كسر تشفير الفي بي ان VPN

حسناً، قد يكون من المستحيل كسر التشفير المستخدم في الاتصال المعمى او المشفر. VPN ترمز الى Virtual private network  اي شبكة افتراضية خاصه. هذه الشبكة يتم استخدام مختلف البروتوكلات في تشفيرها منها البروتوكل المعقد IPSec وهو الاختصار لـ Internet Protocol Security، لسنا بصدد الحديث حول كسر التشفير وإنما امكانية تحديد هوية المتصل الذي يستخدم الشبكة الافتراضية الخاصه.

وحتى نكون اكثر تحديداً سنقوم بإفتراض ان المستخدم او الهكر الذي يريد استخدام الشبكة متواجد في السعودية ويريد اختراق او عمل هجوم على موقع ما. في السيناريو هنا المطلوب هو اخفاء هوية المتصل وامكانية طرق التعقب عبر الشبكات المختلفة في داخل السعودية.

عند إستخدام الشبكة الافتراضية انت تقوم بتحميل برنامج الى جهازك وفتح الاتصال عبر هذا البرنامج او تقوم بالدخول عبر الويب بإستخدام إتصال معمى عبر الـ SSL VPN. غالبا ما يتم استخدام النوع الأخير للاتصال المعمى للمستخدمين ويتم استخدام IPSec لوصل الشبكات عبر الشبكات الخاصة الافتراضية.

في حال تم استخدام برنامج معروف او موقع معروف لعمل الاتصال، فإن جهازك بالـ IP المعروف لدى مزودي الخدمه يكون معروف تماما ويمكن تعقب اتصالك في اقل من دقيقتين. الفكرة ان جهازك يقوم بعمل الاتصال عبر شبكة مزود الخدمة في السعودية. لذا جهات الاتصال تكون معلومة من اين اتيت والى اين ذهبت. قد يمكن في هذا الوضع حصر الاتصالات المتجهة لموقع او سيرفر التشفير الخاص بال VPN فقط. قد لايمكن تعقب اتصالاتك من سيرفر الVPN الى اي مواقع اخرى لكن يمكن عمل فرز لنوعية الاتصالات المختلفة ويتم حصر من قام بالاتصال الى سيرفر الـ VPN. ولان إتصالك وارد من داخل شبكة مزود الخدمة فالاي بي الخاص بك يكون ظاهر. قد يوجد عوامل اخرى للفرز قد تؤدي الى تحديد الهوية المتصل . فلو افترضنا ان الاي بي لجهازك هو 127.0.0.0 سيظهر في logs مزود الخدمه ان الاي بي 127.0.0.0 قد قام بعمل اتصال لسيرفر التشفير المعنون بالاي بي 192.168.0.1. هذا السيناريو قد يكون صعب لانه غير عملي ولكن ليس مستحيلا!

الفرضية الاخرى هي الاكثر امكانية وعملية وقد حصلت مع شركة البلاكبيري والفايبر، ولا استبعد حدوثها مع مزودي خدمات الاتصالات الافتراضية الخاصه.الطريقة هي ان يكون لدى مزودي الخدمة شهادات الـ SSL التي تسمح برؤية الاتصال المعمى. طبعا لا يمكن بأي حال ان تقدم هذه الشركات مفاتيح التشفير الخاصة بالشهادات لكل العالم! الممكن تنفيذه هو سينارو مشابه للبلاكبيري حيث قامت شركة RIM بوضع سيرفرات او مفاتيح التشفير هنا في السعودية لمزودي الخدمه لرؤية الاتصالات المعماه. سينارو مشابه قد يكون موجود لشركات التشفير المختلفه. فإن كان اتصالك وارد من السعودية يتم تحويلك الى سيرفرات محدده مسبقا بشهادات SSL تكون مفاتيحها معروفه لدى مزودي الخدمه.

في كلا الفرضيتان بالاعلى مكان الاتصال يكون معلوم وقد تعاقب بالقانون حسب مكان تواجدك اذا ما تم عمل تخريبي او اختراق لاي شبكة او موقع. إذن كيف يمكن ان اخفي هويتي عند عمل اتصال مشفر؟

الجواب سيكون في شرح مفصل ان شاء الله في تدوينة قادمة.

بالتوفيق:)

فيروس الشرطة، تروجان يوراوسي [Urausy]: فايرس الشرطة وصل السعوديه!

هذا الفايرس له تاريخ سابق بدأ في اوروبا واسبانيا وامريكا ووصل الى الشرق الأوسط مؤخرا وانتشر انتشار النار في الهشيم بشكل مخصص لكل دولة حسب توزيع الاي بي. يواراوسي او Urausy  هو عائلة من التروجانات او الفايرسيس بانواع مختلفة. هي باختصار كود خبيث يتم تنزيله على جهاز المستخدم لخداع المستخدام وخطف الجهاز بإظهار شاشة على سطح المكتب مفادها ان الجهاز يحتوي على مخالفات وان الشرطة قامت بقفل الجهاز حتى يتم دفع غرامه. هذا النوع من التروجانز يسمى بـ ranswmware  وغالبا ما يتم تنزيله عبر ثغرات مختلفة موجودة في جهاز المستخدم. أشهر هذه الثغرات هي الفلاش والجافا والأدوبي والاكسبلورر. مايكروسوفت كشفت عن ثغره مستخدمه في هذا النوع من الفايروسات (CVE-2012-1723)، ربما لنفي التهمة عن الإكسبلورر؟ ممكن!

