الهندسة الاجتماعية
فى المقال ده مش هتكلم عن اى شئ فنى ولا اكواد ولا جعاليص ولا اى شئ يتطلب اى مهارات تقنية، كل الموضوع انك تكون واد برنس بتعرف تقنع الى قدامك او بمعنى ادق بتقدر تستغل “غباؤوه” ، هنتكلم النهارده عن الهندسة الاجتماعية او ما يعرف بـ Social Engineering او ما يعرف بإختراق العقول او بثانى إيدز للإنترنت بعد الهجمات الموزعه لحجب الخدمة DDOS ، الهندسة الاجتماعية كانت وستظل هى سرطان/ايدز الانترنت، طبعا الانترنت ملوش اى علاقه ولا ذنب فى دا، ولا حتى الادوات الى احنا بنستخدمها، لو هنلقى اللوم فعلا فهنلقية على 3 حاجات:
1- عدم التوعية – مفيش توعية او تدريب للموارد البشرية على التعامل مع انواع الهجوم المتطوره دى.
2- فى توعية وكل حاجه والدنيا قشطه بس بجانب التوعية دى فى شوية غباء بالفطره او غباء بالاكتساب (مش هيفرق)
3- فى توعيه + الدنيا قشطه + مفيش غباء ولكن فى تركايه او ميزة جديدة بتبقى فى الويب ابلكيشن (الموقع) الى انت قاعد وشغال عليه بس انت متدربتش عليها او مخدتش بالك منها – او فيتشر جديده انت لسه متعاملتش معاها، افضل العرب فى موضوع الهندسة الاجتماعية والى اخترقوا مواقع كتيره جدا وكبيره هم الجيش السورى الاليكترونى الموالى لبشار الاسد، افضل من رأيك فى الاجانب هو الاسطورة Kevin Mitnick وغيرهم كتير وكتير.
السوشيال انجنيرينج بساطه هو استغلال الخطأ “الغباء” البشرى، مش هتكلم كتير هنا عن اى تفاصيل كتيره فى الموضوع بس هذكر امثله مشهوره جداً واختراقات تمت بواسطة أناس عالاقل لا يملكوا القدرة التقنية، او يملكوها ولكن الشئ الى عايزين يخترقوه صعب من الناحيه الفنية “يعنى السيرفر – الويب ابلكيشن – الموقع لا توجد به اى ثغرات”.
-اسباب ممكن تؤدى للهندسة الاجتماعية، مش لازم تكون كلها بسبب غباء البشر، جزء من كل الطرق ممكن يكون تقنى:
1- ممكن يحصل هندسة اجتماعيه على حد ما فى شركة كبيره جدا لمجرد ان المهاجم اكتشف ثغرة من نوع Full Path Disclosure ثغره زى دى لا يمكن استغلالها بمعنى انها ملهاش استغلال مباشر هيا بس عباره عن شئ ادالك الخيط لمعلومه جديده، ممكن تكون المعلومه دى “نظام تشغيل” او “اسم مستخدم” او “محث\مسار لفولدرات او ملفات ذات اسماء حساسه ميعرفش مكانها غير الضحيه نفسه ولو حد جاله بكره الصبح وقاله انت عندك فولدر اسمه “تامر” على الجهاز ساعتها الضحية هيبقى متأكد ان الاخ الى قاله كدا دا يا إما اخترق جهازه، ياصديقه فى الشغل، يا قعد على الجهاز قبل كدا”.
2- بيانات الموظف “الشخصية” وحياته الشخصية ولحظات الفرح والحزن قد تعرض الشركة للخطر، مش هشرح ازاى بس لكم ان تتخيلوا ودا كله هيفيد المهاجم فى مرحلة جمع المعلومات Information Gathering الى هيا بتبقى تانى مرحلة من مراحل الاختراق المستهدف.
3- نفايات الشركة من فاكسات، محادثات داخلية، ورق ملوش لازمة، اوراق قديمة مختومه، دليل الهاتف، تقييمات المنظمة، المذكرات، قوانين المنظمة، تواريخ الاجتماعات و الأحداث و الإجازات، إرشادات استخدام النظام, أوراق مطبوعة لمعلومات حساسة أو أسماء المستخدمين وكلمات السر المستخدمة للدخول إلى النظام، أوراق مطبوعة للكود الأصلي الذي كتب به النظام، أقراص أو أشرطة تحوي معلومات عن المنظمة، الأوراق التي تحمل شعار المنظمة، الأجهزة القديمة و و و … الخ.
4- فيتشر او ميزة جديده فى موقع او فى شبكة تواصل إجتماعى.
