على امتداد الكون ، فمن أبسط أنواع المستخدمين الفرديين إلى أكبر الشبكات وأكثرها تعقيداً يهدد الهاكرز أمن الجميع ولذا كثرت الدراسات والأبحاث والبرامج التي تحاول التصدي لهذه الظاهرة ،
والسؤال المطروح دائما هو : هل يمكن أن يمتلك مستخدم إنترنت الشعور بالأمان يوماً ما ؟ وماهي أخطر برامج التجسس المعروفة ؟ وما طرق الوقاية منها ؟
ثم ألايمكن لشركات كبرى مثل مايكروسوفت أن تتجسس على مستخدمي برامجها ؟ أسئلة كثيرة قد تحتاج الإجابة عليها لمؤلفات كاملة
ولكننا سنقرأ معا في هذه السطور أبجديات برامج التجسس وطرق عملها
والتصدي لها .
برامج التجسس على إنترنت
لكي تتضح الصورة أكثر في ذهن القارئ دعونا نتعرف على ماهية برنامج التجسس:
كل برنامج تجسس يتكون من ملفين: الأول يعرف بأسم (الريموت) الذي يتحكم المخترق من خلاله بجهازك ويضع داخله المعلومات التي يريدها
ويأخذ المعلومات التي يريدها أيضاً والملف الثاني يعرف بالخادم أو السيرفر أو الباتش ،
ولابد من تشغيله في جهازك حتى يستطيع المخترق السيطرة على جهازك
ولا تستغرب إذا علمت أن برنامج التجسس يستخدم (باتش) خاص لدعم وظيفته ، وأن حجمه الصغير يتروح بين 100-400 كيلو بايت،
وأن حجمه يتناسب مع حجم الوظائف والخصائص في الريموت ، وقد يتم دمج ملف السيرفر (الباتش) ضمن برنامج أو لعبة صغيرة
وعند تشغيل اللعبة أو البرنامج يقوم السيرفر بفتح منفذ في جهازك ليستقبل عبره الأوامر المرسلة إليه من المخترق بواسطة ملف الريموت
ليزوده بالمعلومات المطلوبة ، ويختلف هذا المنفذ من برنامج اختراق لآخر.
ويعمل السيرفر تلقائيا في كل مرة تقوم فيها بتشغيل الويندوز ولا يمكنك لتخلص منه بعادة تشغيل الجهاز فقط ،
وهنالك عدة برامج تعمل على تنظيف جهازك من الباتشات ولكن هذه البرامج غير عملية فقد يعمل المخترق على تغيير الكود الخاص بالسيرفر
بحيث لاتكتشفه برامج الاختراق ومن الممكن أن يغير رقم المنفذ الذي يتعامل مع السيرفر عن طريقه وأفضل طريقة لإبقاء جهازك بعيدا عن أيدي
المخترقين هي تنظيفه بنفسك .
مايكروسوفت تتجسس على مستخدمي ويندوز
راجت مؤخرا فضائح التجسس على الإنترنت والتي تقوم ببطولتها شركات برمجيات وتقنية معروفة،وقدمت بعض المواقع المختصة بالأمن على الشبكة تقارير وأبحاث عدة حول تجسس شركات شهيرة مثل مايكروسوفت على مستخدمي الإنترنت من خلال نظام الويندوز ، فمن المعروف أن متصفح إنترنت اكسبلورر يقوم بحفظ صفحات المواقع التي تقوم بزيارتها في مجلد Temporary Internet Files على شكل ملفات مؤقتة
وقد تعود مستخدمي ويندوز مسح هذا المجلد بانتظام لإخفاء المواقع التي تمت زيارتها عن أعين الآخرين !! والسؤال الذي لم يفكر به أحدنا يوماَ هو : هل حقاَ ستختفي تلك المعلومات بمجرد حذفها من المجلد ؟
الحقيقة أنها لاتختفي لأن هناك ملفات تقوم بمل أرشيف لجميع المواقع التي تم تصفحها وهي ملفات مخفية تماماَ عن المستخدم ولن تعثر عليها مهما اتبعت من وسائل البحث التقليدية !! كاختيار أمر إظهار جميع الملفات المخفية أو أمر البحث داخل الكمبيوتر وأنا شخصياَ لم أكن أعرف ذلك لولا أن أسعفني صديق بالطريقة لاكتشاف الخلل ، وفعلا نجت طريقته تلك : والآن سنقوم بتطبيق عملي للكشف عن هذه الملفات ومسحها :
