المؤتمرنت - الشرق الاوسط - قراصنة يديرون عشرات الملايين من الحواسيب قد لا يهتمّ الكثير من المستخدمين في التأكد بان كومبيوترهم مُستعبد أم لا، ذلك أنّهم يقومون بتشغيله والعمل عليه بشكل اعتياديّ وبشكل يوميّ. ولكنّ كومبيوترهم قد يكون مستعبدا من دون معرفتهم بذلك، بل وقد يكون كومبيوترهم ينفذ أعمالا غير قانونيّة في أيّ وقت من أوقات اليوم. وقد تناقلت الانباء يوم الجمعة الماضي ان قوات الشرطة النيوزيلندية احتجزت شابا في مدينة هاملتون للتحقيق معه بوصفه رئيسا لعصابة اجرامية الكترونية دولية، تغلغلت الى اكثر من مليون كومبيوتر وتمكنت من استعبادها وتوظيفها في سرقة ملايين الدولارات من حسابات الافراد المصرفية. واطلق على الفتى الذي يبلغ من العمر 18 عاما، الاسم الحركي «أكيل» AKill، وقد احتجز في عملية دولية اشرف عليها مكتب التحقيقات الفيدرالية الاميركي «أف بي أيه» الذي اشار الى ان عصابة «أكيل» استعبدت 1.3 مليون كومبيوتر وسرقت نحو 25 مليون دولار.
الكومبيوترات المستعبدة Botnet أو Zombie هي كومبيوترات تعمل في داخلها برامج مخفيّة وبشكل آليّ، ويقوم قرصان إلكترونيّ (يُسمّى بـ«الراعي») بقيادتها وإرسال الأوامر إليها لتنفيذها. ويمكن أن يقوم هذا «الراعي» بالتخاطب مع شبكة كاملة من الكومبيوترات المستعبدة تصل إلى مئات الآلاف أو ملايين الكومبيوترات. وتستطيع هذه البرامج تفحص شبكة الكومبيوترات من حولها واستغلال الثغرات الامنيّة ونسخ نفسها بشكل آليّ.
ويقوم «الراعي» بالسماح لقراصنة من أنواع مختلفة باستخدام هذه الشبكات لتنفيذ أغراضهم ورغباتهم الشخصيّة، مثل شنّ هجمات منظمة ضدّ مواقع مستهدفة، إمّا لأهداف ماديّة أو تخريبيّة أو سياسيّة أو عقائديّة، وإرسال الرسائل غير المرغوبة وسرقة أرقام تراخيص البرامج الموجودة فيها ومعلومات المستخدمين الشخصيّة والماليّة. وتستطيع هذه البرامج نسخ نفسها إلى أجهزة أخرى، بالإضافة إلى محاولاتها إلى الدخول الجماعيّ إلى موقع معيّن، في محاولة لإيقاف ذلك الموقع عن العمل بسبب الضغط الكبير الذي يتعرّض له (منع الخدمة) Denial Of Service. ويُقدّر عدد الكومبيوترات المستعبدة برُبع الكومبيوترات المتصلة بالإنترنت، والتي هي جزء من شبكة كبيرة عالميّة. وظهرت أخيراً مجموعة خطرة من البرامج التي تقوم باستعباد الكومبيوترات عبر ديدان ضارّة، مثل «ستورم» Storm و«آر بوت» RBot و«بوباكس» Bobax.
* «ستورم» ومن أحدث البرامج الخطيرة التي تستطيع استعباد الكومبيوترات دودة «ستورم» التي استطاعت تكوين شبكة تتفوّق قدراتها على قدرات أكبر الكومبيوترات الخارقة في العالم. ويبلغ عدد الكومبيوترات المصابة بهذه الدودة حوالي 50 مليون جهاز في العالم، يستطيع 2 مليون منها، مجتمعة مع بعضها بعضا، التفوّق على قدرات أفضل 500 كومبيوتر خارق في العالم.
