touch /home/username/.ssh/config

ثم ضع فيه الآتي
Host IPADDR
Port #
User USERNAME

أبدل IPADDR بالعنوان الحقيقي لخادم svn
أبدل # برقم المنفذ الذي تستمع عليه خدمة ssh على الخادم البعيد
أبدل USERNAME باسم المستخدم على خادم ssh

مثال
Host 1.1.1.1
Port 8022
User mtafran

الآن من الحاسوب المحلّي نفّذ الأمر التالي:
svn co svn+ssh://1.1.1.1/my/project local

ستضطر إلى إدخال كلمة المرور أكثر من مرّة ولكن بعدها سوف يتم إنشاء المجلد ووضع الملفات التي تمّ سحبها من المخزن فيه.

قد يكون هناك طرق أخرى أفضل لعمل ذلك ولكنّي وجدّت هذه الطريقة سهلة والأهم من ذلك أنهّا تعمل. إن كان لديكم طرق أخرى للقيام بنفس المهمّة فحبّذا لو تشاركونا فيها.

ssh -D PORTNUM user@server

لنفرض أننا نريد أن نعيّن المنفذ المحلّي على حاسوبنا ليكون 8080

ولنفرض أن المستخدم على الخادم البعيد هو المستخدم الجذر وأن عنوان الخادم هو 1.2.3.4 فسيكون الأمر كالتّالي:

ssh -D 8080 root@1.2.3.4

الآن على متصفحك المفضّل اختر الوسيط proxy وضع العنوان المحلي 1.2.3.4 والمنفذ المحلّي 8080 واستمتع باتصال آمن .

استخدم هذه الطريقة في ما يرضي الله عزّوجل وأنا بريء من أي استخدام خاطئ أو غير مسؤول.

قبل شهرين تعرّضت مؤسسة أباشي القائمة على مشروع خادم الويب الشهير أباشي إلى الاختراق. هذا الاختراق كان محدوداً ولم يتعرض أي من مستودعات الكود أو مراكز التحميل أو المستخدمين إلى أيّة مخاطر بحسب المؤسسة نتيجة لهذا الاختراق.

قامت المؤسسة بنشر تقرير أقل ما يقال فيه أنّه رائع يتناول هذا الاختراق. تركيزي في هذه التّدوينة هو على التقرير لا على الحدث.

What Happened؟
في هذا القسم تمّ شرح ما الذي حدث بالضبط. بعض المؤسّسات لا تدري ما الّذي حدث بالضبط بل لا يعلمون بأنّهم قدّ تمّ اختراقهم. والبعض الآخر يعلم ولكن لا يقوم باطلاع مستخدميه على أمر كهذا ما أنّ من حقهم معرفة ذلك. عملية الإبلاغ ومعرفة ماحدث بالضّبط تساعد الآخرين في أخذ الاحتياطات لهكذا وفي ذلك فائدة عظيمة للجميع.

What Worked؟
في هذا القسم تمّ عرض الخطوات التي تمّ اتخاذها وساعدت في معالجة الاختراق.

What didn’t work؟
هنا تمّ وضع بعض الأسباب التي أدّت أو ساعدت المخترقين.

What changes we are making now؟
هنا تمّ ذكر الإجراءات الجاري اتباعها لتأمين البنيّة الخاص بالمؤسسة بشكل أفضل.

التقرير بسيط لا يتجاوز الصفحتين ولكنّه مهني جدّاً ويساعد فرق المعالجة ومدراء الانظمة في حال حدوث حدث مشابه كذلك في يفيد في وضع منهج عمل لمعالجات هكذا حالات لدى الشركات التي ليس لديها خطّة عمل واضحة للتّعامل مع هكذا أحداث.

حالياً إذا لم تكن تستخدم تشفير WPA2 فابدأ باستخدامه باسرع وقت مسألة تطوير اداة تقوم بكسر تشفير ال WPA-TKIP متوفرة للعامة هي في حكم المؤكد في القريب. إذا لم يكن العتاد اللاسلكي لديك يدعم WPA2 فحان وقت شراء عتاد جديد.

