أحصنة طــروادة , كيفية الاختراق
أحصنة طــروادة
حـصان طروادة هـو بـرنــامـج صغـيـر يتم تشغيله داخل جهاز الحاسب لكي يقوم بأغراض التجسس على
أعمالك التي تقوم بها على حاسبك الشخصي .. فـهـو فـي أبـسـط صورة يـقوم بتسجيل كل طرقة قمت
بها على لوحة المفاتيح منذ أول لحظة للتشغيل ... وتـشـمل هذه كل بياناتك السرية أو حساباتك المالية
أو مـحـادثـتـك الخــاصة على الإنـتـرنـت أو رقـم بـطاقـة الائـتـمـان الخـاصة بـك أو حـتـى كـلـمـات الــمـــرور التــي تـسـتـخـدمـهــا
لدخـولـك على الإنـتـرنـت والتي قـد يـتـم إستـخـدامــهــا بـعــد ذلــك مـن قــبـل الــجــاسـوس الــذي قــام بــوضع الــبـرنــامــج عـلى حـاسـبـك الــشخـــصــي
ولكن كيف يصل حصان طروادة الى جهازك ؟
1-يرسل اليك عن طريق البريد الإلكتروني كملف ملحق فتقوم بإستقباله وتشغيله وقد لا يرسل لوحده حيث من الممكن أن يكون ضمن برامج أو ملفات أخرى
2-إذا كنت من مستخدمي برنامج أي سي كيو .. أو بـرامــج التحادث فقد يرسل لك ملف مصاب بملف تجسس أو حتى فيروس
3-عـندما تـقـوم بإنزال بـرنامج من أحد المواقع الغير موثوق بها وهي كثيرة جدا فقد يكون البرنامج مـصاباً بـمـلــف تـجسس أو فـيــروس وغـالـبـاً مــا يـكـون أمراً مقصوداً
4- طريـقــة أخـرى لتحـمـيـل تـتـلخـص في مجرد كتابة كوده على الجهاز نفسه في دقائق معدودة حيث أن حصان طروادة يـخـتـلـف عـن الفـيـروس في أنه مجرد برنامج ضئـيـل الحـجـم جـداً مـكـون فـقـط مـن عـدة أسـطر قـلـيـلـة
5- أما لو كان جهازك متصل بشبكة داخـلية أو شبكة إنترانت .. فإنه في هذه الحاله يمكن نقل الملف الجاسوس من أي وحدة عمل فرعية
6 - يـمـكـن نـقـل الملف أيضا عن طريق الإنترنت بواسطة أي برنامج FTP او Telnet
7 - أخـيرا يمكن تخليق حصان طروادة من خلال إعادة تهيئة بعض البرامج الموجودة على الحـاسب مـثـل المـاكـروز المـوجـودة فـي بـرامـج مـعـالجـة الـنـصوص
لماذا صممت البرامج التي تستخدم أحصنة طروادة
تـصميـم هـذه البرامج في البدابة كان لأهداف نبيلة مثل معرفة ما يقوم به الأبناء أو الموظفون على جهاز الحاسب في غيابك من خلال ما يكتبونه على لوحة المفاتيح . ويوجد العديد من البرامج المنتشرة على الإنترنت والتي تستطيع من خلالها التنصت وتسجيل وحفظ كل ما نـكتبة على لوحة المفاتيح . من هذه البرامج برنامج يدعى Invisible KeyLooger ، والذي يـستـطيـع أن يحتفظ في ملف مخفي بـكل ما قـمت بكتـابته على لوحة المفاتيح مصحوبة بالتاريخ والوقت الـذي قـمـت فـيـه بـعـمـلـيـات الكـتـابة هذه ، حيث سيـمـكـنـك الإطلاع عـلى المـلـف الـمسجل به كل ما تم كتابته على لوحة مفاتيح الحاسب ( والتي لن يستطيع أحد معرفة مكانه الا واضعه ) والتأكد من عـدم وجود جمل دخيلة أو محاولات إقتحام لم تقم أنت بكتابتها .. أو التأكد مما إذا كان أحد يقوم بإستخدام حـاسبـك والإطلاع على بـيـانـاتـك في غيابك والتأكد من عدم إستخدامهم للإنترنت في الولوج على شبكات غير أخـلاقـيـة أو الـتـحدث بإسلوب غير لائق من خـلال مـواقــع الـدردشـة عـلى الإنـتـرنــت
