Xacker
من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.
الصفحة الرئيسية http://xacker.wordpress.com
كتب بواسطة Xacker
هل استعانت FBI ببرامج Spyware لجمع الدلائل التي اعتمدت عليها لغلق موقع MegaUpload؟
|
بتاريخ: 08 فبراير 2012
تعليق واحد
يتدافع إلى أذهان من تابعوا قضية موقع megaupload المشهور تساؤلٌ يبدو منطقياً إلى حد كبير، حيث كانت مسألة تقديم القضاء الأمريكي “لمحادثات” تمت بين مدراء megaupload عبر Skype في عام 2007 مبعثاً للجدل، حيث تدور هذه المحادثات حول Kim Dotcom وهو مؤسس megaupload وتقول بأنه “ليس في مأمن مع أمواله” وأن “الوضع الحالي خطيرٌ نوعاً ما”.
كيف حصل القضاء الأمريكي على مثل هذه المحادثات الخاصة؟
النظرية الأرجح التي تتبادر إلى أذهان الكثيرين الآن، تقول بأن القضاء الأمريكي قام باستخدام spyware موجه خصيصاً للتجسس على القائمين على موقع megaupload، حيث أنه من غير الواضح حتى الآن كيف حصل المحققون الفيدراليون على نسخ لمحادثات تمت بين Dotcom و نخبته من القائمين على الموقع، بالإضافة إلى رسائل الكترونية وسجلات محادثات تمت عبر Skype. الأغرب أن بعض هذه المحادثات تعود إلى 5 سنوات سابقة حينما كان megaupload مازال في خطواته الأولى، والمفارقة المضحكة هنا أن Skype تدعي بأن “سجلات المحادثات يتم تخزينها لمدة 30 يوماً كحد أقصى” وأن التحقيق الفيدرالي بخصوص megaupload لم يبدأ إلا منذ بضعة أشهرٍ مضت.
وتقول مصادر لموقع ZDNet (النسخة الأسترالية) بأنه لم يطلب من Skype أن تقوم بتقديم أية معلومات تفيد هذه الدعوى القضائية.
بالعودة في الذاكرة إلى عام 2007، نستذكر بأن مكتب التحقيقات الفيدرالي FBI قام باستصدار مذكرة قضائية تسمح بتثبيت برنامج تجسس يسمى CIPAV على أجهزة المشتبه بهم، حيث يقوم البرنامج بإرسال سجلات تحوي معلومات عن نشاطات المستخدم عبر الانترنت وذلك إلى أجهزة حكومية. وفيما يبدو، فإن CIPAV تم استخدامه من قبل في العديد من التحقيقات المتعلقة بالمشتبهين بالتحرش الجنسي بالأطفال أو مبتزي الأموال أو القراصنة الذين يقومون بحذف قواعد البيانات والقتلة المأجورين.
هل لديك نظريات أخرى بهذا الخصوص لمشاركتها معنا؟
انتشار استغلال لثغرة حديثة في نواة Linux تُمكِّن من الحصول على صلاحيات Root
|
بتاريخ: 31 يناير 2012
لا يوجد تعليقات
يسارع منتجو مختلف إصدارات نظام Linux لترقيع ثغرة أمنية في نواة النظام عرفت على أنها ثغرة privilege-escalation والتي يمكن استغلالها من قبل مستخدمي النظام ذوي الصلاحيات الدنيا للحصول على أعلى صلاحية ممكنة والمتمثلة في صلاحيات root.
تم اكتشاف الثغرة التي منحت المعرف CVE-2012-0056 من قبل JA1/4ri Aedla والتي يعود سببها إلى فشل نواة نظام Linux في حد الوصول إلى ملف “/proc/mem” بشكل صحيح.
ووفقاً لـ Eiram وهو رئيس الباحثين الأمنيين في Secunia، فإن عمر الخطأ حوالي عام تقريباً حيث تم شحنه ضمن الإصدار 2.6.39 وما تلاه من نواة النظام لينوكس.
لا تجزع كثيراً، فقد قام Linus Torvalds بإصدار ترقيع خاص بالإصدارات المصابة، لكن قبل أن يتسنى للجهات المصدرة لتوزيعات Linux بترقيع إصداراتهم انتشرت شفرات تقوم باستغلال هذه الثغرة بنجاح عبر الانترنت على العلن.
