المنطقة الأمنية II (الدفاع المضاد) تقديم
المنطقة الأمنية II - الدفاع المضاد
تقديم
قبل عدة أشهر طلب مني أحد الإصدقاء المساعدة في تقييم درجة الأمان بموقعهم الخاص بمؤسسته التجارية على الشبكة العالمية ، وقد أعلمته حينها بأن هذا الأمر سيتطلب مني إجراء بعض التجاوزات لمعرفة نقاط القوه والضعف بموقعهم التجاري وبصيغة أخرى محاولة جادة لإختراق الموقع ومن ثم تصحيح اية مشاكل امنية أجدها ، وقد أبدى موافقته الفورية لأنه كان يهتم كثيرا بدرجة الأمان في موقعهم .
حسنا .. مضى على ذلك اللقاء عدة أسابيع وفي كل يوم منها يلح ذلك الصديق على امر الإختراق من مبداء الأمان ، كنت اعلم بأنه يقضي معظم وقته امام جهاز الكمبيوتر يراقب اية تغيير في الموقع يدل على عملية الإقتحام ، ولأنه كذلك فقد تفاديت اجراء اية محاولة جادة لإختراق موقعهم خلال ساعات النهار.
إن معظم عمليات إختراق المواقع - وهذه حقيقة تجب معرفتها - تتم في اوقات يكون فيها الموقع خامل ، او لنقل بعد منتصف الليل بالتوقيت المحلي للبلد ، إنها عملية جرئية كجرأة مايفعله اللصوص عند السرقة ، إنهم يختارون الوقت الأخير من الليل لأنه فترة خمول بالنسبة للأخرين ، وهذا مافعلته عند الثانية من بعد منتصف الليل. كانت الخطوة الأولى إجراء عملية Ping بسيطة تقليدية لمعرفة الـ host الخاص بالموقع وهو شبيه برقم الأي بي تلتها عملية FScan وذلك للحصول على لائحة بالخدمات العامة ، لقد اجريت بعض التحريات الشخصية المسبقة وعلمت من الشركة التي صممت الموقع لهم بأنهم يستخدمون ملقم NT ولأن ذلك الصديق يمتلك اكثر من فرع لمؤسسته فأنه حتما سيحتاج الي برنامج pcAnywhere لمتابعة أعماله من خلاله. كان على الـ FScan إعطائي اية منافذ للـ NetBIOS ولكن لم تكن هناك اية إشارات تدل على ذلك وهذا معناه إحتمالين لاثالث لهما ، إما ان يكون صديقي يعلم كيف يحصن نظام الـ NT ويزيل كل خدمات الـ NetBIOS او على الغالب انه قد جهز جدارا ناريا صلدا لبوابة موقعهم وهذة الخطوات من الأهمية بمكان لحماية المواقع من عمليات الإختراق. على كل حال لم أيأس ، وحين أن الفجر قد بزغ عند هذة المرحلة فقد فضلت تأجيل المتابعة لوقت أخر.
لقد زودتني عملية الـ FScan بنتيجه مقبولة لمحاولة إيجاد نقاط القوة والضعف بموقع ذلك الصديق ، فحينما كانت خدمات الـ NetBIOS مخفية إلا أن الـ FScan أظهر أن المنفذين 80 و 5630 هما اللذين يجب أن اتعامل معهما . لقد بدأت مع الهجوم الأكثر بساطة وهو تخمين كلمة مرور pcAnywhere ولأنني أدرك بأنهم غالبا مايكونوا قد اعدوا محاولات الدخول على ثلاثة محاولات فقد لجأت الي عملية التخمين تحسبا لهذا الوضع وكانت اثنتين منهما فاشلتين وعلى عدم إجراء اية عملية تخمين ثالثة لألا اغلق هذا الباب المفتوح قليلا في وجهي فكانت الخطوة التالية هي توجية الهجمات نحو المنفذ 80 .
