عربي English Türkçe أردو فارسى
pdf
Logo

قصة الإطاحة بربع مليون كومبيوتر «مستعبد»

نجحت بفضل هجوم استراتيجي منسق عبر الإنترنت

  • الرياض: خلدون غسان سعيد
TT
TT
  • الرياض: خلدون غسان سعيد

بقي الباحث عاطف مشتاق، الذي يعمل لدى شركة أمن المعلومات الرقمية «فاير آي» FireEye، يقاوم طيلة عامين كاملين محاولة منع وصول برنامج «ميغا - دي Mega-D» الضار إلى شبكات عملاء الشركة، ذلك أن البرنامج المذكور يستعبد الكومبيوترات التي يصيبها ويستطيع التحكم فيها وقتما يشاء، ومن دون أن يشعر مستخدم الجهاز بذلك على الإطلاق، وقد استطاع البرنامج التحكم في 250 ألف جهاز في آن واحد! واستطاع الباحث التعرف إلى كيفية عمل البرنامج الضار من كثب، وكيفية انتقاله من جهاز إلى آخر، وما الذي يغيره في الكومبيوتر، ولكن الباحث تحول من نمط الدفاع إلى الهجوم الشرس في شهر نوفمبر (تشرين الثاني) الماضي، ليطيح بالشبكة ويزيل خطرها من الإنترنت. ولكن كيف استطاع الباحث تجاوز قوة ربع مليون جهاز، والحيل العديدة التي يمارسها البرنامج للتخفي في العالم الرقمي؟ وما الذي يمكن عمله فعلا للحد من الإصابة بهذا النوع من البرامج؟

ويجب التنويه في البداية إلى أن الشبكة المصابة بهذا البرنامج الضار كانت من ضمن قائمة أكبر 10 شبكات للبريد المتطفل في العالم، وكانت مسؤولة في 1 نوفمبر (تشرين الثاني) الماضي عما نسبته 11.8 في المائة من البريد المتطفل، الذي أمكن التعرف عليه، وفقا لمعلومات أفصحت عنها شركة «ميسج لابز» المتخصصة في أمن البريد الإلكتروني، والتابعة لشركة «سيمانتيك» المتخصصة في مجال الأمن الرقمي.

* استراتيجية هجومية

* وتعاون الباحث مع اثنين من زملائه في العمل، واستهدفوا البنية التحتية التي يعمل فيها البرنامج، حيث إن الموجة الأولى لهجوم «ميغا - دي» هي إرسال بريد إلكتروني يحتوي على ملفات مرفقة، بها برنامج ضار يستعبد الجهاز ويتحكم فيه. وتستقبل الأجهزة المستعبدة لاحقا أوامرها من أجهزة خادمة خاصة، الأمر الذي يعني أنه إن استطاع شخص ما عزل تلك الأجهزة عن العالم الرقمي، فإن الشبكة المستعبدة ستبقى خاملة ولن تؤثر سلبا في أي جهاز آخر في العالم، إلا أن الإجرام الرقمي ذو إبداع، إذ إن أصحاب هذا البرنامج الضار استخدموا مجموعات كبيرة ومختلفة من الأجهزة الخادمة، وسلموا «خارطة رقمية» لكل جهاز مستعبد تدله على مواقع الأجهزة الخادمة الأخرى لأخذ الأوامر منها في حال توقف جهاز منها عن العمل، الأمر الذي جعل مهمة الباحثين أكثر صعوبة، وتشويقا. وتطلب ذلك وضع استراتيجية أمنية محكمة وفي غاية التنسيق والترتيب، ذلك أن خطأ واحدا في محاولة تعطيل الشبكة سيعني العودة إلى نقطة البداية، مع احتمال معرفة الأجهزة المستعبدة الجهة التي تهاجمها، وبالتالي قد تحاول مهاجمة كومبيوترات الباحثين، ليتحول الإنترنت إلى ساحة معركة رقمية دامية يواجه فيها 3 أفراد 250 ألف جهاز شرس.

