تعلم الهندسة الاجتماعية و الامن المعلومات 2015

تويتر

https://twitter.com/KAMINDOZ

موقع

http://www.r00tnetwork.org/

إلى أي مدى وصل تعقيد فكر الإنسان والى أي مدى قد يصل ذكاء المهاجم الذي يعتمد على الهندسة الاجتماعية لفك هذا التعقيد؟

أنا لاأتحدث هنا عن شخص يتمتع ببعض مهارات الاحتيال من خلال خبرة اكتسبها مع مرور الوقت والتعامل مع المجتمع لابالطبع فشخص كهذا مع احترامي اعتبره ساذج  بل ساذج جدا بل لايوجد مقارنة أصلا بين شخص يعتمد على الخبرة فقط وشخص يعتمد على العلم والخبرة معا لاختراق الانظمة البشرية.

إنني أتحدث هنا عن شخص بنظرة في عينيك يعرف ماهو شعورك ومالذي تفكر فيه شخص يملك من الذكاء مايكفي لابقاءك تحت السيطرة ودون ان تشعر تماما .

سوف نتحدث اليوم عن اساليب للتخطيط واستخراج المعلومات وقراءة الافكار وزراعتها أيضا في عقل الهدف!!

كيف يعمل نظام الإنسان؟

نظام وتركيب وطريقة عمل الانسان مشابهة جدا لعمل الحاسوب لكن طبعا انظمة البشر معقدة جدا ومتطورة اكثر بكثير من الحاسب. فالحاسب يحتاج للغة خاصة “لغة الآلة” ليفهم ماتريده منه وكذلك نظام الانسان فنظام الانسان لايفهم إلا مايسمى بالاكواد او الاشارات العصبية Neuronal code هذا مثال بسيط على وجه التشابه بين الحاسوب والإنسان.

Follow @KAMINDOZ Tweet

What is Social Engineering?

Social engineering is the art of manipulating people so they give up confidential information. The types of information these criminals are seeking can vary, but when individuals are targeted the criminals are usually trying to trick you into giving them your passwords or bank information, or access your computer to secretly install malicious software–that will give them access to your passwords and bank information as well as giving them control over your computer.

Criminals use social engineering tactics because it is usually easier to exploit your natural inclination to trust than it is to discover ways to hack your software.  For example, it is much easier to fool someone into giving you their password than it is for you to try hacking their password (unless the password is really weak).

Security is all about knowing who and what to trust. Knowing when, and when not to, to take a person at their word; when to trust that the person you are communicating with is indeed the person you think you are communicating with; when to trust that a website is or isn’t legitimate; when to trust that the person on the phone is or isn’t legitimate; when providing your information is or isn’t a good idea.

Ask any security professional and they will tell you that the weakest link in the security chain is the human who accepts a person or scenario at face value. It doesn’t matter how many locks and deadbolts are on your doors and windows, or if have guard dogs, alarm systems, floodlights, fences with barbed wire, and armed security personnel; if you trust the person at the gate who says he is the pizza delivery guy and you let him in without first checking to see if he is legitimate you are completely exposed to whatever risk he represents.

Common social engineering attacks

Email from a friend. If a criminal manages to hack or socially engineer one person’s email password they have access to that person’s contact list–and because most people use one password everywhere, they probably have access to that person’s social networking contacts as well.

Once the criminal has that email account under their control, they send emails to all the person’s contacts or leave messages on all their friend’s social pages, and possibly on the pages of the person’s friend’s friends.

These messages may use your trust and curiosity:

• Contain a link that you just have to check out–and because the link comes from a friend and you’re curious, you’ll trust the link and click–and be infected with malware so the criminal can take over your machine and collect your contacts info and deceive them just like you were deceived.
• Contain a download–pictures, music, movie, document, etc., that has malicious software embedded. If you download–which you are likely to do since you think it is from your friend–you become infected. Now, the criminal has access to your machine, email account, social network accounts and contacts, and the attack spreads to everyone you know. And on, and on.

These messages may create a compelling story or pretext:

• Urgently ask for your help–your ’friend’ is stuck in country X, has been robbed, beaten, and is in the hospital. They need you to send money so they can get home and they tell you how to send the money to the criminal.
• Asks you to donate to their charitable fundraiser, or some other cause – with instructions on how to send the money to the criminal.

Phishing attempts. Typically, a phisher sends an e-mail, IM, comment, or text message that appears to come from a legitimate, popular company, bank, school, or institution.

These messages usually have a scenario or story:

• The message may explain there is a problem that requires you to "verify" of information by clicking on the displayed link and providing information in their form. The link location may look very legitimate with all the right logos, and content (in fact, the criminals may have copied the exact format and content of the legitimate site). Because everything looks legitimate, you trust the email and the phony site and provide whatever information the crook is asking for. These types of phishing scams often include a warning of what will happen if you fail to act soon, because criminals know that if they can get you to act before you think, you’re more likely to fall for their phish.
• The message may notify you that you’re a ’winner’. Maybe the email claims to be from a lottery, or a dead relative, or the millionth person to click on their site, etc. In order to give you your ’winnings’ you have to provide information about your bank routing so they know how to send it to you, or give your address and phone number so they can send the prize, and you may also be asked to prove who you are often including your Social Security Number. These are the ’greed phishes’ where even if the story pretext is thin, people want what is offered and fall for it by giving away their information, then having their bank account emptied, and identity stolen.
• The message may ask for help.  Preying on kindness and generosity, these phishes ask for aid or support for whatever disaster, political campaign, or charity is hot at the moment.

Baiting scenarios. These socially engineering schemes know that if you dangle something people want, many people will take the bait. These schemes are often found on Peer-to-Peer sites offering a download of something like a hot new movie, or music. But the schemes are also found on social networking sites, malicious websites you find through search results, and so on.

Or, the scheme may show up as an amazingly great deal on classified sites, auction sites, etc.. To allay your suspicion, you can see the seller has a good rating (all planned and crafted ahead of time).

People who take the bait may be infected with malicious software that can generate any number of new exploits against themselves and their contacts, may lose their money without receiving their purchased item, and, if they were foolish enough to pay with a check, may find their bank account empty.

Response to a question you never had. Criminals may pretend to be responding to your ’request for help’ from a company while also offering more help. They pick companies that millions of people use like a software company or bank.  If you don’t use the product or service, you will ignore the email, phone call, or message, but if you do happen to use the service, there is a good chance you will respond because you probably do want help with a problem.

For example, even though you know you didn’t originally ask a question you probably a problem with your computer’s operating system and you seize on this opportunity to get it fixed. For free! The moment you respond you have bought the crook’s story, given them your trust and opened yourself up for exploitation.

The representative, who is actually a criminal, will need to ’authenticate you’, have you log into ’their system’ or, have you log into your computer and either give them remote access to your computer so they can ’fix’ it for you, or tell you the commands so you can fix it yourself with their help–where some of the commands they tell you to enter will open a way for the criminal to get back into your computer later.

Creating distrust. Some social engineering, is all about creating distrust, or starting conflicts; these are often carried out by people you know and who are angry with you, but it is also done by nasty people just trying to wreak havoc, people who want to first create distrust in your mind about others so they can then step in as a hero and gain your trust, or by extortionists who want to manipulate information and then threaten you with disclosure.

This form of social engineering often begins by gaining access to an email account or other communication account on an IM client, social network, chat, forum, etc. They accomplish this either by hacking, social engineering, or simply guessing really weak passwords.

• The malicious person may then alter sensitive or private communications (including images and audio) using basic editing techniques and forwards these to other people to create drama, distrust, embarrassment, etc.  They may make it look like it was accidentally sent, or appear like they are letting you know what is ’really’ going on.
• Alternatively, they may use the altered material to extort money either from the person they hacked, or from the supposed recipient.

There are literally thousands of variations to social engineering attacks. The only limit to the number of ways they can socially engineer users through this kind of exploit is the criminal’s imagination.  And you may experience multiple forms of exploits in a single attack.  Then the criminal is likely to sell your information to others so they too can run their exploits against you, your friends, your friends’ friends, and so on as criminals leverage people’s misplaced trust.

Don’t become a victim

• Slow down. Spammers want you to act first and think later. If the message conveys a sense of urgency, or uses high-pressure sales tactics be skeptical; never let their urgency influence your careful review.
• Research the facts. Be suspicious of any unsolicited messages. If the email looks like it is from a company you use, do your own research. Use a search engine to go to the real company’s site, or a phone directory to find their phone number.
• Delete any request for financial information or passwords. If you get asked to reply to a message with personal information, it’s a scam.
• Reject requests for help or offers of help. Legitimate companies and organizations do not contact you to provide help. If you did not specifically request assistance from the sender, consider any offer to ’help’ restore credit scores, refinance a home, answer your question, etc., a scam. Similarly, if you receive a request for help from a charity or organization that you do not have a relationship with, delete it. To give, seek out reputable charitable organizations on your own to avoid falling for a scam.
• Don’t let a link in control of where you land. Stay in control by finding the website yourself using a search engine to be sure you land where you intend to land. Hovering over links in email will show the actual URL at the bottom, but a good fake can still steer you wrong.

Curiosity leads to careless clicking–if you don’t know what the email is about, clicking links is a poor choice. Similarly, never use phone numbers from the email; it is easy for a scammer to pretend you’re talking to a bank teller.

• Email hijacking is rampant. Hackers, spammers, and social engineerers taking over control of people’s email accounts (and other communication accounts) has become rampant. Once they control someone’s email account they prey on the trust of all the person’s contacts. Even when the sender appears to be someone you know, if you aren’t expecting an email with a link or attachment check with your friend before opening links or downloading.
• Beware of any download. If you don’t know the sender personally AND expect a file from them, downloading anything is a mistake.
• Foreign offers are fake. If you receive email from a foreign lottery or sweepstakes, money from an unknown relative, or requests to transfer funds from a foreign country for a share of the money it is guaranteed to be a scam.
• Set your spam filters to high. Every email program has spam filters. To find yours, look under your settings options, and set these high–just remember to check your spam folder periodically to see if legitimate email has been accidentally trapped there. You can also search for a step-by-step guide to setting your spam filters by searching on the name of your email provider plus the phrase ’spam filters’.
• Secure your computing devices. Install anti-virus software, firewalls, email filters and keep these up-to-date. Set your operating system to automatically update, and if your smartphone doesn’t automatically update, manually update it whenever you receive a notice to do so.  Use an anti-phishing tool offered by your web browser or third party to alert you to risks.

Follow @KAMINDOZ Tweet

كيف يتم إختراق حسابك في Facebook وكيف تحمي نفسك #SEC

عام 2015 .. حيث اقتحمت المواقع الاجتماعية حياتنا بشكل كامل .. فلم يعد يمر يوم علي أحدنا إلا وقد فتح ال Facebook و Twitter و Youtube وغيرها ليتابع الجديد مع عائلته وأصدقاءه وما يحدث ..وبهذا أصبحت حياتنا الخاصة كاملة معرضة لكسر خصوصيتها وإذاعتها علي المشاع!

