ضمن بانارات الإعلانات المصاحبة للمواقع التي يتم
تصفحهما.


إن اي تغيير مفاجئ يظهر في حثيثيات الجهاز
قد يدل على عملية إختراق مبطنه حتى عند تزويد الجهاز بجدار ناري عصري
مالم يتم تحديثه بشكل دوري ، فملفات التروجان تتجدد بتجدد عمليت
الإختراق المبطنه ذاتها . إن ظهور اي تغيير مهما كان صغيرا في شاشة
إقلاع الجهاز عند بدء التشغيل هو دلالة واضحة على نجاح عملية إختراق
مبطنه ، وكذلك هو الحال عند إكتشاف ظهور ملفات جديدة بشكل مفاجئ في
ادله القرص الصلب ، حيث أن طرق إختراق الأجهزة تجاوزت زرع ملفات
التجسس بسجل الويندوز او الريجستري كا جرت عليه العادة واصبحت تلك
الملفات تزرع مباشرة ضمن القرص الصلب او ضمن سطح المكتب او على شريحة
البايوس مباشرة وإن تكرار البطئ المفاجئ المصاحب لتحميل المواقع او
التطبيقات الجديدة او عند تنزيل البرامج من الأنترنت كلها إشارة علي
وجود عمليات إختراق مبطنه في اغلب الأحايين.


وكخلاصة لاتعتمد كليا على الجدران النارية
التي حملتها مؤخرا على جهازك ، بل داوم بشكل تلقائي على تحديثها
دوريا لتضمن تحقيق الفائدة المرجوه منها . لاحظ كذلك ظهور اي تغيير
طارئ على شاشة البداية عند اقلاع الجهاز فهي دليل قوي على وجود عملية
اختراق مبطنه . لاتستهين باية ملاحظة تلحظها في مكونات الجهاز
الظاهرية فأن ملفات التجسس تتخذ اشكال قد لاتخطر على بالك ، فليس سجل
الجهاز او الريجستري هو المكان الوحيد الذي يمكن ان تتواجد به بل
انها قد تظهر على سطح المكتب من باب المراوغة لهذا انصحك بأجراء
الإختبارين المبينين في اخر هذا الدرس لتلغي الشك وتحل محله اليقين.



الإختراق المباشر والإختراق المبطن :



شرحنا في دورة الإختراق – الدفاع الذاتي
طرق وميكانيكية الإختراق ، ورغم أن طرق الأختراق قد تطورت بتطور
التقنية ذاتها ، إلا أن الميكانيكية بقيت على حالها حيث التطبيق
الرئيسي على جهاز المخترق والخادم (السيرفر) يزرع بجهاز الضحية، إلا
أن تطور طرق الإختراق بأستخدام سكريبتات الجافا وملفات الكوكيز أثمرت
في تجاوز الجدران النارية حيث تحمل ملفات التجسس تلقائيا عبر
بارنارات الإعلانات المصاحبة للمواقع او من خلال مرفقات رسائل
الماسنجر الخاص بمايكروسوفت حيث لايرصدها هنا الجدرا الناري ويعتبرها
من بنود بروتوكولات الإتصال وهذا مايطلق عليه الإختراق المبطن لأنه
ليس مباشر او صريح ، وعلى كل حال هو ليس بمضر كثيرا لأنه احصائي
والمضرة الوحيدة التي قد يسببها هو إعادة ارسال بريد الضحية
الإلكتروني لمواقع مشابههة اخرى ترتبط مع موقع صاحب بانر الإعلان .
أأدركت الأن السبب في وصول رسائل بريدية اليك من جهات مجهولة ؟؟
أأدركت أنى لهم معرفة بريدك الإلكتروني .