وبدأ فريق العمل الاتصال بالشركات المزودة لخدمات الإنترنت، التي تستخدمها تلك الأجهزة الخادمة الشريرة، وأكدت تلك الشركات أنها لا تعرف طبيعة عمل هذه الأجهزة. وعلم الفريق أن غالبية الأجهزة السبعة الخادمة موجودة في الولايات المتحدة الأميركية، مع وجود جهاز في تركيا، وآخر في إسرائيل. وتعاونت الشركات الأميركية مع فريق العمل واستطاع الفريق إيقاف عمل الأجهزة الموجودة لدى تلك الشركات، ولكن الشركات الأخرى لم توافق، الأمر الذي يعني حصول أزمة دولية بين الأطراف المرتبطة (أو حتى محاكم اقتصادية عالمية) فيما لو حاول الفريق اختراق نظم تلك الشركات وإيقاف الأجهزة الموبوءة عن العمل.

واتصل الفريق بالشركات التي تقدم خدمات نطاق الإنترنت (تستخدم الإنترنت أرقاما خاصة لكل جهاز متصل بها اسمها «آي بي» (IP)، وهي مكونة من خانات قد يصل عددها إلى 12، ولكن تصفح المستخدم العادي للمواقع سيكون مستحيلا باستخدام هذه الأرقام، إذ لن يكون بإمكانه تذكر 12 رقما لكل موقع يريد تصفحه، الأمر الذي أدى إلى إيجاد نظام أسماء النطاقاتDomain Name System DNS، حيث إن كتابةً تذكر موقع «غوغل» على الإنترنت على شكل http://www.google.com سيكون أسهل بكثير من كتابة رقم الجهاز الخادم لها http://72.14.221.99. وعندما يكتب المستخدم العنوان العادي (من دون الأرقام)، يذهب متصفح الإنترنت إلى شركة أسماء النطاقات ويأخذ منها رقم الجهاز الخادم المرادف للاسم المكتوب، ويتعامل معه بعد ذلك بشكل عادي)، وقدموا لها العناوين التي تستخدمها الأجهزة المستعبدة للتواصل مع الأجهزة الخادمة. وتعاونت تلك الشركات مع فريق العمل، وجعلت أسماء النطاقات التي تستخدمها الشبكة للتواصل مع الأجهزة المستعبدة تصلها بجهاز خاص ينصت ولا يتكلم، ولا يصلها بالهدف على الإطلاق، عوضا عن وصلها بالأجهزة الموجودة في تركيا وإسرائيل.

وعلى ذلك، بقيت الأجهزة المستعبدة «حاملة للمرض»، ولكن العناوين التي تستقبل منها الأوامر أصبحت لا تعمل، وبالتالي بقيت خاملة. وانخفضت نسبة مسؤولية «ميغا - دي» عن البريد المتطفل العالمي بعد ذلك إلى أقل من 0.1 في المائة! وتخطط شركة «فاير آي» تسليم مخططات جهودها إلى منظمة «شادو سيرفر» (ShadowServer) التطوعية، التي ستلاحق الأجهزة المتبقية وتتواصل مع الشركات المزودة للإنترنت لتلك الأجهزة، وتخبرها بضرورة التعاون لإيقاف عمل تلك الأجهزة والاتصال بأصحابها وتقديم إرشادات مفصلة حول كيفية إزالة البرنامج الضار من أجهزتهم. ويمكن التواصل مع المنظمة المذكورة للحصول على تنبيهات مجانية عن طريق زيارة الرابط التالي http://www.mail-archive.com/[email protected]/msg09215.html.

