NameCheap-Hosting

استفد من الخصومات على خدمات الاستضافة بمختلف انواعها

VPS hosting: up to 30% off!

‏إظهار الرسائل ذات التسميات حماية الشبكات وامن المعلومات. إظهار كافة الرسائل
‏إظهار الرسائل ذات التسميات حماية الشبكات وامن المعلومات. إظهار كافة الرسائل

الثلاثاء، 14 ديسمبر 2021

الثغرة الخطيرة "Apache Log4Shell"

CVE-2021-44228
"Apache Log4Shell"

الثغرة الخطيرة جدا

يمكن استغلال هذه الثغرة من أجل تنفيذ أوامر على نظام معين عن بعد (unauthenticated remote code execution "RCE") تمكّن من السيطرة الكاملة على النظام المخترَق.

يتم استغلال خاصية (Java Naming and Directory Interface) أو JNDI لتحميل ملف يحتوي على برمجية تسبب السيطرة على النظام وتنفيذ أوامر بصلاحيات عالية عن طريق تحويل ملف لتكوين object باستخدام خاصية Java deserialization .يُستغل هذا الـ object لتكوين malicious code على الجهاز المخترق.

الـ JNDI عبارة عن Java API يتيح الربط مع خدمات الاسماء والأدلة naming and directory services للاستعلام عن المعلومات data والمصادر resources عبر عدة وسائل منها بروتوكول LDAP وبروتوكول DNS كما في الشكل بالأسفل. من الأشياء التي يمكن الاستعلام عنها هو URI يؤشر على Java class يحتوي على خورازميات تنفيذية.


يتيح JNDI شمول متغيرات variables ضمن نص الرسالة للحدث بحيث يقوم بالاستعلام عن قيمة المتغير (مثلا اسم المستخدم أو اسم الجهاز) عبر أحدى الوسائل المتوفرة لديه. يعمل على النظام المصاب بهذه الثغرة خدمة او مجموعة من الخدمات (مثلا web server firewall، وغيرهما)، الخدمة العاملة تقوم بتسجيل الاحداث من خلال النظام LOG4J الذي يعمل من خلال JNDI.

يقوم المخترق بارسال طلب HTTP Get ويضمن في جزء user-agent متغير يشير لمصدر على خادم الـ LDAP. خادم الـ LDAP هو ضمن منطومة المخترق وتحت إدارته وعليه ملفات تخريبية (malware) حسب الشكل بالأسفل.

سيقوم الـ JNDI بارسال طلب لخادم الـ LDAP لاستعلام عن المصدر المطلوب والذي بدوره سيجيب الطلب بارسال الملف الذي يحتوي على الاوامر التنفيذية بعد تحويل محتوي الملف ل object.



الأربعاء، 29 أبريل 2020

طرق الوقاية من ال Phishing Mails

Phishing Mails - رسائل التصيد الالكتروني

هي رسائل ترسل بواسطة البريد الالكتروني من أجل تجميع معلومات شخصية  مثل ارقام حسابات بنكية او بطاقات ائتمانية او معلومات عن حسابات عن أنظمة رقمية و غيرها من أنواع المعلومات وذلك بالتحايل على مستخدمي الانترنت او الأنظمة الرقمية الداخلية. 
يتم استخدام مبادئ الهندسةالاجتماعية Social Engineering عن الضحايا المستهدفين بصياغة رسالة محتواها يوقع الضحية وذلك بسرد معلومات وحقائق تخص الضحية تم جمعها مسبقا من قبل المتحايل (المتصيد) عن الضحية من مواقع التواصل الاجتماعي ومن المواقع الاكترونية المختلفة، ومن هذه المعلومات على سبيل المثال اسم الضحية، مكان عمله، اسم البنك الذي يتعامل معه، مكان سكنه وغيرها من المعلومات. توهم محتوى رسالة التحايل الضحية بحيث تبني علاقة ثقة وقبول للرسالة وتبعد الشك عن مبتغى الرسالة.
تحتوي رسائل التحايل على رابط غير رسمي تعتبر روابط مخادعة ومزيفة تغرر بالمستخدمين للقيام لحسابهم وادخال معلومات الدخول للحساب بحيث يتم تجميع تلك المعلومات من قبل المتصيدين.
تبدو رسائل التصيد وكأنها مرسلة من مصدر ثقة للمستخدم مثلا من طرف شركة لها علاقة تجارية مع المؤسسة التي يعمل بها الضحية، ليقوم بالدخول على الرابط المشبوه الموجود بتلك الرسالة والدخول للموقع المزيف الذي يشبه بظاهره موقع الشركة التي صدرت منها تلك الرسالة.

