الكاتب : القعقاع
هذه مجرد نبذة مختصرة للغاية عن المواقع والسيرفرات لإعطاء فكرة بسيطة لمن يريد تعلم الاختراق.
اختراق
المواقع
والسيرفرات :
قبل
البدء في شرح
هذا الجزء
علينا توضيح
بعض
المصطلحات :
السيرفر
Server
:
ذكرنا
من قبل في شرح
عملية اختراق
الأجهزة أن
المخترق عليه
وضع ملف يسمى
بالسيرفر في
جهاز الضحية ،
لكن هنا يختلف
المعنى
قليلاً ،
فالسيرفر
كلمة تعني
الخادم كما هو
في الحالة
السابقة ،لكن
معنى الخادم
هنا ليس مجرد
ملف بل هو أي
جهاز كمبيوتر
يقدم أي خدمة
وطبعاً تقديم
هذه الخدمة
يستلزم فتح
منفذ Port
في هذا
الجهاز،
فمثلاً موقع
الانترنت
الذي تقوم
بزيارته هو
عبارة عن جهاز
كمبيوتر به
ملفات الموقع
، لكن ما الفرق
بينه وبين
الأجهزة
العادية ؟
أولاً
: يجب أن يكون
متصلاً
دائماً 24 ساعة
بالإنترنت (أي
أن له رقم IP
ثابت(
، ثانياً : يجب
أن يركب عليه
برنامج معين
يفتح منفذاً
معيناً (المنفذ
الإفتراضي هو
80) ليتمكن
الزائر عن
طريق متصفحه
من رؤية
محتويات
الموقع ، أي أن
عملية زيارتك
لموقع ما هي
إلا عملية
اتصال بينك
وبين هذا
السرفير عن
طريق البورت
المفتوح في
ذلك السيرفر
والذي يعرفه
متصفحك ،
ويعرف هذا
النوع بالweb
server
، ويوجد أنواع
أخرى من
السيرفرات
مثل الFTP
server
وغيرها ، وكل
سيرفر يقدم
خدمة أو عدة
خدمات وكل
خدمة لها منفذ
معين وبرنامج
مسئول عن فتح
ذلك المنفذ .
يوجد
العديد من
الطرق
المستخدمة
حاليًا
لاختراق
المواقع
وسنتناول هنا
أشهرها :
1-
الثغرات Holes
:
الثغرات
هي أخطاء
برمجية في
برامج معينة
مثل سيرفرات
المواقع وأي
برامج اخرى ،
لأنها
من صنع البشر
لذا يجب أن
تحتوي على
أخطاء أو (
ثغرات) ، وهذه
الثغرات
الأمنية Security
Holes
يستطيع
المخترق من
خلالها
الوصول إلى
معلومات غير
مصرح له
بالدخول
إليها ، وقد
يكون خطر
الثغرة
بسيطًا يمكن
المخترق من
جمع بعض
المعلومات
المفيدة في
عملية
الاختراق عن
الهدف ، وقد
تكون خطيرة
يمكن أن تؤدي
بالمخترق إلى
اختراق جزئي
للموقع أو
السيرفر ، أو
إلى اختراق
كامل فيستطيع
المخترق
السيطرة على
السيرفر
كاملاً.
ويتم
إكتشاف مثل
هذه الثغرات
بشكل شبه يومي
تقريبا من
الشركات
المتخصصة في
مجال الأمن ،
أو المبرمجين
المحترفين ،
وتقوم
الشركات
المصنعة
للبرامج
بإنزال
ترقيعات
برمجية
لإصلاح هذه
الأخطاء (الثغرات)
لذا على
أصحاب
المواقع
متابعة
الترقيعات
الخاصة
ببرامجهم
أولاً بأول.
2--
تخمين كلمة
السر :-
ويتم
هذا عن طريق
برامج خاصة
تقوم بتجربة
جميع كلمات
المرور
الممكنة
ليحاول معرفة
كلمة المرور
الصحيحة
لخدمة من
خدمات الموقع
مثل ال FTP
، وهذه
الطريقة لم
تعد مستخدمة
حالياً لأنها
تستغرق وقتا
طويلاً
للغاية ،
وليست مجدية
فنسبة نجاحها
لا تتجاوز 1%
وربما أقل .
3-
عن طريقة
كلمات المرور
السهلة :
يستخدم
بعض مديري
المواقع
كلمات مرور
بسيطة وسهلة
التخمين
كاسمه أو لقبه
، أو رقم هاتفه
المحمول أو
تاريخ ميلاده
، وأشياء من
هذا القبيل ،
وفي حالة
الشركات من
الممكن
استخدام هذه
الطريقة فحتى
إذا كان
النظام
الأمني
للشركة قويًا
منيعًا من
الممكن
استغلال ضعف
كلمات المرور
التي يضعها
بعض الموظفين
فيكتسب
المخترق نفس
صلاحيات ذلك
الموظف .
4-
طرق أخرى :-
عن
طريق استغلال
سذاجة أحد
الموظفين
بالشركة ، إما
عن طريق
اختراق جهازه
بالطرق
السالفة
الذكر ،
وبالتالي
معرفة كلمة
المرور
الخاصة به
فيكتسب
المخترق
صلاحيات ذلك
الموظف ، وإما
عن طريق ما
يعرف بالـ
Social
Engineering
، عن طريق
إيهام هذا
الموظف من
خلال اتصال
هاتفي مثلاً
بأن الشخص
الذي يحادثه
هو رئيسه أو
زميله ويريد
معرفة كلمة
المرور
الخاصة به ،
وهذه الطريقة
تحتاج من
المخترق إلى
حس عال وسرعة
بديهة .