قم بحماية حساباتك من السرقة من إضافة FireSheep

انتشرت خلال الفترة الماضية عمليات سرقة حسابات المواقع الاجتماعية والبريد الإلكتروني والمدونات من الأفراد بشكلٍ مخيف، حتى أصبح المستخدم يهابُ استخدام الشبكة في منطقةٍ غير آمنة أو الاتصال بشبكةٍ غير موثوقة، وتطورت برامج الاختراق وطرقه بشكل ملحوظ فأصبح من السهل جدًا الحصول على بيانات الضحايا ببرامج وإضافات بسيطة لا تستغرق من الهاكر سوى ضغطة زر ومن ثم انتظار الضحية القادمة.

ومن هذه الإضافات إضافة “FireSheep” أو الخروف الناري لمتصفح الفايرفوكس، حيث تستطيع الدخول على حسابات المواقع الإجتماعية للأشخاص المتصلين بالشبكة اللاسلكية -Wifi- بضغطة زر دون عناء تحميل البرامج وكسر حماية الجهاز ودون أن يشعر الضحية بأي تغيير يذكر -ليس كعادة برامج الإختراق المتقدمة التي تحتاج لهذه الأمور-.

ما هي إضافة FireSheep؟ وكيف تعمل؟

إضافة FireSheep تعمل فقط على متصفح الموزيلا فايرفوكس الإصدار 3.6 لأنظمة الماك والويندوز -ولها نسخة خاصة لأجهزة الأندرويد Faceniff-، تركّب على المتصفح بشكل تلقائي وبعد ذلك بمجرد الضغط على زر Start Capturing سيقوم المتصفح باصطياد الضحايا -كل شخص متصل بنفس الشبكة اللاسلكية التي تعمل عليها أنت- مسجلاً دخوله إلى حسابه في الفيسبوك أو تويتر أو الهوتميل أو الوردبرس أو فلكر أو المواقع المتصلة بالخدمات كمواقع اختصار الروابط بتويتر أو حسابات موقع tweetpic عن طريق البروتوكول HTTP الغير مشفر -لذلك الإضافة لا تستطيع إختراق حساب الجيميل لاستخدامه بروتوكول HTTPS دومًا بشكل افتراضي، حيث تقوم الإضافة بالتقاط الإتصال من الشبكة اللاسلكية قبل تشفيرها من قبل السيرفر المتصل بالموقع وأخذ معلومات الـ Cookies وحفظها على المتصفح لكي يتسنى لمستخدم الإضافة الدخول على حساب الضحية متى أراد ذلك.

“كما يتضح في الصورة دخولي على صفحة حساباتي في الووردبرس وتويتر دون تسجيل دخولي من المتصفح – أستخدم جهازاً آخر- وزر Stop capturing في الأعلى في اليمين”

هل إضافة FireSheep رسمية؟ ولماذا لم تمنعها موزيلا؟

إضافة FireSheep قام ببرمجتها Eric Butler وهي ليست رسميّة -لن تجدها في مكتبة إضافات موزيلا فايرفوكس- ولكنها لم تصنّف ضمن الإضافات الضارة ضمن القائمة السوداء لأنها لا تقوم بالتخريب المباشر، ويستفيد منها أصحاب المواقع في إختبارات الحماية والتشفير لمواقعهم، لكن بعض الدول تعتبر إستخدام الإضافة للتهديد والضرر مخالفةَ يعاقب عليها القانون.

كيف أحمي نفسي من الاختراق عن طريق إضافة FireSheep؟

للأفراد وهذا ما يهمك عزيزي القارئ عليك أولاً أن تتأكد أن تضع رقمًا سريًّا لشبكتك اللاسلكية المنزلية الخاصة ، حيث يشترط لمستخدم الإضافة أن يكون متصلاً على شبكتك لكي يقوم باستخدامها ضدك، وعند استخدامك لشبكةٍ عامة -كالشبكة اللاسلكية بمقهى الإنترنت- فقم باستخدام البروتوكول الأمني المشفر HTTPS -ما يعني وجود حرف s بعد http كالتالي: https -، حيث لا تستطيع الإضافة الحصول على معلوماتك خلال هذا البرتوكول المشفر، وهناك إضافة خاصة بالكروم والفايرفوكس تستطيع تحميلها من هنا لإجبار المتصفح على الدخول بالبروتوكول المشفر HTTPS لتحميل الإضافة للكروم من هنا ، للفايرفوكس من هنا ، ويجدر الذكر أن القليل من المواقع تستخدم هذا البروتوكول بشكل افتراضي كموقع الجيميل، موقع تويتر والفيسبوك يدعمون البروتوكول ولكن بشكلٍ غير افتراضي لذلك عند دخولك لحسابك في أحدهما استخدم: https://facebook.com و https://twitter.com – انتبه لحرف “s” بعد http-.

أما بالنسبة للشركات والمنشآت الأخرى فتستطيع تجنب هذه الثغرة الأمنية عن طريق استخدام VPN أو ما يسمى بالشبكة الإفتراضية الخاصة لكي تقوم بتشفير عملية تبادل البيانات عن طريق الشبكة السلكية واللاسلكية مما يجنبها التعرض لمثل هذه الأمور مع مختلف المواقع الإجتماعية وغيرها.

وعليك معرفة أن هذه الإضافة ليست جديدة في صدورها بل هي موجودة منذ أكثر من سنة بالإضافة أنها ليست الطريقة الوحيدة لسرقة البيانات الغير مشفرة ولكنها الأسهل كما تبدو كذلك. اهتم بحماية نفسك حتى لا تكون فريسةً سهلة للمخرّبين.

