عربي English Türkçe أردو فارسى
pdf
Logo

مواقع إلكترونية تتعرض للاختراق نتيجة التسلل إلى قواعد المعلومات

انطلقت لأول مرة من الصين

  • لندن: «الشرق الأوسط»
TT
TT
  • لندن: «الشرق الأوسط»

من المفارقات الحديثة في العمليات الهجومية للتسلل الى الكومبيوترات وزرع برامج خبيثة ما حدث نهاية العام الماضي وبداية العام الحالي عندما تعرضت الآلاف من المواقع الالكترونية الى غزو، لا من الفيروسات او الديدان الكومبيوترية، بل من برامج خبيثة تتغلغل الى قواعد المعلومات.

ان مواقع الشبكة التي تطلب، بسذاجة، من المستخدم تقديم معلومات، ثم تفشل في وضع ضوابط صارمة لرصد تلك المعلومات، تكون عرضة الى الهجمات التي يطلق عليها هجمات SQL للحقن SQL injection attacks ( SQL (Structured Query Language) لغة كومبيوترية خاصة بقواعد المعلومات Database). ومثل هذا التعرض للهجمات يبدو هو السبب وراء مهاجمة نحو 70 الف صفحة من صفحات الشبكة من قبل برامج خبيثة، حدثت بين 28 ديسمبر من العام الماضي و5 يناير من العام الحالي.

ومثل هذا الاختراق على الخصوصيات يمثل مستوى جديدا من التهديدات لمستخدمي الانترنت. فبدلا من قيام الهجوم باطلاق الفيروسات، او الديدان باتجاه كومبيوترات الافراد، يقوم البرنامج الخبيث بغزو قواعد المعلومات على الشبكة واستخدامها لاستضافة رموزه الكومبيوترية الضارة، وبالتالي توزيعه في كل مرة يقوم فيها زوار الموقع بالبحث عن معلومات من قواعد المعلومات هذه، في ما يتعدى الصفحة الرئيسية للموقع، او صفحة المنتجات. ولكون قواعد المعلومات هذه تستخدم تدابير حماية قديمة ضد استغلال برامج «ويندوز»، فان الرمز الخبيث لا بد انه لا يزال مستمرا عبر الانترنت على حد قول خبراء الامن.

ويقول فيل نيراي نائب رئيس التسويق في «غارديوم» المؤسسة التي تقوم بانتاج البرمجيات الحامية لقواعد المعلومات في ولاية ماساشوسيتس في اميركا في حديث لمجلة «انفورميشسن ويك» الالكترونية: «لا اعتقد اننا شاهدنا قبلا مثل هذا الحجم الكبير من التطفل. وهجمات SQL تجري عادة على اساس مرة واحدة في كل مرة».

وعنوان الموقع URL والخادم المستخدمان في اطلاق الهجمات، كانا في الصين، وكان موقع صيني اول من نشر معلومات عن الهجمات، اما اسم نطاق الموقع هذا حاليا فلا يظهر سوى النص OK مع رمز ساخر هو ^^.

وقام المهاجم باختراق المواقع عن طريق اكتشاف تطبيقات، حيث يتوقع مشيد الموقع استخدام اسم المستخدم وعنوانه والمعلومات الاخرى التي ينبغي طباعتها من قبل زائر الموقع. واستخدم الهجوم الاوتوماتيكي اشكالا لحقن بيان SQL بدلا من النص، مع آلاف من تطبيقات الشبكة التي تجاوزت البيان الى قاعدة معلومات الموقع. وذكر خبراء الامن ان عدد المواقع اخذ يتناقص بعد اليوم الاول للهجوم. ثم وفي نهاية المدة ازداد فجأة للتوقف نهائيا. واستطاعت المواقع التي تمت مهاجمتها اغلاق الاماكن المعرضة لها في قواعد معلوماتها حسب تقديرات نيراي. وقد اظهر البحث بواسطة محركات «غوغل» بعض المواقع الاصلية التي كانت اساس الهجمات. وكان من بين الضحايا قواعد معلومات خادم SQL التابع لـ «مايكروسوفت». ولكن لم يستطع نيراي ان يحدد الغرض من هذا الهجوم، او التلف الذي يحدثه، زيادة عن الحاق «نص جافا» (جافا سكريبت) الى وصلات النص داخل قاعدة المعلومات. وكان هذا التطفل والتعدي على الحرمات بالنسبة الى كل قاعدة من قواعد المعلومات من السعة بحيث اذا طلب احد مستخدمي المواقع معلومات ما، فان ذلك سيؤدي الى محاولة «نص جافا» من قبل المهاجم زراعة رمز في كومبيوتر المستخدم. اي ان المهاجم يغزو موقعا بواسطة دليل (كتالوك)، او ملفات نصية اخرى كبيرة مخزنة في قاعدة معلومات خادم SQL. فحالما يقوم احد زوار الموقع بالنقر على زر موقع على الشبكة، او وصلة للحصول على المزيد من المعلومات، فان «المزيد من المعلومات» هذه من الكتالوك ينشط قاعدة المعلومات لارسال «نص جافا» وزرعه في كومبيوتر المستخدم.

لكن مع ذلك لا يظهر اي دليل على الخطوات اللاحقة للمهاجم لتنشيط عملية وضع الرموز في كومبيوترات المستخدمين، لان عمليات الزرع تستغل ضعف «ويندوز» الذي نشر عنه الكثير، والذي ادرجه مركز «ستورم سينتر» على الانترنت، وهو موقع يرعاه معهد «سانس» المتخصص في التعرف السريع على التهديدات التي تحفل بها الانترنت. ويقول نيراي ان المهاجمين يستخدمون مثل هذا الاسلوب عندما يحشدون العديد من الكومبيوترات داخل الشبكة لشن هجوم «منع الخدمة»، او اي اجراء اوتوماتيكي آخر ضد موقع معين في الشبكة. واضاف انه من الممكن ايضا ان المهاجمين هؤلاء يحاولون مجرد اظهار قدراتهم على اختراق انظمة قواعد المعلومات والوصول الى اكبر عدد ممكن من كومبيوترات المستخدمين. وهذه الهجمات على خلاف الديدان والفيروسات تستهدف قواعد معلومات مواقع الشبكة التي تستخدم عند ذاك لاطلاق عمليات التطفل وانتهاك الحرمات على نطاق واسع جدا.

واستغلال الهجمات لـ «ويندوز» هو امر معروف منذ سبتمبر 2006، وربما ان العديد من الكومبيوترات محمية من ذلك الآن عن طريق تحديث نظام تشغيل «ويندوز». وعلق جون غورملي صاحب مدونة على الموقع myITforum.com على الحدث بان جزءا من موقع شركة «سي إيه» للبرمجيات الامنية قد جرى التسلل اليه، وكان يعيد توجيه زواره الى موقع موبوء موجود في الصين. وعلى الرغم من ان المشكلة قد حلت، الا ان نسخ بعض صفحات قسم الصحافة في CA.com اظهرت ان الموقع كان يعيد توجيه الزائرين الى صفة موقع كان ينشر برنامجا خبيثا منذ ديسمبر الماضي، استنادا الى ماركوس ساخس مدير موقع «ستورم سينتر» على الانترنت التابع لـ «سانس».