الأربعاء، ديسمبر 02، 2009

كيف تؤمن متصفحك ؟

متصفح الانترنت هو برنامج يقوم "بتصفح" مواقع الانترنت و إظهار محتويات صفحاتها وفق المعايير القياسية الموجودة .تتميز المحتويات المعروضة بكثرتها و تعددها (vbScript,pdf,plash,mathml,SMIL,mpeg… و العديد)

في غالب الأحيان يجب الاستعانة بـإضافات Plugins للتمكن من إظهار هذه المحتويات و التي قد تضيف بعضا من نقاط ضعفها إلى مجموع نقاط ضعف المتصفح
ضرورة و سهولة استعمال المتصفحات و انتشارها الواسع على العديد من الأجهزة (PC PDA و أجهزة الهاتف) جعلها وجهة مفضلة للـ hackers و الأشخاص الذين يريدون إلحاق الأذى بالمستعملين
أنواع التهديدات:
قد يشكل المتصفح للمستخدم إحدى صور التهديدات التالية:
تحليل تصرفات و نمط المستخدم و استعمال ذلك لأغراض تجارية
سرقة المعلومات و الملفات
إيهام المستخدم بأنه يستعمل مواقع موثوق فيها Phishing
توقف جهاز المستخدم بسبب علة في المتصفح
أقسام المتصفح
يتكون المتصفح من عدة أجزاء تقوم بوظائف معينة أهمها
مفسر الـ URL
مفسر HTML
مفسر لغات السكربت مثل الـ javaScript و الـ VBScript
بيئة تشغيل للبرامج Applet Java, ActiveX, plug-ins
شريط الأدوات
*مفسر لغة HTML
يقوم مفسر كود الـ HTML/CSS ببناء الصفحة وفقا لأوامر العرض و التنسيق الموجودة في ملف HTML و العناصر المرفقة معها (frame أو صور ...)
الاستقرار الذي تتمتع به المعايير HTML, XHTML, WAP, CSS يمنع وجود أية أخطاء و ثغرات أمنية ناتجة عنها .بل الخطأ الوحيد الذي يمكن ملاحظته هو الخطأ الناتج عن تفسير خاطئ لبعض الأوامر الخاص بطريقة العرض فقط.
*مفسر لغات السكربت
يمكن هذا المفسر بتشغيل برامج صغيرة على جهاز المستخدم تسمح بإضافة بعض الديناميكية و التفاعل على صفحات الويب المكتوبة بالـ html فقط
أشهر لغات السكربت المستعملة و أكثرها انتشارا هي JavaScript و التي تتميز بكونها مفهومة من طرف أغلب المتصفحات IE, Firefox, Mozilla, Opera, Safari… عكس الـ VBScript الخاص بالـ Internet Explorer
استعمال هذه اللغات تزيد من مستوى تعقيد المتصفحات مما يخلق بيئة ملائمة لظهور كم لا بأس به من الـعلل
إضافة إلى إمكانية تنفيذ أوامر غير المسموح بها باستغلال بعض ثغرات المتصفح المتعددة كالولوج إلى الأقراص مما قد يسبب في سرقة و ضياع البيانات و الملفات.
بدون أن ننسى إمكانية توقف النظام كلية بسبب خطأ في كتابة سكربت معين أو الدخول السكربت في حلقة تكرارية لا متناهية
كود

إلى مصدر من مصادر المعلومة على شبكة الانترنت
*مفسر الـ URL
الـ url عبارة عن مسار للوصول
مثال:http://cyberzoide.developpez.com/graphviz/article/index.php?param=valeur
ينقسم الـ url إلى عدة أقسام:
البروتوكول المستعمل (http,ftp…)
الخادمServer (الـ domain أو IP )
مسار الملف
اسم الملف
الـ parameters
الجزء من الصفحة المحدد بـ #
و معلومات أخرى (اسم المستخدم كلمة المرور الـ port المستعمل ...)
توجد حيلتان قد يستعملهما الـHacker لإلحاق الضرر بـالمستخدم:
- استعمال URL خاطئ يحتوي على اسم موقع يثق فيه المستخدم
- استغلال خطأ لدى تفسير الـ url لتحويل المتصفح إلى صفحة أخرى
*الـ url الخاطئ phishing
مثلا قد يألف المستخدم استعمال موقع بنكه الخاص وليكن مثلا
http://www.mabanquedeconfiance.fr
قد يستعمل الـ Hacker أسماء مشابهة مثل
http://www.mabanquedeconfiance.fr.banquefalsifiee.com
 5454@www.banquefalsifiee.com/
http://www.mabanquedeconfiance.fr:id=ht ... .15.29.172

