0555333017

اهلا بكم فى الموقع الرسمى للمهندس خالد ابو ابراهيم

 المدير التنفيذي للمضيف الاول للاتصالات وتقنية المعلومات (ون هوست) والخبير في مواقع التواصل الاجتماعي 

معلومات مهمة في آمن المعلومات..

 : هام جدا ..." Wannamine "


انتشر فى الاونه الاخير اسلوب جديد من الهجمات الالكترونيه الهدف منها ليس تعطيل الخوادم "Servers" او ال Resources عند بعض المستخدمين و لكن استغلالها بهدف التعدين للعملات المشفرة "Cryptocurrencies "

قبل ان نتعرف على خطوات الحماية لابد ان نتعرف على نقطة الضعف " Vulnerability " الذى يسبب هذا الأمر : 
نقطة الضعف من ناحية المواقع الالكترونيه التي يستغلها المهاجمين هي من نوع XSRF و التى تسمح بتنفيذ الاوامر على أجهزة المستخدمين عن بعد Remote Code Execution و هذا الامر يسهل من خلاله تنفيذ الهجوم و تنزيل العديد من ال Codes على اجهزة المستخدمين و ايضا استغلال الموارد على ال Servers بالعديد من البرامج الخبيثة مثل : 
Wannamine و التى تستغل بشكل مباشر ال CPU و ال Memory و القيام بعملية التعدين . 
و ايضا هناك بعض البرمجيات التى تستخدم اتاحة ال PowerShell لتحقيق نفس الهدف مثل ال EthernalBlue .

هذه البرمجيات تسبب بطئ شديد فى الموارد الخاصة بال Web servers و ايضا لمستخدمي المواقع على نفس ال Webs Server و ذلك دون وجود اي عمليات " Process " تستدعي هذا البطئ ..

الخطوات الواجب تتبعها للحد من هذا الهجوم و استغلال الموارد :

1- اذا كنت من ال Servers التى تستخدم Oracle Weblogic لابد من انزال التحديث الخاص به فى تاريخ اكتوبر 2017 و ذلك للقضاء على نقطة الضعف رقم CVE 2017 144 و ذلك للقضاء على مشكلة صحة المدخلات Input Validation” " و التى تسبب المشكلة اعلاه .

2- تاكد ان Ports 8000 , 14444 مغلقة تماما عن طريق الFirewall الخاص بكم و التأكد من تقعيل ال Implicit Deny Rule لاي نشاط او Traffic غير مسموح به بشكل كامل .

3- التأكد بشكل كامل من Events الموجوده على ال Server عن طريق Command على ال Power Shell : 
Get-EventSubscriber و يمكنكم تصنيف او تحديد ال EVENTS الغير مسموح بها عن طريق الامر unregister-Events.

4- ايقاف اي استخدام لل Power-Shell لغير المسموح لهم و في حالة عدم الحاجة يفضل ايقاف جميع العمليات الخاصة به .

5- عمل مسح شامل ببرنامج Antivirus بعد التأكد من عمل Update كامل للSignature فى حالته .
 
 
: هام جدا استراتيجية هجوم جديده تجاه انترنت الاشياء " IOT"

في ظل تسارع العالم بأتجاه انترنت الاشياء IOT و على الرغم ان هذا التقنيه ستساعد بشكل كبير فى كثير من الحلول التقنيه التي ستساهم في مركزيه التحكم بكل الاشياء و لكن ال Black Hackers لا يتركون اي تقنيه جديده الا و بدوا فى استغلال اخطائها و ثغراتها و نقاط ضعفها من اجل اغراضهم ..

ففى اكتوبر 2016 اكتشف الباحث Brian Krebs بعض محاولات المهاجمين تحويل ال IOT Devices ك Proxy Server يسهل من خلاله مهاجمه العديد من الاهداف حول العالم و بالتالي استخدامه فى جميع الاعمال الغير قانونيه كالاختراق و غيرها و سمي ساعتها بهجوم Mirai و الذى استخدم ال Telnet Bruteforce Attack من اجل الدخول على الDevices و من ثم شن هجمات DDOS Attack على كثير من الأهداف فى العالم .

و لكن من اربعة ايام تحديدا تم الكشف عن ثغرة أشد خطورة باسم OMG و التى تستخدم ال Telnet Bruteforce Attack كما هو متبع فى Mirai و ايضا ETH mining rigs و الذى يستغل بشكل كامل فى التعدين عن العملات الرقميه Cryptocurrencies .

