By Eng. Sabri Saleh on مارس 8, 2010
كنت قد تحدثت سابقا عن مفاهيم الـHoneypots و ذكرت أن مجموعة من الـ Honeypots تعتبر Honeynet, طبعا لا يخفى عليكم أنه لعمل شبكة داخلية أو أكثر و الوصول إليهم فإنه يجب أن توضع أجهزة هذه الشبكة خلف (Router أو Firewall أو NAT). و هذا محور موضوعنا فنحن نحتاج إلى أحد السابق ذكرهم أو جميعهم لكي نحدد الـ Honeynet ألا و هو الـ Honeywall أو ما يسمى roo.
يعتبر الـ Honeywall من تطويرات الجيل الثالث لمشاريع الـ Honeynet و يأتي على شكل نظام تشغيل متكامل على شكل صورة ISO image و أيضا يأتي على قرص وهمي VMware-HDD وهو مبني على توزيعة CentOS 5.X.
مميزاته
Continue reading “تركيب الـ Honeywall خطوة بـ خطوة”
نشر في Defensive | موسوم hoenynets, Honeypots, honeywall, trip
By B!n@ry on مارس 7, 2010
السلام عليكم ورحمة الله وبركاته
قبل فترة كنت بحاجة الى أن أقوم بعملية إرسال لـ Payload معيين من خلال scapy لكن كوني جديد على إستعماله (وقتها) بحثت عن أداة أستطيع أن أقوم بإرسال Payload خاص بي الى هدف معيين وبشكل سريع، أي لا أريد إضاعة الكثير من الوقت على ذلك … فأكتشفت إن أحدى مزايا الأداة Unicorn Scanner هي ليس فقط كون الأداة تقوم بعمليات الفحص وإنما بإمكاننا أن نقوم بعملية إرسال لحزم تحمل Payload محدد نقوم نحن بوضعه … لنقوم بعمل ذلك تابع معي …
أولاً نفتح ملف الإعدادات للـ Payloads والموجود في:
vim /etc/unicornscan/payloads.conf
Continue reading “إرسال Payload خاص بواسطة Unicorn Scanner”
نشر في Pentest, Scanners, Tools
By بشار on مارس 6, 2010
اصدرت موزيلا المؤسسة الحاضة للمتصفح الشهير فايرفوكس تحذيراً حول إضافتان للمتصفح تحتويان على حصن طروادة. حصن طروادة هي عبارة عن برمجيّات ضارّة يتم تضمينها ضمن برمجيّات سليمة بهدف تضليل المستخدم واختراق نظامه.
حسب التحذير الأمني الذي نشرته المؤسسة في مدوّنتها فإنّ الإضافة Master Filer كانت مصابة بحصان طروادة لسرقة كلمات المرور في حين الإضافة Web Video Downloader الاصدارة الرّابعة مصابة بحصان طروادة يعمل على فتح بوّابة خلفية في نظام الضحيّة.
هذه ليست الحالة الأولى التي تمّ فيها اكتشاف برمجيّات ضارة ضمن إضافات فايرفوكس. في مايو 2008 تم اكتشاف برمجيّة ضارة في حزمة اللغة الفيتناميّة للمتصفح تظهر اعلانات مزعجة.
موزيلّا قالت بإنّها شدّدت من اجراءات الحماية لديها من خلال فحص الإضافات بمضادات فيروسات أخرى.
المصدر:
1- http://blog.mozilla.com/addons/2010/02/04/please-read-security-issue-on-amo/
2- http://www.sophos.com/blogs/gc/g/2010/02/05/mozilla-admits-firefox-addons-contained-trojan-code/
—–
تعليق:
مع أنّ الخطوات التي اتّخذتها موزيلّا هي اجراءات جيّدة ولكن للأسف لن توفّر الحل. وستظهر برمجيّات أخرى ضارّة. وذلك لكون الحل يعتمد بدرجة أساسيّة على مضادات الفيروسات. مضادات الفيروسات مع التعقيد والتطور السريع الذي طرأ على “صناعة” البرمجيّات الضارة أصبحت فعاليّاتها أقل من ذي قبل. والسبب في ذلك كون هذه المضادات تعتمد بالدّرجة الأولى على توقيع البرمجيّة الضارة وهذا يعني أنّ البرمجيّات الضارّة التي لا يوجد توقيع لها لن يتم اكتشافها وهذا ما يجعل هذا الحل لوحده غير كافي. سنأتي على تفاصيل ذلك في تدوينة أخرى إن شاء الله.
