مقالات Cyber Security ~

اذا وجد تروجان او فيروس فديه او اي من الهجمات الضارة فانه يقوم بصدها IDS ويخزن في نوع من IDS قاعدة بيانات db تحوي اشهر الفيروسات و أول مايتم اكتشاف اي فيروس جديد يتم تخزينه في جدول او قائمة 📜 يتم عرض ماتم أكتشافه في folder معين ليتم بعد ذالك تقديم تقرير الى Security بما تم أكتشافه IDS كجهاز هاردوير لديه بما يسمى حساسات وتسمى هاذه الحساسات sensors تنقسم الى عدة اقسام واذا وجد اي فيروس او تروجان او غيره عبر هاذه sensors فأنه سيتم تبليغ:
«IDS Manager»

بغض النظر عن أنواع IDS فأن وضيفته هيا كشف التسلل فقط والقبض على الفيروسات والملفات الضارة بدون اي حدث وردة فعل يقوم به او اجراء يقوم به الا بتدخل المسؤول (Security) عن IDS...

اذن IDS هو مجرد حارس يقوم بالقبض واصطياد المجرمين فقط 😗 بدون اتخاذ اي اجراء بشأنهم ولاكن اذا كنا نريد اتخاذ اجراء لهاؤلاء المجرمين فعلينا باخذ IPS اخوه الكبير لنظام 🔚 IDS
أذن IDS هو نظام مراقبه بينما IPS هو نظام تحكم ذاتي

🔺IPS:-
وهو اختصار
"Intrusion Prevention Systems"
ويتميز IPS عن IDS
بأنه يقوم باكتشاف Mlware وفيروسات الحاسوب 🦠 والملفات الضاره بأشكالها وانوعها مع اتخاذ الاجراءات الازمه مع هاذه الفيروس او الملف الضار بدون التدخل من قبل المسؤول «Security» ويعتبر IPS تقنيه متطورة من IDS ومنتشره في الشركات ويقوم بحماية شبكه او سيرفر او جهاز كمبيوتر بعينه او يقوم بحماية شبكه كامله وكل ماعليها من اجهزة وسيرفرات ويعتبر IPS نظام تحكم ذاتي يتخذ الأجرائات الازمه اثناء اكتشاف أي نوع من الهجمات والملفات الضاره..



🔺HONEYPOT:-
"مصائد مخترقي الشبكات"
وهو عباره عن نظام قد يكون هارديور او سوفت وير بحيث يقوم بنصب فخ لمخترقي القبعه السوداء وأستدراج أي محاولة أختراق ويصمم في الغالب HONEYPOT على شكل أنظمه أو شبكة وهميه مصممه لمحاكات أجهزة واقعيه و أفتراضيه بحيث يقوم بأفتعال وخلق منافذ وبورتات وهميه لشبكه أو سيرفر يتم من خلالها أستدراج المخترق لتتبع أساليبه التقليديه والجديده ويتم احياناّ جمع المعلومات عنه وتحديد موقعه ليتم في الغالب القبض عليه ويستخدم HONEYPOT غالباً في الشركات...

كان معاكم عمرو الصلوي أن شاءلله أكون شملت الموضوع بفكرة مبسطه ورمضان مبارك على الجميع 👍 💙

@Articles_Cyber_Security

🔺 Firewall:-
الجدار الناري هو نظام قائم في الأنظمه 🖥 لغرض حمايتها 🛡 كالحواسيب وغيره بحيث يمنع أو يسمح بحركة مرور الشبكه 🌐 أستناداً الى قواعد وسياسات محدده مسبقاً من قبل Security بحيث تساعد على حماية الشبكة او نظام او حاسوب من الأختراق ويمنع الجدار الناري ⚜حركة مرور أتصال الموراد الضاره في الشبكه 🌐 وأكبر فائدة لجدار الحمايه 〽️ بالنسبه للمستخدمين هيا تعزيز الحماية وكذالك يقلل من خطر الأصابة بالموارد الضاره مثل أن يصبح جهازك من بين روبوتات 🤖 BOTNET والتي يتم التلاعب بها من قبل المهاجم 🐲 اذن الجدار الناري يعزز الحماية لاغير ولايحمي نظامك بشكل كامل ....
🔹آلية عمل الجدار الناري 🔰 : يقوم الجدار الناري على أساس ضوابط ⚙ وقواعد وأساسيات محدده في الشبكه 🌐 فهو يسمح بمرور حركة الاتصالات من منافذ معينه ويمنع الأتصال من منافذ أخرى غير مسموح بها ويستقبل أتصالات من عناوين محدده ويمنع الأتصال من عناوين أخرى يقوم جدار الحمايه بفحص Header من Packet

