بسم الله الرحمن الرحيم
السبت 8 جمادى الثاني1423هـ العدد 12475 السنة 38
سعودي هاكرز يدعي اختراق موقع الوحدة وموقع أمن انترنت وخادم الـ DNS
كتبت - سحر الرملاوي:
تلقت المحررة عبر البريد الالكتروني رسالة مثيرة من احد المخترقين
ادعى فيها تمكنه من اختراق وحدة الانترنت الرئيسية بالمملكة و موقع
امن المعلومات فيها و ايضا خادم الdns واشتملت الرسالة ايضا على
مرفقات تثبت صحة ما ذهب اليه صاحب الرسالة الذي اكد على رغبته
الصادقة في لفت انتباه القائمين على وحدة الانترنت الرئيسية بوجود
ثغرة امنية في نظام الوحدة من شأنه تمكين ضعاف النفوس والمخترقين
من العبث باهم وحدة انترنت في المملكة ، و لقد عمد المخترق الى
ارسال رسالته عبر استخدام بريد الكتروني مجاني اطلق على نفسه
فيه اسم ( راعي احساس )
ولتفهم مايدعي المخترق سعودي هاكرز انه قام به ينبغي المرور على
بعض المعلومات المتعلقة بالوحدة و عملها فقد أنشئت وحدة خدمات
الإنترنت بموجب قرار مجلس الوزراء الموقر رقم 163وتاريخ 1417/10/24
هـ الذي نص على إدخال شبكة الإنترنت إلى المملكة من خلال مدينة
الملك عبد العزيز للعلوم والتقنية. وتقوم وحدة خدمات الإنترنت المعروفة
اختصاراً باسم ISU بتقديم خدمات الإنترنت في المملكة بالتعاون مع
شركة الاتصال السعودية وعدد من شركات مزودي الخدمة. أحد المهام
الرئيسية لوحدة خدمات الانترنت هيإنشاء وتشغيل مركز أمن
المعلومات بما في ذلك التعامل مع الطوارئ بالتنسيق مع الجهات ذات
العلاقة).
قصة من الخارج للداخل
هذه القصة حدثت منذ فترة ببريطانيا حيث قام أحد المخترقين باختراق
الخادم الرئيسي لأسماء النطاق uk. وبعد الاختراق قام المخترق
بتعديل جميع ملفات الـ DNSZone الخاصة بالمواقع البريطانيه وتوجيه أي
طلب عليها إلى رقم IP تابع له، مما تسبب في حدوث 100الف عملية
اختراق لمواقع هائلة و حساسة وفي بضع ساعات.
و قصتنا المحلية اليوم تشبه هذه القصة تقريبا الا ان المخترق قد اكد
في رسالته على كونه لم يعبث بملفات ال DNS التي صارت بحوزته و
التي قام بوضعها على موقع على الانترنت لنتمكن في الجريدة من
التحقق منها و لذا فاننا سنحتفظ بعنوان الموقع ..
و يقول سعودي هاكر في رسالته انه تمكن من اختراق الخادم الرئيسي
لوحدة الخدمات ومركز الأمن.
و يضيف : تكمن خطورة هذا الاختراق في ان الخادم الذي تم اختراقه
هو الخادم المركزي الرئيسي ns1.isu.net.sa الذي يحوي موقع الوحدة
وموقع مركز امن المعلومات ويحوي ايضا خادم أسماء النطاق الـ DNS
الخاصة با سماء النطاق السعودية المنتهية بـ saلكن المخترق يؤكد بانه
لم يقم بأي أعمال تخريب او شغب، مؤكدا في الوقت نفسه انه كان من
الممكن أن يقوم بشل خدمة الانترنت بالمملكة، وتنفيذ عملية اختراق
لجميع المواقع التابعه للنطاق sa بلحظات..!!
و هو يقول ان مثل هذه العمليات قد تتكرر مستقبلا، لذا يجب على
الوحدة تأمين نفسها اولا قبل الحديث عن امن الآخرين..
وحتى ساعة كتابة هذا التقرير ما زال خادم إنترنت المركزي للمملكة
تحت سيطرة الهاكرز..
