ما هو هجوم التخمين أو Brute Force ؟

 

ما هو هجوم التخمين أو Brute Force ؟

الترجمة الحرفية لمصطلح Brute Force Attack تعني الهجوم الغاشم, لكن يسمى عربيا هدا الهجوم بهجوم التخمين و يستعمل هدا الهجوم ضد كل الأهدداف المحمية بكلمات المرور مثل ملفات Win RAR أو Win ZIP أو الميكروسوفت وورد و كدلك حسابات المواقع و المنتديات و الايميلات, حيت يقوم البرنامج المستخدم لهدا الهجوم بتوليد عدد ضخم من كلمات المرور و تجربتها الى حين الوصول الى الكلمة الصحيحة و يتم توليد كلمات المرور بطريقتين : توليد كلمات المرور بالتتابع : و يبدأ البرنامج بوضع كل الاحتمالات الممكنة واحدة ثم الأخرى متلا لنفترض أن الحد الأدنى لعدد أحرف كلمة المرور هو 6 فالبرنامج هنا متلا سوف يبدأ ب الكلمة 000000 تم 000001 على النحو التالي :

000000

000001

000002

000003

..............

000000A

000000B

.....................

و هكدا الى أن يمر على جميع كلمات المرور الممكنة. توليد كلمات المرور عبر قائمة الكلمات : و يسميها الهاكرز و خبراء الحماية الغرب ب قاموس كلمات المرور حيت يتم صنع ملف نصي يحتوي على عدد جد كبير من كلمات المرور المحتملة و غالبا ما يضم كل كلمات قواميس اللغات المشتقة من اللاتينية لأنها هل المستعملة في كلمات المرور.

ما مدى فاعلية هدا النوع من الهجوم ؟

لقد ازدادت قوة هجوم التخمين بازدياد قوة الأجهز حيت سار بامكان الجهاز القيام بعمل أكبر في وقت أقل و أيضا تطور الهاكرز جعلهم يستعملون البوتنت أيضا في هدا الهجوم, و بالرغم من أن المبرمجين المعاصرين صاروا على دراية بخطورة هجوم التخمين و طوروا أساليبهم للحماية منه فمتلا بعض المواقع الشهيرة لا يمكنك الأستمرار في محاولة الدخول ب 3 كلمات خاطئة و عليك الانتضار 10 دقائق أو ادخال الكابتشا و بدلك قد يستغرق الهجوم سنوات.

هل يستعمل هدا الهجوم فقط لكسر كلمات المرور ؟

طور هدا الهجوم من أجل كسر كلمات المرور لكن و بعد التصدي له من طرف المبرمجين أصبح بعض الهاكر يقتنعون بغلق الحساب أد لم يكن ممكنا فتحه فالمحاولات الكتيرة للدخول الى حسابك على الفيسبوك متلا سوف يتم تجميد الحساب لمدة معينة و عند محاولتك الدخول فلن يفرق نضام حماية الفيسبوك بينك و بين المهاجم فيقفل حسابك في و جهك . كما يمكن استعمال هدا النوع من الهجوم لحجب الخدمة عن سيرفر فمحاولات الدخول المتكررة و المتزامتة قد تؤدي الى تصرف السيرفر بشكل غير طبيعي.طور هدا الهجوم من أجل كسر كلمات المرور لكن و بعد التصدي له من طرف المبرمجين أصبح بعض الهاكر يقتنعون بغلق الحساب أد لم يكن ممكنا فتحه فالمحاولات الكتيرة للدخول الى حسابك على الفيسبوك متلا سوف يتم تجميد الحساب لمدة معينة و عند محاولتك الدخول فلن يفرق نضام حماية الفيسبوك بينك و بين المهاجم فيقفل حسابك في و جهك . كما يمكن استعمال هدا النوع من الهجوم لحجب الخدمة عن سيرفر فمحاولات الدخول المتكررة و المتزامتة قد تؤدي الى تصرف السيرفر بشكل غير طبيعي.