لاكن لحظه ماهو Packets 🤔 ؟!
- هو كل مايتم على الأنترنت فأنه يرسل على شكل حزم (Packets) 😮
وعلى سبيل المثال كل رسالة بريد الكتروني وكلُّ صفحة ويب على سبيل المثال نتلقاها ماهي إلا سلسلةٍ من الحزم، او كل شي يرسل من نظام الى نظام ماهو الا مجموعه من الحزم (Packets) ترسل عبر الأنترنت الى نظام المستلم ..

🔹وكل حزمة (Packets) تنقسم الى جزئين: جزء Body or Payload والذي يكون محمل بالحموله والمعلومات والداتا الفعليه وجزء Header والذي يحمل مواصفات الحزمه أي أن كل حزمة (Packets) ترسل محمله بالمواصفات مثل:- الأيبي والمنفذ وغيره وعلى سبيل المثال "للتوضيح" عندما تقوم بالتسوق عبر الموقع الخاص في امازون فمثلاً انت أشتريت سلعه عند وصول هاذه السلعه من شركة أمازون باب منزلك والتي لنفترض ان السلعه هيا (Packets) ستاتي اليك هاذه السلعه الذي طلبتها بعنواينها وتفاصيلها الكثيرة في الصندوق الخاص بالسلعه وستجد كذالك عنوان امازون وكذالك ستجد رقم هاتف شركة امازون وستجد معلومات ومواصفات عن السلعه ..
⏺ وكذا بالنسبه (Packets) عند أرسال اي حزمه فأن هاذه الحزمه تأتي محمله بالتفاصيل مثل المنفذ الذي سيتم من خلاله تمرير الأتصال و الأيبي الخاص بالمستقبل و المرسل وكذالك الوقت ⏰ وستجد كذالك نوع الخدمه المستخدمه في Header من Packets....

💠 أذن بالنسبه للجدار الناري فأنه يقوم بفحص جزء Header من Packets بحيث يأخذ من Header الايبي والمنفذ وبعد ذالك يتم مطابقة المعطيات في قواعد Firewall بحيث يتحقق من المنفذ والأيبي ما أذ كان الأتصال من جهه موثوقه فسيسمح له بتمرير الأتصال او أذ كان من جهه لا يسمح لها بتعدي نطاق الجدار الناري فسيتم منع هاذه الأتصال . . .
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
|يقوم firewall بالنظر وفحص جزء "header"
|من 🔚 packets "
ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

ولدينا انواع عده من الجدار الناري وقد تجد جدار ناري يقوم بفحص كلا Header و الحموله الفعليه الخاصه بال (Packets) ولاكن هاذه النوع من الجدار الناري متقدم ويستخدم في شركات كبرى وعملاقه ولاكن انا تكلمت عن فكرة آلية عمل الجدار الناري بشكل عام ~

🔺( IDS )
وهو أختصار:
Intrusion Detection Systems
وتعني "أنظمة كشف التسلل"
وهو جهاز يقوم بحماية أما شبكه Network IDS او سيرفر او جهاز كمبيوتر 🖥 بعينه او يقوم بحماية شبكه كامله 🌐 وكل ماعليها من اجهزة وسيرفرات Host IDS ويقوم نوع من جهاز IDS على اصدار انذار 🚨 اذا حدث أي هجوم او حتى احتمال لهجمات قد تحدث او عمليات التنصت او عمليات فحص البورتات ولدينا اسباب لحدوث أنذارات أما اصدار انذار بسبب حدوث هجوم او أنذار بسبب حدوث أحتمالية وجود هجوم..

⚜ وظيفة IDS فلترة وفحص جزء payload أي الحمولة والداتا الفعليه من packets لضمان حماية افضل وأدق من الهجمات والاستغلالات والبرمجيات الخبيثه التي قد يصاب بها نظام معين.

ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
|يقوم IDS بالنظر وفحص جزء "Payload"
|من 🔚 Packets"
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

أذن الجدار الناري (Firewall) يمثل دور حارس المبنى الذي يقوم بمعرفة اسمك وعمرك فقط ومن ثم يتاخذ القرار اذا كان مسموح لك بالدخول للمبنى ام لا ...

〽️ بينما يمثل IDS دور حارس المبنى او الشركة الذي يقوم بتفتيشك انت شخصيا فهو يقوم بتفتيش جيبك وشنطتك ومحتوياتك فاذا لم يجد اي شيء محضور كالاسلحة والمتفجرات والمخدرات فيقوم بسماح لك بالدخول للمبنى او الشركة اما اذ وجد اي نوع من المحظورات كالاسلحة والمتفجرات والمخدرات وما شابة فإنه سيقوم بالقبض عليك دون القضاء عليك ولا يسمح لك نهائيا بالدخول للمبنى او الشركة وكذا IDS

بعض الطرق المستخدمه لمساعدتك للحماية من البرمجيات الخبيثه ☡ :-

• لا تقم بفتح ✋ أي ملفات أو أي برامج مجهولة المصدر خصوصاً البرامج (Cracked) لكون اغلب هذه البرامج يتم إضافة برامج تجسس إليها.

• استخدم برامج الحماية من الفيروسات 🔰 تقوم هذه البرامج بفحص جميع الملفات قبل تشغيلها للتأكد من سلامتها و عدم احتوائها على أي برامج تجسس وحافظ على تحديث برنامج الحماية من الفيروسات فهو بمثابة الحارس في المدينه والذي لديه قائمة 📜 بالمجرمين المطلوبين والذي يقوم بتفتيش الداخل والخارج من المدينه والبحث عن المجرمين وهاكذا بالنسبه لبرنامج مضاد الفيروسات فهو يحتوي على قائمة 📜 البرمجيات والشفرات الضاره التي تم أكتشافها.

• أحرص على فحص جهازك بواسطة خاصية البحث العميق في مضاد الفيروسات الخاص بالوندوز كل يومين على الأقل اذا كنت على أتصال بشبكة الأنترنت او حتى فحص نظامك الاندرويد او غيره بواسطة احد برامج الحماية من الفيروسات.

• اذا كان حاسوبك 💻 يعمل على أداء عالي فحرص على البحث في task manager على العمليات الشغاله في حاسوبك والمشبوه بها يمكنك اولاً أنها المهمه من task manager وبعد. ذالك قم بحذف هاذه الخدمه عبر فتح موقع الملف ومن ثم حذف الملف 💢


