استكمالا للتدويته السابقه حول اجهزة الـ IPS & IDS تطرقت الى موضوع ال regular expression هذا و لكن لم اتكلم عنه بالتفصيل , مما دفعنى الى تخصيص تدوينه لهذا الموضوع , فالكثير لا يعلم شىء حول هذا الموضوع بالرغم من ان له بعض التطبيقات فى اجهزة cisco المختلفه سواء كانت IPS & IDS – ASA firwall – Routers , وان كان اقرب لمجال البرمجه عن الشبكات فمن لديه خلفيه برمجيه سيجد الموضوع بسيط .

تعريف الـ Regular Expression
تبسيطا لفكره الـ Regular Expression ساستعين بمثال للتوضيح ,لدينا شبكه يوجد بها FTP server غايه فى الاهميه , و لحمايته تم وضعه خلف جهاز IPS sensor ليقوم بفحص الحزم المرسله اليه , فى احد الايام تم اكتشاف ثغره تستهدف منفذ 21 الخاص بال FTP , الان يجب علينا تامين ال server , ولكن كيف ؟؟ فالجهه المسئوله من سيسكو لم تطرح بعد اى signature تقوم بكشف هذا الهجوم باستخدام ال IPS المتاح لدينا , اذن لا يوجد امامنا حل الا تصميم signature خاص لكشف هذا الهجوم ,الخطوه الاولى هى القيام بعمل بحث حول هذا الهجوم و نفترض اننا وجدنا الاتى ,الحزم التى تحتوى على هذا الهجوم تحتوى على string معينه تقوم بتنفيذ امر خبيث فى السيرفر , و لتكن هذه الكلمه هى ATTACK , الخطوه التاليه بعد ان استطعنا معرفه بصمه تميز هذا الهجوم هى تطبيق الاعدادت configuration اللازمه على ال IPS ليقوم بكشف الهجوم , و الذى سيتعرف عليه عن طريق البحث داخل الحزم عن الكلمه ATTACK ,وأى حزمه تحتوى على سلسله نصيه تتطابق مع ما قمنا بتحديده يتم منعها من المرور , ولكن هل هذا كافى ؟!!
المخترق الذكى لا يعتمد على طريقة واحده فى تنفيذ هجوم ما , بل يقوم بتغيير طريقته ليتفادى الكشف ,لنفترض ان مخترق ما قام بمحاوله تنفيذ الهجوم السابق على ال FTP server الذى نتولى عمليه تامينه , تفاجأ هذا المخترق بأن الهجوم لم ينجح , لذلك فكر فى طريقه لخداع جهاز ال IPS الذى يؤمن السيرفر , فقام هذا الشخص بتعديل بسيط فى الهجوم , فبدلا من ان يحتوى الهجوم على كلمه ATTACK قام بتغييرها الى ATTacK والتى تقوم بتنفيذ نفس الغرض الخبيث , مجرد تغيير حرفين من UPPER-CASE الى LOWER-CASE ولكن النتيجه ستكون مذهله ,عندما يمر هذا الهجوم على ال IPS يقوم هذا الاخير بعرضه على مجموعه من ال signature التى تقوم بفحص البيانات والتى من بينها ال Sig. التى قمنا بتصميمها , عندما بدأت هذه ال sig. فحص الحزم لم تكتشف الهجوم والسبب انها اعتمدت على شكل واحد له وهى احتوائه على كلمه ATTACK ,عندها ستتجاوز الحزم ال IPS وتصل فى النهايه الى السيرفر لتقوم بتنفيذ الهجوم المطلوب .
الان ما الحل لمثل هذه المشكله ؟ قد يقول البعض يمكننا ان نقوم بعمل sig اخرى لتقوم بمنع اى حزمه تحتوى على اى string من الاتى ATTACK او ATTack او ATTack او attaCK او attack الخ … ممتاز ولكن ما هى الطريقة التى نستطيع بها تحديد اى شكل لهذه الكلمه ؟ فمن غير المعقول ان نصمم signature منفصله لكل شكل من هذه الكلمه , فمثلا sig 1 تقوم بكشف attacK و sig 2 تقوم بكشف ATTAck الخ … بالطبع هذا مستحيل لانه فى الهجوم الحقيقى لن تكون مجرد كلمه من ست احرف فقط , هنا يأتى دور Regular Expression لتساعدنا فى تحديد هذه الكلمه باى شكل لها , فال Regular Expression عباره عن notational language او لغه ترميزيه تساعدنا فى عمل وصف ل text pattern ,فمثلا لنقوم بعمل وصف للكلمه ATTACK بكل اشكالها بمساعده ال regular expression سنقوم بترميزها بهذا الشكل “[Aa][Tt][Aa][Cc][Kk]” بهذه الطريقه نستطيع عمل match للكلمه بمختلف اشكالها , وبوضع هذا التص “[Aa][Tt][Aa][Cc][Kk]” فى ال signature ستقوم بمنع اى حزمه تحتوى على اى شكل من هذه الكلمه .
تستخدم ال regular expression مجموعه من الرموز تسمى Metacharacters تعطى مرونه لوصف اى text نريده , فمثلا استخدمنا هذه المثال السابق لمطابقه كلمه attack زوج الاقواس [] وهى تقوم باختيار حرف واحد من ما بينها , مثال اخر لنفهم اكثر
نريد ال regular expression التى تمثل الكلمتين hacker او Hacker الحل هو Hh]acker] نريد ال regular expression التى تمثل الكلمتين hackEr او Hacker الحل هو Hh]ack[Ee]r] نريد ال regular expression التى تمثل الكلمتين hat او hot الحل هو h[oa]t
اعتقد ان الامر اصبح واضحا الان , ولكن هناك رموز اخرى كثيرة تساعدنا فى هذه العمليه سنتعرف عليها فى الفقره التاليه .