يمكن ان تصاب بهذا النوع من الفيروسات عبر تصفح موقع يحمل الكود الخبيث الذي يستغل البرامج التي تحتوي على الثغرات في جهازك، فبمجرد مرورك على الصفحة يمكن ان يتم تحميله في جهازك بمجرد مرور الماوس على الصفحة (on mouse over). 

عند الإصابة يتم تحميل الملف الى الذاكرة/الهارد [Skybe.dat & skybe.conf] فيقوم الملف من الذاكرة بعمل إتصال عكسي الى مركز التحكم في الفايرس C&C ليتم تنزيل ثلاث ملفات الى مجلد التيمب Temp. الملفات تحتوي على صفحة HTML يظهر فيها التحذير وعبرها يتم خداع المستخدم ليقوم بدفع الأموال عبر كاش يو او خدمات مماثلة للهكر. مثال توضيحي:

الفايرس كما يظهر بالاعلى قد يخدع المستخدمين المبتدئين وقد يشكل عبء على المطلعين لانه يقوم بغلق الجهاز على الشاشة التي بالأعلى كما يقوم بالتغيير في مفاتيح الريجستري كما هو موضح بالأسفل ويمنع الدخول الى مهام التشغيل او التاسك منجر وتعطيل برنامج مكافحة الفيروسات وتعطيل الجدار الناري كما يقوم بالتعديل في السيف مود وغير قابل للحذف من هناك ايضا.لذلك عند الإصابة بهذا الفايرس يمكن ازالته عبر اجبار النظام على الاقلاع من السيدي وتنظيف الهارددسك من البرامج الخبيثة. او يمكن فصل الهارددسك في جهاز اخر كهارددسك ثاني ويتم الدخول على الهارددسك وتنظيفه من البرامج الخبيثه.

User\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions

User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun

User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

عند تحليل هذا الفايرس قبل ثلاث اشهر فشلت اكثر برامج مكافة الفيروسات في التعرف على هذا النوع الجديد من الفيروسات (الصورة بالأسفل) ، بعد مراسلة الشركات المختلفه, تم وضع توقيع واعتماده للتحديث عبر برامج مكافحة الفيروسات لجميع المستخدين الشركات والافراد. يمكن الإطلاع على هاش الملف الرئيس وتحديد الشركات من هنا:

https://www.virustotal.com/en/file/6b42dd237e200bd16f3a35bc943a5ceeaaa19b0310eefb921e3ea66a66145875/analysis/

                             

13 شركة فقط من 46 نجحت في كشف الفايرس عند ظهوره

                        

مصادر الإصابة مختلفه قد تكون عبر موقع ويب او ايميل سبام به رابط يقود الى موقع ويب، او حتى ملف مرفق عبر الايميل. المثير في هذا الفايرس انه يستخدم ثلاث ثغرات هي (الجافا، الاكسبلورر و ادوبي PDF) وهنا الذكاء في الفايرس فلو كان الجافا حاصل على اخر التحديثات الأمنية سيقوم باستغلال ادوبي ولو كان هو ايضا سليم سيقوم بإستغلال المتصفح المحبب للكثير من الناس الاكسبلورر!

كيف تقوم بحماية نفسك:

1-الأهم: قم بتحديث جميع البرامج في جهازك على الدوام. يوجد برامج لفحص كل البرامج على جهازك وابلاغك بالغير محدث منها (Secunia) تستطيع الآن عمل فحص اونلاين بدون الحاجه الى التحميل من هنا http://secunia.com/vulnerability_scanning/online/

2-حدث برنامج مكافحة الفيروسات بشكل مستمر.

3-اذا واجهت نفس المشكلة قم بتنظيف الجهاز ولا تدفع!

بالتوفيق :)

تحديث:

حالات اصيبت بالفيروس في السعودية:

http://www.hawamer.com/vb/showthread.php?t=1245768

الاصابة التالية قد تكون بنوع مختلف لاختلاف التصميم للشاشة:

http://www.mstaml.com/forum/fr.php?i=201386

تحديث2:
شرطة ابوظبي تصدر تحذير عن الفايرس.
http://www.albayan.ae/across-the-uae/accidents/2013-04-13-1.1861505

Ref

http://malware.dontneedcoffee.com/search/label/Urausy

https://www.botnets.fr/index.php/Fichier:Reveton_AR_2013-04.png

http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Trojan%3AWin32%2FUrausy.A