أهلًا وسهلًا بكل مخترق أو مختبر اختراق يقرأ ذا المقال!
انتشرت الأيام الماضية أخبار عن أكبر تسريب قد حدث، إذ سُرِّبت عشرة ألف مالِ ألف كلمة سر في ملف اسمه RockYou، فما قصة هذا الملف والتسريب؟
ألف مال ألف: مليار (billion)، ولفظة (مال) أتت من كتاب الخوارزمي رحمه الله المعنون (الجبر والمقابلة)، إذ عبر عن مربع الشيء بكلمة (مالُ)
وليس هذا الاسم RockYou بغريب عن العاملين في الأمن السَيبراني cybersecurity، ولعلك سمعته إن تذكرت الاختراق الكبير عام ٢٠٠٩، وها أنا اليوم أقدم لك تاريخه، ثم أختم المقال بنصائح لكلمة مرور قوية، فليس بخبرٍ أسوقه إليك وحسب، بل أضيف عليه فائدة تنفعك إن شاء اللّٰه حتى يبقى مقالًا نافعًا لا خبرًا منسيًا.
ما RockYou؟
إن اسم RockYou اسم شركة قامت عام خمسة وألفين ٢٠٠٥، مختصة بوسائل التواصل الاجتماعي والشبكات الاجتماعية، بائعة تطبيقات مقرها سان فرانسيسكو، كاليفورنيا. بدأت مسيرها تنشئ برامج عروض تقديمية slides show، ثم تفرعت رويدًا وريدًا إلى وسائل التواصل الاجتماعي، وكان عند شركة RockYou برامج لمنصات تواصل مختلفة مثل الفسبُك Facebook، وقد اكتسبت ٣٢ ألفُ ألفِ مستعمل million users.
تسريب معلوماتها
لقد أبلت الشركة بلاءً حسنًا وازدهرت، وهي لا تعرف ما يخفيه لها الغد في جعبته، حتى منتصف الشهر الأخير عام تسعة وألفين ٢٠٠٩، حدثت يومئذٍ الواقعة، مخترق نفذ إلى قاعدة معطيات database حساباتهم المقدرة باثنين وثلاثين ألف ألف حساب 32million، باستعمال ثغرة حقن SQL، أي SQL Injection، ولم تكن محمية معماة encrypted، فأفشاها وأذاع وعلى الشابِكة نشرها باسم RockYou.txt.
وصار هذا الاسم معروفًا مشتهرًا بين المخترقين ليختبروا أمان الأنظمة والحسابات، وصار لائحةً بالكلمات الشائعة المستعملة، وهو ملف مضمن في توزيعة Kali Linux في المسار:
/usr/share/wordlists/
ملف RockYou2021
نُشِر في منتدى مخترقين شهيرٍ عام واحدٍ وعشرين وألفين ٢٠٢١ ملف باسم RockYou2021، ما عُدَّ آنذاك أكبر تسريب، إذ بلغ ما يحتويه قرابة ثمانية ونصف ألف مالِ ألف كلمة سر (أي ٨.٤ مليار).
ومحتواه مجموعة تسريبات جُمِعَت ودُمِجَت في ملف واحد، وقد سماها بذا الاسم إشارة لتسريب شركة RockYou المتقدم ذكره، فقد صارت شركة يضرب بها المثل في التسريبات!
وهذا رابط ملف RockYou2021 على منصة GitHub:
https://github.com/ohmybahgosh/RockYou2021.txt
ملف RockYou2024
وها قد وضعنا رحالنا في عامنا هذا، عام أربعةٍ وعشرين وألفين ٢٠٢٤، إذ انتشرت الأيام الماضية أخبار عن نشر تسريب، بل قُل عنه تجميع، باسم RockYou2024، حيث احتوى على قرابة ألف مال ألف كلمة سر (عشرة مليار بلغة الإفرنجة :))، بدقة فإنه يحوي 9,948,575,739 كلمة مرور، نشره عضو في منتدى مخترقين، وقد نشر قبلها قاعدة معطيات الموظفين لشركة محاماة.