ما الطريقة الفضلى للحماية من هدا الهجوم ؟

كما معروف مند زمن فأن كلمات المرور المعقدة و الطويلة تفي بالغرض.وانصحك بدمج الحروف والارقام في كلمة المرور الخاصة بحسابك

معرفه جهازك مخترق ام لا ! |الجنرال للمعلوميات تك

السلام عليكم اخواني الكرام مرحبا بكم في موقع الجنرال للمعلوميات تك وفي شرح جديد وهو ازاي تعرف جهازك مخترق ام لا ويوجد كذا طريقه والطريقه الاوله هيا عبرا الذهاب الي cmd وهذا الذي سوف نعمل عليه ونكتب هذا الامر 

Netsta -an

والتاكد من عدم وجود اي من الايبهات التاليه:- 

3460

1826

6200

6300

3646

777

888

288

83

5015

197

192

137

110

113

119

121

123

133

137

138

139

81

واما الطريقة الثانية :-

الذهاب الي Run وكتابة هذا الامر 

System.ini

والتاكد من عدم وجود *** بين الاقواس 

ملحوظ مهمة : معني اختصار BD هذه الحروف تدل او اختصارا لكلمه تعني Back Door 

اي يوجد اتصال عكسي بداخل جهازك وهذا يعني انك مخترق  يسرق بياناتك 

وباقي الطرق بداخل الشرح 

فرجه متتعه 

كلمات دلالية:

نصائح لمن أراد الدخول لعالم الإختراق|الجنرال للمعلوميات تك

السلام عليكم و رحمة الله و بركاته اهلا متابعينا من كل مكان في موضوع جديد وهو عن نصائح لمن يريد الدخول الي عالم الاختراق هذه النصيحه والمعلومات من رجل رأي الكثير في حياته وتعلم الكثير والكثير ومازلت اتعلم وهو انا,الجنرال ..

في بداية الموضوع الشركة غير مسؤلة عن اي استخدام غير صحيح لهذه المعلومات ..
فاليوم بإذن الله لن أقدم درس أو مقال أو ما شابه ذلك

بل أريد إيصال رسالة لمن يريد تعلم الإختراق و الهاكينغ

عالم hacking يعتبر من العلوم المعقدة و السريعة التطور

فلا يمكن القول أنك بتعلم بعض الحيل أنك متقن للإختراق

لأن هذا المجال متجدد و متطور , فالطريقة التي تعلمتها اليوم ربما سيتم إيقافها من طرف الأمنيين

على سبيل المثال :

brute force أي ما يسمى بالتخمين فبعد أن كانت الطريقة متاحة و شغالة في 2015 

ها قد تم غلق الثغرة من قبل الشرمات الكبيرة مثل : Facebook -Twitter-.....

أي بالتحديد المواقع المشهورة ذات البروتوكول HTTPS

و هذا لا يعني أن الطريقة غير شغالة

بل تشتغل في المواقع البسيطة ذات البروتوكول HTTP و منه الهاكينغ ليس محصور على طريقة واحدة أو ما شابه.

و تعد social engineering أساس الهاكينغ , أعطيك مثال لتفهم كلامي جيدا

نفترض أن شخص أراد إختراق حساب  الفيس بوك

فجب أولا ألا تفكر في الإختراق المباشر لأن ذلك يحتاج في البحث عن الثغرات و بالمعنى الأصح

صعب جذا أن تجد ثغرة توصلك لصلاحيات الضحية. و هذا مثال لثغرة brute force التي تم إغلاقها.

فلذلك نلجأ إلى طريقة خداع الضحية مثال معمَّق :

إختراق الواي فاي من أسهل المجالات فلذلك إن كنت داخل الشبكة تستطيع تنفيذ هجمة MITM 

Man In The Middel

و تدعى هجمة الرجل في المنتصف و يوجد إشكال أخر و هو أن  الشركات الكبيرة غيرت بروتوكول الخاص بها الى من

http الى https و ذلك لتشفير بياناتها و حماية مستخدميها من هجمة هذه الأخيرة فعلى الهكر أن يفكر في تخطي ذلك المشكل

فيلجأ الهكر إلى تشغيل أدات sslstrip و يعمل توقيف الجدار الناري في راوتر الضحية ثم يشن الهجوم

إما بالتجسس على الضحية بحزم ARP أو أن يعمل DNS SPOOFING 

و هكذا يتم سرقة كلمة سر الفيسبوك.

هذا مثال بسيط عن الهندسة الإجتماعية

المهم نعود لموضوعنا و هو مجموعة من النصائح لمن أراد دخول مجال الإختراق 

1- أول شيء يا أخي راعي الحلال و الحرام مثال لا تخترق إلا إذا دعت الحاجة مثل إغلاق المواقع المسيئة للإسلام و الإباحيات ...

