السلام عليكم ورحمة الله وبركاته…

اليوم هو اليوم الأخير من مؤتمر القبعات السوداء Black Hat المقام في أبوظبي. كتغطية البارحة، اليوم كان عبارة عن محاضرات وتفاصيل لأبحاث متخصصة جداً في عدة مجالات من أمن المعلومات من الـDNS الى HTML5. يلي التغطية للمحاضرات التي قمت بحضورها اليوم. للمعلومية كانت تقام ثلاث محاضرات في نفس الوقت في اماكن مختلفة، هنا الجدول لتفاصيل أكثر.

أولاً: الإفتتاح

قام Jeff Moss مؤسس Black Hat و DefCon بإلقاء كلمته الرئيسية التي كانت مشوقة للغاية. الكلمة كانت ذكر تاريخه الشخصي وكيف بدأ مؤتمر القبعات السوداء عام 1997، وعن وضح أمن المعلومات خلال العشرين سنة الفائتة وكيف أننا كخبراء حماية لم نقدم حلول جذرية لأغلب المشاكل إنما قدمنا حلول بسيطة تحل المشكلة جزئياً. تحدث أيضاً عن أن لايوجد شيء آمن، فشبكات الجوال يمكن التنصت عليها، المتصفحات يمكن اختراقها، أنظمة التحكم تم اختراقها وغيرها الكثير. بالطبع لايوجد هناك نظام آمن ١٠٠٪ لكن نحن كمدراء مخاطر Risk يجب ان نحدد كم من المخاطر والخسائر يمكن تحملها.

ثانياً: محاضرة DNSSec

الوضع الحالي لبروتوكول DNSقديم جداً وغير آمن، قام الباحث بإطلاق أداة Phreebird لتنصيب بروتروكول DNSSec، الجدير بالذكر أن هذه الأداة لا تحتاج لتعديل أو اي شي كل ماتحتاجه هو تشغيلها في سيرفرك الخاص والتعديل في معلومات الدومين الخاص بك عند مزود الخدمة اذا كان يدعم DNSSec. المزود الوحيد الذي يدعم DNSSec حاليا هو GoDaddy لكل من ‪.‬org و ‪.‬net وفي شهر مارس سيدعم ‪.‬com ، أنصحكم بقراءة أكثر عن DNSSec، ببساطة مايقوم به البروتوكول هو اضافة توقيع لكل طلب للـDNS حتى يتأكد من حقيقة الموقع. يمكنكم الإطلاع على محاضرة الباحث في موقع Black Hat حين نشرها لمعلومات أكثر.

ثالثاً: محاضرة  Blitzableiter – the Release

اداة رائعة جداً جداً وعلى الجميع استخدامها. تقوم هذه الأداة بحمايتك من ملفات الفلاش الضارة اللتي تحتوي على استغلال لثغرات. والمعروف أن هناك الكثير والكثير من الثغرات الموجودة في مشغل الفلاش وهناك اختراقات كثيرة تتم عن طريق مشغل الفلاش. تقم هذه الأداة وهي عبارة عن فلتر يمكن اضافته لإضافة NoScript في متصفح Firefox بتحليل اي ملف فلاش في المواقع التي تتصفحها والتأكد من أن هذا الملف تم بنائه بالشكل الصحيح وتحليل جميع الـTags وغيرها، وحذف الملف الأصلي وإعطائك ملف فلاش خالي من المشاكل ان وجد ومرتب بشكل صحيح Well formed. حسب المحاضر فقد تمكنت هذه الآداة من صد كل الثغرات الموجودة في ملفات الفلاش لعام 201‪0‬. قام المحاضر أيضاً بشرح طريقة تحليل الآداة وعملها وكيف انها تختلف عن عن مضادات الفايروسات حيث ان الآداة لا تعمل على التحليل بالتواقيع Singnure based انما تعمل على على تحليل كيف يكتب ملف الفلاش بشكل صحيح وتعديله Formate Normalization. سألت الباحث عن الوقت الذي تستغرقه هذه الآداة عن الدخول على موقع مثل youtube وأجاب انها تعتمد على قوة المعالج لكن تأخذ تقريبا من خمس الى عشر ثواني. يمكن تحميل هذه الآداة من http‪://‬biltzableiter‪.‬recurity‪.‬com. من الأمور المهمة هي أن تعرف أن طريقة كتابة وبناء البرامج من Adobe غريب جداً جداً وخاطئ وهذا أحد أسباب وجود ثغرات كثيرة في منتجاتهم.