الــ Regular Expression Metacharacters

علامة الاستفهام ? – تعنى هذه العلامة احتماليه وجود الحرف الذى يسبقها او عدم وجوده نهائيا .
مثال – he?llo تقوم بعمل match لــ hello او hllo
مثال – pl?ay تقوم بعمل match لـــ play او pay

النجمه * asterisk – تعنى احتماليه تكرار الحرف الذى يسبقها اكثر من مرة او عدم وجوده نهائيا
مثال – lo?se تقوم بعمل match لـــ lse او lose او loose او looose او looooooose الخ …

علامه + – تعنى احتماليه تكرار الحرف الذى يسبقها اكثر من مرة او على الاقل وجودة مرة واحده
مثال – lo+se تقوم بعمل match لـــ lose او loose او looose او looooooose او الخ … (لا تقوم بعمل match لــ lse لانها تشترط وجود الحرف مرة واحده على الاقل)

زوج الاقواس {} – يستخدم هذا النوع لتحديد عدد تكرار حرف معين وذلك بادخال رقم داخله , وهذا الرقم يشير الى عدد مرات التكرار للحرف الذى يسبق القوس
مثال – l{3}ose تقوم بعمل match لـــ lllose

زوج الاقواس () – يقوم بتجميع عدد من الاحرف بداخله ليتم معاملتهم كانهم حرف واحد فقط
مثال – {4}(xyz) تقوم بعمل match لـــ xyzxyzxyzxyz (تم معامله ما داخل الاقواس كانه كيان واحد)

النقطة . – تشير النقطة انه من الممكن ان يكون مكانها اى حرف فيتم تجاهل اى شىء مكانها
مثال – h.t تقوم بعمل match لـــ hat او hot او hit او الخ ….

زوج الاقواس [] – تحديد عدد من الخيارات المتوقعه بداخله
مثال – [Aa] تقوم بعمل match لــ A او a
مثال – [Hh][Ee][Ll][Ll][Oo] تقوم بعمل match لـــ كلمه hello بجميع حالاتها سواء كانت capital or small

العلامه ^ مع زوج الاقواس [] – تساوى هذه العلامه كلمه NOT
مثال – [abc^] تقوم بعمل match لـــ اى حرف ماعدا a و b و c

العلامه ^ منفرده – تستخدم اذا اردنا عمل match لجمله او اى text يبدأ بكلمه معينه
مثال – hello^ تقوم بعمل match لاى سطر يبدأ بكلمه hello مثل hello sherif او hello ali او hello …. الخ

علامه $ – تستخدم اذا اردنا عمل match لجمله او اى text ينتهى بكلمه معينه
مثال – $xyz تقوم بعمل match لاى سطر ينتهى بــ xyz مثل aaaaaxyz او ggggxyz الخ ..

الشرطة “-” – تقوم بتحديد range معين
مثال – بدلا من كتابه [abcdef] يمكننا كتابه [a-f] تقوم بعمل match لاى حرف فى هذا الـ range
مثال – [9-1] تقوم بعمل match لــ اى رقم فى هذا ال range

علامه | – هذه العلامه تساوى كلمه OR
مثال – (magdy)|(sherif) تقوم بعمل match لـ كلمه sherif او magdy (لاحظ استخدام الاقواس)
مثال – [G-Z]|[a-f] تقوم بعمل match لاى حرف small من a الى f او حرف capital من G الى Z (لاحظ الفرق بين هذا النوع من الاقواس و النوع السابق)

اخيرا العلامة \ – هذه لها مدلول مختلف فهى تسمى “escape character” وتقوم بحذف اى معنى لاى metacharacter توضع قبلها
مثال – نريد ان تقوم بعمل match لــ IP address معين لنفترض مثلا 192.168.10.10 , المشكله هنا هو ان هذا string يحتوى على علامة مميزة بالنسبه للـ REG EXP و هى النقطة لذلك لكى نزيل معنى هذه النقطة و نجعلها مثل اى حرف اخر نفعل الاتى 10.\10.\168.\192 حيث قامت الـ \ بجعل النقظة مثل اى حرف اخر , ويمكننا استخدام هذه العلامة مع اى metacharacter اخرى لعمل match لاى نص يحتوى على احد هذه العلامات .