أيضا يزعم هؤلاء المصمـمين أن فوائد البرنامج الذي قاموا بتصميمة تظهر حينما تكتشف أن نظام الويندوز أو البرنامج الذي تـستـخـدمـه قـد توقـف فجأة عن العمل دون أن تكون قد قمت بحفظ التقرير الطويل الذي كنت تقوم بكتابته .. حيث أن التقرير بالكامل سيكون موجود منه نسخة إضافـيـة بـالملف المخفي ، أيضا من فوائد البرنامج مراقبة سير العمل والعاملين تحت إدارتك للتأكد من عدم قيامهم بـإستـخدام الحاسب الشخصي لأغراض شخصية والـتـأكـد من عـدم إضاعـتـهـم لوقت العمل وإستغــلاله بـالكـامـل لـتـحـقـيـق أهـــداف الـشـركــة
خـطـورة برامج حـصان طـروادة
تعد برامج حصان طروادة واحدة من أخطر البـرامــج المـستـخــدمه من قبل الهاكرز والدخلاء .. وسبب ذلك يرجع الى أنه يتيح للدخيل الحصول على كلمات المرور passwords والتي تـسـمـح لـه أن يقوم بالهيمنه على الحاسب بالكامل .. كذلك تظهر هذه البرامج للدخيل الطريقة ( المعلومات ) التي يـمكنه من خلالها الدخول على الجهاز بل والتوقيتات الملائمة التي يمكن خـلالـهـا الـدخـول على الجهاز ... الخ ، المشكلة أيضا تكمن في أن هذا الاقتحام المنتظر لن يتم مـعـرفـتـه أو مـلاحـظتــه حـيـث أنه سيتم من خلال نفس الطرق المشروعة التي تقوم فيها بالولوج على برامجك وبياناتك فـلـقـد تـم تـسجـيـل كـل ما كتـبته على لوحة المفاتيح في الملف الخاص بحصان طروادة .. معظم المستخدمين يعتقدون أنه طالما لديهم برنامج مضاد للفيروسات فإنهم ليسوا معرضين للأخطار ، ولكـن المـشكـلة تـكـمـن في أن مـعـظم بـرامج حصان طروادة لا يـمـكن مـلاحـظـتـها بـواسطة مـضادات الفـيـروسات . أما أهم العوامل التي تجعل حصان طروادة أخطر في بعض الأحيان من الفيروسات نـفـسـها هي أن برامج حصان طروادة بـطـبـيـعـتـهـا خـطر سـاكـن وصامت فهي لا تقوم بتقديم نفسها للضحية مثلما يـقـوم الفـيـروس الـذي دائـما مـا يمكن ملاحظته من خلال الإزعاج أو الأضرار التي يقوم بها للمستخدم وبالتالي فإنها لا يمكن الشعور بها أثناء أدائها لمهمتها وبـالـتـالي فـإن فـرص إكـتـشافـها والقـبـض عـلـيـها تـكـاد تـكـون مـعـدومـه
-----------------------------------------------------------
يعتمد الاختراق على ما يسمى بالريموت (remote) أي السيطرة عن بعد ، ولكي تتم العملية لا بد
من وجود شيئين مهمين الأول البرنامج المسيطر وهو العميل والآخر الخادم الذي يقوم بتسهيل العملية
بعبارة أخرى للاتصال بين جهازين لا بد من توفر برنامج على كل من الجهازين لذلك يوجد نوعان من
البرامج ، ففي جهاز الضحية يوجد برنامج الخادم (server) وفي الجهاز الأخر يوجد برنامج المستفيد
أو مايسمى (client) . وتندرج البرامج التي سبق ذكرها سواء كانت العميل أو الخادم تحت نوع من
الملفات يسمى حصان طروادة ومن خلالهما يتم تبادل المعلومات حسب قوة البرنامج المستخدم
في التجسس .
