مخترق امريكي: موبايلي السعودية طلبت اختراق "فايبر، واتس آب وتويتر"

أعلن هاكر أخلاقي أميركي عن قيام شركة "موبايلي" السعودية مؤخراً، بالتواصل معه لتنفيذ مشروع لمراقبة البيانات التي يتم تبادلها عبر تطبيقات الأجهزة المحمولة في المملكة العربية السعودية، بما فيها "تويتر" و"فايبر" و"لاين" و"واتس آب"، حيث نشر الهاكر الأخلاقي "موكسي مارلينسبايك" تدوينه على موقعه الخاص على الإنترنت تظهر جزء من المرسلات التي تمت بينه وبين الشركة، حسبما نشرت البوابة العربية للأخبار التقنية. 

 

وقال الهاكر إنه تلقى منذ أسبوع تقريباً رسالة من ياسر الرحيلي، المدير التنفيذي لقسم أمن المعلومات والشبكات في شركة "موبايلي"، حملت عنواناً ملفتاً هو: "حل لمراقبة بيانات مشفرة في شركة اتصالات"، مما أثار اهتمامه وأدى به لطلب المزيد من المعلومات حول المشروع على حد قوله.

وأشار إلى أنه وبعد أسبوع من المراسلات علم أن شركة موبايلي تعمل على برنامج لاعتراض بيانات التطبيقات الخاصة بالأجهزة المحمولة مع اهتمام خاص بالتطبيقات التالية؛ تويتر موبايل، فايبر، لاين، واتس أب. وقال: "كان بإمكاني مساعدتهم بسهولة في عملية اعتراض كافة حركة البيانات التي يرغبون بها (ما عدا تويتر- فقد قمت بمساعدة تويتر في كتابة شفرة TLS، وأعتقد أننا قمنا بكتابتها بشكل جيد)".

 وذكر أيضاً أن "موبايلي" أخبروه مؤخراً أنهم حصلوا بالفعل على نموذج ناجح لاعتراض بيانات تطبيق "واتس آب"، وكانوا مندهشين من مدى سهولة ذلك.

وأضاف مارلينسبايك قائلاً: "عندما طلبوا مني في نهاية المطاف تقديم عرض سعر، أشرت إلى أنني غير مهتم بهذا النوع من العمل لأسباب تتعلق بالحفاظ على الخصوصية، فقام الرحيلي بالرد علي بالرسالة التالية: "أنا أدرك ذلك ولدي أفكار مشابهة لتلك التي لديك مثل الحرية واحترام الخصوصية، ولكن في الحقيقة أن المملكة العربية السعودية لديها مشكلة كبيرة مع الإرهابيين وهم يسيؤون استخدام مثل هذه الخدمات لنشر الإرهاب وللتواصل حول قضاياهم ونشرها، ولذلك نحن نسعى في هذا الاتجاه حاليا وننشد مساعدتك. إذا لم يكن لديك اهتمام بذلك ربما تكون بشكل غير مباشر تساعد هؤلاء الذين يقوضون الحرية بأنشطتهم الوحشية

للعودة للموضوع الأصلي اضغط هنـــــــا:

منتدى الأمـــــوال

الاختراق و الهندسة الاجتماعية

– تعريف الهندسة الاحتماعية

الهندسة الاجتماعية , وكما يسميها الكثير ” فن اختراق العقول ” , وهي عملية تقتضي بتوجيه بعض التقنيات الهجومية , لدفع الضحية الى البوح بمعلومات سرية .

تحديد الهدف + جمع المعلومات

اول خطوة يجب القيام بها قبل عملية الهجوم هي جمع المعلومات عن الضحية , مثل نقاط ضعفه  والامور التي تؤثر على جهازه النفسي , وصولا الى المعلومات الشخصية التي قد تفيدنا في هجومنا مثل رقم الهاتف , عنوان السكن , عنوان البريد الالكتروني , والاسم اذا كان الضحية مجهولا …

هناك عدة طرق لجمع المعلومات , ويجب ان تعلم ان الهندسة الاجتماعية مجال واسع , لايقتصر فقط على ببعض الطرق , فالمهاجم هو من يبتكر طرق هجومه بالنسبة لكل ضحية.

فالامر اشبه بعملية التنويم المغناطيسي , فهي تاثير كلي على نفس الضحية واعصابه .

في مثل هذه الانواع من الاختراقات , يمكن اعتماد هجوم عن طريق انتحال شخصية , او شىء اشبه بذلك ! وكما اقول دائما الهجوم يختلف باختلاف الضحية وعلاقته بالمخترق وذكائه .