من إحدى أكثر هذه الثغرات اكتمالاً تلك المسماة mempodipper والتي تمت كتابتها من قبل باحث أمني يدعى Jason A. Donenfeld. يقوم الاستغلال الذي كتبه Donenfeld بتجاوز العديد من العوامل التي قد تحد من قدرة هذه الثغرة على إحداث ضرر في توزيعات مختلفة مثل Fedora و Gentoo.
وبما أن نظام Android مبني على نواة Linux فهو معني أيضا بالثغرة حيث تم توفير استغلال خاص بالإصدار 4.0 من نظام Android أُطلق عليه اسم mempodroid لاستغلالها قام بكتابته Jay Freeman المعروف تحت اسم saurik مطور متجر Cydia على نظام iOS.
ننصح متابعينا الأعزاء بالمسارعة إلى تحميل الترقيع الرسمي لهذه الثغرة خصوصاً أولئك الذين يعملون على أنظمة تملك عدة حسابات للمستخدمين مثل الاستضافات المشتركة.
لقراءة المزيد من المعلومات حول الخبر يمكن متابعته عبر زيارة الرابط.
ظهور إصدار جديد من دودة Ramnit يقوم بسرقة بيانات الدخول إلى Facebook
|
بتاريخ: 11 يناير 2012
3 تعليق
على الرغم من قدمها، إلا أن استمرار انتشار أشكال مختلفة منها جعلها تستحوذ على ما يقارب 17.3% من نسبة الإصابات ببرمجيات خبيثة جديدة وذلك في تقريرأعدته Symantec في يوليو الماضي. حاليا، تعود دودة Ramnit من جديد بشكل آخر مستهدفة أحد أهم مواقع الشبكات الاجتماعية، موقع Facebook.
يقوم هذا الإصدار من دودة Ramnit بسرقة أسماء وكلمات المرور لحسابات مستخدمي Facebook، حيث تم اكتشاف مخدم تحكم Command & Control server يحتوي على ما يقارب من 45000 حساب Facebook، معظمهم من فرنسا و بريطانيا وذلك في تقرير نشره باحثون من Seculert.
على ما يبدو، فإن القائمين خلف هذه النسخة من Ramnit يقومون بدخول الحسابات المسروقة ويعملون على نشرها مجدداً من خلال هذه الحسابات إلى أصدقائهم وعائلاتهم.
تعمل Ramnit على إصابة الملفات التنفيذية وملفات HTML وملفات Office، وتقوم بسرقة الأسماء وكلمات المرور وبيانات الـ cookies ويمكنها أيضاً أن تعمل كـ backdoor يسمح للقراصنة بتنفيذ نشاطات خبيثة أخرى باستخدام الجهاز المصاب.
هل استهداف مستخدمي الشبكات الاجتماعية هو “الموضة” الرائجة الآن؟ ما الخطر الذي قد يمثله هذا النوع من الهجوم برأيك؟
قراصنة يتمكنون من سرقة الشفرة المصدرية لمضاد الفيروسات Norton Antivirus
|
بتاريخ: 07 يناير 2012
2 تعليق
بدأت Symantec تحقيقاتها، بعد أن أعلنت مجموعة من القراصنة تطلق على نفسها اسم Lords of Dharmaraja، عن تمكنها من الحصول على الشفرة المصدرية لبرنامج Norton AntiVirus.
تدعي المجموعة أنها تمكنت من الحصول على الشفرة المصدرية والتوثيقات النصية من مخدمات خاصة بالاستخبارات الهندية، حيث ورد هذا الادعاء في مشاركة نصية على موقع Pastebin قالت فيها المجموعة:
في هذه اللحظة سنقوم بمشاركة معلومات تم الحصول عليها من مخدمات الاستخبارات العسكرية الهندية، مع جميع إخواننا ومتابعينا
هذا وقد تم حذف هذه المشاركة من موقع Pastebin بعيد الإعلان عن الاختراق، ولكن ما زال يمكن الوصول إليها من خلال Google cache .