و لكي نفهم الأمر بشكل اكثر تعمقا لنري مهي خطوات ال OMG و اختلافه عن Mirai :

1- OMG لم يغير اي شئ فى ال
Modules الخاصة بال Mirai و
لكن تم زياده 2 Strings الهدف منهما وضع 2 Rules فى ال Firewall الخاص بال IOT Device

2- نفس سلوك Mirai باستخدام " attack, killer, and scanner modules " و استخدام telnet brute-force login .

3- يعد حدوث الاختراق على ال IOT Device ييدا فى التواصل مع ال C & C Server " Command & Control Server " عن طريق ال Host : ccnew.mm.my و ا لIP : 188.138.125.235

" راجع ال Comment الثانى "

4- يستخدم ال OMG ال IOT Device ك Proxy لاداء كل ما يريده سواء DDOS Attack مثل Mirai او ETH mining و هى الشئ الجديد .

كل ما سبق يؤكد ما اكدناه مسبقا ان ال IOT خدمه عظيمه و مهمه جدا و لكن المخاطر بها ليست قليله “ RISKs” لذا لابد قبل الأعتماد عليها لابد من عمل الكثير من ال Vulnerability Assessments , Risk Assessment حتى لا تكون عرضة لتلك الهجمات الغير أعتيادية .
 
 
: ما هو ال Security awareness ؟

العديد من المخاطر الالكترونيه حاليا تعتمد بشكل كبير على علم ال Social Engineering و هو فن اكتشاف نقاط الضعف و لكن فى الاشخاص فاذا كنا نتحدث عن انظمه او Systems لديها العديد من ال Vulnerabilities و التى يتم معالجتها عن طريق اضافة Update مثلا اوSecurity System اخري فنجد ان اهم معالجة لهذا الامر هو التوعيه الأمنيه للموظفين داخل المؤسسة و طبقا للعديد من مؤسسات ال Standards مثل ال,ISO , PCIDSS , GLBA ISC2 وغيرها فان اضعف حلقة أمنيه هو العنصر البشري لانك قد تضع حلول بملايين الدولارات و لكن بضغطه على ملف مصاب او مجرد زيارة موقع قد يصاب نظام الموظف و من بعده نظام المؤسسة الى العديد من الثغرات او الفيروسات بل ان فى بعض الأحيان يكون الموظف سبب فى اخراج معلومات قد تسبب استغلال بعض الثغرات الامنيه داخل المؤسسة بسبب وجود مناطق ضعف فى ال Physical Security مثلا . 
لذا فان العلاج الأول لهذا الامر هو التوعية الأمنيه Security Awareness و لكن ما هي الطرق التى يتم توصيل بها التوعيه الأمنيه للموظفين :

1- Security Awareness Emails

و هي ارسال مجموعه من الرسائل الالكترونيه الداخليه التى تشرح و توضح بشكل مبسط دور كل فرد داخل المؤسسة فى حماية امن المعلومات و توضح كيفية التعامل مع البريد الالكتروني القادم او مجهول الهويه و ال Links التى قد تسبب ضرر لبيانات الموسسة و تصنيف المعلومات طبقا لل Information Classification الداخلي للمؤسسة .

2- Security Awareness Session

و هي من الطرق الفعالة بشكل كبير حيث عن طريقها يتم عمل لقاءات و ورش عمل لشرح الثغرات الأمنيه و هجمات ال Social Engineering و كيفية تلافيها و ايضا يعض السياسات الهامه و التى تخص الموظفين داخل المؤسسة "” Security Policies مثل 
• Clean Desk Policy " خلو مكتب الموظف من اي معلومات ورقية قد تؤدي الى افصاح البيانات" 
• Data Handling " كيفية التعامل مع البيانات الداخلية للمؤسسة و تصنيفها " 
• Safe Internet Habits " كيفية استخدام الانترنت بشكل أمن " 
• Value of Strong Passwords " أهمية كلمات السر قوية التكوين "

3-Security Evaluation

بعد كل ما سبق لابد من قياس مدي تطور الSecurity Awareness داخل المؤسسة و هل الخطوات حسنت من أداء الموظفين و الوعي الأمني داخل المؤسسة و هنا يأتي دور العديد من الوسائل الابتكارية المحاكية للهجمات مثل ال Shoulder Surfing و هى مراقبة ما يكتبه الموظف و بذلك يستطيع استنباط كلمه المرور و ايضا ارسال موقع الكتروني يطلب اسم المستخدم و كلمه السر الخاص به و يوجد مواقع و شركات عديدة تقدم تلك الخدمه مثل Phishme .
و ذلك يسهل قياس تطور الوعي الامني و تأثير ما سبق فى توعية الموظفين داخل المؤسسة.