أكد مسؤلون بموقع Linkedin الشهير .. عن خرق أمني أدي الي نشر الملايين من كلمات المرور الخاصه بحسابات تابعه للموقع ..

في حين قال موقع Norweigan بأنه في اليومين الماضيين تم نشر 6.5 مليون كلمة مرور [password]   في احد مواقع الهاكرز الروسية ولاكن كلمات المرور تم نشرها مشفره ..

وقد أقر Vicente Silveira وهو احد مدراء Linkedin علي مدونة الموقع بان الخبر صحيح وان الفريق الخاص بموقع Linkedin يقوم الان بالتقصي فيما حدث لإصلاح الخرق الامني الحاصل في الوقت الحالي .. وقال بان اصحاب الحسابات التي تم نشر كلمات المرور التابعه لهم سيتم تنبيههم بان كلمات المرور الخاصه بهم لم تعد صالحه للإستعمال لكي يتم إجبارهم علي تغييرها  ..

الجدير بالذكر ان ما تم نشره كان عباره عن كلمات مرور فقط بدون نشر اسماء المستخدمين الخاصه بهم او اي من بياناتهم .. كما ان كلمات المرور التي تم نشرها كاانت مشفره بخوارزمية SHA-1

خوارزمية SHA-1

هي نوع من الخوارزميات التي تقوم بتحويل كلمة المرور الخاصه بك الي حروف وأرقام فريدة
فعلي سبيل المثال اذا كانت كلمة المرور الخاصه بك هي Linkedin1234
فانه بعد إدخالها الي خوارزمية SHA-1 ستصبح بالشكل التالي
“abf26a4849e5d97882fcdce5757ae6028281192a.”

وذكرت شركة Imperva المختصه بأمن المعلومات انه عند محاولة كسر بعض كلمات المرور التي تم نشرها وجد ان نسبه كبيره جدا من كلمات المرور المنشورة عباره عن ارقام

123456 و 123456789 !  وكانت حصيلة الحسابات التي تستخدم كلمات المرور كهذه هي اكثر من نصف مليون حساب!

وتكمل الشركه قولها بانه باستخدام احدي التقنيات لتخمين كلمات المرور  باستخدام كلمات المرور الإفتراضيه المكونه من أرقام فقط فان الامر يتطلب  15 دقيقه  لإختراق 1000 حساب!

المصدر:THN

كإنفراد لموقع مجتمع الحمايه العربي ..يمكنكم تحميل كلمات المرور المسربه من خلالا الرابط التالي :

http://www.sendspace.com/file/o2bi4b

كلمة المرور لفك ضغط الملف هي : security4arabs.com

© إبراهيم حجازي for مجتمع الحماية العربي, 2012. | Permalink | No comment | Add to del.icio.us
Post tags:

Feed enhanced by Better Feed from Ozh

قررت شركة paypal المختصه بالتعاملات الماليه البنكيه من خلال الإنترنت , في خطوه ربما أتت متأخره ولاكن المهم أنها أتت , لمنح أموال للباحثين الأمنين مقابل ايجاد ثغرات بموقعهم

الجدير بالذكر انه موقع paypal عاني كثيرا في الفتره الأخيره من ثغرات بالموقع كان يتم نشرها علانية public في منتديات الهكرز ويتم مشاركتها بين الهاكرز وبعضهم ..

تتراوح الثغرات ما بين XSS- CSRF- Parameter Manipulation  وغيرها ..

اذكر انه Tinkode الهكر الروماني المقبوض عليه حاليا .. كان يعرض علي منذ فتره ثغره XSS في Paypal مقابل 200 دولار فقط!

وقد ذكر ميشيل باريت في احد تدويناته وهو الرئيس التنفيذي لأمن المعلومات بشركة paypal :

“انا سعيد للتنويه علي اننا قمنا بتحديث عملية الإبلاغ عن الثغرات الي نظام المكافات”

ولاكن باريت لم يذكر اي تفاصيل عن المكافائات وما هي أسعار الإبلاغ عن الثغرات !

بعض من أنواع الثغرات المدرجه ضمن قائمة المكافئات:

• XSS (Cross Site Scripting),
• CSRF (Cross Site Request Forgery),
• SQL Injection or
• Authentication Bypass

مع العلم انه يجب ان يكون لدي الباحثين الامنين حسابات مفعله علي موقع paypal حتي يتثني لهم إستلام المكافئات من خلالها ..

ويكمل باريت في تدوينته: سابقا كان لدي بعض التحفظات بخصوص موضوع دفع الأموال للباحثين الأمنين عند الإبلاغ عن ثغرات بالموقع , لاكنني الان اعترف بانني كنت مخطأ,انها فعلا طريقه فعاله لجذب انتباه الباحثين الأمنين لإيجاد المزيد من نقاط الضعف لدينا.

شركة paypal تستحق التهنئه من أجل إتخاذ هذه الخطوه.

شخصيا أتوقع تبليغات ليس لها حصر في اول شهر من إعتماد النظام الجديد .
المصدر:THN

© إبراهيم حجازي for مجتمع الحماية العربي, 2012. | Permalink | One comment | Add to del.icio.us
Post tags:

Feed enhanced by Better Feed from Ozh

بسم الله الرحمن الرحيم ..

موضوعنا اليوم ان شاء الله يتكلم عن حائط الشهره (Wall of fame) ونظام الكافأت الماليه.

ما هو حائط الشهره؟  (Wall of fame)

سنأخذ علي سبيل المثال موقع الفيس بوك .. فعندما يقوم احد بالإبلاغ عن ثغره أمنيه بموقع الفيس بوك ويتواصل مع الفريق الأمني الخاص بالموقع بتفاصيل الثغره الأمنيه فانهم يقومون بترقيع الثغره الأمنيه ومن ثم طرح اسم الشخص الذي قام بالإبلاغ عن الثغره علي صفحة تابعه للموقع تسمي حائط الشرف .. حيث يتم فيها طرح اسماء الباحثيين الأمنين او حتي الأشخاص العاديين الذين قاموا بالإبلاغ عن ثغرات بالموقع كنوع من الشكر والتقدير لهم ولمجهوداتهم ..

ومن أشهر المواقع التي تستخدم نظام حائط الشرف هي:

Microsoft.com

Google.com

Facebook.com

Paypal.com

وغيرها .. وعلي الجانب الاخر نري ان مواقع عملاقه كشركة الياهو لا يستخدمون نظام حائط الشرف!

والان ساتاحدث عن أهمية حائط الشرف للشركات .. وأهميته بالنسبة للافراد الذين يقومون بالإبلاغ عن الثغرات الأمنيه للموقع .

ما هي فائدة حائط الشهره للأفراد؟

1- لو انك باحث أمني وتريد ان تساهم في حماية المعلومات وتأمينها فانك بالطبع ستحب فكرة حائط الشرف ..
2- ان كنت باحث امني وتريد ربح المال من خلال البحث عن الثغرات الأمنيه فانك بالطبع ستحب فكرة حائط الشرف .. فشركة مثل جوجل والفيس بوك

يقومون بدفع أموال جيده للباحثين الأمنيين الذيين يقومون بالإبلاغ عن ثغرات أمنيه في مواقعهم .. فمثلا نجد ان الفيس بوك يدفع 500 دولار لمن يجد ثغره من نوع Cross Site Scripting(xss)  وتدفع 1337 دولار لمن يجد ثغره عالية الخطورة ك SQL Injection

اما عن جوجل فحدث ولا حرج فهي اعلي شركه في ناحية مكافأة الباحثين الأمنين فهي تدفع 3000 الاف دولار لمن يجد ثغرات تصنف من النوع عالي الخطورة .. انظر الفرق بين الفيس بوك وجوجل .. فجوجل احيانا تدفع اعلي من ذلك المبلغ علي حسب نوع الثغره نفسها

مع الوضع بالحسبان ان ميكروسوفت لا تقوم بدفع اي مبلغ من المال نظير ابلاغها عن ثغرات امنيه بموقعها ولاكن اسمك علي موقع ميكروسوفت يفرق كثيرا!

3- اذا كنت باحث امني او حتي شخص عادي وتبحث عن الشهره فانك بالطبع ستحب فكرة حائط الشرف .. فتخيل مثلا اسمك يتم كتابته علي موقع شركة جوجل او ميكروسوفت او الفيس بوك وموجه اليك كلمة شكر كيف سيفرق معك ذلك في تذكيتك وظيفيا او عندما تقوم بكتابته داخل ال CV الخاص بك من ضمن أعمالك .. او حتي عندما يري أصدقاءك ذلك!

والكثير من الفوائد الاخري لمن يقوم بالإبلاغ عن ثغرات امنيه لمواقع الشركات الكبري .

ما هي فائدة حائط الشهره للموقع او الشركه؟

من المعروف ان اي شركه كبيره بحجم ميكروسوفت والفيس بوك لابد وان يكون لديهم فريق أمني كبير وباحثين أمنين داخل الشركه يقومون بالبحث الدائم عن أي ثغره أمنيه قد تتواجد في موقع الشركه او أنظمتتها الداخليه كاجهزة العاملين بالشركه او شبكات الانترنت الخاصه بالشركه او حتي نظام ادارة المحتوي الخاص بالموقع الي اخره ..

ولاكن أيضا كلنا يعلم بانه لا توجد حمايه 100% .. فمهما كانت خبرة فريقك فلابد بانهم لم يقومو بتامين نظامك بشكل كامل فهناك دائما نقاط ضعف لا يتم ملاحظتها .. ويوما عن يوم تظهر ثغرات وتهديدات أمنية جديده منها ما يتم طرحه في العلن ومنها ما يتم استخدامه بشكل خاص ودون الاعلان عنه ..

لذلك قامت الشركات الكبيره بعمل نظام حائط الشرف فهو يوفر للشركه أمان أعلي حيث سيتم إبلاغ الفريق الأمني للشركه عن اخر الثغرات الامنيه في انظمتهم ومواقعهم ..
كما ان ذلك سيعطي انطباع كبير بالأمان لمستخدمي منتجات هذه الشركه لانها وضعت امن المعلومات وامن المستخدمين محط الإهتمام ومن أولوياتها .

مع العم بان مثل هذا النظام سيوفر علي الشركه الكثير من الخسائر الماديه والسمعه السيئه ..

فمثلا لو ان شركة جوجل دفعت 3000 الاف دولار لباحث أمني قام بالابلاغ عن ثغرة من نوع SQL Injection باحد خدماتها .. فهل هذا افضل؟ ام انهم يتجنبون مثل هذه الرسائل ولا يضعوا لها اي اهتمام.. فيقوم الهاكر باستغلال الثغره وطرح عشرات الالاف من كلمات المرور الخاصه بشركة جوجل ومستخدميها علي الملأ! مما سيتسبب في ان كثير من المستخدمين سيسحبون الثقه من الشركه واخرين لن يستخدموا خدمات الشركه لانها لم تصبح امنه .. وقيمة اسهم الشركه في البورصة ستقل .. والبيع لمنتجاتها كذالك سيقل .. والتصنيف العالمي لها سيقل!!
أرايتم؟ فقط 3000 الاف دولار انقذت الشركه من كل الكوارث المذكورة بالأعلي!

كما ان هناك شركات مثل ميكروسوفت تستخدم نظام حائط الشرف دون ان تدفع اي مليم واحد للباحثين الأمنين نظير إبلاغها عن الثغرات الامنيه بمواقعها وخدماتها .. فقط تقوم بطرح اسماء الباحثين الامنين علي حائط الشرف الخاص بها ..

وكان من حسن حظي انني قمت بفضل الله عز وجل بالابلاغ عن ثغرة من نوع Source Code Disclosure في موقع شركة ميكروسوفت وتم طرح اسمي علي حائط الشرف للشركه
http://technet.microsoft.com/en-us/security/cc308589

بعض الملاحظات:

لا يتم طرح اسم الباحث الأمني عند الابلاغ عن الثغرة مباشرة .. ولاكن لابد ان يرسل كافة المعلومات المطلوبه من الفريق الامني للشركه عن الثغره

ومن ثم ياخذ الفريق الامني وقته في البحث والتاكد من وجود الثغره وانها موجوده فقط بهذا المنتج او الرابط الذي تم الابلاغ عنه ام انها موجوده بمنتجات او روابط اخري؟

وعندما يتم التأكد يقوم الفريق الامني للشركه باصدار ترقيع امني للثغره لاصلاحها تماما ..

بعد هذه الخطوات وبعد التاكد من ان الموقع او الخدمه لم يعد مصاب .. يتم طرح اسم الباحث الامني او مكافاته علي حسب الجهه التي يقوم بالابلاغ لديها

كما ان علي الباحث الامني ان يراسل الشركه باستخدام بياناته الحقيقيه فلا يمكن ان يراسلهم من خلال اسم مستعار او حتي بريد مزيف

فعلي سبيل المثال لو كانت الجهه التي يراسلها جهه تعتمد نظام المكافاءات فانهم سيحتاجون بياناتك الحقيقيه ليرسلوا لك مبلغ المكفأه.

من الجدير بالذكر أيضا ان شركة البايبال Paypal قامت بتطبيق نظام حائط الشهره ونظام المكفأه منذ وقت قريب .. لمزيد من التفاصيل:

http://www.security4arabs.com/2012/06/30/paypal-will-pay-security-researchers/

شكرا لحسن المتابعه .

© إبراهيم حجازي for مجتمع الحماية العربي, 2012. | Permalink | 8 comments | Add to del.icio.us
Post tags:

Feed enhanced by Better Feed from Ozh

قامت شركة أدوبي العالمية بإغلاق أحد مواقعها لإجراء عمليات بحثيه وتقصي عن ماهية الثغرات التي استطاع من خلالها الهاكر المصري

ان يخترق أحد سرفرات شركة أدوبي والحصول علي ما يقرب من 150 الف من الباينات الكامله للعاملين والعملاء بشركة أدوبي ..

وقد قام الهاكر بتسريب بعض البيانات من اميلات @adobe.com كدليل علي اختراقه لاحد سرفرات شركة أدوبي ..

يذكر أن شركة أدوبي قامت بتأكيد خبر الإختراق بعد ان قامة بمراسلة المخترق عن بيانات الثغره التي استطاع من خلالها الدخول الي أحد سرفرات شركة أدوبي

وقد قام المخترق علي حسب ذكر شركة أدوبي بإبلاغ الشركه بالثغره وببيانات التي حصل عليها تفصيلا ..

ونقلت وسائل إعلام أجنبية عن الشركة، قولها إن الموقع تعرض للاختراق من قِبَل “قرصان مصرى”، وهو ما سوف يترتب عليه إعادة تعيين كلمات المرور الخاصة، لأكثر من 150 ألف مستخدم على النطاق العالمى، الخاصة بالحسابات مدفوعة الأجر.

يذكر ان التدوينه التي كتبها الهكر المصري علي موقع موقع pastebin كان يقول فيها بأن سبب هذا الاختراق هو التاخر الكبير من جانب شركة ادوبي في الاستجابه لعملية الابلاغ عن ثغراتها والتعامل مع مشاكلها الأمنيه حيث تقوم الشركه بالرد علي رسائل استقبال الثغرات بعد 5 الي 7 ايام من ارسال تفاصيل الثغره اليهم

وتأخذ الشركه ما بين 3 الي 4 شهور حتي تقوم بترقيع الثغره وهو الامر الذي يهدد أمن المستخدمين لمنتجات الشركه بشكل كبير.