مثال مفصل 
الان ساقوم بشرح REGEX تقوم بعمل match لاى E-mail للتحكم بمدخلات المستخدم
[A-Z0-9a-z_]+@[Nn][Ee][Tt][Ww][Oo][Rr][Ss][Ee][Tt]\.(com)|(net)

نبدأ بالجزء الاول من الـ REGEX
[A-Z0-9a-z_]+
الاقواس من النوع [] تخبرنا انه يمكن اختيار اى شىء من داخلها
اى حرف من ال range الاول و هو من A الى Z
او
اى رقم من ال range الثانى و هو من 0 الى 9
او
اى حرف من ال range الثالث و هو من a الى z
او
علامة  _

بعد ذلك تاتى علامة الـ + تقول لنا انه يمكننا تكرار ما سبق على الاقل مرة واحده او اكثر وذلك لمنع المستخدم من تسجيل مدخلات فارغه , بعد ذلك يجب وجود علامة @ ثم كلمه network بجميع حالاتها ثم النقطة بعد ذلك وتم استخدام الــ \ ليتم معامله النقطة كانها حرف عادى ,اخيرا نترك خيارين فى النهايه وهو ان ينتهى بـ com او net باستخدام | التى تساوى OR .

تطبيقات الــ Regular Expression فى أجهزة Cisco

يوجد العديد من التطبيقات على أجهزة cisco يستخدم فيها الـ Regular Expression مثل

• - تستخدم فى مواضيع معينه خاصه ببروتوكول BGP .
• - تستخدم فى تطبيقات الجدران الناريه خاصه على ال ASA وتطبيق ما يسمى MPF .
• - تستخدم فى MQC على روترات سيسكو .
• - يستخدم فى تصميم ال Signatures على اجهزه ال IPS .
• - يستخدم فى فلتره ملف الاعدادات خاصه فى الامر show run على اى جهاز cisco , فأثناء القيام بــ troubleshooting or verifying للاعدادات تحتاج الى تحديد مخرجات معينه للتركيز عليها , فبدلا من مشاهده ملف ال configuration كاملا , يمكننا تحديد جزء معين لنراه هكذا

و كما نرى يمكننا استخدام Regular Expression لتحديد مخرجات معينه
اترككم لتجربوا هذه الطريقه بانفسكم , فهى تسهل العمل اذا كان ال configuration file كبير الحجم .

وبالتوفيق للجميـــع ,,,

By sherif magdy
www.afinis.co.cc : المصدر

كيف تحمى شبكتك الجزء الأول

عدت من جديد بعد فترة من التوقف أتمنى أن لا تكرر مرة أخرى ,أتمنى أن تكونوا مازلتم تتابعونى  ,وفى الفترة القادمة سأقوم باثراء المدونة بمواضيع أكثر أتمنى أن تنال على إعجابكم وسأبدا بتلك التدوينة  .

من الضرورى لمهندس الشبكات ان يكون ملم ببعض التقنيات و الاستراتيجيات المهمه التى تستخدم فى صد الهجمات واشهر الطرق التى من الممكن ان يتبعها للتعرف على نوع الهجمات الموجهه الى شبكته ,خلال هذا الموضوع نتعرف على عدد من هجمات الشبكه و كيف يتصرف الشخص المسئول عنها فى حاله استهداف الشبكه بهجوم معين .

الشبكه التى سنعتمد عليها فى الشرح

التصدى لهجمات ال Fragmentation-Based Attack

عدد كبير من الهجمات تعتمد على عملية ال Fragmentation اى تقسيم ال Packets الى أجزاء صغيرة يتم إرسالها بشكل متتابع فيتم تجميعها مرة اخرى عند الوصول , وهناك برامج يمكنها استغلال بعض الثغرات فى هذه العمليه لتنفيذ غرض خبيث فى نظام التشغيل او حمل الجهاز الى أشياء غير محسوبه مما يؤدى الى حدوث خلل ,ويمكن ايضا استخدام ال Fragmentation بغرض اخفاء هجوم كبير يتم تنفيذه فعن طريقه  يتمكن المخترق من المرور عبر انظمه الحمايه مثل ال IPS و ال IDS وبعض الجدران الناريه ,باختصار ال Fragmentation يمكن ان يؤدى الى الكثير من المشاكل و الثغرات ,مثال على اشهر الهجمات التى تعتمد على مبدأ ال Fragmentation فى تنفيذ شىء معين :

• IP fragment overlapped
• IP fragmentation buffer full
• IP fragment overrun
• IP fragment overwrite
• IP fragment too many datagrams
• IP fragment incomplete datagram
• IP fragment too small

وبما ان الهدف من التدوينة هو طريقه الحمايه فلن اتطرق الى الحديث عن هذه الطرق , ففى حاله أنه تم اخبارك أن هناك من يعتمد على هذه الطرق لعمل هجوم  و طلب منك منع ذلك فالامر بسيط كل مع عليك هو تنفيذ  إحدى هذه الطرق الأتيه :

• الطريقه الاولى (عن طريق الروتر) 

R1(config)#access-list 101 deny ip any any fragments
R1(config)#access-list 101 permit ip any any
R1(config)#interface f0/1
R1(config-if)#ip access-group 101 in

عن طريق الاوامر السابقة تم إنشاء ACL تقوم بمنع أى fragment من المرور عن طريق ال keyword التى اضفناها فى نهايه الامر  fragments وهى تقوم بعمل match لل Non Initial Fragments ولكن ما الفرق بين ال Initial fragment وال  Non Initial fragments ؟

1. ال Initial  fragments هى التى تحتوى على كل القيم المطلوبه والمهمه فى ال Headers , فهى تحتوى على Layer 3 &4 Information وبهذا يمكن لل ACL العاديه التعرف عليها .
2. ال Non Intial  fragments هى التى لا تحتوى على معلومات كافيه فى ال Header وفى الغالب لا تحتوى على اى معلومات خاصه ب Layer 4 , لذلك لا يمكن لل ACL العاديه التعرف عليها الا عن طريق كلمه fragments .