سنتحدث اليوم عن الطرق التي يتمكن من خلالها الهاكرز اختراق حساب ال Facebook الخاص بك حتي نعرف كيف نحمي خصوصيتنا من الاختراق .. وتنطبق نفس الطرق علي باقي المواقع الاجتماعية.

والطرق كالتالي:

1- صفحات تسجيل الدخول المزيفة (Phishing Attacks)
2- برمجيات الطرف الثالث المستخدمة في حساباتنا (Third party Applications)
3- تخمين كلمة المرور (Brute force attacks)
4- تخمين الإجابات لطرق استعادة كلمة المرور
5- كلمات المرور المسجلة في متصفحك

الآن دعونا نفصل كل نقطة علي حدي حتي نفهمها جيدا.

1- صفحات تسجيل الدخول المزيفة (Phishing Attacks)
بالطبع هذا هو أكثر أنواع الهجوم إنتشارا فمن منا لم يصله رابط يشبه رابط موقع الفيس بوك ويطلب منه تسجيل الدخول حتي يمكنه رؤية الفيديو الفلاني او الصورة التالية الخ
وفي هذا الهجوم يستخدم المخترق أسماء نطاقات(domains) تشبه نطاقات الفيس بوك .. مثال:

هل لاحظت الفارق؟

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1-  تأكد بأن الرابط انت من كتبته بيدك ولم يأتيك من خلال رساله علي الفيس بوك او رساله علي بريدك الإلكتروني.
2- عليك بالتأكد من ان الموقع الذي تقوم بإدخال بياناتك فيه هو رابط موثوق يبدأ ب https

2- برمجيات الطرف الثالث المستخدمة في حساباتنا (Third party Applications)
المقصود بهذه الجملة هي البرمجيات (applications) التي لم يتم برمجتها بواسطة الفيس بوك ولكنها تستخدم لإضافة ميزات لحسابك في فيس بوك .. مثل برمجيات الألعاب, وبرمجيات المحادثة او برمجيات الأخبار .. أمثلة علي ذلك:
المزرعة السعيدة .. Skype .. اعرف من اكثر صديق مقرب إليك .. اعرف من زار بروفايلك .. اعرفي اسم زوجك المستقبلي!

وغيرها من البرمجيات التي نستخدمها في حساباتنا . ولكن!
عندما تقوم بالإشتراك في أحد هذه البرمجيات ستأتيك رسالة تخبرك بالتالي وتطلب منك تأكيد ذلك:

هل تري مقدار البيانات التي سيتمكن هذا التطبيق من الحصول عليها في حسابك بمجرد الموافقة علي الاشتراك فيه؟!!

ولكن للأسف المشكلة انه ﻻ أحد يقرأ اصلا ما هو مكتوب .. فلدينا ثقافة “أضغط Next حتي النهاية!”

الكثير من هذه البرمجيات يكون خطير جدا حيث يمكن لصاحب هذه البرمجيات التحكم في حساباتنا بشكل كامل مثل النشر علي صفحتنا والحصول علي نسخه من البريد ألإلكتروني و الصور الخاصة بنا إلخ.

وهنا شرح فيديو لأحد مكتشفي الثغرات يستخدم ثغره في أحد البرمجيات علي الفيس بوك لإختراق المستخدمين والتحكم بحساباتهم:

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1- ﻻ توافق علي هذه البرمجيات إلا الموثوق منها فقط
2- لا تسمح بالبرمجيات التي ستحصل علي صلاحية كاملة علي حسابك!
3- تأكد من البرمجيات الموجودة في حسابك من خلال الرابط التالي وقم بحذف البرمجيات التي تشك بأمرها أو لم تعد تستخدمها
https://www.facebook.com/settings?tab=applications

3- تخمين كلمة المرور (Brute force attacks)

هناك العديد من الأشخاص يستخدمون كلمات مرور سهله يمكنه تخمينها بسهوله مثل رقم هاتفه او اسمه او ارقام مثل 123456789 او 123qwe وغيرها من كلمات المرور التي يسهل تخمينها .. وكلمات المرور كهذه تجعل حسابك معرض للاختراق في أي لحظة!

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1- قم بعمل كلمة مرور صعبه تحتوي علي حروف صغيرة وكبيرة + أرقام
فمثلا لو كنت تنسي كلمة مرورك كثيرا لذلك اخترت ان تكون كلمة المرور هي اسمك .. فيمكنك ايضا عملها بشكل صعب ﻻ يمكن تخمينه
فمثلا لو أن اسمك هو mohamed واردت ان تكون كلمة محمد هي كلمة مرورك فيمكنك تعديلها بحيث تصبح كلمة مرورك هي M0hAmeD!$
هو نفس الاسم ولكن تم استبدال حرف O برقم صفر واستخدام حروف صغيره وكبيرة + بعض الرموز
هذا مثال بسيط وبالطبع يمكنك زيادة ارقام او التعديل عليها كما تشاء المهم ان لا تجعلها سهلة التخمين

4- تخمين الإجابات لطرق استعادة كلمة المرورحيث يفوم المخترق بمحاولة إستعادة كلمة المرور الخاصة بك .. وفي هذه الحالة سيظهر له سؤال الأمان الذي قمت أنت باختياره حتي تتمكن من خلاله بإسترجاع كلمة مرورك في حالة فقدانها .. للاسف كثيرون يختارون أسئله سهله مثل محل الميلاد .. المنطقة التي تعيش بها .. اسم الأب وخلافه من هذه الأسئلة التي يمكن تخمينها بسهوله وهو ما يعرض حسابك للاختراق.

كيف أحمي نفسي من هذا النوع من الاختراقات؟
1-قم بإختيار سؤال سري يصعب تخمين إجابته
2- حاول تجنب طريقة استرجاع بريدك من خلال السؤال السري ويفضل ان يكون إستعادة كلمة مرورك من خلال بريد إلكتروني آخر تملكه أو من خلال رقم هاتفك.

5- كلمات المرور المسجلة في متصفحكحينما تقوم بتسجيل الدخول إلي موقع الفيس بوك أو اي موقع آخر فان المتصفح سيقوم بسؤالك .. هل تود حفظ كلمة المرور في المتصفح؟
هذا الخيار يتيح لك ان تقوم بحفظ كلمة المرور في المتصفح وعندما تقوم بتسجيل الدخول في المره القادمه لن يتوجب عليك كتابة كلمة المرور مره اخري فهي محفوظه في المتصفح كل ما عليك هو الضغط علي زر تسجيل الدخول فقط.

نعم هو خيار يسهل عليك الموضوع ويساعدك أيضا علي ان ﻻ تحفظ كلمات مرورك أًصلا!  ولكن ما مدي خطورة هذه الميزة؟

تخيل ببساطة انك قمت بعمل ذلك علي جهازك في العمل .. أي شخص يمكنه الجلوس علي حاسوبك لن يستغرق اكثر من دقيقتين لاستخراج كلمات المرور التي قمت بحفظها في متصفحك!

فلو أنك تستخدم متصفح ال Firefox علي سبيل المثال فيمكنك التأكد من كلمات المرور المسجلة في متصفحك من خلال الخطوات التالية:

1- من قائمة متصفح الفايرفوكس قم بالذهاب الي Tools ثم Options وفي إصدارات اخري من المتصفح تكون باسم Edit ثم Preferences
2- من القائمة التي ستظهر لك اختار Security ثم Saved Passwords
3- ستظهر لك قائمة بكل المواقع وكلمات المرور واسم المستخدم التي قمت بحفظها في متصفحك!!!

اذا كما تري فالأمر ﻻ يستغرق سوي بضع ثواني حتي يمكن لأي شخص يمكنه الجلوس علي حاسوبك حتي يقوم بأخذ كلمات المرور الخاصة بك!

كيف أحمي نفسي من هذا انوع من الإختراقات؟

1- ﻻ تقم بحفظ كلمات المرور الخاصه بك في المتصفح بالطبع!
2- اذا كنت تواجه مشكلة النسيان فإرجع للحل رقم 1 في طريقة الاختراق رقم 3 في نفس الموضوع.
3- ان كنت لا محالة تريد حفظ كلمات المرور الخاصة بك فيمكنك استخدام احد برامج حفظ وتشفير كلمات المرور الخاصة بك مثل KeePass وغيره
4- ان كنت ﻻ محالة تريد فعل ذلك وتتكاسل عن استخدام برامج حفظ وتشفير كلمات المرور فيمكنك علي الأقل حفظ كلمات المرور الخاصه بك في ملف Text وحفظه في مكان ليس بالسهل إيجاده داخل حاسوبك.
5- إن كنت لا محالة تريد فعل ذلك وﻻ يمكنك استخدام اي من الطرق أعلاه .. فاكتب كلمة مرورك في Post علي الفيس بوك وأرح عقلك 

شكرا لمتابعتكم.

Follow @KAMINDOZ Tweet

التحايل والتخفي من مراقبة الحكومة والهكر المهندس الاجتماعي #PENTEST #الهندسة_الاجتماعية #proxy #hiden #بروكسيات

مقدمة

الفكرة الأساسية للتحايل على رقابة الانترنت هي تمرير الطلبات عبر مخدم ثالث غير محجوب ومتصل بالانترنت عن طريق اتصال غير مفلتر. يشرح هذا الفصل بعض الأدوات التي تجعل من الممكن استخدام مثل هذا المخدم من أجل التغلب على حجب الإنترنت ، والفلترة ، والمراقبة. وينبغي أن يستند اختيار الأداة التي يمكن أن تحقق أهدافك بأفضل شكل ممكن على تقييم أولي على نوع المحتوى الذي تريد الوصول إليه ، والموارد المتاحة لديك ، ومخاطر القيام بذلك.

