مدونة أسود و أبيض

تجميع لمحاولات تفّكر
اللى فاكر جهله بأمرا ما يشفع ليه،
ده تناسى ان اقرأ اول كلمة نزلت على نبيه
لا يوجد حقوق ملكية، انسخ ما تشاء
لو التفكير مكنش عبادة يبقي ايه لازم الغيب
لولا إن التفسير إتطور كان زمانها خلاص مش آيه
يسقيك ولا يرويك
لقيت الناتج صفر، اسف لو ضيعت وقتك

 

تصنيفات

الهدف السؤال وليس الاجاية
اسعي، و علّم عشرة
قادر ، والدليل ان الحياة مهزمتكش
من وانت بتحبي وهي بتحاول متقومكش

الدنيا مبتديكش اللي انت شايفه عليك كتير 
ما دام هتحلم .. اوعى تحلم الا حلم كبير 
في ناس وصولها راح هدر عشان لحظة تأخير 
سابق بشراسة … كإنك بادئ الأخير

عاندي فينا أكتر … لسه فينا حيل نعاندك
تيجي فينا ايه يا دنيا … ورينا اللي عندك
اقفي بيننا وبين هدفنا ، وأخريلنا ساعتك
هنوصل في الميعاد ، ونحتفل داخل ملاعبك

 

انترنت الرجل الاوسط

كنا اتكلمنا فى مصيبة سابقة عن اللى بيحصل فى “اتصالات مصر” من حقن widgets وملفات جافاسكريبت داخل البيانات الماره واللى فوت الموضوع دا يقدر يرجعله هنا: https://skty.cc/bh، دلوقتى بقى نفس الموضوع او يمكن اسوأ شوية بيحصل مع WE او “المصرية للإتصالات – Telecom Egypt سابقاً” او “TE DATA” سابقاً بردو مش هيفرق، ايه طيب اللى حصل بعيداً من الدوشة وجشع شركات الاتصالات المصرية اللى حتى خيبة فى جمع بيانات المستخدمين ومش عارفين يعملوها صح وبيفضحوا نفسهم بنفسهم ونظراً لكثرة الاسئلة اللى استلمتها بسبب نفس الموضوع ولتنوير وعى المستخدمينن كتبت البوست دا.

اولا بالنسبة للتكهنات حول اسباب حدوث الموضوع (ودى عبارة عن تخمين ال المجتمع التقنى للى حصل دا وبيحصل بقاله اسبوع ومحدش سائل فى المستخدمين حتى بتوضيح ولا ببيان رسمى ويولع اللى يولع):
١. هجوم من نوع ARP Poisoning من اى شخص/جهاز معاك على نفس الشبكة.
٢. هجوم من نوع DNS Poisoning من مقدم خدمة الانترنت نفسه او ISP.
٣. هجوم من نوع Packet Injection ودا نفس المثال اللى عملتة شركة “اتصالات مصر” بحقن بيانات (Etisalat Widget) فى البيانات المارة الغير مشفرة مابين المستخدم ومابين سيرفرات المواقع الغير مشفرة.
٤. اعادة توجية فى حالة استنزاف الكوتا او الميجا بايتس الموجودة فى الباقة.
٥. اعادة توجية بتحصل بسبب اللى قاعدين فى WE بيلعبوا ومش فاهمين هما بيهببوا ايه.
٦. إعادة توجية بتحصل بسبب تلوث الاجهزة او المخدمات فى WE نفسها (ودا محدش يقدر يثبتة او ينفيه لحد دلوقتى).
٧. الراوترات اللى بتوزعها شركة WE بداخلها ثغرات او مش متظبطة كويس او الاعدادات الافتراضيه ليها ضايعه وحد على الانترنت ايا كان جنسيتة استغلها بشكل واسع على الانترنت (استبعد دا لان التحويل بيتم على IP مصرى بردو ل WE اللى هيا TEDATA سابقا اللى هيا GEGA NET سابقاُ بردو)
٨. اسباب اخرى متروكة للشيطان…

