تحليل: اختراق المواقع الحكومية السعودية …. ضعف ام تفريط ؟

Posted on نوفمبر 28, 2009 by Wael Alkowaileet

Gov.Sa

مقدمة:

خير الكلام ما قل ودل :) …. تدوينة بسيطة تناقش مشكلة الرقم الكبير لعدد المواقع الحكومية السعودية المخترقة واسبابها …

سيتم سرد التحليل على شكل نقاط للسهولة والتعمق واسف على كثرة النقاط الواردة مقدما :)

 

ارقام:

من خلال البحث المبسطة عن طريق موقع تسجيل الاختراقات Zone-H نجد ان :

- عدد المواقع الحكومية السعودية المخترقة (التي تحمل الدومين Gov.Sa) حتى لحظة كتابة التدوينة 537 موقع

- تم تسجيل اول موقع حكومي سعودي مخترق وهي وكالة الانباء السعودية في تاريخ  2000/07/06 .. www.spa.gov.sa

- عدد المواقع المخترقة بين عام 2000  و 2002 هي 9 مواقع فقط

- في عام 2003 عدد المواقع المخترقة 29 موقع …. زيادة بنسبة قدرها 222%

- نسبة المواقع المخترقة التابعة لوزارة التربية والتعليم في عام 2003 (المعارف سابقا) تشكل 86% من المواقع المخترقة (25 من اصل 29)

- عدد المواقع الحكومية السعودية المخترقة في عام 2009 حتى 28/11/2009 هو 88 موقع حكومية بزيادة تقريبية 200% عن عام 2003 بواقع اختراق 8 مواقع شهريا (تقريبا اختراق موقع واحد بمعدل كل 4 ايام)

 

بالمقابل:

عدد المواقع الحكومية المخترقة بالمقارنه مع دول الجوار والشرق الاوسط …..

- السعودية: 537

- ايران: 475

- مصر: 297

- البحرين: 99

- الامارات: 84

- سوريا: 76

- الكويت: 43

- اسرائيل: 38

 

تحليل:

- للأسف بعد قراءة الارقام السابقة نجد المملكة العربية السعودية بالريادة بعدد المواقع الحكومية المخترقة في الشرق الاوسط (طبعا لم اكمل البحث لبقية دول الشرق الاوسط لكن تم البحث في الجزائر والمغرب لكن تبقى السعودية في الصدارة)

- والارقام السابقة تشير فقط للمواقع التي تحمل gov.sa اي انه تم استبعاد مواقع الجامعات (التي تحمل النطاق edu) وايضا البنوك !

- تجربة شخصية: عندما كنت بالمرحلة الثانوي كنت اقوم بتصميم المواقع او اعادة بيع الاستضافة (Reseller) … ومن خلال تلك الفترة تم استضافة موقع حكومي من خلالي تابع لأحد ادارات التعليم في المملكة !! وللأسف يحمل الدومين gov.sa ….

- للأسف لا توجد اي معايير يتم وضعها للمواقع التي تحمل الدومين gov.sa وهذا ما كون ازمة (على الاقل بالنسبة لي!) بعدد اختراقات المواقع الحكومية التي تشكل واجهة الدولة السعودية في العالم التخيلي !

- غالب (ان لم يكن جميع) ادارات التعليم تحجز نطاقات gov.sa ولا اعلم لماذا ؟! رغم وجود دومين تابع للتعليم edu.sa !!!

- مواقع ادارات التعليم يتم تصميمها بدون اي اعتبار للمعايير القياسية (اصلا شكلها قبيحححححححح والالوان المستخدمة ما تطلع عن نطاق اللوان ال 8-bit) وللأسف ايضا هذا محسوب على المواقع الحكومية السعودية !

 

الحلول:

- وضع معيار قوي جدا للمواقع التي تحمل الدومين gov.sa

- يتم استضافة جميع المواقع الحكومية السعودية في سيرفرات و Data Centers محلية وبإشراف محلي … بإمكان خصصة الاستضافة او طرح مناقصات لها بمعايير قوية !