• الطريقه الثانيه (عن طريق الروتر)

R4(config)#int fa0/1
R4(config-if)#ip virtual-reassembly drop-fragments

هذه الطريقه تعتمد على خاصيه تسمى Virtual-reassembly , وظيفة هذه الخاصية فى الأصل أنها تقوم بتجميع كل ال Fragments على شكل Packet واحدة وتعيدها إلى شكلها الأصلى فيستطيع ال Router عمل Inspect لها وفحصها فى حالة اذا كان الروتر يعمل كجدار نارى ,ولكننا هنا استخدمنا هذه الخاصيه لمنع ال Fragments بشكل نهائى من المرور.

• الطريقه الثالثه (عن طريق ASA)

ASA(config)# fragment chain 1 outside Fragment

الامر السابق يقوم بتحديد اقصى عدد من ال Fragment يمكن السماح به لل Packet الواحدة , وبما اننا قمنا بجعل هذه القيمه تساوى 1 فيما معناه “لا تسمح بمرور اكثر من Fragment واحدة لكل Packet” أى أننا بهذا قمنا بمنع ال Fragmentation من الأساس .

التصدى لهجمات IP Options-Based Attack

فى كل IP Header يكون هناك جزء خاص بال IP options ويكون بعد ال Destination IP address , وهذه صوره لل Header للتوضيح

فى اغلب الأحيان يكون هذا الجزء فارغ فهو يستخدم فى حالات قليله مثل رسائل ال BGP التى تستخدم IP option 19 , لكن هناك بعض الاستخدامات الخبيثة فى هذه الجزئيه تمكن المخرب من عمل Spoof واشياء أخرى يمكنك التعرف عليها أكثر بالبحث اذا أردت , ولمنع حدوث ذلك يمكنك استخدام الطريقة التالية :

R1(config)#ip options drop

هذا الامر يقوم بعمل Drop لهذا ال Traffic .

التصدى لهجمات الاستطلاع Reconnaissance

أى عمليه اختراق منظمة تبدأ بهذه الخطوة ,و هى تساعد فى معرفة معلومات عن الشبكه مثل نطاق العناوين المستخدم والمنافذ المفتوحه الخ.. من هذه الامور ,من أشهر البرامج التى تقوم بهذه العمليه البرنامج الشهير nmap , اذا كنت تشك ان هناك من يقوم باستطلاع شبكتك فأدخل هذا الامر فى ال ASA

ASA(config)# threat-detection scanning-threat shun duration 1800

خاصيه Threat-detection هى خاصيه مهمه فى ال ASA لها استخدامات عديدة , ولا يقتصر هذا الأمر على التعرف على هجمات الاستطلاع فقط , بل يقوم بعمل block لأى جهاز يصدر منه هذا النشاط لمده معينة من الثوانى تقوم بتحديدها .

ملحوظة مهمة للحماية من هجمات الاستطلاع وهى ألا تسمح بأكثر من ما تحتاجه الشبكه للعمل ,فاذا سمحت بأكثر من ذلك ستجد الباب مفتوح للعديد من الهجمات , فمثلا إذا كان عندك ويب سيرفر تسمح لأى شخص من الانترنت بالولوج اليه ,فلا تستخدم ال ACL على الانترفيس المواجه للانترنت بهذه الطريقة

access-list 101 permit tcp any any eq 80

بل اجعلها بهذه الطريقة لانها الأفضل من منظور تحديد الصلاحيات وتقيدها

access-list 101 permit tcp any SERVER-IP eq 80

التصدى لهجمات التزوير IP Spoofing

فى الغالب يلجأ المخربين الى تزوير عناوين ال IP الخاصة بهم سواء من أجل التخفى أو أى غرض اخر , ومن مبادىء الحماية ان لا تسمح مطلقا بأى عنوان ضمن RFC1819 بالدخول إلى شبكتك عن طريق الانترنت , لان هذه العناوين خاصه بال Private Host لذلك اذا كان مصدرها ال Outside فحتما ولابد انها عناوين غير حقيقية , لذلك يفضل ان يكون الانترفيس المواجه للانترنت عليه ACL بهذا الشكل

R1(config)#access-list 101 deny ip 192.168.0.0 0.0.255.255 any
R1(config)#access-list 101 deny ip 172.16.0.0 0.15.255.255 any
R1(config)#access-list 101 deny ip 10.0.0.0 0.255.255.255 any
R1(config)#access-list 101 permit ip any any

بهذا اكون قد انتهيت واتمنى ان يكون الموضوع سهل و مفهوم , ومازال هناك الكثير من طرق الحماية نتعرف عليها فى الجزء القادم , وأرحب بأى أسئلة أو استفسارات .

وبالتوفيق للجميع ,,,

المصدر


www.afinis.co.cc : المصدر

اسرع الوظائف نموا بامريكا فى 2011

وجدت هذا الموضوع عن اسرع الوظائف نموا فى امريكا بعام 2011 ولهذا اردت ان نلقى عليه نظرا وناخذ منه مايفيدينا فى مجالنا

وهو يعرض افضل 20 وظيفة فى امريكا

وماهو متوسط الاجر – ومعدل النمو -  واعلى اجر -  ويعرفك كيف تتخصص فى هذا المجال بنبذه صغيرة عنه.

………………………………………………………………………………………….

…………………………………………………………………………………………………………

………………………………………………………………………………………….

………………………………………………………………………………………….

………………………………………………………………………………………….

………………………………………………………………………………………….

………………………………………………………………………………………….

………………………………………………………………………………………….

………………………………………………………………………………………….

………………………………………………………………………………………….

………………………………………………………………………………………….

………………………………………………………………………………………….

………………………………………………………………………………………….

………………………………………………………………………………………….

…………………………………………………………………………………………………………

…………………………………………………………………………………………………………

……………………………………………………………………………………………

………………………………………………………………………………………….

………………………………………………………………………………………….

 المصدر

www.afinis.co.cc : المصدر

يوميات مسئول دعم فنى (مقدمة)

بسم الله الرحمن الرحيم

يوميات مسئول دعم فنى

 

بسم الله والحمد لله والصلاة والسلام على خاتم الانبياء والمرسلين … فى قسم تقنية المعلومات يوجد العديد من التخصصات المختلفة مابين مدير تقنية ومدير شبكة ومبرمج و مطور مواقع ….الخ وهناك ايضا مسئول الدعم فنى حيث يعتبر هذا الرجل هو الخط الامامى فى القسم حيث انه اكثر التحاما بالموظفين على الدوام و لهذا الموظف دور كبير فى التعبير على صورة القسم , لهذا هو له دور كبير فى تحسين صورة القسم أو اعطائها صورة سيئة , ومطلوب ان يكون مسئول الدعم الفنى يمتلك بعض من الادوات الاساسية  سوف نتحدث عنها هنا:-

-       ماهو مسئول الدعم الفنى

-       وماهى المؤهلات والمهارات المطلوب توافرها فيه ثم بعد ذلك سيكون مواضيعنا تتوالى عن مسئول الدعم الفنى .

من هو مسئول الدعم الفنى :

هو الشخص المتخصص فى حل مشاكل الاجهزة والموظفين فى الشركة ولديه من المهارات التى تؤهله لذلك سواء كانت على مستوى الهاردوير او السوفت وير .

المؤهلات:

الحد الادنى من المعرفة المطلوبه من مسئول الدعم الفنى هى المعرفة بأساسيات صيانة الاجهزة ( كورسA+  ) وايضا المعرفة باساسيات الكمبيوتر.. كورس ICDL .., ومعرفة متوسطة فى الشبكات..وينصح بكورس N+ و Ccna وايضا server +…. وذلك لكى يكون قادر على مواجهه وحل المشاكل اليومية .

الصفات والمهارات

 هناك بعض النقاط التى لابد ان تتوفر فى مسئول الدعم الفنى :-

-       ان يكون محب لعمله و محب للتعلم لكى يكون قادر على التوصل على اخر المستجدات فى الساحه التقنية

-       القدرة على البحث عن الحلول للمشاكل اليومية.

-       القدرة على الاتصال والتعامل مع الموظفين بصفاتهم وطبائعهم المختلفة .

-       الفهم الجيد للبرامج المختلفة بالشركة .

هذه مقدمة بسيطة وان شاء الله فى المواضيع المتوالية سوف يتم التطرق الى اهم البرامج التى يحتاجها مسئول الدعم الفنى و اهم الادوات والعدد الخاصة به وكيف يتعامل الدعم الفنى مع الموظفين

وغيرها من المواضيع المختلفة التى تهم مسئول الدعم الفنى سواء كان ذلك إجمالا او تفصيلا.

By محمد عز الدين عبدون
www.afinis.co.cc : المصدر

طريقة حذف حسابك على الفيس بوك بصورة نهائية

اذا كنت تريد حذف حساب على الفيس بوك بصورة نهائية فيمكنك عمل هذا فى ثلاث خطوة بسيطة

ولكن للعلم سيتم غلق الحساب بصورة مؤقتة لمدة 14 وبعدها ان لم تستخدم الحساب سيتم حذفه بصوره نهائية

للبدء ادخل على حسابك اولا ثم  اضغط على الوصلة التالية

https://www.facebook.com/help/contact.php?show_form=delete_account

فتظهر لك الرسالة التالية

يخبرك لو كنت متأكد عدم استخدامك الحساب اضغط Delete my account

بعد ان تضغط على حذف الحساب تظهر الرسالة التالية

وفيه عليك ادخال باسورد حسابك

والحروف التى تظهر بالصورة

ثم اضغط okay

بعد الضغط على اوك تظهر الرسالة التالية

وفيها يقول ان لم تحاول استخدام الحساب فى خلال 14 يوم فسوف سيتم حذف الحساب بصورة نهائية

وان حاولت استخدام الحساب خلال هذه المدة فعند الدخول للحساب مرة اخرى فستظهر رسالة لتفيل الحساب من جديد او تأكيد الحذف

ارجو يكون الموضوع فيه اضافة ولو بسيطه لك

الكاتب : محمد عز الدين عبدون
www.afinis.co.cc : المصدر

برامج ال KeyLogger خطر يهدد سريه معلوماتك

هل تذكر كم مرة قمت فيها بالولوج الى أحد حساباتك سواء كانت بريد الكترونى او مواقع اجتماعيه او منتديات عن طريق حاسب لا يخصك او حاسب عام فى مقهى انترنت او حتى حاسب يخص احد اصدقائك ؟ بالتأكيد الكثير منا يضطر احيانا الى استخدام حاسب غير موثوق فيه او لا يخصه للوصول الى الانترنت و لكنه لا يدرى الخطوره التى تكمن فى هذا او بطريقه اخرى ما قد يسببه ذلك على سريه المعلومات الخاصه بحسابك سواء كانت اسم مستخدم او كلمه مرور , هل تتصور انه يمكن _و بسهوله_ التجسس على كل ما تفعله على لوحه المفاتيح باستخدام ما يسمى بـ KeyLogger ؟ اذن اكمل معى هذه التدوينه .