5- عن طريق التليفون أكثر هجمات الهندسة الاجتماعية بتحصل عن طريق التليفون، يتصل المهاجم مدعياً أنه شخص ذو منصب له صلاحيات و يقوم تدريجياُ بسحب المعلومات من الضحية. غالباً ما يتعرض مركز الدعم الفني إلى هذا النوع من الهجوم، فمركز الدعم الفني ليس بالموقع المحصن لأنه مخصص لتقديم المساعدة مما يجعله موقع مهاجم من قبل الأشخاص الراغبين بالحصول على المعلومات المحظورة.
6- استغلال وظيفة عم عبده بتاع التحويله، Phone Operator يستطيع المهاجم الإدعاء بأنه يتكلم من داخل المنظمة بالقيام ببعض الألاعيب على محول المكالمات داخل المنظمة. إذاً هوية المتصل ليست دائماً الدفاع الأفضل.
7- موظفين الدعم الفنى دايما بيبقوا كيوت علشان “المكالمة قد تكون مسجلة” بيقولك قد، المهم موظفين الدعم الفني دربوا ليكونوا ودودين مع المتصلين و أعطائهم المعلومات التي يطلبونها فيستغل المهاجم هذه النقطة لصالحه، دا غير ان هما معندهمش خلفية عن أمن المعلومات لذالك فهم معتادين على الإجابة على الاستفسارات و الانتقال إلى المكالمة التالية.
8- عن طريق الإنترنت: حيث كلمات السر الضعيفه يكمن الضعف في اعادة استخدام كلمة السر الواحدة في الدخول لعدة أنظمة ومن الممكن كلمة السر تكون Default محدش غيرها نتيجة للفقر المعلوماتى عند الموظفين فتلاقى شركة كبيره زى ياهو مثلا لسه عندها Panels هامة والدخول ليها بيكون Admin كباسوور ويوزرنيم grin emoticon محدش يستغرب اه والله حصل .
9- قد يرسل المهاجم بريد إلكتروني لصاحب الحساب منتحلاً شخصية أحدى المؤسسات التي يتعامل معها المستخدم يطلب منه تحديث معلوماته وبذلك يحصل على المعلومات التي يريدها.
10- عن طريق الإقناع: المهاجمين يتعلمون الهندسة الاجتماعية من الناحية النفسية. فيركزون على تهيئة البيئة المثالية نفسياً للهجوم، إثارة انطباع جيد لدى الضحية, التملق, التكيف, تفريق المسؤوليات و ادعاء وجود معرفة قديمة.
11- عن طريق الهندسة الاجتماعية المعاكسة: هي طريقة متقدمة جداً للحصول على المعلومات المحظورة، فيدعي المهاجم بأنه شخص ذو صلاحيات عالية مما يدفع الموظفين إلى طلب المعلومات منه إذا تم الأمر كما خطط له فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الموظف لكن هذه الطريقة تتطلب التحضير المسبق بشكل كبير و الكثير من الأبحاث مع القدرة على الهروب في الوقت المناسب.
12- كل موظف سوشيالى بطبعة، بمعنى ان فى ناس لو داخله الحمام بتكتب على فيسبوك انها هتدخل الحمام، الموظف دا لو لقيته عندك فى الشركه، إرفده مينفعش فيه تدريب ابداً، الى زى دا لو هتدربه قبل ما هيحضر التدريب هيكون كاتب على تويتر عنوان السيشن واسم المدرب وهيعمل Invite لأصحابه كمان علشان ييجوا يتدربوا.
-امثلة وسيناريوهات:
سيناريو #1
الاطراف والثغرة: انا + شركة كبيره + نوع الثغرة Full Path Disclosure
انا شخصياً وانا بعمل Pentesting لشركة مصرية كبيرة قدرت اوصل ل Local Path Disclosure فقدرت اوصل ل User Name خاص بأحد الموظفات داخل الشركة دى، ومن ثم قدرت اوصل لرابط الحساب الخاص بتاعها على موقع التواصل الوظيفى LinkedIn وكجزء من عملى ضفتها وعملتلها توصية Endorsement وفى فترة قصيرة بقينا شبه اصدقاء، بعدين بدون ما اطلب منها بردو قدرت اتوصل لحساب twitter و facebook الخاص بيها وطبعا عملت فولو و Add على فيسبوك، ولحد هنا وقفت علشان مكانش مسموح ليا انى ابقى Black مثلا واهاك ال Machine الى هيا عليها. لو هنكمل السيناريو ساعتها انا هبقى صديقها المقرب وادخل الجهاز وافعل اى Keylogger او Reverse Proxy على كل البراوزرات ولو عندها Wireless فى البيت هحاول اهاكه بأى طرق ممكنه المهم قدر اكون داخل الشركه من خلالها، حتى لو الشركه نضيفه ومحترمه وعندها Security Levels كويسه وبتخلى موظفيها علشان يدخلوا من برا مثلا لازم يتصلوا على السيرفرات بواسطة VPN Accounts ففى الحالة دا هيبقى اختراقى لجهاز الموظف هو مربط الفرس.
