[c] بسم الله الرحمن الرحيم[/c]
- المقدمة .
تعاني شبكة الانترنت من مشاكل الاختراق التي تزداد يوماً بعد يوم مسببة أضرارا جسيمة للشركات والأفراد .
يصنف الاختراق الى ثلاثة انواع وهي :-
1- اختراق الاجهزة 2- اختراق الموقع 3- اختراق البريد .
ولتسليط الضوء على مفهوم الاختراق والمخترقين وتاريخهم والبرامج الخاصة المستخدمة من قبلهم في اختراق الاجهزة والشبكات وكيفية التجسس على معلومات المستخدمين وكذلك الاجراءات الواجب اتخاذها من قبل المستخدم لسد الطريق على المخترقين ، فقد تم إعداد هذه الدراسة لتسهم في زيادة الوعي تجاه المخاطر التي يتعرض لها مستخدم شبكة الإنترنت من جراء ذلك.
2- مفهوم المخترق .
لقد تضمن ملف (Jargon) عدد من التعاريف وانسب تعريف لهم (هم الجماعة الذين يملكون الخبرة في البرمجة ومعالجة الشبكات ولهم المقدرة على اتخاذ الإجراءات التقنية للسعي الى تخطي الحواجز الموضوعة لحماية الشبكات وان تنمية هذه المقدرة ترجع الى ممارستهم الطويلة في استيعاب لغات البرمجة وانظمة التشغيل )، إذاً هو الشخص الذي يستمتع بتعلم لغات البرمجة وانظمة التشغيل والتحليل والتصميم للبرامج واخيراً ينتهي به المطاف الى ان يصبح خبيراً في اللغات ونظم التشغيل ويطلق عليه بالمخترق (Hacker) وهم يختلفون عن المخربين (cracker) الذين يسعون الى اختراق الأجهزة والتلاعب في المعلومات المخزونة فيها باستخدام برامج جاهزة وهناك خلط بين المفهومين ويجب الفصل بينهما وغالباً ما يعبرون المخترقون عن انفسهم بانهم يبنون الاشياء بينما يقوم المخربين بتخريبها .
3- تاريخ المخترقون .
يرجع تاريخ المخترقون في الشبكات الى الستينات حين كان يطلق على المبرمج المتمكن الذي يقوم بتصميم البرامج بسرعة بالمخترق وكان من اشهرهم دينيس وريتشي وكين تومسون وذلك لقيامهم بتصميم برنامج Unix وكان يعتبر الاسرع في البرامج لعام 1969.
وتعتبر المدة من 1980 -1989 العصر الذهبي للمخترقين وبعد إنتاج الكومبيوتر الشخصي (I(IBM) حيث بدأ العمل الحقيقي لهم في معرفة طريقة عمل هذه الاجهزة وكيفية احترافها وبرزت مجاميع المخترقين واستثمارهم في التنافس التجاري بين الشركات .
وظهور مجموعة (LOD) ومجموعة (MOD) في الولايات المتحدة عام 1984 حيث نشب التنافس بين هاتين المجموعتين وسميت بحرب الهاكرز الكبيرة واستمرت الى ما يقارب الاربع سنوات وانتهت بإلقاء القبض عليهم . وبعد عام 1990 ظهرت مجموعات أخرى من المخترقين في الولايات المتحدة ورافقتها عمليات لسرقة بطاقات الائتمان وغيرها من الأعمال التي تؤثر على الآمن والخصوصية .
4- آلية عمل برامج الاختراق .
معظم برامج الاختراق تستخدم نوعين من الملفات الاول يسمى (Client .exe) والثاني (Server.exe) وكلاهما يندرجان تحت اسم (Trojan) حيث يعمل ملف الـ(Server) على فتح ثغرة في الحاسب المستهدف ليمكن ملف (Client) من الدخول الى الحاسب من خلال هذه الثغرة . والمقصود بالثغرة هنا (Port) وكل برنامج اختراق يعتمد على رقم منفذ خاص به حيث ان برنامج (Net bus) يستخدم المنفذ ( 1 2 3 4 5 ) للدخول من خلاله وعليه فأن عملية الاختراق مبنية على فكرة السيطرة عن بعد (Remote Control) وهذه العملية لا تتم الا من خلال الملفين المذكورين آنفاً والمنفذ الخاص به الذي يمكن المخترق من ادخال عنوان الحاسب المستهدف (I.P Address) ويرسل هذا الملف الأختراقي الى الحاسب المستهدف بواسطة الطرق التالية :-
أ- رسائل البريد الالكتروني.
ب- برنامج الدردشة (ICQ) .
جـ – انزال البرامج من الموقع غير الموثوق بها .
عندما تصاب الحاسبة بأحد ملفات الاختراق فأن معظم هذه الملفات تتجه الى التسجيل في الحاسبة (Registry) وعند تشغيل الحاسبة فأن الملف يقوم بالاشتغال كبقية البرامج المساعدة .
5- الاسس المعتمدة في الاختراق .