ما معنى KeyLogging ؟

هل عمليه تتبع و تسجيل لكل ما يقوم المستخدم بالضغط عليه على لوحه المفاتيح فأى حدث او Action يحدث من خلال لوحه المفاتيح يتم تسجيله وذلك بدون علم المستخدم , و احيانا تسمى هذه العمليه Keystroke Logging , و هذه العمليه بالكامل غير مرئيه للمستخدم لانها تعتمد على اساليب مخادعه , أما ال Keylogger فهى الاداه التى تقوم بتنفيذ هذه العمليه و قد تكون عباره عن software او hardware او طرق اخرى سنتعرف عليها .

Software-based keylogger

هذا هو ابسط شكل  لل Keylogger و المعروف لدى اغلبنا , ببساطه هو عباره عن كود برمجى يقوم بتسجيل الضغطات Strokes التى يقوم بها المستخدم , بالنسبه للجانب البرمجى لهذا الكود _و الذى اعتقد انه لا يهم اغلبنا بما انك تقرأ مدونه فى الشبكات_ فهو قد ينقسم الى عده انواع , فهناك انواع تصعب كتابتها و تصعب كشفها ايضا , و فى الجانب الاخر هناك انواع سهله الكتابه لاى شخص مبتدىء فى اى لغه برمجيه ولكن يسهل كشفها , و اشهر هذه الانواع هى Hypervisor-based , Kernel-based , Packet analyzers , Form grabbing based , لا يهمك ان تعرف تفاصيل هذه الانواع الا اذا كنت مبرمج و لكن على كل حال ساتحدث عن ما يميز كل نوع , Kernel-based هو الاصعب على الاطلاق فى كتابته و لكن ايضا يصعب اكتشافه لانه يكون موجود فى ال Kernel-Level حيث يصعب على برامج المستخدم العاديه او user-mode applications الوصول الى هذا المكان , والـ Hypervisor-based يكون فى العاده عباره عن برنامج صغير مصاحب لل Malware مثل اى كود خبيث trojan على سبيل المثال ,اما Packet analyzers فهذا النوع الذى نعرفه جميعا هو عباره عن اى برنامج Sniffer فقد تم اعتبار هذا النوع ك KeyLogger لانه يمكنه معرفه بعض ال strokes عن طريق فحص الحزم Packets التى تمر فى الشبكه .

HOWTO access software-based keyloggers

بما ان ال KeyLogger تم زرعه عن طريق شخص ما فى جهاز معين فحتما هذا الشخص سيحتاج الى الاطلاع على هذه المعلومات , فكيف هذا ؟ هناك طرق عديده تمكنه من ذلك فاذا كان ال keylogger تم زرعه على جهازك عندها فيمكن برمجته ليقوم بارسال المعلومات الى E-mail تم تحديده مسبقا او رفعه عن طريق بروتوكول ال FTP على موقع معين و الادهى من ذلك انه يمكن برمجته ايضا بطريقه معينه تمكن الشخص من عمل Remote-Login _مثل الذى تقوم به انت للاتصال بروتر او سويتش خارج الشبكه_ على الجهاز ليكون لديه Access للبيانات التى تم تسجيلها , فتخيل معى نفسك انت واحد اصدقائك جالسين على الحاسب الخاص بك و اذا به يطلب منك كوب ماء ,و اثناء ما تجلب له  الماء يقوم بزرع Keylogger بجهازك و عندها يستطيع بالطرق السابقه معرفه كل ما كتبته على لوحه المفاتيح و التى ستشمل بالتأكيد على الكثير من المعلومات السريه . الطريقه التقليديه التى رأيت الكثيرين يستخدمونها هى زرع ال keylogger فى اجهزتهم الخاصه , و يقومون بخداع شخص ما ليقوم بالدخول الى بريده او حسابه فى اى موقع اجتماعى عن طريق الجهاز الذى تم زرع البرنامج عليه من قبل ,عندها يمكنهم الحصول على كلمات المرور عن طريق رؤيه ملف ال log وعند اغلب المستخدمين يكون لديهم كلمه مرور مشتركه لمعظم حساباتهم , لذلك فكن حظر عند استخدام اى جهاز لا يخصك او لا تثق فى صاحبه .