تقديراً لمجهودي قم بالنشر ولاتزور وتغير المصدر 〽️...
@Articles_Cyber_Security

❓👨‍💻 Trojan Horse ماهو 🔰
هو نوع من أنواع البرمجيات الخبيثه الشهيره🦠 Mlware والذي ربما وقد سمعت عنه من قبل 🤔 ولاكن يجب أن اقوم أنا بذكر هاذه الموضوع بشكل مفصل من ضمن المقالات 😗 حصان طروادة قبل كل شيء سنبدأ في التحدث عن تعريف هاذه المصطلح في المجال التقني ومجال الحاسوب Trojan Horse هو عباره عن برمجية خبيثه تقوم هاذه البرمجيه بالتجسس على نظامك والقيام بمهام التجسس وسرقة المعلومات وكذالك انتهاك خصوصياتك... بالبداية يجب ان تعلم ان مصطلح طروادة او حصان طروادة حالياً يتم اطلاقة على أي شي ضاهره مفيد وفي باطنه ضرر كبير او نستطيع وصفه بعبارة «ظاهره الرحمه واللطف وباطنه الشده والقسوه» وسبق وان تحدثنا في المقالات السابقه بأن virus يقوم باستنساخ نفسه أثناء نقل البيانات ولاكن Trojan
يتم برمجته بأحكام من قبل المهاجم ومن قبل المختصين في البرمجيات الخبيثه في الحقيقه التروجان يستخدم للتجسس على أي نظام هاتف محمول او حاسوب ويبدو الملف المحقون بتروجان كملف او تطبيق لايظهر عليه أدنى شك او شبهه تثير الشك فمثلاً لعبة 🎮 محقونه بتروجان لا يبدو عليها أدنى شك فهيا عبارة عن لعبه للتسلي لاكن وراء الكواليس عند تثبيت هاذه اللعبه على نظامك فأنه يتم سرقة معلوماتك والتجسس على خصوصياتك «صورك و رسائلك وغيره » ويتمثل التروجان بأشكال عدة في برنامج او ملف تنفيذي او ملف exe مخفي داخل صورة او عبارة عن ملف باور شل وغيره وعند فتح هاذه الملف يجري خلف الكواليس بعض الأمور في نظامك بحين أنه يتم فتح ملف التروجان فسيتم اولاً فتح Backdoor او باب الخلفي والذي من خلاله يتم فتح منفذ ومن خلال هاذه المنفذ يتم تمرير الأتصال الى نظام المهاجم ويتم بعد ذالك فتح صفحة shell في نظام المهاجم تستخدم للتحكم بجهاز الضحيه
ولديك نوع من Trojen عبارة عن برنامج software مكون من جزئين:
server -1
يتم تثبيت هاذه server او مايسمى حالياً بنسخة الضحيه في النظام المستهدف ويقوم server بفتح باب خلفي او منفذ وليتم بعد ذالك أرسال اتصال لجهاز المهاجم ويتم استقبال الاتصال من جهاز المهاجم وذالك من خلال بما يسمى : backdoor client

backdoor client - 2
يتم استخدامه من قبل المهاجم للتحكم في جهاز الضحيه ويتم أعتباره كجلسة تنصت بحيث يستقبل الأتصال من الجهاز المستهدف ليتم بعد ذالك التحكم به من خلال صفحة Shell

----------------------------------------------------------------------
الان سنتعرف على سبب تسمية هاذه البرمجيه بحصان طروادة..
في فترة من فترات الحكم الأغريقي كان الاغريقين يريدوا ويطمعوا لأحتلال مدينة تسمى بمدينة طروادة وتتمتع مدينة طروادة بحصن منيع يمنع أي هجوم لهاذه المدينه استمر الاغريقين محاولين اختراق حصن طروادة وأحتلال مدينة طروادة استمرت المحاولة لفترة تقدر بحوالي 10 سنين الى أن فكر الأغريقين بحيلة ذكيه 💡 استمرت الحرب كما ذكرنا أعلاه 10 سنين ولاكن في يوم قام الأغريق بوضع تمثال ضخم شبيه بالحصان امام باب حصن طروادة اشارة الى استسلام الأغريقين في هاذه الحرب وخسارتهم ولاكن لاتقلق هاذه كانت مجرد حيله وقام بعد ذالك مواطني طروادة بسحب التمثال الشبيه بالحصان الى وسط المدينه وذالك فخراً و رمزاً لهم بالأنتصار في هاذه الحرب التي دامت 10 سنين لاكن المفاجئة بأن هاذه التمثال الشبيه بالحصان قد تم ترسهه وتعبئته وملئه بالجنود ومعدات الحرب وما أن بادر القمر في ظهوره ليلاً الا اذا تم احتلال المدينه وحرقها ونهب ثرواتها وممتلكاتها اذاً تم احتلال مدينة طروادة من قبل الأغريقين بعد حرب دامت 10 سنين بواسطة تمثال ضخم شبيه بالحصان تم وضعه امام باب الحصن وظن مواطني طروادة بأن هاذ التمثال كان ترميز الى استسلام الاغريق في هاذه الحرب وخسارتهم وبعد ذالك تم وضع هاذه التمثال في وسط مدينة طروادة فخراً و رمزاً لهم بالأنتصار
ومايغفله مواطني طروادة بأن هاذه الحصان تم ترسه بالجنود ومعدات الحرب ليفيق سكان طروادة في الصباح بأحتلال مدينة طروادة ومن هنا تبدأ تسمية حصان طروادة من ناحية System...