بعض المصادر عن الخبر :

http://www.msnbc.msn.com/id/49826676/ns/technology_and_science-tech_and_gadgets/

http://www.bitdefender.com/security/adobe-investigating-possible-leak-of-150-000-customer-database.html

http://www.reuters.com/article/2012/11/14/net-us-adobe-breach-idUSBRE8AD1FJ20121114

تعليق شركة أدوبي علي عملية الإختراق:

http://blogs.adobe.com/adobeconnect/2012/11/connectusers-com-forum-outage-following-database-compromise.html

© إبراهيم حجازي for مجتمع الحماية العربي, 2012. | Permalink | 7 comments | Add to del.icio.us
Post tags:

Feed enhanced by Better Feed from Ozh

“الحرب القادمة ليست حرب جنود  ودبابات … ولكنها الحرب الإلكترونية!”

ربما كثيرون سمعوا أو حضروا مؤتمر Cairo Security Camp المختص بأمن المعلومات والذي جرت فعالياته في القاهره في 24 من November لعام 2012
كنت محاضرا  في هذا المؤتمر وكانت المحاضرة بعنوان ” الحرب الإلكترونية في الشرق الأوسط”  لذا وددت أن اشارك معكم تلك التجربة وإن جائت متأخره لعدة أسباب  ..

ما هو الهدف من هذه المحاضرة؟
ﻻ يخفي علي أحد التطور الرهيب الذي حدث مؤخرا فيما يسمي ب “الحرب الإلكترونية” ما بين هجوم علي منشئات نوويه الي تجسس علي أهداف عسكرية وشبكات ضخ الطاقة مرورا بالتجسس وجمع المعلومات عن أهداف إقتصادية ومحاولات لتخريب البني التحتية الخاصه بدولة من جانب دولة اخري .. الي أخره
حتي إن الخبراء العسكريين المخضرمين قالوا بأن الحرب القادمة ليست حرب جنود  ودبابات … ولكنها الحرب الإلكترونية!
لذا .. عبر ذكر أشهر الأحداث والإختراقات التي حدثت مؤخرا في الشرق الأوسط وقد إختصصت بالذكر في هذه الأحداث والاختراقات لثلاث دول تعتبرالمحور الرئيسي كقوة سياسيه لها ثقلها في الشرق الأوسط .. وهذه الثلاث دول هي ” إيران – مصر – إسرائيل”
الموضوع ﻻ يتم الحديث عنه بشكل سياسي ولكن تم الحديث عنه بشكل يخص محاولات الاختراق او التخريب التي تمت بين هذه البلاد الثلاثه ودوافعها..
وقد ذكرت أيضا أحداث اخري حدثت في الشرق الأوسط مست بدورها الدول العربية ..
ما أردت توضيحه هنا من ذكر عمليات الاختراق والتخريب هو .. هل لدي الدول العربيه القدرة هل تدشين حرب الكترونية ضد دولة اخري معادية؟
اذا كان لدي تلك الدول من الإمكانيات والقدرات والمواهب ما يأهلها لخوض غمار الحرب الإلكترونية .. فهل لديها من القدرة أيضا ما يمكنها من تأمين منشئاتها الحساسه او البنية التحتية الخاصه بها ضد عمليات اختراق معادية ربما تودي ببنيتها التحتية او تكون سببا في تهاوي إقتصادها  بل ربما أكثر من ذلك مما تسببه الحروب الإلكترونية من تخريب ودمار؟

لن أطيل عليكم .. لنستعرض سويا ال Agenda الخاصه بالمحاضرة ومن ثم يمكنكم تحميل المحاضرة وقرائتها بتأني

1.  What is Cyber Warfare
2. Fields of Cyber Warfare
   A) Critical web sites
   B) Computers and Networks
3. Middle East and Cyber warfare motivations
4. Hacking Groups and individuals in: Egypt – Israel – Iran
5. Famous Web Defacements and Computer Attacks
6. Responsible authorities for cyber security in:
   A) Egypt
   B) Iran
   C) Israel
7. Comparison & Comments
   —–
   يمكنكم تحميل المحاضرة من خلال الرابط التالي:
   http://www.bluekaizen.org/wp-content/plugins/download-monitor/download.php?id=56
   Overview: http://www.bluekaizen.org/cscamp-2012/cscamp_11_4-17.php
   
   ولمن لديه إستفسار او توضيح او تعليق فليتفضل بطرح تعليقه وسيتم الإجابه عليه.

© إبراهيم حجازي for مجتمع الحماية العربي, 2013. | Permalink | 4 comments | Add to del.icio.us
Post tags: الإلكترونية, الحرب, الحرب الإلكترونية, المعلوماتية, مصر وإسرائيل, مصر وإيران

Feed enhanced by Better Feed from Ozh

من المعروف أن روسيا من أقوي الدول التي يمكنها إدارة الحروب الإلكترونيه علي مستوي العالم كنظيراتها الأمريكية, ألمانيا وغيرهم وإن كانت الصين هي المتربعه علي عرش القوة الضاربه في مجال الحرب الإلكترونية ..
في عام 2008 عندما قامت روسيا وبعض من حلفائها بشن هجمات حجب الخدمه DDOS علي دولة جورجيا علي نطاق واسع مما تسبب في تهاوي البنيه التحتيه لدولة جورجيا حيث جاء الهجوم علي مواقع البنوك ومزودات الإنترنت وشركات المحمول ومواقعها الإخبارية وكذالك لم تسلم شركات الطيران والمواصلات من تلك الهجمات .. وقتها أدرك العالم مدي قوة الحروب الإلكترونيه وظهر أوجها أيضا مع ظهور Stuxnet  ..
وﻻكن دعونا نركز الان علي روسيا .. يلقب الهكرز الروسيين في مجتمعات ال Underground بلقب Botnet Masters ..

ما هو ال ?Botnet

http://en.wikipedia.org/wiki/Botnet

http://searchsecurity.techtarget.com/definition/botnet

ومن المعروف أيضا ان أشهر استخدامات الإجهزه التي يتم اختراقها من خلال البوت نت والتي تلقب بالـ Zombies .. انها تستخدم في شن هجمات حجب الخدمه بشكل قوي معتمدة علي نوع الهجوم .. فهجمات حجب الخدمه أنواع مختلفه .. لذلك نجد ان روسيا فعليا من أقوم الدول في شن هجمات حجب الخدمه .. وقد ظهر هذا واضحا جليا في الهجوم علي دولة جورجيا .. والآن؟

روسيا تضرب من جديد ..

في واحده من أعنف الهجمات الإلكترونية التي ترقي الي مستوي الحرب الإلكترونية ..
يوم 7 مارس ظهر العديد من المتحدثين الرسميين بإسم شركات الإتصالات والبنوك الوطنيه وشركات البورصة في دولة التشيك ليخبروا العالم بالعديد من الكلمات والجمل التي تتلخص في:
“البنية التحتية لدولة التشيك تحت القصف الإلكتروني بواسطة روسيا”

حيث ظهرت Martina Kemrova وهي المتحدثة الرسمية لشركة T-mobile أحد شركات الإتصالات في التشيك والتي وقعت ضحيه لتلك الهجمات .. وقالت بأن الخدمات التي تقدمها الشركه لعملاءها من خلال الإنترنت قد منع الوصول  إليها تماما من خلال هجمات حجب الخدمه والتي يتضح بأن روسيا ورائها .. وهذا أيضا ما قاله المتحدث الرسمي لشركة الإتصالات الوطنية بدولة التشيك .. كذالك ظهر المتحدث بإٍسم البنك المركزي في التشيك Marek Petrus ليقول:
Hackers on Wednesday targeted the central bank CNB along with a number of commercial banks.and the attack appeared to come from Russia.
كذالك لم تسلم مواقع الأخبار الإلكترونية مثل ihned.cz, idnes.cz, and novinky.cz والتي تصنف من أكثر المواقع زيارة بشكل يومي في التشيك .. وقد أكد مدراء تلك المواقع بأنهم أيضا كانو ضحية لتلك الهجمات!
تلك الهجمات علي المواقع الإخباريه يجعلنا نطرح سؤال مهم ومنطقي .. هل كانت روسيا أيضا وراء هجمات حجب الخدمة التي تمت في 2012 ضد  New York Times and Wall Street Journal ؟؟

والان لنحاول ربط بعض الأحداث ببعضها البعض لنجعل الصورة واضحه بشكل أكبر ..

النقطة الأولي .. منذ فترة قريبه تحدثت شركة Kaspersky علي لسان العديد من الباحثين الأمنيين لديها عن عملية تسمي Red October والتي تم فيها اختراق العديد من أجهزة الكومبيوتر لأجهزة حكوميه وسفارات وسياسيين وأيضا مؤسسات تابعه لأجهزة الإستخبارات لدول مختلفه يقع أغلبها في اوروبا .. كانت دولة التشيك واحده من تلك الدول التي وقعت ضحية الهجوم!

النقطه الثانيه .. في نهاية العام المنصرم ظهرت العديد من المواضيع علي مدونات الباحثين الأمنين تتحدث عن إنتشار ثغره في برنامج Adobe Reader تم بها إستهداف العديد من أجهزة أشخاص عاملين بأجهزة حكوميه وسياسية وأيضا جهات حكومية وعسكرية تابعة لدول أوروبا .. كانت أيضا التشيك واحده من تلك الدول التي وقع عليها الهجوم!

النقطه الثالثه ..  هو ما حدث الان من هجمات حجب الخدمة المروعه التي شنت أيضا ضد التشيك!

كما ترون فإن التشيك كانت عامل مشترك في العديد من الهجمات وما حدث مؤخرا من هجوم تم من خلال روسيا.
وهنا السؤال المهم .. هل كانت روسيا أيضا وراء عملية Red October؟
هل كان الصينين حقا هم وراء انتشار عملية الإختراق المستهدفة للجهات الحكومية والأجهزة الأمنيه أم أنها روسيا أيضا وﻻكن مختبأه في عباءة الصينيين!؟

شأركونا بأرائكم ومقترحاتكم حول الإستفسارات المطروحه.

© إبراهيم حجازي for مجتمع الحماية العربي, 2013. | Permalink | 7 comments | Add to del.icio.us
Post tags: حجب خدمه, حرب الإكترونية, روسيا, هجمات

Feed enhanced by Better Feed from Ozh

أخي عمرو هل لك أن تعرفنا بنفسك؟

إسمي عمرو علي وعمري 24 عام .. بدأ إهتمامي بالكمبيوتر والبرمجة منذ سن صغير جدا ومن ثم توجهت الي مجال أمن المعلومات والتشفير وبدأت العمل فعليا منذ سن ال 16 عام كمبرمج C and C++ وغيرها
ثم سافرت للعمل في أمريكا في شركات تابعة لمجال أمن المعلومات لفترة وعدت إلي مصر وعملت مع العديد من صناع القرار في هذا المجال مثل طاهر الجمل و Jeff Bardin وغيرهم
وشاركت أيضا في العمل في مشاريع تخص أمن المعلومات ولكن علي مستوي عدة دول فمثلا حادثة مثل Stuxnet شاركت العديد من الدول في العمل علي هذا الفيروس لتحليله ومعرفة دوافعه ومن وراءه
والعديد من تلك المشاريع وقمت بإفتتاح شركة Databraket الخاصه بي وكان عمري 20 عام وكنت محاضرا في العديد من مؤتمرات أمن المعلومات حول العالم.

بما انك كنت أحد المحاضرين في مؤتمر BlueKaizen عن الحرب الإلكترونية عالميا .. كيف تري الحرب الإلكترونية في الشرق الأوسط؟

في كلامي عن الشرق الأوسط اري انهم دائما ضحايا فقط يعني لم اري لهم هجمات فعليه معروفه وهم دائما محط الهجوم.

ولكن يا عمرو لاتنسي بأن إيران هي أيضا جزأ من الشرق الأوسط وهي معروفه بقوتها في هذا المجال؟

لا أري ان هذا الكلام واقعي فإّيران كغيرها من الدول القمعية التي تريد نشر الحديث عن أنها دولة قويه في كل المجالات حتي تنشر عنها تلك الصورة ولكن فعليا ليس لديها القدرات البشرية لذلك

ألا تري ان موضوع اختراق وحدة الحرب الإلكترونية لنظام الطائرة بدون طيار الأمريكية وإنزالها هو شئ يدل علي قوة إيران في هذا المجال؟

من قال ذلك؟ هم أصلا فعلوا ذلك بأدوات روسية تستغل ثغرة في النظام الملاحي لهذه الطائرة وأعود لأكرر كون ان لديك القدرات علي إستخدام أدوات الغير لا يعني انك قوي ولاكن القوة تكمن في
مقدرتك أنت علي تصنيع الأدوات والبرمجيات والتكنولوجيا التي تستخدمها فمثلا أمريكا لديها شركة جوجل وشركة HP وغيرها وهم لديهم من التكنولوجيا ما لم نسمع عنه أصلا لذا تستطيع أن تقول بأن

أمريكا لديها القدرة علي تكوين وحدات حرب إلكترونية ولديها القدرة البشرية والتكونولوجية لذلك.

 هل تظن ان الدول العربيه تملك القدرة علي شن حرب الكترونية او حتي الدفاع عن منظوماتها في حالة نشوب حرب الإكترونية ضدها؟

ربما يكون هناك بعض الفرق في الدول العربية التي يمكنها إحداث الضرر أو الخسائر بدول أخري ولاكنه ليس الهجوم الذي يرقي إلي مستوي الحرب الإلكترونية فالحرب الإلكترونية نتحدث فيها عن الهجوم علي البنية التحتية كاملة لدولة ما وليس مجرد الهجوم علي مواقع او قواعد بيانات وان كانت هذه ايضا مهمه لاكنها لا ترقي إلي مستوي الحرب الإلكترونية
اما علي الجانب الدفاعي فأري ان الإمارات هي البلد العربي الوحيد الذي يهتم بأمن المعلومات بكل ما تحويه الكلمة من معني فنجدهم يقيمون العديد من المؤتمرات الخاصة بأمن المعلومات ويستضيفون مؤتمرات خارجيه كما حدث مع مؤتمر BlackHat حتي انهم يوظفون العديد من الخبراء الأجانب لديهم ليستفيدوا من خبراتهم ويقومون بالإستعانة بأنظمة الحمايه العالمية لتطبيقها علي مستوي البلد كاملة وليس علي مستوي شركات معينة

أخي عمرو .. كونك عملت علي المشروع الخاص بتتبع وتحليل فيروس Stuxnet فهل فعليا ستوكس نت كان أول سلاح حرب إلكترونية حقيقي علي الانترنت؟

ﻻ يمكنني الجزم بأن هناك أسلحة مشاببه لستوكس نت تم إستخدامها مسبقا فربما حدث ذلك ونحن ﻻ نعلم ولكن كشئ متعارف عليه فإن ستوكس نت كان هو الشرارة لبدأ تطوير أسلحة حرب إلكترونية أشرس
فكما نر ي أنه كان موجة ليس إلي إيران بشكل عام ولكن إلي المفاعل النووي الإيراني في بوشهر تحديدا وفعليا نجح في الوصول إليه!
النقطة التي أحاول إيصالها هي أن الخوف ليس من ستوكس نت فقط ولكن بعد عمليات تحليل هذا الفيروس والهندسة العكسية التي تمت عليه أصبح لدي الكثير نسخه من الكود المصدري الخاص بستوكس نت لذا
يمكن لتلك الشركات او المؤسسات أن تقوم بأخذ نسخة من ستوكس نت وتقوم بتطويرة إلي فيروس أقوي في عملية التخريب أو حتي في إستخدامات التجسس ويتم الإستعانة ببعض من الكود الخاص بستوكس نت

ليتم إضافتها إلي فيروس أخر وهكذا .. لذا ليس الخوف فقط من ستوكس نت ولكن مما سيصبح عليه ستوكس نت بعد ذلك!