وتضيف المجموعة:
لقد اكتشفنا ضمن عمليات الهند التجسسية حتى الآن، الكثير من الشفرات المصدرية لشركات برمجة قامت بالتوقيع على اتفاقات مع برنامج TANCS و مركز الاستخبارات الهندية.
من جهتها، علّقت Symantec على لسان Cris Paden، بأن:
عمر الوثائق التي حصلت عليها المجموعة أكثر من عقد مضى، ولا تعكس الطريقة التي يعمل بها برنامجها الأمني الآن
وأضاف:
إن هذه الوثائق تشرح الطريقة التي صُمم بها البرنامج ليعمل وفقها وتحتوي على أسماء توابع، لكن لا يوجد أي شفرة مصدرية فيها. إن المعلومات المحتواة في الوثائق التي تعود لعام 1999 لا تملك أي تأثير سلبي على وضع منتجاتنا الحالية وبمعنى آخر لا يمكن الاستفادة منها للإضرار أو تخريب منتجاتنا الحالية.
وعلى الرغم من أن مجموعة Lords of Dharmaraja لم تقم حتى الآن بنشر الشفرة المصدرية لبرنامج Norton AntiVirus التي تزعم أنها حصلت عليها، لكنها تخطط لنشر هذه المعلومات في المستقبل، وفيما إذا اتضح أن الشفرة المصدرية حديثة العهد بخلاف تعليقات Symantec بهذا الخصوص فهذا يعني أن مبرمجي ومطوري الفيروسات سيكون لديهم ما يستفيدون منه في تفادي اكتشاف فيروساتهم.
اكتشاف ثغرة في بروتوكول WPS تسهل من مهمة تجاوز حماية أجهزة Wireless router
|
بتاريخ: 04 يناير 2012
تعليق واحد
هل تملك Wireless router؟ إذا كانت إجابتك نعم فعليك اتخاذ قرار بشأن ترك خيار Wi-Fi Protected Setup المعروف اختصارا بـ WPS مفعّلا بشكل افتراضي، كما هو الحال في منتجات كبرى الشركات.
ما هو WPS، بأي حال؟ WPS هو عبارة عن وسيلة تم تطويرها وتقديمها من قبل اتحاد Wi-Fi لمساعدة المستخدمين على إعداد اتصالاتهم اللاسلكية بأجهزتهم. بدون WPS، سيجد المستخدم نفسه مضطراً لاتخاذ عدة خيارات قبل أن يتمكن من توصيل حاسوبه المحمول بالـ router الخاص به، مثل خوارزمية التشفير،وطول الكلمة السرية وصيغتها… الأمر الذي يعني أنه يجب أن يكون لدى المستخدم خلفية لا بأس بها حول هذه النواحي قبل أن يتمكن من استثمار جهاز Router بشكل لاسلكي.
أما مع WPS، فكل ما على المستخدم القيام به هو الضغط على زر Wi-Fi Protected Setup في حال توفره أو إدخال PIN (بطول 8 أرقام) خاص بالجهاز والبدء بالاتصال مباشرة.
إذاً لم كل هذه الجلبة؟
للأسف (هل أنا حزين حقاً؟ 
)، فقد قام Stefan Viehböck بالتبليغ عن خطأ في تصميم WPS يؤدي إلى تخفيض الزمن اللازم لهجوم brute-force بغية كشف PIN، حيث يتمكن المهاجم من معرفة ما إذا كان النصف الأول من الأرقام الثمانية صحيحاً. وبفضل غياب سياسة منع مؤقت بعد عدد معين من المحاولات الخاطئة، في عدد لا بأس به من أجهزة الـ routers التابعة لإحدى كبار الشركات المصنعه، فإن الهجوم يصبح وارداً بشكل أكبر.
عندما تفشل عملية المصادقة على الـ PIN (لأن القيمة خاطئة) فإن الـ router سيقوم بإرسال رد EAP-NACK إلى جهاز الزبون. الطريقة التي ترسل بها رسائل EAP-NACK تمكن المهاجم من معرفة فيما إذا كان النصف الأول من الرقم الذي يقوم بتجربته صحيحاً. بالإضافة إلى هذا، فإن القيمة الأخيرة من الرقم معروفة لكونها checksum للـ PIN ويمكن حسابها بمجرد معرفتك للـ 7 قيم الأولى. هذا يعني أن عدد المحاولات اللازمة لاكتشاف PIN واحد ينخفض من 108 إلى مجموع 104 (النصف الأول من الرقم) + 103(النصف الثاني بدون قيمة الـ checksum) ما يشكل بالمجمل 11,000 محاولة فقط.