افتح مجلد Temporary Internet Files الموجود في Windows ثم قم بمسح محتوياته بالكامل وسيبدو لك المجلد فارغا تماما كالمعتاد ثم اذهب إلى مستكشف الويندوز وافتح هذا المجلد من خلاله ولاحظ وجود مجلد بداخله لم يظهر لك عندما قمت بمسحه وهذا المجلد اسمه Content.IE5 يحتوي هذا المجلد على مجلد بأسماء ستبدو لك غريبة مثل HY3709 و WAK5Q8AR وطبعا تتغير أسماءها من جهاز لآخر ولكن هذه الأسماء هي المسؤولة عن ذاكرة الكاش في المتصفح ، ثم قم بفت أي واحد منها وستبدو لك انها فارغة تماما، هنا انتهى عملنا من خلال الويندوز والآن سنكمل من خلال الدوس ، قم بإعادة الإقلاع في وضع الدوس أو استخدم قرص إقلاع لذلك ، ثم توجه إلى C:\windows\tempor~1\content.ie5 قم باستعراض محتوياته باستخدام الأمر Dir هنا ستلاحظ وجود ملف اسمه Index.dat هذا الملف يحتوي هلى أرشيف كامل لعناوين المواقع التي زارها المتصفح ، قم بتحريره باستخدام أمر Edit ثم اقرأ مافيه وستلاحظ وجود العناوين ، وهنا حدد ماتشاء من العناوين وامسحها ، أو قم بحذف الملف بالكامل باستخدام الأمر Del ولكن سيعود هذا الملف مع إعادة إقلاع الجهاز ولكن سيعود فارغا وسيسجل ماتزوره من عناوين المواقع مرة أخرى
والآن كشفنا ناحية من نواحي تجسس مايكروسوفت على مستخدمي الويندوز وبقي علينا ان نحمي أنفسنا من ذلك ، وكما ذكرت يمكننا مسح محتويات Index.dat بشكل يدوي من خلال الدوس ويمكننا فعل ذلك من خلال ويندوز عن طريق صنع ملف يقوم بذلك وهو كالتالي :
افتح المفكرة Notpad واكتب الامر التالي :
كود : deltree/y c:\windows\tempor~1\*.*cls ثم قم بحفظ الملف بهيئة Bat وعند تشغيله سيقوم بحذف ملف Index.dat كما يمكنك صنع أي ملف لحذف ملفات التجسس بنفس الطريقة ، كما يمكنك كشف المزيد عن مثل هذه الملفات باستخدام برنامج Spider الذي صنعه فريق A Netherlands Student خصيصا لهذا الأمر
وتجده هذا البرنامج على الموقع التالي :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] قم بتحميله وتشغيله وسيقوم بكشف جميع ملفات التجسس مثل Index.dat وهنا يمكنك مسحها بصنع ملف لكل ملف حسب اسمه وموقعه كما ذكرنا سابقا أو بوضع الملفات جميعا ضمن ملف واحد كما ترغب ، كما يمكنك أضافة هذه الأوامر إلى ملف AUTOEXEC.bat ليقوم بحذفها في كل مرة تقوم بإعادة إقلاع الجهاز .
بقي علينا أن نكشف الطريقة التي يتم بها إخفاء مثل هذه الملفات
يتم ذلك من خلال ملفات Desktop.ini الموجود في المجلد المراد إخفائه ويكون النص فيها كالتالي :
كود:
[.ShellClassInfo]
CLSID2={1A9BA3A0-143A-11CF-8350-444553540000}ConfirmFileOp=0
وكذلك كود:
UICLSID={BD84B380-8CA2-1069-AB1D-08000948F534}
لاحظ وجود الكلمتين UICLSID و CLSID الأولى مهمتها إخفاء المجلد عن النظام والثانية لإخفائه ن أداة البحث ويمكنك تعديل محتويات أي منها وحفظ التعديل (بنفس الاسم طبعا) للتحايل على إخفاء الملفات ، والسؤال الذي يبقى عالقاَ في أذهاننا: متى نستطيع إنشاء نظام تشغيل خاص بنا ونتخلى عن التبعية أو على الأقل لانكون عالة على غيرنا ليتحكموا بنا كما يشاءون؟؟ وكيف الخلاص من خطر الاختراق والتجسس ولسان الحال يظهر لنا أن لعبة الجاسوسية أصبحت وضة العصر
خصوصاّ في ظل غياب الرقابة الحقيقية وغياب تنظيم العلاقات ومستوياتها وحضور المنافسة والاحتكار ؟!