ما يميّز networkminer عن tcpdump و wireshark هو أنّه يقوم بعملية تحليل وفرز أولي للبيانات المجموعة مما يجعل عملية التحقيق وتحليل البيانات المجموعة أسهل. لاحظ مثلاً الصورة التالية:

قام البرنامج بعملية فرز واظهار للصور من الحزم التي تمّ جمعها

files مثلاً يظهر جميع الملفات التي تم جمعها من أثناء تصفح المستخدمين للانترنت أو رفعهم لملفات عبر ال ftp وغير ذلك.

hosts يظهر العناوين (اسم الموقع أو الحاسب وال ip) بالإضافة إلى معلومات أخرى كما هو واضح في الصورة أدناه إحدى ميّزات البرنامج الرائعة هو احتواءه على برامج p0f وهو ما يجعله أداة جمع بيانات سلبية بمعنى أنه يقوم بجمع المعلومات بدون أن يرسل حزم في الشبكة وهو ما يجعل عملية اكتشافه صعبة. p0f يساعده على محاولة تحديد نظام التشغيل المستخدم سواء للمواقع التي تم زيارتها والأجهزة المتصلة بالشبكة.

حزمة تم التقاطها لاتصال ويظهر فيها تحديد البرنامج لنظام التشغيل المستخدم لأحد حهات الاتصال

الصورة التالية تظهر الحزم تم التقاطها لخدمة DNS على شكل استعلام وجواب.

التقاط استعلام وجواب خدمة dns

البرنامج يقوم أيضاً بالتقاط كلمات المرور غير المشفرة وفرزها ولكن اترك ذلك لكم لتجربته.

ملاحظة: قمت بترجمة كلمة forensics وهي تعني طب شرعي حرفياً إلى تحقيق يمكن ذلك ترجمتها جمع أدلة ولكن لا أعلم ترجمة دقيقة لها فإن أحد كان يعلم بذلك فالرجاء إعلامي به. وجزاكم الله خيراً.

وإن كان هؤلاء يقصدون أنظمة مايكروسوفت ما قبل ال ويندوز 2003 واكس بي الترقية الثانية فكلامهم كذلك صحيح لأن مايكروسوفت كانت تقوم بتثبيت برامج وخدمات غير ضرورية على الخوادم وحتى الانظمة العادية حتى تجعلها أكثر سهولة وحتى تنافس الانظمة الأخرى من خلال طرح خدمات مشابهة ولكن بتحكم أسهل. هذه الخدمات احتوت ثغرات كثيرة أدت الى هجمات عديدة ضد أنظمة مايكروسوفت. ولكن في الفترة نفسها كان لينكس يقوم بنفس الشيء ولهذا تم الهجوم عليه واستهدافه بشكل كبير أيضاً.

هذه الهجمات قادت إلى مبدأ في أمن المعلومات يعرف أقل الصلاحيّات وهو يعني تثبيت الخدمات الضرورية فقط وتعطيل أو حذف ما سواها. لكن إن كان الحديث عن أن الأمان في لينكس وقلّته في ويندوز سببه أن مايكروسوفت لا تهتم بالأمن فأقول أن هذا الكلام غير صحيح بالمرة. وأنا هنا لست في صدد الدفاع عن مايكروسوفت فهي لن تدفع لي أو تمنع عني مالاً. ولكن لأنّي أبحث عن نقاش مبني على أساسات علمية منطقية وليست عاطفية. أردتّ وضع تدوينة في ما أعتقد أنّه الدافع الأساسي لعمليات القرصنة الإلكترونيّة.

قديماً (في هذا المجال عشر سنوات أقل أو أكثر قليلاً تعتبر فترة طويلة ) كان هدف القرصنة الحصول على معلومات لنشرها مجاناً، اثبات الذات، التخريب على موقع، نشر وجهة نظر إلخ. لهذا كانت نتائج هذه الاعمال واضحة ويمكن رؤيتها مثل تعطيل موقع تغيير الصفحة الرئيسية التخريب….الخ. لكن هذه الأيام الامور تغييرت بشكل كبير. هذا لا يعني اننا لا نشاهد بعض نتائج القرصنة ولكن ما نشاهده هو بعض ما يقوم به أطفال السكريبت في أغلب الأحيان وليس ما تقوم به العصابات. العصابات تقوم بتشغيل جيش كامل من القراصنة المحترفين وذلك من أجل تحقيق الربح المادي. هؤلاء لا يقومون بتغيير صفحة موقع وخلافه بل على العكس يحاولون القيام بأعمالهم مع تحري عدم مقدرة الضحية على معرفة أنه قد تم اختراقه.

