مهووس نت
10-05-2006, 04:14 AM
السلام عليكم و رحمة الله
كتبت هذا الموضوع كما ترون فى قسم التجارة و الأدارة الألكترونية
لان الموضوع ليس تقنى بحت بل هو نظرى بنسبة كبيرة
و هو مهم لمستخدمى الأنترنت فى التجارة و أيضا لكل مستخدمى الأنترنت عموما
و ذلك لان أغلب الأعضاء المشتركين يربطوا الكمبيوتر و الأنترنت بالتجارة و يستخدموه فى التجارة
مما أصبحت المعلومات حساسة و هامة
و يوجد الكثير من الأعضاء لا يدركون حجم خطورة المعلومات
كثير ما أجد فى المنتدى مواضيع تقول
أختراق موقع كذا
أختراق موقع كذا
أختراق سيرفر
أختراق أيميل
الخ.....
ليس الأختراق يعتمد فقط على الثغرات و العيوب البرمجية و الشبكية
بل أيضا يوجد جوانب أخرى خطرة
فالهاكر او الكراكر لا يعتمد فقط على الأدوات و الثغرات البرمجية بل على أشياء أخرى و هى أسهل بالنسبة لة
مثل
الخداع
نعم يمكن لشخص خداعك و بسهولة و الأيستلاء على معلوماتك الحساسة
مثال
يمكن لشخص ان يرسل لك بريد على الأيميل المجانى الذى تستخدمة
و يتظاهر انة "شركة الهوتميل" و يطلب منك وضع الباسورد لتجديد معلوماتك او لأشتراكك بخدمة او لرفع مساحة البريد
و بعد وضع الباسورد يتم أرسال الباسورد الى المخترق بل انك تتحول الى صفحة تقول لك "شكرا"
و هى فكرتها بسيطة و برمجتها مشابه لى سكربتات اتصل بنا
أيضا يمكن لشخص معك بالماسنجر أن يطلب منك أرسال وصلة ستصل لبريد
و يدعى أنه لا يستطيع التسجيل فى خدمة ما ببريده (خدمة الباسبورت كمثال)
و يسالك ان ترسل لة الوصلة
و الواقع هى وصلة "أعادة الباسورد للبريد"
و يرسلها الهوتميل لبريدك فى حالة طلب أنك نسيت الباسورد
و بالطبع بعدما ترسل لة الوصلة بحسن نية يقوم هو بتغير الباسورد و الأيستلاء على البريد
و قد يكون البريد المسجل ليس مجانى بل هو بريد موقعك الذى قمت بتسجيلة فى خدمة الباسبورت (passport) لكى يمكنك من أستخدام الماسنجر
webmaster@yourdomain.com
غير الخداع يوجد علم يستخدمة المخترقين فى الأختراق و أسمة
Social Enginner
http://www.securityfocus.com/infocus/1527
و تعنى بالعربية
الهندسة الأجتماعية
و فكرتة هو أستخدام المعلومات الأجتماعية عن الهدف المراد أختراقة
أى يقوم بتجميع معلومات خاصة لا دخل لها بالأمور التقنية عنك لأختراقك
مثلا يسالك شخص ما عن نمرة تليفونك او رقم سيارتك
او الفلم او الشخصية التى تحبها الخ...
