خطوات تعلم الهكر من اخطر هكر عربي
هكر عربي حقيقي يصنف أخطر هكر عربي يكشف حقائق خطيرة عن عالم التهكير.
عالم الاختراق الإلكتروني هو عالم واسع وغامض ومُعقد، فلك أن تتخيل صعوبة الوصول إلى هاكر أولا، وهاكر مستعد للحديث عن نفسه واختراقاته ثانياً. نجحنا بالوصول إلى اخطر هكر عربي (27 سنة) والذي يعيش في المغرب والذي يُصنف نفسه كهاكر ذو قبعة رمادية، ما يعني أنه يقوم بأعمال مخترقين “ذو قبعات بيضاء” (أو ما يسمى القرصنة الأخلاقية) وأعمال مخترقين “ذو قبعات سوداء.” دخل عالم الاختراق من حوالي 14 سنة عندما حاول اختراق حساب الخاص بشخص كان يرسل رسائل مزعجة لأحد أفراد عائلته ومن ثم تطور موضوع الاختراق تدريجياً ليصبح من هواية الى مهنة.
سؤال رقم 1: هل قمت باستخدام مهاراتك في سرقة بنك؟ أو تغيير درجاتك الجامعية؟
جواب: في الواقع لم أقم باستخدام الاختراق لسرقة بنك من قبل لأنه ليس بالأمر السهل. وأي شخص يقوم بـ اختراق البنوك غالبا ما يكون مصيره السجن او العيش في رعب دائم من ان يتم القبض عليه كما أن الامر يتطلب جهد كبير وخبرة عالية جداً من عدة أشخاص وليس شخص واحد. في الاساس يمكن اختراق البنوك عن طريق البحث عن ثغرات امنية في البنك او في وكالة البنك القريبة منك. في العالم العربي الامن المعلوماتي جد متأخر وأي شخص يعمل في وكالات الابناك يمكن الايقاع بسهولة نظرا لعدم معرفتهم بطرق الهاكرز في اختراق الاجهزة.
اليك مثال بسيط فقط يمكنني ان اقوم بـ اختراق شبكة الواي فاي التي يتصل بها عملاء أي بنك مهم كانت قوتها ونحن نعلم جيدا ان اختراق شبكة الواي فاي يعني اختراق الاجهزة المتصلة بها.
اما في حالة كانت الوكالة تستخدم اتصال سلكي لتجنب اختراق الواي فاي فيمكن استهداف احد العاملين في الوكالة واختراق حاسوبه او هاتف ونشر فيروس او دودة على جهازه ومع مرور الوقت قد يصيب حواسيب الوكالة البنكية.
ماقدمته لك في الاعلى مجرد امثلة بسيطة لطرق التي يمكن من خلالها اختراق البنوك المحلية. اما بالنسبة للاختراق الحسابات البنكية لاشخاص اخرين من دول اخرى فهناك العديد من الطرق من بينها الطرق التي يستخدمها السبامرز وهي نشر صفحات مزورة لملايين الايمايلات التي يتم سحبها من مواقع بها ثغرات امنية. وهذه هي الطريقة التي يستخدمها اغلب الهاكرز حالية في سرقة الحسابات البنكية.
سبب أخر يجعل أي هاكر لا يقوم بأي عملية اختراق بنوك او حسابات بنكية وهي انها اموال حرام وكيف لك ان تعيش كل يوم وانت تعلم انك سحبت اموال فيزا مسروقة من حسابات بنكية لاشخاص ابرياء. غير ذلك ان اي عملية اختراق بنوك تعتبر مجمرم من الردجة الاولى حيت سوف يتم التحقيقي حول الجريمة من طرف الانتربول وغالبا ما يتم القبض على الاشخاص الذين يقومون بسرقة ملايين الدولارات.
أما بالنسبة لعلاماتي فلم أحتاج من قبل لتعديلها والتلاعب بها، وبالتأكيد سأغيرها ان كنت مطر الى ذلك، فعادة ما تكون مواقع المؤسسات التعليمية، وخاصة العربية، من أسهل المواقع للاختراق، وهذا الأمر شائع بين الهاكرز العرب. على سبيل المثال مواقع المؤسسات لدينا بها ثغرات امنية كثير يمكن ببساطة اختراقها والوصول الى المعلومات المتواجدة بها.
مارأيك في الهكر الجزائري حمزة بن دلاج ؟
في عالم الهكر عندما يتم كشف هويتك فقد خسرت كل ما لديك. حمزة بن دلاج ارتكب أغبى خطأ يمكن ان يقع به أي هاكرز مبتدىء. قام باختراق العديد من الحسابات البنكية وسحب مبالغ كبيرة منها وتحويلها الى حساباته متوقعا انه لن يتم كشفه. مثل هذه التحويلات التي تتخطى ملايين الدولارات غالبا ما يتم رصدها من طرف الابناك ويتم تتبعها. حمزة بن دلاج توقع ان كان ذكي بتحويل الاموال الى حساب واحد في دولة تايلاند ومحاولة تشتيت انتباه الانتربول عبر تحويل بعض من الاموال الى جمعيات خيرية. لكنه في الحقيقي قد كشف نفسه منذ اول محاولة والانترنتبول كانت تنتظره فقط ان يقوم بسحب مبلغ من حسابه وتم القبض عليه.
أي هاكر مبتدىء تجول بذهنه فكرة اختراق البنوك اولا لكي يصبح غنيا وهذا ما حدث لحمزة بن دلاج. لكنه لم يدرك ان الابناك ايضا لديها طرق تتصدى بها لاي هاكر يحاول سرقة الاموال من البنوك.
كما ان هناك العديد من المغالطات حول قصة حمزة بن دلاج فهو لم يخترق البنوك وانما قام باختراق العديد من الحواسيب حول العالم عبر ما يسمى “حصان طروادة” وقام بسرقة معلومات بنكية من وكالات بنكية ومثل هذه الامور اي شخص مبتدىء بامكانه ان يصل الى هذه المرحلة لكن في الحقيقية فقط من هو ذكي لن يتجرأ على سحب اي مبلغ من هذه المبالغ الى حسابه. لانها تعتبر انتحار في عالم الهاكرز.
ولكي اختم الامر. بامكاني خلال 8 ساعات فقط ان احصل على ازيد من 10 مليون ايمايل حول العالم ومراسلتهم باستخدام السبام “البريد المزعج” وخلال 24 ساعة سوف اريك قوائم بها حسابات بنكية بها ملايين الدولارات. لكن كل هذه الارقام لن تتمكن من تحويلها الى حسابك لانه لا توجد طريقة امنة تمكنك من اخراج هذه الاموال الى حسابك او الاستفادة منها. بعض الهاكرز يقومون بصرف بعض الدوالارت من هذه الحسابات في امور عادية كالشراء من الانترنت لكن سحب هذه الاموال باكملها دفعة واحدة الى حسابك يعتبر انتحار.
في عالم الهكر عندما يتم كشف اسمك وصورتك فأنت مشطب عليك من قائمة الهكر
ولكن لا شك أنك قمت باختراق أشخاص قريبين منك؟
فقط عندما تتطلب الحاجة، والغاية تبرر الوسيلة . ولكنني عادة أقوم بالاختراقات التي تدعم القضايا والأفكار التي أؤمن بها. فمثلا عندما يتم التهجم على دولتي “المغرب” من طرف منظمات او دول اخرى غالبا ما ارد الاعتبار لبلدي عبر اختراق مواقع حكومية ونشر رسالتي في هذه المواقع معبرا عن صخطي.
اما بـ اختراق حسابات الفيسبوك فهو أمر يمر منه أي هاكر مبتدىء. يوجد العديد من الطرق التي يمكن من خلالها اختراق الحسابات ولقد تطرقتم اليها بالفعل في موقع هاكرز. سنة 2010 تمكنت من اختراق ازيد من 300الف حساب فيسبوك حول العالم باستخدام طريقة بسيطة فقط وهي نشر فيروس طروادة عبر مجموعة من المواقع التي تتيح لزوار تحميل الملفات والبرامج المجانية خلال 4 أشهر من انتشار الفيروس حتى تم اكتشافه ووضع مضاد له عبر برامج الحماية الفيروس حصد ازيد من 300الف حساب فيسبوك بالاضافة الى حسابات اخرى.
ولكي اكون واقعيا رغم انني تمكنت من الحصول على ازيد من 1.5 مليون نص من الحسابات بين حساب جيميل وحساب فيسبوك وحسابات مواقع اخرى الى انني كنت خائف من سبب انتشار الفيروس بشكل كبير حتى انني لم استطع التحكم به فتخيل ان لديك قائمة بها مليون ونصف حساب به معلومات تم استخراجها عن طريق الكي لوجر المدمج بالفيروس الخاص بي.
كنت اشعرف بالخوف ان يصيبني ما اصاب فريد الصبار المغربي الهكر الذي اعترف بقدراته فقط في العالم العربي والذي لم يأخد حقه في عالم الهكرز العرب. حينها فقط تعلمت درس مهم عندما تقوم ببرمجة فيروس يجب ان تضع حدود لانتشار الفيروس او أمر او كود سوف تتمكن من خلالها ان توقف انتشار الفيروس كي لا يصيد حواسيب حكومية ويصبح الامر أكثر تعقيدا.
