الدروسبرامج

قم بحماية حساباتك من السرقة من إضافة FireSheep

انتشرت خلال الفترة الماضية عمليات سرقة حسابات المواقع الاجتماعية والبريد الإلكتروني والمدونات من الأفراد بشكلٍ مخيف، حتى أصبح المستخدم يهابُ استخدام الشبكة في منطقةٍ غير آمنة أو الاتصال بشبكةٍ غير موثوقة، وتطورت برامج الاختراق وطرقه بشكل ملحوظ فأصبح من السهل جدًا الحصول على بيانات الضحايا ببرامج وإضافات بسيطة لا تستغرق من الهاكر سوى ضغطة زر ومن ثم انتظار الضحية القادمة.

ومن هذه الإضافات إضافة “FireSheep” أو الخروف الناري لمتصفح الفايرفوكس، حيث تستطيع الدخول على حسابات المواقع الإجتماعية للأشخاص المتصلين بالشبكة اللاسلكية -Wifi- بضغطة زر دون عناء تحميل البرامج وكسر حماية الجهاز ودون أن يشعر الضحية بأي تغيير يذكر -ليس كعادة برامج الإختراق المتقدمة التي تحتاج لهذه الأمور-.

ما هي إضافة FireSheep؟ وكيف تعمل؟

إضافة FireSheep تعمل فقط على متصفح الموزيلا فايرفوكس الإصدار 3.6 لأنظمة الماك والويندوز -ولها نسخة خاصة لأجهزة الأندرويد Faceniff-، تركّب على المتصفح بشكل تلقائي وبعد ذلك بمجرد الضغط على زر Start Capturing سيقوم المتصفح باصطياد الضحايا -كل شخص متصل بنفس الشبكة اللاسلكية التي تعمل عليها أنت- مسجلاً دخوله إلى حسابه في الفيسبوك أو تويتر أو الهوتميل أو الوردبرس أو فلكر أو المواقع المتصلة بالخدمات كمواقع اختصار الروابط بتويتر أو حسابات موقع tweetpic عن طريق البروتوكول HTTP الغير مشفر -لذلك الإضافة لا تستطيع إختراق حساب الجيميل لاستخدامه بروتوكول HTTPS دومًا بشكل افتراضي، حيث تقوم الإضافة بالتقاط الإتصال من الشبكة اللاسلكية قبل تشفيرها من قبل السيرفر المتصل بالموقع وأخذ معلومات الـ Cookies وحفظها على المتصفح لكي يتسنى لمستخدم الإضافة الدخول على حساب الضحية متى أراد ذلك.

“كما يتضح في الصورة دخولي على صفحة حساباتي في الووردبرس وتويتر دون تسجيل دخولي من المتصفح – أستخدم جهازاً آخر- وزر Stop capturing في الأعلى في اليمين”

هل إضافة FireSheep رسمية؟ ولماذا لم تمنعها موزيلا؟

إضافة FireSheep قام ببرمجتها Eric Butler وهي ليست رسميّة -لن تجدها في مكتبة إضافات موزيلا فايرفوكس- ولكنها لم تصنّف ضمن الإضافات الضارة ضمن القائمة السوداء لأنها لا تقوم بالتخريب المباشر، ويستفيد منها أصحاب المواقع في إختبارات الحماية والتشفير لمواقعهم، لكن بعض الدول تعتبر إستخدام الإضافة للتهديد والضرر مخالفةَ يعاقب عليها القانون.

كيف أحمي نفسي من الاختراق عن طريق إضافة FireSheep؟

للأفراد وهذا ما يهمك عزيزي القارئ عليك أولاً أن تتأكد أن تضع رقمًا سريًّا لشبكتك اللاسلكية المنزلية الخاصة ، حيث يشترط لمستخدم الإضافة أن يكون متصلاً على شبكتك لكي يقوم باستخدامها ضدك، وعند استخدامك لشبكةٍ عامة -كالشبكة اللاسلكية بمقهى الإنترنت- فقم باستخدام البروتوكول الأمني المشفر HTTPS -ما يعني وجود حرف s بعد http كالتالي: https -، حيث لا تستطيع الإضافة الحصول على معلوماتك خلال هذا البرتوكول المشفر، وهناك إضافة خاصة بالكروم والفايرفوكس تستطيع تحميلها من هنا لإجبار المتصفح على الدخول بالبروتوكول المشفر HTTPS لتحميل الإضافة للكروم من هنا ، للفايرفوكس من هنا ، ويجدر الذكر أن القليل من المواقع تستخدم هذا البروتوكول بشكل افتراضي كموقع الجيميل، موقع تويتر والفيسبوك يدعمون البروتوكول ولكن بشكلٍ غير افتراضي لذلك عند دخولك لحسابك في أحدهما استخدم: https://facebook.com و https://twitter.com – انتبه لحرف “s” بعد http-.

أما بالنسبة للشركات والمنشآت الأخرى فتستطيع تجنب هذه الثغرة الأمنية عن طريق استخدام VPN أو ما يسمى بالشبكة الإفتراضية الخاصة لكي تقوم بتشفير عملية تبادل البيانات عن طريق الشبكة السلكية واللاسلكية مما يجنبها التعرض لمثل هذه الأمور مع مختلف المواقع الإجتماعية وغيرها.