علشان نفهم ايه اللى بيحصل لازم نفهم فى البداية ان مقدم الخدمة او Internet Service Provider او ISP هو حرفيا “الرجل الاوسط او Man in The Middle” ودا معناه ان كل الشركات اللى بتقدملك الانترنت متواجدة مابينك انت كمستخدم بالكمبيوتر او بالتليفون بتاعك او بأى جهاز متصل باالانترنت ومابين الحاجة او الموقع او الخادم اللى انت عايز توصلة، لو الخادم او المكان اللى انت عايز توصلة أمن وبيستخدم HTTPS كل اللى هيقدر يشوفة مقدم الخدمة هو ال DNS Resolution فقط او عنوان الموقع اللى انت رايحله فقط لحد ال tld او ال top level domain او بالبلدى لحد ال .com او ال .net الخ الخ، اما لو كان الخادم او الموقع اللى انت عايز توصله مبيستخدمش اتصال امن HTTP فساعتها بيبقى اى حد معاك على الشبكة او ختى مقدم الانترنت بتاعك هو “الرجل الاوسط” او “Man In The Middle” وبيقدر يعمل هجوم اسمة Man In The Middle Attack ودا بيسمح للشخص او لمقدم شركة الانترنت انه يشوف كل بياناتك المارة او حتى يقوم بالتعديل عليها بالحقن فيها او اعادة توجيهها. لحد هنا تمام؟ نكمل!

اللى حصل ان ناس تقنيين كتير فى مصر وتحديداً من مشتركى WE لاحظوا بوجود redirection او اعادة توجية للبيانات المارة داخل طلبات الويب الغير مشفرة العاملة على بروتوكول http بإنها بتقوم رايحه على IP وبورت معينين واللى هما الاى بى: 212.103.169.140 ودا اى بى بعد التحرى عنه بيرجع لمقدم خدمة اسمه GEGA NET ودا تقريبا بردو اسم قديم جداً ل TE Data فى الفترة من عام ١٩٩٩ الى ٢٠٠١ او اكتر والبورت: 8088 وببحث بسيط فى ال commonly registered ports او المنافذ المسجلة الشائعة على IANA او Internet Assigned Numbers Authority هنلاقى بورت 8088 دا مسجلة لخدمة اسمها “Radan HTTP” وتقدر تعرف اكتر عنها هنا: https://skty.cc/bi ودى خدمة مش هتلاقى وصف خالص ليها على جوجل بس بالبحث العميق اللى عملته تبين انها خدمة Proxy بتشتغل زى باقى خدمات البروكسى العادية ودا طبيعى وبيتماشى مع طبيعة وسياق الموضوع ككل، علشان تعمل redirection لأى من الهجمات اللى ذكرتها سابقا لابد من وجود HTTP Proxy علشان البيانات الماره تمر عليه ويسمحلك انت ك Man In The Middle بالتحكم فيها، نكمل، البيانات الماره كان بيتم اعادة توجيه اى ملفات جافاسكريبت بتنتهى بالامتداد .js على العنوان التالى:
http[:]//212[.]103[.]169[.]140[:]8088/bootstrap[.]js?url=http[:]//DOMAIN[.]tld/REQUESTED_PATH/REQUESTED_FILE[.]JS

والمشكلة ان ياريت الاى بى شغال، لا، كل الاتصالات اللى عليه بترد ب timeout لحاجة من اتنين إما الاتصالات كتيره جدا فالسيرفر اللى بيحتوى بيروحله الترافيك دا بيقع ومش بيستحمل كل الطلبات دى او ان اللى عملوا السيرفر نفسه بإعداداته مش عارفين يظبطوه كويس!

دا طبعا بعيداً عن ان WE بتحاول تقلد Etisalat Misr بحقن Widget وبداخلها Speed Test ودا عبارة عن Widget لاختبار سرعة الانترنت مش عارف الحقيقة ايه الغرض منه وهل WE نفسها اللى حاقناه ولا حد قام بإختراقهم وبيتلاعب بالمستخدمين، لازم WE تخرج بتصريح رسمى تفسر الهطل اللى بيحصل دا!