إستثمار التحليل الإرتباطي :



ذكرت لك في مقدمة هذا الدرس أن الجدران
النارية لايمكن الأعتماد عليها كليا في الحصانه من محاولات الأختراق
المباشر او المبطن إن لم يتم تحديثها اولا بأول ، وذكرت كذلك أن
ملفات التجسس المصاحبة لإعلانات الإنترنت تتجاوز سكريبتات الجافا
والكوكيز المحملة بها الجدران النارية حيث تعتبرها من بروتوكولات
الإتصال فتسمح لها بالمرور ضمن المنذ 80 او 8080 وهما المنفذات
الخاصان بأتصالك بالأنترنت عبر مزود الخدمة المحلي ، لذا عليك القيام
بأجراء إختبارين صغيرين لضمان سلامة جهازك من تلك الملفات والتخلص
منهم كليا إن وجدت.


الإختبار الأول سيبحث في كل مكونات جهازك
بدءا من الأقراص الصلبه ومرورا بالذاكرة العشوائية وأنتهاءً بسجل
الويندوز او الريجستري ، وسيحدد لك عدد واسم ونوع كل ملف تجسسي إن
وجد ثم أنه سيتلف ذلك الملف دون المساس بالملفات الأخرى او التعرض
لها. هذا الإختبار متوفر على شكل بريمج تطبيقي يمكنك تنزيله مباشرة
من الموقع التالي:





[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



اما الإختبار الثاني فأنه لايقل أهمية عن
الأول ، فإن كنت تحمل جدارا ناريا على جهازك فتأكد اولا انه قد تم
تحديثه لأن هناك ملفات تجسسية من نوع التروجينان تخترع يوميا وتنشر
على الشبكة العالمية ، فإن لم تقم بتحديث جدارك الناري ، فإن احد تلك
الترجينات في امكانه الدخول الي جهازك عبر المنفذ 80 او 8080 ومن ثم
فتح منافذ جديدة ليقوم المخترق عبرها بأرسال ملفه الخادم الي جهازك
ليخترقه دون علم منك مع وجود الجدرا الناري محملا بجهازك. الهدف من
الإختبار الثاني هذا هو البحث عن المنافذ المفتوحه بجهازك - إن وجدت
- وتحديد اسم وموقع الملف التجسسي الذي فتحها ليتسنى لك التخلص منه
لاحقا علما بأن هذا الأختبار لا يقوم بإغلاق المنفذ المفتوح ولإغلاق
المنافذ المفتوحة عليك تحديث جدارك الناري الذي سيؤدي هذه المهمة
تلقائيا نيابة عنك . لإجراء عملية مسح شامل لجهازك والتأكد من عدم
وجود منافذ مفتوحة به فضلا اضغط على الرابط ادناه ثم اضغط على زر
START CHECK




[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



الخلاصة:


لن يستطيع أي مخترق محترف مهما تمكن من
الإحتراف من تجاوز الحد الفاصل بين جهازك وجهازه مالم يزرع احد ملفات
التجسس من نوع احصنة طروادة (تروجان) بجهازك، وهو بطبيعة الحال لن
يستطيع زرعه في عدم وجود منفذ يعبر من خلاله ، ولذا إحرص على عدم
إتاحة هذه الفرصة له بتزويد جهازك بجدار ناري صلد واحرص على تحديثة.
إن لكل تروجان منفذ معين يدخل عن طريقه للأجهزة وان المنفذين
التقليديين 80 و 8080 لايخدمان ملفات التجسس من هذا النوع بشكل مباشر
إلا انهما يستغلان في تمرير سكريبتات الجافا والسي جي أي وملفات
الكوكيز التي تتجاوز الجدران النارية لأنها تكون من ضمن بروتوكولات
الإتصال المتعارف عليها ولهذا عليك الكشف على جهازك عن طريق
الأختبارين السابقين اعلاه لضمان سلامته من الإختراق فإن اخفق
الإختباران ودلت التقارير المبدئية على وجود ملفات تجسسية او منافذ
مفتوحة بجهازك ، فهنا ياتي دورك في اعادة الإختراق الي مصدره وبصيغة
اخرى إختراق جهاز المخترق لجهازك وهذا ماسنتطرق اليه في الحلقة
الدراسية القادمة إن شاء الله.

