عربي English Türkçe أردو فارسى
pdf
Logo

نظام تجريبي.. يرصد محتويات مواقع الإنترنت الضارة

يزحف على مواقع الشبكة المخترقة

  • لندن: «الشرق الأوسط»
TT
TT
  • لندن: «الشرق الأوسط»

ركز مجرمو الفضاء المعلوماتي خلال العامين المنصرمين اهتماماتهم على العثور على أساليب جديدة لحقن الرموز الضارة داخل مواقع الشبكة الشرعية. ونموذجيا فهم يقومون بهذا العمل عن طريق زرع رمز في جزء صفحات المواقع الذي يمكن تحريره وإضافة مواد إليه، وبالتالي استخدام هذا الجزء لخدمة محتويات ضارة أخرى في أجزاء أخرى من الشبكة. ويصعب اكتشاف مثل هذا النشاط لأن مواقع الشبكة تزيد دائما من محتوياتها الشرعية كالإعلانات، والفيديوهات، وأجزاء صغيرة من الرموز من مواقع خارجية أخرى.

والآن قام باحث من «ويبسينس»، وهي مؤسسة أمنية مركزها سان دييغو في أميركا بتطوير أسلوب لرصد مثل هذه النشاطات الضارة أوتوماتيكيا.

فقد أسهب ستيفان شينيت كبير باحثي الأمن في المؤسسة المذكورة أمام مؤتمر «آر إس إيه» للأمن الذي عقد مؤخرا في سان فرانسيسكو في شرح نظام تجريبي يقوم بالزحف على الشبكة والتعرف على مصدر المحتويات الموضوعة على صفحات الشبكة، وتحديد ما إذا كان هناك أي رمز على الموقع يعمل بشكل ضار.

ويقوم برنامج شينيت هذا الذي يدعى «فاير شارك» بإنتاج خريطة لمواقع الشبكة الموصولة بعضها ببعض وإبراز المحتويات التي يمكن أن تكون ضارة ومؤذية. ويقوم هذا البرنامج يوميا برسم خريطة لنقاط الوصل بين نحو مليون موقع على الشبكة، وعلى الخادمات التي توفر المحتويات لهذه المواقع.

ويقول شينيت في حديث لمجلة «تكنولوجي ريفيو»: «عندما ترسم خطا بيانيا لمواقع عدة يمكن رؤية مجموعات هذه المحتويات». ويضيف أنه في الوقت الذي تكون فيه بعض مراكز المحتويات الرئيسية التي توصل المجموعات المختلفة شرعية كالخادمات التي تقدم الإعلانات للكثير من المواقع، فإن مصادر أخرى من المحتويات قد تدل على أن المهاجم يقدم رموزا مؤذية. واستنادا إلى دراسة نشرت من قبل «ويبسينس» فإن استخدام مهاجمي الشبكة للمواقع الشرعية لنشر البرامج الضارة قد ازداد بنحو 225 في المائة خلال العام الفائت وحده.

وحتى المراكز الرئيسية الشرعية قد تشكل مصدرا للخطر. ففي سبتمبر (أيلول) الماضي اعترفت صحيفة «نيويورك تايمز» بأن مجرمين تخفوا كمعلنين شرعيين تمكنوا من نشر محتويات على موقعها عبر شبكتها الإعلانية.

ومهاجمة شبكة بمثل هذا الحجم قد يكون مثمرا أكثر بكثير من مهاجمة موقع واحد. «ولنفترض أن أمن الموقع هو من الطراز الأول، فكيف استطاع المهاجم الوصول إلى المستخدم؟» يتساءل شينيت. ثم يجيب على ذلك بالقول: «إن وجود شبكة إعلانية قد يكون أفضل خيار». وينوي الباحثون في «ويبسينس» إطلاق نظام يمكن وصله بمتصفح «فايرفوكس» الذي من شأنه الكشف عن مراكز المحتويات الرئيسية التي يتصل بها الموقع.

«والأمر المهم حول كل ذلك هو أنه لدى استخدام المهاجمين (النقر المزدوج) مثلا، كاتجاه، أو خط للهجوم» كما يقول توم بينكي المؤسس المشارك لمؤسسة أمن الشبكات «سايت أدفايزور» التي قامت بشرائها «مكافي» عام 2006، الذي يشغل الآن منصب نائب رئيس قسم الهندسة في موقع «هنش» للاستشارات، «فإن ذلك يعني بالنسبة إلى الكثير من الهجمات قيام أحدهم بشراء المحتويات الموجودة على شبكة الإعلانات، لكن من هو ذلك الشخص الذي يقوم بمد هذه المحتويات على الصفحة، لا أحد يعلم».

وتقدم «سايت أدفايزور» خدمة يمكن وصلها بالمتصفح تشبه ما تقدمه «فاير شارك». واستخدمت «مكافي» مركزا للبيانات مليئا بأجهزة «بي سي» افتراضية للبحث في الشبكة عن المواقع الضارة، وتقييم الروابط، وتقديم عناوين بريد إلكتروني يجري رصدها عندئذ، بحثا عن البريد المتطفل.

أما «فاير شارك» فتذهب أكثر من «سايت أدفايزور» في فك رموز نصوص جافا، وHTML، والرموز الأخرى المزروعة في كل من صفحات الشبكة التي تقوم بتحليلها، لإيجاد المصدر النهائي للمحتويات، حتى ولو أعيد توجيهها مرات عدة. فـ«فاير شارك» تعطي صورة أكثر عمقا عن الذي يحصل، كما يقول شينيت.