الهندسة الاجتماعية كاي نوع من انواع الاختراقات انما الشىء الوحيد المختلف هو انه في هذه الحالة عقل الضحية هو المستهدف وكما يتم استغلال ثغرات الموقع ونقاط ضعفه علينا ايضا استغلال نقاط ضعف الضحية التي تشكل ثغرات في عقله , تمكن المخترق من الولوج عبرها والتاثير على المستهدف من اجل دفعه للقيام بهدفه المنشود , هنا يمكننا القول ان الضحية وقع في قبضة المخترق واصبح تحت تصرفه .

خلكـــــــــــــــــــم مع هالفيديو وتعرفوا على مخاطر الهندسة الاجتماعية:

كيف تصبح مخترق اخلاقى ؟؟

لتصبح مخترق اخلاقى ، يجب ان تتوفر فيك المتطلبات التالية:

* ينبغى أن تتقن مهارات البرمجة و شبكات الكمبيوتر

* ينبغى أن تكون على دراية ببحوث الضعف

* ينبغى أن تكون لديك السيادة فى مختلف تقنيات الاختراق او القرصنة.

* ينبغى أن تكون تكون على استعداد لاتباع سلوك صارم اذا احتاج الامر لهذا.

- لمحه عن مهارات من المخترق الاخلاقى :

* خبير كمبيوتر وبارع فى المجالات التقنية.

* معرفتة المتعمقة للاشياء المستهدفة ، مثل ويندوز و يونكس و لينكس.

* لدية معرفة مثالية لإقامة الشبكات والأجهزة ذات الصلة والبرمجيات.

- ما هو البحث عن الضعف:

* هو اكتشاف مواطن الضعف ووضع نقاط الضعف التى سيتم فتح نظام التشغيل والتطبيقات للهجوم عليها او اساءة استخدامها.

* يشمل كلا من دراسة ديناميكية للمنتجات والتكنولوجيات والتقييم المستمر لخلفية الاختراق.

* الابتكارات ذات الصلة وإصدارها فى فتره الإنذارات ويتم تسليمها فى إطار تحسين المنتج التابع لنظم ضمان

- يمكن ان تصنف على أساس :

* مستوى الخطورة ( منخفضة او متوسطة او عالية )

* بعد الاستغلال ( محلى او عن بعد )

- لماذا يحتاج المخترق الى بحث عن الضعف؟

* لتحديد وتصحيح نقاط الضعف للشبكة

* لحماية الشبكة من تعرضها لهجوم من قبل الدخلاء

* للحصول على المعلومات التى تساعد على منع المشكلات الأمنية

* لتجميع المعلومات حول الفيروسات

* العثور على نقاط ضعف فى الشبكة وتنبيه مسؤول الشبكة قبل الهجوم على الشبكة

* للمعرفة التى تساعد على تعافى الشبكة من الهجوم عليها

- أدوات البحث عن الضعف:

* الولايات المتحدة تنشر معلومات بشأن مجموعة متنوعة من أوجه الضعف

* تحذيرات مماثلة لكنه يحتوى على معلومات أقل

* لا تحتوى على حلول لكافة نقاط الضعف

* يلاحظ الضعف ويمكن البحث فى عدة مجالات رئيسية :
- الاسم 
- ضعف رقم الهوية
- اسم CVE 
* يمكن ان يكون عبر فحص ضعف عام من خلال

www.securitytracker.com
www.microsoft.com/security
www.securiteam.com
www.packetstormsecurity.org
www.hackerstorm.com
www.hackerwatch.org
www.secruityfocus.com
www.securitymagazine.com
www.secunia.com/product

www.scmagazine.com

www.milw0rm.com

التسلل والاختراق الاخلاقي . Ethical Hacker . [ شرح مبسط ] ..

قد يتساءل البعض عن هذا العنوان قائلاً: وهل هناك اختراق أو تسلل أخلاقي، حيث سمع عن اختراق شبكة المعلومات في البرازيل الذي أودى بقتل أربعة أشخاص، واختراق في الصين أودى بشركة أمريكية للإفلاس، وكذا اختراق كاد أن يؤدي بخسارة حرب كاملة، فما علمنا عن الاختراقات الكمبيوترية إلا سوء وخسارة.

لكن هذه الأيام اتجهت الكثير من الشركات العالمية إلى توظيف أناس من لهم خبرتهم في مجال الاختراق الكمبيوتري وتعاقدت معهم لأداء مهمة الاختراق الأخلاقي.

وهذا الاختراق: هو عبارة عن توظيف أناس من قبل الدائرة أو المنظمة التي تريد أن تقيم مستوى الأمن المعلوماتي لديها وتتركهم يحاولون أن يخترقوا أنظمة الحاسب لكي تتعرف وتقيم ثم تتخذ الإجراءات اللازمة لأمن معلوماتها وأنظمتها من حيث سد الثغرات وإصدار السياسات الأمنية وتركيب النظم والأجهزة الخاصة للحماية.