رد الاعتبار




لو سألت أي مخترق محترف للأجهزة الشخصية عن
تجربة الإختراق لنصحك بعدم محاولة الأقدام على ذلك ، ليس لأنها تجربة
مضنية فحسب ، بل لكونها تتسم بالخطورة على جهازك الشخصي انت قبل
خطورتها على اجهزة الضحايا .. كيف ؟


من المتعارف عليه أن نجاح عمليات الإختراق
يعتمد اساسا على عاملين ، المنافذ المفتوحة بالأجهزة وزراعة الخادم
بتلك الأجهزة عبر المنافذ المفتوحة به. لن نعيد ميكانيكية الإختراق
هنا التي تم شرحها بدورة الإختراق – الدفاع الذاتي ، ولكننا سنركز
على عامل المنافذ المفتوحة حيث انه احد السبل للنيل من المخترق ورد
إختراقه لأجهزتنا عليه وهو ماعنوت به هذة الحلقة الدراسية .



في رد الأعتبار سنتطرق الي ثلاثة اسس للنيل
من المخترق ولن نكتفي بصد إختراقه عبر التطبيقات المتخصصة لهذا الغرض
، بل سنتجاوز الحد الفاصل بين صد الأختراق على اجهزتنا واختراق جهاز
المخترق ذاته. هذه الأسس الثلاث تستند في مجملها على عاملي السرعة
والمباغته ، السرعة في صد إختراق محاوله المخترق والمباغته في اختراق
جهازه عن بعد وهو على الخط on-line ورغم ذلك فأن هذا التجاوز في الحد
الفاصل لايخلوا من المجازفة .


الأسس الثلاث


--------------


تعتمد هذه الأسس على تطبيقات خارجية الأساس
الأول منها يعتمد كليا على نفس التطبيق الذي استخدمه المخترق في
محاولة إختراقة بينما يعتمد الأساسين الأخرين على تطبيقات خارجة
سنذكرها تباعا لاحقا.


الأساس الأول ( المجازفة ام الخمول )



--------------------------------------



كما ذكرنا انفا لن ينجح المخترق في محاولته
إختراق اجهزتنا مالم تكن هناك منافذ ports مفتوحة بأجهزتنا وقد بينت
الطريقة لأكتشاف ذلك في الإختبار الذي ذكرته بالحلقة الدراسية
السابقة . مبدئيا إن كانت هناك منافذ مفتوحة فسيبين لك الأختبار
ارقام كل منفذ وسيعطيك التقرير اسم الخادم الذي يستخدمه المخترق
وبالتالي ستتعرف تلقائيا على اسم التطبيق الذي يستخدمه المخترق في
محاولته وهو الخيط الرفيع الذي سيدلك على إعادة اختراقه عليه .



تذكر بأن المخترق لكي يصل الي جهازك عبر
المنفذ المفتوح به لن يتمكن من ذلك إن لم يكن هناك اصلا منفذا مفتوحا
بجهازه هو ، وبصيغة اخرى لابد من وجود قناة اتصال بينكما وهذه هي
المجازفة الحقيقية التي على المخترق دفع ضريبتها وهي الأساس الأول في
صد إختراقه عليه.


إن التقرير الذي تستخلصه من الاختبار
السابق سيدلك على رقم المنفذ واسم الخادم الذي يعبر بواسطته المخترق
الي جهازك وهما نفسهما اللذين سيؤهلانك لرد اعتبارك وإعادة اختراقه
عليه . انظر الي رقم المنفذ ثم انظر الي اسم الخادم ويمكنك بعد ذلك
تحديد اسم التطبيق الذي يستخدمه المخترق ضدك ، والأن جاء دورك أنت .