2- المجال حساس جدا أخي الكريم فلذلك أنصحك بحماية نفسك قبل أي شيء و أخفي نفسك من أعين الشركة التي تزودك بالأنترنت.

3-لا تقْدم على شيء إلا إذا كنت متأكد من الطريقة و ذلك أن تجربها على نفسك.

4-و هذه ثاني أهم حاجة بعد الأولى و هي أن تعرف كيف تمسح أثارك بعد الإختراق لأن عدوك الوحيد هي أثارك.

كيف تستطيع ان تتبع موبايلك اذا تعرض للسرقة

🖥 كيف تستطيع ان تتبع موبايلك اذا تعرض للسرقة ؟؟؟؟📲📱

---------------------

اذا فقدت موبايلك يمكنك ان تتبعه دون اللجوء الى الشرطه

الغالبية منا يخشون فقدان تلفوناتهم او سرقتها في اي لحظه ولكن المريح هو ان 

كل تلفون يحمل رقما فريدا يسمى بالرقم الدولي لتعريف الموبايل يميزه عن بقية التلفونات وهو ما يرمز اليه ب IMEI وهو اختصار ل 

International mobile equipment identity

وهو الرقم الذي يستخدم في تتبع موبايلك واليك الطريقة كيف يعمل 

١ - قم بادخال هذا الرمز من موبايلك #٦٠#*

٢ - سيظهر لك الموبايل مجموعة ارقام تتكون من ١٥ رقما

٣ - قم بنسخ هذا الرقم في مكان امين غير الموبايل

٤ - ارسل هذا الرقم بالبريد الالكتروني الى هذا العنوان 

Cop@vsnl.net

بالتفصايل المبينة ادناه 

اسمك your name

العنوان address

الموديل model

التصنيع make

اخر رقم اتصال last no

البريد الالكتروني او وسيلة الاتصال 

تاريخ الفقدان

٥ - واخيرا  اكتب رقم  ال imei المشار اليه سابقا

سيتتبع موبايلك خلال الاربع والعشرين ساعة القادمة بواسطة انظمه معقده من خلال النت  ستعرف اين يستخدم موبايلك واسم المستخدم وسيرسل لك رقمه الجديد علي بريدك الالكتروني 

بعدها يمكنك الذهاب الي الشرطة بالمعلومات التي لديك ...

أرجو نشر هذه المعلومة ليستفيد منها غيرك ...