Hardware-based Keylogger

بخلاف النوع الاول الذى تعرفنا عليه فهذا النوع غير معروف لدى الكثيرين و غير منتشر مثل الاول , هذا النوع عباره عن دائره Circuit تقوم بوضعها بين ال Keyboard connector و المنفذ فيقوم بتسجيل كل ما يمر به فى ذاكره داخليه يمكن الوصول لها لاحقا , هذا هو احدى اشكال هذا النوع – فاحذر اذا رأيت شىء مثل هذا فى جهاز ما

هناك ميزه مهمه جدا لهذا النوع و هو انه بعيد تماما عن النظام System فلا يستطيع اى برنامج كشفه , ولكن يبقى شكله الفيزيائى الملفت للنظر كوصله بين لوحه المفاتيح و المنفذ , بعض الانواع من هذا النوع لديها القدره على ارسال المعلومات بشكل لاسلكى و التحكم بها ايضا بنفس الطريقه .

OTHER Hardware-based Keylogger
تعرفنا على الشكل العادى او التقليدى لل Hardware-based Keylogger ولكن هناك طرق اخرى تم تصنيفها مع هذا النوع وهى غريبه بعض الشىء لدى البعض و لا يمكن تطبيقها بسهوله و هذه بعض الامثله

•  Wireless keyboard sniffers
  هناك انواع من لوحات المفاتيح تستخدم الاتصال اللاسلكى مع الحاسب و هذه الانواع يمكن استخدام Sniffer للتجسس على هذا الاتصال .
• Keyboard overlays
  هذه الطريقه هى الاغرب على الاطلاق فهى تعتمد على تغطيه لوحه المفاتيح الاساسيه بلوحه اخرى فتبدو على انها مجرد لوحه واحده , تم استخدام هذه الطريق من قبل اشخاص على مكينات ال ATM للاستيلاء ال PIN الخاص بالعملاء , فكل ضغطه على اللوحه المزيفه يتم تسجيلها و تبدو هذه اللوحه المزيفه الموجوده فوق الحقيقيه كالاضافه عاديه للعملاء فلا يشك احد فى الامر .
• Acoustic keyloggers
  هى عمليه مراقبه الاصوات الصادره من شخص يكتب على ال Keyboard , و لأن كل ضغطه على زر لها صوت معين اشبه بالبصمه فانه يمكن تحليل هذه الاصوات لمعرفه الازرار التى تم ضغطها , تعتمد هذه الطريقه على طرق احصائيه عديده مثل التحليل الاحصائى frequency analysis و اشياء اخرى مثل الوقت بين كل ضغطه و اخرى و تكرار صوت معين كل فتره زمنيه , فهى عمليه معقده .
• Electromagnetic Emissions
  صدق او لا تصدق , هل تعلم انه يمكنك التقاط الانبعاثات الكهرومغناطيسيه Electromagnetic emissions الصادره من السلك الخاص بلوحه المفاتيح من مسافه 20 متر وذلك من دون ان تكون متصل به بأى شكل من الاشكال !! نعم ففى عام 2009 قام بعض الباحثين السوسريين بتجربه 11 نوع من ال USB, PS/2 KEYBOARDS و باستخدام جهاز استقبال واسع المدى قاموا باعداده على التردد الخاص بهذه الانبعاثات فى غرف شبه عازله تسمى anechoic chamber و كانت النتيجه هى النجاح فى التقاط ما يمر بالسلك , و السبب فى ذلك هو اهمال الشركات المصنعه للتغليف shielding للاسلاك توفيرا للاموال .
•  Optical surveillance
  هذا النوع مصنف وحده و هو القيام بمراقبه الشخص بكاميرا خفيه مثلا و ملاحظه ما قام بكتابته , تستخدم هذه الطريقه للاستيلاء على ال PIN و كلمات المرور الخاصه بالعملاء فى مكينات ال ATM بوضع كاميرا صغيره فى مكان مخفى يكون قريب من الضحيه .

تأثير الـ Keylogger على أمن الشبكه

اذا كان الوقوع فى فخ ال Keylogger بالنسبه للمستخدم العادى يقتصر على فقدانه سريه المعلومات التى يكتبها مما يترتب عليه سرقه او اختراق احد الحسابات فهو بالنسبه لمدير الشبكه اشد وطأه و ذلك لسببان ,السبب الاول هو ما قد ينتج عن هذا من سرقه معلومات تمكن شخص ما بالسيطره على الشبكه بشكل كامل عن طريق كلمات المرور الخاصه ببعض الروترات ,السبب الثانى هو ان المسئول عن الشبكه يجب ان يكون لديه بعض الاحتياط فلا يحاول الدخول الى اجهزته الشبكبه عن طريق حاسب غير موثوق به 100% لان عدم الاحتياط هنا قد يسبب كارثه . أيضا المستخدمين العاديين للشبكه لم يسلموا من خطر ال Keylogger , هناك العديد من الشركات تمكن مستخدميها من الوصول الى الشبكه من منازلهم و ذلك عن طريق عمل Remote-Access على الشبكه , واشهر طريقه هى Remote-Access IPSEC VPN ,بالطبع يتم اجراء عمليه للتحقق من المستخدمين Authentication و بعد ذلك السماح لهذا الشخص بالوصول الى الشبكه و هو فى منزله , الان تخيل معى اجهزه هولاء المستخدمين الخاصه وما تحتويه بدايه من الفيروسات و احصنه طرواده و الملفات خبيثه و كل ما لذ وطاب انتهاء بال Keylogger , فاذا استطاع شخص ما الحصول على كلمه مرور احد الموظفين عندها يستطيع الدخول الى الشبكه من اى مكان . لذلك قامت شركه سيسكو بابتكار طريقه لحل هذه المشكله وهى قبل ان يقوم المستخدم بالاتصال الى الشبكه عن طريق Remote-Access تجبره على قبول ملف يحتوى على برنامج صغير يقوم بالتأكد من خلو الجهاز من ال kelogger و التأكد من اجراءات الحمايه فى هذا الجهاز من جدار نارى و مضاد للفيروسات , يسمى هذا البرنامج Cisco Secure Desktop و لا يمكن استخدامه الا مع ال ASA , وبعد ان يتأكد البرنامج من خلو الجهاز من اى ملف خبيث فعندها يرسل النتيجه لل ASA ليسمح الاخير باكتمال الاتصال وبدأ ال Authentication. و بهذا تضمن نظافه الاجهزه التى تتصل بالشبكه Remote-Access .بغض النظر عن مكان وجودها فى سواء فى منزل الموظف او فى اى مكان اخر