سيناريو#2
الاطراف والثغرة: الجيش السورى الاليكترونى + مايكروسوفت + True Caller + AOL + شركات تانية كتيره جداً وكبيره – نوع الثغره Direct Social ENgineering after Information Gathering
الجيش السورى الاليكترونى من كتر الاختراقات واهميتها وكمية الاختراقات الى عملها بصراحه انا شخصيا كمحمد شايف ان هوا الوحيد الذي اثبت ان الغباء لا دين ولا جنس ولا لون له، وهرفعله القبعه بعيداً عن اى خلاف سياسى او عقائدى، انا هنا بتكلم عن الذكاء والدهاء بس مش اكتر.
سيناريو#3
الاطراف والثغرة: كيفين ميتينيك + شركات عديدة كبيره + نوع الثغرات كانت مختلفة بس اغلبها هندسة اجتماعيه واتكلم عنها كلها فى الكتابين اللى قام بتأليفهم والى كانوا بعناوين The Art of Intrusion و The Art of Deception من الحاجات الى عملها:
1- اختراق نظام لوس انجلوس للمواصلات العامة ليتمكن من استعمال مرافقها مجانا
2- إختراق أنظمة شركة كانت تسمى DEC للحصول على source code الكامل لنظام تشغيل VMS التجاري في ذلك الوقت
3- إختراق جهاز IBM في أحد المراكز التعليمية أيضا في لوس انجلوس (للفوز برهان مع أصدقائه)
4- إختراق أنظمة شركات مثل NEC و Nokiaو Sun Microsystems و Fujitsu Siemens
5- الجرائم التي لم تثبت عليه.
السيناريو الاحدث على الاطلاق – سيناريو#4
مهاجم مغربى الجنسية – صفحة مجلس الوزراء – فيتشر او ميزة جديده فى موقع او شبكة تواصل اجتماعى
فيسبوك بيسمح لناس كتير جدا بأنهم يفتحوا حسابات Business من خلال الدخول الى https://business.facebook.com ، الحسابات دى ليها ميزه مش موجوده فى الحسابات الشخصية، الميزه دى اسمها Pages Ownership بمعنى ان صاحب الاكاونت يدخل على اى صفحة ويبعت طلب لمديرى الصفحة دى طلب بأنه يمتلك الصفحه، شايفين السزاجة فى بساطة الطلب ؟! يعنى بيجيلك واحد وانت فى الشارع ويقولك ياكابتن انا عايز الجزمة بتاعتك بس ساعتها علشان انت ساعتها مش فاهم فبتقوله خدها، وتمشى انت بالبلدى كدا “حافى” وتدخل فى رجلك مسامير كتير وتقعد تبكى وتنعى حظك والحقونى البيدج اتسرقت، نكمل موضوعنا، فبيوصل لمديرى الصفحة ان الشخص دا عايز يمتلك الصفحه فإنت بتوافق وش، ياترى ليه؟! اقولك انا ليه، لأن البرنس الى دخل وعمل الاكاونت سماه Page Verifier وكمان عمل صورة بروفايل للأكاونت دا بنفس صورة علامة الصح الخاصه بالتوثيق قال ايه كأنه فيسبوك بيبعتلك طلب توثيق Verification للصفحه بتاعتك، ماشاء الله من نفسه كدا، وبما ان الناس الفتره الاخيره كان عندها هوس انها توثق صفحاتها فكله بييلبس فى الموضوع دا ، انا مش هتكلم كتير عنه لأنه مجرد مثال مش اكتر بس بالنسبه لحل الموضوع دا ادخل هنا او هنا واختار الصفحة بتاعتك من الليستة الى هتظهر وكمل الخطوات، لو ملقتش الصفحة موجوده ففى الغالب بسبب ان فيسبوك بيعمل Rollback لكل الصفحات الى حصلها المشكلة دى وقريبا هترجع لأصحابها زى ما حصل مع ثغرة الدمج.
سيناريو 5 – سيناريو 6 – سيناريو 7 – سيناريو 8 – سيناريو 9 و ….. الخ ومش هتخلص السيناريوهات طالما فى غباء ومفيش توعية.
