ثغرات الانظمة
الانظمة منها الويندوز او اللينكس او ادوبي بلير او الماسنجر كلها انظمة تشغيل وهذه الانظمة تعتمد على المنافذ لان كل منها لها منفذ خاص بها
ماهو المنفذ هو عبارة عن باب (بوابة) لتبادل المعلومات يستخدمها نظامك لالاتصال بباقي الكومبيوترات من خلال الانترنيت
والملخص هو كل برنامج يعتمد على الاتصال بالانترنيت له منفذ خاص به
الثغرة ماهي هي ؟ هي الية فهم النفذ (البورت) ماذا يرسل وماذا يستقبل
نواع الثغرات
نوع الثغرة هو نفسة نوع المنفذ التي يتم إكتشاف الثغرة فية
والمنافذ لها نوعين
منفذ دائم : وهو الي يشتغل مع إشتغال برنامج ما
هل تريد أن ترى المنافذ الدائمة في جهازك لا تنسى تقول ماشاء الله اللهم زد وبارك
شغل الدوس وأكتب
netstat -a -n -o
تظهر لك قائمة طويلة عريضة - المنفذ يأتي بعد عنوان الجهاز و علامة: بهذا الشكل
127.0.0.1:587
منفذ = 587
أما آخر قائمة التي عنوانها PID
فهي رقم العملية(البرنامج) في الذاكرة التي يستقبل الأوامر من المنفذ
والنوع الثاني : الثغرات المؤقتة = المنافذ المؤقتة
في بعض العمليات التي تتم على الإنترنت تكون بشكل مؤقت
مثلا لتحميل أداة أكتف إكس نحتاج لمنفذ لنقل الأداة من الشبكة إلى الجهاز
تتطلب بعض السكربتات وخاصة الكبيرة منفذ للنقل وسرعة التنفيذ
تتطلب بعض برامج قرائة البريد مثل الأوت لوك منفذ مؤقت للرد المباشر على الرسائل
هذي كلها منافذ مؤقتة ينشأها النظام في وقت معين وبعد التنفيذ يغلق المنفذ وتكون مخفية
للمعلومة : كل الثلاث منافذ التي تم عرضها ظهر فيها ثغرات وتم تعديلها
هذا بالنسبة لأنواع الثغرات يمكن تكون في أنواع ثانية الله أعلم
طريقة إكتشاف الثغرات
في أكثر من طريقة: الأولى
إسمع القصة وبتفهم أول طريقة
قبل فترة جمعت كل تحديثات الأمان مع بعض وأردت أركبها في نظام قديم
قلت بجرب وبكتشف كيف تعمل هذة التحديثات تغلق ماذا وتفتح ماذا
بدأت أشغل كل تحديث ببرنامج تصحيح للخطاء( الديبغر) وأسجل ملاحظات
وأعيد تشغيل الكمبيوتر وأفتح الدوس وأكتب
netstat -a -n -o
والله السالفة طلعت تشبة لعبة الشرطي والحرامي
قبل تثبيت أي تحديث كان عدد المنافذ 12 وبأرقام مختلفة طبعا
بعد تثبيت التحديثات صارت المنافذ 9 وعناوين المنافذ نفس ماهي أقصد أول تسعة
بديت أثبت واحد ورى الثاني ويتم التغيير كما يلي
تقوم بعض التحديثات بعمل مشاركة بين منفذ تم إكتشاف ثغرة فية وبين آخر سليم
مع تعديل في الكود
طريقة مشاركة المنافذ تخلي النظام بطي + أن الي أكتشف الثغرة
سهل يحمل التحديث ويشوف التعديل وبترجع الثغرة زي ماكانت
قلت في بالي والله إن القراصنة عقدوا مايكروسفت وبتكون نهاية الشركة على أيديهم ؟
أعتقد فهمت أول طريقة وهي تحميل تحديث لثغرة وتقوم بتنقيح هذا التحديث لتعرف الثغرة
مثل الي يريد يتعلم كسر حماية برنامج يدور لة على كراك وبعد ما يكسر البرنامج يشوف الفرق قبل وبعد
لا تتوقوعوا إن لينكس فقط مفتوح المصدر أيضا وندوز مفتوح المصدر ولكن بطريقة ملتوية فك التجميع
قد تكون هذة الطريقة أسهل طريقة ولكن الثغرة تكون قد أغلقت؟ولكن تستفيد منها في إكتشاف ثغرة جديدة
الطريقة الثانية
ببرامج التنقيح أيضا : لتحميل برنامج تنقيح محترم