عندما يصبح الهدف مادي فلن يكون هناك شيء ليوقفه. لا لينكس ولا ماك ولا خلافه وما سوى ذلك هو محض ادعاء لا دليل عليه. منذ بدأ التاريخ والبشر يجدون طرقاً لتجاوز التحصينات، واللصوص يجدون طرقاً للوصول إلى الذهب. نحن في القرن الحادي والعشرين وقرصنة السفن لا تزال موجودة.

الهندسة الإجتماعية هي وسيلة قديمة حديثة لتحقيق هذا الهدف (الكسب المادي). في أي مناسبة أو حدث طارئ مثلاً انفلونزا الخنازير يتم تسجيل آلاف المواقع من أجل استخدامها في نشر الأكواد الضارة على حواسيب الأشخاص الذين يبحثون عن معلومات حول الموضوع.

أمثلة أخرى

موقع مزيف لنشر برامج مكافحة التجسس

كما هو ظاهر في المثال أعلاه قام المهاجمون بإنشاء موقع لبرنامج مكافحة برامجيات التجسس. ومن خلال استخدام أساليب ملتوية يقوم برفع ترتيب الموقع في محرّكات البحث بحيث عندما يقوم مستخدم بالبحث عن برامج مكافحة تجسس مجانية يظهر الموقع فيقوم المستخدم البسيط بتحميل البرنامج على حاسوبه ويعطي المهاجمين تحكم كامل في حاسوبه.

مثال آخر
مواقع مشبوهة تطلب من المستخدم كود خاص لتشغيل ملف فيديو أو تخبر المستخدم بأن مشغّل فلاش لديه بحاجة إلى تحديث.

نسخة أصلية ومزيّفة من مشغّل فلاش

كما هو ظاهر في الصورة…الصورة اليمنى هي النسخة الأصلية المعتمدة من شركة أدوبي. في حين الصورة اليسرى هي نسخة مزيفة يستخدمها المهاجمون في زرع بوّابات خلفية أو برمجيات تعطيهم تحكم كامل في حاسوب الضحيّة.

هجمات كهذه لا تستهدف نظام بعينه. لاحظ الصورة الآتية

اصدارة مزيفة من مشغّل فلاش تستهدف نظام ماك OS X. المواقع المشبوهة تقوم بناء على تحديد نظام التشغيل الخاص بالمستخدم بعرض تحميل الاصدارة الخاصّة بنظامه.

كما نلاحظ أن الهجمات لم تعد مقتصرة على أنظمة ويندوز بل هي آخذة بالانتشار إلى الأنظمة الأخرى لأن المال هو الدافع.

التّصدي لهكذا هجمات يتطلب وعياً من قبل المستخدم. النّظام قد يغطّي عن المستخدم جهله بعض الوقت ولكن ليس كل الوقت.

نصائح عامة للمستخدمين:
1- ثبّت برامج من مواقع تثق بها فقط.
2- حدّث باستمرار. نظام التشغيل، البرامج المثبّتة، برنامج مكافحة الفيروس.
3- حاول أن يكون لديك أكثر من خط دفاع. برنامج مكافحة فيروس برنامج مكافحة برامج التجسس.
4- الجدار النّاري دائماً مفعّل.
5- ابتعد عن المواقع المشبوهة.

لأنّ الكلمة عندما تكون صعبة سيستبدلها صاحبها بكلمة أسهل. الكلمة الأسهل قد تكون مجرد أرقام أو كلمات لها علاقة بصاحبها كاسم الأم أو الزوجة أو أحد الأبناء…إلخ وقد تكون كلمة سهلة مثل password ويضيف صاحبها لها رقم مثلاً فتصبح password1. في عمليات الاختراق التي تمت لحسابات بعض الشبكات الإجتماعية الكبرى تم سرقة ونشر عشرات الآ’لاف من كلمات المرور. جميع هذه الكلمات كانت ضمن ما ذكرته (أرقام فقط، أسماء، أو كلمات سهلة بإضافة يسهل تخمينها مثل apple123) وفي العادة يكون طول هذه الكلمات 6 أحرف وفي أحسن الأحوال عشرة.

إذا كانت عادتك في اختيار كلمات المرور هي ما سبق فكلمة مرور عرضة للكسر وبزمن أقصر بكثير مما تتصور. حتى لو كان التشفير ( هو عملياً ال hash ولكن لا أجد ترجمة قريبة له) المستخدم قوي (MD5 مثلاً وإن كان يجب استبداله حيث انّ لم يعد قويّاً بمقايس حاسبات اليوم). لنأخذ مثال. لنفرض أن كلمة مرورك هي password1 طول الكلمة هو 9 أحرف. المجموعة المشكلة لهذه الأحرف هي مجموعة الأحرف بالحالة الهابطة (27 حرف) والأرقام (10 حرف). العدد الكلّي 37 حرف. عملية كسر هذه الكلمة على حاسب واحد يستخدم ال GPU الخاص بمحول الشاشة ستستغرق أقل من عشرين دقيقة. (المحوّل الذي استخدمته قديم وكان يقوم بحوالي 350 مليون تخمين في الثانية) إذا كان الطرف الذي يريد معرفة كلمات المرور لديه إمكانيّات أفضل وشبكة حواسيب أو حواسيب آلية (botnet) فستستغرق العملية ثوانٍ فقط. إضافة الحالة العليا للحرف ستزيد الوقت بحيث يصبح تقريباً يوم واحد ولكن يوم واحد (على حاسوب واحد فقط) هذه الفترة ليست بالطويلة أبداً.

الحلّ؟

استخدم تعبير المرور.

تعبير المرور هو عبارة عن استخدام عدّة كلمات دفعة واحدة (المعنى البسيط) انظر الأمثلة التالية

I don’t like 70% marks
I l0v3 t0 go out with my friends

لاحظ الجمل أعلاه…يمكن حفظها بسهولة حيث أنّك تستطيع ربطها بأمور خاصّة بك. وهي طويلة بحيث تأخذ فترة زمنية طويلة جدّاً للكسر.

الجملة الأولى مثلاً 26 حرفاً. محاولة كسرها باستخدام مليون حاسوب بسرعة 400 مليون في الثانية سوف تستغرق
438,513,460,190,531,000,000,000,000,000 يوماً

حظّاً طيّباً لمن يريد كسرها

الخيار لك عزيزي الزائر.

الإجراءات التي يمكنك اتخاذها من أجل الحماية هي:

1- حددّ العناوين التي يمكنها الاتصال بخدمة ssh فمن لايستطيع الوصول إلى ssh لن يستطيع كسر كلمة مروره

2- قم دائماً وأبداً بعمليات مسح للتأكد من سلامة السياسات عموماً والخاص ب ssh على وجه الخصوص

3- اعد تهيئة ssh لديك لاستخدام مفاتيح محمية بكلمة مرور ولا تسمح لكلمات مرور فقط
أنشأ مفتاح جديد
$ ssh-keygen -t rsa
سيطلب منك ادخال pssphrase قم بإدخاله
هذا سينشأ ملفان داخل مجلدك ~./ssh
id_rsa هو الخاص
id_rsa هو العام

انسخ الفتاح العام على الخادم الذي تريد الاتصال به باستخدام المفتاح وقم بإضافته للملف المفاتيح المصرّح لها
$ cat id_rsa.pub >> ~/.ssh/authorized_keys

الآن غيّر التصاريح كالآتي:
$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys

4- استخدم اسماء مستخدمين صعبة وغير معروفة فاسماء المستخدمين العادية او التي يمكن توقعها تستخدم بكثرة. ولكن اسم كهذا m7acc0nt%$ d يصعب معرفته وبالتالي نصعب عملية كسر كلمة مروره.

