دروس في الحماية من الاختراق والمنافذ المفتوحة

أولا : تصنيف برامج الهاكرز

في شبكة الإنترنت هناك العديد من المنغصات و المشاكل ومن أهمها تسخير بعض البرامج من قبل بعض الأشرار واستخدامها كأسلحة فتاكة للهجوم على الأجهزة وشبكات الكمبيوتر و كذلك التجسس على معلومات بقية المستخدمين ، وتعرف هذه البرامج ب
MALICIOUS PROGRAMS
ونستعرض في هذه الصفحة تصنيفها الحديث بطريقة سهلة بعيدا عن التعمق والتعقيد حتى يسهل علينا التفريق بينهم وبالتالي امكانية حماية أنفسنا ومعلوماتنا المهمة من عبث هؤلاء الأشرار وبالتالي تجنب هجومهم على قدر الإمكان

حتى وقت قريب كان تصنيف هذه البرامج ينقسم إلى ثلاث فروع فقط وهي

الفيروسات
ديدان الإنترنت
أحصنة طروادة

ولكن مع تطور هذه البرامج والتكنولوجيا المستخدمة فيها تم تحديث طريقة التصنيف لبرامج الأشرار والتي تمكن هؤلاء الهاكرز من الوصول الى أهدافهم الغير نبيلة

التصنيف الحديث لبرامج الأشرار

1. برامج سريعة التكاثر والانتشار

وهي الفيروسات وديدان الإنترنت حيث أنها قادرة على التكاثر والانتشار بسرعة كبيرة لتصيب أجهزة وبرامج أخرى ، والفرق بين الفيروسات والديدان هو أن الفيروس بحاجة إلى أحد البرامج المنتشرة بين المستخدمين لكي يحتضنه وبالتالي يستطيع التكاثر والانتشار عن طريقة ، وأشهر مثال على ذلك هو فيروس مليسا و فيروس الحب حيث أن الأخير كان بحاجة إلى برنامج مايكروسوفت أوت لوك كحاضن له ، أما الديدان فهي ليست بحاجة إلى أي برنامج لكي يحتضنها
وأشهر مثال على هذا النوع هو موري وارم

2. برامج للتجسس وإرسال المعلومات

تقوم هذه البرامج بجمع كل المعلومات التي يريدها الهاكر وتقوم بارسال تلك المعلومات إلى مصدرذلك البرنامج حتى لو كان هناك جدران اللهب الذي يحمي ذلك الجهاز وذلك لقدرة هذا النوع من استغلال نقطة ضعف في معظم أنواع جدران اللهب التي تسمح بخروج وتصدير المعلومات من الجهاز أو الشبكة المحلية بواسطة
HTTP AND FTP

3. برامج التحكم عن بعد و الهجوم المنسق

تسمح هذه البرامج للأشرار في حال وصولها إلى أي جهاز من الأجهزة بالتحكم الكامل بالجهاز

4. برامج جديدة من أحصنة طروادة تجمع من كل بحر قطرة

هذه البرامج من أخطر أنواع أحصنه طروادة حيث أنها تستفيد من ميزة كل نوع من أنواع البرامج السابقة وذلك بالدمج بين عدة خصائص فمثلا يكون لها خاصية التكاثر مثل الفيروسات وعدم حاجتها لبرنامج محتضن تماما مثل الديدان ولديها القدرة على التعامل مع الملفات الصادرة أو الواردة من نوع
FTP and HTTP
تماما مثل برامج التجسس والنتيجة هي برنامج جديد قادر على تخطي و خداع جدران اللهب وبالتالي جمع مالذ وطاب من المعلومات من كلمات عبور وأسماء مستخدمين وأرقام بطاقات الائتمان و كذلك تدمير بعض الملفات وتعديل مهامها
وأخيرا لا بد من الاشارة إلى ضرورة الحذر والأستعانة ببرامج متخصصة للحماية وجدران اللهب الجديدة واتخاذ الاجراءات الأمنية الضرورية لتجنب الهجوم

طريقة إغلاق البورتات المفتوحة

سبق وأن تطرقنا إلى طريقة الكشف عن البورتات ( المنافذ ) المفتوحة في جهازك، والآن سنتعرف على طريقة إغلاق هذه المنافذ.

إنها مشكلة معروفة ومعتادة.. تنفذ أمر "netstat -a" على الويندوز، وترى عدد من المنافذ بحالة "LISTENING" أو "ESTABLISHED".

يعني ذلك أن بعض التطبيقات تعمل متخفية وبالتالي تُبقي المنافذ التي تستخدمها مفتوحة لأي اتصال قادم.

تكمن المشكلة في معرفة أيّ تطبيق هو الذي يبقي المنفذ مفتوحاً، ومن ثم يتم إغلاق هذا التطبيق.

فمن غير معرفة ذلك، يمكن أن يكون تروجان بداخل جهازك ويتم السيطرة عليه، أو غيره من التطبيقات التي تعمل دون علمك.

و لذلك يجب عليك التحرّي لمعرفة ما يُنصت في جهازك.

استخدام Inzider :

Inzider هو برنامج بسيط يمكّنك من عرض جميع التطبيقات الفعّالة بالجهاز وأرقام المنافذ (البورتات) التي تستخدمها.

يمكنك تحميله من الموقع التالي :http://ntsecurity.nu/cgi-bin/downloads/inzider.exe
[ Inzider v1.2 : 250 KB ]

* ملاحظة: قد تظهر لك الرسالة التالية بعد التحميل:

"GkWare SFX Module V1.90/Is - The data section attached to this self-extractor has been damaged. Please download this file again to get a complete copy."