بعيداً عن سرقة البنك، هل هناك أي ربح مادي من الاختراق؟
نعم أجني مكاسب مادية من بعض الاختراقات التي أقوم بها وهذا يعتمد صراحة على قيمة المعلومات التي أستطيع أن أحصل عليها وكيفية استخدامها، وغالباً ما تكون هذه المكاسب على شكل بيت كوين (العملة الافتراضية) لذلك أفضل أن أقول أنني أجني مكاسب مادية “افتراضية” يمكن تحويلها لمكاسب مادية حقيقية أستطيع أن استخدمها في حياتي العادية. كما أقوم ببيع الأدوات البرمجية التي أقوم بتطويرها والتي يمكن استخدامها للقيام بوظائف روتينية ضرورية أثناء أي اختراق مثل سكريبتات خاصة لحذف جميع ملفات الـ Logs بعد الانتهاء من عملية الاختراق. لكنني لست غنياً “بعد” والاختراق ليس دخلي الرئيسي.
لقد حصلت في السابق على العديد من الجوائز من ادارة الفيسبوك على كشف اخطاء امنية كبيرة في موقع الفيسبوك وحصلت على مبلغ 15الف دولار وهو يعتبر مبلغ صغير مقارنة من المكاسب التي احققها من اختبار اختراق المواقع والشركات.
كيف تختار أهدافك إذن؟
تختلف الأهداف على حسب العملية. فإذا كنت أريد القيام باختراق مواقع حكومية فأقوم باستخدام أدوات تقوم بفحص قائمة من المواقع وتبحث عن أي ثغرات معروفة موجودة في الموقع، وأقوم باستهداف المواقع الأضعف فالأضعف، وعادة ما يكون اختراق موقع واحد كافي لاختراق باقي المواقع لأنها تكون موجودة على مخدم واحد، وهذا ما يدعى بالـ Mass Defacement.
لا أحد يريد الوقوع في مشاكل مع أي حكومة لدى كل ما نقوم به حاليا هي البحث عن ثغرات امنية والتبليغ عنها. فمثلا في المغرب فقط تمكنت من ايجاد ازيد من 13 ثرة امنية في مواقع حكومية مهمة وقمت بمرسالتهم كي يتم سد الصغرات الامنية لكنني لا نتوصل بأي دعم من الدولة كل ما نتوصل به هو فرص عمل براتب شهري استطيع تحقيقه خلال يوم واحد فقط من العمل المتواصل.
رغم ان دولتنا لا تشجع الهكر والاختراق الاخلاقي الى انني مستعد لدفاع عن وطني وشعبي ولا أكثر بالحكومة التي لا تبالي بمجال ربما سوف يصبح البديل للاسلحة في وقت قريب.
أستطيع القول بأنني أميل لاستخدام الاختراق بطريقة جيدة، فأحب أن استهدف مواقع عربية لسهولة اختراقها، حيث استطيع بعد نجاح الاختراق بكتابة الرسالة التي أريد على الصفحة الرئيسية للموقع مما يضمن وصول الرسالة إلى جميع زوار هذا الموقع. كما أحب القيام بهجمات الـ SQL Injection بشكل يدوي مما يتيح لي الفرصة لسرقة نسخة من قاعدة معطيات معينة والبحث بداخلها عن معلومات ذات قيمة.
أفضل العمل بشكل منفرد لأنني لا أثق بقدرات الآخرين على التخفي الصحيح على الانترنت.
من هي أكبر مؤسسة أو جهة حكومية قمت بإستهدافها، وهل نجحت؟
أكبر مؤسسة حكومية قمت باستهدافها كانت الحكومة ****** حيث قمت باختراق مواقع 80 سفارة **** في العالم بنفس اللحظة. كانت الخطة هي استهداف موقع وزارة الخارجية احتجاجاً على دعمها لنظام معاكس توجهاتي وبالفعل بعد عدة ساعات استطعت اختراق الموقع والوصول إلى السيرفر (المخدم) الذي يستضيف الموقع، وكانت المفاجئة الكبرى عندما وجدت كل السفارات مستضافة على نفس السيرفر، مقدمة على طبق من فضة. احتاجني الأمر 10 دقائق للقيام ببعض التعديلات على سكريبت (برنامج صغير) بحيث أتمكن من استبدال الصفحة الرئيسية للموقع بصفحة أخرى من تصميمي، وقمت بتغيير الصفحة الرئيسية لـ 80 موقع في جميع أنحاء العالم. ولكن لم تدم فرحتي أكثر من نصف ساعة حتى قام المسؤولون عن السيرفر بإعادة ضبط المواقع إلى ما كانت عليه. نعم نجحت لمدة نصف ساعة فقط.