إن أدوات التغلب على حجب الانترنت, والفلترة والمراقبة مصممة للتعامل مع مختلف العقبات والتهديدات. وقد تقدم:

• التحايل على الرقابة : مما يتيح لك قراءة أو كتابة المحتوى، إرسال أو استقبال المعلومات ، أو التواصل مع أشخاص معينين، والمواقع أو الخدمات من خلال تجاوز محاولات منعك من القيام بذلك. بشكل مشابه لعملية التخزين المؤقت الخاص بجوجل, أو مجمّعات RSS التي يمكن استخدامها للوصول إلى المواقع المحجوبة بشكل غير مباشر.
• منع التنصت : حفظ الاتصالات الخاصة ، بحيث لا أحد يستطيع أن يرى أو يسمع مضمون عمليات التواصل التي تقوم بها (حتى لو كان لا يزال قادرا معرفة من الذي تتواصل معه). الأدوات التي تحاول التحايل على الرقابة دون أن تمنع أيضاً التنصت قد تبقى عرضةً للرقابة عن طريق فلاتر الكلمات المفتاحية التي تحجب جميع الاتصالات التي تحتوي على الكلمات الممنوعة. على سبيل المثال, أشكال مختلفة من التشفير, مثل HTTPS أو SSH تجعل المعلومات غير مقروءة لأي شخص عدا المُرسل والمُستقبل. سوف يتمكن المتنصت من رؤية أي مستخدم يتصل بأي مخدم ويب, لكنه لا يستطيع أن يرى من المحتوى سوى سلسلة من المحارف التي تبدو غير مفهومة.
• البقاء مجهول الهوية : القدرة على التواصل بحيث لا يمكن لأحد أن يربطك بالمعلومات أو الأشخاص الذين تتواصل معهم-- لا المشغل الخاص باتصالك بالانترنت ولا المواقع أو الأشخاص الذين تتواصل معهم. العديد من مخدمات البروكسي وأدواته لا توفر إخفاءاً كاملاً للهوية أو لا توفره على الإطلاق: يستطيع مشغل البروكسي أن يراقب الحركة التي تدخل وتخرج من البروكسي ويستطيع بسهولة أن يحدد من الذي يقوم بإرسالها, عندما يقومون بإرسالها, وكم مرة يقومون بإرسالها. إن المراقب الخبيث على أي من جانبي الاتصال قادر على جمع نفس المعلومات. تم تصميم أدوات مثل Tor لتجعل من الصعب على المهاجمين جمع هذا النوع مع المعلومات حول المستخدمين عن طريق الحد من كمية المعلومات التي تستطيع أن تحصل عليها أي عقدة في الشبكة حول هوية المستخدم أو موقعه.
• إخفاء ما تقوم به : إخفاء الاتصالات التي ترسلها بحيث لا يستطيع من يتجسس عليك معرفة أنك تحاول الالتفاف على الرقابة. على سبيل المثال ، إخفاء المعلومات ، واخفاء الرسائل النصية داخل ملف صورة عادية ، قد تخفي بشكل كامل أنك تستخدم أداة للتحايل. استخدام شبكة مع عدد متنوع من المستخدمين يعني بأن خصمك لا يستطيع تحديد ما الذي تقوم به بسبب خيارك من البرامج. هذا جيد بشكل خاص عندما يستخدم الآخرون نفس النظام للوصول إلى محتوى غير مثير للجدل.

بعض الأدوات تحمي اتصالك بطريقة واحدة فقط من هذه الطرق. على سبيل المثال ، يمكن للكثير من البروكسيات الالتفاف على الرقابة ولكنها لا تمنع التنصت. من المهم أن تفهم أنك قد تحتاج إلى مجموعة من الأدوات لتحقيق هدفك.

كل نوع من الحماية مناسب لمجموعة مختلفة من الأشخاص في حالات مختلفة. عند اختيار الأدوات التي تتجاوز الرقابة على الإنترنت ، يجب أن تضع في اعتبارك ما نوع الحماية التي تحتاج إليها وفيما إذا كانت مجموعة الأدوات التي تستخدمها يمكن أن توفر هذا النوع من الحماية. على سبيل المثال ، ماذا سيحدث إذا اكتشف أحدهم أنك تحاول التحايل على نظام الرقابة؟ هل الوصول هو مصدر اهتمامك الرئيسي, أم أنك تريد أن تبقى مجهول الهوية أثناء قيامك بذلك؟

في بعض الأحيان ، يمكن استخدام أداة واحدة للتغلب على الرقابة وحماية الهوية، ولكن الخطوات لكل منها مختلفة. على سبيل المثال, شاع استخدام Tor لكلا الهدفين, لكن مستخدمي Tor المهمتون غالباً بواحد من الأسباب أو بآخر يستخدمون Tor بشكل مختلف. لأسباب تتعلق بإخفاء الهوية, من المهم أن تستخدم متصفح الويب الذي يأتي مع Tor لأنه قد تم تعديله لمنع تسرب هويتك الحقيقية.

تحذير هام

معظم أدوات التحايل يمكن كشفها ببعض الجهد الكافي من قِبل مشغلي الشبكة أو الوكالات الحكومية, بما أن الحركة التي تولدها قد تُظهر أنماطاً مميزة. وهذا صحيح بالتأكيد بالنسبة لوسائل التحايل التي لا تستخدم التشفير, لكن يمكن أن يكون الأمر صحيحاً بالنسبة للوسائل التي تفعل ذلك. من الصعب جداً الحفاظ على سرية الحقيقة بأنك تستخدم تقنية للتحايل على الفلترة, خاصة إذا ما كنت تستخدم تقنية شائعة أو تتابع باستخدام نفس الخدمة أو الطريقة لفترة طويلة من الوقت. أيضا, هناك طرق لا تعتمد على التكنولوجيا لاكتشاف سلوكك الخاص: الملاحظة الشخصية, المراقبة, أو العديد من الأشكال التقليدية الأخرى التي يستخدمها الإنسان في جمع المعلومات.

ليس بإمكاننا تقديم مشورة محددة بشأن تحليل التهديد أو اختيار الأدوات اللازمة لمواجهة التهديدات. المخاطر تختلف في كل حالة وكل بلد ، وكثيرا ما تتغير. عليك أن تتوقع دائماً بأن أولئك الذين يحاولون تقييد الاتصالات أو النشاطات سيواصلون تحسين أساليبهم.

إذا كنت تفعل شيئاً قد يعرضك للخطر في مكان تواجدك, عليك أن تطلق أحكامك الخاصة حول أمنك و استشارة الخبراء (إن أمكن).

• في معظم الأحيان ، سوف تضطر إلى الاعتماد على الخدمات المقدمة من قبل شخص غريب. كن على علم بأنهم قد يملكون وصولاً إلى المعلومات حول مكانك، والمواقع التي تزورها ، وحتى كلمات المرور التي تدخلها على مواقع ويب غير مشفرة. حتى لو كنت تعرف وتثق في الشخص الذي يشغل بروكسي بعقدة واحدة أو الشبكة الخاصة الافتراضية VPN، قد يكون تم اختراقهم أو إجبارهم على تقديم معلوماتك الخاصة.
• تذكر بأن الوعود حول إخفاء الهوية والأمن التي تطلقها أنظمة مختلفة قد لا تكون دقيقة. إبحث عن تأكيد من مصدر مستقل. يمكن تقييم أدوات المصدر المفتوح من قبل الاصدقاء البارعين في امور التكنولوجيا. يمكن اكتشاف الثغرات الأمنية في الأدوات مفتوحة المصدر وإصلاحها من قبل المتطوعين. من الصعب أن تفعل الشيء نفسه مع البرمجيات الاحتكارية.
• تحقيق إخفاء الهوية أو الأمن قد يتطلب منك أن تكون منضبطاً وأن تتبع بعناية إجراءات وممارسات أمنية معينة. تجاهل الإجراءات الأمنية قد يؤدي إلى الحد بشكل كبير من الحماية الأمنية التي تتلقاها. فمن الخطورة بمكان أن نعتقد أنه من الممكن أن يكون هناك "حل بكبسة واحدة" لإخفاء الهوية أو الأمن. على سبيل المثال ، توجيه حركة المرور الخاصة بك من خلال بروكسي أو من خلال Tor لا يكفي. تأكد من استخدام التشفير ، والحفاظ على جهاز الكمبيوتر الخاص بك آمناً وتجنب تسريب الهوية الخاصة بك في المحتوى الذي تنشره.
• كن على حذر بأن الأشخاص (أو الحكومات) يستطيعون إنشاء جرار العسل honeypots - وهي مواقع ومخدمات بروكسي مزيفة تتظاهر بأنها تقدم الاتصال الآمن أو تجاوز الرقابة لكنها في الواقع تلتقط اتصالات المستخدمين غير المنتبهين.
• أحياناً, حتى ما يسمى بالـ "Policeware" قد يتم تنصيبه على أجهزة المستخدمين - إما عن بعد أو بشكل مباشر- والتي تتصرف مثل البرمجيات الخبيثة, تراقب جميع النشاطات على الكمبيوتر حتى عندما لا تكون متصلة بالانترنت وتقوم بتقويض معظم التدابير الأمنية الأخرى.
• التفت الى التهديدات غير التقنية. ماذا يحدث اذا كان هناك من سرق جهاز الكمبيوتر أو الهاتف النقال الخاص بك أو بصديقك المفضل؟ ماذا لو كان أحد موظفي مقاهي الانترنت ينظر من فوق كتفك أو يحرك كاميرا إلى شاشتك أو لوحة مفاتيحك؟ ما الذي سيحدث لو جلس أحدهم على جهاز كمبيوتر في مقهى انترنت في مكان ما حيث نسيت صديقتك تسجيل الخروج وأرسل لك رسالة يتظاهر فيها بأنها قادمة منها؟ ماذا لو تم القبض على شخص في شبكتك الاجتماعية وأجبروه على إعطاء كلمات السر؟
• إذا كان هناك قوانين أو لوائح تقيد أو تحظر المواد التي تصل إليها أو النشاطات التي تقوم بها, كن على بينة من العواقب المحتملة.

لمعرفة المزيد حول الأمن الرقمي والخصوصية ، إقرأ:

http://www.frontlinedefenders.org/manual/en/esecman/intro.html
http://security.ngoinabox.org/html/en/index.html

Follow @KAMINDOZ Tweet

بحث حول التخفي والتحايل على شبكة الانترنت #proxy #hiden #بروكسيات

مقدمة

في العاشر من كانون الأول/ديسمبر من العام 1948, أطلق تبني الجمعية العامة للإعلان العالمي لحقوق الإنسان عهداً جديداً. ووصفه الباحث اللبناني شارل حبيب مالك للوفود المجتمعة على النحو التالي :

تعهد كل عضو من أعضاء الامم المتحدة رسمياً بتحقيق احترام ومراعاة حقوق الإنسان. لكن, لم يقل أحد لنا مسبقاً ما هي هذه الحقوق على وجه التحديد, لا في الميثاق ولا في أي وثيقة وطنية أخرى. هذه هي المرة الأولى التي يُنص فيها على مبادىء حقوق الإنسان والحريات الأساسية رسمياً وبالتفصيل الدقيق. أنا أعرف الآن ما الذي عهدت به حكومتي إلى نفسها كي تشجع عليه, تحققه, وتراقبه. ... أستطيع أن أجادل حكومتي, وإذا كانت لا تفي بعهودها, فسوف أشعر بالدعم المعنوي من العالم بأسره.

وكان من بين الحقوق الأساسية التي وصفها الإعلان العالمي ، في المادة 19 ، الحق في حرية التعبير:

لكل فرد الحق في حرية الرأي والتعبير ، ويشمل هذا الحق حريته في اعتناق الآراء دون مضايقة ، وفي التماس وتلقي ونقل المعلومات والأفكار من خلال أي وسيلة ودونما اعتبار للحدود.

لم يكن أحد ليتصور عندما كُتبت تلك الكلمات منذ ستين عاماً مضت كيف ستقوم ظاهرة الانترنت العالمية بتوسيع قدرة الناس على "التماس وتلقي ونقل المعلومات", وليس فقط عبر الحدود ولكن بسرعات مذهلة وبصيغ يمكن نسخها وتحريرها والتلاعب وبها وإعادة جمعها و مشاركتها مع مجموعات صغيرة أو كبيرة من الجمهور وبطرق تختلف اختلافاً جوهرياً عن وسائل الاتصال المتاحة في العام 1948.