عند ظهورها يجب عليك إعادة تشغيل الجهاز وتشغيل ملف التحميل مرة أخرى.

مثال حول طريقة العمل:

C:WINDOWS> netstat -a

Active Connections

Proto Local Address Foreign Address State

TCP gwen:137 GWEN:0 LISTENING

TCP gwen:138 GWEN:0 LISTENING

TCP gwen:nbsession GWEN:0 LISTENING

UDP gwen:tftp GWEN:0 LISTENING

UDP gwen: nbname *:*

UDP gwen:nbdatagram *:*

في الأعلى يظهر لنا أن NetBIOS/IP قد تم تفعيله ( المنافذ 137، 138، nbsession، nbname، nbdatagram ).

مما يعني أن الجهاز يستخدم كسيرفر سامحاً للأجهزة بالشبكة في مشاركة الملفات أو استخدام الطابعة مثلاً.

ولكن يظهر لنا أيضاً TFTP ( البورت UDP/69 ) مفتوح، وذلك غريب بعض الشيء! حيث أن TFTP اختصار لـ ( Trivial File Transfer Protocol ) تعني أنه يسمح لإرسال واستقبال الملفات من غير رقيب.

لمعرفة ما هو سبب بقاء ال TFTP مفتوحاً.. نستطيع تشغيل برنامج Inzider ونجعله يقوم بتحليل النظام. النتيجة ستظهر إلى حدّ ما هكذا:

inzider 1.1 - (c) 1999, Arne Vidstrom - http://www.bahnhof.se/~winnt/toolbox/inzider/

Checked C:WINDOWSEXPLORER.EXE (PID=4294965459 ).

Checked C:WINDOWSTASKMON.EXE (PID=4294841743).

Checked C:PROGRAM FILESCISCO SYSTEMSCISCO TFTP SERVERTFTPSERVER.EXE (PID=4294857879).

Found UDP port 69 bound at 0.0.0.0 by C:PROGRAM FILESCISCO SYSTEMSCISCO TFTP SERVERTFTPSERVER.EXE

(PID=4294857879) [UDP client]

Checked C:WINDOWSSYSTEMMPREXE.EXE (PID=4294953443).

Checked C:WINDOWSSYSTEMKERNEL32.DLL (PID=4294916979).

Checked C:WINDOWSSYSTEMSYSTRAY.EXE (PID=4294845915).

Checked C:MCAFEEVIRUSSCANVSHWIN32.EXE (PID=4294944083).

Checked C:WINDOWSSTARTER.EXE (PID=4294869135).

يُلاحظ أن "Inzider" وجد العديد من التطبيقات الفعّالة. PID يرمز إلى ( Process ID ) المستخدم من قبل النظام لتعريف وتمييز التطبيق الفعّال عن غيره من التطبيقات التي تعمل في نفس الوقت.

في الأعلى نجد أن هناك تطبيق واحد تنفيذي وهو TFTPSERVER.EXE والموجود في C:PROGRAM FILESCISCO SYSTEMSCISCO TFTP SERVER . وقد أظهر البرنامج أن المنفذ الذي يستخدمه هو ( UDP/69 ) وهو منفذ الـ ( TFTP ).

بذلك وجدنا الملف التنفيذي الذي يشغل البورت 69 التابع لـ TFTP، وهو ما أردنا الوصول إليه.

الآن لنا الخيار في إزالة هذا الملف ومنعه من استخدام البورت المخصص له، أو البقاء عليه إن علمنا أننا نريد الخدمة التي يقدمها.

التحقق في Windows:

ويندوز يضم أداة مميزة لمعرفة جميع التطبيقات التي تعمل عند تشغيل النظام. هذه الأداة هي الـ ( System Configuration Utility ) ويمكن الوصول إليها عن طريق C:WindowsSystem\MSConfig.exe ، أو من خلال:

قائمة ابدأ Start > تشغيل Run > كتابة Msconfig

بعد التشغيل.. ننتقل إلى لسان التبويب ( Startup ) الذي يعرض جميع التطبيقات التي تعمل بمجرد تشغيل النظام. لمنع برنامج من التشغيل ببساطة قم بإزالة علامة التحديد بجانب اسمه، ثم OK. بعد إعادة التشغيل لن يتم تشغيل التطبيق الذي قمت بإزالته.

إضافة إلى Startup Tab.. يمكنك عرض ملفات ال config.sys, autoexec.bat, system.ini and win.ini . واتباع نفس الطريقة في إيقاف التطبيقات الغير مرغوبة من التنفيذ. لسان التبويب General يمكنك من عمل نسخة احتياطية للملفات المشار إليها.

أداة أخرى مميزة في الويندوز هي ( Microsoft System Information ).

بعد تشغيلها من خلال نفس خطوات تشغيل وإنما كتابة عند تشغيل Msinfo32 . يتم الانتقال إلى Software Enviornment ثم Startup Programs .

تقوم هذه الأداة بنفس عمل Msconfig من حيث معرفة التطبيقات التي تعمل عند بداية التشغيل، إنمّا يضاف على ذلك هنا أنه يمكن عرض من أين تمّ تحميل التطبيق ( registry, startup group, autoexec.bat, etc. ).

ويعدّ ذلك مفيداً في تحديد مكان التطبيق المراد إزالته دون البحث عنه.

الـخـلاصـة:

يتم كشف المنافذ المفتوحة عن طريق الأمر netstat -a في الدوس من خلال Start > Programs > Arabic DOS Windows أو غيرها من الطرق المعروفة للانتقال إلى الدوس.

