الشبكات الاجتماعية الأداة الأمثل لاختراقك

وصل عدد مستخدمين الانترت تقريبا 2.4 مليار وهذا يمثل ثلث سكان العالم تقريبا هناك مليار إنسان حول العالم اليوم يستخدمون شبكة اجتماعية مثل الفيس بوك أظن أن الأرقام كافية جدا لنرى حجم الحيز التي تملؤه الشبكات الاجتماعية في حياتنا شخصيا أجد الشبكات الاجتماعية وسيلة رائعة للتواصل وتفتح أفاقا جديدة للمستقبل الانساني في مجالات عديدة العدد المتزايد في الاقبال على استخدام هذه الشبكات يجعل الشبكات الإجتماعية تحضى باهتمام متزايد في مدى كفائة هذه الشبكات من الناحية الأمنية وهذا المقال ليس سوى جزء من هذا الاهتمام.

معلومات يمكن أن تقدمها الشبكات الاجتماعية عن المستخدم:                                                            

 معلومات عن الحياة الشخصية للمستخدم:

1. هوياته المفضلة 
2. ديانته
3. العمل
4. الحالة الاجتماعية
5. جنسه 
6. رقم الهاتف
7. صور شخصية
8. موقعه الجغرافي
9.  قائمة بالافراد المتواصلين معه مع تقديم مخطط لتوضيح أشكال العلاقة بين المستخدم والافراد الذي يتواصل معهم"افراد من العائلة-اصدقاء-علاقة عاطفية...الخ"

نشاطات المستخدم على شبكة الإنترنت:

1. إيميلات المستخدم
2. المواقع التي يتابعها أو يشارك فيها

طبعا من الواضح أن الهدف من هذه البينات التي تجدها كخيارات التي يمكن ان تملأها في بروفايلك على الشبكة الاجتماعية مصممة بطريقة لكي يجدك المستخدمين الآخرين الذين يعرفونك ويبحثون عنك بسهولة هذه غير أنها مفيدة للشبكات الاجتماعية تقديم اقتراحات للمستخدم بشأن أشخاص يشاركونه نفس الموقع الجغرافي مثلا قد يكون له معرفة بهم أوقد تقدم له اقتراحات وإعلانات لتسويق منتج موجود بنفس موقع المستخدم الجغرافي او بوظيفته طبعا بقدر السهولة التي تقدمها هذه الأساليب لتسهيل استخدام الشبكة الاجتماعية وتحقيق الاستفادة القصوى منها إلا أنه بنفس السهولة ستقدم هذه الأساليب خريطة حقيقة للمخترقين  عن الهدف الذي يريدون جمع البينات عنه  على كل حتى تضح الصورة أكثر لكيف يمكن أن تشكل الشبكات الاجتماعية الاداة الامثل لإختراقك  سأعطي سيناريو عملية اختراق يمكن أن تحدث لأي مستخدم للشبكات الاجتماعية بالواقع.

 السيناريو:                                                                                                                       

1. الهدف:اختراق شبكةA-Target
2. نوع الهدف:A-target شخص 
3. المعلومات المبدئية المتوفرة عن الهدف:حساب على الـ Facebook باسم A-Target

 مرحلة الـ information gathering:
 أولا:تتبع الآثار Footprinting
 بالدخول إلى صفحة بروفايل  A-Target تم إيجادالمعلومات التالية:

باالاستعلام عن المستخدم من خلال آداة الفيس بوك الشهيرة Graph API  التي تقدمها للمطورين ليتفاعلوا من خلالها مع شبكة الفيس بوك من خلال استعلامات FQL"Facebook Query Language" تحديدا من خلال الاستعلام التالي:

graph.facebook.com/a.target?metadata=1

 

وستظهر لنا المعلومات الموضحة أدناه التي توضح معلومات عن الاسم عن بروفايل المستخدم والUser ID الخاص به واتصالات هذا البروفايل والصلاحيات التي حددها المستخدم للوصول لمعلوماته الموجودة على البروفايل الخاص به وبالتالي
 يمكن من خلال هذه المعلومات أن تكون لديك خريطة واضحة عن المعلومات التي يمكن أن تحصل عليها من الفيس بوك عن المستخدم والامتيازات التي تحتاجها لفعل ذلك.

{
   "id": "5000F330D",
   "name": "A-Target",
   "first_name": "A",
   "last_name": "Target",
   "link": "http://www.facebook.com/A.target",
   "username": "A.target",
   "gender": "male",
   "locale": "USA"
}

............ 

الآن نحن لدينا بعض المعلومات عن المستخدم في شبكة الفيس بوك سنستخدمها في صناعة facebook object من خلال اداة maltego ومن ثم نقوم بعمل transform لهذا الobject لكل أنواع الentities التي يوفرها لنا maltego وكانت النتيجة هكذا:

كما نرى حصلنا على معلومات اخرى مثل حساب يحمل نفس اسم المستخدم على الفيس بوك وايميلات اخرى تملك اسامي مشابهة لاسم المستخدم المستهدف الآن سنقوم بالتوجه للفيس بوك ونقوم بمحاولة الدخول إلى الفيس بوك من خلال الايميلات التي حصلنا عليها  وسنستخدم باسورد عشوائي طبعا سنقوم بهذا مع كل ايميل نملكه طبعا في كل ايميل ستحاول الولوج به يجب ان تكرر محاولة الدخول اكثر من مرة وفي المرة الثانية او الثالثة ستظهر لك رسالة إما أن الإيميل موجود فعليا على الفيس بوك ويظهر لك الحساب الذي يملك هذا الايميل او ستظهر لك رسالة تفيدك بأن الحساب ليس موجود سنفترض في هذا السيناريو الوهمي لمحاكاة عملية اختراق من خلال الوسائط الاجتماعية أن أحد الايميلات التي حصلنا عليها فعلا ظهر لنا من خلال الرسالة التي يعرضها لك الفيس بوك ان المستخدم a-target يملكها  حينها سنكون حصلنا على ايميل الهدف. ثانيا:جرد المعلومات الEnumeration الآن حصلنا على بعض الخيوط وكل خيط يمكن من خلاله عمل جلب معلومات أكثر وأهم المعلومات التي حصلنا عليها:

1.  حساب الهدف على تويتر 
2. حساب الهدف على الفيس بوك
3. بعض المعلومات عن بروفايل الهدف
4. الإيميل الخاص بالهدف

على سبيل المثال يمكننا الآن عمل حساب ومحاولة عمل اتصال مع الهدف عن طريق طلب صداقة لحساب الهدف على الشبكات الإجتماعية لنرفع صلاحيتنا اكثر ونحصل على معلومات عن المحتوى الذي ينشره مثلا أو نحصل على معلومات عن اصدقائه كإيملاتهم والتي يمكن من خلالها الوصول لهدفك الاساسي كذلك من خلال ايميل الهدف يمكننا الآن نعرف بعض المواقع والبرمجيات المحتمل أن يكون سجل فيها على سبيل المثال يمكنك من خلال الإيميل أن تتأكد إن كان الهدف له حساب على خدمة كالـ Skype أم لا وهذا يعني مزيدا من المعلومات التي تجعل المساحة لاحتمالية الاختراق أكبر.
مرحلة الإختراقPenetration: الآن افترض أيضا أن الهدف له حساب على الـ Skype طبعا لمن لايعرف شبكة الـSkype تعاني من كثير من المشاكل الأمنية في تأمين المستخدمين بسبب طبيعتها عملها كـP2P Network حيث هناك الكثير من ثغرات تسريب للمعلومات والتي تصل لأن يتم كشف الـinternal ip والpublic ip للمستخدمين وأيضا مشاكل في تطبيق الSkype ذات نفسه اقربها كانت ثغرة Html/java code injection قد تؤدي لاختراق نظام المستخدم بالكامل  الآن طبعا الاحتمالات مفتوحة لاختراق الهدف وهذه صورة توضح بعض الاساليب التي قد تستغل ضد الهدف.

طبعا هناك هجمات كثيرة يمكن تنفيذها ايضا باستخدام المعلومات التي تم الحصول عليها مثلا يمكن للمخترق تنفيذ احد هجمات الهندسة الاجتماعية كهجوم التوأم الشرير Evil Twin مثلا.

 كيف أحمي نفسي؟                                                                                                            

-قراءتك لهذا المقال وادراكك ووعيك بالمخاطر التي يمكن ان تشكلها عليك الشبكات الاجتماعية هي بحد ذاتها اسلوب للحماية. -لاتفكر بطريقة ساذجة بقولك من الذي يستهدفني لهذه الدرجة لأن هذه الطريقة في التفكير هي بالظبط كأنك تضع مالا في خزنة مفتوحة وتتسائل إن كان هناك من يخطط لسرقتها! -الشبكات الإجتماعية تكشف الكثير من المعلومات عنك إما بسبب تصميمها بطريقة تسمح لذلك او بسبب طبيعة عملها كشبكة اجتماعية أو أن هناك ثغرات في تطبيقاتها تسمح بذلك ولكنها أبدا لن تجبرك على تقديم هذه المعلومات. -بعض المستخدمين دون اي داعي يقومون تقريبا بنشر كل تفاصيل حياتهم على الشبكة ارجوكم توقفوا عن تلك الحماقات حتى لو لم يقوم احد باختراقك لماذا تملك أحد الشركات هذه المعلومات على سرفراتها التي تعطي تفاصيل دقيقة عن حياتك الشخصية. -تذكر أنه في النهاية مصدر تدفق المعلومات الأساسي عنك هو أنت ولذلك أنت هو نقطة البداية اجعل من نفسك فلتر للمعلومات التي ستنشرها على الشبكة . -لاتسجل بنفس الإيميل لاكثر من خدمة لاتسجل بنفس الحسابات في الخدمات المختلفة لأن هذا يسهل المهمة على المخترق جدا. -أهتم بحماية نظامك/شبكتك الشخصية بالتطبيقات المختلفة والمخصصة لذلك. -إن كنت متمرس في أمن المعلومات أتمنى أن تساهم باستخدام مهارتك مزيدا من الثغرات الامنية في الشبكات الاجتماعية والتحذير منها.

أخيرا                                                                                                                                 

أتمنى وصلت الفكرة الرئيسية من المقال وهي توضيح المخاطر الأمنية التي تحيط بمستخدمي الشبكات الاجتماعية وطبعا السيناريو بالأعلى هو مجرد محاكاة لعملية اختراق يمكن أن تحدث في الواقع  والغرض منه توضيح عملي للمستخدمين خصوصا المستخدمين العاديين الذين لايكترثون للتحذيرات لأي مدى يمكن أن تصل الخطورة أيضا بالنسبة لبعض البرمجيات التي تحدثت عنها مثل Maltego لم أتطرق لشرحه لأن شرحه لن يخدم الهدف من المقال.