ستجد كثير من تطبيقات وبرامج الإختراق
بالشبكة العالمية ، فقط ادخل اسم التطبيق الذي يستخدمه المخترق تجاهك
في أي محرك بحث وستحصل على قائمة بالمواقع التي يمكن تنزيل التطبيق
المطلوب منها، الأن اوقف الجدار الناري بجهازك وكذلك اوقف برنامج
مضاد الفيروسات لأنهما سيعيقان عملك ثم حمل التطبيق على جهازك وبعد
تحميله إقراء ملف Read me لتتعرف على طريقة استخدامه ، ثم اتبع خطوات
الاختراق وهي كلها متشابه في جميع التطبيقات حيث عليك ادخال رقم الأي
بي الخاص بالمخترق والذي حصلت عليه من الإختبار السابق ثم ارسل اليه
السيرفر ( الخادم ) الخاص - الذي حمل مع التطبيق- عبر المنفذ المفتوح
بجهازه وبذا تكون قد زرعت الخادم هناك ولايبقى امامك إلا ارسال رساله
تحذيريه اليه عبر الخادم.


إن هذا الأساس الأول لايحتاج الي جهد كبير
للقيام به بقدر مايحتاج الي عاملي السرعة والمباغته ، لأنه يجب عليك
انجازه في نفس الوقت الذي يكون فيه المخترق على الخط وهو بطبيعة
الحال لن يشعر برد الإعتبار لأن نفس المنفذين بينكما مفتوحين في ذات
الوقت وكل منكما يخترق جهاز الأخر إن صح التعبير ، ولكن إختراقك ردا
للأعتبار وعليك عدم تكراره بعد أن تترك رسالتك للمخترق وهي رساله
ليست كرسائل البريد الإلكتروني او الماسنجر ، إنما هي رسالة تحذيرية
تعبر من جهازك الي جهازه في نفس وقت اتصالكما بالإنترنت وستجد طريقة
إرسالها بنفس التطبيق الذي ستنزله من الشبكة العالمية.



تنتهي مهمتك هنا وعليك بعد هذا حذف التطبيق
واعادة تشغيل الجدار الناري ومضاد الفيروسات في جهازك ثم إجراء
الإختبارين السابقين لكي تتأكد من عدم وجود منافذ مفتوحة بجهازك او
ملقات تجسس جديدة.


الأساس الثاني


----------------


التطبيقات الخاصة


Hack Tracer


Black-ICE Defender


رغم أن الأساس الأول يستند على نفس مبداء
وميكانيكية وتقنيات المخترق ، إلا أنه من حيث المضمون أقوى الأسس لرد
الإعتبار بالرغم من صعوبة تطبيقه في بعض الأحوال . مبدئيا الأساسين
الأخرين يعملان تلقائيا عبر تطبيقات خاصة تعتمد في مجملها على
الجدران النارية حيث يتم اعادة محاولة المخترق عليه تلقائيا ودون
تدخل يذكر من المستخدم ، إلا انهما بحاجة الي شئ من الشرح لللحصول
على افضل النتائج


التطبيق الأول خارجي سنحدد الرابط الخاص
بتنزيله من الشبكة العالمية وسنشرح طريقة إستخدامه مفصلا في الحلقة
التالية من هذة الدورة الدراسية إن شاء الله تعالى.


اما التطبيق الثاني فالكثير يعرفونه
ويستخدمونه إلا انهم لايدركون ميكانيكية رد الإعتبار المنطوية به
وسنشرحها إن شاء الله في الحلقة مابعد القادمة من الدورة الدراسية.

التطبيقات الخاصة : التطبيق الأول





الأساس الثاني


التطبيقات الخاصة


التطبيق الاول : Hack Tracer



إضغط الرابط ادناه لمشاهدة ميكانيكية عمل
هذا التطبيق .





[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



والأن إقراء عن ميكانيكية تطبيق Hack
Tracer في السطور التالية :


Hack Tracer is an intrusion detection and
prevention tool. It blocks unwanted traffic, logs the contact, and
allows you to easily trace the potential hacker back to the
source. Hack Tracer also gives you access to a user community
working together to defend itself from hackers and other potential
threats.


Using Hack Tracer is very simple. You
install it and go. Hack Tracer will block any unwanted traffic
from reaching your system. Unlike lesser protection systems and
'evil port monitors' Hack Tracer is able to not only detect the
traffic but also track it back to it's source. Unwanted
connections are destroyed before they get to the Windows tcp/ip
stack, meaning total protection for you and 'stealth' mode when
you are connected to the internet.