عند تنفيذ الأمر netstat -a لا بدّ وأن تظهر لك العديد من المنافذ إمّا بحالة Listening أو Established .. عندها يجب عليك التمييز بين التطبيقات التي تحتاجها مثلاً كالإكسبلورر والآوتلووك .. الخ. وملاحظة التطبيقات الغريبة خصوصاً إذا ظهر لك رقم IP غير معروف بالنسبة لك.. فهذا يعني أن هناك اتصال بين جهازك وآخر من خلال هذا التطبيق ويجب عليك غلقه وحذفه، إن لم تكن تستخدمه.

مثال:

في المثال السابق.. الوضع الطبيعي إلى حدّ ما يبدو هكذا، حيث أنه لا يوجد أي رقم IP غريب ولا يمكن معرفة مصدره.. وكذلك هناك منفذ ال POP يمكن أن يكون مشغولاً إذا كنت تستخدم الآوتلوك لجلب ، وكذلك الماسينجر، ولا داعي للقلق خوفاً من التجسس في هذه الحالة. أيضاً تلاحظ وجود البروكسي لمزود الخدمة لديك.

لإغلاق المنافذ ( البورتات ) الخطرة لديك.. يجب عليك أولاً: التعرّف على البرنامج الذي يستخدم هذا البورت من خلال برنامج Inzider. ثانياً: تتبع مصدر الخطر ( ملف السيرفر ) وحذفه.

ينصح باستخدام أحد برامج الـ Firewall لحماية الجهاز. التي تعمل على إغلاق جميع المنافذ إلاّ المنافذ التي ترغب باستخدامها فقط كمنفذ POP للبريد أو منفذ الـ FTP .. الخ. وهذه البرامج عديدة ، أشهرها: Norton Internet Securtiy و Zone Alarm .

أخطر برامج الاختراق المتداولة

ننتقل اليوم للحديث عن أهم وأشهر برامج الاختراق المتداولة مرتبة حسب خطورتها، وسأكتفي بشرح واحدة منها، وذلك نظراً لشهرتها وتداولها بين المخترقين : Net Bus - Back Orifice - Sub Seven - Hack a Tack - Master Paradise Deep Throat - Girl Friend 8- Net Sphere 9- Win Crash 01- Big Cluck - Executer - ICQ Torjan - Back Door.

البرنامج نت بص Net Bus
تمكن مبرمج سويدي اسمه كارل نيكتر في عام 1998 من إصدار نسخة تجريبية تعمل على الوندوز 95 من برنامج لم يطلق عليه اسما في ذلك الوقت · يستطيع مستخدم البرنامج تشغيله بواسطة كمبيوتر بعيد · هذا البرنامج سماه اتوبيس الشبكة صدرت بعد ذلك نسخ عديدة منه، اذكر منها النسخة 1,6 و 1,7 Net Bus Pro وأخيرا Bus 0002 Net .

إمكانياته

- يسمح البرنامج لأي شخص بالسيطرة على جهاز الضحية عن بعد على الشكل التالي:

1- عرض صورة مفاجئة على شاشة الضحية، أو تغيير إعدادات الشاشة دون تدخل من المستخدم
2- فتح و غلق باب سواقة السي دي تلقائيا، دون تدخل من المستخدم·
3- وضع مؤشر الماوس في مكان معين بحيث لا يمكن للمستخدم تحريكه عن هذه المنطقة ·
4 ظهور حركة للماوس دون أي تدخل من صاحب الجهاز ·
5- عرض رسالة قصيرة على الشاشة تختفي وتظهر فجأة او تبقى معلقة دائما بالشاشة فلا يستطيع المستخدم التخلص منها·
6-التجسس على المستخدم ورؤية كل ما يفعله ·
7- عـــــــرض محتويات القرص الصلب بالكامل عن بعد ·
8- إنزال أي ملف من جهاز الضحية إلى جهاز المخترق ·
9- تحميل أي ملف من جهاز المخترق إلى جهاز الضحية ·
10- التحكم في علو وانخفاض الصوت·
11- في حالة ارتباط مايكروفون بجهاز الضحية فيمكن للمخترق الاستماع لما يدور من حديث بالغرفة المتواجد بها جهاز الضحية·
12- حذف أي ملف من القرص الصلب وقت ما يشاء المخترق ·
13- إقفال أي نافذة من النوافذ المفتوحة بشاشة الضحية
14- تغيير او حذف كلمات السر الخاصة بالضحية واستبدالها بكلمات أخرى
15- تغيير إعدادات النظام بالجهاز الخاص بالضحية·

كل هذة الوظائف السابقة يمكن لأي مخترق لديه هذا البرنامج، كما هو الحال في معظم برامج الاختراق، أن ينفذها، أو بمعنى أوضح السيطرة الكاملة على جهاز الضحية ·

- بعد كل ما ذكرته، سوف يصاب أي شخص يتعرض جهازه للاختراق، بنوع من الخوف والرعب الشديد ولكن الموضوع فى منتهى البساطة، فلا تستعجلوا القرار بقيامكم بعمل فورمات للهارد ديسك لان العلم لم يكتف بذلك، فالمعروف أن كل فعل له رد فعل، بمعنى أنه عندما يوضع ملف التجسس في الجهاز فانه يوضع فى مكان معين وتوجد طرق عديدة للتخلص من هذه البرامج المؤذية، لذلك حافظ على هدوئك تماما، وابحث معي عن حلول للمشكلة، فى كل الأماكن التالية:

إن المخترق لكي يتمكن من الاختراق عليه الدخول من أحد المنافذ Ports والبرامج المضادة للمخترقين كفيلة بإغلاق تلك المنافذ في وجه المخترق؛ ولكن، حتى نقطع الطريق على المخترق، إليكم طريقة ممتازة لاكتشاف المنافذ المفتوحة وإغلاقها بطريقة يدوية من خلال الوندوز ويجب تنفيذ هذا الإجراء أثناء الاتصال بالإنترنت online حتى نتمكن من رؤية جميع المنافذ المتصلة بطريقة غير شرعية أثناء الاتصال بالإنترنت·

1- من قائمة إبدأ اختر التشغيل Start/Run
2 -عند ظهور مربع الحوار الخاص بتنفيذ الأوامر اكتب Command
3 -سيظهر لك اطار نظام التشغيل دوس وفي داخل الإطار وأمام خانة المؤشر اكتب netstat - a: ثم اضغط على Enter
4 - والآن قارن بين ارقام المنافذ التي ظهرت لك مع أرقام المنافذ التالية، وهي المنافذ التي يفتحها في العادة ملف التجسس الباتش التابع لبرنامج Net Bus فإن وجدت رقم المنفذ ضمنها، فإن جهازك قد اخترق، وعليك في هذه الحالة التخلص أولا من ملف التجسس ·

وهذه منافذ دخول برنامج النت باص :
- 43002 - 5401 - 0954 - 1176 - 0037- 1037 - 6037 - 3037 - 8037 - 92003 - 00103 - 10103 - 20103 - 73313 - 83313 - 93313

التخلص من برنامج الباتش الخاص بالنت باص واغلاق منافذه المفتوحة:

الرابط الرئيسي بين كمبيوتر المخترق وكمبيوتر الضحية هو ملف التجسس المزروع بجهاز الضحية واذا تم تحديده والتخلص منه، قطعت عليه طريق التجسس· أما المنافذ التي فتحت فهي جزء من الذاكرة يتعرف عليها الجهاز بأنها منطقة اتصال ومتى ما تم حذف ملف التجسس (الباتش) فان الوندوز يعيد إغلاق تلك المنافذ أتوماتيكيا عقب إعادة تشغيل الجهاز لأن مصدرها ( ملف الباتش) وملف الباتش قد قضي عليه تماما

21 Net Administrator, Senna Spy FTP Server,
23 Truva Atl
25 NewApt
48 DRAT
50 DRAT
80 Hooker
123 Net Controller
146 Infector
146 UDP) Infector)
605 Secret Service
777 Aim Spy
1000 Der Spacher 3
1001 Der Spacher 3
1020 Vampire
1050 MiniCommand
1080 WinHole
1095 RAT
1097 RAT
1098 RAT
1099 RAT
1200 UDP) NoBackO)
1201 UDP) NoBackO)
1207 SoftWAR
1313 NETrojan
1969 OpC BO
2000 Der Spaeher 3
2001 Der Spaeher 3
2300 Xplorer
2716 The Prayer
2773 SubSeven
3456 Terror Trojan
4242 Virtual Hacking Machine
5031 NetMetropolitan
5637 PC Crasher
5638 PC Crasher
6272 Secret Service
6667 ScheduleAgent
6669 Host Control
6711 SubSeven
6712 SubSeven
6713 SubSeven
6776 2000 Cracks
7000 SubSeven
7215 SubSeven
8787 Back Orifice 2000
8897 HackOffice
8989 Rcon
9999 The Prayer
10086 Syphillis
10666 UDP) Ambush)
11050 Host Control
11223 Secret Agent
12349 BioNet
12623 UDP) DUN Control)
16484 Mosucker
16772 ICQ Revenge
17777 Nephron
19864 ICQ Revenge
20203 Chupacabra
20331 Bla
27374 SubSeven
27573 SubSeven
32418 Acid Battery
34555 UDP) Trinoo)
35555 UDP) Trinoo)
37651 YAT
52317 Acid Battery 2000
54283 SubSeven
57341 NetRaider
61348 Bunker_Hill
61603 Bunker_Hill
63485 Bunker_Hill
65432 The Traitor
UDP) The Traitor 65432)

و لمزيد من المعلومات يرجى زيارة الموقع التالي
http://www.simovits.com/nyheter9902.html

طرق التخلص من أشهر ملفات التجسس

هذه مجموعة من اشهر ملفات التجسس و طرق الخلاص منها ..

Back Oriface

يعمل على فتح المنفذ 3317 لجهازك و يجعل مستخدمي برنامج باك اورفز قادرين على اختراقك .

طريقة التخلص من الملف:

1- من قائمة البداية Start اختر Run و اكتبRegedit
2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run أو احيانا Run Once.
3- اسم الملف متغيير من مكان لأخر امتداده دائما Exe لكن يمكنك معرفته كون اسم الملف او السرفر تظهر بعده مسافةو من ثم .exe عندما تجد الملف الغه تماما ..

Net Bus - النسخ قبل 2000

هو الاكثر انتشارا على الشبكة .حجمه 470 كيلو بايت
يستخدم المنافذ 12345 و المنافذ 12346و هو يمكن المخترق من السيطرة شبه الكاملة على جهازك .

طريقة التخلص من الملف:

1-اطفأ الجهاز و اعد تشغيلة بهيئة الوضع الآمن او Safe Mode .
2- من الاعلى انتبع الخطوات من1و 2
3- ابحث عن الملف التالي c:\windows\patch.exe و الغه و من ثم اعد تشغيل الجهاز.

Net Bus 2000

على عكس السابق فاسمه متغيير و حجمة 599 بايت.