ما هو الفارق من وجهة نظرك بين مجال أمن المعلومات في الوطن العربي وبين مجال أمن المعلومات في الدول الأجنبية؟

اري انها إختلاف في الثقافة وليس إختلاف في العقول فكلنا لدينا عقول وليس كلنا لدينا ثقافة .. فمثلا تجد في الغرب الجميع يساعد بعضه البعض وينظرون الي ما ستكون عليه انت
بعد 5 سنوات او 10 سنوات وليس إلي ما أنت علية الآن! فالعرب تجد كل شخص يهتم لصورته هو فقط ولتلميع صورته وليس لمساعدة الاخرين كي ينهضوا ثقافيا ﻻن ذلك من رأيه

سيأثر علي صورته هو! لذا هو إختلاف في ثقافة العمل فالغرب لديهم مفهوم المشاركة فأنا علمتك المعلومه كذا اليوم وغدا انت تعلمني معلومه اخري وهكذا.

قرأت لك تعليق ذات مره بأن منظمات أمريكية تقوم بتوظيف الهكرز ذات القبعات السوداء ليعملوا لصالحها لتطوير قدراتها في الهجمات الإلكترونية حتي انك قلت بأن لديهم أشخاص “مجانين” يعملون لديهم .. فهل لك ان تحكي لنا ببعض التفصيل عن ذلك الموضوع؟

هذا صحيح فالجيش الأمريكي يحاول تطوير قوتة العسكرية بكل الأشكال المتاحة حتي إن لديهم ما يقرب من 42 ألف خبير في أمن المعلومات والحرب الإلكترونية يعملون في الجيش الأمريكي وهو رقم مهول
وغير ذلك من المنظمات الأمريكية التي مثلها مثل RBN الروسية.
اما عن لفظة مجنون فدعني اوضح لك ما قصدته بذلك .. هناك أشخاص تكون حياتهم كلها مخصصه للدراسه والعمل علي مجال واحد فقط وتجدهم منعزلين عن العالم الخارجي

فمثلا اذا كان هناك مواطن عربي يعيش حياته كلها لدراسة البرمجه والعمل بها وﻻ يفعل اي شئ اخر بحياته سوي ذلك فهو منقطع عن حياته الاجتماعية والاسرية الخ ونحن العرب ندعو هذا الشخص مجنون او لديه مرض نفسي .. ولكن أمريكا نجحت في اظهار مثل هؤلاء الأشخاص علي أنهم هم الصورة الأفضل وأنهم أشخاص عباقرة وقاموا بالإستعانة بكثير منهم في تكوين فرق تابعة لوحدة الحرب الإلكترونية .. وهذا ما قصدته.

شكرا لك أخي عمرو علي هذا الحديث الشيق والممتع.

© إبراهيم حجازي for مجتمع الحماية العربي, 2013. | Permalink | 10 comments | Add to del.icio.us
Post tags:

Feed enhanced by Better Feed from Ozh

قبل أن أبدأ بشرح ثغرات ال Unvalidated Redirects

دعونا نعطي مثال بسيط حتي نفهم فكرة ال  (التحويل)Redirection

المستخدم تلقي رسالة علي بريده الإلكتروني بالمحتوي التالي:

عزيزي المستخدم .. يمكنك زيارة المدونة الخاصة بموقعنا من خلال الرابط التالي:

http://www.goodsite.com/link.php?url=http://blog.goodsite.com

إذا عندما يقوم المستخدم بالضغط علي الرابط بالإعلي فإنه سيتم توجيهة إلي http://blog.goodsite.com

إذا كيف يمكن إستغلال الرابط أعلاه؟

الأمر بسيط جدا .. حيث سيقوم المهاجم/المخترق بإستبدال الرابط الذي سيتم تحويل المستخدم إليه برابط آخر تابع له حتي يتم تحويل المستخدم إلي موقع المهاجم.

مثال:

عزيزي المستخدم .. يمكنك زيارة المدونة الخاصة بموقعنا من خلال الرابط التالي:

http://www.goodsite.com/link.php?url=http://blog.attacker.com

إذا عندما يقوم المستخدم بالضغط علي الرابط بالإعلي فإنه سيتم توجيهة إليhttp://blog.attacker.com

ولكن كما تري فقد تم تحويل المستخدم من خلال موقع goodsite.com والذي يفترض به ان يكون موقع موثوق لدي المستخدمين.

ما هي الخطورة التي ستقع علي المستخدم من خلال هذا النوع من الثغرات؟

1- تحويل المستخدم إلي صفحات تسجيل دخول مزورة شبيهه تماما لنفس صفحة تسجيل الدخول الخاصة بالموقع الأصلي وربما يكون إسم النطاق(Domain name)  أيضا شبيه لنفس إسم النطاق الخاص بالموقع الأصلي وبالتالي سرقة بيانات تسجيل الدخول الخاصة بالمستخدم.
مثال: بدلا من أن يتم تحويلك لموقع الفيس بوك www.facebook.com يتم تحويلك لموقع www.faecbook.com   هل لاحظت الفارق؟

2- تنزيل ملفات خبيثة (Trojans) علي أجهزة المستخدمين .. حيث يمكن للمهاجم تحويل المستخدم علي صفحه تستغل ثغرة في البرمجيات المنصبة علي جهاز المستخدم .. برمجيات مثل Java, Flash Player, Adobe Reader وغيرها

إذا ما السبب في حدوث تلك الثغرة؟ وكيف للمبرمج أن يحمي نفسه منها؟

الخطأ ان المبرمج لا يستخدم أي نوع من أنواع التحقق(validation) حتي يتأكد من الرابط الذي سيتم تحويل المستخدم إليه!

بعض طرق الحماية من تلك الثغرة:

1- Security Tokens

ما هي ال Security tokens

هي أرقام يتم تكوينها بنوع ما من التشفير(علي حسب المبرمج) وكمثال فهي تكون تجميعه من رابط الموقع + التوقيت الحالي + Salt

مثال:

“TRIffZRIE_yke-3Z1pxFaHaDC5FOPEXEGx6LpRZdjW”

فيصبح الرابط بالشكل التالي:

http://www.goodsite.com/link.php?url=http://blog.goodsite.com&token=TRIffZRIE_yke-3Z1pxFaHaDC5FOPEXEGx6LpRZdjW

اذا وظيفة الToken في هذه الحالة هي التأكد من أن الرابط الذي سيتم تحويل المستخدم إليه هو رابط موثوق منه ومسجل في قاعدة بيانات الموقع ولم يتم التلاعب به لان كل رابط يكون له Security Token واحد فقط.

2- Black & White List

حيث يقوم المبرمج بإنشاء قائمة من المواقع الموثوق بها والتي يتم تحويل المستخدمين إليها وما عدا تلك المواقع فلا يتم تحويل المستخدم الي أي شئ اخر بل يظهر صفحة خطا في حالة تم التلاعب بالموقع الذي يتم تحويل المستخدم إليه.

نأتي هنا لمثال عملي علي موقع شركة Kaspersky عملاق شركات إنتاج برمجيات الأمن المعلوماتي .. حيث كان الموقع مصاب بثغرة من هذا النوع الذي نتحدث عنه اليوم

وفي الفيديو التالي نجد انه تم إستغلال الثغرة بطريقة المحاكاة لمحاكاة إستغلال الثغرة من قبل الهاكرز واستخدامها في نشر الملفات الخبيثة (Trojans) مستغلين إسم وثقة Kaspersky لدي المستخدمين.

تخيل معي عزيزي القارئ  رابط يأتيك من شركة كاسبرسكي(وهي مصدر موثوق لا محاله) ويطلب منك تحميل ملف! أو صفحه يتم تحويلك إليها من موقع كاسبركي وتطلب منك بيانات معينه او تعرض عليك تنزيل آخر إصدار من برنامج كاسبرسكي المدفوع وبشكل مجاني!

“أكثر المصادر ثقة لك .. قد يكون هو عدوك الأسوء!”

الفيديو للمزيد من التفاصيل:

الثغرة في الفيديو تم إكتشافها من قبل كاتب الموضوع وتم إبلاغها لشركة كاسبرسكي فور إكتشافها وهي مرقعه في الوقت الحالي.

© إبراهيم حجازي for مجتمع الحماية العربي, 2013. | Permalink | 7 comments | Add to del.icio.us
Post tags:

Feed enhanced by Better Feed from Ozh

عام 2013 .. حيث اقتحمت المواقع الاجتماعية حياتنا بشكل كامل .. فلم يعد يمر يوم علي أحدنا إلا وقد فتح ال Facebook و Twitter و Youtube وغيرها ليتابع الجديد مع عائلته وأصدقاءه وما يحدث ..وبهذا أصبحت حياتنا الخاصة كاملة معرضة لكسر خصوصيتها وإذاعتها علي المشاع!

سنتحدث اليوم عن الطرق التي يتمكن من خلالها الهاكرز اختراق حساب ال Facebook الخاص بك حتي نعرف كيف نحمي خصوصيتنا من الاختراق .. وتنطبق نفس الطرق علي باقي المواقع الاجتماعية.

والطرق كالتالي:

1- صفحات تسجيل الدخول المزيفة (Phishing Attacks)
2- برمجيات الطرف الثالث المستخدمة في حساباتنا (Third party Applications)
3- تخمين كلمة المرور (Brute force attacks)
4- تخمين الإجابات لطرق استعادة كلمة المرور
5- كلمات المرور المسجلة في متصفحك

الآن دعونا نفصل كل نقطة علي حدي حتي نفهمها جيدا.

1- صفحات تسجيل الدخول المزيفة (Phishing Attacks)
بالطبع هذا هو أكثر أنواع الهجوم إنتشارا فمن منا لم يصله رابط يشبه رابط موقع الفيس بوك ويطلب منه تسجيل الدخول حتي يمكنه رؤية الفيديو الفلاني او الصورة التالية الخ
وفي هذا الهجوم يستخدم المخترق أسماء نطاقات(domains) تشبه نطاقات الفيس بوك .. مثال:

هل لاحظت الفارق؟

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1-  تأكد بأن الرابط انت من كتبته بيدك ولم يأتيك من خلال رساله علي الفيس بوك او رساله علي بريدك الإلكتروني.
2- عليك بالتأكد من ان الموقع الذي تقوم بإدخال بياناتك فيه هو رابط موثوق يبدأ ب https

2- برمجيات الطرف الثالث المستخدمة في حساباتنا (Third party Applications)
المقصود بهذه الجملة هي البرمجيات (applications) التي لم يتم برمجتها بواسطة الفيس بوك ولكنها تستخدم لإضافة ميزات لحسابك في فيس بوك .. مثل برمجيات الألعاب, وبرمجيات المحادثة او برمجيات الأخبار .. أمثلة علي ذلك:
المزرعة السعيدة .. Skype .. اعرف من اكثر صديق مقرب إليك .. اعرف من زار بروفايلك .. اعرفي اسم زوجك المستقبلي!

وغيرها من البرمجيات التي نستخدمها في حساباتنا . ولكن!
عندما تقوم بالإشتراك في أحد هذه البرمجيات ستأتيك رسالة تخبرك بالتالي وتطلب منك تأكيد ذلك:

هل تري مقدار البيانات التي سيتمكن هذا التطبيق من الحصول عليها في حسابك بمجرد الموافقة علي الاشتراك فيه؟!!

ولكن للأسف المشكلة انه ﻻ أحد يقرأ اصلا ما هو مكتوب .. فلدينا ثقافة “أضغط Next حتي النهاية!”

الكثير من هذه البرمجيات يكون خطير جدا حيث يمكن لصاحب هذه البرمجيات التحكم في حساباتنا بشكل كامل مثل النشر علي صفحتنا والحصول علي نسخه من البريد ألإلكتروني و الصور الخاصة بنا إلخ.

وهنا شرح فيديو لأحد مكتشفي الثغرات يستخدم ثغره في أحد البرمجيات علي الفيس بوك لإختراق المستخدمين والتحكم بحساباتهم:

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1- ﻻ توافق علي هذه البرمجيات إلا الموثوق منها فقط
2- لا تسمح بالبرمجيات التي ستحصل علي صلاحية كاملة علي حسابك!
3- تأكد من البرمجيات الموجودة في حسابك من خلال الرابط التالي وقم بحذف البرمجيات التي تشك بأمرها أو لم تعد تستخدمها
https://www.facebook.com/settings?tab=applications

3- تخمين كلمة المرور (Brute force attacks)

هناك العديد من الأشخاص يستخدمون كلمات مرور سهله يمكنه تخمينها بسهوله مثل رقم هاتفه او اسمه او ارقام مثل 123456789 او 123qwe وغيرها من كلمات المرور التي يسهل تخمينها .. وكلمات المرور كهذه تجعل حسابك معرض للاختراق في أي لحظة!

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1- قم بعمل كلمة مرور صعبه تحتوي علي حروف صغيرة وكبيرة + أرقام
فمثلا لو كنت تنسي كلمة مرورك كثيرا لذلك اخترت ان تكون كلمة المرور هي اسمك .. فيمكنك ايضا عملها بشكل صعب ﻻ يمكن تخمينه
فمثلا لو أن اسمك هو mohamed واردت ان تكون كلمة محمد هي كلمة مرورك فيمكنك تعديلها بحيث تصبح كلمة مرورك هي M0hAmeD!$
هو نفس الاسم ولكن تم استبدال حرف O برقم صفر واستخدام حروف صغيره وكبيرة + بعض الرموز
هذا مثال بسيط وبالطبع يمكنك زيادة ارقام او التعديل عليها كما تشاء المهم ان لا تجعلها سهلة التخمين

4- تخمين الإجابات لطرق استعادة كلمة المرور
حيث يفوم المخترق بمحاولة إستعادة كلمة المرور الخاصة بك .. وفي هذه الحالة سيظهر له سؤال الأمان الذي قمت أنت باختياره حتي تتمكن من خلاله بإسترجاع كلمة مرورك في حالة فقدانها .. للاسف كثيرون يختارون أسئله سهله مثل محل الميلاد .. المنطقة التي تعيش بها .. اسم الأب وخلافه من هذه الأسئلة التي يمكن تخمينها بسهوله وهو ما يعرض حسابك للاختراق.