وثائق الاثبات
تظهر الملفات الموضوعه على الموقع الخاص و المرسلة بريديا تمكن
المخترق المعروف بإسم saudi hackerz من الوصول إلى ملفات داخل
خادم وحدة انترنت الرئيسي، الذي يحوي موقع الوحدة وموقع أمن انترنت
وخادم الـ DNS وهو ان صح سيكون أمرا خطيرا للغايه ويمكن تصنيفه
كحالة طوارئ، نظرا لأن أي عبث او تعديل في بيانات خادم الـ DNS
المركزي سيسبب مشاكل رئيسية لجميع مستخدمي انترنت في
المملكة ..
لا لوم عليهم
في جزء آخر من رسالته يوضح راعي الاحساس انه يعتبر حدوث مثل
هذه الاختراقات لا يعني بأن وحدة خدمات أنترنت ومركزها الأمني
مقصرون في متابعة أمنهم، وتحديثها، حيث ان الثغرة الأمنية التي تم
استخدامها غير معروفة، وغير معلن عنها، مما يجعل ISU تحت رحمة
المخترقين، فإما يكونون مخترقين طيبين ولايقومون بإحداث اية أضرار، او
من المحتمل ان يواجهوا المزيد من المشاكل مستقبلا في حال لم
يقوموا يتطوير مهاراتهم الأمنية، وليس الأعتماد على المواقع التي تقدم
تحديثات وخدمات أمن.
**** خوادم البروكسي بالمملكة وأثرها الامني ****
يعاني كثير من مزودي خدمات انترنت وأصحاب المواقع عندما يحدث
اختراق لأحد مواقعهم، وتزيد المعاناة عندما يكون المخترق من داخل
المملكة، حيث يواجه مدير النظام العديد من الصعوبات للتوصل إلى هوية
المخترق. حيث يتوجب على كل مستخدم انترنت بالمملكة الدخول الى
انترنت عبر خوادم Proxy مهمتها الاساسية التي طورت من اجلها هي
زيادة سرعة التصفح وذلك عبر الاحتفاظ بالصفحات بخوادم الوحدة
واستخدمت من قبل ISU بشكل اساسي للتحكم بعمليات الحجب، لذى
فأن اي مستخدم انترنت سعودي يجب عليه الدخول عبر هذه الخوادم.
المشكلة تحدث، عندما يقوم شخص ما من المملكة بتنفيذ عمليات
اختراق او مخالفة قانونيه، حيث يصعب الوصول للشخص المخالف نظرا
لأن رقم انترنت (IP) الخاص بذلك الشخص لن يظهر، وإنما سيظهر رقم
ال IP الخاص بخادم الـ Proxy لدى وحدة خدمات انترنت، مما يصعب
عملية التحقق من الهوية.
هذه المشكلة من المتوقع لها الازدياد مستقبلا مع تطور قدرات
المستخدمين وانجرافهم وراء القيام بعمليات الاختراق.
حل مثل هذا النوع من المشاكل ممكن تقنيا، لكنه لم يتم تعميمه على
جميع مزودي خدمات انترنت بالمملكة، باختصار بعض خوادم البروكسي
الخاصة بالـ ISP تدعم وتُظهر احد البيانات الهامه جدا وهو :
HTTP_X_FORWARDED_FOR حيث يمكن الوصول إلى رقم IP
المخترق بسهوله عن طريقه بعد معاينة ملفات ال Logs - لكن المشكلة
ان اغلبية مزودي خدمات انترنت وخوادمهم الخاصة بالبروكسي لا ترسل
مثل هذه المعلومة الهامه جدا عند طلب الموقع، مما يؤدي الى المزيد
من المشاكل في حالة تعقب عمليات الاختراق.
**** محاولات إيقاف عمليات انتحال الهوية ****
كما هو معلوم عندما نقوم بالدخول إلى شبكة إنترنت فإن كل شخص
يحصل على رقم خاص به يسمى IP ويتكون من عدة أرقام، ويمكن
وصف هذا الرقم مجازاً بأنه من الناحية الأمنيه والقانونيه مماثل لدور
البصمات بالتحقيقات الجنائية، حيث يمكن استخدامه كدليل قاطع على
إدانة أي شخص ارتكب أعمالا غير قانونية على إنترنت وذلك بتتبع
معلومات رقم IP وتحديد هوية المستخدم وزمن وقوع المخالفة.