ان عمليات الاختراق تعتمد على ثلاث اسس مترابطة تمثل المهام والترتيبات اللازمة لكل مخترق وهي :-
أ- تقفي الأثر (Trace route).
وتمثل مرحلة أخذ فكرة عن اسماء البطاقات (DNS) وكتل الشبكات وعناوين (IP) الفردية وبنية النظام واكتشاف المعلومات المتعلقة بالهدف من خلال استخدام تقنيات مختلفة مثل عملية البحث المفتوح في مواقع الشركات وأكتشاف خيارات اعداد الامن لجدار النار واسماء الاتصال وعناوين البريد الإلكتروني وسياسات الأمن والخصوصية المعتمدة في الشبكة والارتباطات، وكذلك تقفي الأثر من خلال قواعد البيانات Who is)) التي تعرض معلومات المنظمة من عناوين ونقاط اتصال واستجواب (DNS) وهذه المرحلة تتطلب عمليات رصد مضنية.
ب-المسح (Scanning) .
لاكمال الاساس الاول (تقفي الاثر) المذكور آنفاً فأن المرحلة الاحقة تتمثل في البحث عن المنافذ (Ports) للدخول الى الموقع المستهدف وهناك عدة تقنيات مستخدمة في اعمال المسح ومنها المسح (TCP) حيث يتصل هذا النوع مع المنفذ وينجز اتصال ثلاثي كامل بطرق ال(SYN/ACK, SYN, ACK) .
وكذلك المسح نصف المفتوح TCP/SYN حيث لا تقام وصلة كاملة مع TCP بل يتم ارسال رزمة Syn الى الهدف
وهناك انواع مختلفة من المسح وحسب نوع الرزم المرسلة الا ان الطريقة الاكثر شيوعاً هي طريقة مسح النوافذ TCP Windows وهي تقنية خاصة بانظمة الـ (Windows) و الاكثر استخداماً وتعمل على التقاط المنافذ المفتوحة وكذلك المنافذ المفلترة وغير المفلترة .
وباستخدام ادوات الكشف التي يمكن انزالها من الشبكة ان يتعرف المخترق على انواع انظمة التشغييل وكيفية كشف هويتها وخدماتها حيث تستطيع هذه البرمجيات من التقاط نظام التشغيل عن بعد وبدقة وهذا يمثل تقريباً الثلث الاول من انجاز عملية الاختراق .
جـ – التعداد Enumeration .
بعد تحقق الهدفين الاولين (تقفي الاثر والمسح ) من خلال تقنيات جمع المعلومات تتم المباشرة بعملية التعداد وتتلخص في التعرف على موارد الهدف (الشبكة ) وتقاسمها والتطبيقات المستخدمة حيث يمكن الكشف عن تعداد المستخدمين في جدول اسماء (Net Bios) للشبكة وإظهار أسماء المستخدمين من خلال (Net View) والأداتان nbscan , nbstat حيث يستخدمان لاستخراج المضيفات(Hosts) وهذا يعتمد على نقاط الضعف في نظام التشغيل واستغلالها في للدخول .
6- كيفية التخلص من ملفات الاختراق.
بالنظر لتباين انواع البرامج الجاهزة المستخدمة للاختراق فأن عملية التخلص من ملفات الاختراق ترتبط بنوع البرنامج المستخدم وندرج لاحقاً أهم الملفات الشائعة الاستخدام وهي :
أ- برنامج (Back orifice) يعمل هذا البرنامج على فتح نافذة خلفية للجهاز من خلال المنفذ رقم (3317) وللتخلص من الملف الخاص به والذي يختبئ في (Registry) فأنه يتطلب البحث عنه بموجب الايعازات التالية:-
Run > Hkey -Local machine +Software +Microsoft + Windows +Current Version + Run
بعد ذلك يتم البحث عن الملف الذي امتداده exe حيث ان اسم الماف عادةً يكون متغيراً ومثالاً عليه (Server .exe) حيث يتم مسح هذا الملف واعادة تشغيل الحاسبة من جديد.
ب- برنامج Net Bus Ver 1. 6 .
يستخدم برنامج باص الشبكة ملف ال (patch) ويختبئ في (Registry) ايضاً وللتخلص منه يتم عمل نفس الخطوات المذكورة آنفاً في ايعاز (Run) والبحث عن ملف (Patch . exe) وإلغاءه واعادة تشغيل الجهاز من جديد .
جـ- برنامج Net Bus 2000 .
يستخدم هذا البرنامج (server ,exe) ويمكن تغيير اسمه وللتخلص منه يتم البحث عنه من خلال الايعازات التالية:-
Run > Regedit > Hkey-Local-User + Software + Microsoft + Windows +
Current version +Run services +Key UMG320 exe
وان الكلمة التي تحتها خط هي تمثل الـ (Server) للبرنامج حيث يتم إلغاءه واطفاء الجهاز واعادة تشغيل الجهاز من جديد.
د- Heack `a Tack `a.