ماذا تفعل ؟
فيما يلي محاولات لجمع المعلومات عن طرق عمل سيرفرات الاختراق وكيفية أزالتها من جهازك بالطريقة السليمة وبنفسك ، وقد تم ترتيب الباتشات في النص التالي:
1- الباك دور BackDoorوهو أيضا يحتاج إلى خادم لتشغيله ، ويوجد صدارين من هذا البرنامج ، وللتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات لتالية ذا كانت موجودة على جهازك والملفات هي :
DATA2.EXE
TINURAK.EXE
WATCHING.DLL
وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك والملفات هي :
WINDOW.EXE
NODLL.EXE
SERVER_33.DLL
2- الباك اورفيس
برنامج الباك أورفيس يعمل على الويندوز 95 والويندوز 98 فقط وحجم السيرفر الخاص به صغير نسبيا تقريبا 120 كيلو بايت فقط ، والمنفذ الذي يستخدمه الباك اورفيس هو 31337 ، والتخلص منه يكون بالخطوات التالية:
قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل (RUN) ثم أكتب Regedit ثم اذهب إلى المفتاح التالي : HKEY_LOCAL_MACHINE ثم أختار Software ثم Microsoft ثم Windows ثم CurrentVersion ثم RunService
قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد أن حجمه حوالي 120 كيلو بايت فإذا وجدته قم بمسحه وإعادة تشغيل جهازك ، ثم أذهب للمجلد التالي :
C:rr\Windows\System وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاَ آخر اسمه Windll.dll قم بحذفه هو أيضا لأنه تابع لباك أورفيس ، بعد حذفك للملفات قم بإيقاف تشغيل الجهاز نهائيا وفصله من الكهرباء أيضا.
3- النت بس NetBus 1.x
يستخدم خادم داخل جهازك وينشط أيضا في ويندوز 95 و 98 و إن تي ويستطيع عمل كل شي يعمله برنامج السب سفن إضافة إلى انه يستطيع إن يتحكم بالفارة التي لديك ويمكنه عرض بعض الصور على شاشة جهازك أيضا ، وأن يفتح محرك أقراص الليزر الخاص بك ، بل باستطاعته سماع كل شي تقوله إذا كنت تستخدم ميكروفون مع جهازك وأشياء أخرى عديدة ، وحجم السيرفر الخاص به (الباتش) هو 470 كيلوبايت ويمكن لصاحبه الدخول إليك من المنفذ 12345 والمنفذ 12346 أما طريقة التخلص منه كالتالي :
قم بتشغيل محرر التسجيل وذلك بالطريقة التالية :
أبدأ-تشغيل- ثم أكتب في المربع الأمر التالي Regedit ثم أذهب ألى المفتاح التالي:
HKEY_LOCAL_MACHINE ثم أختار Software ثم Microsoft ثم Windows ثم CurrentVersion ثم RUN
ستجد هنالك قائمة بالبرامج التي تعمل بجهازك مع بدء التشغيل فقط قم بحذف أي ملف تشك بأنه هو السيرفر لا اسم محدد له وقد يكون بأي اسم من ثم أذهب إلى المجلد التالي : c:\windows\system وستجد هنالك ملف بنفس اسم القيمة التي قمت بمسحها فقط قم بمسح هذا الملف وإذا رفض الملف المسح وعادة ماسيرفض ذلك لأنه يعمل في نفس الوقت الذي تحاول مسحه فقم بتشغيل الويندوز في الوضع الآمن وامسحه أو قم بمسحه من الدوس وتأكد من أنك مسحت السيرفر وليس ملف آخر ويمكنك التأكد عن طريق الحجم الذي يتراوح مابين 400 كيلوبايت و 500 كيلوبايت فقط . قم بإعادة تشغيل جهازك وستجد أن السيرفر قد تم إزالته عند مراجعتك للخطوات السابقة.