وهناك عدة أنواع لهذه الصفقات أو العمليات ولها مسمياتها التقنية:

أولاً: الصندوق الأسود "Black Box": حيث إن المخترق أو الخبير الأمني يحاول الاختراق والتعرف على الثغرات الأمنية دون أي معلومات مسبقة عن المنشأة ويعد هذاالنوع الأكثر تعقيداً ويستغرق وقتاً أطول من غيره.

ثانياً: الصندوق الأبيض "White Box": حيث إن المخترق تكون لديه كل المعلومات عن الأنظمة وتصميمات الشبكة لدى الشركة التي يتم اختبارها، وهذا غالباً يستخدم في عمليات التدقيق للأنظمة.

ثالثاً: الصندوق الرمادي "Gray Box": وهو محاولة اختراق من داخل المنظمة وهو يعتبر أسهل وأقل تكلفة من سابقتها.

وأياً كان نوع الاختراق فهناك ثلاث خطوات يجب القيام بها والاتفاق عليها بين الشركة المستفيدة والخبير الأمني:


* الخطوة الأولى:
الإعداد والتهيئة وفي هذه الخطوة يتم التوقيع من قبل الطرفين، الخبير الأمني: بأن لا يبوح بأي أسرار أو ثغرات أو معلومات حصل عليها أو تعرف عليها في عمله الاختراقي. وأيضاً تعهد من قبل الشركة: بأن لا تدعي أو تحاكم هذا الخبير في فترة الهمل لديها إذا تعرف أو اكتشف ثغرات أمنية باتهامه أنه مخرب أو غير ذلك. وفي هذه الخطوة أيضاً وضع خطة من ناحية الأماكن المراد اختراقها والوقت الزمني للخطة وفريق العمل.

* الخطوة الثانية: 
عملية التجميع والاختراق وفي هذه الخطوة يتم القيام بمحاولة اكتشاف الثغرات بالمسح الأمني ومحاولة الاختراق ويفضل عند الاختراق أن يكون خارج أوقات العمل لتفادي أي أضرار قد تنجم عن هذا الشيء، أما المسح الأمني لاكتشاف الثغرات فلا بأس أن يكون في أوقات العمل بل يفضل ذلك.

* الخطوة الثالثة:
هي الانتهاء من إعداد دراسة واضحة عما تم اكتشافه من ثغرات وأخطار أمنية وما هي الأدوات أو الطرق التي تم بها الاكتشاف ووضع أولويات في سد هذه الثغرات من ناحية الخطورة وماهي الحلول الأمنية المقترحة لهذه المخاطر.

وفي الختام تعتمد هذه العملية اعتماداً كلياً على الثقة والأمانة المهنية والأخلاقية، لكن اكتشاف هذه الثغرات عن طريق شخص معروف للشركة افضل من أن يكتشفها أو أن يستغلها متسلل خطر وكما قيل: "بيدي لا بيد عمرو".

أتمنى لكم متابعة مقرمشة ولذيذة مع درس الهكر الأخلاقي:

سعودية تحصل على شهادة دولية في الاختراق الإلكتروني الأخلاقي

في عام 2005 حصلت خبيرة الأمن الإلكتروني بأرامكو السعودية منال مسعود الشريف،

، على شهادة الاختراق الإلكتروني الأخلاقي "Ethical Hacking Certificate " 

التي يمنحها المجلس العالمي لمستشاري التجارة الإلكترونية لتكون بذلك 

أول سعودية واول أمرأة عربية تحصل على هذه الشهادة العالمية المرموقة في مجال أمن المعلومات الإلكتروني.

وتمنح هذه الشهادة المرموقة لخبراء الأمن الإلكتروني الذين تخصصوا في مجال "الاختراق " 

الهادف لتقييم مستوى الأمن المعلوماتي في الشبكات والأنظمة لدى الشركات. 

وذلك باكتشاف الثغرات عن طريق المسح الأمني ورصد محاولات الاختراق. 

ثم وضع أولويات في سد هذه الثغرات تبعاً لخطورتها واقتراح الحلول الأمنية لهذه المخاطر،

مما يمكن مسؤولي الأمن الإلكتروني من اتخاذ الإجراءات اللازمة لحماية معلومات الشركة 

وأنظمتها وسد الثغرات وإصدار الإرشادات الأمنية وتركيب النظم والأجهزة الخاصة بالحماية الإلكترونية.