سبعة أكاذيب قد تمنعك من تعلم البرمجة

سبعة #أكاذيب قد تمنعك من تعلم #البرمجة
======================
الكذبة الأولى: إن كنت فاشلا في #الرياضيات فلن تتعلم البرمجة
الحقيقة: المنطق الرياضي مهم جدا في حل المشاكل البرمجية، لكنك لست ملزما أن تكون متفوقا في الرياضيات لتتعلم البرمجة، فالرياضيات جزء من البرمجة وليست كل البرمجة، ولن تحتاج الرياضيات إلا في المشاريع التي تستلزمها منك كمشاريع التصميم والهندسة، تماما مثل حاجتك إلى الفيزياء لتقدير سرعة الأجسام وقوة الاصطدام إن أردت برمجة الألعاب.
وفي الغالب لن تكون مطالبا بالتعمق في مفاهيم الرياضيات لأن لغات البرمجة سهلت هذا الجانب بشكل كبير وكل ما ستحتاجه من دوال مثل سينيس وكوسنيس وغيرها موجود وجاهز..كل ما عليك أن تكون متمكنا من العمليات الحسابية الأساسية (الجمع، الطرح، الضرب، القسمة).
إذن لا تشغل بالك بالرياضيات واشرع في تعلم البرمجة الآن !
==============================
الكذبة الثانية: إن لم تكن تتكلم #الانجليزية بطلاقة فلا تحلم أن تكون مبرمجا
الحقيقة: ليس شرطا أن تكون أمريكيا أو بريطانيا لتكون مبرمجا، فاللغة لم تكن في يوم من الأيام حاجزا للولوج إلى أي حقل معرفي، إن كنت تتقن لغة عالمية واحدة فيمكنك أن تكون مبرمجا ناجحا، وخذها مني بصدق: يكفي أن تكون متقنا للغة العربية وستتعلم البرمجة لأن المصادر المعرفية بالعربية في رقي وتقدم.
لكن لا تتكاسل في تعلم الانجليزية لأنك ستحتاجها بعد أن تتعلم ركائز البرمجة وستجد نفسك مضطرا إلى البحث عن بعض المعلومات باللغة الانجليزية.
أما حاليا فيكفي أن تكون قادرا على فهم اللغة العربية أو إحدى اللغات العالمية لتبدأ رحلتك التعلمية وأنت مطمئن.
==============================
الكذبة الثالثة: #المحتوى_العربي رديء و لن ينفعك بشيء
الحقيقة: غالبا ما يطرح هذه الفرية أشخاص فاشلون لم يستطيعوا الإسهام في إثراء المحتوى المعرفي العربي فبادروا إلى الانتقاص منه والطعن في أهله واستصغارهم.
المحتوى العربي مشرف جدا وهو في رقي مستمر، والعتب ليس على نور الشمس ولكن على الأعمى الذي لا يبصره.
=============================
الكذبة الرابعة: #البرمجة_متعبة و لا تدر على صاحبها المال
الحقيقة: نعم البرمجة متعبة لكنها ممتعة ;) أما مسألة أنها لا تدر على صاحبها المال، فعليك أن تعلم أن أغنى شخص في العالم: بيل غيتس حاز ثروته بالبرمجة وأمثاله كثيرون: مثل مؤسس الفيسبوك والواتساب وتويتر و..إلخ.
أضف إلى ذلك أن من أعلى الرواتب قدرا في الدول المتقدمة رواتب المبرمجين والمطورين.
============================
الكذبة الخامسة: البرمجة حكر على #المتخصصين فيها
الحقيقة: البرمجة فن، ولم يكن الفن في يوم من الأيام حكرا على أشخاص بعيانهم، يمكنك تعلم البرمجة مهما كان سنك ومهما كان موقعك الاجتماعي، فقط ابدأ وستلاحظ حجم هذه الكذبة.
============================
الكذبة السادسة: #البرامج_كثيرة على الانترنت فلماذا تتعلم البرمجة
الحقيقة: نعم البرامج كثيرة لكن الحاجة البشرية لا حدود لها، وما يدريك أن تخطر ببالك فكرة فتقوم ببرمجتها وتنجح نجاحا مبهرا، ثم لو كان كل المبرمجين يفكرون هكذا لما صنع برنامج واحد.
===============================
الكذبة السابعة: البرمجة تعني تحولك إلى #زومبي
الحقيقة: هنالك من له القابلية إلى أن يعيش مثل الزومبي حتى بلا برمجة :)
فقط نظم وقتك ورتب مهامك ولن تحتاج إلى السهر الطويل لكي تنام طيلة النهار.

وفي الختام خذها مني بصدق: استصغر ما يستعظمه الناس تتفوق عليهم.

الحماية و الإختراق العشوائي »»» مصادر الهجمات و التهديدات الأمنية

إن الهجمات على الأنظمة المعلوماتية متعددة و متنوعة وهي تشكل تهديدا خطيرا على البيانات المتواجدة بها .
و لأهمية هذا الموضوع و تكملة لسلسلة الحماية و الإختراق العشوائي ، سنتطرق اليوم إلى أهم مصادر الهجمات الإلكترونية و العديد من التهديدات الأمنية اللتي تحيط بأنظمة المعلومات 🙂 .

---

من أين تأتي الهجمات ؟

---

---

نقصد بذلك المسار اللذي يتخذه الهاكر للوصول إلى مركز المعلومات في الشبكة و تنفيذ عملية الإختراق ، وهو ما يعبر عنه ب ال Attack vector .
و هذه الطريقة تمكن المهاجم من الإستفادة من الثغرات الموجودة على مستوى نظام المعلومات و إستغلالها بالشكل المناسب لتحقيق أهدافه .

و من بين المسارات المتخذة في تنفيذ الهجومات نذكر :

• مواقع التواصل الإجتماعي .
• التطبيقات الخاصة بالشبكات .
• الفيروسات و خاصة منها التروجان .
• التطبيقات الغير محدثة .
• البوتنات Botnet .
• والعديد من المسارات الأخرى كا هو موضح بالصورة .