طريقة التخلص من الملف:

1- من قائمة البداية Start اختر Run و اكتبRegedit
2- من القائمة على اليسار اختر HKEY_LOCAL_Machine ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run services
3- ابحث في القائمة على اليمين عنNBsvr.exe ( هذا هو اسم الملف في الغالب) هكذا انت على علم ان جهازك مصاب .. و عليك بالعلاج التالي .وحتى و ان لم تجد الملف السابق اكمل الخطوات التالية.
4- انتقل إلى HKEY_LOCAL_USER ثم ابحث عن مجلد اسمه NetBus Server اضغط على المجلد بزر الفأرة الايمن اختر DELETE
5- اختر إعادة تشغيل الجهاز بوضع دوس DOS
5- اكتب Cd Winodw ثم إدخال Enter اتبعها ب CD system و ادخال و من ثم اكتب Del NBSvr.exe و ادخال ، Del NBHelp.dll و اخي Del Log.txt و انتهى . اعد تشغيل جهازك .

Heack’a Tack’a

يستخدم بروتوكل FTP مما يصعب الوصول اليه.يستخدم المنافذ رقم 31785 و 31787 و 31789 و 31791 .

طريقة التخلص من الملف:

1- من قائمة البداية Start اختر Run و اكتبRegedit
2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run أو احيانا Run
3- ابحث عن Explorer32 و الذي يوافق المسار C:\WINDOWS\Expl32.exe و قم بحذفه

NetSphere

يستخدم المنافذ TCP 30100 - TCP 30101-TCP 30102

طريقة التخلص من الملف:

1- من قائمة البداية Start اختر Run و اكتبRegedit
2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run
2-ابحث في الجهه اليمنى عن c:\windows\system\nssx.exe
3- احذف هذا الملف . و اعد تشغيل الجهاز بواسطه الضغط على CTRL+ALT+DELETE.

مصادر و برامج مفيدة:

Commondon Threat معلومات حول انواع كثيرة من ملفات التجسس إذا لم تجد ما تريد في موقعنا يمكنك الاتجاه لهذا الموقع .

The Cleaner يقوم بتنظيف جهازك من معظم ملفات التجسس.

Port list قائمة بالمنافذ المستخدمة من قبل ملفات التجسس

BOClean ينظف جهازك من Back Oriface و انواع اخرى

كعكة الإنترنت Internet ******s

كعكة الإنترنت هي ملف نصي صغير مكون عادة من ستة أجزاء وهي: اسم الكعكة ، قيمتها ، تاريخ انتهاء مفعولها ، اتجاهها ، الموقع المالك لها، درجة الأمان ( التشفير ) وأخيرا طبيعة المعلومات التي تقوم بجمعها. ومصدر هذه الكعكات هي المواقع التي تقوم بزيارتها أنت أثناء تجولك بالشبكة أو المواقع المتعاونه معها وهناك مصدر اُخر وهو البريد الإلكتروني الخاص بك حيث أنك وحال فتحك لأي رسالة قادمة من أي مصدر يقوم ذلك المصدر باهدائك كعكة من انتاجه ! حتى لوكان المرسل صديق لك لأن كل صفحة مرسلة لابد من احتوائها على رموز مزود الخدمة لذلك الصديق خاصة إذا كانت الرسالة من النوع المكتوب بلغة الترميز

كيف ومتى تعمل؟

بكل بساطة ما أن تزور أي موقع على شبكة الإنترنت وتدخل على أي من صفحاتها الرئيسية كانت أو الفرعية حتى يقوم ذلك الموقع باصدار نسختين من الكعكة الخاصة بهم واحدة تبقى في السيرفر الخاص بهم والأخرى يتم ارسالها لك وعادة يكرمونك بعدة كعكات حتى لاتقول عنهم بخلاء! ويقومون بارسال هذه الكعكات جاهزة ومطبوخة ولكن تنتظر منك بعض النكهات الخاصة بك حتى تكون كعكة معتبرة ومناسبة لذوقك! وذلك حال قيامك بتعبئة استمارة أو استبيان
ويقوم الموقع بتخزين الكعكة على قرصك الصلب في أحد الملفات مع العشرات أو المئات من الكعكات الاخرى التي قامت الموقع الأخرى بتخزينها من قبل دون أن تشعر أنت بذلك أو حتى الاستئذان منك! وفورا يتم اصدار رقم خاص ليميزك عن غيرك من الزوار وطبعا تبدأ الكعكة بأداء مهمتها التي أرسلت من أجلها ألا وهي جمع المعلومات وارسالها إلى مصدرها أو احدى شركات الجمع والتحليل للمعلومات وهي عادة شركات دعاية وإعلان وكلما قمت بزيارة الموقع يتم ارسال المعلومات وتجديد النسخة الموجودة لديهم ويقوم المتصفح لديك بعمل المهمة المطلوبة منه مالم تقم أنت بتعديل وضعها كما سنرى في المقالة القادمة

المعلومات التي تقوم بجمعها المواقع

تختلف المعلومات من كعكة ألى أخرى حسب البرمجة الأساسية لها ولكن يمكن إيجازها في النقاط التالية: - نوع الجهاز والمعالج المستخدم - معرف بروتوكول الإنترنت الخاص بك - طريقة اتصالك بالإنترنت وسرعة المودم - المواقع التي تقوم بزيارتها - صفحاتك المفضلة- ماذا تشتري من الشبكة- عما تبحث للشراء- ماهي الخدمات التي تبحث عنها- اهتماماتك على الشبكة وكم ساعة تقضي من الوقت على الشبكة- وكذلك اسمك وعنوانك البريدي وكافة المعلومات التي تقدمها للموقع وذلك أثناء تعبئة الاستمارات أو الاستبيانات- رقم بطاقة الإئتمان الخاصة بك وغيرها من المعلومات المفيدة