اعادة التوجية بشكل عام اللى بتحصل دي بنقدر فى عالمنا نفسرها بالتالى:
١. اما شركة WE بتحاول تحقن اكواد جافاسكريبت زيادة عن المطلوبة الاساسية واللى بدوره بيقوم بزيادة واستهلاك كبير لمعدل استخدامك للانترنت او الميجا بايتس المتبقية عندك ودا اللى بيتسبب فى النهاية بإن ناس بتسأل اسئلة من نوع “هوا انا باقة الانترنت بتخلص بسرعة ليه؟” – “الانترنت بطئ جدا كدا ليه؟” – او “صفحات كتير جدا وخدمات مش بتفتح!” وتروح تكلم اى حد من خدمة العملا يفضل يطلعلك القطط الفاطسة فى الراوتر بتاعك ويرددوا جملتهم الشهيره “اقفل الراوتر وافتحه من تانى”.

٢. العملية بتستهدف ال dynamic javascript file واللى ممكن بتحتوى على بيانات مهمة خاصة بالمستخدم بالرغم ان ملفات الجافاسكريبت دايما static او ثابته الا ان فى مواقع مش بتتبع ال best practices او افضل المعايير وبتستعمل dynamic javascript بيتغير محتواها وبيبقى مرتبط بجلسات العمل الخاصة بالمستخدمين. (استبعد النقطة دى لانها احتمال وارد بس ضعيف جدا فى مثالنا دا)

٣. فى DNS Poisoning بيحصل على مستوى مقدم الخدمة نفسه لدرجة انه خلا الناس تفتكر ان الراوترات بتاعتها داخلها malware او برمجيات خبيثة والمصيبة ان بعض ال traffic بيروح لمواقع وايبيهات جهتها دولة “روسيا” ودا معاه ان لو فى لسه بنك من البنوك اللى انا صوتى اتنبح من التنديد بإستخدامها HTTPS وليس HTTP هيقدر موقع روسى زى اللى بيحصلهم حقن دول انه هوب يحقن script داخل موقع البنك اللى له entry-point مش متأمنه وفى الاخر تقول فلوسى اللى فى حسابى البنكى راحت فين!

خلاصة الموضوع ان اللى بيحصل دا هبل من المصرية للإتصالات – WE، الحقيقة هما عايزين يعملوا حاجة وربنا وحده اللى يعلم عواقبها او الغرض منها الا انهم لهبلهم كشفوا نفسهم بدا ما يقوموا الاول بتطبيق اللى عايزين يعملوه فى بيئة تجريبية، لا، راحوا مطبقينه على المستخدمين وعلى scale او حجم كبير ودا مستحملش العدد او الكم الهائل من المستخدمين.

اللى بيحصل دا غير قانونى بالمرة دا لو حكمنا عليه بالقوانين العالمية انما بقوانين WE هتلاقيهم بكره قاموا حاطينه فى اتفاقية المستخدم “العقد” اللى المستخدم اصلا مش بيقراه ولا حتى بيبص عليه وبيمضى وخلاص واللى هتلاقيه بند غامض لو جبتله ٢٠ محامى ما هيفهموه، الحاجات دى بتتحط فى العقود علشان تخلى المسؤولية القانونية عن اللى حاططها علشان فى الاخر لما مشكلة زى دى تحصل ويكتر عليها الكلام يقولولك روح اضرب دماغك فى اتخن حيط.