- بالنسبة لمواقع ادارات التعليم التي اتوقع انها تشكل 70% من المواقع التي تحمل الدومين gov.sa …. ليه يا وزارة التربية والتعليم ما تسوون لكم Portal ويشمل جميع ادارات التعليم وكلها تحت نطاق موحد بحيث يسهل البحث عنها اولا وثانيا اجمل و اسهل واكثر مركزية وثالثا اصلا ما تستاهل دومين لحالها وش عاد gov.sa ! ولا تحتاج الا لمدخلين بيانات فقط ! والامور التقنية تكون تابعه بشكل مركزي لقسم IT الخاص بالوزارة او ادارة التعليم ! (ارتفع ضغطي)

- ادارات التعليم لو تبي تستمر على هالحال على الاقل يتم تحويلها الى Edu.sa وليس Gov.sa لأن Gov.sa صاير لأدارة التعليم بمحافظة و وزارة الداخلية في آن واحد!

 

الخاتمة:

محتوى الانترنت صار احد معايير التقيم التي يقاس بها تقدم للدول …. ومن هالمنطلق يجب الاهتمام والالتفات لهذا الامر لأنه يشكل واجهة دولتنا المملكة العربية السعودية ومجتمعنا السعودي … وايضا يشكل نظرة اولية عن وعينا الثقافي (لأن المواقع الحكومية ليست مواقع شخصية وانما تشكل بوابة الدولة الالكترونية ذات اهمية قصوى وتكاد تكون سفارات تمثل دولتنا المملكة العربية السعودية في العالم التخيلي,,,

اتمنى ايجاد مراكز تهتم بالامور التقنية للقطاعات الحكومية وايجاد مركزية مشرفة على القطاعات الحكومية الالكترونية الاخرى لأجل وضع المعايير القياسية اللازمة للرقي بحكومتنا الالكترونية ….

والسلام خير ختام ….

Filed under: security | Tagged: , , , , , , | تعليق واحد »

تحليل: اختراق مركز التميز لأمن المعلومات

Posted on نوفمبر 13, 2009 by Wael Alkowaileet

تحليل للأختراق الي صار …..
خلال متابعتي للأختراق جاني فضول اعرف المخترق شلون وصل للموقع …
كلامه يقول انه استطاع انه يغير ال index الى hacked.php يعني معناته قدر يوصل على الاقل الى صلاحيات تسمح له بتعديل الملفات على فولدر /home/user/public_html طبعا هذا التقسيم للسيرفرات الي تستخدم cPanel

اشار ال defacer الى ان الاستضافة لم تكلف اكثر من 1000 ريال …
- ايضا من خلال موقع Netcraft وهو موقع معروف ومعتمد للأحصاءات الخاصة بالويب من نوعية السيرفرات الى رسم بياني يوضح متى صار الموقع Down و Up
من خلال المتابعة نجد انه في تاريخ 12 نوفمبر تم تغير ال Netblock Owner وهو موعد قريب من موعد الاختراق ,,, للأطلاع:
http://uptime.netcraft.com/up/graph?…edu.sa&probe=1

- تم تسجيل الاختراق في موقع Zone-H في تاريخ 9-11-2009 وحفظ Mirror من صفحة الاختراق ,,, للأطلاع:
http://www.zone-h.com/mirror/id/9864264

- في تاريخ 11-11-2009 صار فيه تعديل في بيانات DNS الخاصة بالدومين coiea.edu.sa وهو قريب من موعد الاختراق ,,, للأطلاع:
http://saudinic.com.sa/page.php?page…a&auto1=&Nex1=

معلومات ذات صلة :
- الشركة المستضيفة امريكية وهي HostForWeb من خلال البحث بقوقل اتوقع ان موقع الشركة هو http://www.hostforweb.com/
- الموقع الآن بعد عمل ping يعطي ايبي تابع لشبكة نت … لكن اتوقع انه Mirror للموقع او وسيط سعودي لتسريع التصفح والله اعلم … او انه الهوست الجديد
89.144.96.165
الايبي الخاص بالموقع هو :
http://205.234.252.147

هل قام مركز التميز الآن بتغير الاستضافة ؟! بعد كلام المخترق!!

 

تحديث:

حادثة الاثنين

تم الاعتداء على الموقع الالكتروني لمركز التميز لأمن المعلومات (coeia.edu.sa)  مساء يوم الاثنين 22 ذو القعدة 1430هـ من قبل معتدين من داخل الملكة العربية السعودية وقاما بتشويه لواجهة الموقع وكتابة عبارات مسيئة. وقد تمكنوا من فعلتهم بواسطة الاعتداء على الخادم المستضيف للموقع وليس باختراق الموقع بذاته. لقد كنا بصدد البحث عن شركة مستضيفة آمنة خلال الفترة الماضية لتفادي هذه الحادثة قبل وقوعها. والآن فقد قمنا بنقل الموقع إلى شركة استضافة سعودية تهتم بالجوانب الأمنية وهي شركة ارا سيرف.