ثالثا: محاضرة Attacking with HTML5

يحمل HTML5 الكثير من المميزات الجديدة للمطورين، لكنها من الناحية الأمنية مخيفة جداً. فهناك أنواع جديدة من هجمات XSS ولا يوجد قائمة سوداء لسد هذه الهجمات للتاقز Tags الجديدة مثل video وغيرها. قام المحاضر بعمل تطبيقي لأداة Shell Of The Future، وهي تقوم بسرقة الـSession الخاص بشخص عن بعد من خلال ثغرات XSS. الجميل أن هذه الخاصية سيتم إضافتها لـbeEF منصة ثغرات XSS في الإصدار القادم. وضح أيضاً بتطبيق عملي كيف أن هجوم Clickjacking اصبح أسهل مع HTML5. أيضاً تم استخدام خصائص مثل WebSocket في HTML5 لعمل Port Scanning واسم الأداة JS‪-‬Scanner. خاصية أخرى مخيفة جداً هي WebWorkers وهي تقوم بعمل thread يعمل في الخلفية للجافا سكربت، مما يعني أن هذا السكربت سيعمل في الخلفية حتى تقوم بإغلاق الصفحة ولا يأثر على سرعة تصفحك. نعم يمكن استخدام هذه الخاصية لأمور كثيرة منها هجوم حجب الخدمة DDos Attack تخيل أن هناك لعبة يلعبها ١٠٠٠ شخص في موقعك جميعهم في وقت واحد وتم زرع bot يقوم بهجوم حجب الخدمة لصفحة بها عمليات معقدة، ماذا سيحدث؟؟؟. نفس الفكرة تنطبق على ارسال رسائل سبام والجميل والمبهر هو أنه يمكن استخدام هذه الفكرة ككاسر للكلمات السرية موزع على الاف المتصفحات. قام الباحث بتطبيق عملي لأداة RAVAN لكسر الكلمات السرية Distrubuted Password Attack، وتقوم بكسر ١٠٠،٠٠٠ باسورد في الدقيقة للمتصفح الواحد، الحسبة عليكم في حال وجود ١٠٠٠٠ متصفح يعملون معاً من أماكن مختلفة. أتوقع أن نشاهد استغلال كبير جداً لمثل هذه الهجمات في القريب العاجل.

رابعاً: محاضرة Malware Attribution for Fun, Fame, Profit and War

محاضرة ممتعة ومملة في نفس الوقت، تكلمت عن كيف يمكن تحليل الفيروسات من خلال كاتبيها وبناء ملف اجرامي لهم. التحليل بطرق مختلفة مثل مستوى كتابة الكود، هل يأثر على سرعة الجهاز، هل الفايروس عندما يعمل يوقف عمل الجهاز و غيرها. كل هذه النقاط تمكنك من بناء ملف عن هؤلاء الأشخاص ومعرفة اذ كانو محترفين أو مبتدئين، من اي بلد ومعلومات اخرى عنهم. قام الباحث أيضاً بتبطيق هذه النقاط على فايروس Stuxnet وتحليله. وضح أنها لا يوجد دليل قاطع عن الجهة المسؤولة ولا عن الهدف الحقيقي. وتم ايضاح مدى التعقيد والمهارة في المجموعة التي كتبت هذا الفايروس وأيضاً عن بعض الأخطاء التي وقعو بها أو أرادو بالعنية أن يقعو بها.

وهكذا إنتهى هذا المؤتمر الأكثر من راااائع والمفيد للتواصل والعلم والمعرفة. حسب ماسمعت أنه سيقام السنة القادمة إن شاء الله بسبب النجاح الباهر له لأول سنة في المنطقة. شخصياً استفدت الكثير الحمد لله وعدت بكثير من الأفكار والمبادرات اللتي سأبد بها شخصياً وعلى مستوى عملي أيضاً. يمكنكم مراجعة المحاضرات والإطلاع عليها حين نشرها في موقع Black Hat. أتمنى ان تكون التغطية حازت على رضائكم واستحسانكم وعذراً على التقصير إن وجد.