Hack In The Box Security Conference 2008 in Malaysia
أو مؤتمر Hitb لأمن المعلومات بماليزيا , بالعربي
حضره حوالي الف هاكرز و خبير بأمن المعلومات و الشبكات و من مختلف الجنسيات .نسبة
كبيرةمن الحاضرين كانو من آسيا من دول مثل : كوريا , ماليزيا , الصين و اندونسيا كان فيه
غيرهم طبعًا من دول ثانية وغربية بس ذولا اللي كانو كل شوي طابين بوجهي بالفندق ..
مدة المؤتمر كانت : اربعة أيام من تاريخ 27 إلى 30 أكتوبر بـ بكوالا لمبور
أول يومين بالمؤتمر كانت مُخصصة لدورات عملية أو تدريبية - أيام 27 و 28 اكتوبر .
و اليومين الاخيرات كانت ايام إلقاء الكلمات و المحاضرات و التحديات - أيام 29 و 30 اكتوبر
الدورات كانت برسوم تراوحت ما بين 3299 للي يسجل بوقت مبكر اونلاين و 3899 للي
يسجل متأخر و مدة كل دورة يومين و المقاعد كانت محدودة , و سعتها 25 شخص . المبلغ
المذكور بعملة ماليزيا و عادلت حوالي 3 الاف و 480 ريال سعودي للشخص الواحد عن الدورة
التدربية الواحدة بالتسجيل المبكر.
الدورة التدربية الأولى :
المدربين كانوا :
مل مودين -المشهور بلقب سبون فورك , خبير و إستشاري ومدرب امني ماليزي و عنده خبرة
بـ اساليب الاختراق و مراقبة أمن الشبكات و تطوير تطبيقات الويب. وكان مسؤول عن تطوير شبكات حكومية
لماليزيا و مراقبة امنها.
لي تشين شينغ - المشهور بلقب جيـ ـكـ ـوول , ماليزي مختص و إستشاري بأمن الشبكات .
و مؤسس ومدير تنفيذي لشركة ديفكرافت سابقًا كان مدرب يعلم لاختراق الشبكات
اللاسلكية للي يبون شهادة CEH <- شهادة تثبت انك هاكرز , و حاليًا مهتم بـ النتويرك
سيكيوروتي مونترينق أو NSM
الدورة العملية كانت عن الشبكات و عنوانها : Structured Network Threat Analysis and Forensics
و تستهدف بشكل خاص : المحللين الأمنين , مدراء الانظمة و أي احد مهتم ببناء شبكات
محصنة. و موضوعها او زبدتها كان التعامل مع امن الشبكات و تحليل التهديدات أو المخاطر و
جمع الادلة .
بعبارات أشمل : بالدورة ذي يعلمونك كيف تكتشف و تحلل وتتعامل مع المخاطر و الاحداث
الطارئة لشبكتك يعني يعلمونك كيف تحلل الحزم او الباكت اللي تمر بشبكتك , بادوات و برامج
مفتوحة المصدر و كيف تقدر تحدد مصدرها و وجهتها و اي علامة تدل على انها محاولة اختراق
للشبكة وايضًا كيف تعرف الثغرة أو الثغرات اللي استهدفتها بشبكتك.
الدورة كانت فترتين , صبح و مسى :
باليوم الاول بالصباح : اعطو مقدمة لنظام FreeBSD و هيكس نظام مراقبة الشبكات و هو Live CD مبني على الفري بي اس دي .
و مراجعة سريعة لبروتوكولات TCP\IP
فترة بعد الظهر : علموا لمبادئ مراقبة امن الشبكات و الباسف نيتوورك مونترينق و لبرنامج Tcpdump و BPF فيلتر.
باليوم التالي بفترة الصبح : شرحو أساليب جمع بيانات الشبكة أول شي و بعدها علمو بشكل عملي كيف تحللها
فترة بعد الظهر : كملو كيف تحللها بشكل عملي و اعطوا ملخص او زبدة التدريب كلة بشكل مترابط.
طبعًا كان مشترطين حتى يقبلونك انه لازم يكون عندك خلفية متوسطة عن بروتوكولات TCP\IP
و تعرف لانظمة يونكس و ويندوز و تجيب معاك لابتوبك وعليه ليونكس او ويندوز أي واحد بهن ,ما يفرق عندهم..
و مشترطين بمواصفات اللاب توب ان ذاكرته ما تقل عن 512 و مساحة الهارددسك الخالية ما تقل عن 4 غيغا
حتى ما تعطلهم و يضيع الوقت وانت ما خلصت التطبيق.
الدورة التدريبة الثانية : كانت عن امن شبكات الوايرلس و البلوتوث و تردد موجات الراديو .