5- غير موقع المنفذ الخاص بSSH لديك من 22 إلى شيء آخر هذه قد لا تفيد كثيراً في حالة الهجوم الموجه ولكن في حالة كون الهجوم تقوم به botnet فهذا هو المنفذ المستخدم في الهجوم في الغالب
# Run ssh on a non-standard port:
Port 7788 #Change me

الآن عند اتصالك بالخادم ستقوم بذلك كالآتي:
ssh -p7788 mtafran.com

6- استخدم برنامج ولكن قم بتخصيصه بشكل مشدّد فهو سوف يساعد بشكل كبير واقول هذا من تجربة فعلية ولكن ضع في الحسبان ان الهجمات القادمة من botnet اذا كانت هذه ال bitnet كبيرة مثلاً 10000 او 100000 او أكثر فستكون فعاليته اقل. مثلاً برنامج fail2ban

7- راقب السجلات هذا سيعطيك نظرة على الهجمات القادمة وكذلك يعتبر وسيلة بين فترة والأخرى للتأكد من برامج مثل fail2ban من انها تعمل

مرجع

http://isc.sans.org/diary.html?storyid=6214

لنشمّر عن سواعدنا نبدأ بعمليّة تنصيب وتجهيز البرنامج:

تنصيب برنامج fail2ban

apt-get install fail2ban

هذا سيقوم بتنصيب الحزمة

موقع ملفات التعريف الخاصّة بالحزمة موجودة في
/etc/fail2ban

عند عمل عرض للملفات نلاحظ وجود الملفات التالية
$ls
action.d fail2ban.conf filter.d jail.conf jail.local

الملف الذي سوف نتعامل معه من أجل عمل تخصيص في عمل البرنامج هو

jail.local

هذه مقاطع من الملف

[DEFAULT]

هنا القسم الافتراضي
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
الخاصّية التالية هي من أجل العناوين التي سيتم استثناؤها من قبل البرنامج
ignoreip = 127.0.0.1
هنا مدّة الحظر على العناوين التي قامت بالمخالفة
bantime = 86400
هنا عدد مرّات السّماح لعنوان بالفشل في ادخال كلمة المرور
maxretry = 3

هنا القسم الخاص بال SSH
[ssh]
لتفعيل القسم
enabled = true
المنفذ
port = ssh
filter = sshd
مكان السّجلات التي سيقوم البرنامج بمراقبتها
logpath = /var/log/auth.log
عدد مرات تكرار المحاولة
maxretry = 2

هنا القسم الخاص بالاباتشي
#[apache]

#enabled = true
#port = http
#filter = apache-auth
#logpath = /var/log/apache*/*error.log
#maxretry = 5

نلاحظ من خلال المقاطع أعلاه أن التعامل مع البرنامج سهل للغاية كذلك نلاحظ أنّ البرنامج يمكن استخدامه ليس فقط من أجل سسش بل يمكن استخدامه أيضاً من اجل خدمات أخرى مثل الاباتشي أو برامج نقل الملفات.

كيف يعمل البرنامج؟
من خلال مراقبة السّجلّات يقوم بالبرنامج بقراءة المقاطع المتعلقة بفشل عملية تسجيل دخول مثلاً إذا بلغ عدد مرات الفشل في فترة زمنية قصيرة العدد المسموح به سيتم إنشاء قاعدة ابي تابلز تحظر اتصال ذلك العنوان بالخادم لاي خدمة للمدّة المعيّنة في الملف.

لنفرض السيناريو التالي:
لديك 3 عناوين 2 في العمل والآخر في المنزل وتريد السماح لهذه العناوين بالاستمرار بالمحاولة حتى لو تم تجاوز عدد المرات المسموح بها كل المطلوب هو أن تقوم بإضافة هذه العناوين للملف
jail.local

كالآتي
ignoreip = 127.0.0.1 1.1.1.1 2.2.2.2 3.3.3.3

وهكذا نكون جاهزين للبدء في استخدام البرنامج

الآن لبدء البرنامج – الخدمة نقوم بتنفيذ الأمر التالي:
/etc/init.d/fail2ban start

ملاحظة: لا تقم أبداً بتعديل الملف jail.conf وسبب ذلك كما هو مذكور في بداية الملف حتى تتجنّب عملية الدمج خلال الترقية.