احدث المواضيع
recent

الاختراق - أسرار عالم الهكرز و أمن المعلومات



بسم الله الرحمن الرحيم


في البدايه يجب أن نوضح ما هو الاختراق ؟

الاختراق بشكل عام هو القدرة على الوصول لهدف معين بطريقة غير مشروعة عن طريق ثغرات في نظام الحماية الخاص بالهدف... وحينما نتكلم عن الاختراق بشكل عام فنقصد بذلك قدرة المخترق على الدخول إلى جهاز شخص ما بغض النظر عن الأضرار التي قد يحدثها، فحينما يستطيع الدخول إلى جهاز آخر فهو مخترق بـ (بالإنجليزية: (Hacker)) أما عندما يقوم بحذف ملف أو تشغيل آخر أو جلب ثالث فهو مخرب بالإنجليزية: (Cracker).

 للتوضيح أكثر .. من هو الـ هكر او المخترق ؟ 

 يوصف بأسود إن كان مخرب وأبيض إن كان يساعد على أمان الشبكة ورمادي إن كان مجهول الهوية، عموما كلمة الهكر توصف المختص و المتمكن من مهارات في مجال الحاسوب وأمن المعلوماتية. وأطلقت كلمة هاكر أساسا على مجموعة من المبرمجين الأذكياء الذين كانوا يتحدون الأنظمة المختلفة ويحاولوا اقتحامها، وليس بالضرورة أن تكون في نيتهم ارتكاب جريمة أو حتى جنحة، ولكن نجاحهم في الاختراق يعتبر نجاحا لقدراتهم ومهارتهم. إلا أن القانون اعتبرهم دخلاء تمكنوا من دخول مكان افتراضي لا يجب أن يكونوا فيه. والقيام بهذا عملية اختيارية يمتحن فيها المبرمج قدراته دون أن يعرف باسمه الحقيقي أو أن يعلن عن نفسه. ولكن بعضهم استغلها بصورة إجرامية تخريبية لمسح المعلومات والبعض الآخر استغلها تجاريا لأغراض التجسس والبعض لسرقة الأموال. هنا وجدت الكثير من الشركات مثل مايكروسوفت ضرورة حماية أنظمتها ووجدت أن أفضل أسلوب هو تعيين هؤلاء الهاكرز بمرتبات عالية مهمتهم محاولة اختراق أنظمتها المختلفة والعثور على أماكن الضعف فيها، واقتراح سبل للوقاية اللازمة من الأضرار التي يتسبب فيها قراصنة الحاسوب. في هذه الحالة بدأت صورة الهاكر في كسب الكثير من الإيجابيات. إلا أن المسمى الأساسي واحد. وقد أصبحت كلمة هاكر تعرف مبرمجا ذا قدرات خاصة يستخدمها في الصواب كما يمكن استخدامها في الخطأ.

- اقسام الاختراق  

 يمكن تقسيم الاختراق من حيث الطريقة المستخدمة إلى ثلاثة أقسام 


1- اختراق المزودات أو الأجهزة الرئيسية للشركات والمؤسسات أو الجهات الحكومية وذلك باختراق الجدران النارية التي عادة توضع لحمايتها وغالباً ما يتم ذلك باستخدام المحاكاة Spoofing وهو مصطلح يطلق على عملية انتحال شخصية للدخول إلى النظام حيث أن حزم الـIP تحتوي على عناوين للمرسل والمرسل إليه وهذه العناوين ينظر إليها على أنها عناوين مقبولة وسارية المفعول من قبل البرامج وأجهزة الشبكة. ومن خلال طريقة تعرف بمسارات المصدر Routing Source فإن حزم الـIP قد تم إعطائها شكلاً تبدو معه وكأنه قادمة من كمبيوتر معين بينما هي في حقيقة الأمر ليست قادمة منه وعلى ذلك فإن النظام إذا وثق بهوية عنوان مصدر مخترقي الهوت ميل في الولوج إلى معلومات النظام قبل شهرين. 