طرق الحمايه من خطر ال Keylogger
طرق الحمايه كثيره وذلك يرجع الى تعدد انواع ال keylogger لذلك سأتحدث عن اشهرهم فقط و بعض الاجراءات الاحترازيه التى قد تساعد فى الحمايه .

• Anti keyloggers
  برامج صممت خصيصا للكشف على برامج ال Keylogger و تعتمد على مقارنه كل الملفات الموجوده بالجهاز مع قاعده بيانات تحتوى على كل برامج ال Keylogger فاذا حدث تتطابق يتم مسح البرنامج , هذه الطريقه لا تفيد اذا كنا بصدد Hardware-based Keylogger

• Live CD/USB
  الاقلاع من اسطوانه حيه live-CD يتجاوز كل البرامج و التطبيقات التى قد يكون منها software-based keylogger .
• Anti-spyware / Anti-virus programs
  بعض البرامج المضاده للفيروسات لديها القدره على كشف ال Keylogger و لكن فى حالات كثيره تخدع هذه البرامج و تعتبر ال Keylogger مجرد برنامج مسالم اخر .
• Network monitors
  تعتمد هذه الطريقه على فكره ذكيه بعض الشىء و هى اترك ال Keylogger يتجسس كما يريد و عندما يحاول ارسال ما استطاع الحصول عليه الى جهه خارجيه عن طريق ارسال E-mail او استخدام ال FTP قم بمنع هذا النشاط .
• Automatic form filler programs
  عندما تقوم بالدخول الى حسابك فى موقع ما من حاسبك الشخصى هل تقوم بكتابه الاسم و كلمه المرور فى كل مرة ؟ بالطبع لا فهناك خاصيه تسمى Automatic form filler تسمح بتعبأه هذه الحقول بطريقه تلقائيه من دون كتابه اى شىء عن طريق لوحه المفاتيح و هذا بدوره سيمنع ال keylogger من معرفه اى شىء .
• One-time passwords OTP
  استخدام ال OTP مفيد جدا فى انه اذا ما نجح ال keylogger فى الحصول على كلمه مرور معينه و ارسالها الى المتلصص فعندها لن يكون لها ادنى فائده لان هذا الباسورد يستخدم مرة واحده فقط و بعدها يتم توليد اخر .
• On-screen keyboards
  حل ممتاز لل Hardware-based keylogger ولكن بما ان معظم لوحات المفاتيح التى تظهر على الشاشه بما فيهم المصحوبه مع ويندوز XP تقوم بارسال نفس ال Events التى يتم ارسالها عن طريق لوحه المفاتيح لذا ستتمكن ال software-based keylogger من التقاط هذه الرسائل .

• Keystroke interference software
  يتم هنا التشويش على ال Keylogger عن طريق ارسال keystrokes مزيفه حيث يحصل الشخص المتلصص على ال strokes الحقيقيه مصحوبه بالمزيفه فلا يستطيع التفرقه بين الاثنين .

• Non-technological methods
  الان ناتى الى الطرق الغير تقنيه و التى افضلها فهى عمليه جدا اكثر من الحلول السابقه , و تعتمد على فكره خداع ال keylogger ب strokes مزيفه تقوم بكاتبتها و هذا مثال للتوضيح ,عندى جهاز متأكد ان عليه keylogger و احتاج الى استخدامه للدخول الى بريدى و كلمه المرور الخاص بالبريد هى secret فماذا افعل كى لا يكشف ال keylogger كلمه المرور ؟؟ عندما اذهب الى خانه كلمه المرور اقوم بكتابه اول حرفين فقط “se” بعد ذلك اقوم بفتح ملف text و اقوم بكتابه بعض الحروف المزيفه على سبيل المثال “xzc” و بعدها اكتب باقى كلمه المرور “cret” عندها يلتقط ال keylogger كلمه المرور بهذا الشكل sexzcret اى تم تغير شكل الكلمه تماما , يمكنك تنفيذ الفكره بطرق اخرى مثل كتابه كلمه المرور بترتيب غير صحيح و بعد ذلك اعاده ترتيبها بمؤشر الماوس او كتابه كلمه المرور ناقصه و استخدام ال copy\paste لتكملتها .

هكذا اكون قد انتهيت و اتمنى ان اكون ساهمت فى تقديم معلومة جديده بشكل مبسط
وبالتوفيــــق للجميع ,,,

الكاتب : شريف مجدي


www.afinis.co.cc : المصدر