الترجمة بمساعدة موقع المسبار



Hack Tracer أداة لكشف ومنع الإختراق .
يسدّ المرور الغير مرغوب به , يدوّن الاتّصال و يسمح لك بسهولة أن
تتتبّع المخترق وتعيد محاولة الإختراق الكامن إلى مصدره . يعطيك Hack
Tracer أيضًا الضمان التام للدّفاع عن نفسك من المخترقين ومن
التّهديدات الكامنة الأخرى بالأنترنت.


استعمال Hack Tracer بسيط للغاية ، حيث
خاصية ركّب و وحمل . ليبدا البرنامج عمله فورا في سدّ أيّ مرور غير
مرغوب فيه من بلوغ نظامك . وبخلاف نظم الحماية الأخرى يقطع هذا
التطبيق مراقبة المنافذ الفتوحة قبل عبور محاولات الإختراق الي جهازك
وهو قادر ليس فقط على اكتشاف المرور الغير مرغوب به الي جهازك ولكنّ
أيضًا يتعقّبه ويعيده الي مصدره مما يوفر لك الحماية القصوي والأمن
وفوق ذلك اعادة عملية الإختراق الي مصدرها او بصيغة اخرى اعادة
الإختراق الي مصدرة بأختراق مضاد موجه منك انت.


لتحميل البرنامج تفضل بزيارة موقع الشركة
المنتجة على الرابط التالي :



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



في الحلقة الأخيرة من هذة الدورة الدراسية
سنتطرق الي ميكانيكية التطبيق الثاني من اسس التطبيقات الشخصية لصد
الأختراق بأختراق مضاد وهو :


Black-ICE Defender

التطبيقات الخاصة : التطبيق الثاني





التطبيق الثاني : BlackICE Defender



تنحصر علاقتنا بتطبيقات وبرامج الكمبيوتر
في العالم العربي على استخدامها فقط دون محاولة التعرف على ميكانيكية
عملها او حتى القرائة المتعمقة حولها سواء في الكتيبات التي تصدر
معها او من خلال ماكتبه المراجعون من تقييم ذاتي لها . لذا تجدنا
لانستحوذ على الفائدة القصوى منها وهذا بالطبع يقلل من مقدار الفائدة
الجمه في مجملها.


برنامج الـ BlackICE Defender احد اروع
دروع تطبيقات الحماية التي جربته كثير من الشركات المتخصصة وزكته
اثنتي عشر مجلة تقننية عالمية وحصد نفس العدد من الجزائز التقديرية
وأختير كأشمل نظام حماية لعامي 1999 و 2000 على التوالي ، وأخيرا
أوصت به الجهات العليا للقطاعات العسكرية الأمريكية بوزارة الدفاع
الأمريكية " البنتاجون " كأفضل تطبيق للحماية الشخصية وحماية الخوادم
والشبكات المحلية.


لماذا كل هذا حول نظام الـ BlackICE
Defender ، هذا التسائل يجذبنا اليه ونستهدف منه نشر ميكانيكية هذا
النظام ، كيف يعمل ، وكيف يحدد طريقة المخترق ، وموقعه ، ومن ثم
ايقافه عند حده ، او اعادة عملية إختراقه عليه.


لنبداء من اسم النظام ذاته ، ماذا تعني
كلمه BlackICE


بالطبع لاتعني الثلج الأسود كما قد يتبادر
الي ذهنك من اول نظره ، لاحظ معي بأن كلمة Black قد كتبت بطريقة
مختلفه عن كلمة ICE وهذا يعني بأنهما معا تكونان كلمة مجازية تحوي
معنيين منفردين .


تتعدد طرق وأساليب المخترقتين لأنظمة الحوا
سيب الشخصية بتعدد تطبيقات وملفات وفيروسات الاختراقات ذاتها وهي
تقوم على ديناميكية واحدة حيث الخادم server و المستفيد client (راجع
دورة الاختراق والدفاع الذاتي المنشورة بالساحة العربية) .