كان معاكم عمرو الصلوي أن شاءلله أكون شملت الموضوع بفكرة مبسطه 💙

@Articles_Cyber_Security

واذا وجد:
Vulnerability+exploit = Attack

• Exploitation:
وهي تعني استغلال نقاط الضعف اذا وجد Vulnerability فقد يتواجد لها استغلال ويعطيك صلاحيات في Target ويتواجد Vulnerability لا يتواجد لها exploit واشهر الادوات التي تقوم بعملية الاستغلال وهيا matsploit

• Reporting:
ومن ثم بعد ذالك تأتي مرحلة Reporting وهي تعني كتابة تقرير نقاط الضعف ومدى خطورة كل نقطة ضعف وكيفية سد هاذه الثغرات ويتم تقديم التقرير الى العميل ويشمل التقرير الآتي:
• التقنيات المستخدمة في وضع التقرير
• وجود الثغرات الأمنية
• برمجيات إكسبلويت المستخدمة
• مدى تحليل التأثير والمخاطر لكل ثغرة
•وكذالك نصائح لمعالجة الثغرات

اذن عند القيام بهاذه الخطوات يجب ان تكون هاذه العمليات دقيقه واحياناً ماتكون معقده ولهاذه قلنا انه يجب على penetration tester ان يكون لديه الخبره العاليه من جميع النواحي بعيداً عن عمليات الاختراق البسيطه فأحياناً يستمر جمع المعلومات عن شركة معينه لمدة 3 أشهر وعملية كشف الثغرات وصيد نقاط الضعف Bug bounty لمدة طويلة والأهم من ذالك هو الاصرار في أختراق نظام معين وفي المراحل الاربعه التقنيه قد يفشل مختبر الاختراق بالأستغلال وهاذه مرتبطه بمرحلة جمع المعلومات وقد يعود مختبر الاختراق الى مرحلة جمع المعلومات او يعود الى احد المراحل الاربع التقنيه اذا فشل في احداها

كان معاكم عمرو الصلوي اتمنى ان اكون قد شملت المواضيع بفكرة مبسطة ❤️

القناة الخاصه بمقالات الأمن السيبراني
@Articles_Cyber_Security

في هاذه المقال سنتحدث عن دور حياة عملية أختبار الاختراق بأذن الله 〽️
هاذه الخطوات والمراحل التي تمثل السبيل لعملية اختبار الاختراق سواء اختراق نظام او Network او موقع ويب وهيا الآتي:-

• Engagement:
وتعني بالترجمه الحرفيه الارتباط
وهي بلمعنى الأدق الاتفاقيات التي تتضمن بين العميل و مختبر الأختراق
مثل المال المتفق عليه بين العميل ومختبر الاختراق وكذللك تشمل الايبي الخاص بنظام المستهدف او المراد فحصه وكذالك تتضمن معلومات يقدمها العميل الى مختبر الاختراق لكي يقوم البدأ بعمله وتشمل هاذه المعلومات نوع النظام المستهدف وكم سيستغرق وقت اختبار الاختراق ويتفق العميل مع مختبر الاختراق كم الوقت الذي سيستغرقه وعلى حسب خبرة مختبر الاختراق وعلى مختبر الاختراق ان يقدم الى العميل (شركه او غيره) العرض الخاص به او بما يسمى ب Cv ويجب ان يتضمن هاذه العرض Cv يتضمن الخبره التابعه لمختبر الاختراق وماهي الشهادات التي اخذها مختبر الاختراق وقد يكون penetration tester اما لديه عمل حر ويسمى «freelance» يعمل لدى اكثر من شركه او مختبر اختراق مخصص يعمل لدى شركه ولديه مكتب خاص به في هاذه الشركه وانت كمختبر اختراق يجب ان يكون لديك وعي أمني ويجب ان تخبر العميل سواء شركة او غيره بأنه قد يحدث تقييد للانظمه الخاصه بهم من قبل فيروس الفديه او سيحدث تسريب للبيانات الخاصه بالشركه في الدارك ويب او غيره وسيتفق العميل مع مختبر الاختراق بما سيقوم به ولديهم بعض الاتفاقيات اي وثيقه اتفاق ويتم ادراج بعض البنود مثل 🔙 ماسيقوم به مختبر الاختراق في انظمة العميل ويجب ان تتأكد انت كا(penetration tester)
ان ماستقوم به من اختبار اختراق للأنظمه او سيرفرات يجب ان تتأكد ان هاذه الانظمه خاصه بالعميل وليست لغيره حتى لا تقع ضمن المسأله الغير قانونيه او بالمثل لديك 5 مواقع تقع في سيرفر واحد قام العميل بطلب منك بالقيام باختبار اختراق على موقع انت قمت باختراق جميع المواقع بينما العميل يمتلك موقع واحد فقط في السيرفر وانت قمت باختراق السيرفر وجميع المواقع الباقيه التي على السيرفر اذاً الان يحق لمن يمتلكون بقية المواقع برفع قضيه قانونيه عليك
ويتواجد لدى الشركات الكبرى شخص يسمى
incident handing
وهي شخص يقوم بالظهور في وقت الطوارئ اذا اخطأ مختبر الاختراق او وقع شيء طارئ او حدث cruch في الأنظمه او حدث هجوم Buffer overflow في الشركه فأنه يقوم بالتصرف حالاً
وبعد ذالك تأتي المراحل الاربعه التقنيه والعمليه