طرق الوقاية:
أهم وسائل الوقاية هي تدريب المستخدمين وتنبيههم عن طبيعة رسائل التحايل وخطورتها وذلك لتجنب الدخول للروابط التحايل المضمنة بهذه الرسالة او فتح الملفات المرفقة بالرسالة. التدريب المستمر للمستخدمين يركز على إظهار أساليب التحايل التي ينهجها المتصدين وهذا يؤدي على زيادة وعي المستخدمين بالتعامل مع الرسائل الالكترونية وأهمية الابتعاد عن الفضول في الدخول للروابط او فتح الملفات للرسائل المشكوك بأمرها. وايضا عدم التصريح عن المعلومات الشخصية الحساسة التي تتطلبها المواقع المرسلة كروابط ضمن رسائل البريد الالكتروني مع أهمية التحقق من صحة الروابط URL المرسلة في رسائل البريد الالكتروني.
أيضا يجب على المستخدم التحقق من صحة الرسائل التي تتطلب فتح ملف أو الدخول لرابط وذلك بالاتصال مع مرسل الرسالة والتأكد من الرسالة المرسلة ومحتواها، وهذا الأمر مهم جدا للمستخدمي العاملين على الأنظمة الرقمية للشركات ليتجنب الاضرار التي تقد تتسببها رسائل التحايل.
أمر آخر مهم جدا لتفادي رسائل التحايل وهو ضرورة أن يقوم المستخدم بتحويل تلك الرسائل الواردة من خلال وضع علامة Spam عليها بعد التأكد من أنها رسائل تحايل. وإبلاغ مديري الشبكة بمثل هذه الرسائل.
من الأنظمة الرئيسية المستخدمة للوقاية من مختلف أنواع الرسائل الالكترونية الضارة عي أنظمة Anti-spam mail protection سواء المستخدمة كأنظمة مستقلة ضمن أنظمة حماية الشبكات Network-based appliances أو أنظمة حماية على أجهزة المستخدمين Host-based protection.

كما يمكن تفادي هجمات التصيد عن طريق استخدام أساليب المصادقة المتعددة Multi Factor Authentication للوقاية من اختراق الحسابات لمختلف الأنظمة الحساسة.

ولأنظمة الحماية من الفيروسات Anti-virus والتي تتضمن أنظمة الحماية من التجسس والتصيد دور مهم بحجب مواقع التصيد



الاثنين، 2 سبتمبر 2019

ثغرات شبكات الحاسوب ذات العلاقة بالطبقة الثانية

تعتبر ثغرات(Layer 2)  من أخطر الثغرات على الشبكة الداخلية والتي قد تسبب عطل الشبكة نهائيا. من هذه الاخطار:
·        MAC address Spoofing
·        STP Manipulation
·        MAC address Table Overflows
·        LAN Storms
·        LAN Attacks
·        MAC Address Spoofing
يحصل عندما يقوم المخترق بتغيير MAC address لجهازه بحيث يوافق عنوان جهاز آخر أو نقطة أخرى بالشبكة، بحيث تتحول البيانات المرسلة لتتجه للجهاز المخترَق.

STP Manipulation
يقوم المخترق من خلال جهازه الموصول بالشبكة الداخليةLAN  بإرسال BPDU وكأن جهازه عبارة عن جهاز سويتش، بحيث تحتوي ال BPDU على BID مع افضلية أقلLower priority  على بقية السويتشات. إذ يصبح جهاز المخترِق هو root bridge بطريقة ماكرة وبالتالي فإن البيانات المرسلةtransmitted data  لا بد من أن تسلك من خلال ال root bridge المحتال. وهنا يعرف المخترق الكثير من المعلومات للشبكة الداخلية مثل كلمات المرور (Passwords).

MAC Address Table Overflow
يقوم الشخص المخترق بارسال عدد كبير من frames بحيث يقوم بتغيير ال MAC address لكل frame مرسل وذلك من أجل يملأ ال MAC table  للسويتش بعدد كبير من العناوين وبالتالي الوصول للحد الأقصى لل MAC table. إذ أن لكل سويتش سعة محددة لل MAC table وعند الوصول لهذا الحد فإنه يتعذر على السويتش التعرف علىMAC address  جديدة موصولة بالشبكة. وبالتالي يقوم السويتش بارسال البيانات بطريقة الإغراق (flooding)  للأجهزة غير المعروفة (اي التي ليس لها عنوان في الMAC table) وهنا تصل كل البيانات المرسلة لجهاز المخترق.

LAN Storms
هناك شكل من اشكال ارسال البيانات يتم بطريقة ال (broadcast)،اذ تستخدم عدد من البروتوكولات مثل ARP و DHCPوغيرها من البروتوكولات هذه الطريقة كما تستخدم كأساليب تخريب بحيث يقوم المخترق (المهاجم) بارسال عدد كبير من (broadcast frames)  والتي تعمل على ابطاء الشبكة .

VLAN Attacks
الأجهزة الطرفية تكون عضو ب VLAN واحدة وتكون وضعية المنفذ لها (access mode)، يقوم المخترق بتحويل جهازه ليعمل عمل السويتش من خلال برمجيات خبيقة مثبتة على جهاز الحاسوب، فيقوم بارسال بيانات مغلفة بتغليف إما (ISL) أو(dot1q)  وذلك لعمل هجوم يسمى(VLAN Hopping) .
وهذا يتم بطريقتين، إما عن طريق استغلال بروتوكول
DTP الفعال على مداخل السويتش أو عن طريق double tagging .
في الطريقة الأولى يقوم المخترق بارسال رسائل DTP لتحويل منفذ السويتش الموصول عليه جهاز المخترق ليصبح بوضع (Trunk mode)، وهنا يتمكن جهاز المخترق من ارسال رسائل tagged frames مثبت عليه رقم VLAN معينة تمكنه من الوصول للأجهزة في الشبكات الافتراضية VLANs الأخرى دون المرور بجهاز gateway.
أما الطريقة الأخرى فتتم من خلالdouble tagging ، فيقوم الجهاز المخترق بارسال بيانات مغلفة بغلاف يحمل رقمين مختلفين للشبكات الافتراضية double tags ، يحمل الرقم الداخليVLAN ID  المراد الوصول للجهاز بداخلها، ويحمل الرقم الخارجي VLAN ID آخر بحيث يكون رقم ال VLAN  الذي يتبع له جهاز المخترق ويجب أن تكون هذه ال VLAN  هي نفس ال native VLAN على منفذ ال Trunk الواصل بين السويتشين.