وتختلف برامج التجسس في المميزات وطريقة الإستخدام .. لكنهما جميعا تعتمد على نفس الفكرة
التي ذكرنـاها وذلك بإرسـال مانسـميه الملـف اللاصـق Patch file أو برنـامج الخـادم والـذي يرسلــه
المتجسس الى جهاز الضحية فيقوم الأخير بحسن نية بتشغيل هذا الملف ظنا منه بأنه برنامج مفيد
لكنه غالبا ما يفاجأ بعدم عمل الملف بعد النقر عليه فيظن أنه ملف معطوب .. فيبحث عن شئ آخر
أو برنامج ثاني ويهمل الموضوع بينما في ذلك الوقت يكون المتجسس قد وضع قدمه الأولى داخل
جهـــاز الضحــيــة ،، ويتم الإتصال بين الجهازين عبر منفذ إتصال لكل جهاز ، قد يعتقد البعض أن هذا
المنفذ مادي بإستطاعته أن يراه أو يلمسه مثل منفذ الطابعة أو الماوس ، ولكنه جزء من الذاكرة
له عنوان معين يتعرف عليه الجهاز بأنه منطقة يتم إرسال واستقبال البيانات عليها ويمكن إستخدام
عدد كبير من المنافذ للإتصال وعددها يقارب 65000 منفذ تقريبا ، يميز كل منفذ الآخر رقمه فمثلا
المنفذ رقم 8080 يمكن إجراء إتصال عن طريقة ، وفي نفس اللحظة يتم إستخدام المنفذ رقم 8000
لإجــــراء إتصــــــــــــال أخــــــــــــــر
وعند الإصابة ببرنامج الخادم فإنه يقوم في أغلب الأحــوال بما يلي :
1- الإتجاه إلى ملف تسجيل النظام (registry) حيث أن النظام في كل مرة تقوم بتشغيل الويندوز يقوم
بتشغيل البرامج المساعدة في ملف تسجيل النظام مثل برامج الفيروسات وغيرها
2- يقوم بفتح ملف إتصال داخل الجهاز المصاب تمكن برنامج العميل من النفوذ
3- يقوم بعملية التجسس وذلك بتسجيل كل ما يحدث أو عمل أشياء أخرى على حسب ما يطلب منه
هذا يعني أن الجهاز إذا أصيب فإنه يصبح مهيأ للاختراق ، وبرنامج الخادم ينتظر طلب إتصال في
أي لحظة عن طريق المنفذ الذي قام بفتحة ، ويأتي طلب الإتصال بأحد طريقين :
1- من قبل شخص يتعمد إختراق الجهاز المصاب بعينة ، وذلك لعلمه بوجود معلومات تهمه أو لإصابة
ذلك الجهاز بالضرر لأي سبب كان
2- من قبل شخص لا يتعمد إختراق هذا الجهاز بعينة ، ولكنه يقوم بعمل مسح scanning على
مجموعة من الأجهزة في نطاق معين من العناوين لمعرفة أيها الذي لديه منافذ مفتوحة وبالتالي فهو
قابـل للإختراق .
**الفيصل**
أحصنة طــروادة
حـصان طروادة هـو بـرنــامـج صغـيـر يتم تشغيله داخل جهاز الحاسب لكي يقوم بأغراض التجسس على
أعمالك التي تقوم بها على حاسبك الشخصي .. فـهـو فـي أبـسـط صورة يـقوم بتسجيل كل طرقة قمت
بها على لوحة المفاتيح منذ أول لحظة للتشغيل ... وتـشـمل هذه كل بياناتك السرية أو حساباتك المالية
أو مـحـادثـتـك الخــاصة على الإنـتـرنـت أو رقـم بـطاقـة الائـتـمـان الخـاصة بـك أو حـتـى كـلـمـات الــمـــرور التــي تـسـتـخـدمـهــا
لدخـولـك على الإنـتـرنـت والتي قـد يـتـم إستـخـدامــهــا بـعــد ذلــك مـن قــبـل الــجــاسـوس الــذي قــام بــوضع الــبـرنــامــج عـلى حـاسـبـك الــشخـــصــي
ولكن كيف يصل حصان طروادة الى جهازك ؟
1-يرسل اليك عن طريق البريد الإلكتروني كملف ملحق فتقوم بإستقباله وتشغيله وقد لا يرسل لوحده حيث من الممكن أن يكون ضمن برامج أو ملفات أخرى
2-إذا كنت من مستخدمي برنامج أي سي كيو .. أو بـرامــج التحادث فقد يرسل لك ملف مصاب بملف تجسس أو حتى فيروس
3-عـندما تـقـوم بإنزال بـرنامج من أحد المواقع الغير موثوق بها وهي كثيرة جدا فقد يكون البرنامج مـصاباً بـمـلــف تـجسس أو فـيــروس وغـالـبـاً مــا يـكـون أمراً مقصوداً