من الشركات التي تم التأكد من إصابة أجهزتها بهذا الخلل: D-Link, Linksys, Netgear, TP-Link, ZyXEL, Belkin, Buffalo, Technicolor.
إجراء وقائي:
تعطيل خيار Wi-Fi Protected Setup (WPS) الذي قد يكون باسم “external registrar” أو Router PIN، وذلك تبعاً للشركة المصنّعة.
اليابان تطور فيروسا لملاحقة وتعطيل مصادر الهجمات الإلكترونية التي تشد ضدها
|
بتاريخ: 03 يناير 2012
لا يوجد تعليقات
في ظل الحروب الدامية التي تشهدها الساحة الالكترونية، تشير بعض المصادر إلى أن اليابان قد بدأت بتطوير فيروس يمكنه ملاحقة مصدر الهجومات الإلكترونية التي تستهدفها وتعطيل برامجها.
وعلى ما يبدو فإن العملاق Fujitsu قد حصل على حقوق هذا المشروع بكلفة تقديرية 179 مليون ين (2.3 مليون دولار أمريكي) في خطة عمل 3 سنوات.
وبما أن القانون فوق الجميع، فإنه سيكون على حكومة اليابان إجراء تعديلات قانونية يصرح استخدام أسلحة الكترونية باعتبار أن قوانينها تمنع كتابة فيروسات الكترونية للاستخدام.
ومن بعض الأحداث التي نستذكرها، ففي نوفمبر الماضي تمت مهاجمة نظام حاسوبي تستخدمه حوالي 200 جهة حكومية يابانية.
وفي أكتوبر، تعرضت حواسيب تابعة للمجلس التشريعي الياباني للهجوم، في حدث يبدو أنه يرتبط بخادوم صيني تم استخدامه مسبقاً في مهاجمة عدة حواسيب خاصة بصناع القرارات.
هذا وقد تم نشر أخبار تفيد بأن حواسيب موجودة في سفارات وقنصليات يابانية في 9 دول حول العالم تعرضت للإصابة بفيروس في الصيف الماضي. في الوقت الحالي، يتم دراسة هذا الفيروس في “بيئة مغلقة” لدراسة أنماطه المحتملة.
ووفقاً لما شهدته الأحداث خلال السنوات الماضية، فإن الولايات المتحدة الأمريكية وجمهورية الصين الشعبية قامتا فعلياً –وإن لم يكن بشكل علني– بوضع أسلحتهم الالكترونية قيد الاستخدام.
اكتشاف ثغرة في نظام GSM تمكن القراصنة من التحكم في الهواتف عن بُعد
|
بتاريخ: 31 ديسمبر 2011
لا يوجد تعليقات
نشرت وكالة Reuters للأنباء خبراً حول ثغرة في تكنولوجيا شبكات GSM قد تمكن القراصنة من التحكم بالهواتف الخلوية عن بعد وتوجيهها لإرسال رسائل نصية أو إجراء اتصالات خلوية، وذلك وفقاً لأحد خبراء أمن الهواتف الخلوية.
يقول Nohl رئيس مركز الأبحاث الأمنية في ألمانيا، قد يستغل القراصنة هذه الثغرة في شبكات GSM لتنفيذ هجمات scams من خلال إجراء اتصالات أو إرسال رسائل نصية مكلفة لخدمات غير مجانية، ومن المعروف أن GSM هي التكنولوجيا المستخدمة حالياً من ملايين الناس حول العالم بما يشكل نسبة 80% من حصة السوق العالمية.
لقد تم تنفيذ هجمات مشابهة من قبل ضد أنواع معينة من الهواتف الخلوية الذكية، لكن الهجوم الجديد يضع جميع الهواتف التي تستخدم شبكات GSM عرضة للخطر.