 
2- اختراق الأجهزة الشخصية والعبث بما تحويه من معلومات وهي طريقة للأسف شائعة لسذاجة أصحاب الأجهزة الشخصية من جانب ولسهولة تعلم برامج الاختراقات وتعددها من جانب آخر.


3- التعرض للبيانات أثناء انتقالها والتعرف على شيفرتها إن كانت مشفرة وهذه الطريقة تستخدم في كشف أرقام بطاقات الائتمان وكشف الأرقام السرية للبطاقات البنكية ATM وفي هذا السياق نحذر هنا من أمرين لا يتم الاهتمام بهما بشكل جدي وهما عدم كشف أرقام بطاقات الائتمان لمواقع التجارة الإلكترونية إلا بعد التأكد بالتزام تلك المواقع بمبدأ الأمان. أما الأمر الثاني فبقدر ما هو ذو أهمية أمنية عالية إلا أنه لا يؤخذ مأخذ الجدية. فالبعض عندما يستخدم بطاقة السحب الآلي من مكائن البنوك النقدية ATM لا ينتظر خروج السند الصغير المرفق بعملية السحب أو أنه يلقي به في أقرب سلة للمهملات دون أن يكلف نفسه عناء تمزيقه جيداً. ولو نظرنا إلى ذلك المستند سنجد أرقاماً تكون من عدة خانات طويلة هي بالنسبة لنا ليست بذات أهمية ولكننا لو أدركنا بأن تلك الأرقام ما هي في حقيقة الأمر إلا انعكاس للشريط الممغنط الظاهر بالجهة الخلفية لبطاقة الـATM وهذا الشريط هو حلقة الوصل بيننا وبين رصيدنا بالبنك الذي من خلاله تتم عملية السحب النقدي لأدركنا أهمية التخلص من المستند الصغير بطريقة مضمونة ونقصد بالضمان هنا عدم تركها لهاكر محترف يمكنه استخراج رقم الحساب البنكي بل والتعرف على الأرقام السرية للبطاقة البنكية ATM.  

 

- انواع الاختراق  


1- الاختراق البسيط 

القصد من الاختراق البسيط . هو اعتماد الهكر على مجموعه من الادوات الرخيصة وسهله الكشف.. في عملية الاختراق. واحياناً يعتمد الهكر على الهندسه الاجتماعية فقط ولا يستخدم أي اداة للاختراق . 

 

 

- ماهي الهندسة الاجتماعية ؟ 

 

الهندسة الاجتماعية أو ما يعرف بفن اختراق العقول هي عبارة عن مجموعة من التقنيات المستخدمة لجعل الناس يقومون بعمل ما أو يفضون بمعلومات سرية. تـُستخدم الهندسة الاجتماعية أحياناً ضمن احتيال الإنترنت لتحقيق الغرض المنشود من الضحية، حيث أن الهدف الأساسي للهندسة الاجتماعية هو طرح أسئلة بسيطة أو تافهة (عن طريق الهاتف أو البريد الإلكتروني مع انتحال شخصية ذي سلطة أو ذات عمل يسمح له بطرح هذه الأسئلة دون إثارة الشبهات.

 

من أشهر الأساليب المتبعة في مثل هذا النوع من الاختراق :

  1. الهاتف : فأكثر هجمات الهندسة الاجتماعية تقع عن طريق الهاتف . يتصل المهاجم مدعياً أنه شخص ذو منصب له صلاحيات و يقوم تدريجياُ بسحب المعلومات من الضحية.
  2. البحث في المهملات : حيث يوجد الكثير من المعلومات الهامة عن المنظمة يمكن الحصول عليها من سلة مهملات الشخص أو الضحية.
  3. الإقناع : حيث يحصل المهاجم على المعلومات التي يريدها من خلال التحدث مع الضحية وحثها على الإدلاء بمعلومات حساسة أو ذو علاقة بهدف المهاجم وذلك من خلال إثارة انطباع جيد لدى الضحية والتملق وغيرها من الأساليب.
  4. الهندسة الاجتماعية المعاكسة : وهي إيهام الضحية بأنك شخص مهم أو ذو صلاحيات عليا بحيث يقوم المهاجم بالإدلاء بمعلومات يريدها الضحية وإذا ما نجح الأمر وسارت الأمور كما خُطط لها فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الضحية، وهذا الأسلوب معقد نسبياً كونه يعتمد على مدى التحضير المسبق وحجم المعلومات التي بحوزة المهاجم.