وعلى الرغم من فوز الفريق في هذه المعركة، فإن الحرب كبيرة جدا، وقد يقرر من يقف وراء البرنامج الضار محاولة استخدام الشبكة الخاملة بطرق إبداعية جديدة، أو التخلي عنها وتأسيس شبكة جديدة. ويذكر أن هذه الشبكات تؤجر باليوم أو بالساعة، أو بالمهمة، لأداء أي عمل يريده أي شخص، مثل مهاجمة أجهزة خاصة أو حكومية محددة، أو التلاعب بالأسواق المالية، وغير ذلك. ويرى خبراء تقنية المعلومات أنه لا بد من وضع قوانين عالمية تسمح بإيقاف هذه الشبكات وتسهيل عمل الخبراء، قبل أن يفوت الأوان.

* نصائح وقائية

* أهم النصائح هي تحديث البرامج المستخدمة على الكومبيوتر الخاص بك بشكل دائم، وخصوصا متصفحات الإنترنت وبرامج البريد الإلكتروني والبرامج المكتبية ونظام التشغيل وبرنامج الحماية من الفيروسات. وكمثال على ذلك، اكتشفت أخيرا ثغرة أمنية وجدت في إصداري 6 و7 لمتصفح «إنترنت إكسبلورر» مرتبطة بملفات تصاميم المواقع «سي إس إس» (CSS)، تسمح لأي شخص بجعل كومبيوتر المستخدم يقوم بما يريده. وطرحت «مايكروسوفت» تحديثا خاصا لتلك الثغرة، إلا أنها غير موجودة في الإصدار الثامن منه، الأمر الذي يدل على أهمية الترقية إلى الإصدارات الجديدة من البرامج. هذا، واكتشفت أيضا ثغرة أمنية أخرى في طريقة تعامل نظم التشغيل «ويندوز إكس بي» و«2000» و«سيرفر 2003» تسمح للمواقع المشبوهة أو وثائق الملفات المكتبية بالتحكم بجهاز المستخدم. ولم تصب نظم التشغيل «فيستا» أو «سيرفر 2008» أو «ويندوز 7» بتلك الثغرة. وبالنسبة إلى متصفح «أوبيرا 10.10»، فهو يصلح الكثير من الثغرات الأمنية التي كانت موجودة في الإصدارات السابقة، مثل تلك التي تعمل عبر نصوص جافا. ويمكن تحديث المتصفح عن طريق النقر على قائمة «المساعدة» (Help)، ثم «البحث عن تحديثات» (Check for updates).

هذا، ويغلق التحديث 17 لملفات جافا «جيه آر إي» (JRE)، (ضرورية لتشغيل ملفات «جافا») و«جي دي كيه» (JDK)، (ضرورية للبرمجة بلغة جافا) مجموعة من الثغرات الأمنية، منها ما يسمح بشن هجمات على كومبيوتر المستخدم من مواقع مشبوهة. وستحدّث ملفات «جافا» نفسها بشكل شهري، ولكن ينصح بمحاولة التحديث بشكل يدوي في فترات أقل، وذلك عن طريق الذهاب إلى «لوحة التحكم» (Control Panel)، ثم «جافا» (Java)، ثم لسان «التحديث» (Update)، ثم النقر على زر «تحديث فوري» (Update Now).

ومن أهم الثغرات الأمنية وأكثرها خطورة تلك الموجودة في مشغل «شوك ويف» للإصدارات قبل 115.1.601، التي تسمح للمخترق تنفيذ جميع الأوامر التي يريدها على جهاز المستخدم. ويمكن تحديث المشغل بالذهاب إلى موقع الشركة http://www.adobe.com/shockwave/welcome وتحميل أحدث إصدار. ويذكر أنه توجد ثغرة أمنية في ملفات الوثائق «بي دي إف» وعروض الأفلام المسجلة بتقنية «إتش 264» والصور بامتداد «تيف» (TIFF) في نظام التشغيل «ماك أو إس إكس» للإصدارات التي تسبق 10,6,2، التي تسمح بحفظ برامج ضارة على جهاز المستخدم.