لكن ومنذ فترة غير بسيطة انتشرت عمليات تزوير رقم IP او على الأقل
إخفائه، او ما يعرف بـ IP Spoofing - أحد أسهل الطرق التي كانت
تستخدم بالمملكة في الفترة الماضية هي استخدام ما يعرف بـ Socks
and WinGate لإخفاء ارقام IP الخاصة بالمخترقين، إلا أن مركز أمن
المعلومات تنبه للموضوع وقام بإقفال أي اتصال دولي على المنفذ 1080
لمنع المستخدمين من تزوير أرقام IP بأرقام دولية، لاكن المشكلة ما
زالت مستمرة، حيث أن سياسة الحجب لدى المركز تعتمد على الحجب
على ر قم المنفذ، وهو أمر سهل التجاوز بتغيير بعض الاعداد، لذا ينصح
دائما با ستخدام ما يعرف بـالـ Protocol Signuture ، أي الخصائص
المميزة التي تحدث عندما يحدث تصال من داخل المملكة للخارج ويكون
المصدر عبارة عن Socks حيث يحمل الـ Header بعض السمات التي
يمكن كشفها فورا.
في الفترة الأخيرة اصبحت عمليات تزوير أرقام IP منتشرة وسهلة
الاستخدام، لكن ظهرت مؤخرا عدة مؤشرات وصعت تزوير الـ IP في
مرتبه غير مهمة نظرا لحدوث اشياء اكثر أهميه مثل انتحال رقم الـ IP
لجهات حساسه، كمثال على ذلك بإمكان أحد المخترقين المعروفين
بالمملكة تغيير رقم IP الخاص به وجعله كمثال يحمل رقم الـ IP الخاص
بموقع وزارة الداخليه (www.security.gov.sa).. مثل هذه العمليات قد
تسبب نتائج وخيمة في حال لم يتم معرفة كيفية حدوثها وتوخيها،
ولايمكن تصور النتائج السيئة التي تحصل بسببها.
**** أنظمة IDS واستخداماتها المستقبيلة بالمملكة ****
في أحد التصريحات الصحفية لأحد العاملين بـ ISU ذكر أن الوحدة لا
تستخدم أنظمة IDS (نظم كشف العمليات العدوانيه) وبرر ذلك بأن حجم
البيانات الصادرة والوارة إلى أنترنت بالمملكة ضخم جدا ولا يمكن معه
استخدام انظمة IDS.
كما هو معلوم فإن الاستخدام الأمثل لأنظمة IDS يتم على مستوى
الخادم المحتوي للمعلومات المراد حمايتها، وليس كبوابة أمنية للطلبات
الصادرة، لكن من الممكن تنفيذ أنظمة IDS بالمملكة وتثبيتها على
مستوى نقاط موزعة على مزودي خدمات إنترنت، كل نقطه تحوي أكثر
من نظام للمراقبة، مما يجعل عملية تركيبها ممكنه نظريا، ولا تحتاج إلا
الى عمل بعض التجارب للحكم على مدى نجاحها او فشلها بدل الحكم
عليها بالفشل من أول لحظة.
تركيب أنظمة IDS بالمملكة، سيؤدي بشكل كبير إلى قتل وايقاف
عمليات الاختراق قبل حدوثها، ونحن نتكلم هنا عن عمليات الاختراق
الصادرة من مستخدميين سعوديين، وليس عمليات الاختراق القادمه من
خارج المملكة، حيث من المتوقع أن يؤدي تركيب مثل هذه الأنظمة إلى
خفض عمليات الاختراق بنسبة 99%.
تنويه هام:
@@ الرياض: تنشر الموضوع لأهميته ومن اجل الحث على دراسة مثل
هذه المواضيع، لانها بمثابة حلول تقنية مركزيه لمشاكل أمنيه من
المتوقع ازديادها مستقبلا .