 ولتقريب الفكرة لديكم اصدقائي الاعزاء .. فأن الاختراق البسيط هو استفادة الهكر من أمان الموقع في اختراق الضحية . لان أمان الموقع يتناسب بشكل عكسي مع المستخدم المغفل . 

ومن اشهر ادوات الاختراقات البسيطه

هي الصفحات المزورة .  

 

2- الاختراق المعقد 

يقصد بالاختراق المعقد هو اعتماد الهكر على البرمجيات المعقدة التي يأما تكون جاهزة  او يقوم الهكر ببرمجتها بنفسه . وتكمن العقدة في كيفية تخصيص البيئة المناسبه لتشغيل هذهِ البرمجيات . وكيفية استغلال الثغرات الموجوده في المواقع والحسابات الالكترونية في هذهِ البرمجيات للولوج الى لوحات التحكم وادارة بيانات الضحيه . وتكمن العقدة ايضاً في أن بعض طرق الاختراق تحتاج الى عدة برمجيات بعضها يكمل البعض الاخر . 

 

ومن اشهر ادوات الاختراقات المعقدة 

- احتراف نظام الـ Kali linux

- استغلال ثغرات المواقع وانظمه ادارى المحتوى . 

- معرفة أوامر الـ dos . 

- برمجة برامج تكوين " السيرفرات " لاختراق الاجهزه مثل برنامج njrat وغيره . بأستخدام الفجول بيسك . 

- تنمية القدرة على التخمين وفك الشفرات . 

ملاحظة : لا ننصح بتحميل أي برنامج اختراق من الانترنت 

 لآن معضهما ملغومه بفايروس " التورجن " الذي يخترق جهازك ^_^ .

 

    الحماية من الاختراق 

قبل أن اذكر ما هي الاشياء التي يجب ان تحذر منها بشكل خاص.. اود ان ذكر خمس نقاط مهمه يجب ان تهتم بها .

 *تحاشى دائما استخدام معلوماتك الشخصية جدا بشكل دائم. و لا تقوم بكتابتها الا في المواقع الآمنة جدا.
* استخدم على الدوام احدث إصدارات برامج الحماية من الفيروسات.
* استخدم احدث برامج الحماية من الهاكرز.
* تأكد من أن إصدارات المتصفح الخاص بك محدثة و لا تحتوي على ثغرات أمنية.
* تجنب قدر الإمكان إستخدام برامج المحادثة مثل ICQ لما تحتوية من ثغرات أمنية.  

1-احمي نفسك من الصفحات المزورة , تأكد دائما من رابط الصفحات المرسله اليك:
كيف تأكد من أن السلاش ‘ / ‘ موجود مباشرة بعد اسم نطاق الموقع :
فمثلا الرابط الصحيح يكون على هذا الشكل : www.facebook.com/exemple
أما الرابط المزور : مثلا www.facebook.com.co.cz/exemple
فكما نلاحظ اسم النطاق مختلف (facebook.com.co.cz)

أو قد يكون هكذا : hack.cz/facebook.com/exemple
هذا النطاق مختلف تماما (hack.cz)

وأحيانا يخدعنا الرابط بحرف واحد خاطئ ,مثلا : facebok.com أو faccbook.com
2- ﻻ تدخل كلمة المرور في أي رابط تتوصل به من عند أحدهم حتى ولو كان صديقا (إلا إذا تأكدت تماما من أن الرابط آمن) و غالبا ما نتوصل بهذ الروابط عبر المحادثات ورسائل الإيميل واحيانا عبر تعليقات الفايسبوك أو عبر المنتديات.
3-استخدم بروتوكول التصفح الآمن (https://) :
معظم المواقع الشهيرة تستخدم هذا البروتوكول والذي يقوم بتشفير البيانات عند نقلها من المتصفح إلى السيرفر (وذلك لتجنب اختراق كلمات السر) .. بالاضافة إلى هذا فالصفحات المزورة لا تستخدم هذا البروتوكول لذا فبالإمكان التفريق بين الصفحة المزورة والحقيقية عبر التأكد من وجوده ..