نشر في Misc
By B!n@ry on مارس 6, 2010
السلام عليكم ورحمة الله وبركاته
أحد الأمور التي يغفل عنها الكثير من الناس بما فيهم نفسي هي إن المنفذ 23 (خدمة telnet) على المودم من الخارج (الأنترنت) الخاص بك معرض للهجوم من قبل أي شخص … هذه الخدمة تحتاجها لعمل إعدادات معينة للمودم من خلال الطرفية … لكن لماذا تحتاجه إذا كنت تستطيع القيام بكل شيء من خلال صفحة مرتبة ومنظمة من يعرضها لك المتصفح وبضغطات بسيطة ينتهي بك الأمر بتعديل/تفعيل/إعداد الخدمات والأنترنت … إذن لسنا بحاجة له ولهذا لنقم بتعطيله أو لنقم بتغيير المنفذ الخاص به …
لعمل ذلك، أتبع ما يلي:
telnet modem_ip_address
Trying modem_ip_address...
Connected to modem_ip_address.
Escape character is '^]'.
Username : Admin
Password : ****
Continue reading “ضرورة تغيير/تعطيل منفذ telnet على المودم”
نشر في Firewall, Misc | موسوم telnet
By Eng. Sabri Saleh on فبراير 5, 2010
BotHunter هو أول و أفضل برامج كشف أجهزة الشبكة المصابة بالملفات الخبيثة(Malware) الموجودة و قد ظل الأفضل بين قرنائه في مراقبة البرامج الخبيثة على مستوى الشبكة بأكملها, حيث يقوم بمراقبة الاتصالات الداخلة و الخارجة من وإلى أجهزة الشبكة و المتصلة بالإنترنت حيث تكمن الخطورة و يقوم بمراقبة و مقارنة زيادة تداول البيانات (Traffic) لكشف أي سلوك قد تسلكه هذه البرامج إذا تواجدت على أجهزة الشبكة حيث من المهم جدا اكتشاف و إمساك اتصالاتها المركزية بمصدر خارجي أو اكتشاف إتصلاتها العشوائية و التي تسبب في إبطاء الشبكة و إعاقتة طبيعة عملها.
إن برنامج BotHunter يساعدك -كمديرشبكة- بالإمساك بتلك البرامج الخبيثة و التي عادة لا تكتشفها برامج مكافحة الفايروسات و قد لا يتم كشفها من أنظمة كشف التسلل (IDS) التقليدية.
برنامج BotHunter هو برنامج مجاني, تم برمجته لغة الـ Java على يد فريق برمجي من معمل علوم الحاسب الدولي SRI و هي منظمة مهتمة بأمور الحماية و إقامة إختبارات الحماية بطرق غير تقليدية لإيجاد نتائج مختلفة و قوية.
تحميل البرنامج | الموقع الرئيسي
نشر في Botnets, Firewall, News, Tools | موسوم BotHunter, botnet, IDS, malwarm, netwrok
By B!n@ry on فبراير 5, 2010
من الأدواة التي قمت بتجربتها بنفسي هي الأداة NeXpose المقدمة من شركة Rapid7 المعروفة في المجالات الأمنية … حيث أصبحت أعمل عليها من فترة ليست بالقليلة وذلك للميزات الرائعة التي تقدمها. NeXpose هو عبارة عن Vulerability Scanner وأيضاً ما لا يعرفه الكثيرون هو إنها ممكن تستعمل لأغراض Pentesting حين يتم التعامل معها من خلال Metasploit، حيث يمكنك أن تجعل الـ Metasploit تنفذ الإختراق لجهاز أكتشف عليه ثغرة بواسطة NeXpose وسنأتي الى ذلك في موضوع منفصل بالكامل. كونها تأتي مدمجة أو سهلة الدمج مع Metasploit أعطى لها قوة كبيرة جداً. NeXpose يمكن المسؤولين عن الأمور الأمنية في المؤسسات أو الشركات من إستعماله كنظام لإدارة الثغرات Vulnerability Management وذلك من خلال فحص الشبكة والبنية التحتية به.