مع تحيات
عبدالله بن عبدربه
السبت 8 جمادى الثاني1423هـ العدد 12475 السنة 38
سعودي هاكرز يدعي اختراق موقع الوحدة وموقع أمن انترنت وخادم الـ DNS
كتبت - سحر الرملاوي:
تلقت المحررة عبر البريد الالكتروني رسالة مثيرة من احد المخترقين
ادعى فيها تمكنه من اختراق وحدة الانترنت الرئيسية بالمملكة و موقع
امن المعلومات فيها و ايضا خادم الdns واشتملت الرسالة ايضا على
مرفقات تثبت صحة ما ذهب اليه صاحب الرسالة الذي اكد على رغبته
الصادقة في لفت انتباه القائمين على وحدة الانترنت الرئيسية بوجود
ثغرة امنية في نظام الوحدة من شأنه تمكين ضعاف النفوس والمخترقين
من العبث باهم وحدة انترنت في المملكة ، و لقد عمد المخترق الى
ارسال رسالته عبر استخدام بريد الكتروني مجاني اطلق على نفسه
فيه اسم ( راعي احساس )
ولتفهم مايدعي المخترق سعودي هاكرز انه قام به ينبغي المرور على
بعض المعلومات المتعلقة بالوحدة و عملها فقد أنشئت وحدة خدمات
الإنترنت بموجب قرار مجلس الوزراء الموقر رقم 163وتاريخ 1417/10/24
هـ الذي نص على إدخال شبكة الإنترنت إلى المملكة من خلال مدينة
الملك عبد العزيز للعلوم والتقنية. وتقوم وحدة خدمات الإنترنت المعروفة
اختصاراً باسم ISU بتقديم خدمات الإنترنت في المملكة بالتعاون مع
شركة الاتصال السعودية وعدد من شركات مزودي الخدمة. أحد المهام
الرئيسية لوحدة خدمات الانترنت هيإنشاء وتشغيل مركز أمن
المعلومات بما في ذلك التعامل مع الطوارئ بالتنسيق مع الجهات ذات
العلاقة).
قصة من الخارج للداخل
هذه القصة حدثت منذ فترة ببريطانيا حيث قام أحد المخترقين باختراق
الخادم الرئيسي لأسماء النطاق uk. وبعد الاختراق قام المخترق
بتعديل جميع ملفات الـ DNSZone الخاصة بالمواقع البريطانيه وتوجيه أي
طلب عليها إلى رقم IP تابع له، مما تسبب في حدوث 100الف عملية
اختراق لمواقع هائلة و حساسة وفي بضع ساعات.
و قصتنا المحلية اليوم تشبه هذه القصة تقريبا الا ان المخترق قد اكد
في رسالته على كونه لم يعبث بملفات ال DNS التي صارت بحوزته و
التي قام بوضعها على موقع على الانترنت لنتمكن في الجريدة من
التحقق منها و لذا فاننا سنحتفظ بعنوان الموقع ..
و يقول سعودي هاكر في رسالته انه تمكن من اختراق الخادم الرئيسي
لوحدة الخدمات ومركز الأمن.
و يضيف : تكمن خطورة هذا الاختراق في ان الخادم الذي تم اختراقه
هو الخادم المركزي الرئيسي ns1.isu.net.sa الذي يحوي موقع الوحدة
وموقع مركز امن المعلومات ويحوي ايضا خادم أسماء النطاق الـ DNS
الخاصة با سماء النطاق السعودية المنتهية بـ saلكن المخترق يؤكد بانه
لم يقم بأي أعمال تخريب او شغب، مؤكدا في الوقت نفسه انه كان من
الممكن أن يقوم بشل خدمة الانترنت بالمملكة، وتنفيذ عملية اختراق
لجميع المواقع التابعه للنطاق sa بلحظات..!!
و هو يقول ان مثل هذه العمليات قد تتكرر مستقبلا، لذا يجب على
الوحدة تأمين نفسها اولا قبل الحديث عن امن الآخرين..
وحتى ساعة كتابة هذا التقرير ما زال خادم إنترنت المركزي للمملكة
تحت سيطرة الهاكرز..