لقد استعنت في هذة المرحلة بالـ telent مع المنفذ 80 وقد جمعت المعلومات التي احتاجها وقد كان النص البرمجي webping.pl الموجود على موقع معين بالأنترنت يعمل كالسحر ، لقد دلت النتائج الأوليه على ضعف ملقم الويب هذا تجاه نقطة الضعف الجميلة MDAC وبعد لحظات نجح الإستثمار وحصلت على موجه بعيدة من حق الوصول Adminstartor للـ pcAnywhere. وايضا داهمني الفجر من جديد عند الوصول لهذة المرحلة فتوقفت هنا .
بعد عدة ايام تابعت عملية جس الأمن بموقع ذلك الصديق وكانت الخطوة التالية هي استخدام Pwdump من اجل الحصول على كلمات المرور وقد لجأت في هذا الي تطبيق John the Ripper الغني عن التعريف وإن عملية dir* و cif/s كانت كافية للبحث عن اي ملفات cif في النظام وبعد ان عثرت عليها استخدمت TFTP لنقلها الي جهازي حيث كان ShoWin بالإنتظار وبأستخدام خاصية use-from-work من خلال pcAnywhere حصلت على اتصال بالنظام عن بعد مع كلمة المرورالمكتشفة حديثا.
لقد كان اول شئ اقوم به هو هو الغاء اقفال الـ pcAnywhere لكي اتمكن من الدخول لاحقا ثم انني عدت مجددا الي الطرفية البعيدة TFTP لإستخراج الملفات من النظام ، لقد كانت الأدوات اللازمة لهذة المهمة متاحة ضمن طقم موارد الـ NT وهي Pulist.exe من NTRK لسرد عمليات قيد التشغيل وkill.exe لإيقاف الخدمات وبعد تفعيل خاصية سرد العمليات عثرت على معرف PID من اجل خدمة الجدار الناري وبأستخدام الملف التنفيذي kill اوقفت جدار النار في بيئة الـ NT.
لقد اضفت عبارة Aims Was Here بخط صغير في واجهة الموقع ثم اعدت تشغيل الجدار الناري لكي احمي النظام من المهاجمين الاخرين لقد قتل هذا وصلة WinVNC كما كنت اتوقع ولذا اعدت الاتصال مع النظام عبر pcAnywehre وكلمة المرور التي عثرت عليها والتي ابقيتها كما هي دون تغيير وبعد هذا الاتصال الثاني اغلقت وصلة WinVNC لوقف الخدمة وايضا حذفت ملفات WinVAC لكي اكون امينا ثم حذفت كذلك Pulist و Kill و Netcat وPwdump واغلقت جلسة MDAC واخيرا رقعت نقطة الضعف MDAC بأستخدام الطريقة المفصلة من قبل Rain Forest Puppy ثم اعدت إستنهاض النظام حتى تأخذ رقعة MDAC مفعولها وقد كانت هذة الهجمة من اساسها للتصحيح وهنا ينتهي عملى مع بزوغ فجر يوم جديد .
بالطبع لم يتفاجأ صديقي ولكنه تعلم شيئا جديدا وهو انه ليس هناك أمان بكل ماتحمله هذة الكلمة من معنى في بيئة الإنترنت المتشعبه ، لقد كلفتني هذة العملية الكثير الكثير من الجهد والوقت وقابل ذلك الكثير من القراءة والإطلاع إما من خلال المراجع والكتب والمصادر العالمية المتخصصة او عبر الإنترنت ولأنها كانت ضربة موفقة فقد رغبت بأطلاعكم عليها هنا من أجل امر واحد فقط وهو أن عمليات الإختراق مضنية ومتعبه وشاقة ، وفي المقابل فأن عمليات تصحيح وسد الثغرات الأمنية التي قد تستغل من اجل الإختراق اكثر مشقة وضناء لأنك لكي تتعرف على ذلك واقصد به اخذ الأمان عليك القيام بالأختراق الفعلي من اجل ذلك فيكون دورك هنا مضاعفا عن مايقوم به المخترقون المحترفون
Aims
