آلية عمل الاختراق

ربما  كان من الأجدر لكل إداري ناجح أن يعد دراسة تفصيلية لكل ما يريده من معطيات قبل الشروع بأي عمل يريد القيام فيه سواء أكان ذلك من ناحية شخصية أو من ناحية عملية ،فالإداري الناجح هو المخطط القادر على الإلمام بكل ما يدور حوله سواء أكانت هذه المعطيات صغيرة أو كبيرة في طبيعتها.

هذا الأمر أيضا ينطبق على المخترق الناجح القادر على الوصول للهدف المحدد،فالمخترقون الناجحون هم الذين يرسمون مسيرة وصولهم للهدف المنشود بكل دقة وإتقان.

فأول ما يقوم به المخترق للوصول للهدف المنشود ،هي إعداد دراسة تفصيلية للأعمال التي ينوي القيام بها .

وهذه الدراسة تشمل ثلاث نقاط رئيسة هي :

1-تتبع الأثر :

وهو أسلوب جمع المعلومة عن الهدف المستهدف ،فاللص العادي الذي نعرفه في حياتنا الطبيعية والذي نعتبره محترف في عمله هو القادر على جمع المعلومة الدقيقة عن الموقع المراد سرقته ،فلص البنك يعكف على أجراء دراسة تفصيلية لكل ما يتعلق بالبنك من كشف للمرات وللكاميرات المتواجدة في الممرات ولمواعيد العمل للموظفين ومواعيد تسليم النقود …. الخ .

وهذا أيضا ينطبق على المخترقين الناجحين ،فالمخترق الناجح هو ذلك الشخص القادر على جمع ثروة هائلة من المعلومات تقوده للوصول إلى هدفه بكل دقة وإتقان بحيث تكون المعلومات تخص أمن المنظمة المخترقة ومعلومات تخص الشبكة وما يدور حولها من عمليات لتكوين مخطط عام وشامل عن طبيعة عمل المنظمة مستخدما في عمله مجموعة من الأدوات التقنية التي تساعده للوصول إلى هدفه بحث توفر له الوصول إلى معلومات عن وصلةالإنترنت للمنظمة(Widget)،بالإضافة إلى الوصول إلى نطاق محدد من أسماء الميادين،وكتل الشبكات وعناوين IP للأنظمة المتصلة بشبكة الإنترنت.

   ويمكن لنا أن نجمل تقنيات تتبع الأثر بالجدول التالي :

2-المسح(Scan):

لما كان تتبع الأثر هو الأساس في جمع المعلومات عن الهدف المراد الوصول إليه كان لابد من التأكد من صحة المعلومات المجموعة،وللتأكد من صحة تلك المعلومة يجب على المخترق الناجح إجراء مسح شامل للمعلومات الحاصل عليها للوقوف على خفايا الأمور وهي بمثابة البحث عن النوافذ والأبواب في الجدران. في تتبع الأثر وصلنا إلى عناوين أل IP من مصادر استعلام مختلفة وهذا لا يكفي ،فجاءت عملية المسح لتوفر إمكانية الوصول إلى أسماء المستخدمين وأرقام الهواتف بالإضافة إلى نطاقات عناوين IP وملقمات DSN وملقمات البريد . فعلى سبيل المثال يمكن لنا اعتماد الأداة PING في مسح المنافذ ،من خلال استخدام أداه الكشف والمسح PING يتبين ان معرفة عنوان IP لا يؤهلنا للوصول إلى اختبار الدخول للنظام المستهدف ،فالأداة PING تستخدم عادة لإرسال رزم ICMP ECHO(النوع 8) إلى النظام الهدف محولة لتحريض ICMP ECHO-REPIY   للإشارة إلى النظام الهدف فعال ،فالأداة PING  ليس وحدها هي القادرة على الكشف بشكل سريع عن الأنظمة الفعالة ،بل ان هناك أداة أخرى تستخدم بشكل كبير في نظام UNIX,WINDOWS NT هي FPING فال أداه FPING  تستخدم في النصوص البرمجية SHELL  مع GPING .