ما عندي اي معلومات عنها و لا حضرتها . و اتوقع انها اعلى من مستواي دام بها موجات و راديو .
الدورة التدربية الثالثة :
كان المدرب : شيراغ شاه
متحدث بالمؤتمرات و ناصح للامن الاستراتيجي لشركات عدة و مؤسس و مدير شركة بلونيفاي
سولوشن حاليًا و نيت سكوير سولوشن سابقًا و اشتغل كإستشاري امن بفاوندستون انك و
مطور برامج بـ تشيس بانك .
دورتة العملية كانت هي الاكثف و الادسم معلوماتيًا من كل الاربعة من وجهة نظري .
لانها كانت عن :
1- أساسيات أمن التطبيقات و قسمها لاجزاء مثل أبعاد الهجمات من منظور الهاكرز , والويب 2
و انواع التهديدات و غيرها الكثير اللي مقدر ابسطه بالعربي ..
2- واعطى نظرة أمنية عامة عن هيكلة التطبيقات : من ناحية البروتوكولات و الادوات المستخدمة للتحليل و
المتصفح و الإضافات الخاصة فيه .
3- و اعطى لمحة عن معمارية التطبيقات البرمجية و قسمها لنقاط منها : الدوت نت و J2E
فريموركس و الوديجت كومبونمينت و غيرها من تطبيقات الويب الجديدة مثل أجاكس و ريتش
انترنت ابلكيشنز.
4- مفاهيم و طرق إستغلال ضعف التطبيقات بشكل تفصيلي : مثل حقن SQL و كروس سايت
سكربتنق XSS و خطف الجلسات او السيشن هاي جاكنق بالانجليزي و البليند sql انجكشن
و اختراق قواعد البيانات و تخطي تاكيد الادخال اما بما معناه زي كذا بالعربي وثغرات الفيض أو
طفح الفيض أو البوفر اوفرفلو بالانجليزي.
5- طرق هجمات متقدمة مثل : تسميم الـ XML , وطريقة حقن sql من خلال xml , و الكروس
دومين باي باس , و استثمار الوديجت زي اللي بنظام ابل ماكنتوش و rss انجكشن و غيرها ..
و عن اشياء ثانية غير كذا بس متقدمة مرة ..
الدورة التدربية الرابعة :
بمختصر العبارة كانت عبارة عن معمل لاكتشاف الثغرات و طرق استغلالها بالانظمة و متصفحات
الانترنت. و كانوا يعلمون كيف تكتشف الاخطاء البرمجية و كيف تكتب استغلال او إستثمار لها
يمكنك من الاختراق .
المحاضرات
المتحدثين الرئيسين بالمؤتمر كانوا اربعة , و كان فيه غيرهم ثانويين ما حضرت ولا استمعت
لكلمات و محاضرات بعضهم لضيق الوقت. ولان المحاضرات كانت متتابعة ورا بعض و كل وحدة
مدتها ساعة .
المتحدثين الرئيسين كانو:
مؤسسي موقع The Pirate Bay حق التورنت : بيتر سيند و فرديريك نيغ
فرديريك نيغ سويدي <- من دولة السويد أعني , ماقصد السويد اللي من سنجار من شمر..
,.,.,
و الدكتور انتون تشوفكين
خبير أمني و رئيس الابحاث بشركة : Log Logic و مؤلف كتاب بمجال أمن المعلومات :
"Security Warrior"
ومساهم باخرى منها :
"Know Your Enemy II" , "Hacker's Challenge 3"
"Information Security Management Handbook".
حاضر من الساعة 10 الصباح الى 11 قبل الظهر بقاعة فندق كراون بلازا بكولالمبور.
و كانت كلمته بعنوان : Welcome to the Owned World .
,.,.,
و جيرمايا غروسمان - الثاني من يمين ابو جنز و قميص اسود
مؤسس شركة وايت هات سيكيورتي المختصة بأمن تطبيقات الويب و كان ضابط أمن
المعلومات بشركة ياهو. محاضرته كانت مرتكزة عن الثغرة الجديدة اللي بمشغل الفلاش حق
شركة ادوب Adobe اللي برمجت الفوتوشوب , مشغل الفلاش اقصد فيه اللي تشوف عن
طريقه الفلاشات و اليوتوب بالانترنت اكسبلورر و الفايرفوكس وغيرهن.
الثغرة اسمها ClickJacking , و عن طريقها كان اي واحد يقدر يشغل كاميرا الويب حقتك و
يشوفك و كذلك يسمع عن طريق المايكرفون , اذا كنت شابكه هو والكاميرا بجهازك , و كل هذا
ما يتطلب إلا ضغطة زر وحدة منك بس بالماوس , حتى يتمكن من تنفيذ هالشي .
