+- نادي الفكر العربي (http://www.nadyelfikr.com)
+-- المنتدى: عـــــــــلــــــــــوم (http://www.nadyelfikr.com/forumdisplay.php?fid=6)
+--- المنتدى: حـاسوب و شبكـات (http://www.nadyelfikr.com/forumdisplay.php?fid=85)
+--- الموضوع: موقع "الأخبار" لم يخترق، شرح تقني (/showthread.php?tid=40894)
موقع "الأخبار" لم يخترق، شرح تقني - الحوت الأبيض - 12-18-2010
بعد صمت وتجاهل للموضوع نشرت الأخبار بعض المعلومات عما تعرّض له موقعها في الأسبوع الأخير. في عددها يوم الخميس الموافق 16 ديسمبر 2010 الصفحة 17 كتبت ليال حداد مقالا بعنوان "أبيانات الموقع سلمت من التخريب، أبجديات قرصنة معلنة" جاء فيه الشرح التالي المبسط لما تعرّض له الموقع:
اقتباس:يبدو تحديد الجهات التي تقف خلف عملية «الهاكينغ» صعبة، وإن كانت أصابع الاتهام موجهة بنحو أو بآخر، إلى جهات تنطلق من اميركا(ربّما مع تواطؤ نظام عربي معين أو جهاز محلي ما)، وخصوصا إذا قارنا بين الوسائل والقدرات المستعملة في ضرب موقع «الأخبار»، وما تعرضت له مواقع أخرى في الفترة الأخيرة.
وبغض النظر عن الجهة المنفذة وتلك التي أصدرت الأمر، فالأكيد هو أن موقع الصحيفة تعرض في السنوات الأربع الماضية لمحاولات اختراق عدة، لكنها لم تكن بخطورة ما حصل الأسبوع الماضي. الهجوم الذي حصل يسمى «اختراق نظام أسماء النطاقات» أو .Domain hijackingأما تفسيره البسيط فهو الآتي: كل موقع في العالم يملك ما يعرف بـ«عنوان الآي. بي.» IPوهو عنوان رقمي. هكذا، كل مرة نطبع اسم موقع، يتحول هذا الإسم إلى العنوان الرقمي، فتفتح أمامنا الصفحة التي نريد مشاهدتها. عملية قرصنة «الأخبار» حولت عنوان الموقع www.al-akhbar.comإلى «آي. بي.» آخر، وبالتالي إلى موقع آخر. وفي حالة الاختراق الأخير، كان الموقع البديل هو «سعودي انحراف»، بينما بقيت صفحات الموقع سليمة ولم يتمكن القراصنة من اختراقها وتعديل محتوياتها. وتزامن «اختراق نظام أسماء النطاقات» مع نوع آخر من القرصنة، يدعى DDOSأو «نظام هجمات الحرمان من الخدمة الموزعة». هنا، يغرق الـ«هاكرز» الموقع ّبسيل من البيانات الوهمية، ما يبطئ عمله. مثال إن كان الموقع مصممًا الستيعاب 1000 زائر في الثانية، يرسل القراصنة بيانات لمئة ألف زائر (ومن أماكن مختلفة في العالم)، وهو ما يفوق قدرة الموقع على الاحتمال فيبطئ عمله، أو يتوقف نهائيًا.
وهو ما يشرح بأسلوب مبسط ما تعرض له الموقع، لنا مآخذ على ترجمة المصطلحات ومحاولة إقحام كلمة "اختراق" حتى دون داعٍ لها. وقد كنت قد كتبت عن اعتقادي باختطاف اسم النطاق في اليوم الأول من العملية بعد تحرّ بسيط قمت به باستخدام استبيان whois تبين لي فيه تغيير بيانات تسجيل اسم النطاق ونشرت البيانات في مداخلتيين في الأولى كتبت ما وجدته أما في الثانية فقد شرحت كيف حصلت على معلوماتي. وعندما استعادت الأخبار اسم نطاقها وعودة الموقع (قبل اختفائه مجددا) كتبت عن الموضوع ونشرت بيانات استبيان whois الجديدة.
يبدو أن الأخبار بعد سيطرتها على اسم النطاق قررت اتباع تسجيل اسم النطاق عبر شركة Domains by Proxy, Inc. تسجيل أسماء النطاقات عملية شفافة ويستطيع أي شخص له اتصال بالإنترنت بالحصول على معلومات مالك اسم النطاق (بواسطة استبيان whois) لذلك قامت شركات متخصصة توفر خدمة تسجيل اسم النطاق باسمها لمن يرغب بامتلاك اسم نطاق والإبقاء على خصوصيته، فلا يعرف أحد (سوى الشركة) من مالك اسم النطاق. لا أعلم سبب اختيار صحيفة الأخبار لاستخدام هذه الخدمة لكن يبدو أنها أأمن وذلك لتحاشي اختطاف آخر لاسم النطاق.
في هذه المرحلة بدأت على ما يبدو هجمات DDOS (أو بدأ يظهر مفعولها) مما سبب سقوطه مرة ثانية. هجمات DDOS هي أبسط طريقة لإسقاط المواقع (هي سلاح الفقراء) فهي لا تحتاج لأي معرفة في فنون الاختراق كل ما تحتاجه عدد كاف من المتطوعين الذين سيكتبون أمرا واحدا ويسخر من اتصالهم بالإنترنت لإغراق الموقع وهذه الهجمات قديمة بقدم الإنترنت. اليوم بعض المخترقين يقومون بواسطة الدود أو أحصنة طروادة بالسيطرة على عدد كبير من الحواسيب وتحويلها إلى "زومبي" تأتمر بأمرهم ويستغلونها في تنفيذ هجمات DDOS.
بعكس ما نشر في وسائل الإعلام، الموقع لم يخترق ولم يحصل ضرر لبيانته (باعتراف مراسلة الصحيفة نفسها) وما حصل لا يحتاج لمعرفة تقنية عالية بل إن هجمات DDOS يقوم بها مراهقون مثلما حدث في الهجوم على بي بال وماستركارد وغيرهم الذي قامت به ANONYMOUS وقبض على بعض مشتركيه الذين كانوا في جيل المراهقة. لذا أستسخف آراء البعض أن الاختراق قام به الموساد بدليل امتلاكه لأجهزة متطورة بعكس المخابرات العربية (مثلما قال أسعد أبو خليل في مقاله الأسبوعي في عدد السبت الأخير في الأخبار) فهجمات DDOS بسيطة وربما يمكنك توكيل بعض عصابات الإنترنت (التي تملك سايبربوت لتنفيذ هذه الهجمات) بثمن بخس... أما كيفية الاستحواذ على اسم النطاق فذلك أمر يستوجب مزيدا من المعلومات لمعرفة السبب، لكن الراجح أن أحدا استطاع الحصول على باسوورد godaddy الخاص بالموقع بطريقة ما (إما حصان طروادة في حاسوب مسؤول تقانة الموقع أو الفيشينغ أو ربما "خيانة داخلية" وعلى الغالب بواسطة ما يسمى بالهندسة الاجتماعية social engineering التي تعني خداع الإنسان للحصول على المعلومات وليس اختراقا تقنيا).