قد ترى الموضوع بسيط لكنة فى الواقع خطير بنسبة كبيرة للشركات الكبيرة
و منه يمكن للمخترق توقع الباسورد او أجابة السوال السرى
او أستخدام المعلومات للتظاهر المخترق بانة صاحب السيرفر مثلا و يسال الشركة عن الباسورد لأنة نساها
و أشهر هاكر أستخدم هذه الطرق هو "كيفن متناك" و أغلب المهتمين بالحماية سمعوا عنه
أنتبة أيضا من Scam فهى طرق جديدة يقوم هاكر بتصميم موقع مشابة جدا بل متماثل لموقع تجارى مشهور
و يقوم بسرقة معلوماتك
مثلا يمكن لشخص أن يقوم بتصميم موقع مشابة لى شركة تؤجر سيرفرات
و يطلب منك وضع معلومات كارد الفيزا
او الباسورد لتجديد المعلومات او الأشتراك
لحماية نفسك أعلم انه لا يوجد حماية 100%
فإن كنت حميت نفسك تقنيا قد تقع فى طرق الخداع الكثيرة
و ان كنت حميت نفسك من طرق الخداع و الأساليب التقنية قد تخترق بسبب الثغرات الجديدة
أعلم أنة كلما يزيد حجم معاملاتك التجارية على الأنترنت يزيد معها عب حماية المعلومات
قد تخترق من غريب او قريب او غريب يتظاهر انه قريب او قريب يتظاهر انه غريب
قد تخترق من طرق الخداع الكثيرة
قد تخترق من الأنترنت او من الكمبيوتر الذى تستخدمة
نصائح لحماية نفسك
--------------------------
1- لا تعطى معلومة زائدة شخصية او مختصة بالعمل بدون داعى
و أعرف ماذا قلت و لمن قلت و ما أقصى حد لة لأستخدام المعلومة
2- أرسم عملك على ورقة لتحديد منافذ الخطر
أقصد ان ترسم و تحدد منافذ الخطر من كل شى تستخدمة
مثال
انت شركة أستضافة تقوم باستخدام بريد مجانى للاتفاق و دعم العملاء
yourhosting@hotmail.com كمثال
و تستخدم بريد الشركة فى المعملات الرسمية
webmaster@yourhosting.com كمثال
و تستخدم بريد أخر للمعملات التجارية بكارد الفيزا او بالأشتراكات و الباسوردات
myname@yahoo.com كمثال
لو أستخدمت نفس الباسورد فى أحدى البريدين و تم سرقة أحدهم بمعرفة البريد أذن من السهل الأيستلاء على كل ما تملك فى الأنترنت
و إذا كنت مثلا وضعت باسورد بريد الهوتميل ترسل وصلة تعيناها على بريد الياهو
و تم سرقة باسورد الياهو أذن يمكن سرقة باسورد الهوتميل
3- فكر كثيرا قبل أن ترسل باسورد عملك لشخص أخر
فلو كنت مثلا تريد مساعدة من شخص لاستضافتك او لتركيب سكربت ما
لا تعطية باسورد الأستضافة كلها بل حدد عملة و ما يحتاجة من معلومات
مثلا
أنت تريد لشخص أن يقوم برفع بتركيب سكربت
أذن
كون انت مجلد على موقعك مثلا بأسم
http://yourdomain.com/vb
و أعطى تصريح للمجلد بأستخدام chmod
و أنه فقط يضيف المجلدات و لا يحذفها
و كون له حساب FTP لرفع الملفات و بتصريح تحددها
أن كان يريد أنشاء قواهد البيانات أنشأها انت او أعطية صلاحيات محددة لأنشاء قواعد البيانات
و لو هو أنشاء قواعد البيانات لازال هناك خطر بعد تركيب المنتدى
فى أن المخترق يستطيع الاتصال بسيرفر قواعد البيانات و أستخدام القاعدة او حذفها
لذا أعطى صلاحيات محددة للقاعدة
و من الأفضل تغير الباسورد لمستخدم القاعدة
و بالطبع أحمى نفسك و جهازك و موقعك و سكربتاتك أيضا
أعلم انه كلما زادت تجارتك على النت أصبحت مثل الجوهرة المتصلة بسلك :)
تخيل موقعك او أستضافتك او بريدك كا مقر عمل موجود فى شارع قبل أن
تحمى نوافذ شركتك و أبوابها من السرقة (الثغرات)
أحمى مفاتيح شركتك أيضا من النصابين
لان أستخدام المفاتيح أسهل من التسلق على الماوسير :)
لاى أستفسار انا فى الخدمة
كتبت هذا الموضوع كما ترون فى قسم التجارة و الأدارة الألكترونية
لان الموضوع ليس تقنى بحت بل هو نظرى بنسبة كبيرة
و هو مهم لمستخدمى الأنترنت فى التجارة و أيضا لكل مستخدمى الأنترنت عموما
و ذلك لان أغلب الأعضاء المشتركين يربطوا الكمبيوتر و الأنترنت بالتجارة و يستخدموه فى التجارة
مما أصبحت المعلومات حساسة و هامة
و يوجد الكثير من الأعضاء لا يدركون حجم خطورة المعلومات
كثير ما أجد فى المنتدى مواضيع تقول
أختراق موقع كذا
أختراق موقع كذا
أختراق سيرفر
أختراق أيميل
الخ.....