. الثغرة بعضهم عرفها قبل شهر و شوي وما اعلنوا عنها الا قبل شهر و
شركة ادوبي طلبت منه انه ما يصرح بشي إلين يلقون لها حل قبل يقول تفاصيل
ها بشكل علني.
طبعًا هو قال لهم بكشف المعلومات و تفاصليها التقنية سواء حليتوها او لا بمؤتمر ماليزيا.
الشركة نزلت رقعة أمنية بأول الشهر لها قبل هالمؤتمر بثلاث اسابيع .
,.,.,
وماركوس رانيوم :
و كان عنوان البرزنتيشن حقه او محاضرته : Cyberwar is Bullshit
ماركوس : مصمم تطبيقات أمنية و بالثمانينات الميلادية شارك او صمم جُدر نارية حسب ما
فهمت من الكلام.
جميع المحاضرات بدت الساعة 4 الفجر بتوقيت السعودية , 9 الصبح بتوقيت ماليزيا
و انتهت الساعة 2 و نص الظهر بتوقيت السعودية , 7 المسى بتوقيت ماليزيا ..
التحديات
كان فيه تحديات و العاب مثيرة للفرق و الافراد بأخر يومين والجوائز من الرعاة الرسمين
كانت مادية بحدود 3000 ريال سعودي للفائزين مثل :
تحدي الفرق وكان اسمه ( الإستيلاء على العلم ) :
أشتركت به فرق مكونة من ثلاث أشخاص . كل فريق كان من دولة .
و كان عبارة عن محاولة إختراق و تعطيل سيرفر الفرق الثانية و حماية سيرفرك .
السيرفرات كانت بها خدمات شغالة وكان المطلوب إكتشاف ثغراتها و كتابة اكسبلويت او استثمار للاختراق عن طريقه.
و كان ممنوع إستخدام الفلود و هجمات DoS و ايضًا ممنوع التعرض لاعضاء الفرق الثانية او
مضايقتهم واشغالهم. و توزيع النقاط كان بصورتين :
نقاط للهجوم : يعطون الفرق النقاط اذا قدرت تخترق سيرفر الخصم و تاخذ علمهم .
و نقاط للدفاع : يعطونها الفريق اذا قدر يخلي سيرفره شغال اونلاين و يصد الهجمات.
فرق الهكرز اللي كانت مشتركة كانت ثمانية من : ماليزيا و سنغافورا و فيتنام و كوريا ,
اسمائهم كانت غريبة وما حفظت الا اسم فريق اندونوسي اسمه ايكو بس انسحب .
تحدي القرية اللاسلكية :
ما عندي معلومات عنده و لا حضرته .
تحدي الاختراق المفتوح :
و كان المطلوب تكتشف ثغرات غير منشورة او معروفة ببرامج انظمة التشغيل والتحدي السنة
ذي كان عبارة عن 4 انظمة مرقعه باخر الرقع الامنية للاب توب ماك بوك اير من شركة ابل ,
النظام كان ليبورد ماكنتوش لنفس الشركة ابل .
وكان مُعد على الاعدادات الافتراضية . و الاجهزة الاربعة موصولات بشبكة سلكية اي واحد يقدر
يدخل عليها . و اللي يقدر يخترق أي جهاز , يكون هو جائزته و ياخذه له .
هامش :
* ما واجهت الا سعودي واحد أصغر مني بسنة , من الرياض كان جاي لكولامبور بس
عشان المؤتمر , و الغريب اني واجهته صدفة و طلعت اعرفه من قبل , من عام 2003 بلقبه
المستعار و على النت بس ..
* فرق التوقيت بين المملكة و ماليزيا بحدود 5 ساعات .
* للأسف التصوير كان ممنوع داخل القاعات بايام التدريب . و الصور المرفقة بالموضوع جمعتها
من الانترنت ..
خذيت مقاطع فيديو لمدخل القاعة اللي تمت فيها المحاضرات ورسيبشن التسجيل و الناس و
هي داخلة له حريم و رجال .
الرسيبشن حق التسجيل كان فاتح من 7:30 الصباح و المحاضرات بدت من 9:00 صباحًا
المقاطع بجودة رديئة ( كاميرا جهاز I-mate ) , بحاول أحسنها إن قدرت و برفقها هنا بعدين .
و ان شاء الله بالمؤتمرات الجاية, بعمل بحسابي اني اخذ كاميرا شخصية للتوثيق ولا اعتمد على جهازي.
و صلى اللهم على محمد و بارك , أ.هـ
بروح انام .
ملخص مختصر لمؤتمر HITB الأمني بماليزيا .
رد مع اقتباس
المفضلات