(WWW.HACKINGGEXPOSED.COM/TOOLS/TOOLS.HTML )

فالأداة GPING تستخدم لتوليد لائحة من عناوين IP تغذي FPING لتحديد الأنظمة العاملة بدقة .

1-            السرد والتعداد (Enumeration):

قد يصل المخترق إلى النقطتين السابقتين تتبع الأثر والمسح لكن من الصعوبة إلى نقطة التعداد وذلك لأنها تتطلب من المخترق الوصول إلى حسابات المستخدم والى أسماء موارد المصادر لدى المستخدم .

فالصعوبة في الوصول إلى التعداد يكمن في كون الوصول إلى تتبع الأثر والمسح يتطلب تقنية جمع معلومات ذات مستوى تدخل سطحية ،أما بالنسبة للتعداد فيتطلب ذلك وصلات تدخل حية معرفة ذات استعلامات موجهه للهدف المطلوب . فالمعلومات المجموعة من مستوى التعداد غاية في الخطورة بالنسبة للمستخدم وبالغة الأهمية أيضا بالنسبة للمخترق.

فوصول المخترق إلى هذه المرحلة يؤهله للوصول إلى :-

           - معلومات عن موارد وتشاركات الشبكة .

     - معلومات عن المستخدمين والمجموعات العاملة .

  - معلومات عن التطبيقات المستخدمة الملصقة في النظام القائم المستخدم .  فعلى المستخدم كي يحمي نظامه ان يكون لديه القدرة على الإلمام بنقاط الضعف في نظام تشغيله والشبكة العاملة عليها لكي لا يكون عرضه لمخاطر الاختراق ،فتنفيذ المخترق للمراحل السابقة يؤهله للوصول إلى هدفه المنشود بدقة .

-بعد الانتهاء من إعداد الدراسة الكاملة عن النقاط السابقة(تتبع الأثر,المسح,والتعداد)

يكون المخترق قد وصل إلى المرحلة النهائية والتي تتضمن إعداد البرامج القادرة على اختراق الجهاز الضحية ،والفكرة القائمة التي تعتمد عليها البرامج هي القدرة على السيطرة على النظام الهدف عن بعد  Remote وكيف تتم هذه العملية لابد من تواجد عاملين.

   أساسيين يساعدان على الاختراق هما :

       -البرنامج المسيطر Client (العميل).

       -البرنامج الخادم  Server (الذي يسهل عملية الاختراق).

حيث يزرع البرنامج الخادم Serverبجهاز الضحية ليعمل على فتح الثغرات إعدادا لعمل برنامج المسيطر Client.

وتختلف إمكانيات التعامل مع هذان البرنامجان من برنامج إلى آخر ومن مخترق لآخر ،فهناك مجموعة من الطرق تشكل كل منها فكره تطرح في مجال الاختراق هذه الطرق تشمل :-

1-             طريقة Trojan  (أحصنة طروادة) :-

تعتمد هذه الطريقة في عملها على زرع ملف يدعى (Patch File) وهو صغير الحجم لا يؤدي أي وظيفة داخل جهاز الضحية سوى المبيت ليكون حلقة وصل بين جهاز الضحية والجهاز الذي يستعمله المخترق .

عند زرع هذا الملف فانه خلال يوم أو يومين تكون لديه القدرة على تغيير اسمه الحقيقي ليكون من الصعب العمل على اكتشاف هذا الملف  EXE .

لكن المريح في الأمر ان البرنامج المضاد للفيروسات تعتبرها فيروسات مع العلم إنها ليست فيروسات في الحقيقة .