معلومات أكثر في أماكن أكثر مما كان يمكن تصوره

كان للنمو الذي لا يصدق خلال السنوات القليلة الماضية فيما يتعلق بالانترنت وأماكن توفرها الأثر على صنع جزء واسع بشكل لا يمكن تصوره على المعرفة والنشاط البشري والذي وُجد فجأة في اماكن غير متوقعة: مستشفى في قرية جبلية نائية, غرفة نوم ابنك ذو الـ 12 عاماً, غرفة الاجتماعات حيث تعرض لزملائك المقربين تصميم منتجكم الجديد الذي سيضعكم في صدارة منافسيكم, وفي منزل جدتك.

في جميع هذه الأماكن, تفتح إمكانية الاتصال بالعالم فرصاً رائعة كثيرة لتحسين حياة الناس. عندما تواجه مرضاً نادراً في إجازة, قد تتمكن مستشفى القرية النائية من إنقاذ حياتك عن طريق إرسال نتائج فحوصاتك إلى طبيب مختص في العاصمة, أو حتى في دولة أخرى. إبنتك ذو الـ 12 عاماً تستطيع أن تبحث مشروعها المدرسي أو تقوم بصنع الصداقات مع الأولاد من دول أخرى. وتستطيع أنت أن تعرض تصميم منتجك الجديد في نفس الوقت مع المدراء في مكاتبهم حول العالم والذين يستطيعون مساعدتك لتحسينه. وتستطيع جدتك أن ترسل لك وصفة فطيرة التفاح المفضلة لديها عبر البريد الالكتروني في الوقت المناسب بالنسبة لك كي تخبزها كتحلية على العشاء.

لكن الانترنت لا تحتوي فقط على على المعلومات المناسبة والتثقيفية, ولا تقتصر على الصداقات وفطيرة التفاح. مثل العالم نفسه, فهي واسعة ومعقدة ومخيفة في كثير من الأحيان. فهي متاحة للخبثاء من الناس, والجشعين وعديمي الضمير والشرف وليس كما هو الحال بالنسبة لك أو لابنتك ذات الـ 12 عاماً أو ابنك أو جدتك.

لا أحد يريد أن يدعو العالم بأسره

إن أفضل وأسوأ مافي الطبيعة البشرية ينعكس على شبكة الانترنت وأصبحت بعض أنواع الخداع والمضايقات أسهل بكثير بفضل التكنولوجيا, لذا فلا ينبغي أن يستغرب أحد من أن نمو الانترنت قد توازى مع محاولات للتحكم في كيفية استخدام الناس لها. هناك دوافع كثيرة ومختلفة لهذه المحاولات. وهذه الأهداف تشمل:

• حماية الأطفال من المواد التي تعتبر غير ملائمة ، أو الحد من اتصالهم مع الناس الذين قد يضرّوا بهم.
• الحد من سيل العروض التجارية غير المرغوب بها عن طريق البريد الالكتروني أو على شبكة الإنترنت.
• السيطرة على حجم تدفق البيانات الذي يستطيع مستخدم واحد الوصول إليه في وقت واحد.
• منع الموظفين من تبادل المعلومات التي ينظر إليها على أنها ملكية خاصة لصاحب العمل ، أو من استخدام وقتهم في العمل أو الموارد التقنية لصاحب العمل من أجل الأنشطة الشخصية.
• تقييد الوصول إلى مواد أو أنشطة محظورة أو خاضعة لقوانين قضائية معينة (على سبيل المثال دولة أو منظمة مثل المدرسة) وذلك مثل المواد الجنسية الصريحة أو العنف أو المخدرات أو الكحول والقمار والدعارة ، ومعلومات حول جماعات دينية و سياسية أو غيرها من الجماعات أو الأفكار التي تعتبر خطرة.

بعض هذه المخاوف تتضمن السماح للناس التحكم بتجربتهم الخاصة للإنترنت (على سبيل المثال ، السماح للناس باستخدام أدوات فلترة البريد المزعج لمنع الرسائل غير المرغوب بها من الوصول إلى حسابات البريد الإلكتروني الخاصة بهم) ، ولكن هناك مخاوف أخرى تنطوي على تقييد كيف يمكن للآخرين استخدام الإنترنت وما الذي يستطيع هؤلاء الآخرين الوصول أو عدم الوصول إليه. تسبب الحالة الأخيرة صراعات وخلافات كبيرة عندما يجد الناس الذين تم تقييد وصولهم بأن المنع غير مناسب أو لا يصب في مصلحتهم.

من الذي يقوم بفلترة أو حجب الانترنت؟

تتعدد أنواع الأشخاص والمؤسسات التي تحاول تقييد استخدام الانترنت على أشخاص معينيين بحسب تنوع أهدافهم. وهي تشمل الآباء والأمهات والمدارس والشركات التجارية ومشغلي مقاهي الإنترنت أو مزودي خدمة الانترنت (ISPs) ، والحكومات على مختلف المستويات.

إن أقصى درجة من درجات التحكم بالانترنت هو أن تحاول حكومة وطنية الحد من قدرة جميع سكانها على استخدام الانترنت للوصول إلى فئات كاملة من المعلومات أو لتبادل المعلومات بحرّية مع العالم الخارجي. وثّق بحث أجرته مبادرة الشبكة المفتوحة OpenNet Initiative وموقعها http://opennet.net الطرق العديدة التي تستخدمها الدول لفلترة وحجب الوصول إلى الانترنت عن مواطنيها. وهذا يشمل دولاً تتفشى فيها سياسات الفلترة والتي تبين أنها تقوم وبشكل روتيني بحجب الوصول إلى منظمات حقوق الإنسان والأخبار والمدونات وخدمات الويب التي تتحدى الوضع الراهن أو التي تُعتبر مُهدِدة أو غير مرغوب بها. دولٌ أخرى تقوم بحجب فئة واحدة من محتوى الانترنت, او بشكل متقطع لمواقع محددة أو لخدمات الشبكة التي تتزامن مع أحداث استراتيجية مثل الانتخابات أو المظاهرات العامة. حتى البلدان التي تتمتع بشكل عام بحماية قوية لحرية التعبير تحاول أحياناً الحد من أو مراقبة استخدام الانترنت فيما يتصل بالمواد الإباحية, وما يسمى بـ "خطاب الكراهية", و الإرهاب والأنشطة الإجرامية الأخرى, والاتصالات العسكرية أو الديبلوماسية المسربة, أو التعدي على قوانين حقوق الطبع والنشر.

الفلترة تؤدي إلى المراقبة

ويمكن أيضاً لأي من هذه الجماعات الرسمية أو الخاصة استخدام تقنيات مختلفة لرصد نشاط الإنترنت الصادر عن الأشخاص الذين يشعرون بالقلق حيالهم ، للتأكد من أن محاولاتهم للتقييد تعمل بنجاح. هذا يتراوح من الآباء الذين يلقون النظر من فوق أكتاف أبنائهم أو يبحثون عن المواقع التي تمت زيارتها على جهاز الكمبيوتر الخاص بالطفل, إلى الشركات التي تقوم بمراقبة البريد الالكتروني للموظفين, إلى وكالات تطبيق القانون التي تطالب بالمعلومات من مقدمي خدمات الانترنت أو حتى الاستيلاء على جهاز الكمبيوتر في منزلك بحثاً عن أدلة على أنك كنت تعمل في أنشطة "غير مرغوب بها".

متى تكون الرقابة؟

اعتماداً على من يقوم بتقييد الوصول إلى الانترنت و/أو من يراقب استخدامه, ووجهة نظر الشخص الذي يتم تقييد وصوله, أي من هذه الأهداف تقريباً و أي من هذه الأساليب المستخدمة لتحقيقها يمكن أن يُنظر إليها على أنها مشروعة وضرورية أو على أنها رقابة غير مقبولة و تشكل انتهاكاً لحقوق الإنسان الأساسية. الصبي في سن المراهقة الذي تقوم مدرسته بمنعه من الوصول إلى موقع ألعابه المفضلة او مواقع الشبكات الاجتماعية مثل فيسبوك قد يشعر بأن حريته الشخصية قد اختُصرت بنفس القدر الذي يشعر به شخص قامت حكومته بمنعه من قرائة صحيفة الكترونية حول المعارضة السياسية.

من هو بالضبط الذي يمنع وصولي إلى الانترنت؟

إن القادر على تقييد الوصول إلى الإنترنت على أي جهاز كمبيوتر معين في أي بلد معين يعتمد على من لديه القدرة على التحكم في أجزاء معينة من البنية التحتية التقنية.ويمكن أن تستند هذه السيطرة على العلاقات أو الشروط المعمول بها قانونا ، أو على قدرة الهيئات الحكومية أو غيرها على الضغط على أولئك الذين لديهم السيطرة القانونية على البنية التحتية التقنية للامتثال لطلبات لحجب أو فلترة أو جمع المعلومات. تخضع أجزاء كثيرة من البنية التحتية الدولية التي تدعم شبكة الإنترنت لسيطرة الحكومات أو الوكالات التي تسيطر عليها الحكومة، أي من هذه الجهات قد تبسط سيطرتها، وفقا للقانون المحلي أو لا.

قد تكون فلترة أو حجب أجزاء من الانترنت صارمة أو خفيفة جداً, واضحة المعالم أو غير مرئية تقريباً. تعترف بعض الدول علناً بممارسة الحجب فضلاً عن استبدال المواقع المحجوبة برسائل توضيحية. بلدانٌ أخرى ليس لديها معايير واضحة وتعتمد أحياناً على الفهم بطريقة غير رسمية وعدم اليقين للضغط على مزودي خدمة الانترنت من أجل الفلترة. في بعض الاماكن تأتي الفلترة متنكرة بشكل أعطال فنية ولا تقوم الحكومات بتحمل المسؤولية علناً أو بتأكيد الحجب المتعمد. قد يقوم مشغلوا الشبكات المختلفة وحتى من هم في نفس البلد ويخضعون لنفس القوانين بتنفيذ الفلترة بطرق مختلفة تماماً بسبب الحذر والجهل التقني أو المنافسة التجارية.

على جميع مستويات الفلترة الممكنة, من الفردية إلى الوطنية, فالصعوبات التقنية لحجب ما يُعتبر غير مرغوبٍ به بشكل دقيق قد يكون له عواقب غير متوقعة ومثيرة للسخرية غالباً. الفلاتر "الصديقة للأسرة" والتي تهدف إلى حجب المواد الجنسية منعت الوصول إلى معلومات صحية مفيدة. قد تؤدي محاولات حجب البريد المزعج إلى فلترة مراسلات تجارية هامة. محاولات منع الوصول إلى مواقع إخبارية معينة قد تمنع أيضاً الموارد التعليمية.

ما هي الطرق المتبعة لتجاوز الفلترة؟

في الوقت الذي يرى فيه العديد من الأفراد والشركات والحكومات الانترنت كمصدر للمعلومات الخطيرة التي يجب أن يتم السيطرة عليها, هناك العديد من الأفراد والمجموعات التي تعمل بجد لضمان أن شبكة الانترنت والمعلومات الموجودة فيها متاحة مجاناً لجميع من يريدها. هؤلاء الناس لديهم دوافع كثيرة ومختلفة تماماً كهؤلاء الذين يسعون إلى السيطرة على الإنترنت. ومع ذلك, بالنسبة للشخص الذي يتم تقييد وصوله إلى الانترنت والذي يريد أن يفعل شيئاً حيال ذلك, فإنه قد لا يهتم إذا ما تم تطوير تلك الأدوات من قِبل شخص يريد الدردشة مع صديقته أو كتابة وثيقة سياسية أو إرسال الرسائل غير المرغوب بها.