ألا تشعر بالخوف من إلقاء القبض عليك؟
طبعاً، لذلك أبذل قصارى جهدي للتأكد من حماية هويتي على الإنترنت قبل القيام بأي عملية اختراق باستخدام العديد من أدوات حماية الهوية من رقابة الإنترنت مثل استخدام VPN و TOR (خدمات الشبكات الافتراضية الخاصة). كما أحاول أن أستخدم خدمات وأدوات Anonymous قدر الإمكان.
رغم انني لا أقوم بأي أعمال مشبوهة يمكن ان تدخلني السجن الى ان الطرق التي يستخدمها الهاكرز في عمليتاتهم ممنوعة وغير مرغوب بيها. مثلا في المغرب فقط استخدامك لبرنامج VPN فأنت تقوم بخرق القانون لانك لا تترك لدولة مجال لتعقبك لدي انت تقوم بأمر مشبوه. بالاضافة الى ان الادوات التي نستخدمها في الاختراق غالبا ما تكون مقرصنة. وفي دولتي المغرب كل القوانين لا تعمل وكلها تعمل فقط عندما يريدونك داخل السجن 😉 .
أتوقع أنك لا تحب العمل بشكل منفرد وليس ضمن مجموعة؟
صحيح، عادة ما أفضل العمل بشكل منفرد لأنني لا أثق بقدرات الآخرين على التخفي الصحيح على الإنترنت وتعرض بعضهم للاعتقالات بسبب هفوات بسيطة أثناء كتابة كود للتجسس على أحد ما، أو تسبب قيام البعض للتباهي المبالغ به بكشف هويتهم الأصلية، وكشف هوية أي شخص بالفريق قد تهدد باقي أعضاء الفريق. لذلك لا أقوم “بتسجيل اختراقاتي” ولا أملك حساب على فيسبوك أضع عليه “صور انجازاتي” أنا فقط أملك حساب واحد على تويتر أقوم بتغييره كل فترة.
في السابق سنة 2013 كنت اعمل ضمن فريق شخم متكون من 367 هكر مغربي كنا نعمل على ايقاع المواقع بهجمات حجب الخدمة وكان لدينا ما يقارب 15 مليون حاسوب زومبي قابل لتوجيه الى اي موقع واغلاقه لفترة طويلة لكن حاليا أصبح هجمات الدوس أقل كفاءة لدى لم يعد هناك أي حاجة الى تشكيل فرق. هذا لا يعنني انني لا احتاج فريق. ربما في يوم ما سوف أقوم بتشكيل فريق جديد عندما يكون هناك حروب الكترونية.
كيف يمكنني أن أحمي نفسي من الاختراق؟
اجابتي ستكون اننا كهاكرز نستطيع اختراق اي شخص من خلال الحاسب الشخصي، حاسب العمل، الهاتف المحمول، الجهاز اللوحي، السيارة الذكية، التلفاز الذكي، أجهزة اللعب، شبكات الإنترنت المجانية في المقاهي والمطاعم والفنادق وعيادة الطبيب، وتقريباً كل شي موصول على الانترنت وذلك يشمل جهاز الراوتر الخاص بوصلك على الانترنت. نعم نستطيع اختراق كل ما ذكر و أكثر. بمعنى آخر لا تستطيع حماية نفسك من الاختراق. لكنك تستطيع تقليل نسبة احتمالية اختراقك عبر تعمل الاختراق.
وكما هو معرو أول خطوة نحو تعلم الاختراق هي تعلم الحماية.
إذا لم أستطع حماية نفسي من الاختراق، ربما من الأفضل أن أصبح هاكر؟
عالم الاختراق واسع وصعب ويتطلب الكثير من الدراسة والقراءة والتجريب. كي تصبح هاكراً جيداً يجب عليك أن تمتلك القدرة على التعلم الذاتي للتمكن من فهم آلية عمل أي نظام قبل اختراقه ويتضمن ذلك تعلم لغات البرمجة وآلية عمل العديد من البروتوكولات وإدارة قواعد البيانات وغيرها. الفضول والصبر من أهم الصفات التي يجب أن تتمتع بها، فأحيانناً كثيرة قد يتطلب اختراق موقع أو شخص عدة أسابيع أو حتى أشهر.
هل لديك أي أعداء هاكرز؟ ومن هو الهاكر الذي تقتدي به؟
طبعاً، وهذا أمر شائع بين الهاكرز، فما أجمل من الاختراق إلا اختراق المخترق. ليس لي أعداء وأي شخص يتطاول على دولتي يصبح عدوي بالدرجة الأولى. لا أقتدي بأي هكر كشفت هويته فكل من تم كشفه بالنسبة لي نكرة لان الهاكر المتمرس الذي يمكنني ان اقتدي به غالبا لم تستطع اي حكومة القبض عليه رغم كل محاولاتهم الفاشلة.