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1-قم بإختيار سؤال سري يصعب تخمين إجابته
2- حاول تجنب طريقة استرجاع بريدك من خلال السؤال السري ويفضل ان يكون إستعادة كلمة مرورك من خلال بريد إلكتروني آخر تملكه أو من خلال رقم هاتفك.

5- كلمات المرور المسجلة في متصفحك
حينما تقوم بتسجيل الدخول إلي موقع الفيس بوك أو اي موقع آخر فان المتصفح سيقوم بسؤالك .. هل تود حفظ كلمة المرور في المتصفح؟
هذا الخيار يتيح لك ان تقوم بحفظ كلمة المرور في المتصفح وعندما تقوم بتسجيل الدخول في المره القادمه لن يتوجب عليك كتابة كلمة المرور مره اخري فهي محفوظه في المتصفح كل ما عليك هو الضغط علي زر تسجيل الدخول فقط.

نعم هو خيار يسهل عليك الموضوع ويساعدك أيضا علي ان ﻻ تحفظ كلمات مرورك أًصلا!  ولكن ما مدي خطورة هذه الميزة؟

تخيل ببساطة انك قمت بعمل ذلك علي جهازك في العمل .. أي شخص يمكنه الجلوس علي حاسوبك لن يستغرق اكثر من دقيقتين لاستخراج كلمات المرور التي قمت بحفظها في متصفحك!

فلو أنك تستخدم متصفح ال Firefox علي سبيل المثال فيمكنك التأكد من كلمات المرور المسجلة في متصفحك من خلال الخطوات التالية:

1- من قائمة متصفح الفايرفوكس قم بالذهاب الي Tools ثم Options وفي إصدارات اخري من المتصفح تكون باسم Edit ثم Preferences
2- من القائمة التي ستظهر لك اختار Security ثم Saved Passwords
3- ستظهر لك قائمة بكل المواقع وكلمات المرور واسم المستخدم التي قمت بحفظها في متصفحك!!!

اذا كما تري فالأمر ﻻ يستغرق سوي بضع ثواني حتي يمكن لأي شخص يمكنه الجلوس علي حاسوبك حتي يقوم بأخذ كلمات المرور الخاصة بك!

كيف أحمي نفسي من هذا انوع من الإختراقات؟

1- ﻻ تقم بحفظ كلمات المرور الخاصه بك في المتصفح بالطبع!
2- اذا كنت تواجه مشكلة النسيان فإرجع للحل رقم 1 في طريقة الاختراق رقم 3 في نفس الموضوع.
3- ان كنت لا محالة تريد حفظ كلمات المرور الخاصة بك فيمكنك استخدام احد برامج حفظ وتشفير كلمات المرور الخاصة بك مثل KeePass وغيره
4- ان كنت ﻻ محالة تريد فعل ذلك وتتكاسل عن استخدام برامج حفظ وتشفير كلمات المرور فيمكنك علي الأقل حفظ كلمات المرور الخاصه بك في ملف Text وحفظه في مكان ليس بالسهل إيجاده داخل حاسوبك.
5- إن كنت لا محالة تريد فعل ذلك وﻻ يمكنك استخدام اي من الطرق أعلاه .. فاكتب كلمة مرورك في Post علي الفيس بوك وأرح عقلك

شكرا لمتابعتكم.

© إبراهيم حجازي for مجتمع الحماية العربي, 2013. | Permalink | 6 comments | Add to del.icio.us
Post tags: FaceBook, Hacking facebook, security, اختراق فيس بوك, حماية حساب فيس بوك

Feed enhanced by Better Feed from Ozh

يبدوا أن عام 2013 يأبي ان يرحل قبل تساقط جميع العمالقة والرواد في مجال تكنولوجيا المعلومات!

شركة أدوبي Adobe إحدي عمالقة شركات تكنولوجيا المعلومات والتي اخرجت لنا برمجيات ﻻ يوجد جهاز كمبيوتر لا يستخدمها مثل:

Adobe Flash Player الذي يتسخدم في المتصفح لعرض الفيديوهات .. و Adobe Acrobat Reader الذي يستخدم في قرائة ملفات الكتب الإلكترونية .pdf وكذلك ال Adobe Photoshop وغيرها الكثير والكثير.

تم بالأمس (الخميس 03-10-2013) إختراق السرفرات والشبكات الداخلية لشركة Adobe وقام المخترقون بسحب بيانات ما يقرب من 2.9 مليون عميل من مستخدمي منتجات أدوبي بكامل بياناتهم بما فيها بيانات بطاقات الإئتمان !

ليس هذا فحسب .. حيث قام المخترقون بسحب الكود المصدري (Source Code) الخاص ببرامج ومنتجات أدوبي مثل Adobe Acrobat reader و ColdFusion وغيرها!!

وقد أعلن مدير أمن المعلومات في شركة أدوبي [Brad Arkin] في تدوينة علي موقع الشركة  الرسمي قائلا ما معناه:

“نحن نعمل بشكل جاد جدا بالتعاون مع جهات أمنية وقانونية وأيضا شركات أمن معلوماتية .. لمعرفة كافة التفاصيل عن ذلك الحادث ومعرفة من وراءة”

وعلق أيضا قائلا:  “نحن نعلم بأن المخترقون قاموا بحذف بيانات ما يقرب من 2.9 مليون عميل من داخل أنظمتنا وتوصلوا الي الكود المصدري لبرامج تابعة لشركة أدوبي وحاليا نحصل علي الدعم مم المباحث الفدرالية للتحقيق في الحادث” المصدر

حاليا قامت شركة أدوبي بتغيير كلمات المرور لعملاءها وكذلك بالتواصل مع عملاءها وتحذيرهم بما جري و التواصل مع البنوك التي تتعامل معهم حتي ﻻ يتم إستخدام بطاقات الإئتمان المسروقة تلك في سرقة محتواياتها المالية.

يذكر أنه في شهر نوفمبر من عام 2012 قام هكر مصري يلقب نفسه ب Virus_Hima بإختراق أحد مواقع شركة أدوبي والحصول علي بيانات ما يقرب من 150000 من عملاء وشركاء لشركة أدوبي بما فيهم بيانات تتبع جوجل و ناسا وغيرها.  المصدر

وبناء عليه فاننا نتوقع ثغرات عالية الخطورة 0day ستظهر قريبا جدا بعد ان يقوم المخترقون بتحليل الكود المصدري Source code لبرامج أدوبي المخترقة

وموقع مجتمع الحماية العربي ينصح مستخدمي برنامج Adobe Acrobat reader في الفترة الحاليه بإستخدام بديل عن هذا البرنامج ك Foxit Reader

كما ننصح بإستخدام أداة No-Script الخاصه بمتصفح الفايرفوكس للحماية من عدة انواع من الثغرات وكذلك تقوم بتعطيل الجافا سكربت الا في المواقع الموثوقه فقط وهذا سيسهم بشكل كبير في حماية جهازك من عدة أنوع من الثغرات وطرق الإختراق.

لانه من المؤكد ان تلك الثغرات ستستخدم بشكل كبير جدا قبل ان تعلم عنها الشركة اي شئ!

© إبراهيم حجازي for مجتمع الحماية العربي, 2013. | Permalink | 2 comments | Add to del.icio.us
Post tags:

Feed enhanced by Better Feed from Ozh

قبل البداية بكتابة المقال يسعدني القول بأن البرنامج من برمجة عربية مائة بالمائة ويتم تطويرة وتحديثة بشكل مستمر.
إسم البرنامج: Sculptor
إسم المبرمج: Mohamed Maati
الموقع الرسمي: http://sculptordev.com

برنامج Sculptor او ما يطلق عليه برنامج النحات باللغة العربية. يساعد البرنامج مختبري الاختراق في اكتشاف واستغلال الثغرات من نوع SQL Injection
ويجب التنبيه إلي ان البرنامج مجاني تماما وهو بديل رائع لبرنامج Havij الواسع الإنتشار في هذا المجال والذي يصل ثمنه الي 650 دولار أمريكي!

خصائص ومميزات برنامج النحات هي كالتالي:

1. يدعم الحقن في قواعد البيانات من نوع:

· MySQL

· SQL Server

·Microsoft Access

2. يدعم الأنواع التالية من الحقن:

Error Based + Union Injection

· Blind SQl Injection

3. خاصية : Auto Scanning الفحص التلقائي للموقع واختباره واكتشاف ما به من ثغرات ومن ثم  يمكنك استغلالها بنفس البرنامج أيضا.

4. خاصية  Authentication Bypass: اول برنامج يوجد به امكانية استغلال هذا النوع من الثغرات حيث تتيح لك هذه الخاصية تخطي لوحة دخول مدير الموقع من خلال تجريب عدة Payloads مثال علي هذه الثغرة or ’1′=’a'– أو a’ or ‘a’='a وغيرها.

5. خاصية Auto Detects : امكانية تحديد نوع الحقن وقاعدة البيانات بشكل تلقائي.

6. خاصية specific injections: يتيح لمختبر الاختراق بتحديد نوع الحقن وقاعدة البيانات.

7. البرنامج يدعم حقن المواقع التي تعمل ببروتوكول HTTPS وكما نعلم فإن النسخة المجانية من Havij ﻻ تدعم مثل هذه الخاصية.

8. يدعم البرنامج الحقن في GET and POST

9. خاصية HTTP Post Engine feature : امكانية استغلال ثغرات SQLI with POST Type بثلاثة طرق مختلفة مع واجهة بسيطة للمستخدم.

10. يتيح للمستخدم امكانية تنفيذ اوامر على قاعدة البيانات وعرض النتائج.

11. امكانية حفظ النتائج بامتداد XML Or HTML.

12. امكانية الحقن فى اكثر من قاعدة بيانات متاحه.

13. امكانية استخدام بروكسي للتخفي عند استخدام البرنامج.

14. امكانية البحث عن لوحة تحكم مدراء المواقع Admin page finder

15. البرنامج ذو واجهة رسومية جيدة وسهله للمستخدم وهذا ما يفرقه عن الأداة القوية SQL Map.

يمكنكم مشاهدة بعض الفيديوهات التي تشرح بعض خصائص البرنامج من خلال الروابط التالية:

Sculptor – Sql Injection – Get All DataBases

http://www.youtube.com/watch?v=Qo_5YYO1vBc

Sculptor – Blind SQl Injection
http://www.youtube.com/watch?v=iQ7MKD8DpbA

Sculptor – Sql Authentication Bypass
http://www.youtube.com/watch?v=yBgfGakJ6Lo

Sculptor – Sql injection – Http Post Method

http://www.youtube.com/watch?v=rSplmBCaKNY

باقي الفيديوهات: http://www.youtube.com/user/SculptorScanner?feature=watch

ويمكنكم تحميل البرنامج ومتابعة التحدثيات من خلال الموقع الرسمي للبرنامج: http://sculptordev.com

© إبراهيم حجازي for مجتمع الحماية العربي, 2013. | Permalink | 8 comments | Add to del.icio.us
Post tags:

Feed enhanced by Better Feed from Ozh

يسرنا اليوم أن نتحدث عن إطلاق أداة WebPwn3r لفحص المواقع من الثغرات الخطيرة

والتي صممت خصيصا لمساعدة الباحثين الأمنين الذين يشاركون في مسابقات اكتشاف الثغرات التي تسمي ب Bug Bounty Programs

دعونا نشرح الأداة وطريقة عملها ..

الأداة تم برمجتها بلغة البايثون لتقوم بفحص المواقع من ثغرات Remote Code Injection و Remote Code Execution و XSS
الأداة تم برمجتها بواسطة كاتب الموضوع وهي حاليا تحت التطوير المستمر.

حيث يمكنك من خلال الأداة فحص رابط واحد أو عدة روابط .. رابط كمثال:

http:///site.com/namer/news.php?id=1&page=2&action=load

يمكنك انشاء ملف باسم list.txt ووضع روابط من مواقع مختلفه كالرابط بالأعلي ومن ثم تشغيل الأداة من خلال الأمر python scan.py واختيار رقم 2 لفحص جميع الروابط الموجوده داخل الملف من الثغرات الموضحه أعلاه.

المميزات الحالية في الأداة:

• 1- فحص رابط واحد او عدد ﻻ محدود من الروابط
• 2- اكتشاف واستغلال الثغرات من نوع Remote Code Injection
• 3- إكتشاف وإستغلال الثغرات من نوع Remote Command Execution
• 4- إكتشاف وإستغلال الثغرات من نوع XSS
• 5- الكشف عن ال WebKnight الذي يستخدم كجدار ناري للمواقع – WAF ومحاولة تخطيه
• 6- طرق إكتشاف وإستغلال الثغرات تم تطويرها بحيث تعمل علي أغلب انظمة التشغيل وكذلك لتتخطي الكثير من الجدران النارية المستخدمة في حماية المواقع من إكتشاف وإستغلال ثغراتها.
• 7- إستخراج بيانات عن البرمجيات المستخدمه داخل السرفر وكذلك إصداراتها.

فيديو يشرح كيفية عمل الأداة وإستخدامها في فحص عدة روابط:

أحد التجارب الناجحة للأداة هي إكتشاف ثغرة Remote Code Injection في موقع الياهو:

لتحميل الإداة تفضلوا  بزيارة الرابط التالي:

https://github.com/zigoo0/webpwn3r

او من خلال الرابط المباشر:

https://github.com/zigoo0/webpwn3r/archive/master.zip

© إبراهيم حجازي for مجتمع الحماية العربي, 2014. | Permalink | 12 comments | Add to del.icio.us
Post tags: ثغرات, فحص مواقع

Feed enhanced by Better Feed from Ozh

السلام عليكم ورحمة الله وبركاتة

كنت مشاركا في الفريق المنظم لمسابقة CTF(Capture The Flag) في مؤتمر Cairo Security Camp لهذا العام

وقمت بمشاركة التحدي Online حتي يتمكن الجميع من المشاركة .. واليوم هنا ان شاء الله سأقوم بشرح التحدي وطريقة الحل.

فكرة المسابقة[فكرة خيالية]:

وكالة المخابرات الروسية أعلنت عن مسابقة لتوظيف الهكرز للعمل لديها

فقامت بعمل موقع إلكتروني وطلبت من الهكرز تخطي ال Basic Authentication الخاصة بلوحة تحكم الموقع .. اذا إستطعت ان تجد لوحة التحكم وتتخطي ال Basic Authentication فستقابلك لوحة تحكم اخري مصرح بدخولها فقط لمن هم في الشبكة الداخلية للوكالة ولا يسمح لمن هم خارج الوكالة بالدخول إلي لوحة التحكم هذه.

فكيف ستتخطي كل هذه الحواجز إلي أن تصل إلي الشفرة المطلوبة؟

المطلوب بالترتيب:
١- أوجد مسار لوحة تحكم مدير الموقع (لن ينفعك التخمين)
٢- قم بتخطي ال basic authentication الموجوده عليها
٣- اذا استطعت عبور الاولي فستجد لوحة تحكم اخري وعليها أيضا basic authentication وغير مصرح بدخولها إلا لمن هم علي نفس الشبكة الداخلية للوكالة  .. اذا إستطعت تخطيها فستحصل مباشرة علي الKey

نبدأ بالحل ..