وعليك معرفة أن هذه الإضافة ليست جديدة في صدورها بل هي موجودة منذ أكثر من سنة بالإضافة أنها ليست الطريقة الوحيدة لسرقة البيانات الغير مشفرة ولكنها الأسهل كما تبدو كذلك. اهتم بحماية نفسك حتى لا تكون فريسةً سهلة للمخرّبين.

المصادر: ١،٢،٣،٤،٥،٦،٧

‫17 تعليقات

  1. مقال رائع اخ وائل بورك فيك فعلاً كما قال الاخ احمد البعض سوف يستخدمون هذا المقال بشكل خاطئ ولكن اقول لكل من يفكر في ذالك قال: رسول الله صلى الله عليه وسلم :” من حفر حفرة لأخيه وقع فيها ” فأنتبه لايتغدون فيك قبل ماتتعشا فيهم تحياتي للمبدعين أمثلك اخ وائل

  2. كيف يمكن للاضافة استقبال البيانات قبل ان ترسل للسيرفر؟؟
    ربما تقصد شبكات الاتصال اللاسلكي الغير مشفرة
    واذا كان كلامك صحيح اذا فهذه كارثه
    فانت هنا لا تتحدث فقط عن شبكات اجتماعية
    بل ما هو اهم بكثير مثل حسابات بنكية تستخدم اتصال غير امن
    او معلومات دخول لمواقع تهمك
    يجب ان تتاكد اذا كان اتصالك مشفر عندما كنت تستخدم الاضافة؟؟

    وفي كل الاحوال لا تدخل عموما على شبكة عامة فهذا يجعلك عرضة لسرقة الكوكيز وايضا اختراق جهازك من قبل اشخاص متقدمين او مبتداين حتى

  3. تشكر اخوي على الموضوع المميز لكن كان من المفضل لو لم تذكر اسم الاضافة لانك هكذا تسهل العملية لضعاف النفوس

  4. مع احترامي لكاتب المقال ولكنه لم يصب في مقاله لعدة اسباب:
    1- الاضافه اللي يتحدث عنها و الثغره اللي تستغلها الاضافه مكتشفه من شهر ابريل 2010 (يعني اكثر من سنه) و هذا وقت طويل و كاف لتطوير مئات البرامج و التطبيقات اما لمحاربتها او التطوير عليها و الاستفاده منها.
    2- الاخ وائل تفضل مشكور بالتنبيه ان الاضافه لا تعمل الا على الاصدار 3.6 بينما معظم الناس تستخدم الاصدار 4 و ما فوق .
    3- هذا النوع من القرصنه يسمى network sniffing اي مراقبة الشبكة و تسجيل الترافيك لكل packet داخل كان او خارج من الشبكه بكل ما فيه من معلومات سواء باسوورد , رابط موقع أو صوره او اي شيء اخر . البرامج اللتي تتعامل بهذا النوع من البرمجيات تستطيع كشف ادق تفاصيل الاتصال بالشبكة بدون ان يلحظها احد و الاخطر من ذلك انها مجانية على جميع انظمة التشغيل و سهله الاستخدام فقط تحتاج الى شخص يعرف عن ماذا يبحث و ترك شبكتك المحليه في المنزل او العمل مفتوحه للجميع هي بمثابة بطاقة دعوة مجانيه لاختراق خصوصيتك.

  5. الرجاء فقط عدم اطلاق اللقب Hacker على اولائك القراصنة فشتان بين هذا وذاك.

  6. أستاذ علي أهلاً بك .. المقصود بأنها لا تعمل إلا على فايرفوكس 3.6 فالمقصود أن الهاكر أو مستخدم هذه الإضافة يحتاج لأن يستخدم هذا الإصدار ، لكن الضحية لا يشترط أن يكون مستخدمًا للفايرفوكس أصلاً ، وأنا كما بينت في الصورة اخترقت نفسي من جهاز آخر في البيت باستخدام متصفح جوجل كروم وقمت باصطياد نفسي باستخدام الفايرفوكس على جهاز آخر -وتستطيع تجربة ذلك بنفسك على جهازك نفسه-، ولقد ذكرت أن الإضافة لها أكثر من سنة وبالإضافة أن هنالك أدوات مضادة لها وإضافات للمتصفحات ولكنها ليست قابلة للإستخدام العام ، لذلك حاولت إيجاد أسهل طريقة للمستخدمين لكي يتجنبوا هذا الإختراق بهذه الطريقة كما ذكرت في المقال .. وشكراً لك لإثراء المقال بما ذكرت.

  7. هل طريقة البرتوكل المشفر htpps مضمووونة وكيف اعرف اذا تم تهكيري بواسطة هذة الاداه؟؟؟؟ وكيف احمي نفسي منهآآ 100% مع العلم اني استعمل شبكة وايرلس مفتوحة مع الجيران؟؟؟

    وشكرا لك اخي على هذا المووضوع القيم جدآ

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى