يوم في حياة هاكر
|
القرصنة الإلكترونية أو كما يحلو للبعض أن يطلق عليها العالم السفلي للشبكة العنكبوتية "الإنترنت" باتت في الآونة الأخيرة كابوسا مزعجا يهدد ليس فقط أصحاب الشركات والمؤسسات بمختلف أنواعها وأنشطتها بل أصبح يشكل خطرا حقيقيا يداهم الصروح الاقتصادية للدول الكبرى، فهناك بعض الممارسات الأمنية البسيطة التي لو تم تطبيقها لما استطعت اختراق موقع OpenHack لشركة E Week على الشبكة الدولية للمعلومات "الإنترنت"، وسوف أستعرض معكم المحاولة الناجحة التي استطعت من خلالها اختراق موقع OpenHack، فبدلا من التركيز على نقاط الضعف المعروفة مسبقا من قبل شركة eWeek إلا أنني قررت محاولة اكتشاف أي ثغرة أخرى أستطيع من خلالها الولوج إلى الموقع، وبالفعل بدأت في ترتيب أفكاري ومن ثم دراسة إصدارات برنامج OpenHack من قبل شركتي Microsoft وOracle وذلك للإلمام بكافة الخصائص والمشكلات الفنية لهذاالبرنامج، وكان أول قرار اتخذه هو تحديد الإصدار الأكثر عرضة للاختراق والذي تبين لي فيما بعد أنه إصدار Oracle نظرا لوجود العديد من التناقضات الأمنية والتي تمثل بالنسبة لي أهم نقاط الضعف التي أستطيع التعامل معها بشكل جيد. بعد استخدام إصدار Oracle لبضع دقائق اكتشفت وجود بعض التباينات في طريقة الولوج إلى الموقع بعد إدخال البيانات الخاصة والتحقق منها. وتبين لي أيضا أن إصدار Oracle غير معقد نسبيا وأن أرقام التعريف (ID numbers) قد تم تصميمها بطريقة بدائية تقليدية، وبدأت في البحث عن الثغرات الأمنية الضعيفة التي تم تجاهلها عند تصميم البرنامج.
وكانت نقطة البداية من خلال إدخال تعريف المستخدم (User ID) وظهر على الشاشة إطار يحمل تحذيرا بأن "تعريف المستخدم لا يمكن تغييره بعد إدخال رقم الحساب"، الأمر الذي دفعني تلقائيا إلى تغيير النموذج إلى آخر لمستخدم جديد وضغطت على المربع الذي يحمل الأمر (Submit)، وبعد ذلك بدأ البرنامج في تغيير رقم التعريف القديم إلى الرقم الجديد، ثم خرجت من البرنامج (Logged out) وحاولت الدخول مرة أخرى من خلال رقم (ID) القديم الذي فشل البرنامج في التعرف عليه. وبعدها قمت بإدخال الرقم الجديد وكلمة السر (Password) الأصلية، وبذلك استطعت الدخول بواسطة الرقم الجديد بصفتي مستخدما جديدا، يالها من طريقة سهلة وشيقة.. ولكن انتبهوا جيدا أيها السادة فالأمر ليس بهذا القدر من السهولة كل مرة، وقمت مرة أخرى بنفس الخطوات السابقة وغيرت رقم الإدخال إلى الحالة الأصلية، وبناء على ذلك أبلغت شركة E Week بنقطة الاختراق الإلكترونية (Bug) التي اكتشفتها والتي تعد من أهم نقاط الضعف لهذا البرنامج، أما نقطة التنصت الثانية التي اكتشفتها فكانت تلك الموجودة بصفحة الويب تحت عنوان "اسم المنتج أو الخدمات" حيث بدا الموقع بنفس طريقة إدخال البيانات التقليدية السابقة، وقمت بتحديد لغة صياغة النص (HTML) وتبين لي أن الحروف والرموز مثل "، =، (،)، space بالإضافة إلى لغة جافا هي الأخرى إحدى نقاط الاختراق لهذا الإصدار، وعلى الرغم من اختلاف الطريقتين لاكتشاف نقاط الاختراق إلا أنهما وجهان لعملة واحدة.
وخلاصة القول انه من الممكن الحفاظ على النظام الأمني لأي موقع بشبكة الإنترنت ضد أية محاولات للقرصنة الإلكترونية إذا تم تطبيق الإمكانات الأمنية المتاحة بشكل جيد وعلى اسس علمية منظمة.
جيرمي بوتيت (متخصص في الحماية والاختراق)
.....
الرجوع
.....
|
|
|
|
توجه جميع المراسلات التحريرية والصحفية الى
chief@al-jazirah.com عناية رئيس التحرير
توجه جميع المراسلات الفنية الى
admin@al-jazirah.com عناية مدير وحدة الانترنت
Copyright 2002, Al-Jazirah Corporation, All rights Reserved
|