أما بالنسبة للطريقة التي يتم إرسال هذه الملفات فهي تشمل :-

1-                    البريد الإلكتروني : يتم إرسال هذا الملف عن طريق البريد الإلكتروني ضمن رسالة مجهولة العنوان ،عندما يقوم صاحب البريد إلكتروني بفتح هذه الرسالة يجد هذا الملف ،وعند تشغيل هذا البرنامج فان هذا البرنامج يصدر رسالة وهمية توهم صاحب البريد بان هذا الملف لا يعمل لكن في الحقيقة فان هذا البرنامج قد عمل على فتح ثغرة في جهاز هذا الشخص الضحية ليمهد الطريق لدخول المخترق لهذا الجهاز .

2-                    برامج المحادثة ICQ.

3-                    مواقع الإنترنت الغير موثوق فيها .

أما بالنسبة للوظائف التي يقوم بها ملف Trojan عند المبيت في جهاز الضحية يشمل النقاط التالية :

-                  فتح منفذ في جهاز الضحية ليمهد الطريق للدخول إلى جهاز الضحية .

-                  الاتجاه فورا عند نزوله على جهاز الضحية إلى Registry  ملف تسجيل النظام .

-                  تحديث نفسه وتغيير و العمل على جمع معلومات عن النظام .

-                  العمل على تنفيذ أوامر الاختراق كفتح CD-Drive،أو تحريك الماوس .

-كيف تتم عملية الاتصال ؟

كما ذكرنا سابقا يعمل ملف Trojan على فتح منفذ Port في جهاز الضحية ،هذا المنفذ ليس منفذا ماديا كمنفذ الطابعة بل هو منفذ يشكل جزء من الذاكرة له عنوان محدد يتعرف على الجهاز بأنه وسط إرسال واستقبال للبيانات ،ويوجد في الجهاز الواحد 65000منفذ كل له طريقة عمل خاصة به .

2-             طريقة IP address :

ربما كانت فكرة ملفات Trojan اكثر قدرة على التواصل بين المخترق والضحية لكن طريقة معرفة IP address ناجحة جدا في الكشف عم معلومات هامة عن جهاز الضحية كعنوان الجهاز وموقعه ومزود الخدمة الخاص به بالإضافة إلى تسجيل تحركات الشخص الضحية على شبكة الإنترنت . فهناك على الإنترنت مواقع عديدة لها القدرة على إعطاء معلومات كثيرة جدا عن الجهاز في حال معرفة IP address مثل :

             -www.privacy.net

             -www.consumen.net

فال IP يعتبر هوية الجهاز على الإنترنت يعمل المخترق على استغلاله للولوج إلى جهاز الضحية . لكن هناك نقطة تساعد على عدم تكرار الولوج لجهاز الضحية وذلك لكون IP يتغير كل عملية اتصال بالإنترنت ويمكن للمستخدم التأكد من ذلك عن طريق معرفة أل IP  من كتابة الأمر Winipcfgفي قائمة بدء التشغيل لملاحظة كيف يتغير أل IPكل عملية اتصال للإنترنت.

3-             عن طريق Cookie :

هو ملف تعمل بعض مواقع الإنترنت على زرعه في الجهاز عند الاتصال به.

فعند فتح تلك المواقع تعمل هذه المواقع على زرع ملف Cookie في الجهاز ليعمل هذا الملف على جمع معلومات كاملة عن النظام وتخزينها وجمع معلومات عن عدد زيارات المستخدم لهذا الموقع ،لكننا لا نعتبر ملفات أل Cookie ملفات اختراق لكونها تستخدم في المجال التجاري ولكونها تعمل على تسر يع فتح المواقع المزودة لها أثناء الدخول عليه لكن هناك بعض المخترقين الضالعين في البرمجة وخصوصا لغة جافاJava يستخدمون ملفات أل Cookie في عمليات الاختراق لكون لغة جافا لها القدرة على التعمق داخل النظم الحاسوبية

ملاحظة : يتم تصميم ملفات أل Cookie بلغة جافا Java.