• Information Gathering:
وهي تعني جمع المعلومات عن target وهي اهم مرحله ويجب اتقانها حتى يتم Exploitation بشكل صحيح واحياناً يقوم المبتدئين بتخطي هاذه النقطه وذالك للوصول لعملية الاختراق والاستغلال بشكل سريع كونهم جاهلين عن اهمية هاذه المرحله وهاذه شيء خاطئ بشكل كامل لأن عملية Exploitation تعتمد وتتم بعد جمع المعلومات ومن جمع المعلومات هو معرفة نوع عمل او ظيفة جهاز العميل فمثلاً لديك موقع ويب يجب ان تعرف ماذا يتقبل هاذه الموقع من ملفاات او غيره ويجب ان تعرف البنية التحتيه للموقع كا الايبي وغيره وغيره وعملية جمع المعلومات قد تكون محصورة في اشياء معينه او شامله وهاذه لحسب مايقوم العميل باعطائك من صلاحيات فمثلاً شركه باكملها وهاذه يعطيك جميع الصلاحيات في جمع المعلومات او مثلا اعطاك العميل صلاحية فحص موقع ويب واحد فبهاذه الحال يجب عليك جمع المعلومات عن هاذه الموقع فقط ولا يسمح لك بتخطي الحدود في جمع المعلومات اذا كان target هو نظام محدد فستقوم باخذ الايبي
وستبدأ بجمع المعلومات نسبةً لهاذه الايبي اما اذا كان الهدف عبارة عن web Application فأنت ستقوم بجمع المعلومات بشكل الآتي:
المجالات الخاصه بالموقع ●
المجالات الفرعية الخاصه بالموقع ●
الصفحات (الزحف إلى مواقع الويب) ● التقنيات قيد الاستخدام ، مثل PHP و Java و .NET وما إلى ذلك. ●
أنظمة التي تستخدم في إدارة المحتوى مثل Drupal و Joomla و Wordpress وغيرها ●

• Footprinting and Scanning:
وهي تعني البصمة والمسح الضوئي
اولاً ماهو المقصود بالبصمه هنا وهي تعني البحث عن الثغرات المتواجده في هاذه النظام فأذا كان ويندوز ستقوم بالبحث عن ثغرات ويندوز وهاكذا بنسبه للينكس او ماك او غيره ومن ثم لدينا بما يسمى port scanning وهي تعني فحص البورتات الخاصه بال Target ويتم فحص البورتات بواسطة اداة nmap الشهيره لمعرفة الخدمات الخاصه بالبورتات فأحياناً يمكنك الكشف عن نقاط ضعف من خدمات قديمه وغيره من التقنيات المتقدمه

• Vulnerability Assessment:
وهي تعني تقيم نقاط الضعف فستقوم انت كمختبر اختراق بعمل ملاحظه وستقوم بوضع جميع المعلومات ونقاط الضعف والثغرات التي اكتشفتها في هاذه الملاحظه Notes وتستطيع بعد ذالك القيام بعمل تقيم يدوي او استخدام ادوات جاهزه والافضل هو استخدام ادوات جاهزه ومن اشهر الأدوات المستخدمه في تقيم نقاط الضعف وهيا اداة 🔙nessus