“يمكننا تنفيذ الهجوم ضد مئات آلاف الهواتف في فترة قصيرة من الوقت”، يقول Nohl لوكالة Reuters وذلك قبيل تقديم عرض في مؤتمر للقراصنة سيعقد في برلين (بحلول الوقت الذي تقرأ فيه هذا الخبر سيكون المؤتمر قد عقد).
يقام المؤتمر بعد عدة أيام من تعرض موقع STRATFOR للاختراق على يد ناشطين عبر الانترنت وقد أعلنت Anonymous مسؤوليتها عن الاختراق.
Anonymous تضرب من جديد، والضحية هذه المرة هي شركة Stratfor
|
بتاريخ: 30 ديسمبر 2011
تعليق واحد
تعرض موقع Stratfor (وهي شركة أبحاث في الولايات المتحدة الأمريكية تقدم معلومات استخباراتية حول الكثير من المجالات حول العالم مثل الأعمال، الاقتصاد، الأمن والعلاقات السياسية) للاختراق على يد قراصنة تمكنوا من سرقة قاعدة البيانات ونشر أسماء الكثير من المشتركين لديهم للعلن، هذا وقد أعلنت مجموعة Anonymous الناشطة عبر الانترنت مسؤوليتها عن الاختراق.
وفي لقاء حصري مع المخترق الذي قام بتقديم المعلومات التي حصل عليها لـ AntiSec أحد فروع Anonymous، حصلنا على المعلومات التالية:
المجلة التقنية: ما الثغرة التي قمت باستخدامها؟
<undisclosed-attacker>:
mysql –u root –h IP_ADDRESS
مستخدم root بدون كلمة سر!
في الواقع لقد تم الأمر بمحض الصدفة. الجهاز الذي قمت باختراقه لم يكن يحوي على شئ سوى mysql بصلاحيات قراءة وكتابة. قمت بالبحث فيه فتوصلت إلى بيانات حساب mysql آخر مكنني من اختراق مخدم موقع STRATFOR. قمت بعدها بإعطاء AntiSec بيانات الدخول وتولّوا الباقي.
المجلة التقنية: ما الذي دفعك للذهاب خلف هذه الشركة؟
<undisclosed-attacker>: نعم، إن مثل هذه الشركات لا تتوقع أن يتم اختراقها. إن STRATFOR مثل صحيفة يقرؤها مخنثو الجيش 
<undisclosed-attacker>: إن STRATFOR وغيرها أهداف رائعة للحصول على معلومات استخباراتية قيمة. في قائمة المشتركين الخاصة بهم على سبيل المثال، لا تهتم بأسماء الشركات.. ولكن ابحث عن المواقع الجغرافية لعناوينها في Google Maps مثلاً وستحدد الجواسيس
<undisclosed-attacker>: على الأقل في الدولة التي أعيش فيها، تستطيع أن تلاحظ بسهولة أن هذه العناوين هي عناوين مناطق أمنية، وستعلم بأن الشخص الذي يعمل هناك هو عميل مخابرات.
وحسب Identity Finder، فإن هذه العملية أسفرت عن الكشف عن بيانات أزيد من 50 ألف بطاقة ائتمانية، من بينها 9651 بطاقة لم تنته مدة صلاحيتها بعد، إلى جانب 86 ألف عنوان بريد الكتروني، 27 ألف رقم هاتف إضافة إلى 44 ألف كلمة مرور مشفرة قرابة نصفها قابل للكسر بسهولة.
بالرغم من ذلك فإن العملية يشوبها الكثير من الغموض، حيث نُشر بيان صحفي على موقع pastebin تتبرأ فيه المجموعة من العملية، وهو ما يعيد إلى الأذهان العمليات السابقة التي تمت باسم Anonymous ويطرح التساؤل إن كانت مجموعات منشقة عن هذا الفيلق هي من قامت بها، أو مجموعات تود تشويه صورتها.
ولقد تم توزيع أموال معتبرة من بطاقات الإئتمان المسروقة، وهو ما يضع المؤسسات الخيرية التي استقبلتها في وضع محرج، مثلما يشير إليه Mikko Hypponen من f-secure، حيث سيطالب أصحاب هذه الحسابات باسترجاع أموالهم التي لم يهبوها عن طيب خواطرهم،مما قد يُعرض هذه المنظمات لعقوبات.