4- ﻻ تستخدم تطبيقات الفايسبوك حتى تتأكد من آمانها لأن التطبيقات قادرة على الوصول إلى جميع معلومات حسابك وبعض المخترقين يستخدمونها للوصول إلى كلمات السر.
5- ﻻ تقم بتحميل الملفات المشبوهة لأنها غالبا ما تحتوي على تروجانات وكيلوغرز (وهي برامج تسجل كل ما تكتبه حتى كلمات المرور).
6- ثبت مضاد فايروسات على حسابك  بالفايسبوك (مضاد الفايروسات هذا عبارة عن تطبيق انقر هنا لتتبيثه على حسابك)
7- استخدم مضاد فايروسات قوي وﻻ تنس بأنه يتوجب عليك القيام بـمسح دوري للنظام.
8- قم بتحديث البرامج التي تستخدم لأن هذه التحديثات تسد الثغرات الأمنية الموجودة.
9- اسنخدم باسوورد قوي و لا تستخدم نفس الباسوورد لكل حساباتك …
10- إذا كنت تستخدم متصفح الكروم فعل خدمة الحماية القصوى
(Options → preferenes → under the hood → Enable phishing and malware protection)

11- إذا  ظننت أنك أدخلت كلمة المرور في صفحة مزورة قم بتغيير الباسوورد على الفور !!
12- تجنب المواقع المشبوهة (مواقع الاباحية ومواقع الهاك ..) لأنها المصدر الأول للفايروسات.
13- لا تتبث برامج الاختراق في جهازك لأنها غالبا تحتوي على تروجانات (وهي برامج تمكن المخترق من الدخول إلى جهازك).
14- لا تترك الملفات الحساسة في جهازك (انسخها في قرص أو ما شابه).
15- قم دائما بتسجيل الخروج من المواقع التي سجلت بها الدخول كـfacebook و hotmail و gmail و paypal ..
16- لا تستعمل خاصية ‘تذكر كلمة المرور’ خصوصا من الحواسيب العامة.. ولا تقم بتخزين كلمات المرور على جهازك.

17- لا تظهر عنوان بريدك الإلكتروني الذي تسجل به الدخول على فايسبوك للآخرين ولإخفاءه أنقر هنا ثم تابع معي الصورة

 
وقبل الختام سأطلعكم على أهم المواقع  الموجوده في الانترنت لتعلم الهكر - وهذا لا يعني أنها أمينة - . وتجنباً للانتقاد الذي سيطلقه البعض علينا لاننا نساعد المهتمين في تطوير مهاراتهم في تعلم الهكر .. نود أن نقول بأن الاختراق هو احد اختصاصات التكنولوجيا ولا يشترط أن يكون الهكر شخص سيء  . فأفضل طريقه للدفاع هي الهجوم . وان افضل طريقه لحماية نفسك . هي ان تتعلم ما هي أليات الاختراق  . 
- Bleeping computer 

ولتحميل كتاب تعلم فنون الاختراق من سلسلة For dummies (المدفوعه) 
ديار الزهيري

ديار الزهيري

أحد اعضاء فريق عراق كوديرز ,حيث يسعى جميع اعضاء هذا الفريق التطوعي الى نشر المعرفه التقنية والتكنولوجيا وترجمة المقالات الاجنبية وكل ما نقوم به هو محاولة بسيطة لتحسين الواقع التقني في العراق

يتم التشغيل بواسطة Blogger.