لم نتفاجئ بالاختراق ولم يكن مستحيلا ولم تكن مهارات المعتدين عالية لاختراق الموقع وذلك لعلمنا المسبق بالثغرات المحتملة والتي كنا نسعى لحلها لولا الاعتداء الأخير

Filed under: 1 | 9 تعليقات »

[iSec] مجموعة ثغرات في اجهزة Palm Pre

Posted on يوليو 27, 2009 by Wael Alkowaileet

أكتشف Townsend Ladd Harris مؤخرا مجموعة ثغرات تصيب اجهزة PalmPre العاملة على نظام WebOS تقوم بإعادة تشغيل الجهاز وامكانية (لم يتم تأكيد العلومة) تنفيذ اكواد خبيثة تقوم بتوظيف وظائف الجهاز للمخترق والتي قد تساعد في التجسس على الرسائل والايميلات وغيرها ….

يمكن الاطلاع على ما توصل اليه Townsend و الحصول على حالة الـStacktrace بعد تنفيذ الخطأ … ولم يصرح Townsend على جميع الثغرات المكتشفة ولكن صرح بمشكلة في المتصفح .. بحيث عند طلب URL بطول يساوي او اكثر من 4063 بايت يقوم الجهاز بإعادة التشغيل تلقائيا.

للأسف لم يتم طرح اي حلول لأصلاح هذه الثغرات ….

المصدر

Filed under: 1, News, security | Tagged: , , , , , | أضف تعليق »

[iSec] تحديث يحمل برنامج تجسس لـBlackBerry في شبكة “إتصالات” الإماراتية

Posted on يوليو 18, 2009 by Wael Alkowaileet

“ Etisalat network upgrade for BlackBerry service. Please download to ensure continuous service quality “

هذه الرسالة ربما شاهدها مستخدمي بلاك بيري في الإمارات العربية المتحدة وهي بالحقيقة عبارة عن Spyware يعترض كل محادثة في Facebook او ايميل او اي رسالة نصية

برنامج التجسس عبارة عن Spyware مكتوب بلغة الـ Java يقوم بإعتراض اي رسالة نصيه ويقوم بإرسالها الى سيرفرات شبكة “إتصالات” الإماراتية ….

يُعتقد ان الهدف من وراء هذا العمل هو لحل مشكلة القدرة على تنصت اجهزة بلاك بيري المحمية :)

هل التحديث قادم لعملاء موبايلي ؟

المصدر

Filed under: News, security | Tagged: , , , , , | أضف تعليق »

[iSec] إختراق اجهزة نوكيا من خلال مقاطع الفيديو

Posted on يوليو 12, 2009 by Wael Alkowaileet

s60-hacked

خلال متابعتي لموقع آمن المعلومات المعروف Security Focus وجدت ورقة بحثية او White Paper تتحدث عن  مستوى الآمان في هواتف نوكيا و سيمبيان عموماً…

الثغرة:

* الثغرة هي عبارة عن BOF او طفح بالذاكرة للأجهزة … بأمكان استغلالها لتشغيل اكواد خبيثة

* المشكلة تكمن في برنامج الـ Real Player وبعض الـ Codecs الخاصة بشتغيل مقاطع الفيديو

* طريقة استغلال الثغرة: هي ارسال مقطع فيديو عن طريق البلوتوث او الـ MMS يحوي كود خبيث داخلة

المصدر

نبذة عن الورقة البحثية:

* الورقة البثية تتحدث عن عدة مواضيع منها طريقة عمل debugging لبرامج نظام التشغيل وطريقة تخطي الحماية لعمليات الكتابة على الـ ROM الخاصة بالنظام و ايضا تشغيل البرامج بنفس صلاحيات نظام التشغيل … (أقرب ماله الجيل بريك للـ iPhone)

* استغلال الصلاحيات في البحث عن الأخطاء البرمجية.

* استخلاص الـ Return Addresses

* تشغيل Bot على هواتف نوكيا كـ Proof of Concept .