هناك كمية هائلة من الطاقة ، من مجموعات تجارية وغير ربحية و من المتطوعين ، مكرسة لخلق أدوات وتقنيات لتجاوز الرقابة على الإنترنت، مما أسفر عن عدد من الطرق لتجاوز فلاتر الإنترنت. مُجتمعةً تسمى هذه الأساليب بأساليب التحايل ، ويمكن أن تتراوح من حيل بسيطة ، وحماية الممرات ، إلى برامج الكمبيوتر المعقدة.ومع ذلك ، فجميعها تقريباً تعمل بنفس الطريقة. فهي تعطي التعليمات لمتصفح الويب لأخذ مسار من خلال كمبيوتر وسيط, يُدعى بالوكيل (البروكسي) والذي:

• يقع في مكان ما لا يخضع للرقابة على الإنترنت
• لم يتم حجبه من موقعك
• يعرف كيف يجلب ويعيد المحتوى للمستخدمين من أمثالك.

ما هي مخاطر استخدام أدوات التحايل؟

أنت فقط, الشخص الذي يأمل بتجاوز القيود على وصولك إلى الانترنت, يستطيع أن يقرر فيما لو كانت هناك مخاطر كبيرة في الوصول إلى المعلومة التي تريدها, و أنت فقط يمكنك أن تقرر ما إذا كانت الفوائد تفوق المخاطر. قد لا يكون هناك قانون يحظر على وجه التحديد المعلومات التي تريدها أو فعل الوصول إليها. من ناحية أخرى ، عدم وجود عقوبات قانونية لا يعني انك لا تخاطر بعواقب أخرى ، مثل المضايقة ، وفقدان وظيفتك ، أو ما هو أسوأ.

الفصول التالية تناقش كيف تعمل شبكة الإنترنت ، وتصف أشكالاً مختلفة من الرقابة على الانترنت ، و تفصّل في عدد من الأدوات والتقنيات التي يمكن أن تساعدك على الالتفاف على هذه الحواجز التي تعترض حرية التعبير. سيتم الأخذ بعين الاعتبار القضية الرئيسية المتعلقة بالخصوصية الرقمية والأمن في جميع أنحاء الكتاب ، الذي يبدأ بتغطية الأساسيات ، ثم يتناول عددا من المواضيع المتقدمة قبل أن يغلق مع قسم مختصر مخصص لأصحاب المواقع والمتخصصين في الحاسوب الذين يريدون مساعدة الآخرين في تجاوز الرقابة على الإنترنت.

بداية سريعة

تكون الانترنت مُراقبة عندما يمنع الأشخاص أو المجموعات التي تسيطر على الانترنت المستخدمين من الوصول إلى محتويات أو خدمات معينة.

تأخذ الرقابة على الإنترنت أشكالا عديدة. على سبيل المثال, قد تحجب الحكومات خدمات البريد الالكتروني العادية من أجل إجبار المواطنين على استخدام البريد الالكتروني الخاص بالحكومة والذي تسهل مراقبته وفلترته أو إيقافه. يستطيع الآباء التحكم بالمحتوى الذي يصل إليه أطفالهم القاصرين. قد تقوم الجامعة بمنع الطلاب من الوصول إلى الفيسبوك من المكتبة. ويمكن لصاحب مقهى الانترنت حجب خدمات مشاركة الملفات من النوع (نظير إلى نظير) peer-to-peer. قد تفرض الحكومات الاستبدادية الرقابة على تقارير انتهاكات حقوق الإنسان أو الانتخابات الأخيرة المسروقة. يمتلك الناس وجهات نظرة متفاوتة بشكل كبير حول شرعية أو عدم شرعية هذه الأشكال.

التحايل

التحايل هو فعل تجاوز الرقابة على الإنترنت. هناك طرق عديدة للقيام بذلك ، ولكن تقريباً فجميع أدوات التحايل تعمل بنفس الطريقة. فهي تعطي التعليمات لمتصفح الويب لأخذ مسار من خلال كمبيوتر وسيط, يُدعى بالوكيل (البروكسي) والذي:

• يقع في مكان ما لا يخضع للرقابة على الإنترنت
• لم يتم حجبه من موقعك
• يعرف كيف يجلب ويعيد المحتوى للمستخدمين من أمثالك.

الامن وإخفاء الهوية

ضع في عين الاعتبار بأنه لا توجد أداة تقدم الحل الأمثل لحالتك. تقدم الأدوات المختلفة درجات متفاوتة من الأمن, ولكن التكنولوجيا لا يمكنها إنهاء المخاطر الملموسة التي تتخذها بمعارضتك لأصحاب السلطة. يحتوي هذا الكتاب على عدة فصول تشرح كيف تعمل الإنترنت وهو أمر مهم لفهم كيف تكون أكثر أمنا أثناء تجاوزك للرقابة.

هناك العديد من الاختلافات

بعض الأدوات تعمل فقط مع متصفح الويب الخاص بك, بينما البعض الآخر قد يُطبق على برامج عديدة في نفس الوقت. وهذه البرامج لابد أن يتم إعدادها كي ترسل حركة الانترنت عبر بروكسي. بقليل من الصبر الإضافي, تستطيع أن تفعل كل هذا دون تركيب أي برنامج على جهاز الكمبيوتر الخاص بك. لاحظ أن الأدوات التي تجلب لك صفحات الويب قد لا تقوم بعرض الموقع بشكل صحيح.

تستخدم بعض الأدوات أكثر من جهاز كمبيوتر واحد وسيط من أجل إخفاء حقيقة أنك تزور الخدمات المحظورة. هذا أيضاً يخفي نشاطاتك من مزوّد الأداة مما يمكن أن يكون مهماً من أجل عدم الكشف عن هويتك. قد تمتلك الأداة طريقة ذكية للتعلم عن بروكسيات بديلة قد تقوم بالاتصال بها في حال تم فرض الرقابة على البروكسيات نفسها التي تستخدمها. بشكل مثالي, فحركة المرور التي يتم توليدها من قِبل جميع طلبات الاتصال تلك, وجلب المعلومات وإرسالها تكون مشفرة من أجل حمايتها من أعين المتطلفين.

لكن من المؤكد تقريباً بأن اختيار الأداة المناسبة لحالتك الخاصة هو ليس القرار الأكثر أهمية الذي ستتخده عندما يتعلق الأمر بالوصول أو بإنتاج المحتوى في مواجهة الرقابة على الانترنت. على الرغم من أنه من الصعب تقديم نصيحة معينة في مثل هذه الأشياء ، من المهم أن تقضي وقتك في التفكير حول السياق ، مثل :

• كيف ومتى ، وأين تنوي استخدام هذه الأدوات
• من الذي قد يقوم بمنعك من القيام بالأشياء التي تسمح لك الأدوات بالقيام بها
• ما هو مدى قوة تلك المنظمات والأفراد التي تعارض هذا الاستخدام
• ماهي الموارد التي تقع تحت تصرفهم لمساعدتهم في الوصول إلى نتائجهم المرجوة, وبما يصل إلى استخدام العنف.

الوصول إلى معظم المواقع المحجوبة بدون برامج إضافية

إن أبسط أنواع أدوات التحايل هو الويب بروكسي. في حين أن هناك العديد من الأسباب التي قد لا تجعله الحل الأمثل بالنسبة لك ، لكن لأغراض التحايل الأساسية غالبا ما يكون بداية جيدة. على فرض أنه لم يتم حجبه من موقعك بعد, قم بزيارة العنوان التالي: http://sesaweenglishforum.net

قم بقبول شروط الاستخدام, وأدخل عنوان الموقع المحجوب الذي ترغب بزيارته في شريط العنوان الازرق:

إضغط على زر Enter أو انقر على Go, وإذا انتقل بنجاح إلى الموقع المطلوب فهذا يعني أنه يعمل. إذا كان الرابط أعلاه لا يعمل ، سوف تضطر إلى البحث عن أسلوب بديل للتحايل. إن الفصول المتعلقة بالويب بروكسي و الـ Psiphon في هذا الكتاب تقدم القليل من النصائح حول العثور على ويب بروكسي و الكثير من النصائح حول تحديد ما إذا كان عليك استخدامه أو لا حالما عثرت عليه.

إذا كنت تريد الوصول إلى كامل الميزات التي يقدمها موقع معقد مثل الفيسبوك فقد يتوجب عليك استخدام أداة بسيطة وقابلة للتركيب مثل Ultrasurf عوضاً عن الويب بروكسي. إذا كنت ترغب أو تحتاج إلى حل قد اجتاز اختبارات أمنية مشددة والتي يمكن أن تساعدك على عدم الكشف عن هويتك دون اشتراط أن تعرف من يدير الخدمة فعلياً, يجب عليك استخدام Tor. اذا كنت بحاجة الى الوصول إلى موارد الإنترنت الأخرى التي تم حجبها وليس مواقع الويب فقط ، مثل منصات التراسل الفوري أو خوادم البريد الإلكتروني التي تم حجبها (من النوع المُستخدَم من قبل برامج مثل موزيلا ثندربيرد أو مايكروسوفت أوتلوك) ، قد ترغب بتجربة HotSpot Shield أو خدمة OpenVPN أخرى. جميع هذه الادوات, والتي تمتلك الفصول الخاصة بها لاحقاً في الكتاب, مشروحة بشكل تفصيلي أدناه.

الوصول إلى جميع المواقع والمنصات المحجوبة

Ultrasurf هو أداة بروكسي مجانية لنظام التشغيل ويندوز والتي يمكن تحميلها من http://www.ultrareach.com/,http://www.ultrareach.net/ أو http://www.wujie.net/. الملف المضغوط من نوع Zip يجب أن يتم فك ضغطه بالضغط بالزر الأيمن واختيار "...Extract All". الملف الناتج من نوع exe. يمكن أن يتم تشغيله مباشرةً (حتى من أقراص التخزين USB داخل مقهى انترنت) من دون تثبيت.

يقوم Ultrasurf بالاتصال أوتوماتيكياً و سيقوم بفتح نسخة جديدة من متصفح الانترنت اكسبلورر والتي تستطيع استخدامها لفتح المواقع المحجوبة.

تجاوز الفلاتر والبقاء مجهول الهوية على الويب

Tor هو عبارة عن شبكة معقدة من خوادم البروكسي. وهو برنامج مجاني ومفتوح المصدر تم تطويره أساساً للسماح بتصفح الانترنت بشكل مجهول الهوية, لكنه أيضاً أداة ممتازة لتجاوز الرقابة. حزمة متصفح Tor لويندوز, ماك أو إس إكس أو جنو/لينوكس يمكن تحميلها منhttps://www.torproject.org/download/download.html.en. في حال كان موقع torproject.org محجوباً لديك, تستطيع العثور على مواقع أخرى للتحميل عبر كتابة "tor mirror" في محرك البحث المفضل لديك أو عبر إرسال رسالة إلى gettor@torproject.org مع كلمة "help" ضمن نص الرسالة.