4- طريـقــة أخـرى لتحـمـيـل تـتـلخـص في مجرد كتابة كوده على الجهاز نفسه في دقائق معدودة حيث أن حصان طروادة يـخـتـلـف عـن الفـيـروس في أنه مجرد برنامج ضئـيـل الحـجـم جـداً مـكـون فـقـط مـن عـدة أسـطر قـلـيـلـة
5- أما لو كان جهازك متصل بشبكة داخـلية أو شبكة إنترانت .. فإنه في هذه الحاله يمكن نقل الملف الجاسوس من أي وحدة عمل فرعية
6 - يـمـكـن نـقـل الملف أيضا عن طريق الإنترنت بواسطة أي برنامج FTP او Telnet
7 - أخـيرا يمكن تخليق حصان طروادة من خلال إعادة تهيئة بعض البرامج الموجودة على الحـاسب مـثـل المـاكـروز المـوجـودة فـي بـرامـج مـعـالجـة الـنـصوص
لماذا صممت البرامج التي تستخدم أحصنة طروادة
تـصميـم هـذه البرامج في البدابة كان لأهداف نبيلة مثل معرفة ما يقوم به الأبناء أو الموظفون على جهاز الحاسب في غيابك من خلال ما يكتبونه على لوحة المفاتيح . ويوجد العديد من البرامج المنتشرة على الإنترنت والتي تستطيع من خلالها التنصت وتسجيل وحفظ كل ما نـكتبة على لوحة المفاتيح . من هذه البرامج برنامج يدعى Invisible KeyLooger ، والذي يـستـطيـع أن يحتفظ في ملف مخفي بـكل ما قـمت بكتـابته على لوحة المفاتيح مصحوبة بالتاريخ والوقت الـذي قـمـت فـيـه بـعـمـلـيـات الكـتـابة هذه ، حيث سيـمـكـنـك الإطلاع عـلى المـلـف الـمسجل به كل ما تم كتابته على لوحة مفاتيح الحاسب ( والتي لن يستطيع أحد معرفة مكانه الا واضعه ) والتأكد من عـدم وجود جمل دخيلة أو محاولات إقتحام لم تقم أنت بكتابتها .. أو التأكد مما إذا كان أحد يقوم بإستخدام حـاسبـك والإطلاع على بـيـانـاتـك في غيابك والتأكد من عدم إستخدامهم للإنترنت في الولوج على شبكات غير أخـلاقـيـة أو الـتـحدث بإسلوب غير لائق من خـلال مـواقــع الـدردشـة عـلى الإنـتـرنــت
أيضا يزعم هؤلاء المصمـمين أن فوائد البرنامج الذي قاموا بتصميمة تظهر حينما تكتشف أن نظام الويندوز أو البرنامج الذي تـستـخـدمـه قـد توقـف فجأة عن العمل دون أن تكون قد قمت بحفظ التقرير الطويل الذي كنت تقوم بكتابته .. حيث أن التقرير بالكامل سيكون موجود منه نسخة إضافـيـة بـالملف المخفي ، أيضا من فوائد البرنامج مراقبة سير العمل والعاملين تحت إدارتك للتأكد من عدم قيامهم بـإستـخدام الحاسب الشخصي لأغراض شخصية والـتـأكـد من عـدم إضاعـتـهـم لوقت العمل وإستغــلاله بـالكـامـل لـتـحـقـيـق أهـــداف الـشـركــة
خـطـورة برامج حـصان طـروادة
تعد برامج حصان طروادة واحدة من أخطر البـرامــج المـستـخــدمه من قبل الهاكرز والدخلاء .. وسبب ذلك يرجع الى أنه يتيح للدخيل الحصول على كلمات المرور passwords والتي تـسـمـح لـه أن يقوم بالهيمنه على الحاسب بالكامل .. كذلك تظهر هذه البرامج للدخيل الطريقة ( المعلومات ) التي يـمكنه من خلالها الدخول على الجهاز بل والتوقيتات الملائمة التي يمكن خـلالـهـا الـدخـول على الجهاز ... الخ ، المشكلة أيضا تكمن في أن هذا الاقتحام المنتظر لن يتم مـعـرفـتـه أو مـلاحـظتــه حـيـث أنه سيتم من خلال نفس الطرق المشروعة التي تقوم فيها بالولوج على برامجك وبياناتك فـلـقـد تـم تـسجـيـل كـل ما كتـبته على لوحة المفاتيح في الملف الخاص بحصان طروادة .. معظم المستخدمين يعتقدون أنه طالما لديهم برنامج مضاد للفيروسات فإنهم ليسوا معرضين للأخطار ، ولكـن المـشكـلة تـكـمـن في أن مـعـظم بـرامج حصان طروادة لا يـمـكن مـلاحـظـتـها بـواسطة مـضادات الفـيـروسات . أما أهم العوامل التي تجعل حصان طروادة أخطر في بعض الأحيان من الفيروسات نـفـسـها هي أن برامج حصان طروادة بـطـبـيـعـتـهـا خـطر سـاكـن وصامت فهي لا تقوم بتقديم نفسها للضحية مثلما يـقـوم الفـيـروس الـذي دائـما مـا يمكن ملاحظته من خلال الإزعاج أو الأضرار التي يقوم بها للمستخدم وبالتالي فإنها لا يمكن الشعور بها أثناء أدائها لمهمتها وبـالـتـالي فـإن فـرص إكـتـشافـها والقـبـض عـلـيـها تـكـاد تـكـون مـعـدومـه