حقائق عن كعكة الإنترنت

هي ليست برامج بحد ذاتها ولكنها مجموعة من المعلومات المخزنه والمرتبة ولذلك هي لاتشكل تهديد أمني مباشر لجهازك وذلك لعدم مقدرتها على حمل أو نقل الفيروسات كما انها لا تستطيع جمع معلومات شخصية عنك غير التي تقوم أنت بنفسك بتقديمها للمواقع أثناء تعبئة الإستمارات أو نماذج التسجيل
الحقيقة الأخرى وهي أن هذه المعلومات لا يستطيع قراءتها والاستفادة منها سوى مصدرها لأنها عادة مشفرة إلا إذا كانت متعاقدة أو متعاونة من مواقع أخري لتبادل المعلومات فيما بينها
والحقيقة الأخري أن ليست كل الكعكات مخصصة لجمع المعلومات فهنالك كعكات تساعدك على اتمام عملية الشراء وأخرى تساعد على سرعة تحميل وتنزيل الصفحة عند تكرار الزيارة في المستقبل وذلك بتخزين الصور وغيرها من الملفات الكبيرة والتي عادة ما تأخذ وقت طويل لنقلها على الشبكة وهناك ما يساعد على تجنب تكرار الإعلانات وهناك ماهو مخصص للتعرف عليك وأداء التحية

كيف يمكنك ايقاف أو على الأقل ان تقلل من كمية الكعكات التي لا تتوقف عن ارسال المعلومات عنك؟

يمكنك ذلك بعدة طرق و أولها مسح تلك الكعكات المخزنة في قرصك الصلب بطريقة دورية ومسح تاريخ المواقع التي زرتها وكذلك يمكنك إزالة الملفات المؤقتة المتعلقة بالمتصفح الخاص بك. وهناك طرق اخرى للحيلولة دون تكرار زرع تلك الكعكات في قرصك الصلب وهي تعديل عمل المتصفح لديك أو شراء أحد البرامج المتخصصة في الحماية

دليل عملي على كيفية إزالة الكعكات من قرصك الصلب وكيفية منعها من التخزين مجددا

اولا : كيفية إزالة الكعكات من قرصك الصلب

قم بإغلاق متصفحك وإقطع الاتصال بالإنترنت وبعد ذلك انقر على مفتاح البداية وعندها تظهر لك قائمة البداية ، قم باختيار

Find "find Files or Folders"
type "******s"
Look in "My computer"
press Find
تظهر لك جميع المجلدات تحت ذلك الاسم، قم يفتح كل مجلد وبعد ذلك

From Edit Menu "select all"
then from Edit Menu press "Delete"

كرر العملية نفسها مع جميع المجلدات بنفس الاسم، كما ننصح القيام بذلك كل فترة من الزمن
ملاحظة: قد يسألك الجهاز ... انها كعكات هل أنت واثق من رغبتك في إزالتها؟ أجب بنعم ولاعليك منها

ثانيا: لنقم بمسح الكعكات المخزنه لديك في الملف المؤقت الخاص بمتصفحك ، إذا كنت تستخدم انترنت إكسبلورر بالنقر على أيقونة المتصفح لديك مره واحدة بالزر الأيمن للفأرة وتظهر لك لائحة بها عدة خيارات، قم باختيار
Properties
then new window with different pages will open for you, select ""General""
وهي تنقسم إلى ثلاث أجزاء وفي الجزء الأوسط تجد
Temporary Internet Files
إذا كنت ترغب بمسح الملفات مباشرة دون الاطلاع عليها قم بالضغط على
Delete file
يظهر لك سؤال عن رغبتك في مسح الصفحات المحفوظة للاطلاع عليها دون الاتصال على الشبكة ، قم باختيارها إذا لا تريد الاحتفاظ بها وفي النهاية اضغط
OK
أما إذا كنت ترغب في مشاهدة الكعكات ومصادرها قم بالضغط على
setting
View Files or View Object

وبعدها يمكنك العودة لمسحها كما تم شرحه أعلاه
وأخيرا قم بمسح ملف تاريخ زياراتك للمواقع وذلك بالضغط على
Clear History

كيفية تجنب تخزين الكعكات على قرصك الصلب

يمكنك التحكم بمتصفحك وذلك بعدم السماح له بتخزين الكعكات على قرصك الصلب واليك الطريقة

بنفس الطريقة قم بالضغط على أيقونة المتصفح وذلك بالزر الأيمن من الفأرة و اختر خصائص

Properties , select Security
then press on costom level
وقم بالنزول بالصفحة حتى تجد
******s

وبها الخيارات التالية

- Allow ******s that are stored on your computer
وتحت هذا الخيار قم باختيار
Disable
حتى تمنع تخزين الكعكات على قرصك الصلب
- allow persession ******s (not stored)

قم باختيار
enable
وهذا الاختيار يعطيك ميزة السماح للكعكات والعمل مؤقتا عند تصفحك للإنترنت وبالتالى الاستفادة من جميع مميزات المواقع ولكن دون السماح بتخزين الكعكة حيث أنك وبمجرد اغلاق المتصفح سوف تتخلص من الكعكات ، أما إذا رغبت بعدم السماح لهم مطلقا قم باختيار
Disable
ولكن سوف لن تستطيع مشاهدة بعص الصور أو التمتع بجميع امكاتيات الصفحة
للانتهاء قم بالضغط على
OK
ولتهيئة المتصفح لديك للقيام بمسح الكعكات في كل مرة بعد انتهاءك من التصفح إذهب الى
Advanced

وعليك بالنزول بالصفحة حتى تجد
security
وقم باختيار
Empty Temporary internet files folder when browser is closed, then press OK