وثائق الاثبات
تظهر الملفات الموضوعه على الموقع الخاص و المرسلة بريديا تمكن
المخترق المعروف بإسم saudi hackerz من الوصول إلى ملفات داخل
خادم وحدة انترنت الرئيسي، الذي يحوي موقع الوحدة وموقع أمن انترنت
وخادم الـ DNS وهو ان صح سيكون أمرا خطيرا للغايه ويمكن تصنيفه
كحالة طوارئ، نظرا لأن أي عبث او تعديل في بيانات خادم الـ DNS
المركزي سيسبب مشاكل رئيسية لجميع مستخدمي انترنت في
المملكة ..
لا لوم عليهم
في جزء آخر من رسالته يوضح راعي الاحساس انه يعتبر حدوث مثل
هذه الاختراقات لا يعني بأن وحدة خدمات أنترنت ومركزها الأمني
مقصرون في متابعة أمنهم، وتحديثها، حيث ان الثغرة الأمنية التي تم
استخدامها غير معروفة، وغير معلن عنها، مما يجعل ISU تحت رحمة
المخترقين، فإما يكونون مخترقين طيبين ولايقومون بإحداث اية أضرار، او
من المحتمل ان يواجهوا المزيد من المشاكل مستقبلا في حال لم
يقوموا يتطوير مهاراتهم الأمنية، وليس الأعتماد على المواقع التي تقدم
تحديثات وخدمات أمن.
**** خوادم البروكسي بالمملكة وأثرها الامني ****
يعاني كثير من مزودي خدمات انترنت وأصحاب المواقع عندما يحدث
اختراق لأحد مواقعهم، وتزيد المعاناة عندما يكون المخترق من داخل
المملكة، حيث يواجه مدير النظام العديد من الصعوبات للتوصل إلى هوية
المخترق. حيث يتوجب على كل مستخدم انترنت بالمملكة الدخول الى
انترنت عبر خوادم Proxy مهمتها الاساسية التي طورت من اجلها هي
زيادة سرعة التصفح وذلك عبر الاحتفاظ بالصفحات بخوادم الوحدة
واستخدمت من قبل ISU بشكل اساسي للتحكم بعمليات الحجب، لذى
فأن اي مستخدم انترنت سعودي يجب عليه الدخول عبر هذه الخوادم.
المشكلة تحدث، عندما يقوم شخص ما من المملكة بتنفيذ عمليات
اختراق او مخالفة قانونيه، حيث يصعب الوصول للشخص المخالف نظرا
لأن رقم انترنت (IP) الخاص بذلك الشخص لن يظهر، وإنما سيظهر رقم
ال IP الخاص بخادم الـ Proxy لدى وحدة خدمات انترنت، مما يصعب
عملية التحقق من الهوية.
هذه المشكلة من المتوقع لها الازدياد مستقبلا مع تطور قدرات
المستخدمين وانجرافهم وراء القيام بعمليات الاختراق.
حل مثل هذا النوع من المشاكل ممكن تقنيا، لكنه لم يتم تعميمه على
جميع مزودي خدمات انترنت بالمملكة، باختصار بعض خوادم البروكسي
الخاصة بالـ ISP تدعم وتُظهر احد البيانات الهامه جدا وهو :
HTTP_X_FORWARDED_FOR حيث يمكن الوصول إلى رقم IP
المخترق بسهوله عن طريقه بعد معاينة ملفات ال Logs - لكن المشكلة
ان اغلبية مزودي خدمات انترنت وخوادمهم الخاصة بالبروكسي لا ترسل
مثل هذه المعلومة الهامه جدا عند طلب الموقع، مما يؤدي الى المزيد
من المشاكل في حالة تعقب عمليات الاختراق.
**** محاولات إيقاف عمليات انتحال الهوية ****
كما هو معلوم عندما نقوم بالدخول إلى شبكة إنترنت فإن كل شخص
يحصل على رقم خاص به يسمى IP ويتكون من عدة أرقام، ويمكن
وصف هذا الرقم مجازاً بأنه من الناحية الأمنيه والقانونيه مماثل لدور
البصمات بالتحقيقات الجنائية، حيث يمكن استخدامه كدليل قاطع على
إدانة أي شخص ارتكب أعمالا غير قانونية على إنترنت وذلك بتتبع
معلومات رقم IP وتحديد هوية المستخدم وزمن وقوع المخالفة.