عند دخولك الي صفحة التحدي ستجد شكل الصفحه كالآتي:

الآن سنستخدم ال Exif لتحليل الصورة المدرجة داخل الموقع لنري ما هي البيانات التي تحتويها هذه الصورة؟

EXIF

. وهو اختصار لــ Exchangeable Image File حيث يمكننا من قراءة ال Metadata والبيانات الاخري التي تحتويها الصور مثل متي وأين وكيف إلتقطت الصورة وبيانات اخري.

هناك موقع يسمح لك بعمل ذلك بدون تنزيل أي أدوات .. علي الرابط التالي:

http://regex.info/exif.cgi

الآن ننسخ رابط الصورة ونضعه بالموقع المذكور وسنجد البيانات التالية:

هل تري؟ داخل ال “User Comment:” يوجد كود طويل مشفر بال Hex لنحاول أن نفك هذا الكود .. وهذا كان ال string الذي خرج لنا عند محاولة فك الكود:

Spasiba moy drog, Kake bofera check below dir s3cr3tDIR/

اذا لوحة التحكم هي علي الرابط التالي كما هو واضح بالأعلي:

s3cr3tDIR/

عند محاولة الدخول إلي تلك اللوحة ظهرت لنا Basic Authentication تطلب منا إدخال username & password .. فكيف يمكننا تخطيها؟

حسنا .. لنفهم كيف يتم عمل Basic Authentication بال htaccess فتعالو نبحث في جوجل عن كيفية عمل ذلك (المقصد من البحث هو ان تري عدة أمثلة) .. وقد وجدنا الكود التالي:

AuthUserFile /usr/local/htpasswd/.htpasswd
AuthGroupFile /dev/null
AuthName “Please enter password”
AuthType Basic
< Limit GET POST>
require valid-user
< /Limit>

ما نفهمه من الكود بالأعلي هو ان ملف ال htaccess سيقوم بحماية المجلد في حالة ما اذا قام المستخدم بفتح المجلد من خلال GET or POST request! وهي طريقه غير آمنة في حماية المجلدات لأن المستخدم إستخدم طريقة Limit لتحديد من يطلبون الموقع بواسطة طلبات من نوع GET أو POST

حيث انه اذا قام المستخدم بإرسال طلب للصفحه باي طريقه غير GET or POST فانه سيتخطي هذه الحماية!!

وهي تقنية معروفة بإسم HTTP Verb Tampering

إضغط هنا لتشاهد فيديو يشرح مزيد من المعلومات حولها.. والآن لنكمل.

الآن نقوم بزيارة الصفحة ونقوم بتعديل طريقة طلب الصفحه من GET الي اي شئ .. مثلا LOL:

كما ترون بالأعلي قمت بتعديل طريقة ال Request لتصبح LOL بدلا من GET وخرج لي المحتوي التالي:

ال response تقول بأن الصفحه غير موجودة! 404 Page not found

لكن هل لفت انتباهك ذلك الجزأ الذي في أسفل الصفحة باللون الأخضر وقد تم عمل تعليق(comment) له?

ممتاز .. إذا وصلنا للوحة الأدمن الأخيرة علي المسار التالي: sup3rFlag/ .. وعليها أيضا Basic Authentication! .. ولكن لحظة .. كيف سيمكننا تخطيها في حين أنها مسموح دخولها فقط لمن هم علي نفس الشبكة الداخلية للوكالة؟

كما هو واضح من الوصف المرفق مع التحدي أن لوحة التحكم الأخيرة موجودة علي الشبكة الداخلية للوكالة .. في الوضع الطبيعي إذا كنت تستخدم وندوز وقمت بتطبيق الأمر ipconfig أو علي لينوكس وقمت بتطبيق الأمر ifconfig فسيظهر لك ال IP الخاص بك علي شبكتك المحلية .. ولنفترض أنه 192.168.1.233 إذا فلو أنك علي الشبكة الداخلية للوكالة فإن الآيبي الخاص بلوحة التحكم سيكون داخل نفس النطاق .. يعني

192.168.1.2

رائع .. إذا سنقوم بتطبيق نفس السيناريو هنا علي التحديث اللذي لدينا .. كيف سيمكننا عمل Request لموقع داخل الشبكة الخاصة بموقع الوكالة؟!

الأمر هنا يعتمد علي نوع من الثغرات يسمي Host Header Attack

لن اطيل في الشرح عنه هنا لأني سأكتب عنه موضوع مفصل ان شاء الله .. لكن سأذكر هنا أن من ضمن إستغلالات هذا النوع من الثغرات هو إمكاينة طلب موقع علي الشبكة المحلية/الداخلية للموقع الأصلي

يعني مثلا لو أن الموقع site.com موجود علي سرفر ما .. وال IP الداخلي لهذا الموقع هو 192.168.1.155

وهذا الموقع مصاب بثغرة Host Header Attack فإنني يمكنني طلب الموقع الموجود علي الآيبي 192.168.1.154 لأنه علي نفس شبكة الموقع المصاب.

الطريقة ببساطة هي عمل طلب للموقع Request بأي طريقة سواء GET أو POST مع التعديل في ال Headers بإستبدال خانة ال Host بالآيبي الداخلي الذي نريد الإطلاع عليه, الموضوع يعتمد علي مشكلة في سرفرات ال Apache نفسها.

If Apache receives an unrecognized Host header, it passes it to the first virtual host defined in httpd.conf. As such, it’s possible to pass requests with arbitrary host headers directly to a sizable number of applications

وبهذه الطريقة إستطعنا الحصول علي ال Key الخاص بالتحدي

The flag is: 607fc5e8ce2abfc66fb55b3914a6b5f1

شكرا لمتابعتكم.

السلام عليكم ورحمة الله وبركاته,

اليوم أكتب لكل الذين يريدون أن يبدأوا في مجال أمن المواقع أو بدأو فعليا لكنهم لم يجدوا الطريق الذي يسيرون عليه.

ملحوظه: لن اكتب عن كيف تبدأ في مجال أمن المعلومات بشكل عام لأنه متنوع بشكل كبير

Network Security, Malware Analysis, Systems Security, Forensics, Reverse Engineering, Incident Handling وغيرها

لكني سأكتب في المجال الذي فيه تخصصي وهو أمن تطبيقات المواقع Web Applications Security حتي يمكنني إيصال المعلومة بشكل سليم ليكون ان شاء الله دليل ومرجع لمن يريد أن يبدأ في مجال أمن مواقع الإنترنت وإكتشاف ثغراتها ويجني المال من ذلك

رجاءآ اعلم جيدا أخي ان الموضوع سيتطلب منك وقت وجهد ولن يأتي بين يوم وليلة, وهذا الموضوع هو بمثابة خريطة لك تسير عليها في الفترة القادمة حتي تصير في مستوي متقدم بإذن الله, يعني ضع لنفسك جدول انه في خلال الثلاثة أشهر أو الست أشهر القادمة علي حسب ترتيبك أنت, تكون أنهيت كل متطلبات هذا الموضوع.

الأجندة:

١- كيف تفهم مجال إدارة المواقع الإلكترونية ومصطلحاتها وتتمرن عليها جيدا.

٢- كيف تبدأ في التعرف علي أنواع ثغرات المواقع وتفهمها جيدا.

٣- ما هي الخطوات المطلوبه لكي تكون قادرا علي إكتشاف ثغرات المواقع بنفسك.

٤- كيف تجني المال من اكتشاف ثغرات المواقع.

١- كيف تفهم مجال إدارة المواقع الإلكترونية ومصطلحاتها وتتمرن عليها جيدا؟

حسنا, لكي تبدأ في مجال أمن مواقع الإنترنت فيجب عليك أولا أن تفهم مجال إدارة مواقع الانترنت بشكل عام وكيف تعمل مواقع الإنترنت وما هي اللغات البرمجيه التي تستخدمها وماهي قاعدة البيانات وكيف تعمل وكيف يتم الربط بينها وبين التطبيقات(Applications) وغيرها من الأسئلة.

الموضوع سهل وبسيط إن شاء الله, سنقوم بتجربة عمل موقع إلكتروني وتشغيله كتدريب عملي علي كيف تعمل المواقع الإلكترونية وكيف تعمل قواعد البيانات وما هي ال Domains وغيرها.

المطلوب منك عزيزي القارئ أن تستخدم جوجل في البحث والقرآءة عن:

١- ما هي mysql وما هي phpmyadmin

٢- ما هو ال Appserv وكيف يمكن تثبيته (Install)

٣- ما هو ال WordPress وكيف يمكن تشغيله علي السيرفر المحلي Appserv

٤- كيف تقوم بحجز مساحة إستضافة مجانية و domain مجاني وتقوم بتشغيل ال WordPress عليها

٥- ما هو سكربت Vbulletin وكيف تقوم بتركيبه علي إستضافة مجانية أو علي ال Appserv

٦- مطلوب منك أن تقرأ جيدا عن ال HTML وتقوم بتصميم صفحات بها حتي تتمرن عليها جيدا وهي لغة سهله جدا ويمكن تعلمها في وقت قصير لكنك لن تدرك مدي سعادتك وأنت تجرب إنشاء صفحتك الخاصه وتضعها علي موقعك علي الإنترنت للمره الاولي

أنصحكم بمتابعة الكورس التالي بخصوص لغة ال HTML

٧- الآن جاء دور لغة البرمجة PHP وليس مطلوب منك أن تكون محترف فيها بل أن تعلم أساسيات اللغة سيكون كافيا لك لتبدأ في مجال أمن المعلومات, وحتي لا تتعب في البحث, إليك الكورس التالي وهو كورس مجاني ورائع وكافي أيضا للمبتدأين في لغة البرمجة PHP

#شكرا أخونا يوسف إسماعيل علي هذه الكورسات المميزة.

٨- يمكنكم أيضا ( بشكل إختياري) مشاهدة بعض الدروس (١٠ مثلا) من هذا الكورس الذي يشرح ال JavaScript باللغة العربية وهي لغة مفيدة جدا في مجال إكتشاف ثغرات المواقع:

إن شاء الله بعد إنهاء هذه الخطوات أضمن لك تماما أنك ستفهم جيدا كيف تعمل مواقع الإنترنت وما هي قواعد البيانات وكيف يتم إدارتها وربطها بالتطبيقات المختلفة وستتعلم كيف تقوم بإنشاء موقع علي الإنترنت وتقوم بإدارته وستعرف جيدا أغلب المصطلحات المنتشرة في هذا المجال وستفهم لغات البرمجة وكيف تعمل.

٢- كيف تبدأ في التعرف علي أنواع ثغرات المواقع وتفهمها جيدا؟

سأفترض بأنك قمت بعمل الخطوات السابقه والآن أصبحت لديك القدرة لفهم باقي ما سيتم كتابته لأنه لا أحد يصعد السلم ويبدأ من الدرجة السادسه!

حسنا الآن أصبحت لديك خلفية عن لغة البرمجة PHP وكيف تعمل, للتعرف علي ثغرات المواقع وما هي وكيف تصاب المواقع بهذه الأنواع من الثغرات, فعليك أن تجعل مرجعك في ذلك هو موقع owasp.org وهو الموقع المصنف الأول عالميا في شرح ثغرات ال Web Applications وتصنيف أخطر الثغرات لكل عام.

https://www.owasp.org/index.php/Top_10_2013-Top_10

الرابط الذي بالأعلي يحتوي علي أخطر عشر ثغرات تصاب بها تطبيقات الإنترنت (Web Applications) ويشرح كل ثغرة تفصيلا وكيف يتم اكتشافها واستغلالها فقط قم بالضغط علي إسم الثغره وستظهر لك تفاصيلها بالكامل.

مراجع اخري عن ثغرات المواقع وباللغة العربية:

الكورس بالأعلي يشرح أخطر عشر ثغرات تصيب مواقع الانترنت والكورس باللغة العربية.

شرح ثغرات Unvalidated Redirects وتطبيقها علي موقع Kaspersky

شرح ثغرات Cross Site Scripting

شرح ثغرات SQL injection

والرابط التالي هو لكورس ممتاز يشرح وبالتفصيل جميع أنواع ثغرات ال  SQL Injection من البداية وحتي مستوي الإحتراف إن شاء الله.

https://www.youtube.com/playlist?list=PLkiAz1NPnw8qEgzS7cgVMKavvOAdogsro

٣- ما هي الخطوات المطلوبة لكي تكون قادرا علي إكتشاف ثغرات المواقع بنفسك؟

لكي تتعلم كيف تكتشف ثغرات المواقع بنفسك ويصبح الموضوع سهل بالنسبة إليك, عليك تطبيق هذه الثغرات كثيرا, والموضوع بسيط, هناك تطبيقات كثيره تم برمجتها خصيصا لكي يقوم الدارسين بالتعلم عليها وتجربة الثغرات الموجودة فيها, مثال ذلك قم بتنصيب ال Application المسمي DVWA علي ال Appserv علي جهازك ثم قم بتطبيق المتطلبات التالية:

١- قم بإكتشاف وإستغلال الثغرات الموجوده في هذا التطبيق في حالة ما اذا كان مستوي الحماية فيه ضعيف

٢- نفس الشئ بالأعلي ولكن قم بتطبيقه في حالة اذا كان مستوي الحماية متوسط

يمكنك أيضا التجربة وإكتشاف الثغرت في هذه المواقع المعدة أيضا لنفس الغرض والمصابة بالعديد من أنواع الثغرات:

http://testphp.vulnweb.com

https://xss-game.appspot.com

لا مانع من المساعدة بواسطة البحث في جوجل أو حتي رؤية فيديوهات تشرح لك كيف تكتشف وتستغل ثغرات هذا التطبيق فأنت في مرحلة التعلم وعليك اللجوء إلي جميع المصادر المتاحة لتتعلم جيدا

والآن بقيت لنا المرحلة الأخيرة.

٤- كيف تجني المال من اكتشاف ثغرات المواقع؟

 هناك عدة مواقع تدير برامج تسمي Bug Bounty Programs يعني برامج المكافآت المالية, ويمكن من خلال هذه المواقع البحث ومشاهدة ما هي المواقع التي تسمح لك بالبحث عن ثغرات داخلها ومن ثم إبلاغ تلك المواقع عن ثغراتهم ليقومو بترقيع تلك الثغرات, وفي المقابل ستحصل علي مكفأه مالية مقابل إكتشافك

هذه المواقع مثل:

https://hackerone.com/programs

و

https://bugcrowd.com/list-of-bug-bounty-programs

فإذا ذهبنا مثلا للموقع الأول فإنك ستجد المواقع معدة بالشكل التالي:

إسم الموقع الذي يسمح لك بإكتشاف ثغرات لديه, وأقل مبلغ يدفعونه علي الثغرات التي يتم إكتشافها عندهم

عند الضغط علي اسم اي موقع من هذه المواقع ستجد تفاصيل أكثر توضح ما هي Web Applications او النطاقات التي يسمح لك الموقع بالبحث فيها, وما هي أنواع الثغرات التي يقبلونها, وما هو أقل مبلغ وأعلي مبلغ يدفعونه مقابل إكتشافك لثغرات لديهم والمزيد عن الموقع وما يقدمه من خدمات للباحثين الأمنيين.