وطبعا لا تنسى أن تقوم بالتخلص وافراغ سلة المهملات من الكعكات التي قمت بمسحها من الملفات، لأنها وإن انتقلت إلى سلة المهملات على سطح المكتب إلا أنها تقوم بدورها مالم تتخلص نهائيا منها

أمن الرسائل الإلكترونية

E-Mail Security

في عالم الإنترنت هناك الكثير من مصادر التهديد لأمن معلوماتك و جهازك ، و تعتبر الرسائل الإلكترونية أحد البوابات الكبيرة التي تسمح لتلك المصادر بالدخول إلى جهازك كما أنها تعتبر أسرع وسيلة لنشر برامج الأشرار من فيروسات و ديدان و برامج لتعطيل عمل الشبكات أو برامج تجسس لأن البريد الإلكتروني سريع الانتقال و منتشر بين الناس و كذلك لسهولة إضافة أي نوع من الملفات الملحقة بالرسالة

مصادر التهديد الأمني في الرسائل الإلكترونية

أولا : الملفات المرفقة التي تحتاج لفتح

عليك بالحذر الشديد عند فتح الملفات الملحقة بالرسائل الإلكترونية لأنها أكثر الطرق استخداما من قبل أشرار الإنترنت و لذلك ننصحك بعدم فتح الملفات المرفقة اذا كانت من احد الأنواع التي سنذكرها في السطور التالية خاصة اذا لم تكن من شخص معروف لديك
و هذه الملفات الملحقة الخطيرة نتتهي بأحد هذه الاختصارات

(.EXE)= Executable Files
و هذا يعني وجود ملف تنفيذي و هي خطيرة جدا لأنها تنفذ الأمر المطلوب منها دون أذن منك

(.COM)= Command Files
وهذا يعني وجود ملف به أوامر للتنفيذ مرتبطة بأي جزء من الملف و تبدأ بالعمل بعد مرور وقت معين أو حين
الضغط على جزء معين
(.BAT)= Batch Files
و هذا يعني وجود أمر معين موجه لأحد ملفات نظام التشغيل في جهازك

(.APP)= Application
وهذا يعني وجود ملف به برنامج تطبيقي و هي خطيرة لأنها ممكن أن تكون أحد برامج التجسس

ثانيا : الملفات المرفقة ذاتية التشغيل

و هي قادرة على أن تقوم بالعمل حال فتحك لبرنامج البريد الإلكتروني و دون الحاجة لفتح المرفقات و تقوم بإعادة تحميل نظام التشغيل لديك ومن ثم العمل في الخفاء وتقوم بإضافة نفسها في كل رسالة ترسلها دون علمك لتصيب بها بقية الأصدقاء

WScript.kak
و من أهم الأمثلة على ذلك
SON OF BUBBLEBOY
و الطريقة الوحيدة لحماية نفسك من مثل هذه النوع هو الغاء وحجب خاصية من متصفحك وهي
Allow Scripting

ثالثا : بقة نظام التشغيل دوس
هذا مصدر تهديد يمكن مرسل الرسالة أو الصفحة من تخريب و تعطيل جهازك حال فتحك لرسالة يتم فيها استخدام لغة الترميز اتش تي إم إل، لأنه من الممكن زرع تعليمات و برامج مستخدمة في نظام التشغيل القديم وهو مايعرف بنظام دوس ليتم تعطيل نظام ويندوز، واكثر نظم التشغيل التي يمكن لها ان تتأثر بها هي نظام التشغيل ويندوز 95 و 98 لأنهما يعتمدان على دوس 16 بت و في هذا النظام القديم توجد بعض الأوامر التي تمكن نظام التشغيل من التعامل مع بقية المكونات و منها على سبيل المثال للتعامل مع الطابعة و المودم وهي
LPT1 for printer
COM1 , COM2 for communication and Fax modem
و تقع المشكلة في تعرف نظام التشغيل ويندوز على هذه الأوامر القديمة و التي لا تستخدم في ويندوز حاليا ولكنها في نفس الوقت تتعرف على البرامج والأوامر القديمة اذا ما تم زرعها في لغة الترميز و هي تسبب بعض المشاكل لأنها تجعل نظام ويندوز يتبادل المعلومات و الأوامر مع المكونات مثل الفاكس مودم و الطابعة بدلا من القرص الصلب وبالتالي يتوقف الجهاز عن العمل
ولذلك ننصح كل من يستخدم ويندوز 98 او 95 بالقيام بتحديث الملفات من موقع الشركة لتغطية هذا العيب

أشهر الفيروسات التي انتشرت عن طريق الرسائل الإلكترونية

1- I Love You
2- Meet Melissa
3- Buble Boy

مصادر تهديد الخصوصية و الإزعاج

أولا : المتطفلين و المتجسسين على بريدك الإلكتروني

كثير من الناس مصابون بمرض التجسس على الغير و ينشأ معهم حب التتبع لخصوصيات الناس و هذه مشكلة مصاب بها بعض الناس منذ قديم الأزل و الى يومنا هذا‍ و من يستخدم منهم الإنترنت الان يجد متعة كبيرة جدا في هذا العمل المشين و هم يتمكنون من ذلك بعدة طرق منها

برامج التجسس وهي كثيرة و متنوعة و متوفرة بالأسواق أو عن طريق الإنترنت

تخمين كلمات العبور السهلة التي قد يستخدمها الأصدقاء كإسم الدولة أو المدينة التي ولدت بها أو اسم المدرسة

استخدام برامج مخصصة للوصول الى كلمات العبور وهي عبارة عن برامج تمكن مستخدمها من تجريب عدة الاف من الكلمات السرية المنطقية و الشائعة بين الناس وبذلك يمكن لها أن تصيب في بعض الأحيان