http://www.mabank-de-confiance.com

حيث أن الظاهر في العنوان هو عنوان البنك المعتاد لكن هو غير ذلك وما يزيد الطين بلة هو استخدام نفس تصميم صفحات البنك الأصلي لإيهام المستخدم و لجعله يقوم بكتابة معلوماته الشخصية مما قد يسبب له فقدان أمواله.
و الحل الأمثل لمثل هذه الحالات هو تجنب اتباع الروابط المرسلة عن طريق البريد الالكتروني و استعمال عنوان الموقع المسلم لك على هيئة روقة مطبوعة لدى تسجيلك في البنك .
*أخطاء تفسير الـ URL
قد يتسبب الـ URL الطويلة أو التي تحتوي على رموز خاصة خطأ لدى تفسير العنوان مما قد يسبب أخطاء في طريقة العرض أو قد يتم استغلال ذلك لتحويل مسار المتصفح إلى عنوان آخر
*الـ Plugins
الـ Plugins عبارة عن برامج صغيرة تضاف إلى المتصفحات قصد إثرائها و تمكينها من وظائف إضافية مثل فتح أنواع أخرى من الملفات أو تشغيل نوع جيد من ملفات الفيديو أو ملفات الصوت
يمكن إضافة هذه البرامج إما إلى المتصفح مباشرة أو إلى نظام التشغيل
- هناك عدة أنواع من الـ plugins
Java applets
عبارة عن برامج جافا منشورة على الويب تشغل في بيئة خاصة بذلك تسمى (Java Virtuel Machine) JVM
توفر هذه الـ JVM نظاما لا يمكن استغلاله للوصول إلى محتويات الأقراص أو الوصول إلى معلومات شخصية لهذا فإن لا يمكن أبدا استعمالها من طرق مصممي المواقع للضرر بالمستخدمين
كما أنه من بين أسباب أمن الـ Java applets امتلاكها إلى توقيع الكتروني يحدد هوية الناشر مما يترك الخيار للمستخدم حيال استخدام أو عدم استخدام البرنامج.
ActiveX
تعتبر الـ ActiveX أيضا برامج مستقلة يتم تشغيلها في جهاز المستخدم .
عكس JVM لا توجد موانع أو حدود للموارد التي يمكن للـ ActiveX الوصول إليها
يطلب المتصفح عادة من المستخدم إن كان يريد استعمال الـ Activex (في حال ما إذا "ظنه" آمنا") لكن هذه الخطوة لا تجد نفعا مع المستخدمين المبتدئين.
يملك الـ ActiveX أيضا توقيعا الكترونيا يحدد هيئة الناشر
قارئ متعدد الوسائط Multimédia
يستطيع المتصفح قراءة محتوى العديد من أنواع الملفات : بداية بـصفحات HTML و أوراق التنسيق CSS
و صفحات الـ WAP مرورا بالعديد من أنواع الصور مثل GIF JPEG PNG وصولا إلى ملفات الصوت WAV و MID
لكن الويب يحتوي على العديد من أنواع الملفات التي يعجز المتصفح عن قراءتها فتجده يستعين ببرامج متخصصة في كل نوع من الملفات
Pdfأغلب الكتب الالكترونية تكون في هذا النوع من الملفات
Flashملف تحريكي و إمتداده هو: swf وقارؤه هو برنامج
Adobe Flash Player
SMIL عرض ملتميدي إمتداده هو smil و قارؤه هو RealOne, QuickTime
MPEG-4 ملف فيديو و إمتداده هو mpeg و قارؤة برنامج RealPlayer
MOV ملف فيديو إمتداده Mov و قارؤه هو QuickTime
MathML صيغ رياضيةو إمتداده هو: Mml و قارؤه هو MathPlayer
VRML ملف تحريكى و إمتداده هو: Wrl و قارؤه هو : Cosmo
الـ Tools Bars
تتوفر في أغلب متصفحاتها ToolBars مختلفة تقوم بمهام مختلفة لكن نجهل مصدر أغلبها طريق استعمالهاو بما أن الـ toolbar يشتغل منذ اللحظة الأول لتشغيل المتصفح فإنه بإمكانه و بكل سهولة معرفة جميع المواقع التي تقوم بزيارتها و الكلمات التي تبحث عنها فضلا عن معرفة الرسائل المرسلة و الـ Password المستعملةمما يعني أن الـ toolsBars مصدر من مصادر تسرب المعلومات و بالتالي يمكن اعتبارها ثغرة أمنية
- قبل تنصيب أي برنامج و قبل تشغيل أي سكربت يجب التحقق من مصدرها .إن لم يكن مصدرها معروفا فمن الأفضل تجنبها
- يستحسن الدخول إلى المواقع التي تحتاج إلى اسم مستخدم و Password عن طريق كتابة اسم الموقع في الـadress bar وتجنب الروابط الموجودة في صفحات ويب أو مرسلة عبر البريد الالكتروني
- يمكنك تجنب استغلال الـ bugs الموجودة في المتصفح من طرف الـ Hacker بقراءة مقالات متخصصة تشرح أهم هذه الـ bugs و كيفية تجنبها
- تذكر دائما أن الحلقة الأضعف في سلسلة حماية المستخدم هو المستخدم نفسه
- احرص على تحديث متصفحك .إن كان متصفحك يدعم التحديث التلقائي فذلك أحسن
- استعمل المتصفحات المعروفة حسب نظام تشغيلك
Windows : Internet Explorer, Mozilla, Firefox, Opera
Linux : Mozilla, Firefox, Konqueror
Mac OS : Safari, Camino