أنشاء اتصال عكسي مشفر ومحدد الصلاحيات

في العاده عند الحاجه لإنشاء اتصال عكسي في اختبار الاختراق يتم ذلك عن طريق اداة nc ولكن هناك بعض العيوب في هذه الأداة

  • الاتصال غير مشفر ويمكن التنصت على البيانات المارة في الشبكة
  • لا يمكن تحديد صلاحيات من يستطيع الاتصال بالشيل ، في حاله كان هناك شيل عكسي اي شخص يمكن استغلاله غير مختبر الاختراق

متابعة قراءة “أنشاء اتصال عكسي مشفر ومحدد الصلاحيات”

كيف تعمل الشهادات الرقميه لتوقيع الملفات

دوال الهاش مثل md5 و sha تُستخدم لتوليد بصمة رقميه تثبت حالة الملف، في حالة تغير الملف سوف تتغير البصمه الرقميه ( قيمه الهاش).  دوال الهاش مستخدمه بكثره ولها تطبيقات عديده في انظمه الأمن الرقمي المخلتفة. ولكن لديها عيب وهو عدم القدره على اثبات بأن الهاش هو نفسه للملف المقصود اي انه اذا تم التلاعب بالملف وتم توليد هاش جديد واستبداله بالقديم لن نستطيع اثبات ذلك.

لكي استطيع ان اوضح لك الامر لناخذ هذا السيناريو. اذا كان لديك موقع الكتروني وزوار موقعك يثقون بك وعلى هذا الاساس يتم تنزيل الملفات من موقعك واستخدامها بحيث يقوم الزوار بتنزيل الملفات وكذلك الهاش الخاص بالملف لمقارنة الملفات والتاكد من سلامتها اثناء التحميل. في حالة تم اختراق الموقع والتلاعب بالملف ووضع الملف الجديد مع الهاش الجديد فلن يعرف زوار موقعك بأن الملفات تم التلاعب بها بسبب انه لا يوجد طريقه تثبت ان الملفات ليست نفس الملفات القديمه بسبب توافق قيمه الهاش مع الملف. هنا تاتي طريقة التواقيع الرقميه او الشهادات الرقميه المبنية على خوارزمية الشتفير RSA او بما تسمى Public key algorithm. متابعة قراءة “كيف تعمل الشهادات الرقميه لتوقيع الملفات”

تجميد ذاكرة النظام لاستخراج كلمة المرور لنظام مشفر

تشفير القرص الصلب في الاجهزه امر في غاية الاهمية لحماية البيانات الموجوده في الجهاز عند ضياع او سرقة الجهاز. التشفير يعمل من خلال تشفير كامل الجهاز ويتم فك التشفير عند تشغيل الجهاز وادخال الباسورد لتتم عملية اقلاع النظام واستخدامه.  في حالة تمت سرقة الجهاز فأن البيانات سوف تكون مشفرة بسبب ان التشفير تم على القرص بالكامل بما في ذلك نظام التشغيل. مفتاح التشفير ( كلمة المرور) يتم ادخالها عند فتح الجهاز ويتم تخزينها بشكل مؤقت في ذاكرة النظام حتى يستطيع المستخدم استخدام الجهاز والعمل عليه وعند الانتهاء من العمل يتم اطفاء الجهاز وسوف يعود النظام الى حالة التشفير. هذا يعني ان مفتاح التشفير موجود في ذاكرة النظام اثناء عمل النظام ويتم فقدانه في حالة تمت عملية اطفاء النظام ويجب على المستخدم ادخاله مره اخرى عند استخدام الجهاز مره اخرى. متابعة قراءة “تجميد ذاكرة النظام لاستخراج كلمة المرور لنظام مشفر”

استخدام piecewise hashing لاثبات سلامة البيانات

يواجه المحقق الجنائي الرقمي تحدي الحفاظ على سلامة البيانات من اي تعديلات قد تحصل اثناء التعامل مع الادلة. لذلك يتم توقيع الادلة بشهادة تشفير لاثبات سلامتها او استخدام Cryptographic hash function لتوليد هاش كدليل على سلامة البيانات من التعديل مثل MD5. ولكن في حالة كان هناك الكثير من المشاكل الفنيه في الهارد ديسك فان الادوات المتخصصه في جمع الادلة تتعامل مع هذا الخطا وتحاول تجنب فشل عملية جمع البيانات وتخطي الجزء الذي يسبب المشكله ومواصلة عملية الجمع (Forensics imaging). ولكن كل مرة يتم اخذ البيانات سوف يتم توليد هاش مختلف بسبب المشاكل الموجوده في الهارد ديسك ولا يمكن اثبات صحة وسلامة البيانات بسبب ان الاداة غير مستقرة في اجزاء معينة في الهارديسك لذلك تقوم بتوليد هاش مختلف على حسب الاخطاء التي تم تجاوزها او تم التعامل معها. متابعة قراءة “استخدام piecewise hashing لاثبات سلامة البيانات”

دور الـ fuzzy hashing في اكتشاف الـ Malwares

fuzzy hashing هي عباره عن خوارزميات تقوم باكتشاف درجة القرابة بين ملفين واعطاء نسبة بين 0 الى 100 حيث 0 هي اختلاف الملفين تماما و 100 تعني الملفان متشابهين تماما . هذه الخوارزميات تستخدم وبشكل كبير في عملية اكتشاف الـ malwares ولها بعض التطبيقات الاخرى مثل spam detection.

cryptographic hashing algorithm مثل MD5 و SHA-256  هي عباره عن خوارزميات رياضية تقوم بحساب هاش ( قيمه طويلة hexadecimal يختلف حجمها بحسب الخوارزميه) فريد لكل ملف وهذا الهاش يتغير بتغير الملف حتى ان كان التغير  عباره عن bit واحد فقط . هذه الخوارزميات تستخدم بشكل واسع جدا في امن المعلومات واحد التطبيقات لها وهي في  برامج الحماية للتفريق بين الملفات الحميده والخبيثه اثناء الفحص عن طريق اخذ الهاش للملف ومقارنته بقاعدة بيانات البرنامج والتي تحتوي على هاشات لملفات خبيثه تم جمعها مسبقا . في حالة تطابق الهاش فان الملف خبيث واذا لم يتطابق فان الملف سليم ولا يشكل خطر . هذه الطريقة لها عيوب كثيره ويمكن خداعها بسهولة عن طريق تغيير بعض القيم في الملف الخبيث وسوف يتيغير الهاش الخاص بالملف ولا يمكن اكتشافه .التغيير في الملف الخبيث قد يكون يدوي من قبل المهاجم او الملف الخبيث نفسه تمت برمجته بحيث يتغير تلقائيا وهذه الانواع تعرف بالـ polymorphic و metamorphic وكل منها له اختلاف في طريقة العمل.

دور الـ fuzzy hashing في اكتشاف الـ Malwares

fuzzy hashing تعمل بطريقة مختلفه عن طريق تقسيم الملف الى اقسام صغيره (segments) ويتم حساب الهاش لكل جزء ثم احتساب الهاش الكلي وبطريقه حسابيه معينه يتم مقارنة الهاشات مع ملفات اخرى واستخراج درجة القرابة بين الملفين . هذا مفيد جدا في حالة نريد نتحقق من وجود ملف معين داخل مجموعه من الملفات مثل ان يكون لدينا صوره ونريد نعرف اذا ما هذه الصوره متواجده في ملف اخر . هذا مفيد اثناء متابعه الادلة في التحقيق الجنائي الرقمي واستخراج المعلومات . كذلك في اكتشاف الفيروسات حيث انه لا يتم الاعتماد على هاش تم احتسابه للملف بالكامل وانما fuzzy hash والذي يعطينا درجه القرابه بينه وبين هاشات سابقه وعلى هذا الاساس يتم اكتشاف الملفات الخبيثة وتمميزها حتى مع تغيرها.

على سبيل المثال اذا اخذت malware مشهور مثل wannaCry وقمت بتعديل شي بسيط فيه واخذت الهاش باستخدام SHA256 وفحصته في موقع virus total سوف يكون الناتج بان الملف سليم 100% ولكن اذا تم رفع الملف بعد التعديل البسيط الذي قمنا به سوف يتم اكتشافه فورا وهذا تم باستخدام fuzzy hashing. مثال اخر اذا كان لدينا صورتين وقمت بتعديل الصوره الاول بوضع نقطه فقط او تعديل جدا بسيط. باستخدام الخوازميات التقليديه سوف يكون الهاش مختلف تماما ولا يمكن اكتشاف بان الصورتين في الحقيقه نفس الصوره ولكن باستخدام الـ fuzzy hashing يمكن اكتشاف ذلك وبسهوله. ايضا يتم استخدام نفس الطريقه اثناء التحقق بان ليس هناك سرقة ادبيه في رسائل الدكتوراه والابحاث العلمية عن طريقه مقارنة المحتوى واكتشاف درجة التقارب بين الورقه البحثيه وورقه اخرى .

تطبيقات الـ fuzzy hashing كثيرة ولكن  امن المعلومات اخذ الجزء الاكبر. اول خوارزميه كان الهدف منها اكتشاف رسائل السبام في الايميل. ثم ظهرت خوارزميات اخرى وكل خوارزميه قويه في جانب معين طريقة العمل والاداء.

  • ssdeep
  • sdhash
  • mvHash
  • mersh v2

كلها fuzzy hashing algorithms يمكنك الاطلاع عليها وتجربتها .