حدد البرنامج الذي يفتح ثغرة دائمة أو مؤقتة
إفتح البرنامج وسوي تخطيط للذاكرة للتعرف على كل الملفات التي تتعلق بهذا البرنامج
مثل ماتلاحظ: تخطيط لبرنامج 40 بالمئة من تحديثات الأمان عند التحديث كانت فية
ما أدري الكود الي هنا ليش ما ظهر يمكن يكون أكبر من الصفحة
كل ملف تجدة في القائمة إفتحة وضع نقاط توقف على كل دوال الإتصالات
طبعا بعض الملفات معروفة ولا تخص البرنامج مثل المكاتب
user32.dll ,kernel32
وباقي ملفات النظام القياسية ركز على ملفات البرنامج الملفات الغريبة؟
وشغل البرنامج وإتصل بالإنترنت وتجول على كيفك حمل برامج سوي أي شيء
أول ما تلاقي برنامج التنقيح عطاك إشارة أنة دالة عليها نقطة توقف تحاول الإتصال
وقف وإفتح البرنامج وتتبع البرنامج قد تلاقي شيء أو بعض هذة الأفكار
إستقبال حجم كبير من المعلومات يكفي لنقل فايروس بشكل غير مشروط جداا
فتح منافذ مؤقتة جديدة
أو أي طريقة لزرع ملف تجسس
طبعا لازم تكون ذكي وعندك خبرة في البرمجة لإكتشاف هذي الشغلات وأهم شيء عندك صبر وإرادة
وإذا ما لقيت شيء كمل حتى تلاقي : لايمكن أن تلاقيها في يوم وليلة
هذي البرامج مصممة ومجربة على يد خبراء برمجة وأمن مو حيالله
وللمعلومة : أغلب الثغرات تكتشف في 3 إلى 6 أشهر من التدقيق والمراقبة
المهم : هذي الطريقة هي أكثر الطرق المتبعة لإكتشاف للثغرات
الطريقة الثالثة
مراقبة مخزن بيانات المودم + إتصالات المودم
قد تكون هذة الطريقة مقدمة للدرس القادم : قراصنة الإتصالات السلكية والاسلكية
نبدأ :في برامج كثيرة لمراقبة مخزن المودم + مراقبة تعليمات المودم AT
وهذا واحد منها
قبل أن تتصل بالنت شغل البرنامج وإختر ملف ثم جلسة جديدة
تظهر لك خيارت المراقبة إختر لأولى منفذ تسلسلي
تظهر لك خيارت للمنفذ إختر منها منفذ المودم
ثم تظهر لك خيارات التعليمات التي تريد إظهارها حدد أول خمس
بعد ذلك صغر البرنامج وإتصل بالنت و عند الإتصال إطلع على البرنامج
لاحظ البرنامج المستخدم في الإتصال+ لاحظ كيف يتم نقل المعلومات + لاحظ تعليمات المودم
كما هو موضح في الصورة
المعلومات التي تشوفها في الصورة
يحتاج لها درس خاص وإن شاء الله نتطرق لها في الدرس القادم
المهم : هذة بعض الطرق لإكتشاف ثغرات النظام وماخفي كان أعظم
وفي شيء آخر : لا تتوقع أن نظام التشغيل وندوز نظام غير آمن
بل أعتقد أنة أأمن نظام تشغيل معروف في العالم. ولو أن أي نظام تشغيل ثاني تعرض
لمحاولات قرصنة مثل نظام وندوز لكان الآن في عداد الأموات
وستضل الحرب بين الأمن والإختراق . إلى أن يشاء الله
ثانيا : نظام لينكس
نظام لينكس أمام هذة الطرق في كشف الثغرات يعتبر شيء سخيف
لو تريد كشف ثغرة في لينكس بكل بساطة لا تحتاج لكل هذة الطرق والبرامج
بل تحتاج لبرنامج واحد فقط وهو ( محرر نصوص)؟؟؟؟؟؟؟؟؟؟؟؟
لكي تفتح الشفرة المصدرية للينكس وترى بعينك كيفية تصميم طرق الأمن فية
وتكتشف الثغرة
أخيرا: أنا لا أقصد من كل هذا الدرس أن كشف ثغرات الأنظمة شيء بسيط
كشف الثغرات والله شيء معقد وكأنك صححت خطأ في نظام تشغيل؟؟ غفل عنة خبراء برمجة
ليست هناك تعليقات:
إرسال تعليق
اهلا بك ونشكرك على تعليقك ونتمنى ان تكون مستفيدا من المدونة
واقتراحاتك ستكون بالحسبان