-العلاج “طرق الحماية من الهندسة الاجتماعية”:
1- وضع قوانين للحماية الأمنية للمنظمة: تقوم المنظمة بالتوضيح للعاملين فيها قوانين الحماية الأمنية المتبعة و التي على العاملين تطبيقها، على سبيل المثال: يقدم الدعم الفني المساعدة ضمن أمور معرفة و محددة مسبقاً.
2- وضع حماية أمنية لمبنى المنظمة: يمنع دخول الأشخاص غير العاملين في المنظمة/ و تحدد الزيارات في حدود الأعمال بمعرفة سابقة لحراس الأمن في المنظمة وتحت مراقبة منهم.
3- التحكم بالمكالمات الهاتفية: وذلك بوضع نظام امني للمكالمات مع القدرة على التحكم في من يستطيع مكالمة من، منع المكالمات الخاصة و حضر المكالمات الدولية و بعيدة المدى إلا للضرورة و بإذن المسئول عن المكالمات.
4- عدم إظهار مدخل للخط الهاتفي للمنظمة لتجنب استخدام الهاتف من قبل شخص خارج المنظمة.
5- التعليم و التدريب: تثقيف الموظفين داخل المنظمة بمجال أمن المعلومات و الاختراقات التي من الممكن حصولها.
6- تدريب الموظفين في مركز الدعم الفني و تثقيفهم على مستوى جيد من الناحية الأمنية و توضيح أساليب المهاجمين و تدريسها لهم، تدريبهم على عدم إعطاء معلومات ذات سرية عالية إلا بعد التأكد من هوية الشخص و وفقاً للحد المسموح بيه.
7- تدريبهم على كيفية رفض إعطاء المعلومات عند عدم الإمكانية بأسلوب لبق.
8- إستراتيجية التصرف في المواقف الحرجة: بأن يكون هناك إستراتيجية محددة تضعها المنظمة تمكن الموظف من التصرف إذا طلب منه معلومات سرية تحت ضغط ما، مثال إتلاف المستندات و الأجهزة غير المستخدمة، وضع أجهزة لإتلاف الورق داخل المنظمة كي لا يمكن استخدام المعلومات التي تحويها سواء كانت معلومات حساسة أو كلمات سر للدخول للنظام و نحو ذلك، ودا حصل وانتوا كلكم عارفينه حصل امتى وفين.
9- إتلاف أجهزة الكمبيوتر القديمة كي لا تستعمل باستخراج معلومات سرية منها.
-الدروس المستفاده:
1- كل موظفينك لازم يكونوا على قدر ودرايه بالتكنولوجيا، حتى عامل النظافة، علشان الورقة الى هيرميها هتوديك فى 60 داهيه هوا هياخد باله منها.
2- الورق الى هياخده المواطن المفروض ميكونش فيه اى معلومه داخلية عن النظام – المؤسسة – الجهه .. الخ زى ما ماشاء الله بنوكنا الوطنية والبوسطة بيبقى اسفل الورقة كدا وانت بتستلم حوالة هتلاقى URL كامل للعملية الى تمت، هتقولى اه مش هقدر ادخل عليها من برا، هقولك تخيل السيناريو الاسوأ، حدث بالفعل “المنيا – 2010” مش هقدر احكى الموضوع لأنه كفيل بأنه يرمينى فى ابو زعبل.
3- جبت كوادر ملهاش فى التقنية ومعندهاش خلفية لمجرد ان الوظيفه الى هما فيها ملهاش علاقه، لا ارجع دربهم واعملهم تدريب توعية عالاقل بالمخاطر الى ممكن تحصل لو هوا جاهل تقنياً.
-ادوات:
فى ادوات كتيره جداً على انظمة التشغيل المخصصه لإختبار الاختراق مثل Kali و Backtrack متخصصه فى مجال الهندسة الاجتماعية ومجال جمع المعلومات، Google it
-مصدر ومراجع:
الجيش السورى الاليكترونى – ويكيبيديا
الجيش السورى الاليكترونى – الموقع الرسمى وتوثيق الاختراقات
الجيش السورى الاليكترونى – اخبار عامة
كيفين ميتينك – ويكيبيديا
كيفين ميتينك – الحماية للعرب
اشهر كتاب على الاطلاق فى مجال ال Social Engineering من تأليف كيفين ميتينك – The Art of Deception: Controlling the Human Element of Security – امازون – من هنا
الهندسة الاجتماعية “امن وحماية” – ويكيبيديا
الهندسة الاجتماعية “عام” – ويكيبيديا
ايفنت – البوابة العربية للأخبار التقنية
معلومات متفرقة – منتدى نقطة التطوير
الكاتب: محمد عبد الباسط – مدير التقنيات وامن المعلومات.