فمثلا لو إكتشفت ثغره من نوع XSS في موقع الياهو فإنك ستحصل علي مكافأه تتراوح ما بين 50 إلي 500 دولار للثغره الواحده! وتتزايد المكافآت المالية بشكل رهيب في حالة إكتشاف ثغرات أعلي في الخطورة مثل ثغرات ال SQL Injection, Remote Code Execution, Authentication Bypass وغيرها.

أنصحكم بإنشاء حساب علي موقع Hackerone.com وأخذ جولة في الصفحه المدرجه بالأعلي لتعرفوا المزيد والمزيد عن ال Bug Bounty Programs وكيف يتم المساهمة فيها.

وينطبق نفس المثال بالأعلي علي الموقع الثاني المدرج أعلاه.

روابط مهمة:

http://www.exploit-db.com

http://www.securitytube.net

http://www.thehackernews.com

كتب مهمة:

1- OWASP Testing Guide – https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf

الكتاب بالأعلي يحتوي علي شرح تفصيلي وبالأمثلة لجميع أنواع ثغرات تطبيقات الإنترنت (Web Applications) وكيف يتم إكتشاف تلك الثغرات والأدوات اللازمة لذلك.

إلي هنا أحبتي ينتهي هذا الموضوع, أرجو أن يكون مرجع للبادئين والمتوسطين في مجال أمن تطبيقات المواقع Web Applications Security Researchers وأن يتقبله الله عز وجل عملا خالصا لوجهه.

في حالة وجود أي إستفسار او طلب برجاء إصافته كتعليق comment هنا في نفس الموضوع لربما شخص أخر لديه نفس سؤالك فيتم الإجابة علي الجميع إن شاء الله.

شكرا للأشخاص الذين شاركوا في هذا الموضوع بالتعديل والإقتراحات:

أحمد حسن أبوالعلا, محمد عبدالعاطي, ياسر علي

#إن شاء الله سيتم تحديث الموضوع بشكل دوري.

Defense Information Systems Agency – DISA

أو ما يعرف ب وكالة نظم المعلومات التابعة لوزارة الدفاع الأمريكية, والتي تعمل بمثابة منظومة الإتصالات ونظم المعلومات الخاصة بوزارة الدفاع والتي تقوم بتجميع البيانات الهامة والحساسة من مصادر مختلفة لهدف واحد, هو توفير الدعم للقوة العسكرية الأمريكية في صورة متخذي القرار بدأ من الرئيس الأمريكي, مرورا بمستشاريه ووزير الدفاع حتي الجنود في ساحة المعركة.

لكي تقوم هذه الوكالة بعملها من تجميع هذا الكم الهائل من البيانات وتقديمة بشكل مناسب لكل الجهات السابق ذكرها, فإنهم بالطبع يحتاجون لمشاريع برمجية عملاقة لكي تقوم بتجميع البيانات بشكل أوتوماتيكي من كل المصادر المتاحة ثم تقوم عن طريق الذكاء الإصطناعي أو عن طريق برمجيات معدة مسبقا من إستخراج المعلومات المهمه وتقديمها للجهات المعنية السابق ذكرها,

بالطبع مشاريع بهذا الحجم ﻻ يمكن لوزارة الدفاع الأمريكية بكل مشغولياتها من توفير فرق متخصصة لبرمجة هذه المشاريع, لذلك يعتمد الجيش الأمريكي علي شركات خارجية متخصصة في برمجة مثل هذه الأنظمة وهذه الشركات تعمل فقط لصالحة وزارة الدفاع الأمريكية في برمجة أنظمة الإتصالات العسكرية.

أحد هذه الشركات والتي يملكها John C. Kingsley قامت في العام 2010 بتوظيف مبرمجين روسيين للعمل لديها في برمجة عدة برامج خاصة بوكالة نظم المعلومات التابعة لوزارة الدفاع الأمريكية,

وبالفعل تم صدور البرامج المطلوبة وتم تنصيبها داخل ما يسمي بالشبكات الآمنة والتي يفترض أنها تحتوي علي السرفرات(الخوادم) التي تحمل البيانات السرية التابعة للوكالة دون علمهم بما تحويه هذه البرمجيات من برمجيات خبيثة أخري ﻻ حصر لها, حتي أن Patrick Malone وصف الأمر ب اوكازيون الفيروسات Viruses occasion !!

وبهذه الطريقة إستطاع الروس الوصول إلي قلب وزارة الدفاع الأمريكية بكل ما تحويه أنظمتهم من أسرار وإتصالات علي مدار الساعة!

عوده بالتاريخ إلي الوراء قليلا .. حيث العام 2008 …

قامت وزارة الدفاع الأمريكية بعرض مشروع تبلغ قيمته المادية 22 مليون دولار علي بعض الشركات التابعة لها كما سبق ذكره في بداية المقال ..

المشروع يتلخص في تأمين وإدارة الشبكات العسكرية التابعة لوكالة DISA بما يشمله ذلك من برمجيات إدارة إلكترونية .. مشاريع بهذه الحساسية والضخامة تتطلب مبرمجين بمهارات إستثنايئه …

الروس معروفين عالميا ببراعتهم البرمجية علي مختلف منصات ولغات البرمجة بل وبراعتهم في كل ما يتعلق بالتكونولوجيا وعلوم التشفير,

قام ثلاثة من المبرمجين الروس بتقديم سيرتهم الذاتية CV إلي أحد الشركات العاملة بهذا المشروع وطلبوا راتب يساوي ثلث ما يطلبه المبرمجين الأمريكيين في وظيفة كهذه, بالطبع ما تحويه سيرتهم الذاتية من مهارات إستثنائية وسابقة أعمال ﻻ مثيل لها بالإضافة إلي راتب ضئيل هو أمر مغري لصاحب هذه الشركة كي يقبلهم للعمل لديه .. وقد كان!

شهر يناير من العام 2011 …

حيث تم إكتشاف برمجيات خبيثة تعمل داخل الشبكات الحساسة التابعة للوكالة, تم التكتم علي الأمر حتي عمل الفحوصات اللازمة للشبكات والأجهزة العاملة بالوكالة .. كانت نتيجة البحث أن إختراق هذه الأنظمة تم عن طريق البرمجيات التي قامت ببرمجتها شركة NetCracker في ذلك المشروع من العام 2008 .. وشركات أخري ساهمت في هذا المشروع في أوقات لاحقه!

قامت الوكالة برفع قضية ضد كل الشركات التي ساهمت بالعمل في هذا المشروع وتم تقديم مدراء الشركات للمحاكمة ..

هذه القضية دامت في المحاكم الأمريكية طيلة أربع سنوات متواصلة إلي أن تم الحكم فيها في شهر نوفمبر من هذا العام 2015 ..

مجمل أحداث القضية كانت كالتالي:

1- Computer Sciences Corporation والمتورطة أيضا في هذه القضية بإستئجار مبرمجين روسيين للعمل لديها, تقاضت مبلغ وقدره  واحد ونصف مليار دولار من وزارة الدفاع الأمريكية نظير المشاريع البرمجية التي تقدمها لوزارة الدفاع ووكالة ال  !DISA

2- المبرمجين الروسيين اللذين عملوا لدي الشركات المتورطة في هذه القضية قد شاركوا في كتابة برامج دخلت حيز الخدمة في:

وكالة نظم المعلومات التابعة لوزارة الدفاع الأمريكية DISA, سلاح الطيران الأمريكي, General Services Administration إدارة الخدمات العامة.

3- علي مدار أربع سنوات من المحاكمة وتقديم الإدعاءات والأدلة ونفيها, لم يستطع محاموا الجهات المتضررة من إلحاق تهمة الخيانة أو التورط بالجاسوسية إلي أي من أصحاب الشركات المتورطة في هذة العملية, وتم الإتفاق علي التعويض! حيث ستقوم الشركات المتورطة بدفع مبالغ مالية للجهات المتضررة كتعويض عن الخسائر التي لحقت بشبكاتها والبنية التحتية التي تضررت من جراء تلك الإختراقات.

المصدر الأصلي.

جملة من الكاتب في نهاية المقال:

” ليس من العيب أو الخطر أن يتم إختراقك أو إختراق شبكاتك, فهذا يحدث طيلة الوقت لأقوي الشركات, لكن الخطر الأكبر, هو أن لا تكتشف أصلا أنه تم إختراقك!”

السلام عليكم ورحمة الله وبركاته

كثيرا ما يكون لدي البعض إلتباس حول مصطلحات مثل Phishing و Spear Phishing او حول Targeted Attack و APT وغيرها

لذا إن شاء الله في هذه التدوينة سأشرح أهم مصطلحات أمن المعلومات لكي يكون المعني واضح تجاهها.

ملحوظة: تعمدت كتابة المصطلحات باللغة الإنجليزية لأنها لابد أن تحفظ كما هي

1- ما الفرق بين Phishing, Vishing, Spear Phishing, Spam؟

Spam: هي رسائل دعائية يتم إرسالها بكميات كبيرة أو إلي عدد كبير من ال Emails بغرض دعائي, مثلا دعايه لبرمجيات معينه او منتجات معينه إلخ.

Phishing: هي رسائل إحتيال إلكتروني يتم إرسالها أيضا إلي كميات كبيرة من ال Emails بشكل عشوائي بغرض سرقة حساباتهم البنكية او بطاقات الإئتمان Credit Cards أو كلمات المرور الخاصة بهم أو طلب من المستخدم أن يفتح ملف معين بغرض إختراق جهازه.

Spear Phishing: هو نفسه ال Phishing ولكن الفرق هنا أن ال Spear Phishing يتم إرساله إلي أهداف معينه ومحدده ويتم إرساله بشكل مدروس وليس عشوائيا, مثال إذا كان أحد المخترقين يستهدف شركة بعينها فإنه يقوم بعملية بحث علي مواقع التواصل مثل LinkedIn وغيرها وينتقي موظفين في وظائف معينة داخل الشركة ويقوم بإنتحال شخصية أحدهم لإرسال رسائل إلي زملائه في الشركة حتي يكسب ثقتهم في فتح ملفات معينه تسمح للمخترق بالتحكم في أجهزتهم او بسرقة كلمات المرور الخاصة بهم.

Vishing: هو نفس فكرة عمل ال Phishing لكنه يتم من خلال الإتصال بهاتف الضحية Voice Phishing حيث يقوم الهاكر بالإتصال بهاتف الضحيه من أي خدمة إتصال من خلال الإنترنت وينتحل صفة البنك او شركة الإتصالات إلخ ويطلب من الضحيه بياناته الشخصية والتي ستساعده فيما بعد في الوصول إلي حسابات الضحية.

2- ما الفرق بين ال Targeted Attack, State Sponsored Attack, APT, Zeroday Attack ؟

Zeroday Attack: (شكرا إبراهيم مسعد علي التعديل)

تطلق كلمة Zeroday علي الثغرات التي تصيب تطبيقات معينة وتكون الثغرة غير منتشرة علي الإنترنت والشركة صاحبة التطبيق المصاب لديها 0 أيام لإصدار ترقيع للثغرة قبل نشرها علي الإنترنت وفي بعض الأحيان حتي الشركة صاحبة التطبيق تظل لشهور أو سنوات لا تعلم عن الثغرة شئ.

“it often takes not just days but months and sometimes years before a developer learns of the vulnerability that led to an attack.”

مثال: هاكر صيني إكتشف ثغرة في ال Microsoft Office تمكنه من إختراق أي جهاز يستخدم هذا التطبيق بمجرد فتح ملف وورد ينتهي ب .doc او .docx

وبالطبع بما أنها ثغرة ZeroDay فهذا يعني أنه لا يمكن إكتشافها بواسطة برامج ال AntiVirus وليس لها أي سجل او بصمة Hash علي الإنترنت.

نفس المفهوم ينطبق أيضا علي ثغرات تطبيقات الويب مثل WordPress, Joomla وغيرهم وليس فقط ال Client Side Applications مثل Office, flash وغيرها.

APT :APT هي إختصار ل Advanced Persistent Threat وهي تطلق علي المخترقين اللذين يقومون بإستخدام برمجيات متطورة ومتقدمة تسمح لهم بالبقاء داخل شبكات الشركات وأجهزتها لمدة طويلة جدا دون أن يتم إكتشافهم وهؤلاء النوعية من المخترقين غالبا ما يستخدمون ثغرات  من نوعية ال Zeroday لكي يقوموا بعملية الإختراق وزرع ال Backdoors الخاصة بهم داخل أجهزة وشبكات الشركات التي يقومون بإختراقها.

State Sponsored Attack: المخترقين اللذين يطلق عليهم كلمة State Sponsored هم المخترقين اللذين يعملون تحت مظلة الأجهزة الحكومية والإستخباراتية التابعة لبلادهم ويتم دعمهم ماديا وخططيا وعدديا ومعلوماتيا من تلك الجهات الحكومية/الإستخباراتية, وبما أن هؤلاء المخترقين هدفهم دائما هو البقاء داخل شبكات الجهات التي قاموا بإختراقها لأطول فترة فإنهم يطلق عليهم لقب ال APT الذي تم شرحه بالأعلي ودائما ما يستخدمون ثغرات من نوعية Zeroday في إختراقاتهم.

أهداف ال State Sponsored Attackers دائما ما تكون أهداف حكومية, عسكرية, إستخباراتية أو حتي أهداف سياسية.
مثال علي ذلك, فريق المخترقين التابع لوكالة الأمن القومي الأمريكي NSA واللذين تم تلقيبهم ب Equation Group  حيث قاموا بإختراقات لأهداف حكومية وإستخباراتية وعسكرية علي مدي أكثر من عشر سنوات, وكان من ضمن ضحاياهم (بحسب ذكر شركة Kaspersky) الجيش الليبي وشركة الإتصالات اليمنية وأحد شركات الطاقة بالجزائر.

مثال آخر علي ال State Sponsored Attackers المجموعة الروسية الشهيرة بلقب APT28 والوحدة 8200 في الجيش الإسرائيلي التي قامت ببرمجة فيروس Stuxnet

وال PLA التابع للجيش الصيني وغيرهم.

Targeted Attack: كما هو موضح من إسمه, هو إختراق يستهدف شركة معينة لكنه لا يستهدف جهات حكومية مثل ال State Sponsored وغرض هذا الإختراق دائما هو سرقة البيانات من الشركات بهدف بيعها والربح منها أو إستخدامها فيما بعد لأغراض أخري مثل سرقة البطاقات الإئتمانية وأموال المستخدمين.

مثال علي ذلك إختراق أحد الشركات العاملة في مجال البورصة لسرقة أموال ال Bitcoin التي يتم تداولها من خلال هذه الشركة.

مثال آخر, إختراق أحد شركات الألعاب الشهيرة لسرقة الكود المصدري Source Code الخاص بها وبيعه لشركة اخري منافسه لها.

مثال ثالث, إختراق موقع تابع لبنك معين لسرقة بيانات من قاعدة بياناته ويتم إستخدامها فيما بعد للإحتيال علي مستخدمي هذا البنك لسرقة أموالهم.