قمت بالبدأ بإستعمال NeXpose في شبكتنا المحلية في العمل وذلك لغرض التجربة والتأكد من إمكانياته وبعدها نقوم بتطبيقه في بيئة العمل … التجربة أثبتت بإنه نظام أو أداة مميزة جداً ومفيدة جداً وشخصياً بدأت أثق بها أكثر من Nessus رغم قدم Nessus في هذا المجال إلا إن NeXpose أثبت جدارته وكفائته … الدقة في النتائج والتوضيحات الرائعة للخلل المكتشف وأيضاً السرعة الغير طبيعية !!! الفحص كان جداً أسرع من فحص Nessus طبعاً لا نستطيع أن نقوم Nessus أبطأ لكن النظام NeXpose كان سريعاً جداً جداً ودقيق حتى في نتائجه … بعد تجربته بشكل دقيق في العمل وتجربة الكثير من ميزاته مثل التقارير وحتى الـ Alarms الإنذارات، قررنا بعد موافقة إدارة الشركة أن نقوم بتطبيقه على بيئة العمل الحقيقية في الفترة القادمة إن شاء الله … حيث سأقوم بإستبدال Nessus بـ NeXpose أو ممكن إستعمال كلاهما للحصول على نتائج دقيقة والتأكد من نتائج واحد ضد الآخر وهكذا (رغم إنه سيصبح جهد مضاعف) …
Continue reading “NeXpose Community Edition – vulnerability scanning and penetration testing tool”
نشر في NeXpose, Pentest, Vulnerability Scanner | موسوم Alarms, assessment, False Positives, Metasploit, Nessus, NeXpose, penetration, Pentest, Pentesting, Policies, Rapid7, Tools, Vulnerability Scanner, vulnerability scanning, ثغرة, فحوصات
By B!n@ry on فبراير 4, 2010
صدرت في الأيام القليلة الماضية النسخة الجديدة من برنامج Nikto والذي يحمل رقم 2.1.1 .
تمتاز هذه النسخة بالأمور التالية:
- Fixed SKIPPORTS
- Moved User-Agent string to nikto.conf
- Added dynamic variables to User-Agent (Testid, Evasion methods)
- Added support for OSVDB, now the fun bit of filling it in
- Basic syntax checks for all databases
- Added an extra optional element to xml output to contain the SSL date. Need to do similar for html, txt and csv
- Shorts authentication being successful if an error is returned
- Support for short reads in LW2.5
- If -Format is missed guess the format based on file extension in -output. Default is none if -output is omitted.
- Multiple index file enhancements for groups and better unique file identification
- Content in xml report is now wrapped in CDATA
- Mutate now respects db variables
- Fix for response caching Continue reading "صدور Nikto 2.1.1"
نشر في Tools | موسوم News, Nikto, Scanners, WWW
By B!n@ry on فبراير 4, 2010
صدرت نسخة جديدة من الأداة الشهيرة nmap بنسختها التي تحمل رقم 5.20 ومعها أكثر من 150 تعديل مميز للغاية. وذلك كله حسب قول مطور الأداة Fyodor.
التعديلات:
- أكثر من 30 سكربت مضافة للـ Scripting Engine
- زيادة الكفاءة وتقليل حجم المساحة المستهلكة من الذاكرة
- Payloads خاصة لبعض البروتوكلات لتقوية فحوصات الـ UDP
- تم إعادة كتابة المحرك الخاص بالـ traceroute بالكامل
- تم عمل إضافات هائلة على عملية كشف الأنظمة والخدمات وذلك بإضافة أكثر من 10 آلاف توقيع لقاعدة البيانات
لتعرف المزيد من التفاصيل حول الإضافات والتعديلات، يرجى قراءة مستند الإصدار.
لتحميل الأداة، يرجى الضغط هنا.
نشر في Firewall, News, Pentest, Scanners, Tools | موسوم Firewall, Fyodor, Nmap, Payloads, Scripting Engine, Tools, traceroute, UDP
By B!n@ry on فبراير 1, 2010
السلام عليكم ورحمة الله وبركاته
تم بفضل الله وحمده إفتتاح مجتمع الحماية العربي والذي يهدف الى زيادة الوعي العربي في المجالات الأمنية المختلفة. سيكون تركيز الموقع على عدة جوانب، منها ما يخص المستخدم البسيط والذي لا يعرف عن أمور الحماية الكثير ومنها ما يخص المستخدم المتوسط والمتقدم الإمكانيات وذلك من خلال مواضيع عدة ومختلفة.
ندعوا الله ان يوفقنا وييسر أمرنا لكل ما يحبه ويرضاه.
والله ولي التوفيق.
نشر في Misc | موسوم Misc, S4A