لكن ومنذ فترة غير بسيطة انتشرت عمليات تزوير رقم IP او على الأقل
إخفائه، او ما يعرف بـ IP Spoofing - أحد أسهل الطرق التي كانت
تستخدم بالمملكة في الفترة الماضية هي استخدام ما يعرف بـ Socks
and WinGate لإخفاء ارقام IP الخاصة بالمخترقين، إلا أن مركز أمن
المعلومات تنبه للموضوع وقام بإقفال أي اتصال دولي على المنفذ 1080
لمنع المستخدمين من تزوير أرقام IP بأرقام دولية، لاكن المشكلة ما
زالت مستمرة، حيث أن سياسة الحجب لدى المركز تعتمد على الحجب
على ر قم المنفذ، وهو أمر سهل التجاوز بتغيير بعض الاعداد، لذا ينصح
دائما با ستخدام ما يعرف بـالـ Protocol Signuture ، أي الخصائص
المميزة التي تحدث عندما يحدث تصال من داخل المملكة للخارج ويكون
المصدر عبارة عن Socks حيث يحمل الـ Header بعض السمات التي
يمكن كشفها فورا.
في الفترة الأخيرة اصبحت عمليات تزوير أرقام IP منتشرة وسهلة
الاستخدام، لكن ظهرت مؤخرا عدة مؤشرات وصعت تزوير الـ IP في
مرتبه غير مهمة نظرا لحدوث اشياء اكثر أهميه مثل انتحال رقم الـ IP
لجهات حساسه، كمثال على ذلك بإمكان أحد المخترقين المعروفين
بالمملكة تغيير رقم IP الخاص به وجعله كمثال يحمل رقم الـ IP الخاص
بموقع وزارة الداخليه (www.security.gov.sa).. مثل هذه العمليات قد
تسبب نتائج وخيمة في حال لم يتم معرفة كيفية حدوثها وتوخيها،
ولايمكن تصور النتائج السيئة التي تحصل بسببها.
**** أنظمة IDS واستخداماتها المستقبيلة بالمملكة ****
في أحد التصريحات الصحفية لأحد العاملين بـ ISU ذكر أن الوحدة لا
تستخدم أنظمة IDS (نظم كشف العمليات العدوانيه) وبرر ذلك بأن حجم
البيانات الصادرة والوارة إلى أنترنت بالمملكة ضخم جدا ولا يمكن معه
استخدام انظمة IDS.
كما هو معلوم فإن الاستخدام الأمثل لأنظمة IDS يتم على مستوى
الخادم المحتوي للمعلومات المراد حمايتها، وليس كبوابة أمنية للطلبات
الصادرة، لكن من الممكن تنفيذ أنظمة IDS بالمملكة وتثبيتها على
مستوى نقاط موزعة على مزودي خدمات إنترنت، كل نقطه تحوي أكثر
من نظام للمراقبة، مما يجعل عملية تركيبها ممكنه نظريا، ولا تحتاج إلا
الى عمل بعض التجارب للحكم على مدى نجاحها او فشلها بدل الحكم
عليها بالفشل من أول لحظة.
تركيب أنظمة IDS بالمملكة، سيؤدي بشكل كبير إلى قتل وايقاف
عمليات الاختراق قبل حدوثها، ونحن نتكلم هنا عن عمليات الاختراق
الصادرة من مستخدميين سعوديين، وليس عمليات الاختراق القادمه من
خارج المملكة، حيث من المتوقع أن يؤدي تركيب مثل هذه الأنظمة إلى
خفض عمليات الاختراق بنسبة 99%.
تنويه هام:
@@ الرياض: تنشر الموضوع لأهميته ومن اجل الحث على دراسة مثل
هذه المواضيع، لانها بمثابة حلول تقنية مركزيه لمشاكل أمنيه من
المتوقع ازديادها مستقبلا .
مع تحيات
عبدالله بن عبدربه
تعليق