دا فيديو لصديقى محمد عبدالعاطى بيوضح إعادة التوجية اللى بتحصل، اللى فى الفيديو مثال لطلب رايح لملف javascript موجود على سيرفر اتصالة غير امن HTTP علشان يوضح اساس المشكلة، الطلب مره اتعمل من ال mobile data او اتصال الانترنت الموجود على الخط العادى Vodafone ومره على ال Wifi المقدم من WE، الفيديو تقدروا تشوفوه هنا: https://skty.cc/bl

طيب احمى نفسى ازاى؟
١. علشان نتأكد ان اللى بيتم عليك دا مش هجوم ARP Poisoning مش موجوده حاول تفصل كل الاجهزة اللى على الراوتر ولو الراوتر وايرلس وقف الوايرلس واربط كمبيوتربك بيه عن طريق كابل RJ45 وشوف لو المشكلة استمرت ولا لا، لواستمرت كمل للخطوه التالية.
٢. علشان تتأكد ان مفيش اى تطبيق خبية او bot داخل الراوتر بتاعك مش موجودة حاول تجرب راوتر تانى وتعمله configure على اعدادات ال ISP بتاعك، لو المشكلة استمرت كمل للخطوة التالية.
٣. غير ال DNS داخل اعدادات الراوتر الى 8.8.8.8 والبديل 8.8.4.4 ولو مقدرتش غير اعدادات ال DNS يدويا فى الاجهزة بتاعتك لنفس الارقام لو المشكلة استمرت كمل للخطوة التالية.
٤. اهم نقطة: نزل اضافة المتصفح HTTPS Everywhere علشان لو الترافيك الغير مؤمن دا بيحصله Hijack الاضافه دى هتعمله بلوك (علشان لو لا قدر الله ال redirect دا بياخدك لمكان فيه ثغرات من نوع zero day متتصابش بيها) ،على كروم وفايرفوكس واوبرا واندرويد من هنا: https://skty.cc/bm المشكلة استمرت كمل للخطوة التالية.
٥. ال VPN هو الحل، وبالرغم من انه محجوب من مصر الا ان فى خدمات VPN بتشتغل وهتحميك حرفياً من كل المشاكل اللى موجودة فى البوست الا ان بردو ال VPN عامل زى ال ISP او مقدم الخدمة وممكن يحصلك نفس الضرر من خلالة الا ان ال VPN المحترم والمضمون مش محتاجين يخترقوك او يلعبوا ببياناتك زى ما مقدمين الخدمة فى WE جعانين وعايزينها.

بغض النظر عن كل اللى فات دا هنا بوست تمت كتابته هيفيدك جدا فى حماية نفسك: https://skty.cc/ar

اخيراً، رسالة ل WE وكل شركات الاتصالات اللى فى مصر: ياريت نكبر شوية على الهرى اللى بيحصل دا وتشوفوا مصلحة المستخدم اللى بيدفعلكم وبيأكلكم عيش بدل ما تقرفوه فى عيشته زى ما بيحصل والا فى الاخر الناس هتضرب عن خدماتكم ودا هيفتح المجال لشركات جديده فى الدخول او لا قدر الله WE هتقفل وتسرح موظفيها فى الشارع خصوصاً بعدا خبر قريتة النهاردة وهوا ان مصر كدولة مقبلة على تطبيق قانون “حماية بيانات المستخدمين الشخصية” واللى بيناقشة “مجلس النواب” ودا على غرار قانون حماية البيانات الشخصية الاوروبى GDPR واللى لو اتطبق شبهه فى مصر اول المتضررين هيكون شركات الانترنت والبنوك وقطاع الاتصالات، تقدر تشوف الخبر هنا: https://skty.cc/bk، قبل الاقرار بقانون حماية البيانات الشخصية يامجلس النواب روحوا بصوا على البنية التحتية الضايعة الاول لان بدونها مفيش اى حماية لا لبيانات شخصية ولا لبيانات عامة حتى!

دمتم بود!

كنا اتكلمنا فى مصيبة سابقة عن اللى بيحصل فى "اتصالات مصر" من حقن widgets وملفات جافاسكريبت داخل البيانات الماره واللى…

Posted by Mohamed A. Baset on Sunday, November 3, 2019

انتقل إلى أعلى