* تحايل من الواقع

* ولا يجب الوثوق بأي موقع يزوره المستخدم أو أي رسالة تصله، مهما كانت الظروف السياسية أو الاقتصادية أو الإنسانية أو الترفيهية، أو حتى عند حدوث الكوارث الطبيعية، إذ تحذر شركة «سيمانتيك» للأمن الرقمي من المواقع الضارة، التي تتخفى وراء الأحداث الحالية، مثل تلك المرتبطة بكأس العالم لكرة القدم لعام 2010، إذ تنشط الهجمات الرقمية في المناسبات الرياضية الكبرى (مثل الألعاب الأولمبية في بكين عام 2008)، وتقدم مغريات مختلفة للمستخدم، مثل عروض مخفضة لشراء التذاكر الرياضية أو السفر أو الإقامة في الفنادق، بغرض سرقة الهويات الرقمية للمستخدمين. وتقدم الشركة موقعا خاصا بهذا الحدث، يزود المستخدمين بالمعلومات التي يحتاجونها لحمايتهم خلال استخدامهم للإنترنت، هو http://www.2010netthreat.com.

هذا، ولم تستثن «هاييتي» من المحاولات التصيدية، حيث أعلنت شركة «سيمانتيك» عن انتشار عشرات آلاف الرسائل التصيدية في صناديق البريد الإلكتروني، وإطلاق مئات المواقع الإلكترونية المزيفة التي تحتوي على نص يدعو القارئ إلى التبرع لضحايا الزلزال المدمر عن طريق تحويلها عبر خدمة حوالات فورية. واستخدم المحتالون اسم وعنوان جمعية الصليب الأحمر البريطاني لخداع القراء، وطلب تحويل مبالغ إما بين 250 وألف جنيه، أو ألف جنيه فأكثر، وإضافة فقرة في نهاية الرسالة تؤكد حماية خصوصية المرسل وعدم مشاركة معلوماته مع أي جهة أخرى. وسنشهد حيلا جديدة عند حدوث كوارث أخرى، مع تغيير اسم الجهة المتضررة وعنوان تسلم الأموال، ولكن الفكرة نفسها ستبقى قائمة، ويجب أخذ الحذر عند الرغبة في التبرع.

ويستغل المجرمون مشاعر القراء ورغبتهم في التبرع خلال الكوارث الإنسانية. وتنصح «سيمانتيك» المتبرعين بعدم النقر على روابط التبرع في الرسائل الإلكترونية أو أثناء الدردشة مع الآخرين، حيث يمكن أن تأخذ تلك الروابط المستخدم إلى مواقع مزيفة، أو تعرض أمن الكومبيوتر الخاص به لخطر كبير. وينصح بكتابة اسم الموقع الذي تريد التبرع له في متصفح الإنترنت، عوضا عن النقر على رابطه في الرسالة الإلكترونية، وعدم نسخ العنوان من الرسالة ولصقه في المتصفح. وينصح أيضا بعدم كتابة معلوماتك في الرسائل التي تطلب معلومات شخصية أو مالية أو كلمات سر متعلقة بك، حيث إن الجمعيات الخيرية الرسمية لن تحتاج تلك المعلومات. ويذكر أن حادث تحطم طائرة الخطوط الجوية الفرنسية، ووفاة المغني «مايكل جاكسون»، ولقاحات إنفلونزا «إتش 1 إن 1» بين أكبر الأحداث المستغَلة من المجرمين الرقميين في العام الماضي. ووفقا لدراسة أجرتها شركة «مكافي» للأمن الرقمي، تتصدر أميركا الشمالية الترتيب العالمي من حيث استضافة المحتوى الضار، مع احتلال منطقة أوروبا والشرق الأوسط وأفريقيا المرتبة الثانية، تليها في الترتيب منطقة آسيا. وفي أوروبا، تأتي ألمانيا أعلى الترتيب، ومن ثم هولندا وإيطاليا. وتعتلي الصين الدول المستضيفة للمحتوى الضار في القارة الآسيوية، تليها روسيا وكوريا الجنوبية. وبدأت أميركا اللاتينية تلعب دورا أكبر، بقيادة البرازيل كدولة أكثر استضافة للمحتوى الضار في المنطقة.