المصادر: ١،٢،٣،٤،٥،٦،٧

  • مقال رائع اخ وائل بورك فيك فعلاً كما قال الاخ احمد البعض سوف يستخدمون هذا المقال بشكل خاطئ ولكن اقول لكل من يفكر في ذالك قال: رسول الله صلى الله عليه وسلم :” من حفر حفرة لأخيه وقع فيها ” فأنتبه لايتغدون فيك قبل ماتتعشا فيهم تحياتي للمبدعين أمثلك اخ وائل

    • Alchnder

      ما اعتقد انه حديث ” من حفر حفرة لأخيه وقع فيها ” لكن مثل او حكمة

  • Ahmed

    كيف يمكن للاضافة استقبال البيانات قبل ان ترسل للسيرفر؟؟
    ربما تقصد شبكات الاتصال اللاسلكي الغير مشفرة
    واذا كان كلامك صحيح اذا فهذه كارثه
    فانت هنا لا تتحدث فقط عن شبكات اجتماعية
    بل ما هو اهم بكثير مثل حسابات بنكية تستخدم اتصال غير امن
    او معلومات دخول لمواقع تهمك
    يجب ان تتاكد اذا كان اتصالك مشفر عندما كنت تستخدم الاضافة؟؟

    وفي كل الاحوال لا تدخل عموما على شبكة عامة فهذا يجعلك عرضة لسرقة الكوكيز وايضا اختراق جهازك من قبل اشخاص متقدمين او مبتداين حتى

  • احمد الحربي

    تشكر اخوي على الموضوع المميز لكن كان من المفضل لو لم تذكر اسم الاضافة لانك هكذا تسهل العملية لضعاف النفوس

  • ِِAli

    مع احترامي لكاتب المقال ولكنه لم يصب في مقاله لعدة اسباب:
    1- الاضافه اللي يتحدث عنها و الثغره اللي تستغلها الاضافه مكتشفه من شهر ابريل 2010 (يعني اكثر من سنه) و هذا وقت طويل و كاف لتطوير مئات البرامج و التطبيقات اما لمحاربتها او التطوير عليها و الاستفاده منها.
    2- الاخ وائل تفضل مشكور بالتنبيه ان الاضافه لا تعمل الا على الاصدار 3.6 بينما معظم الناس تستخدم الاصدار 4 و ما فوق .
    3- هذا النوع من القرصنه يسمى network sniffing اي مراقبة الشبكة و تسجيل الترافيك لكل packet داخل كان او خارج من الشبكه بكل ما فيه من معلومات سواء باسوورد , رابط موقع أو صوره او اي شيء اخر . البرامج اللتي تتعامل بهذا النوع من البرمجيات تستطيع كشف ادق تفاصيل الاتصال بالشبكة بدون ان يلحظها احد و الاخطر من ذلك انها مجانية على جميع انظمة التشغيل و سهله الاستخدام فقط تحتاج الى شخص يعرف عن ماذا يبحث و ترك شبكتك المحليه في المنزل او العمل مفتوحه للجميع هي بمثابة بطاقة دعوة مجانيه لاختراق خصوصيتك.

    • أستاذ علي أهلاً بك .. المقصود بأنها لا تعمل إلا على فايرفوكس 3.6 فالمقصود أن الهاكر أو مستخدم هذه الإضافة يحتاج لأن يستخدم هذا الإصدار ، لكن الضحية لا يشترط أن يكون مستخدمًا للفايرفوكس أصلاً ، وأنا كما بينت في الصورة اخترقت نفسي من جهاز آخر في البيت باستخدام متصفح جوجل كروم وقمت باصطياد نفسي باستخدام الفايرفوكس على جهاز آخر -وتستطيع تجربة ذلك بنفسك على جهازك نفسه-، ولقد ذكرت أن الإضافة لها أكثر من سنة وبالإضافة أن هنالك أدوات مضادة لها وإضافات للمتصفحات ولكنها ليست قابلة للإستخدام العام ، لذلك حاولت إيجاد أسهل طريقة للمستخدمين لكي يتجنبوا هذا الإختراق بهذه الطريقة كما ذكرت في المقال .. وشكراً لك لإثراء المقال بما ذكرت.

  • Raimond

    الرجاء فقط عدم اطلاق اللقب Hacker على اولائك القراصنة فشتان بين هذا وذاك.

  • الجميل أن مثل هذه الأداه متوفر أيضًا على الأندرويد 😉

  • أشكرك من اعماق قلبي ..

    مقال رائع تشكر عليه اخي الكريم 🙂

  • شكراً جزيلاً لكم ..

  • ايومي

    هل طريقة البرتوكل المشفر htpps مضمووونة وكيف اعرف اذا تم تهكيري بواسطة هذة الاداه؟؟؟؟ وكيف احمي نفسي منهآآ 100% مع العلم اني استعمل شبكة وايرلس مفتوحة مع الجيران؟؟؟

    وشكرا لك اخي على هذا المووضوع القيم جدآ

  • مدونة رائعة وفكرة ممتازة شكرا لك وبارك الله فيك وبالتوفيق ….

  • جزاك الله كل الخير ويريت تفدنا باحسن برامج للامان ايضا

  • طيب في برنامج بيعرفنا اني حسابي هيخترق او برنامج تحذير ارجو الرد

  • طريقة حلوة بارك الله فيكم

  • tawfik hadjri

    شكرا لكم على هذا العمل الجبار

  • وائل البعيثي

    الاصيل وائل البعيثي

تعليقات عبر الفيسبوك