عند النقر على الملف الذي تم تنزيله ، فإنه سيقوم بفك ضغط نفسه إلى الموقع الذي تختاره. قد يكون هذا أيضاً داخل محرك أقراص USB ويمكن استخدامه داخل مقهى الانترنت. يمكنك بعد ذلك تشغيل Tor بالضغط على "Start Tor Browser" (تأكد من إغلاق أي تشغيل لـ Tor أو فايرفوكس قد يكون يعمل حالياً). بعد بضع ثوانٍ, يقوم Tor بتشغيل نسخة خاصة من متصفح فايرفوكس مع موقع تجريبي. إذا رأيت الرسالة الخضراء التي تقول Congratulations. Your browser is configured to use Tor." ستستطيع حينها استخدام تلك النافذة لفتح المواقع المحجوبة.

مرر كل حركة الانترنت الخاصة بك من خلال نفق آمن

إذا كنت ترغب بالوصول إلى خدمات الانترنت الاخرى غير الويب, كالبريد الالكتروني عبر برامج مثل آوتلوك أو ثندربيرد, فأحد الطرق السهلة والآمنة هي استخدام شبكة افتراضية خاصة VPN. سيقوم الـ VPN بتشفير وتمرير كامل حركة الانترنت بينك وبين كمبيوتر آخر ضمن نفق, لذا لن يقتصر على جعل جميع أنواع حركة الانترنت تظهر متشابهة لدى المتنصت, بل إن التشفير سيجعلها غير مقروءة بالنسبة لايٍ كان على طول الطريق. أثناء الاتصال مع شبكات VPN لن يرى مزود خدمة الانترنت المحتوى الخاص بك, لكنه سيكون قادراً على معرفة بأنك تتصل عن طريق VPN. بما أن العديد من الشركات العالمية تستخدم شبكات VPN للربط الآمن بين مكاتبها, فمن غير المرجح أن يتم حظر الشبكات الافتراضية بأكملها.

هوت سبوت شيلد

طريقة سهلة لتبدأ مع الشبكات الخاصة الإفتراضية VPN هي استخدام هوت سبوت شيلد Hotspot Shield هوت سبوت شيلد هو برنامج مجاني (ولكن تجاري) يقدم الـ VPN وهو متوفر لنظامي تشغيل مايكروسوفت ويندوز و ماك أو إس إكس.

لتثبيت هوت سبوت شيلد يجب تحميل البرنامج من https://www.hotspotshield.com. حجم الملف حوالي 6MB لذا قد يستغرق التحميل على اتصال ديال اب بطيء حوالي 25 دقيقة أو أكثر. للتثبيت، انقر نقرا مزدوجا فوق الملف الذي تم تحميله واتبع الخطوات التي يعرضها معالج التثبيت.

بمجرد اكتمال التثبيت ، قم بتشغيل هوت سبوت شيلد من أيقونة "Hotspot Shield Launch" على سطح المكتب أو عبر قائمة البرامج ومنها Hotspot Shield. ستفتح نافذة المتصفح مع صفحة تعرض مراحل محاولات الاتصال المختلفة مثل "Authenticating" و "Assigning IP address". حالما يتم الاتصال, سيقوم هوت سبوت شيلد بإعادة توجيهك إلى صفحة الترحيب. إضغط على "start" كي تبدأ التصفح.

لإيقاف هوت سبوت شيلد ، انقر بالزر الأيمن على أيقونة البرنامج اختر "Disconnect/OFF".

Follow @KAMINDOZ Tweet

الاحتيال على اكبر الشركات العالمية وسرقة اموالها #pentest #الهندسة_الاجتماعية #اختبار_الاخبار

من المعروف ان القرصان الالكتروني – Hacker لا يمكنه التخلى عن الهندسة الاجتماعية في اي هجوم او احتيال يقوم به بحيث ان استغلال ثغرات العقل البشري اسهل بكثير من استغلال ثغرات/اخطاء في نظام معين او بيئة برمجية معينة. طريقة خطيرة في الاحتيال الالكتروني تتعرضت لها معظم الشركات التجارية يتم من خلالها  سرقة الاف الدولارات بسهولة تامة. كيف ؟ هذا ما سنعرفه في هذا المقال.
ان معظم الشركات العالمية وخصوصا التجارية باتت تشتري بضاعتها عن طريق التواصل مع الشركات المصنعة مباشرة على الانرتنت وخصوصا على البريد الاكتروني  و هذا بسبب التطور على الصعيد التقني وما سهله الانترنت من طرق دفع و تواصل.
اكثر من 100 شركة وقعت  ضحية هذا الاحتيال الملفق بطريقة احترافية يصعب على المستخدم العادي كشفه بحيث يقوم المقرصن بالامور التالية وسوف يتم التحدث عنها بالتفصيل:

• تحديد الهدف/الشركة الضحية

بحيث يقوم المقرصن (او العصابة المقرصنة) بتحديد الهدف ومن ثم جمع المعلومات اللازمة عنه.

• اختراق البريد الالكتروني للهدف

بعد تحديد الهدف يقوم المقرصن باختراق البريد الالكتروني العائد له مما يسمح له بمراقة جميع الرسائل الالكترونية الواردة والصادرة ويبحث عن محادثة بين الشركة الهدف و شركة اخرى فيها اتفاق على تسليم بضاعة و رقم حساب مصرفي لتحويل اموال.

• تحديد صفة طرفي التواصل

بعد رصد جميع الرسائل الموجودة على البريد الالكتروني للشركة الهدف وتحديد رسائل/محادثة الكترونية بين الشركة الهدف و شركة اخرى يقوم المقرصن بتحديد صفة طرفي التواصل اي تحديد الشاركة البائعة والشركة المشترية.

• انتحال صفحة الشركة البائعة

ان انتحال صفحة الشركات على الانترنت بات امر سهل جدا حيث ان البريد الالكتروني وحده كافي لاثبات هوية الشركة، وفي هذه الحالة يقوم المقرصن اما باستخدام احد برامج تزوير البريد الالكتروني – Mailer وهذا اذا كانت الشركة تستخدم بريد الكتروني على نطاق خاص مثلا: info@companyname.com اما في حال كان بريدها الالكتروني موجود على نطاقات عالمية مثل Gmail او outlook يقوم حينها المقرصن بفتح حساب الكتروني/بريد الكتروني شبيه الى حد كبير بالبريد الالكتروني العائد للشركة البائعة (عادة يختلف بحرف واحد).
emkei.cz هو مثال للـMailer.

• ارسال رسالة الاحتيال

بعد القيام بكل ما سبق اصبح المقرصن جاهز لارسال رسالة الاحتيال التي غالبا ما تكون تزوير لرسالة اصلية ارسلت من قبل الشركة البائعة فيها اتفاق بينها وبين الشركة المشترية على تحويل الاموال على حساب مصرفي معين، فهنا يقوم المقرصن بمسح هذه الرسالة من البريد الوارد للشركة المشترية (التي تم اختراق بريدها الالكتروني سابقا) ومن ثم ارسالها مجددا من البريد الالكتروني المزور (راجع خطوة انتحال صفحة الشركة البائعة) ولكن في هذه الحالة يكون المقرصن قد غير معلومات الحساب المصرفي الاساسية (العائدة للشركة البائعة) و وضع حساب اخر عائد له. وفي بعض الاحيان لا يقوم المقرصن بمسح الرسالة الاصلية المرسلة من قبل الشركة البائعة انما يقوم بارسال رسالة اخرى ( منتحلا صفة الشركة البائعة) يعلم فيها الشركة المشترية أنه تم تغيير الحساب المصرفي الى حساب اخر وهو في الواقع حساب عائد له. وفي الحقيحة ان هذا الحساب هو حساب مصرفي فعلي ولكن يكون قد فتح ببيانات وهمية/مزورة فيقوم المقرصن بسحب الاموال من دون القدرة على الوصل اليه، وهنا تقع الشركة المشترية ضحية لهذه الاعمال الاجرامية.
ملاحظة: احيانا اذا كانت الشركة الهدف (التي تم اختراق بريدها الاكتروني في بداية الامر) هي الشركة البائعة لا يقوم المقرصن بارسال الرسالة الاحتيالة مباشة من بريدها الاكتروني انما يلجىء ايضا لتزوير بريدها الالكتروني لسببين، التخفي وعدم اعلام الشركة بانها تعرضت للاختراق.
توضيح بسيط في صورة:

نصائح

• قم دائما بالاتصال بالشركة البائعة عن طريق الهاتف للاستفسار (في حال تغيير رقم الحساب المصرفي).
• تاكد دائما من البريد الالكتروني للشركة البائعة واحرص على عدم اختلافه.
• قم في كل مرة تتلقى بها رسالة جديدة بتحديد مصدر الراسلة الواردة، وهذا ستتطرق اليه في موضوع قادم.

اعلم ان المعلومات متشعبة قليلا لكن الموضوع مفهوم اتمنى ان تعم الفائدة على الجميع.

Follow @KAMINDOZ Tweet

الحماية من الصفحات المزورة واختراق الحسابات الالكترونية #pentest #secur

الحماية من الصفحات المزورة وطريقة التمييز بينها و بين الصفحات و المواقع الاصلية.
على الرغم من ان هذه الطريقة تعتبر من اقدم الطرق المستخدمة لسرقة (قرصنة) الحسابات الالكترونية الا انها ما زالت فعالة لحد الان و الكثير من الاشخاص تقع ضحية هذا العمل الغير المشروع و تصبح لعبة في ايدي قراصنة لا يهتمون الا لمصالحهم حتى ولو كلفهم ذلك اذية اغيرهم.
العديد من الناس – وبسبب التوعية والنصائح التي توجه في هذه الايام عن القرصنة عموما و اختراق الحسابات خصوصا – باتت لا تدخل الى اي رابط من الروابط التي ترسل لها في المحدثات الفورية او حتى في الرسائل المرسة و ذلك من اجل تفادي القرصنة. لكن ماذا لو اضطررت للدخول الى رابط معين ؟

• اول خطوة يجب القيام بها من أجل تأمين الحماية هي ان يقوم المستخدم بحفظ رابط الموقع الاصلي المستخدَم. مثلا لو انك تستخدم موقع فيسبوك فاحفظ ان رابط موقع فيسبوك هو Facebook.com أو fb.com فقط و اي رابط غير ما ورد سابقا يعتبر مزورا.

توضيح :

xxxxx في الرابط المزور (و هذا مثال افتراضي للتوضيح) عادة ما تمثل موقع الاستضافة المجانية المستخدمة لرفع الصفحة المزورة، لان معظم المقرصن لا تقوم بحجز مساحة ونطاق مدفوع من أجل هذه الأعمال.

