جولة سريعة في عالم الثغرات الأمنية

تتعد الوسائل والطرق والوسائط لحماية الأجهزة على عمومها ، وتفاصيلها كالمتصفح والبرامج الخ….

لكن معرفة السبب لوقاية أهم من البحث على السلامة والعلاج عند الإصابة، ولعل العالم الخاص بالحفاظ على أمن ا لمواقع أكبر واهم أوثر صعوبة.

جولة سريعة في هذا العالم للفائدة[1].

مازالت المواضيع الهامة عبر المواقع ، تشغلها قضية الثغرات الأمنية، بعدما صارت سباقا بين الهواة لإسقاط أكبر عدد ممكن من المواقع والهواتف وتلويث المتصفحات وغيرها بالكودات الإعلانية، مهمتنا التحذير التعريف ومحاولة الوقاية، ومازال هناك جهود حثيثة للبحث عن وسائل للوقاية والمجابهة بقوة.

يستعرض جوالك التقنية أهم ما وصل إليه في هذا العالم الهام:
الثغرة الأمنية : هي اولا نقطة ضعف في الموقع  او نظام التشغيل، تسمح للغرباء بدخولها والعبث بها.

***********
ما هي الثغرة؟

-قال مدير شركة كلاودفلير ماثيو برنس “من المحتمل أن نكون إزاء أخطر ثغرة غير مسبوقة- .”

– الثغرة تتعلق ببروتوكول تشفير البيانات المتبادلة على شبكة الإنترنت وتتسبب بتسرب مفاتيح التشفير والإتصالات الخاصة بين المستخدمين ومعظم المواقع والخدمات على الشبكة. وتهم أساسا تقنية OpenSSL ،البروتوكول المستخدم على نطاق واسع لتشفير البيانات التي تنتقل على شبكة الإنترنت.

– تقنية OpenSSL، هي تقنية مفتوحة المصدر تحتوي أدوات التشفير المعروفة TSL و SSL. الأول يعني Transport Layer Securityأو بروتوكول طبقة المنافذ الآمنة، يستخدم خوارزميات تشفير فائقة القدرة وهو نسخة مطورة من بروتوكول SSL- Secure Sockets Layer الذي يشفر البيانات المتبادلة على الشبكة.

فعندما تدخلون موقعا ما يبدأ عنوانه بـ https وفي أسفل الشاشة أيقونة قفل، فهذا يعني أن البيانات المتبادلة بين جهاز الكمبيوتر الخاص بكم وخادم الموقع مشفرة لحماية المعلومات، وإذا رأيتم الصورة على العنوان فهذا يعني أنّ هناك فرصة كبيرة أن الموقع يستخدم نظام التشفير الذي أثرت فيه الثغرة المخيفة.

كيف تعمل؟

-لمدة عامين، كانت الثغرة تسمح لغرباء بالدخول لمعلومات شخصية كان يفترض أن تكون آمنة وسرية .

 

-ذلك يعني أنّ هناك خطأ في تصميم بروتوكول OpenSSL. ففي حالة الرغبة في التأكد من أن الخادم يعمل يتم إرسال ما يعرف لدى الخبراء بالبينغ عبر علامات وإشارات تكنولوجية ينتظر الرد عليها بتقنية تسمى لدى الخبراء بونغ، لكن الخادم الذي تعرض لثغرة Heartblee يرسل كل البيانات المخزنة في ذاكراته وأيضا مفاتيح التشفير المستخدمة من قبل الموقع.

-كما أن الثغرة تبقيك داخل الموقع بما يسمح لغريب بأن يتصرف كأنه أنت من دون ضرورة الاستظهار بكلمة المرور. كما تسمح للمهاجمين بأن يظهروا وكأنهم موقع حقيقي ويقودونك للكشف عن كلمة المرور الخاصة بك.

-الأخطر أنّ الثغرة لا تترك أثرا بحيث أنك تبقى دون علم متى وكيف تعرضت للقرصنة.

مجال تأثير الثغرة:

-أكثر من ثلثي خوادم الشبكة يستخدمون تقنية OpenSSL للتشفير. والهفوة تطال بالتحديد نسخة مطورة عام 2011. كما أظهرت الدراسات أنّ 81 بالمائة من المواقع تستخدم برامج خوادم مثل Apache  وNginx وكلاهما معرض للاستهداف من قبل الثغرة.

-الكثير من المواقع الشهيرة مثل غوغل وياهو وأمازون تستخدم وسائل التشفير المستهدفة. وقامت هذه المواقع بتحديث نفسها وإصلاح الثغرة، لكن الكثير من المواقع مازالت لم تقم بذلك. ويضاف للموقع التي تستخدم نظام التشفير المعني فيسبوك وبنترست وإنستغرام.

-ما يمكن فعله:

-الخروج من جميع المواقع التي تستخدم كلمات مرور، مثل البريد الإلكتروني ومواقع التواصل والأنظمة المصرفية. لكن ذلك لا يكفي حيث أن الكثير من المواقع مازالت بصدد العمل على إصلاح الثغرة وهو ما يعني أنك إذا غيرت كلمة مرور في موقع مازال لم يصلح الأمر فإنه مازال معنيا بالثغرة. ووفقا للخبير الإيطالي فيليبو فالسوردا فإنّ “الأمر قد يستغرق أعواما لإصلاح جميع المواقع- .”[2]

*********
من جهة أخرى، أعربت شركة ديل عن مخاوف امنية حول اجهزتها:

مخاوف بشأن أمن أجهزة كومبيوتر “ديل” بعد ظهور مشكلة جديدة

تجددت المخاوف بشأن أمن أجهزة الكومبيوتر التي تنتجها شركة “ديل” الأمريكية بعد اعترافها بوجود مشكلة أمنية ثانية في أجهزتها.