وفي المقابل تتنوع برامج مضادات الاختراقات
بتنوع طرق الاختراق ذاتها ، فهناك ما هو مخصص لتطبيق معين ، وهناك
ماهو مخصص لملفات أحصنة طروادة التجسسية Trojans وهناك ماهو خاص
بالاتصال بالإنترنت عبر الكيبل او DSLاو الشبكات المحلية LAN او من
خلال الاتصال الفضائي ، او الاتصال عبر المودم عن طريق خط الهاتف
العادي dial-up .


ما يميز برنامج الـ BlackICE Defender عن
غيره خمسة أسس مترابطة:


أولا : هو البرنامج الوحيد الذي يجمع كل
الخصائص المذكورة أعلاه وفوق ذلك هو مخصص لكل أنظمة التشغيل من
ويندوز 95 و 98 و 98 الإصدار الثاني و ويندوز ميلينيوم ويندوز 2000
وأخيرا ويندوز إكس بي.


ثانيا: هو الوحيد الذي يملك محرك تقني
لتتبع حركة المخترقين ومعرفة أسلوب وطريقة هجومهم ليقوم تلقائيا
باتخاذ الإجراء المناسب لصد الهجوم ، ومتى ما شك في خداع المخترق له
فأنه يجعل جهاز المستخدم مخفيا stealth . تسمى هذه التقنية المتطورة
بأسم نظام التحري عن دور المخترق Intrusion Detection System وهي
تقنية حديثة واكثر تطورا مما تستخدمه محركات الأنظمة الأخرى بهذا
المجال.


ثالثا : هو نظام الحماية الوحيد الذي فاز
باثنتي عشر(12) جائزة عالمية من شركات تقنية مشهورة وهو النظام الذي
أقرته مجلة الـ PC الإصدارة الأمريكية ليكون نظام الحماية الخاص بعام
2000 للإطلاع على كافة الشهادات الدولية انتقل الي موقع الشركة
المنتجة : [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]


رابعا : مع كونه جدار ناري للأجهزة الشخصية
إلا انه يقوم كذلك بحماية الشبكات المنزلية حيث تتطلب فتح خصائص
المشاركة في الملفات والطابعات بين الأجهزة وهي ثغرة امنية يغطيها
البلاك ايس بكفائة.


خامسا وهو الأهم : هو النظام الوحيد الذي
لايكتفي بصد عمليات الإختراق فحسب ، بل يتجاوز هذا الحد بإعادة
محاولة الإختراق على مصدرها ، وبصيغة أخرى إعادة محاولة الإختراق
بإختراق مضاد.


حيث أن هناك الكثير من المراجع وكلها
بالأنجليزية تعطي الكثير الكثير من المعلومات حول هذا التطبيق ، لذا
فأنني سأكتفي بذكر الروابط الخاصة بها في هذة العجالة ، ويمكن للأخوة
الراغبين بالحصول على هذة المعلومات بالعربية الفصحى ، التفضل
باستخدام أحد مواقع ترجمة المواقع المذكورين بالرابط أدناه ، إلا
أنني سأركز على ميكانيكية إعادة محاولات المخترق عليه المدمجة ضمن
هذا التطبيق الممتاز لكونها الأساس الثاني من اسس التطبيقات الخاصة
يهذة الدورة الدراسية.



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]




[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]




----------------------------------------------------------------------------------------------------



( البرنامج ) رابط تنزيل البرنامج:






[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



( وارجوا مراسلتي على العنوان ادناه للحصول
على الرقم التسلسلي).