---

المسارات المتخذة في الهجمات

---

تركيبة الهجمات :

---

---

يتكون الهجوم من مجموع ثلاث عناصر أساسية وهي كالآتي :

الهدف Goal : هو الدافع وراء تنفيذ الهجوم .
الطريقة Method : هي المسار و مجموعة الوسائل و الأدوات المستعملة في الهجوم .
الثغرة Vulnerability : هي نقاط الضعف الموجودة في النظام المستهدف .

و بالتالي يمكننا تلخيص هذا في العلاقة الآتية :

الهجوم = الهدف + الطريقة + الثغرة

---

---

التهديدات الأمنية :

---

---

و هو ما يعبر عنه بالإنجليزية ب Security threats ، و نعني بها كل المخاطر اللتي تحوم حول أنظمة المعلومات .

و تنقسم هذه التهديدات إلى 3 أصناف :

• تهديدات طبيعية :
  مثل الزلازل أو الفياضانات أو الأعاصير و اللتي لا يمكن التحكم بها و لا السيطرة عليها ، و تكون المعلومات في هذه الحالة معرضة للتلف و التدمير و لا يمكن الحفاظ عليها أو إسترجاعها إلا بوضع خطة جيدة للطوارئ .
• تهديدات فيزيائية :
  مثل الحريق أو المياه أو السرقة و اللتي تؤدي إلى تلف جزء من البنية التحتية لأنظمة المعلومات .
• تهديدات بشرية :
  وتتمثل في الهجمات على أنظمة المعلومات أو بالأحرى عمليات الإختراق ، وتكون متكونة من نوعين :

1. تهديدات داخلية Insider attack : وهي اللتي تتم من قبل الأشخاص اللذين يوجدون في داخل المنظومة المعلوماتية ، وتكون خطورتها كبيرة بإعتبار أن هؤولاء يعرفون الكثير عن تركيبة المنظومة.
2. تهديدات خارجية Outsider attack : وهي اللتي تتم من قبل الأشخاص خارج المنظومة ، واللذين لديهم الخبرة الكافية اللتي تمكنهم من معرفة نقاط الضعف و الثغرات الموجودة .

---

تهديدات الهجمات الداخلية و الخارجية

---

و تنقسم هذه التهديدات الخارجية بدورها إلى ثلاثة أقسام وهي كالتالي :

• تهديدات على مستوى الشبكة :

و تتمثل في دخول الهاكر على قنوات الإتصال بين الأجهزة و سرقة المعلومات منها عن طريق هذه الأساليب :

1. جمع المعلومات Information gathering .
2. التجسس Sniffing .
3. التنصت Spoofing .
4. تسميم إ آر بي ARP poisoning .
5. هجوم الرجل في الوسط Man in the middle attack .
6. حقن إس كيو إل SQL injection .
7. هجوم حجب الخدمة Dos attack .

---

تهديدات الهجمات على الشبكات .

---

• تهديدات على مستوى النظام :

يكون الغرض منها توجيه هجوم على النظام المباشر واللذي يحتوي على المعلومات المراد سرقتها بإستعمال هذه التقنيات :

1. هجوم البرمجيات الخبيثة Malware attack .
2. بصمة الهدف Target footprinting .
3. هجوم كلمات العبور Password attack .
4. هجوم حجب الخدمة Dos attack .
5. دخول غير مسموح به Unauthorized access .
6. ترقية الصلاحيات Privilege escalation .
7. هجوم الباب الخلفي Back door attack .
8. تهديدات أمنية مادية Physical security threats .

---

تهديدات الهجمات على الأنظمة .

---

• تهديدات على مستوى التطبيقات :

و هي تتمثل في الأخطاء اللتي يرتكبها المبرمجون على مستوى الكود البرمجي واللتي تمهد لوقوع هذه المخاطر :

1. تأكيد المعلومات و المدخلات Data / Input validation
2. هجوم المصادقة والتخويل Authentification and authorization attack .
3. إدارة الإعدادات Configuration management .
4. الإفصاح عن المعلومات Information disclosure .
5. جلسة إدارة المشاكل Session management issues .
6. هجوم التشفير Cryptography attack .
7. التلاعب بالمدخلات Parameter manipulation .
8. تعامل غير جيد مع الأخطاء و إدارة الاستثناء Improper error handling and exception manegement .

---

تهديدات الهجمات على التطبيقات

---

شكر لكم على متابعتنا ، و إلى اللقاء القريب إن شاء الله ، مع المزيد من التدوينات الأخرى في سلسلة الحماية و الإختراق العشوائي 🙂 .