لتحميل الورقة البحثية

Filed under: News, security | Tagged: , , , , | تعليق واحد »

[iSec] ثغرة في برنامج الـSMS للـ iPhone

Posted on يوليو 7, 2009 by Wael Alkowaileet

broken-iphone

اكتشف الباحث تشارلي ميلر Charlie Miller ثغرة في برنامج الـ SMS التابع للـ iPhone وتكمن خطورة الثغرة من خلال تصري مكتشف الثغرة حتى الآن بإمكانية قطع الاتصال بالشبكة للأيفون

طريقة عمل الثغرة هي ارسال رسالة SMS من ان يقوم الضحية بقراءة الرسالة يتم قطع الاتصال بالشبكة

الباحث يقول انه الآن بصدد دراسة الثغرة اذا كان بالامكان استغلالها لتنفيذ الاوامر من بعيد Remote Code Execution

مثل تشغيل المايك او اجراء اتصال او حتى تشغيل برنامج يقوم بالتنصت على المكالمات دون علم المستخدم :)

لم يتم نشر تفاصيل الثغرة او طريقة عملها حتى الآن …

تنويه:

من لا يعرف تشارلي ميلر هو من قام بأختراق الماك في دقيقتين وحصل على MacBook Air كهدية …

المصدر

Filed under: News, iPhone, security | Tagged: , , , , | 2 تعليقات »

[iSec] هل آن الاوان لتطوير بروتوكول HTTP ؟

Posted on يونيو 15, 2009 by Wael Alkowaileet

air-pollution-illustration

مقدمة:

بأختصار وايجاز من يخفى عليه بروتوكول الـ HTTP ؟ هو اكثر البروتوكولات المبنية على الـ TCP/IP استخداما …..

لمزيد من المعلومات … Wikipedia او W3C .

اذن ما هو الـ HPP؟ … هي اختصار لـ  HTTP Parameter Pollution (تلوث معاملات بروتوكول HTTP ) بالانقليزي اوضح :)

ما المقصود بـ Parameter او المعاملات …. المقصود هو كل ما يأتي في الـ Query String او ما يأتي بعد علامة (?) في الـ URL ….. مثال :

Http://www.example.com/hi.php?var1=hello&var2=World

كما هو واضح فأن Query String في المثال هو اللذي باللون السماوي…

الموضوع يحتاج الى معرفة مسبقة بطريقة عمل الـ HTTP

بخصوص كلمة [iSec] هي اختصار لكلمة Information Security فقط للتنوية :)

كيفية عملها واسبابها:

سببها حقيقة هو الضعف في تعريف بروتوكول HTTP بحيث اصبح هناك اكثر من Implementation (تنفيذ) كل شركة تنفذها بطريقتها الخاصة …

كيف؟

في المثال السابق مع تعديل بسيط:

Http://www.example.com/hi.php?var1=hello&var1=World

نلاحظ هنا ان المتغير var تكرر مرتين بقيمتين مختلفتين … بروتوكول الـ HTTP لم يشرح ما الطريقة المثلى للتعامل مثل هذه الحالة

مثلا في الجافا مع Apache Tomcat تاخذ اول قيمة

في الـ PHP مع Apache تاخذ اخر قيمة

الـ ASP .Net مع IIS تأخذ جميع القيم بينهم فاصلات (,) …. امرها عجيب مايكروسوفت :)

طريقة الاستغلال يصعب علي شرحها في وقت ضيق الحقيقة … لكن سأضع ملف pdf عباره عن سلايدات بأمكانك الاطلاع على كيفية الاستغلال …

بإيجاز بإمكان استغلال مشاكل الـ HPP بـ:

تخطي WAF او Web Application Firewall و تخطي الحماية في استغلال ثغرات SQL Injection

تنفيذ عمليات غير مسموح بها (e.g. System Commands)

….. الخ :)

بأمكانكم الاطلاع على السلايدات و الفيديو عن كيفية استغلال ثغرة كانت موجود في Yahoo! Mail :)

http://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf

فيديو عالي الوضوح :

http://www.wisec.it/Yahoo/ClientSideHPP/ClientSideHPP.html

المصادر:

http://blog.mindedsecurity.com

http://www.securityfocus.com/archive/1/503584

http://www.owasp.org/index.php/Main_Page

شاكر لكم :)

Filed under: security | 2 تعليقات »

[STC] الاتصالات السعودية تحذر من استخدام مودمات Linksys

Posted on يونيو 4, 2009 by Wael Alkowaileet

استغربت الحقيقة امس … عندما قام احد “الربع” بالاتصال على 907 للتبليغ عن مشكلة بالـ DSL … ان يقوم الرد الآلي بالتحذير من استخدام من مودمات Linksys بحجة عدم التوافق مع الخدمة المقدمة من الاتصالات !!!!