وأوضح باحثون مدعومون من الحكومة الأمريكية أن المشكلة الجديدة، تشبه الأولى، وقد تترك معلومات المستخدمين الشخصية معرضة للخطر.

وقالت “ديل” أنها بدأت عملية الإصلاح مرة أخرى، بعد القيام بالشيء نفسه مع المشكلة الأولى، في وقت سابق من هذا الاسبوع.[3]

******
تلويح بالحل:

1-الحماية من ثغرات الأكواد البرمجية في المتصفحات و الاضافات و تطبيقات مواقع التواصل

وهو امر هام جاي شرحة فيلم يوتوبي في الهامش.[4]

2- بالنسبة للمسؤولين عن امن المواقع الإلكترونية:

كيف تبدأ طريقك في اكتشاف ثغرات المواقع وبرامج المكافآت المالية.

لكي تبدأ في مجال أمن مواقع الإنترنت فيجب عليك أولا أن تفهم مجال إدارة مواقع الانترنت بشكل عام وكيف تعمل مواقع الإنترنت وما هي اللغات البرمجية التي تستخدمها وماهي قاعدة البيانات وكيف تعمل وكيف يتم الربط بينها وبين التطبيقات(Applications) وغيرها من الأسئلة.

الموضوع سهل وبسيط إن شاء الله, سنقوم بتجربة عمل موقع إلكتروني وتشغيله كتدريب عملي علي كيف تعمل المواقع الإلكترونية وكيف تعمل قواعد البيانات وما هي ال Domains وغيرها.

المطلوب منك عزيزي القارئ أن تستخدم جوجل في البحث والقراءة عن:

١- ما هي mysql وما هي phpmyadmin

٢- ما هو ال Appserv وكيف يمكن تثبيته (Install)

٣- ما هو ال WordPress وكيف يمكن تشغيله علي السيرفر المحلي Appserv

٤- كيف تقوم بحجز مساحة استضافة مجانية و domain مجاني وتقوم بتشغيل ال WordPress عليها

٥- ما هو سكربت Vbulletin وكيف تقوم بتركيبه علي استضافة مجانية أو علي ال Appserv

٦- مطلوب منك أن تقرأ جيدا عن ال HTML وتقوم بتصميم صفحات بها حتي تتمرن عليها جيدا وهي لغة سهله جدا ويمكن تعلمها في وقت قصير لكنك لن تدرك مدي سعادتك وأنت تجرب إنشاء صفحتك الخاصة وتضعها علي موقعك علي الإنترنت للمرة الاولي[5]

***********
3- ثغرات الأندرويد:

ما هي ثغرة Stagefright:

هي عبارة عن نقطة ضعف في معالج الميديا لنظام أندرويد، وهي موجودة على أكثر من مليار هاتف أندرويد، وخاصةً إصدار جيلي بين، حيث يقوم القراصنة باستغلال هذا الضعف عبر إرسال شريط فيديو برسالة MMS تحتوي على برمجيات أخبث من الخبيثة، بدورها تتحكم هذه البرمجيات الخبيثة بكل شاردة ووراده على جهاز الأندرويد، ووصفها بالاختراق الأمني الكبير والأخطر على مستوى الأجهزة الذكية لأنها تُفعّل حتى لو لم يقوم المستخدم بفتح رسالة الـ MMS، فقط بمجرد وصول هذه الرسالة إذن الجهاز مصاب.

**********
إن أهم ما يمكن فعله أوليا، هو عدم تشغيل التلقائيات ، بمعنى ، التحميل التلقائي ، وخاصة البرامج عن طريق برامج غير موثوقة المصدر في جلبها، ولا الفيديوهات ولا الرسائل.[6]

***********
وأخيرا يمكنك السباحة في عالم كبير من المفاهيم المتعلقة بالموضوع من خلال مفتاح البحث:” الثغرات الأمنية”[7]”

كان هذا قطفا سريع لموضوع كبير جدا ، قد نأتي بالمزيد حوله لاحقا.

 

جوالك التقنية.

[1]  للاطلاع موضوع مشابه: في جوالك

http://www.jawallak.com/?p=387

 

[2] للمزيد:

http://arabic.cnn.com/scitech/2014/04/12/money-heartbleed-bug

 

[3] للمزيد:

http://www.bbc.com/arabic/scienceandtech/2015/11/151126_dell_faces_fresh_security_questions

 

[4] https://www.youtube.com/watch?v=hX1Fe8SIsdI

 

[5] للمزيد مع الفيلم التوضيحي الرجاء التوجه للرابط:

http://www.security4arabs.com/2015/04/03/how-to-start-in-webapps-security/

 

 

[6] للمزيد حول هذا الموضوع الهام:

http://www.tech-wd.com/wd/2015/08/08/%D8%A7%D9%84%D8%AB%D8%BA%D8%B1%D8%A9-%D8%A7%D9%84%D8%A3%D9%85%D9%86%D9%8A%D8%A9-%D8%A7%D9%84%D8%A3%D8%AE%D8%B7%D8%B1-stagefright-%D9%85%D8%A7%D9%87%D9%8A%D8%9F-%D9%88%D9%87%D9%84-%D8%A3%D9%86%D8%A7/

 

[7]  رابط إضافي للفائدة:

http://www.albawabhnews.com/1595420