التجسس المعلوماتي على الأسرار

يشتم قراصنة المعلومات رائحة البيانات التي تفوح من الشبكات المحلية غير المحمية.

من المؤكد أنك لم تصدر طلب شراء عبر هاتفك النقال في مكان عام، مفصحاً عن أرقام بطاقة الائتمان، أليس كذلك؟ عندما يرسل الناس أنواعاً معينة من البيانات عبر الشبكة من دون تشفير، فإنهم يجعلون الهاكر الماكر يسخر منهم، ويرحب بالتهام معلوماتهم.

ولا يهم إن كنت تتفاعل مع شخص معين في الزمن الحقيقي عبر برتوكول غير آمن، مثل المراسيل أو تبعث بمعلومات على مستوى من السرية، في بريد إلكتروني، فإن بياناتك ستمر عبر الأنوف الافتراضية، عبر واجهات إثرنت عديدة. وبعض تلك الأنوف شمامة.

تمكن البرامج الشمّامة sniffers بطاقات إثرنت من التقاط كل رزم البيانات التي تمر عبرها، ويمكن لهذه الرزم أن تكشف عن عدد كبير من المعلومات المهمة.

كل جهاز يتصل بإنترنت، له عنوان ماك (Media Access Control, MAC) تحتاج رزم بروتوكول TCP/IP إلى عنوان إنترنت IP للجهاز. وفي الظروف العادية فإن عنوان ماك لبطاقة شبكة إثرنت لا يتغير، إلا أن عنوان إنترنت IP المعطى للبطاقة هو غالباً متغير، أو يمكن تغييره.

لذا فإنه لحفظ سجل عنوان إنترنت لعنوان ماك، فإن مبدلات الشبكات تخزن جداول ARP وهي اختصار لعبارة (Resolution Protocol Address) ويمكن خداع جداول ARP بسهولة.

ولبناء تخزين مباشر (كاش) لمعلومات ARP فإن المبدل يرسل بين الفينة والأخرى طلبات ARP، والتي تطلب من الأجهزة أن تصرح عن عناوين ماك وIP وتثق بالإجابات التي ستحصل عليها، ويكون جواب ARP متضمناً المعلومات المطلوبة. عملياً يجري تبادل البيانات السابق كل بضعة ثوان، ويقبل المبدّل ذلك وهو مغمض العينين ويعطي إجابة مشابهة للشكل: MAC Address 00:00:00:0A:0A:0A is at 192.168.1.101وبالتالي يتم توجيه البيانات الخاصة بذلك الجهاز إلى العنوان السابق، ولا توجد أي فرصة للاشتمام أليس كذلك؟

ذلك اعتقاد خاطئ. تعمد الشركات حالياً إلى استئجار هاكر من أجل اختبار محاولات اختراق شبكتها، وبالتالي فإنه يبرهن وبسرعة على أن المبدلات وحدها ليست كافية. يبدأ الهاكر بتشغيل حاسوبه المفكرة مستخدماً برنامج arpspoof وهو جزء من أدوات الشبكات المجانية dsniff، يرسل البرنامج إجابات ARP تخبر المبدل أن عنوان IP لجهازه يتضمن عنوان MAC الذي يعود فعلياً للجهاز المستهدف. وبما أن ARP بروتوكول مستقل عن الحالة (stateless) فإن المبدل لا يعلم إن كان تم إرسال استجابة ARP.

ثم يبدأ الهاكر بتنفيذ خديعة مماثلة للجهاز الذي يعمل بوابة للشبكة، وبسبب كون البوابة تمرر البيانات إلى إنترنت، فإنه قادر على مشاهدة كل حركات مرور البيانات للمستخدم المستهدف الصادرة والواردة ضمن الشبكة الداخلية وشبكة إنترنت. وبإنشاء نواة IP لإعادة التوجيه، سيتمكن الهاكر من جعل جهازه يستمر في إرسال رزم البيانات إلى العناوين الحقيقية، ولكن فقط بعد أن يحصل على نسخ ملتقطة. بإمكان الهاكر أن يقبع افتراضياً بين الحاسوب الزبون وتجهيزات البوابة من دون أن يرفع أي علم. ومع arpspoof بإمكان الهاكر أن يرسل باستمرار استجابات ARP ليتمكن من الهيمنة بشكل منطقي على الجهاز، وهذا ما يحافظ على وضعه في الحالة الوسطى بين الطرفين.

استخدم الهاكر dsniff ليشتم الشبكة، ولكن ماذا يكشف dsniff؟

حسناً، هذا البرنامج لا يعطيه كلمات السر على الشبكة بسهولة... مباشرة. بل عليه أن يكون صبوراً إلى أن يستعمل المستخدم بروتوكول غير آمن.

ومن بين تلك البروتوكولات الشائعة FTP، و Telnet و POP3 وفي هذه الحالة كان بروتوكول POP3 الذي احتاجه الموظف Joe C للوصول إلى حساب بريده الإلكتروني، وبفضل تحليل البروتوكول من dsniff فإن الواحدات والأصفار الملتقطة تمثلت أمام الهاكر على شكل نص مقروء كما يلي:

# dsniff -n

dsniff listening on eth1

————————-

11/10/04 13:18:11 tcp 192.168.1.108 .3483 - 192.168.1.119.25 (snmp)

USER Joe_C

PASS guessme1

يا للأسف. شأنه شأن معظم المستخدمين فإن المستخدم Joe C لم يكلف نفسه عناء استخدام كلمات سر مختلفة من أجل أغراض مختلفة. ومع بعض محاولات تخمين اسم المستخدم، وجد الهاكر لنفسه اسم مستخدم وكلمة سر منطقيتين مكنتاه من الوصول إلى موارد المجال، وبعد فترة قصيرة تمكن من الحصول على صلاحيات المدير، وملف مستودعي من أجل كلمات السر لعدة شبكات من أجل اختراقها، وبعد..

إن إيقاف هاكر مصمم يبدو أمراً مستحيلاً، إلا أن هناك إجراءات وقائية يمكنك اتخاذها، وتذكر أن قليل من التشفير يدوم طويلاً. احم حاسوبك ببرمجيات مثل Anonymizer2004 أو ghostSurf2005 Platinum أو من برمجيات المصدر المفتوح مثل OpenSSH لتشفير جلساتك عندما تكون متصلاً بإنترنت.