• تزوير الصفحات هو عبارة عن سحب الكود البرمجي للموقع الاصلي و اضافة بعض التعديلات عليه من الناحية البرمجية فمثلا تصبح صفحة تسجيل الدخول المزورة صفحة مطابقة بنسبة كبيرة للصفحة الاصلية الا من حيث البرمجة. فعندما تقوم الضحية بتسجيل الدخول في هذه الصفحة يتم تحويل كل ما كتبته في خانتي اسم المستخدم (او الايمايل) و الباسورد للمقرصن فيصبح الحساب تحت تصرفه.

توضيح : اذا قمت بفتح سورس الصفحة ستجد ما يلي (الشرح على موقع فيسبوك)

الكود الاصلي:

اما المزور: فنجد ان ملف الـ Login الخاص بالموقع الاصلي استبدله المقرصن بملف اخر مبرمج من قبله كما ذكرنا سابقا (وهذا مثال افتراضي للتوضيح)

الحماية من هذه الروابط لا يمكن تأمينها ببرامج خصوصا ان اختراق الحسابات بالـ Phishing (اي باستخدام الصفحات المزورة)  لا يمكن ان ينجح الا بالاعتماد على الهندسة الاجتماعية والاحتيال، اي اختراق عقل الضحية … فأنت من تحمي عقلك من الاختراق و بالتالي حساباتك الالكترونيك على الانترنت.

Follow @KAMINDOZ Tweet

بهذه الطريقة يمكن اختراق جميع حساباتك الالكترونية #الهندسة_الاجتماعية #pentest #اختراق_المواقع #اختراق_السيرفرات #اختبار الاختراق

تتعد طرق الاحتيال الالكتروني ويحاول الكثيرون سرقة المعلومات الشخصية او حسابات الكترونية و مصرفية عبر الانترنت وكل هذا لمصالح شخصية قد  يكون لها سبب واضح او يكون السبب لمجرد الاذية فقط لاغير.
اليوم واثناء تفقدي الرسائل الواردة الى بريدي الاكتروني وجدت رسالة الكترونية في مجلد  INBOX اي مجلد الرسائل الواردة بعنوان:

Someone has sent you a document with Google Docs
الترجمة: احدم ارسل لك ملف على Google Docs

وبعد فتح الرسالة التي تبدو للوهلة الاولى انها فعلا مرسلة من Google


تفاجأت بأن محتواها لا يشبه ابدا رسائل Google وخصوصا البريد الالكتروني للمرسل لا علاقة له بشركة Google بالاضافة الى الاخطاء الاملائية.
الرسالة تطلب منك الدخول الى رابط عن طريق الضغط على كلمة here.

بعد الدخول الى هذا الرابط ظهرت صفحة تطلب منك تسجيل الخول بأحدى حساباتك الالكترونية من أجل رؤية الملف المرسل، ولكن تم التدقيق بهذا الرابط فتبين انه لا علاقة له بأي نطاق عائد لـGoogle مما يؤكد انها صفحة مزورة لمجموعة من المواقع الالكترونية وذلك بهدف سرقة اكبر عدد ممكن من الحسابات الالكترونية.
وبالتالي عمدتُ الى جني بعض المعلومات عن المقرصن. فقمت في بداية الامر بتحليل Header الرسالة وعلمت ان الرسالة ارسلت من استضافة Hostgator.com (اي ان المقرصن يمتلك موقع مستضاف لدى خوادم هذه الشركة)

وبعدها قمت بالدخول الى الموقع المرتبط بالبريد الاكتروني للمرسل info@rtsegypt.com فتبين أنه موقع قيد الانشاء وصاحبه (على الارجح المقرصن) وضع بعض المعلومات الشخصية على صفحته الرئسية

وللتاكد أكثر  من صحة هذه المعلومات  قمت بسحب معلومات تسجيل النطاق من خلال موقع whois.domaintools.com فتبين ان المعلومات المستخرجة سابقا صحيحة.

وتم ابلاغ السلطات المختصة بذلك.
برغم من طول الموضوع الا انه يمكن استنتاج التالي:

• التأكد دائما من محتوى الرسالة الاكترونية.
• التاكد دائما من البريد الاكتروني للمرسل.
• عدم فتح اي روابط دون التاكد من صحتها وسلامتها.
• عدم ادخال معلومات شخصية (او معلومات لحسبات الكترونية او مصرفية)  في اي موقع قبل التأكد انه الموقع الرسمي او موقع تابع له.

Follow @KAMINDOZ Tweet

فنون الهندسة الاجتماعية – [ موضوع ممتع ] #اختبار_الاختراق #الهندسة_الاجتماعية #pentest

السلام عليكم و رحمة الله و بركاته .
الهندسة الاجتماعية , يقول اعظم القرانصة ان الهندسة الاجتماعية هي فن اختراق العقول .
سوف اريكم في هذا الموضوع , ابسط مثال على الهندسة الاجتماعية
كنت قاعد و زهقان النت , قلت هات يا رجل العب مع اصحابي  , برمجت سكربت يسرق الايبي كل من يدخل له :

<?php
//Get users IP
$ip = $_SERVER[‘REMOTE_ADDR’];
//Get URL
$addr = $_SERVER[‘REQUEST_URI’];
//Date in which they viewed your site
$d = date(“d-m-y / H:i:s”);
//Log into the text file
$log = $d . ” — ” . $ip . ” — ” . $addr . “<br />”;
$fopen = fopen(“ips.html”, “a”);
fwrite($fopen, $log);
fclose($fopen);
?>

لم اعتقد انهم سوف يدخلون له , فماذا قلت لهم .
قلت انظروا الى هذا الشيل و بيئة برمجته , وهنا بدات عملية اختراق عقل الضحية ( اهم نقطة معرفة نقطة ضعف الضحية المستهدف) لا اريد الاكمال  فقط انظروا الى الايبيات :

08-03-12 / 14:22:53 — 85.195.138.*
08-03-12 / 14:23:12 — 92.62.161.*
08-03-12 / 14:23:16 — 93.182.137.*
08-03-12 / 14:28:22 — 66.220.158.*
08-03-12 / 14:32:41 — 77.42.229.*
08-03-12 / 14:33:52 — 109.92.120.*
08-03-12 / 14:33:54 — 81.25.142.*
08-03-12 / 14:41:30 — 85.195.138.*
08-03-12 / 14:43:27 — 193.227.174.*
08-03-12 / 14:43:37 — 193.227.174.*
08-03-12 / 14:44:47 — 41.239.13.*
08-03-12 / 14:44:55 — 41.239.13.*
08-03-12 / 14:49:24 — 193.227.174.*
08-03-12 / 14:49:50 — 193.227.174.*
08-03-12 / 14:50:04 — 77.42.150.*
08-03-12 / 15:00:04 — 41.100.101.*
08-03-12 / 15:00:25 — 194.126.21.*
08-03-12 / 16:43:36 — 94.98.207.*
08-03-12 / 16:43:56 — 94.98.207.*
09-03-12 / 02:15:47 — 41.102.186.*
09-03-12 / 13:36:04 — 93.126.252.*
09-03-12 / 13:38:37 — 76.73.47.*

(ملاحظة تم اخفاء ارقام الايبيات ) , لاحظوا ان بعض الاشخاص دخلوا مرتين للسكربت  .
ليست هنا المشكلة , المشكلة قالولي الشيل معطوب يا حبيبي  , اي ان الخدعة مرت من دون ان يشك احد .
قلت لهم اسمعوا وعو , تقولون عن انقسكم قراصنة و هذه الايبيات الخاصة بكم  .
نتبه انا ما اقصد عشان هكر و اخذت الايبيات لا , اقصد للاشخاص الي قالوا لي ان الشيل معطوب .
منهم اصبح يقللي داخل مش من النت بتاعي , منهم يقللي داخل من جهاز صاحبي ,  يتبعدون , و لم يصدقوا ما فعلت .
س- لماذا :
ج – لان الهندسة الاجتماعية , اول قانون به هو الثقة بالنفس , ويجب عند دخول مرحلة الهندسة الاجتماعية تامين كل المعايير التي تجعلك واثقا من نفسك ( مثل جمع بعض المعلومات عن الضحية وحتى الشخصية منها )
بعض الاشخاص زعلوا مني   و البعض اخذها مزحة , والله ان هذه الايبيات يوجد البعض منهم لاشخاص مش ممكن تتوقعوهم , و مشهورين في عالم القرصنة .
تم الاستسماح منهم  . وعلى فكرة هذه ابسط الامور في عالم الهندسة الاجتماعية .
خلاصة الموضوع : لاتثق باحد في عالم القرصنة .

Follow @KAMINDOZ Tweet

الهندسة الاجتماعية : تعريف عام + تطبيق لسحب المعلومات عن طريق الهاتف #اختبار_الاختراق #الهندسة_الاجتماعية #pentest

السلام عليكم
شرحنا سبقا بعض الطرق التي يمكن اعتمادها اثناء عمليات الاحتيال في الهندسة الاجتماعية , بالضافة الى بعض الدروس في اختراق الحسابات. اليوم سوف نقوم بالاعتماد على الهندسة الاجتماعية لاختراق الحسابات .
مقدمة – تعريف الهندسة الاحتماعية
الهندسة الاجتماعية , وكما يسميها الكثير ” فن اختراق العقول ” , وهي عملية تقتضي بتوجيه بعض التقنيات الهجومية , لدفع الضحية الى البوح بمعلومات سرية .
الجزء الاول – تحديد الهدف + جمع المعلومات
اول خطوة يجب القيام بها قبل عملية الهجوم هي جمع المعلومات عن الضحية , مثل نقاط ضعفه  والامور التي تؤثر على جهازه النفسي , وصولا الى المعلومات الشخصية التي قد تفيدنا في هجومنا مثل رقم الهاتف , عنوان السكن , عنوان البريد الالكتروني , والاسم اذا كان الضحية مجهولا …
هناك عدة طرق لجمع المعلومات , ويجب ان تعلم ان الهندسة الاجتماعية مجال واسع , لايقتصر فقط على ببعض الطرق , فالمهاجم هو من يبتكر طرق هجومه بالنسبة لكل ضحية.
فالامر اشبه بعملية التنويم المغناطيسي , فهي تاثير كلي على نفس الضحية واعصابه .
الان تحدثنا بشكل عام , ننتقل الى الشرح الخاص الذي يعتبر تطبيقا لما ورد سابقا .
التطبيق – سحب معلومات بمجرد معرفة رقم هاتف الضحية
اول خطوة يجب القيام بها , وقما قلنا سابقا هي عملية جمع المعلومات , لكن تذكر ان عملية جمع المعلومات تختلف من ضحية لاخر .
لاحظ الصورة

جمع المعلومات

نلاحظ في الصورة بعض المعلومات عن صاحب موقع محدد ( المستهدف ) – قام اخي 13b-r1’z  بشرح هذا النوع من جمع المعلومات في درس سابق ( اضغط هنا لمشاهدته )
حسنا نتهينا من جمع المعلومات , واخضما ما يفينا منها ( المعلمة بالاحمر ) واهم شىء رقم الهاتف .
الان ننتقل الى مرحلة الهجوم , في هذا الهجوم سوف نقوم بطريقة غير مباشرة بانتحال شخصية شركة Hotmail ( شركة البريد الالكتروني بشكل عام ) , وسنقوم بارسال رسالة نصية SMS الى رقم الضحية , تخبره بانه تم تعطيل حسابه مؤقتا , وعليه الخول الى موقع ( رابط ) معين لاعادة تفعيله , هذا الرابط هو رابط لصفحة مزورة .
طبعا يجب اعتماد موقع لارسال رسال مجانية / تحديث : الموقع المستخدم في الشرح معطل
وهذا موقع اخر لارسال رسائل مجانية : (اضغط هنا ) / ثم انتظر انتهاء العدالتنازلي للصفحة الاعلانية الداعمة لموقعنا.