( كتيب التشغيل ) المرجع الكامل للـ
BlackICE Defender ( يجب ان يكون برنامج الإكروبات ريدر محملا
بجهازك) :





[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



أهم المراجع ذات الصلة بتطبيق الأساس
الثاني :


1) لماذا لاتكفي حماية الجدران النارية
التقليدية:




[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



2) المرجع للحماية المنزلية من عمليات
الإختراق الإنترنتية:





[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



3) الدفاع المضاد عبر الـ BlckICE Defender
:





[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



4) عميل الـ BlackICE Defender :






[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]




----------------------------------------------------------------------------------------------------



( الأساس الثاني ) ميكانيكية تتبع اثر
الغزاة "المخترقون" وإعادة محاولات إختراقهم عليهم :


حمل اولا كتيب المرجع الكامل للـ BlackICE
Defender من الموقع المذكور اعلاه ثم استعن بمواقع الترجمه التي
ذكرتها لك إن كانت لغتك الإنجليزية ضعيفه) :


Tracking Down Intruders: Back Tracing



Back tracing is the process of tracing a
network connection back to its origin. When somebody connects to
your computer via a network such as the Internet, your system and
the intruder.s system exchange packets. Before an intruder.s
packets reach your system they travel through several routers.
BlackICE can automatically read information from these packets and
identify each router the intruder.s packets traveled through.
Eventually, BlackICE can .hop. all the way back to the intruder.s
system. BlackICE can back trace information indirectly or
directly. ! An indirect trace uses protocols that do not make
contact with the intruder.s system, but collect information
indirectly from other sources along the path to the intruder.s
system. Indirect back tracing does not make contact with the
intruder.s system, and therefore does not acquire much
information. Indirect traces are best suited for lower-severity
attacks. ! A direct trace goes all the way back to the intruder.s
system to collect information. Direct back tracing makes contact
with the intruder.s system and therefore can acquire a lot of
information. Direct back traces are best for high- severity
attacks, when you want as much information about the intruder as
possible. Intruders cannot detect an indirect trace. However, they
can detect and block a direct trace. Fortunately, most intruders
are not experienced enough to block direct traces. The Back Trace
tab allows you to set the threshold when an indirect or direct
back trace is set off. The severity of the incoming event, not the
address of the intruder, triggers the back trace. BlackICE shows
all the back tracing information it has collected about the
intruder next to the Intruder List. When BlackICE back traces an
intruder it attempts to gather the IP address, DNS name, NetBIOS
name, Node Name, Group name and MAC address. Savvy intruders will
likely block BlackICE from acquiring this information. Back trace
information is also stored in standard text files in the Hosts
folder in the directory where BlackICE is installed. Each file is
prefixed with the intruder.s IP address.


كيف تنفذ هذه الميكانيكية بإستخدام تطبيق
الـ BlackICE Defender :


حمل اولا كتيب المرجع الكامل للـ BlackICE
Defender من الموقع المذكور اعلاه ، ثم اتبع التعليمات التالية :



To control when and how BlackICE looks
for information about intruders, follow these steps:



1. From the BlackICE Local Console Menu
Bar, select Tools, then Edit BlackICE Settings.


2. Select the Back Trace tab in the
BlackICE Settings window.


Figure 32. Use the Back Trace tab to
gather information about intruders.


3. In the Indirect Trace Threshold text
box, type the numeric severity level at which BlackICE should
initiate an indirect back trace. The default threshold for an
indirect trace is 3. With this setting, any event with a severity
of 3 or above triggers an indirect back trace. For an explanation
of the BlackICE severity levels, see .Understanding the Severity
of an Intrusion. on page 38.


4. Select DNS Lookup to have BlackICE
query Domain Name Service servers for


information about the intruder as part of
an indirect trace. DNS Lookup is enabled by default.



5. In the Direct Trace Threshold text
box, type the numeric severity level at which BlackICE should
launch a direct trace. The default event severity for the direct
trace threshold is 6. With this setting, any event with a severity
of 6 or above triggers a direct back trace.


6. Select NetBIOS nodestatus to have
BlackICE find out the machine address of the intruder.s computer
using a NetBIOS lookup on the intruder.s system. NetBIOS Node
Status is enabled by default.


الجوائز العالمية التي حصدها البرنامج
وتزكية البنتاجون له:



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



وإلي اللقاء في دورات دراسية قادمة إن شاء
الله.