4- السب سيفن Sub7
برنامج السب سفن هو من أشهر برامج الاختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من التأكد من عدم وجوده بجهازك إذ يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك :
Kernel.dl
Rundll16.exe
Movokh_32.dll
Watching.dll
Nodll.exe
مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق كما يقوم بإنشاء بعض القيم في الرجستري في سجل الويندوز لديك
أيضا يقوم السيرفر بإضافة أوامر للملفات التالية
System.ini===>Shell=Explorer.exe rundll16.exe
Win.ini=====>Run=????.exe Or Load=????.exe
والمنافذ التي يقوم باختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح مابين 1243 و 1999 وذلك بحسب رغبة المخترق
وطريقة التخلص منه كالتالي :
قم بالذهاب إلى الملفين System.ini و Win.ini عن طريق الخطوات : أبدأ-تشغيل-ثم أكتب في مربع التشغيل Sysedit
بالنسبة لملف الوين فقط قم بالبحث عن الأوامر التالية :
Load=???.exe
Load=???.dll
Run=???.exe
وعلامات الاستفهام ترمز إلى اسم السيرفر وقد تكون أي شيء ، ثم اذهب غلى ملف النظام وفي السطر الخامس تقريبا ستجد شيئا كالتالي:
Shell=Explorer.exe
وإذا وجدت السطر مكتوبا بطريقة غير السابق قم بتعديله ليصبح كالسابق وقد يكون هكذا اسمه Shell=Explorer.exe ???.dll وعلامات الاستفهام ترمز لاسم السيرفر فقط قم أنت بتعديل السطر إلى Shell=Explorer.exe بعد ذلك أذهب إلى محرر التسجيل (الرجستري) عن طريق الخطوات أبدأ ثم تشغيل ثم أكتب في مربع النص التالي Regedit وأذهب إلى المفتاح التالي :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
وستجد على القائمة اليمنى أسم السيرفر وستعرفه بالطبع لأنه سيكون بنفس الاسم الذي وجدته سابقا في ملف النظام فقط قم بمسح القيم التي ترمز إلى مجلد الويندوز وقم بحذف السيرفر وسيكون اسمه معروفا لك الآن
5- The FreeLinl
وهو يعتبر دودة مشفرة يعمل تحت أي ويندوز تدعم لغة VB scripting
حتى ويندوز 98 و ويندوز 2000 و ويندوز أكس بي ومعظم طرق دخوله إلى جهازك
عن طريق البريد الإلكتروني ويكون عنوان المرسل كالتالي Check this وتكون الرسالة المصاحبة لهذا العنوان Have fun with these links. Bye
فغذا قمت بالدخول عليه فأنه يقوم مباشرة بتحميل ملفين على جهازك هما
C:\windows\links.vbs
C:\windows\system\rundll.vbs
وكذلك يمكن تحميله إلى جهازك عن طريق دخولك إلى موقع يحمل هذا الباتش
ويضيف عند دخوله إلى جهازك الجزء التالي ÷لى جهازك في سجل الويندوز (الرجستري)
HKEY_LOCAL_MACHINE\Software\microsoft\windows\Curr entVersion\Run\Rundll=RUNDLL.vbs
وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي :
Free XXX links وتحت العنوان تظهر الرسالة التالية :
To free XXX links on your desktop Do you want to continue?
This will add a shortcut
ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثل الميرك
MIRC.exe
Pirch98.exe
وسوف يقوم بتعديل الملفات التالية:
SCRIPT.INI
EVENTS.INI
وذلك حتى يتمكن من إرسال
LINKS.VBS
إلى أجهزة أخرى أثناء عملية المحادثة بين المستخدمين
والأسماء المستعارة لهذا البرنامج التي يختفي بها هي
VBS و Freelink أو حسب البرمجه
كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه ؟
أولا : قم بالبحث عن الملفات التالية LINKS.VBS و RUNDLL.VBS
وقد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما
ثانيا: قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك
ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ ثم تشغيل ثم تكتب في المربع Regedit وستجد القيمة التالية فيه فقط قم بمسحها تماما
HKEY_LOCAL_MACHINE\Software\microsoft\windows\Curr entVersion\Run\Rundll=RUNDLL.vbs
بعد ذلك قم بإعادة تشغيل الوندوز ونود هنا أن نلفت النظر بأن قائمة برامج التجسس التي تستخدمها الشركات أو الهاكرز أو أجهزة الأمن طويلة جداَ ،
وأن التخلص الكامل منها شيء شبه مستحيل لأنها تتطور يوماَ بعد يوم وأن حرب الجاسوسية أخذت طابعاَ من الشرعية بعد أحداث الحادي عشر من سبتمبر في أمريكا بحجة مكافحة الإرهاب ، وجميعنا قراء وسمع عن برامج المراقبة التي طورتها أجهزة المخابرات الغربية لرصد كل شاردة و واردة
بقي إذن أن نطلق رصاصة الرحمة على مصطلح الخصوصية على شبكة الإنترنت
سوف أضيف في نهاية المطاف بعض المواقع اللتي تساعدك على فحص جهازك من الفايروسات وبرامج التجسس
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] Tiny personal firewall 5.0 مجاني
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] Sygate personal firewall 5.5 مجاني
Norton personal firewall 2004
والله الحافظ وأسمحو لي إذا فيه نقطة ماعطيتها حقها أو ماتم التوضيح بالشكل المطلوب
يوجد في أخر الردود أرسل هذا الموضوع لصديق فأرسله لأصدقائك لتعم الفائدة
شاكرة لكم طولة صبركم لقراءة الموضوع