وهذا العدد الضخم ليس فريدًا يختلف عن RockYou2021، بل هو مزيج من كلمات سر قديمة مع الجديدة، إذ دمج محتوى ملف RockYou2021 البالغ عددها قرابة ثمانية ونصف ألف مالِ ألف (8.4billion) مع مجموعة كلمات سر جمعها، كان عددها ألف مال ألف (أي مليار billion) وخمسمئة ألف ألف (أي خمسمئة مليون)، حتى صارت عشرة ألف مالِ ألف (10Billion).
8.4 + 1.5 = 10 billion
وقد يحوي هذا العدد الضخم كلمة سرك، فليس هذا ببعيد!
لأن هذه التجميعة لكلمات سر شائعة متكررة الاستعمال، وليس ببعيد أن تكون كلمة سر بينها.
لكن كيف سنعرف ذلك يا معبسس؟!
هذا فاحص من موقع cybernews متضمن فيه التسريبات ومنها RockYou2024:
https://cybernews.com/password-leak-check
وهذا رابط ملف RockYou2024 على منصة GitHub:
https://github.com/exploit-development/RockYou2024
نصائح لكلمة سر قوية
المعايير أو الصفات التي يجب أن تتصف بها كلمة سر حسابك:
١. طويلة، لا تقل عن أربعة عشر محرفًا.
٢. معقدة، بها رموز وحروف صغيرة وكبيرة وأرقام.
٣. فريدة منتقاة لا عشوائية أو شائعة مثل تسلسل أرقام كواحد اثنين ثلاثة أربعة ١٢٣٤، أو qwert، أو شائعة مثل ILoveYou، فهذا ضعف فيها لأن الناس قد تفكر بها.
ولو فتحت ملف RockYou سترى كلمات السر فيه شائعة سهلة الكشف، فلا تضع شيئا مشابها، حذاري!
٤. لا تحوي على معلوماتك الشخصية، مثل رقم هاتفك أو هاتف أفراد الأسرة، أو بريدك البرقي email أو تاريخ الميلاد ومكان الولادة.
إن جمع المعلومات عنك، بطرائق استخبارات المصادر المفتوحة OSINT مثلًا، سيجعل كلمة سرك سهلة التخمين، فجمع المعلومات information gathering أول خطوة يخطوها المخترق…
٥. سهلة التذكر، فيسهل حفظها واستظهارها بدلًا من حفظها على ورقة أو حاسوب.
مثلًا كلمة المرور التالية:
اختصار للجملة الإنگليزية التالية:
You get 3 wishes to(2)day at 4PM. What are your 3 wishes?
٦. سرية، لا يطلع عليها أحد.
٧. منفصلة لا تُستَعمَلُ أكثر من مرة، فلا تكرر استعمالها لكل حساباتك، لحد المخترق من الولوج لبقية حساباتك إن اكتشفها.
٨. مُتغيَّرة، يفضل أن تتغير كل ثلاثة أشهر، لكن احذر أن تكون كلمة السر الجديدة أضعف من السابقة، فرُبَّ كلمة سر جديدة أورثت صدعًا.
ووجب الإشارة إلى:
١. حفظ كلمة السر وعدم مشاركتها في وسائل غير آمنة، ويفضل أن تكون معماة encrypted.
٢. وأن لا تستعمل كلمة المرور في حواسيب عامة، مثل مقاهي الشابِكة internet cafe، فقد يكون مُثبَّتًا عليه راصد لوحة مفاتيح keylogger.
٣. وأن لا تستعملها في شبكات مفتوحة عامة، فالاتصال غير آمن، وقد تتعرض لهجوم الوسيط MITM Attack.
تذكر هذه القاعدة: المستخدم أضعف حلقة في النظام!
t.me/bassyeorg
الخاتمة
وها أنا أخط بقلمي الخطوط الأخيرة لهذا المقال الشائق!
وفي نهاية الأمر لا يسعني سوى أن أشكرك على حسن قراءتك لهذا المقال، وأني لبشر أصيب وأخطِئ، فإن وفِّقت في طرح الموضوع فمن اللّٰه عز وجل وإن أخفقت فمن نفسي والشيطان.
أرجو منك تقييم كفاءة المعلومات من أجل تزويدي بالملاحظات والنقد البناء في خانة التعليقات أو عبر حساب الموقع، والسلام عليكم ورحمة اللّٰه تعالى وبركاته.