يعتبر هذا البرنامج من البرامج الخطرة ويستخدم البروتوكول (FTP) ويصعب كشفه بسهولة وللتخلص من هذا الملف يتم استخدام الايعازات التالية :-
Run > Registry > Explorer 32 C/ Windows /Expl 32.exe
حيث يتم مسح الملف عند العثور عليه.
هـ- برنامج (Master Paradise) .
يعتبر البرنامج من البرامج التي يصعب العثور عليها في الـ (Registry) ويمكن التخلص منه من خلال الايعازات التالية :-
.(Registry) حيث يتم مسح الملف من الـ (Run Registry > C/ Windows / name of the. Exe
حيث يتم مسح الملف عند العثور عليه
و- برنامج (ICQ) .
يقوم هذا البرنامج بعمل ثغرة للمخترقين داخل الحاسب المستهدف حين يعمل على تغييرملف (ICQ) الحقيقي في الحاسب والتخلص منه يتم من خلال حذف ملف (ICQ) ثم القيام بتعديل الاسم الحقيقي الى (ICQ2) .
ز- الكعكات (Cookies) .
تستخدم معظم المواقع الكبيرة نظام الكوكيز (الكعكات) والفائدة منها هو التسريع للوصول الى هذه المواقع والهدف من ذلك هو الغرض التجاري إذ إن هذا النظام يتيح لهذه المواقع اخذ المعلومات الخاصة بالمتصفح وعدد المرات التي زار فيها الموقع ومن خلال ارسال ملف صغير الى القرص الصلب لحاسب المستخدم عن طريق هذه الكعكات ، يتم إبطال هذه الخاصية من خلال الايعازات التالية :-
Control panel > Internet option > Security Custom >
Cookies
Allow cookies stored in your computer
О Disable
О Enable
О Prompt
6- معالجة ثغرة Ie5
يتميز برنامج مستكشف الانترنت (Internet explorer) بمزايا كثيرة لتسهيل مهمة المتصفح ومنها ميزة (Auto Computer) حيث تعمل اختصار الوقت من خلال كتابة اول حرف من أي كلمة او ادخال كلمة السر في أي موقع حيث يقوم مستكشف الإنترنت على إكمال الكلمة من أول حرف يكتب ، ولكن هذه الميزة تعد من اخطر الامور عند اختراق الجهاز من قبل المخترقين حيث سيجدون كلمات السر وأسماء المستخدمين في جميع المواقع وتقدم المعلومات على طبق من ذهب ويمكن تعطيل هذه الميزة في المتصفح من خلال الايعازات التالية :-
Tools > Internet option > Content > Auto complete
Use Auto Computer For:
- Web addresses
- Form
- User name and personal
الاستنتاجات .
1-يصنف الاختراق الى ثلاثة انواع من الاختراقات وهي اختراق ( الاجهزة ، المواقع ، والبريد الالكتروني) والمخترقون هم الجماعة الذين لديهم المقدرة في تخطي الحواجز الموضوعة من خلال خبراتهم المكتسبة في البرمجة .
2-بدأ العصر الجديد للمخترقين بعد صناعة الحاسبات الشخصية (PC) حيث فتحت لهم آفاق جديدة وبانطلاق الشبكة العالمية الواسعة تنامت قدراتهم وزادت مجموعاتهم .
3- تتركز آلية عمل برامج الاختراق من خلال ملفين هما (Client) (Server) والسيطرة عن بعد على الحاسب المستهدف وعن طريق الثغرات الموجودة في نظام التشغيل والمنافذ المفتوحة والدخول عن طريق البريد الإلكتروني وبرامج الدردشة وانزال الملفات .
4-ان عمليات الاختراق تتم من خلال تنفيذ الأسس الثلاث المترابطة والمتسلسلة وهي (تقفي الأثر والمسح والتعداد للمستخدمين) حيث يتم جمع المعلومات باستخدام تقنيات مختلفة ومن ثم فتح المنافذ في الحاسب المستهدف ومن خلال استغلال نقاط الضعف في نظام التشغيل المعتمد .
التوصيات :
1- حذف الملفات بشكل دوري من الـ (Registry) من أنواع (Server .exe) و (UMG32.exe) و (expL32.exe) و(Path .exe) وغيرها حيث تعود هذه الملفات لبرامج اختراق مختلفة وشائعة الاستخدام في الشبكة .
2- تدقيق ملف برنامج الدردشة (ICQ) من خلال حذفه وتعديل الاسم الحقيقي له .
3- تعطيل عمل الكعكات (Cookies) من خلال مستكشف الانترنت (Internet explorer) .
4- معالجة ثغرة (Ie5) من خلال تعطيل ميزة (Auto Complete) .
5- التأكد من المواقع التي تم اجراء الانزال للملفات منها وتحاشي الأخذ من المواقع غير المعروفة .
6- استخدام برامج الحماية من الاختراق بالاضافة الى برامج مكافحة الفايروسات
هذا والله أعلم وصلى الله على نبينا محمد وعلى آله وصحبه وسلم
الموضوع منقول من هذا الرابط جزا الله الكاتب خير
http://internet.arabcomputing.com/haking.html
العرض العادي