وطبعا بعد ان يستلم الضحية الرسالة , سوف يقتنع بنسبة 60% بمضمونها وهي نسبة ممتازة , فالاقناع من اهم الوسائل التي يجب ضمانها خلال الهجوم .

Follow @KAMINDOZ Tweet

الدرس الرابع::أخترق المنتدى بالهندسة الأجتماعية #اختبار_الاختراق #الهندسة_الاجتماعية #pentest

  بسم الله الرحمن الرحيم
نبدأ بـ الدرس الرابع ع بركة الله

درس اليوم حلو وبسيط

اليوم درسنا بعنوان " أختراق المواقع عن طريق الهندسة الأجتماعية "


رح نبدأ على بركة الله ...

الان في منتدى بدنا نخترقو باسلوب الهندسة الاجتماعية



ملاحظة :
أهم شي لازم يكون في ثقة بينك وبين الضحية ..
يعني : ( يجب أن تملك الثقة من مدير المنتدى )





الخطوات :..

1~ سجل بالمنتدى ..!!

2~ شارك وضع ردود و مواضيع متميزة لمدة بسيطة ( اسبوع تقريباً )




راقب مدير المنتدى شوف شو اهتماماتو نشاطاتو طبعاً هي طريقة سهلة
روح لعندو بالمنتدى وشوف المعلومات طبعاً بيكون واضع معلومات عنه


أنتبه :..

عند وضع المشاركات والردود حاول أن يقرأ مواضيعك وردودك



الآن انت عضو في المنتدى روح أجمع المعلومات عن مدير المنتدى
طبعاً بيكون كاتب معلوماته وبيكون كاتب ايميله

ضيف أيميله وأحكي معو بشكل طبيعي
طبعاً اذا أصر يعرف من وين جبت أيميله أحكيله انا عضو بمنتداك

ولو سألك ليه أخترت أيميل وسجلت فيه ؟؟
أحكيله لأنو منسق ومرتب ولأنو منتدى هادف ...!!

وضل أحكي معو وكبر براسه لحتى يشوف حاله

المهم ..

نروح نطبق يلي تعلمناه بالدروس السابقة
جمعنا المعلومات الآن رح نستغلها ..!!


رح نعمل مثال على الحالة الأولى .. ( الرومنسية )

تذكير : " الرومنسي يعني يعشق الأغاني الرومنسية والبنات "



مثال :
مدير المنتدى من عشاق الرومنسية

السيناريو ..

المخترق : أنا من عشاق الرومنسية وعندي بنات كثير

الضحية : طيب أبعتلي أيميلات بنات لأنو انا مليت من البنات يلي عندي بدي أجدد

المخترق : احكيله انك حافظه ببرنامج وورد وحافظه جوا مجلد ... او بأمكانك ان ترسل لة روابط فتيات
بعد الـ 7 روابط ارسل لة رابط ملغم من خلالهم لكي لا يلاحظ !

الضحية : ممكن تبعثلي ياه اذا ما عندك مانع احكيله بغير وقت لأنو مستعجل
( هيك الضحية بتكسبه ثقتك صار وقت يكسبك ثقته )

بعد فترة أرجع أفتح رح يحكي معك
المهم رح ييجي يطلب منك الملف أدمجه مع سيرفر وأبعتلو ياه
هو يستلم الملف وهو مبسوط ولما يشغله ويصلك التبليغ ..!!

هيك بتملك كمبيوتره ورح يفتح المنتدى ورح تاخد عضويته وانت مرتاااااااااح !!




الدرس صغير بس سهل وبسيط .
عندك طرق كثيرة رح تساعدك في اكساب الثقة ( أنت وشطارتك )

Follow @KAMINDOZ Tweet

الدرس الثالث من الدورة الهندسة الأجتماعية : استخدام اداه Maltego #اختبار_الاختراق #الهندسة_الاجتماعية #pentest

بسم الله الرحمن الرحيم

اللهم صل علي محمد وآل محمد

اليووم معنا الدرس ثالث استخدام اداه Maltego
 

في هذا شرح استهداف شخص معين انا حبيت استهداف الهكر مستر ماكـــس

رابط الشـــرح
http://www.gulfup.com/?3ZmzDU

الباسورد :: عدد اصحاب الامام المهدي عجل الله فرجه عند اول ظهور


عشان الوهابيه مايعرفوون

الشرح لم يتم رفعه علي يوتيوب ايضا عشان الوهابيه مايستفدون

اي سؤال انا حاظر

انتهي

KAMINDOZ TEAM

Follow @KAMINDOZ Tweet

Navama1 الدرس الثاني من دورة الهندسة الاجتماعية - مرحلة الاستهداف والحصول على كلمات المرور#اختبار_الاختراق #الهندسة_الاجتماعية #pentest

بسم الله الرحمن الرحيم
كل عام وانتم بخير


مالاحظة اسف على الصور التي ظهرت اثناء الشرح بسبب ان جميع المواقع التي مشترك بها المهندس الذي يعمل في قناة العربيه الحدث المستهدف لدينا هي مواقع اباحيه


في الدرس الاول حددنا الهدف وجمعنا معلومات عنه وعرفنا حساباته وايميلاته وكل شيء عنه
اليوم نكمل ما بدئنا ونقوم بأستغلال المعلومات التي حصلنا عليها في معرفة كلمات المرور تبع الضحية ويتم ذلك بعدة طرق منها

1- البحث عن mysqldump اي قواعد بيانات مواقع تم اختراقها ونشر معلومات المستخدمين على قوقل ومن خلالها نستطيع معرفة كلمات المرور تبع ضحيتنا
2- استهداف المواقع المشترك بها الضحية ومحاولة اختراقها للوصول الى بيانات الضحية الهدف

3- الاتصال المباشر بالضحية والحصول على كلمات المرور تبع الضحية من خلال استدراجه

4- استخدام الاسبام للوصول للهدف

جميع الطرق سوف نتوقف عندها


سوف اشرح الطريقة الاولى
وهي البحث عن تسريبات لقواعد بيانات مواقع مخترقة

الفيدو على اليوتيوب

http://www.youtube.com/watch?v=McCmLVuX4GU



تحميل الشرح

http://www.gulfup.com/?IXv96t


الباسورد
r00tnetwork.org

Follow @KAMINDOZ Tweet

الدرس الاول من دورة الهندسة الاجتماعية - مرحلة جمع المعلومات #اختبار_الاختراق #الهندسة_الاجتماعية #pentest

بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاته

الدرس الاول من دورة الهندسة الاجتماعية

عنوان الدرس

مرحلة جمع المعلومات - اليدوي

الفيديو على اليوتيوب

http://www.youtube.com/watch?v=VISdwG4_NB0



تحميل الدرس كامل

http://ad.r00tnetwork.org/925647/lessonw1


باسورد فك الضغط

r00tnetwork.org

Follow @KAMINDOZ Tweet

الهندسة الاجتماعية في اختراق الضحية #spam #pentest #botnet - #اختبار_اختراق #pentest #php #c+ #ruby #xss @local

اهلا شباب درسنا اليوم حلو ... وهو بعتمد على شكد الضحية خروف الدرس الثاني الهندسة الاجتماعية اختراق الضحية اساليب محترفي الهكرز اي مقدار اقتناع الضحية بالكلام الذي ستقوله له ... طبعأ في طريق كثيرة ... منها مثل الي قلناها في الدرس الماضي ... في الدرس الماضي قلنا لمحة عن الاختراق بالهندسة الاجتماعية ... اي خداع الضحية ... نشوف طريقة ثانية في الخداع واختراق ايميل الضحية ... تعمل ايميل نفس الدعم الفني للموقع الياهو ... اذا كان ايميل الي بدك تخترقه ياهو ... وتروح ترسل رسالة للايميل المستهدف ... تقله .. : نحن الدعم الفني للياهو ... لقد وقعت بعض المشاكل في الاونة الاخيرة .... في قاعدة البيانات الخاصة .. لاصلاح هذه المشاكل ... يرجى ارسال ايميلك في رسالة ومعها كلمة الامن السرية ... وذلك لاجراءات خاصة ... وبعدها سنرسل لك الباسورد الجديد ... ممكن تفع وممكن لأ ... لكن شوفو هذه ... بستخدموها اغلب الهكرز *^ تعمل ايميل شبيه بالدعم الفني ... ونفرض انو server3yahoo@yahoo.com, وبعدها تروح من ايميل اخر ... تبعث رسالة بعنوان اذا ارتد ان تخترق احد بسهولة ... او اي عنوان بشد الضحية ... واكتب في الرسالة ... ارسل ايميل الضحية ... وايميلك وباسوردك الى الايميل الدعم الفني الخاص التالي server3yahoo@yahoo.com, وبينلو انو كل شيء خصوصي وحصري له لحالو *^ الدرس الثاني الهندسة الاجتماعية اختراق الضحية اساليب محترفي الهكرز صدقوني ... بتنفع مع ناس كثير ... هههههه الان الطريقة الثالثة ... طريقة حلوة واكثر وحدة ممكن تعجبكم وما تنفع الا مع ايميلات الهوت ميل ... وهي ... انك تكون تكلم الصحية .. وتقلو في قروب لتعليم الهكرز على الهوت ميل ... هو الي خرّج محترفي الهكرز في العالم العربي .. وهو سري للغاية ... رح تصلك رسالة ... فيها رابط ... بتعطيني هذا الرابط ضروري من دون ما تفتحه حتى لا تضيع الدعوة الوحيدة الي معيّ ... ما في شيء يغلى عليك ... بقلك اوك ... الان بتروح بتوخذ ايميلو ... وبتروح على الهوت ميل ... وبتكتب استرجاع كلمة المرور ...رح يكون بين الخيارات ... ارسال طلب الاسترجاع على الايميل ... انت حط الخيار هذا ... طبعاً رح تصل للأخ الرسالة من الموقع باعادة تعيين كلمة المرور ... هو رح يفكرها رسالة منك عشين القروب ... بتوخذ الرابط وبتغيير كلمة المرور له ... ومبروك عليك الاختراق ... الدرس الثاني الهندسة الاجتماعية اختراق الضحية اساليب محترفي الهكرزالدرس الثاني الهندسة الاجتماعية اختراق الضحية اساليب محترفي الهكرز اخوانيّ ... هذه الطريق اسألكم بالله ان تستخدموها على اعداء الله .. والمفسدون في الارض ... اشوفكم على خير ان شاء الله بالتوفيق للجميع

Follow @KAMINDOZ Tweet