-----------------------------------------------------------
يعتمد الاختراق على ما يسمى بالريموت (remote) أي السيطرة عن بعد ، ولكي تتم العملية لا بد
من وجود شيئين مهمين الأول البرنامج المسيطر وهو العميل والآخر الخادم الذي يقوم بتسهيل العملية
بعبارة أخرى للاتصال بين جهازين لا بد من توفر برنامج على كل من الجهازين لذلك يوجد نوعان من
البرامج ، ففي جهاز الضحية يوجد برنامج الخادم (server) وفي الجهاز الأخر يوجد برنامج المستفيد
أو مايسمى (client) . وتندرج البرامج التي سبق ذكرها سواء كانت العميل أو الخادم تحت نوع من
الملفات يسمى حصان طروادة ومن خلالهما يتم تبادل المعلومات حسب قوة البرنامج المستخدم
في التجسس .
وتختلف برامج التجسس في المميزات وطريقة الإستخدام .. لكنهما جميعا تعتمد على نفس الفكرة
التي ذكرنـاها وذلك بإرسـال مانسـميه الملـف اللاصـق Patch file أو برنـامج الخـادم والـذي يرسلــه
المتجسس الى جهاز الضحية فيقوم الأخير بحسن نية بتشغيل هذا الملف ظنا منه بأنه برنامج مفيد
لكنه غالبا ما يفاجأ بعدم عمل الملف بعد النقر عليه فيظن أنه ملف معطوب .. فيبحث عن شئ آخر
أو برنامج ثاني ويهمل الموضوع بينما في ذلك الوقت يكون المتجسس قد وضع قدمه الأولى داخل
جهـــاز الضحــيــة ،، ويتم الإتصال بين الجهازين عبر منفذ إتصال لكل جهاز ، قد يعتقد البعض أن هذا
المنفذ مادي بإستطاعته أن يراه أو يلمسه مثل منفذ الطابعة أو الماوس ، ولكنه جزء من الذاكرة
له عنوان معين يتعرف عليه الجهاز بأنه منطقة يتم إرسال واستقبال البيانات عليها ويمكن إستخدام
عدد كبير من المنافذ للإتصال وعددها يقارب 65000 منفذ تقريبا ، يميز كل منفذ الآخر رقمه فمثلا
المنفذ رقم 8080 يمكن إجراء إتصال عن طريقة ، وفي نفس اللحظة يتم إستخدام المنفذ رقم 8000
لإجــــراء إتصــــــــــــال أخــــــــــــــر
وعند الإصابة ببرنامج الخادم فإنه يقوم في أغلب الأحــوال بما يلي :
1- الإتجاه إلى ملف تسجيل النظام (registry) حيث أن النظام في كل مرة تقوم بتشغيل الويندوز يقوم
بتشغيل البرامج المساعدة في ملف تسجيل النظام مثل برامج الفيروسات وغيرها
2- يقوم بفتح ملف إتصال داخل الجهاز المصاب تمكن برنامج العميل من النفوذ
3- يقوم بعملية التجسس وذلك بتسجيل كل ما يحدث أو عمل أشياء أخرى على حسب ما يطلب منه
هذا يعني أن الجهاز إذا أصيب فإنه يصبح مهيأ للاختراق ، وبرنامج الخادم ينتظر طلب إتصال في
أي لحظة عن طريق المنفذ الذي قام بفتحة ، ويأتي طلب الإتصال بأحد طريقين :
1- من قبل شخص يتعمد إختراق الجهاز المصاب بعينة ، وذلك لعلمه بوجود معلومات تهمه أو لإصابة
ذلك الجهاز بالضرر لأي سبب كان
2- من قبل شخص لا يتعمد إختراق هذا الجهاز بعينة ، ولكنه يقوم بعمل مسح scanning على
مجموعة من الأجهزة في نطاق معين من العناوين لمعرفة أيها الذي لديه منافذ مفتوحة وبالتالي فهو
قابـل للإختراق .
**الفيصل**