والآن إليك عزيزي القارئ هذه الأسئله, برجاء الرد عليها بناء علي ما قرأته في هذا المقال:

1- المخترق X قام بإنتحال شخصية أحد موظفي الشركة Y وقام بإرسال ملف pdf يحتوي علي ثغرة تم الإعلان عنها مسبقا لكنه قام بتشفيرها من جميع برامج الحماية, من وجهة نظرك, هل هذه الثغرة يتم تصنيفها ك ZeroDay بما أنها عالية الخطورة وغير مكتشفة من أي برنامج حماية وتصيب تطبيق يستخدمه ملايين الأشخاص, نعم أو لا؟ وتحت أي تصنيف يقع هذا المخترق من بين التصنيفات التي تم ذكرها بالأعلي؟

2- المخترق X قام بإختراق الشركة Y وقام بزرع RootKit داخل سرفرات الشركة لكي يتمكن من التحكم الكامل بها لفترة طويلة دون أن يتم إكتشافه, تحت أي تصنيف يقع هذا النوع من الإختراق؟

3- مؤخرا حدث صدام ما بين تركيا وروسيا بسبب إسقاط تركيا لطائرة روسية, بعدها بأيام أعلنت تركيا عن أن أنظمتها البنكية Online Banking تحت هجوم عنيف من الهكرز واللذين تم تتبعهم لتجد تركيا أن مصدر الإختراقات قادم من روسيا, في رأيك, هل هذا State Sponsored Attack ام Targeted Attack ؟

السلام عليكم ورحمة الله وبركاته,

واجهتني مشاكل كثيرة في بداية حياتي العملية بسبب كتابة ال CV ولم أملك الخبرة الكافية وقتها لكتابته بشكل احترافي, أما وبعد سنوات من الأسئلة والتجربة والتعديلات, أحببت أن اشارك معكم الطريقه الأفضل لكتابة ال CV الخاص بك في مجال تكنولوجيا المعلومات بشكل عام سواء كنت مبرمج او مختبر اختراق او مكتشف ثغرات او مهندس شبكات إلي آخره.

سأقوم إن شاء الله في نهاية المقال بإرفاق نسخة معدة مسبقا ويمكنكم التعديل عليها وإستخدامها لكتابة سيرتكم الذاتية.

مقدمة سريعة:

كما نعلم جميعا أن الـ CV الخاص بك هو عباره عن انعكاس لك, بمعني انه هو الذي يتحدث نيابة عنك ويوضح ما اللذي تعرفة وماذا عملت مسبقا لذا ما يحتويه الـ CV الخاص بك لابد ان يظهر مهاراتك ونجاحاتك بشكل إحترافي.

الـ CV يجب أن ينقسم لعدة أجزاء كل جزأ يوضح نقطه معينة, لذا سأبدا بتحديد النقاط فيما يلي مع مراعاة ان هذا هو الترتيب المناسب والذي أستخدمه شخصيا في كتابة سيرتي الذاتية.

١- معلومات عنك

بداية الـ CV الخاص بك يجب ان يحتوي علي معلومات لتعريف الشركة بك, مثل اسمك, بريدك الإلكتروني الذي سيتم مراسلتك من خلاله, رابط لموقعك اذا كان لديك موقع خاص بك حتي يمكنهم الإطلاع علي المقالات التي تقوم بكتابتها او عن اخر اكتشافاتك وبالطبع رابط لحسابك علي موقع LinkedIn الشهير فهو بمثابة سيرتك الذاتية, مثال:

Name: Ebrahim Hegazy
Email: myemail@gmail.com
Website: http://www.security4arabs.com
LinkedIn: https://www.linkedin.com/hegazy

لا تكتب: 

لا تقم أبدا بكتابة تفاصيل خاصة عن حياتك داخل الـ CV فقد رأيت الكثير من الناس يقوم بكتابة اسمه بالكامل وعنوان بيته وحالته الإجتماعية وموقفه التجنيدي والمزيد المزيد!! لا داعي مطلقا لكتابة مثل هذه البيانات فهي لن تفيد في أي شئ للوظيفة ولو احتاج صاحب العمل ان يعرف عنوانك او حالتك الاجتماعية فإنه سيقوم بمراسلتك علي البريد الذي قمت بكتابته.

ملحوظة: هناك بعض الوظائف تتطلب ان يكون رقم هاتفك مكتوب في السيرة الذاتية لذا القرار لك أن تكتبه او لا فليست كل الوظائف تتطلب ذلك.

٢- من أنت (Profile)

هذا القسم يشرح طبيعة عملك لمن يقرأ الـ CV, ليس هناك مسؤل توظيف يفهم كل الوظائف, فأنت مثلا لو قرأت سي في خاص بأحد العاملين في مجال الكيماويات هل ستفهم منه شئ؟ بالطبع لا, لذا لابد أن تكتب في بداية الـ CV الخاص بك ما يوضح طبيعة عملك حتي يستطيع مسؤل التوظيف فهم ما تفعله تحديدا بدون استخدام مصطلحات معقدة خاصه بمجالك, مثال:

Profile

Ebrahim is a security researcher specialized in finding web applications vulnerabilities, He has over 3 years of experience in information security field that varies from Web Application Security, Incident handling and Network Security with a good knowledge of Web Applications Development

ما كتبته هو مثال بسيط (لا يعبر عني) يوضح طبيعة عملك إذا كنت مكتشف ثغرات مثلا او تعمل بمجال أمن المعلومات بشكل عام.

٣- نجاحاتك (Achievements)

هذا القسم هام جدا جدا وهو عامل الإنبهار الذي سيميز سيرتك الذاتية عن باقي المئات من السير الذاتية المقدمة للشركة, فهو يحتوي علي أهم النجاحات التي قمت بها خلال فترة عملك او حتي خلال فترة دراستك بالجامعة, فمثلا لو كنت تعمل مبرمجا فسيكون هذا القسم مثلا بالشكل التالي:

Achievements
Won the second place with my team in ACM competition X
Ranked as 45 in CodeForces website after solving complex programing problems
Achieved a certificate of appreciation from my University for building their internal Application/database system
etc etc etc

ولو كنت تعمل بمجال إكتشاف ثغرات المواقع فسيكون هذا القسم بالشكل التالي مثلا:

Achievements
Rewarded and acknowledged by Facebook, Yahoo, Google for finding critical vulnerabilities in their systems
Ranked as number 4 in X Bug bounty program for finding critical RCE vulnerability in their website
Won the 3rd place with my team in X CTF (Capture the Flag) competition
etc etc etc

وعلي هذا المنوال يمكنك كتابة نجاحاتك الشخصية بإختلاف مجال عملك فبالتأكيد كل منا له نجاحاته الشخصية

٤- مستواك التعليمي (Education)

هذا الجزأ خاص بمستواك التعليمي كمثال أنك تخرجت من جامعة كذا بقسم كذا ويمكنك كتابة سنة التخرج إذا أردت, وحتي إذا لازلت طالب بالجامعة فيمكنك أن توضح ذلك, نفس القسم أيضا يشمل الشهادات التي حصلت عليها من خلال الكورسات التي درستها, واذا لم تحصل علي شهادات فيمكنك كتابة المستوي التعليمي فقط كما يلي:

Education
Bachelor of Computer Science from Cairo University (Egypt)

مثال آخر علي كتابة المستوي التعليمي والشهادات

Education & Certification
Bachelor of Computer Science from Cairo University (Egypt)
Cisco Certified Network Associate (CCNA)
Certified Ethical Hacker (CEH)
Red Hat Certified Engineer (RHCE)

٥- عملك وخبراتك السابقة (Work Experience)

في هذا القسم تقوم بكتابة أسماء الشركات التي عملت بها مسبقا وطبيعة عملك او المسمي الوظيفي الخاص بك في كل شركة ووقت العمل بها, حتي لو كان ذلك العمل عمل حر FreeLance Job او من خلال الإنترنت إلخ فيجب أن تقوم بكتابته أيضا, ويكون ترتيب كتابة الشركات بناء علي الأحدث ثم الأقدم بحسب ترتيب السنوات, وكما يلي عدة أمثلة لتساعدك علي كتابة هذا القسم بإختلاف مجال عملك:

Work Experience

Vodafone, from December 2012 to October 2013 – Network Engineer
My job at Vodafone as a network engineer included managing the company network infrastructure
Administering & designing LANs, WANs internet/intranet, and voice networks
Working with multiple technical platforms i.e. mainframe, two tiered client servers and three tiered client servers
Co-operating with the systems team during the installation/implementation of new appliances inside our data-center etc etc

Security4Arabs, from September 2015 to Present – Security Engineer
My job in Security4Arabs company includes incident handling, network security reviews, Penetration testing and managing security devices such as the Firewall, IDS & IPS, my job role also includes etc etc

Freelance Security Researcher, from May 2014 to June 2015 – Red Team
I’ve been working as a security researcher with different platforms such as Hackerone and BugCrowd, the projects i joined included public and private bug bounty programs and it was mainly focused on Web Applications Vulnerabilities hunting, during that time i was ranked as number 5 in X bug bounty program for finding critical vulnerabilities in their website

SecDown, from October 2013 to March 2014 – System Administrator
I joined SecDown company as a systems engineer managing their linux servers and handling the full servers installation including the physical and virtual servers running Vmware technology, my job role also included Windows servers installation and configuration of active directory

Freelance Developer, from June 2011 to October 2013 – PHP Developer
I’ve been working as a freelance developer in different online platforms such as StackOverFlow, etc, etc, building applications with different technologies such as bootstrap, NodeJS, etc etc and using different frameworks such as CakePHP & Symfony, my job role also included etc etc

٦- مقالاتك وشروحاتك (Publications)

هذا القسم يتضمن بعض المقالات الهامة التي قمت بكتابتها في مواقع معينه او حتي في مدونتك الخاصة او خبر تم كتابته عنك في صحيفة معينه او بحث قمت بعمله او كتاب قمت بتأليفه او محاضرة قمت بإلقائها في مؤتمر في جامعتك او مؤتمر عالمي أو ورقة بحثية قمت بكتابتها إلخ إلخ مع كتابة رابط او صفحه تحتوي علي ما قمت بذكره حتي يمكن الإطلاع عليه, مثال علي ذلك :

Publications
Write-up, How to develop web application in NodeJS from Zero to Hero – reference
Speaker at Cairo Security Camp conference about xyz – reference
Write-up, How to build a threat intelligence system in your corporate – reference
Contributed to TechnlologyGuru Magazine with 2 articles – reference

الرابط المدرج في كلمة Reference عليك إستبدالة برابط يحتوي علي ما قمت بذكرة حتي يتثني للشركة الرجوع إليها للإطلاع علي محتوي المقالات.

7- المشاريع التي أنجزتها (Projects)

في هذا القسم ستقوم بكتابة المشاريع التي أنجزتها خلال فترة عملك او حتي مشروع التخرج الخاص بك في الجامعة وكذلك المشاريع التي قمت بعملها أثناء فترة عملك الحر إلي آخره, مثال إذا كنت مهندس شبكات:

Projects
Vodafone: I was one of the team who designed the corporate network inside vodafone which included the installation and configration of routers and switches
Saudi Telecom Company (STC): Installed and configured WAN Optimizer across their branches, also worked on the implementation of their new VPN solution

مثال إذا كنت مختبر إختراق

Projects
Isecur1ty: I’ve been a consultant in Isecurity team conducting consultation and penetration testing services for various customers in the middle east
HSBC: Worked on a penetration testing project of HSBC bank internal network and internal web-applications
Zain: Worked on a Security Assessment for Zain newly launched mobile application along with its back-end system

مثال إذا كنت مبرمج

Projects
By2olak: I’ve been part of the team who developed by2olak application, responsible for the development of the backend application to manage users comments & adding more features to the API
Shopping Application: During my graduation project i worked with 4 other colleagues to develop a shopping application in PHP and a Mysql Database as a backend.
Masrawy.com: Developed the search engine of Masrawy.com using ASP.NET and MVC Framework with MSSQL Server database

7- الكورسات (Courses)

كثيرا ما قمت بحضور كورسات بدون إمتحان هذا الكورس للحصول علي شهادته, لذا في هذا القسم تقوم بكتابة أسماء الكورسات التي حضرتها, مثال علي ذلك:

Courses
Ebrahim also attended below courses
Cybrary.it (CYB-3008) – POST Exploitation Technique
Red Hat Certified Technical (RHCT)
SANS (Sec504 – GCIH) – Hackers Techniques, Exploits & Incident Handling

نصائح هامة:

١- لابد أن تكتب السيرة الذاتية الخاصة بك باللغة الإنجليزية

٢- لا يمكن بأي شكل من الأشكال ان تزيد سيرتك الذاتية عن ثلاث صفحات, قم بتصغير الخطوط وحذف المسافات وكتابة العناصر المهمه فقط المهم أن لا يتعدي الـ CV الخاص بك الثلاث صفحات ويفضل أن يكون صفحتين إن أمكن.

٣- جهز لديك بعض جهات التواصل كمرجع للشركة التي تقوم بالتقديم فيها إذا أرادات السؤال عنك فمثلا إذا قمت بعمل مشروع لشركة X فبالتأكيد لديك البريد الإلكتروني لأكثر من شخص داخل الشركة يمكنك إستخدامهم كمرجع Reference لتقييمك وإعطاء رأيهم عنك Feedback حينما تريد ذلك.

٤- السيرة الذاتية قد تسمي CV وقد تسمي Resume والفرق ان ال Resume هو نسخة مختصرة لتعبر عن مهاراتك وأعمالك فقط بينما ال CV يحمل تفاصيل أكثر, لكن لا مشكلة في ذلك يمكنك إعتبارهم نفس الشئ

وإليكم رابط الـ CV التالي في نسخة Word يمكنكم التعديل عليها بحسب وظيفتكم وطبيعة عملكم حتي يكون الموضوع أسهل عليكم إن شاء الله.

https://docs.google.com/document/d/1fvZ5BMVoy3IXue_qulOdJNwdmRibtRmaVdsZRNDuQfY/edit?usp=sharing

وفي نهاية الموضوع أود توجيه الشكر للمهندس حاتم الصفطي والمهندس محمد طاهر علي مساعدتهم أثناء فترة الإعداد لهذا المقال.

إذا كانت هناك نقطه غير واضحه او أردتم المساعدة فقط قم بكتابة تعليق علي هذه التدوينة وسيتم الرد عليكم بالتفصيل ان شاء الله

السلام عليكم إخواني الكرام,

انتشر وبشدة فيروس WannaCry منذ البارحه كالنار في الهشيم وأصاب اكثر من 40000 الف جهاز كمبيوتر في حوالي 74 دولة حول العالم ما بين مؤسسات حكومية و ما يقرب من 16 مستشفي في إنجلترا ومن المؤسف تعليق أحد الدكاترة بأحد المستشفيات التي اصيبت انظمتها بهذا الفيروس علي موقع الجارديان قائلا بأن جميع العمليات توقفت في المستشفي منذ الواحده مساء وتم حذف جميع سجلات المرضي ونتائج الفحص وأن حياة أشخاص كثيرون علي المحك بسب هذه الكارثه وبالتأكيد سيكون هناك موتي جراء إنتشار هذا الفيروس!!!