ليس الأختراق يعتمد فقط على الثغرات و العيوب البرمجية و الشبكية
بل أيضا يوجد جوانب أخرى خطرة
فالهاكر او الكراكر لا يعتمد فقط على الأدوات و الثغرات البرمجية بل على أشياء أخرى و هى أسهل بالنسبة لة
مثل
الخداع
نعم يمكن لشخص خداعك و بسهولة و الأيستلاء على معلوماتك الحساسة
مثال
يمكن لشخص ان يرسل لك بريد على الأيميل المجانى الذى تستخدمة
و يتظاهر انة "شركة الهوتميل" و يطلب منك وضع الباسورد لتجديد معلوماتك او لأشتراكك بخدمة او لرفع مساحة البريد
و بعد وضع الباسورد يتم أرسال الباسورد الى المخترق بل انك تتحول الى صفحة تقول لك "شكرا"
و هى فكرتها بسيطة و برمجتها مشابه لى سكربتات اتصل بنا
أيضا يمكن لشخص معك بالماسنجر أن يطلب منك أرسال وصلة ستصل لبريد
و يدعى أنه لا يستطيع التسجيل فى خدمة ما ببريده (خدمة الباسبورت كمثال)
و يسالك ان ترسل لة الوصلة
و الواقع هى وصلة "أعادة الباسورد للبريد"
و يرسلها الهوتميل لبريدك فى حالة طلب أنك نسيت الباسورد
و بالطبع بعدما ترسل لة الوصلة بحسن نية يقوم هو بتغير الباسورد و الأيستلاء على البريد
و قد يكون البريد المسجل ليس مجانى بل هو بريد موقعك الذى قمت بتسجيلة فى خدمة الباسبورت (passport) لكى يمكنك من أستخدام الماسنجر
webmaster@yourdomain.com
غير الخداع يوجد علم يستخدمة المخترقين فى الأختراق و أسمة
Social Enginner
http://www.securityfocus.com/infocus/1527
و تعنى بالعربية
الهندسة الأجتماعية
و فكرتة هو أستخدام المعلومات الأجتماعية عن الهدف المراد أختراقة
أى يقوم بتجميع معلومات خاصة لا دخل لها بالأمور التقنية عنك لأختراقك
مثلا يسالك شخص ما عن نمرة تليفونك او رقم سيارتك
او الفلم او الشخصية التى تحبها الخ...