ماذا يعني مخترق أخلاقي ؟

لمخترق الأخلاقي (Ethical Hacker ) :

هو شخص يمتلك القدرة على الاختراق والحماية من الاختراق ويسمى صاحب القبعة البيضاء على عكس المخترق المخرب فإنه يسمى صاحب القبعة السوداء، ويملك الكثير من المعلومات والدراسات الخاصة بمجال الإختراق, ومتمكّن من اختبار اختراق الأنظمة والسيرفرات ودراسات سلوكها, ولكن مع ذلك يكوّن هيبته انه لا يلتفت إلى صغائر الأمور ولا يشجع أبداً على أي اختراقات أو تدمير  بل يساعد الشركات في استعادة مواقعها ودراسة كيفية تم المخترق من السيطرة على السيرفر وبذلك يقوم فوراً بتوفير الحماية اللازمة من تلك الطرق والأساليب والثغرات المستخدمة من قبلهم.

ويمتلك احدى الشهادات المخصصة ليمارس طبيعة عمله كهاكر اخلاقي، كما يسخر تلك الفنون “الاختراق والقرصنة” لخدمة المجتمع أما بتقديم خدمات أمنية احترافية أو باكتشاف الثغرات في تطبيقات وأنظمة دولية وأشعار الشركات المتضررة بخطورة تلك الثغرات، ولكن لا يتم كل ذلك إلا بعد توقيع اتفاقيه وتخطيط مسبق مع الجهة المراد اختبارها، اي انه لا يجوز له الدخول لأي مكان واختراقه “بحجة” فحصه ! يجب أن يأخذ الموافقة الازمة لذلك قبل اي خطوة متبعة.

للهاكر الاخلاقي شروط وأحكام يجب عليه اتباعها والموافقة عليها بالتوقيع على اتفاقية تسمى Code Of Ethic وهي اتفاقية أخلاقية تهدف إلى أن الهاكر الأخلاقي يجب أن يحافظ على السرية التامة في أي اختبار اختراق ولا يقوم بتسريب أي معلومات عن الجهة المختبرة أو الثغرات المكتشفة وعلى أن يقوم بتقديم تقرير كامل يوضح فيه جميع الثغرات الأمنية والحلول مما يساعد الجهة المعنية بالاختبار تأمين مصادرها من المخترقين، كما أن أي إخلال بأحد نصوص الوثيقة الأخلاقية قد يعرض الهاكر الأخلاقي للمطالبة القانونية والمحاكمة امام الجهات المختصة.

اذن بعد أن تعرفنا على المفهوم الرئيسي للهاكر الاخلاقي، ما هو المستقبل الوظيفي لهذا الشخص؟

يمكن للجهات استخدام الهاكر الأخلاقي في كثير من الجوانب المتعلقة بأمور الاختراق وعمليات الهاكرز وعلى سبيل المثال لا الحصر، اختبار تطبيقات الويب والمواقع على الإنترنت وكشف الثغرات الأمنية، واختبار الشبكات السلكية واللاسلكية وكشف نقاط الضعف فيها، عمل تدقيق أمني للتطبيقات الداخلية والخارجية. انه يمكننا استخدام الهاكر الأخلاقي لأي تقييم أمني هدفه كشف العيوب الأمنية قبل استغلالها من قبل المخترقين أو الأشخاص الذين يبحثون عن كشف معلومات سرية.

ما هو الاختراق الأخلاقــــي ؟

ما هو الاختراق الأخلاقي ؟

الاختراق الأخلاقي هو عبارة عن محاولة لمحاكاة الطرق والأساليب التي يقوم بها المخترق ولكنها لا تؤدي إلى الضرر . وتستخدم فقط لتحديد أماكن الضعف والثغرات الموجودة في الشبكة ، المخترق الأخلاقي يعمل من خلال الصلاحيات المصرح له بها من مدير الشبكة .

وحتى تكون عملية الاختبار ذات جدوى يجب أن يكون لدى المخترق الأخلاقي معلومات كافية عن المصادر التي يجب أن تضمن في الاختبار والمهددات المحتملة .

تقوم الشركة بتعيين فريق مكون من مجموعة من الأشخاص من قسم الرقابة والمتابعة الداخلية (Internal Audit) أو من قطاع تقنية المعلومات (Information Technology ) أو من شركة استشارية متخصصة في مثل هذا المجال . ويقدم بعد الانتهاء من العمل تقرير مفصل عن أماكن نقاط الضعف والثغرات التي وجدها بالإضافة إلى الأسباب واقتراح الحلول المناسبة لها .

أثبتت هذه الطريقة أنها أكثر الطرق فعالية للحماية لأن هذا المخترق سيستخدم نفس الأساليب والأدوات التي يستخدمها المخترق الحقيقي لكن بشكل أخلاقي هذه المرة لصالح الشركة .