مرورا بأكبر شركة اتصالات في إسبانيا وغيرها من الأهداف التي اصيبت بهذا الفيروس حتي ان وزارة الداخلية الروسية لم تسلم. لذا قررنا علي وجه السرعة كتابة مقال يتلخص في جزأين. ما اللذي نعرفه عن الفيروس وماذا يتوجب عليك فعله لتحمي مؤسستك او شركتك التي تعمل بها قبل فوات الأوان.

ما اللذي نعرفه عن الفيروس حتي الآن:

1- الفيروس مثله كمثل اي فيروس فديه أخر يقوم بتشفير ملفات جهازك ويطلب منك مبلغ 300 دولار حتي يمكنك استرجاع ملفاتك مره اخري

2- هذا الفيروس يقوم بالإنتشار من خلال رسائل تصيد Phishing EMails يتم ارسالها لملايين الإميلات بشكل عشوائي ويحتوي الإميل المرسل علي ملف مرفق عندما يتم فتحه يقوم بتنزل فيروس الفديةWannaCry

3- من الطرق التي يستخدمها الفيروس أيضا هي عملية الفحص العشوائي للعناوين IP Addresses فيقوم بانشاء ايبي عشوائي ومن ثم فحص اذا ما كان port 445 مفتوح علي هذا الايبي ام لا وهو البورت المستخدم بواسطة خدمة مشاركة الملفات SMB فاذا وجد ايبي مفتوح فيه هذا البورت يقوم بفحص جميع الايبيهات التي علي نفس الشبكه ويحاول استغلال ثغرة MS17-010 عليهم جميعا.

4- بعد ان يقوم الفيروس بالنزول علي جهاز الضحيه واصابته يقوم مباشرة بفحص كل الايبيهات الموجوده علي الشبكه باحثا عن اي جهاز يستخدم port 445 الخاص بخدمة مشاركة الملفات SMB Service

5- اذا وجد اي جهاز علي الشبكه يستخدم خدمة مشاركة الملفات فانه يقوم بإستغلال الثغرة الخطيرة التي تم الاعلان عنها عقب تسريبها من فريق الأمن القومي الأمريكي NSA بواسطة فريق ShadowBrokers والثغره معروفه باسم MS17-010 وهي ثغره تصيب كل أنظمة الوندوز وتمكن المخترق من إختراق اي جهاز تعمل عليه خدمة مشاركة الملفات SMB

6- ولان خدمة مشاركة الملفات منتشره في كل الشركات وحتي اغلب الشبكات الخاصه فبهذه الطريقه انتشر الفيروس كالنار في الهشيم في اكثر من اربعه وسبعين دوله حول العالم في وقت قياسي

7- من بين الدول المصابه بالفيروس هي ألمانيا, روسيا, إنجلترا, أسبانيا, أمريكا, الأرجنتين وغيرها من الدول العربية أيضا التي لم تسلم من ذلك الفيروس

8- وللاسف تم الإبلاغ عن انتشار موسع للفيروس داخل 16 مستشفي في إنجلترا وتعطل انظمة تلك المستشفيات بسبب أن الفيروس قام بتشفير سجلات المرضي ولا يمكنهم استقبال اي حالات جديدة

ما اللذي يتوجب عليك فعله:

١- قم فوراا بعمل تحديث لجميع أنظمة الوندوز داخل شركتك لتتأكد من ترقيع ثغرة MS17-010 والتي هي السبب الرئيسي في عملية الإختراق وانتشار الفيروس

اذا كان لاي سبب لديك مشكله في تحديث الوندوز فيمكنك استخدام تلك الأداه التي نشرتها شركة Symantec وتشغيلها بصلاحية administrator علي جهازك وسيقوم بعدها جهازك بإعادة التشغيل وتكون الثغره قد تم ترقيعها في جهازك

اما للشركات والبنوك وغيرها من المؤسسات فننصح بشده بعمل تحديث لجميع اجهزة وسرفرات الشركة مباشرة.

٢- تأكد من أن جميع أجهزة شركتك منصب عليها برنامج مضاد فيروسات وعليه جميع التحديثات لتضمن بأن بيانات هذا الفيروس file signatures موجوده في مضاد الفيروسات الخاص بك ليقوم بايقاف اي محاوله من الفيروس الدخول الي اجهزة الشركه

٣- اذا كان لدي شركتك اي سرفرات متصلة بالانترنت فتأكد من ان port 445 و port 139 لا يمكن الوصول اليهم من خارج شكبتك او من خلال الانترنت بصورة عامة

٤- المخترقين يقومون باستخدام الايبيهات التاليه للتحكم في الفيروس او في الاجهزه المخترقه لذا ننصح وبشدة أن تقوم بالبحث داخل ال SIEM Solution الخاص بشركتك عن اي سجلات logs لها علاقه بهذه الايبيهات واذا لم يكن لدي شركتك SIEM Solution فيمكنك البحث في السجلات الخاصه بال Proxy او DNS Logs
الخاصه بشركتك عن تلك الايبيهات للتأكد من ان أجهزة شركتك لم يصيبها هذا الفيروس

213.61.66.116
171.25.193.9
163.172.35.247
128.31.0.39
185.97.32.18
178.62.173.203
136.243.176.148
217.172.190.251
94.23.173.93
50.7.151.47
83.162.202.182
163.172.185.132
163.172.153.12
62.138.7.231
188.166.23.127
193.23.244.244
2.3.69.209
146.0.32.144
50.7.161.218
217.79.179.77
212.47.232.237
81.30.158.223
79.172.193.32
89.45.235.21
38.229.72.16
188.138.33.220

كما ننصح أيضا بإضافة هذه القائمة من الأيبيهات الي ال IPS الخاص بشركتك او وضعهم علي قائمة الحظر.

٥- قم بإرسال بريد إلكتروني لموظفين شركتك توضح لهم فيها أن لا يقوموا بفتح اي بريد الكتروني به مرفقات مطلقااا الا اذا كانوا متأكدين من مصدر الرساله وهو شخص موثوق مائه بالمائه.

٦- بالطبع يتوجب عليك نسخ ملفاتك المهمه بشكل دائم حتي تتفادي مثل هذا النوع من الفيروسات ويمكنك استرجاع ملفاتك في اي وقت.

٧- هذه القائمة تحتوي جميع الهاشات الخاصه بملفات الفيروس ويمكنك ايضا استعمالها للتأكد من سلامة انظمة واجهزة شركتك من هذا الفيروس كالبحث بها علي اي Endpoint monitoring solutions خاص بشركتك:
https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a

مراجع هامة يمكن قرآئتها:

http://blog.talosintelligence.com/2017/05/wannacry.html

https://www.hybrid-analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100

The worm that spreads WanaCrypt0r

السلام عليكم ورحمة الله وبركاته أحبتي في الله.

يسر مدونة مجتمع الحماية العربي أن تعلن عن إطلاق كورس إختبار إختراق تطبيقات الويب باللغة العربية
Web Applications Penetration Testing Course

واللذي يشرح بالتفصيل ثغرات المواقع مع أمثلة عمليه علي شركات عالمية عن كيفية حدوث الثغرات وكيف يتم إستغلالها.

تم التركيز في الكورس علي وضع أساسيات مهمه جدا لابد وأن يفهمها كل مختبر إختراق قبل البدأ في إكتشاف وإستغلال الثغرات.

ما اللذي سيتم شرحه في الكورس:

Introduction Day:
1. Course Requirements:
Installing necessary browser plugins (Wappalyzer, FlagFox, FoxyProxy)
Virtualbox + Ubuntu
Java & Burp Suite

First session (Warming Up):
Deep dive into data leaks (Haveibeenpwned.com & Shodan.io)

Part 1:
1. Linux Basics:
Introduction to Linux Structure & files permissions.
Packages & installation process
Command line examples
(man, apt-get, apt-cache, find, grep, cut, sort, curl, wget, >, >>, |, ;, head, tail, nano, touch, &, ps, df, top)
Installing LAMP stack.

2. Introduction Topics:
1- OSI Model in a Nutshell (Life of a Packet)
2- Wireshark & NetworkMiner
3- TCP/UDP/HTTP/HTTPS Protocols
3- Nmap basics
4- HTTP Methods & HTTP Response Types
5- HTTP Headers
6- Web Authentication Methods, Cookies, Sessions
7- Encryption, Encoding, Hashing
10- DNS Basics, A, MX, CNAME Records
11- PTR Records (Reverse DNS) & PassiveDNS (Yahoo or Facebook Example)
12- What happens when I open https://www.facebook.com in my browser?
13- Basic PHP examples (GET vs POST)
14. CORS, CSP & SOP

3. BurpSuite:
1- What is Burp and why we need it?
2- A Jurney into Burp Tabs
3- Burp configuration
4- Get your hands dirty using burp

Part 2:
1. Easy Web Applications Attacks:
1- HTTP Verb Tampering Attack
2- Open Redirection
3- Host Header Attacks
4- Session Fixation
5- Text Injection & HTML Injection
6- ClickJacking
5- Insecure Direct Object Reference (IDOR)
6- Hanging Fruits (Forgotten backup files and status pages)

2. Meduim Web Applications Vulnerabilities:
1. Cross Site Scripting (XSS)
1- Basics of XSS
2- Reflected, Stored & DOM based XSS
3- XSS Payloads
3- Google XSS challenges step by step
4- Your task is to write and test XSS Cookie stealer

2. Cross Site Request Forgery (CSRF)
1- CSRF Basics
2- How to find a CSRF Vulnerability
3- CSRF Exploitation

3. Subdomain Takeover

Part 3:
1. Advanced Web Applications Vulnerabilities:
1. SQL Injection
1- SQL Basics
2- SQL Injection Basics & SQL Types (Union Based, Boolean Based, Time Based)
3- Manual Union Based SQL Injection Exploitation
4- Manual Boolean Based SQL Injection Exploitation
5- Manual Time Based SQL Injection Exploitation
6- A Walk through SQLMAP
7- Exploiting SQL Injection Vulnerabilities with SQLMAP

2. Server Side Request Forgery (SSRF)
1- SSRF Basics
2- How to find SSRF Vulnerabilities
3- SSRF Exploitation Demo
4- SSRF vs XSPF

3. Remote Command Execution
1- RCE Basics
2- How to find RCE Bugs in the Source Code (Example on PHP)
3- RCE Exploitation Demo (ShellShock or else)

4. Remote Code Execution
1- RCE Basics
2- How to find RCE Bugs in the Source Code
3- RCE Exploitation Demo on Yahoo

5. Local/Remote File Inclusion

6. XXE (External Entity Injection)

7. CSTI & SSTI (Client/Server Side Template Injection)

7. Object Injection Vulnerabilities

8. File Upload Attacks
1- Bypassing file uploads security restrictions (Multiple methods)
2- Demo on Twitter.com

Part 4:
8. Real Life Demo
1. Enumerating and scanning 200.000+ Yahoo Hostname!

9. Conclusion & References

بفضل من الله عز وجل إنتهينا في الوقت الحالي من تسجيل 23 درس وتم طرحهم جميعا علي Playlist واحده يتم تحديثها بشكل اسبوعي بدروس جديدة من الكورس. يمكنكم مشاهدة الدروس من خلال الرابط التالي:

معلومات يجب أن تعرفها عن الكورس:

١- دروس الكورس يتم تحديثها وطرح دروس جديدة يوم الأحد من كل اسبوع, لذا ننصحك بالإشتراك في القناة حتي يصلك الجديد أول بأول

٢- تم إنشاء جروب علي الفيس بوك خاص بالكورس حتي يتثني لمن لديه أي سؤال او لديه صعوبة في فهم شئ ما من طرح أسالته وسيتم الإجابه عليها من قبل المختصين إن شاء الله. رابط جروب الفيس بوك:
https://www.facebook.com/groups/328952157561088/

٣- الكورس مجاني وسيظل مجاني حتي إنتهائه إن شاء الله ولا نسألكم سوي الدعاء لي ولوالدي بالرحمه والمغفرة

٤- الدروس التي تم الإنتهاء منها كانت شروحات للاساسيات التي يحتاجها أي مختبر إختراق, والدروس القادمة ان شاء الله بدأ من الأحد القادم ستكون مختصة بالويب Web فقط

٥- تحتاج أن تقرأ البوست التالي قبل أن تبدأ في الكورس لأنه يحتوي علي إجابات لإسئله كثيرة يتم سؤالها بشكل مستمر:
https://www.facebook.com/groups/328952157561088/permalink/343153629474274/

٦- تم تجهيز lab للمتدربين في الكورس حتي يتمكنوا من التطبيق العملي وحل مسابقات تمكنهم من تطوير مهاراتهم في مجال اختبار الإختراق. ال Lab الأول واللذي يخص الدروس التي تم الإنتهاء منها يمكنكم الوصول إليه من خلال الرابط التالي ويمكنكم أيضا طرح أسالتكم في نفس الرابط. هل يمكنكم حله وتخطيه؟

https://www.facebook.com/groups/328952157561088/permalink/343153629474274/

٧- ال Lab الخاص بثغرات الويب سيتم طرحه فور البدأ بشرح ثغرات ال SQL Injection ان شاء الله

وفي الأخير أود أن أشكر كل من الأشخاص التالية أسماءهم لمساهمتهم في أن يخرج الكورس بهذا الشكل ومساهمتهم في الإجابة علي أسالة المتدربين بشكل مستمر:

محمود علام

محمد عبدالعاطي

أحمد أبوالعلا

اسامه النجار

راجين من الله عز وجل أن نكون عند حسن ظنكم بنا.

السلام عليكم ورحمة الله وبركاته,

منذ فترة ليست بالقصيرة, بدأنا بشرح كورس مفصل عن إختبار إختراق تطبيقات الويب باللغة العربية. الكورس شمل أساسيات كثيرة جدا مثل ال Networking, Linux, Protocols, How things works (i.e. DNS, HTTP, HTTPS) وكذلك شمل شروحات لثغرات تطبيقات الويب. إضغط هنا لتفاصيل أكثر عن الكورس.

الكورس لم ينتهي بعد ولا زلنا في مرحلة إٍستكماله. لكن قمنا بإضافة درسين مهمين جدا توجب علينا كتابتهم في مقال منفصل, وهما عن كيفية التربح ماديا من إكتشاف ثغرات المواقع.

الدرسين يشملان أشهر ال bug bounty platforms وما هي فكرة ال bug bounty وما هي الطريقة الأنسب لكتابة تقرير بالثغرة التي قمت بإكتشافها. كذلك الدروس شملت أيضا الحديث عن ال CVSS scoring system وكيف يعمل وإنتهاءا بطرق الحصول علي المكفآت المادية من منصة Hackerone.

يمكنكم مشاهدة الدروس من خلال الروابط التاليه:

رابط الدرس الأول:

رابط الدرس الثاني:

ولمتابعة ال Playlist الخاصة بالكورس كاملا, يمكنكم الوصول إليها من الرابط التالي:

https://www.youtube.com/user/Zigoo0/playlists

أما إذا كان لديكم أي أسالة أو إستفسارات بخصوص الكورس, فيمكنكم نشرها علي الجروب المنشأ خصيصا لذلك:

https://www.facebook.com/groups/328952157561088/

وبالأخير, نتمني التوفيق والنجاح للجميع إن شاء الله ولا تنسونا من صالح دعائكم.

أخوكم إبراهيم حجازي