كما يتمكن كل من يستطيعون الوصول الى جهازك في المكتب أو المنزل من الزملاء أو الأهل أو الأصدقاء من التطفل على رسائلك باستخدام بعض الخصائص المتوفرة في متصفحك و منها

خاصية الرجوع للخلف في المتصفح
استخدام خاصية تذكر إسم المستخدم وكلمة العبور
استخدام خاصية الإكمال الالى للإسم و فراغات النماذج
استخدام خاصية تذكر الصفحات التي تقوم بزيارتها

ثانيا : المزعجين و المحولين

وهي عادة الشركات و المواقع التي تحصل على عنوان بريدك الإلكتروني و تقوم بتبادل هذه العناوين فيما بينهم أو تقوم ببيع هذه العناوين و كذلك يقوم بعض الأفراد بجمع هذه العناوين للقيام بإزعاج الاخرين أو لغرض بيعها لأحد الشركات و قد انتشرت مؤخرا رسائل باللغة العربية نحكي قصص محزنة لأطفال أو كبار تعرضوا لحوادث شخصية أو حوادث سير (طبعا تأليف في تأليف) و يطلب منك صاحب الرسالة بأن تساعد ذلك الطفل المسكين و القيام بإرسال الرسالة الى كل من تعرف و من لا تعرف!! طبعا انت من ذوي القلوب الرحيمة و الطيبة فتقوم بالعمل نيابة عنه بينما يقوم هو بجمع العناوين و تكوين ثروة من العناوين يقوم ببيعها أو يكون قد ارسل معها فيروس أو برنامج تجسس أو برنامج للتحكم و تعطيل المواقع وأنت لا تعلم عنها كما انتشرت في الاونة الاخيرة رسالة تحتوي على معلومات عن أحد مكونات الشامبو و انها تسبب السرطان و يذكر فيها منتج معين ويمدح فيه بينما يذم في بقية الأنواع و يطلب منك اخبار كل الاصدقاء و المعارف عن طريق تحويل الرسالة و طبعا كل ذلك الكلام ليس له اساس من الصحة و الهدف منه هو جمع العناوين أو التسويق للشامبو الخاص بهم

سبل الوقاية و الحماية اثناء استخدام البريد الإلكتروني

- استخدام برامج مضادة للفيروسات و برامج حماية و تشفير متخصص
- استخدام كلمات عبور سهلة التذكر ولكن صعبة التخمين كأن تكون مكونة من حروف و أرقام أو خليط من الأحرف الكبيرة والصغيرة
- غلق المتصفح حال ابتعادك عن الجهاز لتعطيل خاصية الرجوع للخلف في المتصفح
- عدم استخدام خاصية تذكر إسم المستخدم وكلمة العبور
- عدم استخدام خاصية الإكمال الالى للإسم و فراغات النماذج في المتصفح
- عدم استخدام خاصية تذكر الصفحات التي تقوم بزيارتها لفترات طويلة و تقليل هذه المدة على قدر المستطاع
- عدم فتح الملفات المرفقة اذا كانت من احد الأنواع المذكورة في بداية هذه المقالة
- عدم تحويل الرسائل المشبوهة الى أصدقائك و معارفك
- تعديل خاصية الأمن في المتصفح الخاص بك الى المستوى المتوسط أو الأعلى مع تعطيل خاصية الجافا سكريبت -- و تعديل مستوى الأمن في خاصية الأكتف إكس
- عند الإنتهاء من قراءة الرسائل عليك بالخروج بطريقة صحيحة من الموقع أو البرنامج لأن هنالك بعض برامج البريد أو المواقع تتذكرك لمدة تصل الى 8 ساعات و ترحب بك مباشرة حال دخول أي شخص اخر للموقع ذاته

شرح برنامج Barok لسرقه الباسووردات !

برنامج شبيه ببرنامج الــK2pS_SendeR في وضيفته.

(Trojan.PSW.Barok.c)

حجم البرنامج : 16.5 kb

منفذ السير فر: 25

Server:

C:\WINDOWS\SYSTEM\WCheckUp.exe

startup:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run "WCheckUp"

هذا أحدث أصدار منه v2.1

New in v2.1

server size 16.5 kb;
auto save password "Connect To" dialog;
check "Run" registry if infected user delete
the trojan startup
check every (exitwindows-reboot-shutdown)
then if(delete==true)
then disable registry editor;
changeable icon
and fix some bugs....

ويشرحلك ميزاته

Email password sender
(ras and cache) passwords
dns address, win address, etc...

صوره له مع شرح.

بعد ما تفك الضغط البرنامج تحصل ثلاثه ملفات أثنان منهم هم المهمه

والان تابع الارقام :

===================================

1- Open Server بعد أختاره يأتيك الشكل التالي :

2- Filename تتركه كما هو وإذا حبيت غيره ولكن قد يسبب لك مشكله

وهو أسم الملف.

3- Outgoing Mail: you Server: SMTP هذا الاختيار لاختيار سير فر البريد مثـل

الياهو وال هوت ميل وغير من الشركات.

مثل الهوت ميل MX04.HOTMAIL.COM

4- your email address تكتب أيميلك في هذا الخيار.

5- Schedule Send من الأفضل لك أن تختار Every Online الخيار الأول .

6- Save Server بعد الانتهاء من العدادات والتأكد منها أضغط على Save Server .

7- About نبذه عن البرنامج ولا أعتقد يحتاج لشرح .

8- Exit خروج من البرنامج بعد الانتهاء.

أنتهى الشرح rendeer

مشكور على موضوعك الحلو

تحياتي

مشكور على الدروس الجميلة