قد ترى الموضوع بسيط لكنة فى الواقع خطير بنسبة كبيرة للشركات الكبيرة
و منه يمكن للمخترق توقع الباسورد او أجابة السوال السرى
او أستخدام المعلومات للتظاهر المخترق بانة صاحب السيرفر مثلا و يسال الشركة عن الباسورد لأنة نساها
و أشهر هاكر أستخدم هذه الطرق هو "كيفن متناك" و أغلب المهتمين بالحماية سمعوا عنه
أنتبة أيضا من Scam فهى طرق جديدة يقوم هاكر بتصميم موقع مشابة جدا بل متماثل لموقع تجارى مشهور
و يقوم بسرقة معلوماتك
مثلا يمكن لشخص أن يقوم بتصميم موقع مشابة لى شركة تؤجر سيرفرات
و يطلب منك وضع معلومات كارد الفيزا
او الباسورد لتجديد المعلومات او الأشتراك
لحماية نفسك أعلم انه لا يوجد حماية 100%
فإن كنت حميت نفسك تقنيا قد تقع فى طرق الخداع الكثيرة
و ان كنت حميت نفسك من طرق الخداع و الأساليب التقنية قد تخترق بسبب الثغرات الجديدة
أعلم أنة كلما يزيد حجم معاملاتك التجارية على الأنترنت يزيد معها عب حماية المعلومات
قد تخترق من غريب او قريب او غريب يتظاهر انه قريب او قريب يتظاهر انه غريب
قد تخترق من طرق الخداع الكثيرة
قد تخترق من الأنترنت او من الكمبيوتر الذى تستخدمة
نصائح لحماية نفسك
--------------------------
1- لا تعطى معلومة زائدة شخصية او مختصة بالعمل بدون داعى
و أعرف ماذا قلت و لمن قلت و ما أقصى حد لة لأستخدام المعلومة
2- أرسم عملك على ورقة لتحديد منافذ الخطر
أقصد ان ترسم و تحدد منافذ الخطر من كل شى تستخدمة
مثال
انت شركة أستضافة تقوم باستخدام بريد مجانى للاتفاق و دعم العملاء
yourhosting@hotmail.com كمثال
و تستخدم بريد الشركة فى المعملات الرسمية
webmaster@yourhosting.com كمثال
و تستخدم بريد أخر للمعملات التجارية بكارد الفيزا او بالأشتراكات و الباسوردات
myname@yahoo.com كمثال
لو أستخدمت نفس الباسورد فى أحدى البريدين و تم سرقة أحدهم بمعرفة البريد أذن من السهل الأيستلاء على كل ما تملك فى الأنترنت
و إذا كنت مثلا وضعت باسورد بريد الهوتميل ترسل وصلة تعيناها على بريد الياهو
و تم سرقة باسورد الياهو أذن يمكن سرقة باسورد الهوتميل
3- فكر كثيرا قبل أن ترسل باسورد عملك لشخص أخر
فلو كنت مثلا تريد مساعدة من شخص لاستضافتك او لتركيب سكربت ما
لا تعطية باسورد الأستضافة كلها بل حدد عملة و ما يحتاجة من معلومات
مثلا
أنت تريد لشخص أن يقوم برفع بتركيب سكربت
أذن
كون انت مجلد على موقعك مثلا بأسم
http://yourdomain.com/vb
و أعطى تصريح للمجلد بأستخدام chmod
و أنه فقط يضيف المجلدات و لا يحذفها
و كون له حساب FTP لرفع الملفات و بتصريح تحددها
أن كان يريد أنشاء قواهد البيانات أنشأها انت او أعطية صلاحيات محددة لأنشاء قواعد البيانات
و لو هو أنشاء قواعد البيانات لازال هناك خطر بعد تركيب المنتدى
فى أن المخترق يستطيع الاتصال بسيرفر قواعد البيانات و أستخدام القاعدة او حذفها
لذا أعطى صلاحيات محددة للقاعدة
و من الأفضل تغير الباسورد لمستخدم القاعدة
و بالطبع أحمى نفسك و جهازك و موقعك و سكربتاتك أيضا
أعلم انه كلما زادت تجارتك على النت أصبحت مثل الجوهرة المتصلة بسلك :)
تخيل موقعك او أستضافتك او بريدك كا مقر عمل موجود فى شارع قبل أن
تحمى نوافذ شركتك و أبوابها من السرقة (الثغرات)
أحمى مفاتيح شركتك أيضا من النصابين
لان أستخدام المفاتيح أسهل من التسلق على الماوسير :)
لاى أستفسار انا فى الخدمة