والادهى والامر انها تنصح بأستخدام “مودمها الدايخ” …. بأي حق تقوم الاتصالات بالتسويق لمودماتها على ظهر مودمات اخرى ؟

ما تقوم به الاتصالات من تقديم …. افاق شامل و مودمها يعد احد طرق الاحتكار …. والآن بتسويق لمودماتها “الفاشله” عن طريق التحذير من استخدام مودمات اخرى !

اين الاحترافية بتقديم الخدمات لشركة تحاول الاستثمار عبر المحيطات ؟

Filed under: General | Tagged: , , , | 6 تعليقات »

انواع التشفير

Posted on يونيو 3, 2009 by Wael Alkowaileet

public_key_cryptography_and_pgp

* متطلبات سابقة لفهم الموضوع:

1- فهم الهدف من التشفير

2- فهم عام للمخاطر المتعلقة بنقل البيانات

3- لغة انقليزية بسيطة

* انواع التشفير:

1- Symmetric-key Cryptography ( التشفير بأستخدام مفتاح متماثل)

2- Asymmetric-key Cryptography or Public-Key Cryptography (التشفير بأتسخدام مفاتيح غير متماثلة)

* Symmetric-key Cryptography ( التشفير بأستخدام مفتاح متماثل):

الحقيقة اقرب مثال لهذا النوع من التشفير هو القفل والمفتاح …..

بفرض عندنا باب ,, هذا الباب لا يمكن فتحه الا من خلال مفتاح معين

هناك شخص اسمه A معه هالمفتاح ويرد ان يسمح لـ B بالدخول من خلال هذا الباب …. الحل اعطاءه نسخه من هذا المفتاح :)

من هنا جاءت التسمية Symmetric-Key او المفتاح المتماثل … بالضبط لأنها عبارة عن نفس النسخة من المفتاح ….

تطبيق عملي:

A: المرسل

B: المستقبل

M: الرسالة

K: المتفاح

- بفرض A يريد ارسال الى B لكن لا يريد من اي طرف ثالث (3rd Party) ان يطلع على الرسالة

- يقوم كل من A و B بالاتفاق على كل من خوارزمية للتشفير ومفتاح التشفير

- يقوم A بتشفير الرسالة M بأستخدام المفتاح K

- يقوم A بأرسال الرسالة المشفرة الى B

-  يقوم B بفك الرسالة المشفرة بأستخدام المفتاح K

بأذن الله راح اكمل الموضوع في التدوينة القادمة ….

Quiz :

في المثال السابق اذا كان A هو شخص و B عبارة عن خادم Server

اذا كان A يريد القيام بعملية تسجيل دخول لـ B بكلمة المرور واسم المستخدم ويكون الارسال مشفر بأستخدام Symmetric-Key

ما هو الخطأ في هذا البروتوكول ؟

افتراض:

تم الاتفاق بين A و B على المفتاح والخوارزمية

الطرف الثالث (3rd Party) لا يعرف المفتاح او الخوارزمية

Filed under: 1 | Tagged: , , , , | أضف تعليق »

[Facebook]: الخضوع للتحقيق بالإرادة…

Posted on مايو 8, 2009 by Wael Alkowaileet

السلام عليكم ورحمة الله وبركاته …

يوم عن يوم يزيد استغرابي من خدمات الفيس بوك … رغم فوائدها وتسهيل الترابط بين من انقطعت عنهم بسبب انتهاء الدراسة مثلا او انتهاء العمل او حتى التعرف اناس جدد من خلال هذا الموقع الاجتماعي

الا ان هذا الموقع يحوي معلومات استخباراتيه هائله …. وصلت الى تحليل النفسيات من خلال ما يسمى بالـ Quizzes

اعتقد انه هذا اقل ما يقال عنه الخضوع للتحقيق بالارادة ….

من خلال هذه الاسئلة البسيطة بأمكنهم التوصل الى معلومات وتحليل عميق لشخصيتك بمجرد الاجابة عنها

مثلا:

مدى معرفتك بشخص ما

اختبارات الذكاء IQ

اختبارات العاطفة !

اختبار اللهجات ؟!؟!؟

……

الخدمة القادمة من اقرب فنان الى بصمة اصبعك؟

Filed under: Crazy Ideas & Imagination, General | Tagged: , | 2 تعليقات »

الصفحة التالية »

  • تقويم

    • فبراير 2010
      السبت الأحد الأثنين الثلاثاء الأربعاء الخميس الجمعة
      « نوفمبر    
       12345
      6789101112
      13141516171819
      20212223242526
      2728