RevoluSec تضرب من جديد وتنشر سجلات مراقبة النظام السوري لنشاط مواطنيه على الإنترنت
|
بتاريخ: 06 أكتوبر 2011
13 تعليق
RevoluSec تضرب من جديد وتنشر سجلات مراقبة النظام السوري لنشاط مواطنيه على الإنترنت
قامت كتيبة RevoluSec أحد فروع تنظيم Anonymous ذي الصيت العالمي بتسريب سجلات مراقبة النشاط عبر الانترنت التي تقوم بحفظها الحكومة السورية باستخدام تقنيات BlueCoat الأمريكية، وقد ساهمت Telecomix –الناشطة في مجال حرية التعبير عن الرأي عبر الانترنت– في استضافة ونشر هذه السجلات.
بلغ الحجم التقريبي لهذه السجلات قرابة 54 Gb– وهي ليست كل شيء – فهي خاصة بفترة بسيطة جداً مقارنة بالوقت الذي أمضته الحكومة السورية بمراقبة نشاط مواطنيها عبر الإنترنت على مدى سنوات خلت.
تقوم السجلات بتخزين الروابط التي يقوم المستخدم بزيارتها إلى جانب: التاريخ، وقت الزيارة، العنوان الإلكتروني للمستخدم IP، نوع الطلب (Post / Get)، نوع المتصفح المستخدم (IE, Firefox, Chrome, …).
هذا وتجدر الإشارة إلى أن السجلات تظهر بشكل واضح كيف أنه يتم حجب الكثير من المواقع الإلكترونية فنجد تارة مواقع إلكترونية سياسية معارضة، الأمر الذي يدفع بالتساؤل إلى المدى الذي قد تذهب إليه الحكومة السورية في حرمان المواطنين من أبسط حقوقهم الدستورية ألا وهي حرية الرأي، وتارة أخرى مواقع قد حجبت لاحتواء الرابط على كلمة “proxy” فحسب – والمقصود هنا الخادم الوسيط الذي يقوم بمقام جسر عبور ويستخدم عادة في تجاوز حجب المواقع– الأمر الذي يؤدي بدوره إلى تعطيل الوصول إلى الكثير من المواقع التي قد تتكلم عن تقنية برمجية ترد فيها كلمة “proxy” ولكنها بمعنى مختلف تماماً. مما يدل على حجم الحجب الذي يطال الأخضر واليابس.
للمزيد من المعلومات يمكن قراءة الخبر عبر الرابط.
يمكن الوصول إلى السجلات المذكورة عبر أحد الروابط التالية:
* لا تنسى أنك قد تعرض نفسك للخطر ما لم تستخدم proxy 
أو وسيلة أخرى مشابهة لتصفح الروابط التالية وخصوصاً إن كنت في سوريا
Apple تعلن عن وفاة أحد أعمدتها.. Steve Jobs
|
بتاريخ: 06 أكتوبر 2011
3 تعليق
Apple تعلن عن وفاة أحد أعمدتها.. Steve Jobs
أعلنت Apple في خبر محزن عن وفاة Steve Jobs المدير التنفيذي السابق لـ Apple والذي شغل هذا المنصب مرّتين خلال سنوات حياته لمدة 14 عاما.
Steve والذي لم يتجاوز 56 عام وافته المنيّة بعد صراعه الطويل مع سرطان البنكرياس والذي كنا قد أشرنا إليه في تدوينة سابقة عندما أعلن عن استقالته من منصبه ليحصل على إجازة طويله بسبب وضعه الصحّي، وقد خلفه Tim Cook رئيساً تنفيذياً لشركة Apple.
وتقول Apple في خبرها، “نشعر بالحزن العميق للإعلان عن وفاة Steve Jobs اليوم. لقد كان ذكاء Steve، شغفه وطاقته مصدر عدد غير منته من الابتكارات التي ساهمت في التأثير في حياتنا جميعاً. إن العالم أفضل –بدون شك– بفضله.”
هذا وتجدر الإشارة إلى أن وفاة Steve تأتي بعد يوم واحد فقط من إعلان Apple على لسان مديرها التنفيذي الحالي Tim Cook عن إطلاق جهاز iPhone 4S.
شكراً Steve، العالم سيذكرك.
Loading ...