وأخيرا بما أن استبيان whois لا يظهر سوى البيانات الأخيرة، سأضع هنا نتائج الاستبيان في الأوقات المختلفة (مع تعديل بسيط لعناوين البريد الإلكتروني):
الاستبان الأول بتاريخ 8-12-2010 وهو يظهر اختطاف إسم النطاق:
كود:
Registrant:
Akhbar
Saudi Arabia
Saudi
Beirut, 00000
Saudi Arabia
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: AL-AKHBAR.COM
Created on: 27-May-03
Expires on: 27-May-13
Last Updated on: 08-Dec-10
Administrative Contact:
Mohammed, moustafa dr.dblll@gmail.com
Akhbar
Saudi Arabia
Saudi
Beirut, 00000
Saudi Arabia
+961.563456732 Fax -- +961.563456732
Technical Contact:
Mohammed, moustafa dr.dblll@gmail.com
Akhbar
Saudi Arabia
Saudi
Beirut, 00000
Saudi Arabia
+961.563456732 Fax -- +961.563456732
Domain servers in listed order:
NS1.IKSAI.ORG
NS2.IKSAI.ORGالاستبيان الثاني معلوماته من 9-12-2010L، عندما استعادت الأخبار السيطرة على اسم النطاق:
كود:
Akhbar
Concorde Bldg. 6th Floor
Beirut, 00000
Lebanon
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: AL-AKHBAR.COM
Created on: 27-May-03
Expires on: 27-May-13
Last Updated on: 09-Dec-10
Administrative Contact:
Aziz, Mansour aziz.mansour()gmail(dot)com
Akhbar
Concorde Bldg. 6th Floor
Beirut, 00000
Lebanon
+961.1759500 Fax -- +961.1759597
Technical Contact:
Aziz, Mansour aziz.mansour()gmail(dot)com
Akhbar
Concorde Bldg. 6th Floor
Beirut, 00000
Lebanon
+961.1759500 Fax -- +961.1759597
Domain servers in listed order:
NS1.IBIZDNS.COM
NS2.IBIZDNS.COMالاستبيان الثالث أيضا معلوماته من 9-12-2010 لكنه التعديل الأخير عندما تم التسجيل بواسطة شركة Domains by Proxy, Inc.
كود:
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: AL-AKHBAR.COM
Created on: 27-May-03
Expires on: 27-May-13
Last Updated on: 09-Dec-10
Administrative Contact:
Private, Registration AL-AKHBAR.COM(at)domainsbyproxy()com
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Technical Contact:
Private, Registration AL-AKHBAR.COM(at)domainsbyproxy()com
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Domain servers in listed order:
NS1.IBIZDNS.COM
NS2.IBIZDNS.COMالرد على: موقع "الأخبار" لم يخترق، شرح تقني - الحوت الأبيض - 12-25-2010
قرأت اليوم صفحة ويكيبيديا (الإنجليزية) عن اختطاف اسم النطاق Domain Hijack... وبها جملة لفتت انتباهي:
The most common tactic used by a domain hijacker is to use acquired personal information about the actual domain owner to impersonate them and persuade the domain registrar to modify the registration information and/or transfer the domain to another registrar [...] sometimes the registration information can be returned to its original state by the current registrar, but this may be more difficult if the domain name was transferred to another registrar, particularly if that registrar resides in another country. In some cases the original domain owner is not able to regain control over the domain.
أي أكثر الأساليب شيوعا لاختطاف أسماء النطاق هي الحصول على معلومات شخصية عن مالك اسم النطاق الحقيقي وانتحال شخصيته لإقناع مسجل اسم النطاق بتعديل معلومات السجّل و/أو تحويل النطاق إلى مسجل آخر [...] أحيانا يمكن إعادة معلومات التسجيل إلى وضعها السابق بواسطة المسجل، لكن هذا الأمر قد يكون أصعب في حالة نقل اسم النطاق إلى مسجل آخر، خاصة إذا كان هذا المسجل مقيما في دولة أخرى. في بعض الحالات ليس باستطاعة مالك اسم النطاق الأصلي استعادة سيطرته على اسم النطاق.
وهو باختصار يؤكد ما قلته منذ البداية عن ما سمي "باختراق" موقع الأخبار الكلام عن "لعب عيال" وطرق بسيطة لا تحتاج إلى معرفة تقنية كافية.... يعني لو كان من اختطف اسم النطاق يعقل لنقل التسجيل لمسجل آخر وعندها كان سيصعب على الأخبار استعادة اسم النطاق وهو لم يفعل ذلك، دليلا على أن الحديث عن هاو....
ثم لو فرضنا أن الحديث عن عملية معقدة قام بها خيرة ما يملكه الموساد لكانوا قاموا بعملية تهدم الموقع نهائيا لا تعطله لأسبوع دون خسارة أي بيانات....