وتجدر الإشارة إلى أنّ «راعي» هذه الشبكة المستعبدة يقوم باستخدام حوالي 10% من طاقاتها فقط، وتصل النسبة إلى حوالي 50% (لفترة زمنيّة بسيطة) عندما يقوم بتجربة ميزة جديدة. وبسبب وجود هذه القدرة الكبيرة لدى الشبكة، فإنّها تستطيع القيام بأيّ شيء يريده «الراعي» أو الجهة التي تقوم باستئجار الشبكة منه. ومن الممكن استهداف المواقع الحكوميّة أو المصارف أو مواقع الإعلام وإيقافها عن العمل بكلّ سهولة إن تمّ استخدام هذه الشبكة. وتستطيع الشبكة، وبكلّ سهولة، منع بلدان كاملة عن الاتصال بالإنترنت عن طريق مهاجمة مراكز تقديم خدمات الإنترنت فيها. وتقوم الأجهزة التي تتحكم بهذه البرامج بتغيير عناوينها وأسمائها بشكل دائم، والاتصال المباشر مع الكومبيوترات المستعبدة Peer-To-Peer وتشفير الأوامر التي تصدرها مرّة كلّ ساعتين، وذلك في محاولة منها لمنع برامج الحماية والمتخصصين من معرفتها ومحاولة إيقافها عن عملها، أو حتى معرفة موقعها الجغرافيّ والقبض على «الرعاة».
هذا وتقوم الشبكة بمهاجمة أيّ كومبيوتر يحاول فحص وإزالة البرامج الضارّة الموجودة عليه او على أيّ كومبيوتر آخر. وتقوم هذه الدودة بإرسال المليارات من الرسائل الإلكترونيّة في اليوم الواحد. هذا ويقدّر أنّ 99% من الرسائل الإلكترونيّة التي تحتوي على فيروسات والتي تمّ إرسالها عبر الإنترنت في تاريخ 22 «اغسطس» (آب) من هذه السنة، هي من الشبكة المذكورة. ووصل عدد الرسائل الضارّة التي أرسلتها هذه الشبكة إلى 1800 زبون لشركة «سيكيور ووركس» SecureWorks إلى أكثر من 20 مليون رسالة في شهر واحد فقط. وتمّ الكشف عن مخططات لتوزيع مركزيّة العمل، الأمر الذي يدلّ على أنّ «راعي» هذه الشبكة يقوم ببيع أجزاء منها لاطراف أخرى. هذا ومن المتوقع أنّ هذه الشبكة قد استخدمت في عمليات التحايل في بعض الأسواق الماليّة، حيث تقوم مجموعة من المنتفعين بتسخير هذه الشبكة لجعل المستخدمين يقومون بشراء أسهم رخيصة الثمن وبكميّات كبيرة، ليرتفع سعر السهم في الأسواق، ومن ثمّ لتقوم هذه المجموعة ببيع أسهمها وجني أرباح كبيرة جدّا. وكمثال على ذلك، فإنّه تمّ ملاحظة أنّ بعض الملفات الموسيقيّة التي تمّ تحميلها في 17 أكتوبر (تشرين الأوّل) من هذا العام كانت تحتوي على رسائل غير مرغوبة تطلب من المستخدم الاستثمار في أسهم رخيصة. وتمّت تسمية هذه الدودة بـ«العاصفة» نظرا لأنّ بعض النصوص الموجودة في الرسائل التي ترسلها تحتوي على «أخبار» متعلقة بعدد القتلى في إحدى العواصف، بينما تقوم رسائل أخرى بتقديم «موسيقى» مجانيّة لمن يضغط على بعض الروابط الموجودة فيها، أو تقديم جداول مجانيّة للمباريات الرياضيّة. وغيّر «ستورم» من قوانين اللعب، حيث انّ الطرق التقليديّة المستخدمة قبل سنة في نشر الفيروسات لم تستخدم أجهزة خادمة لها، بل كانت تنتقل عبر البريد الإلكترونيّ بشكل بسيط. أمّا «ستورم»، فإنّ حوالي 1200 جهاز خادم يقوم بمهمّة نشره في العالم في كلّ ساعة. ووجدت الشركات التي لا تهتمّ بخطر استعباد الكومبيوترات نفسها مضطرّة إلى تبني حلول وقائيّة ضدّ هذه السلالة الجديدة للبرامج التي تستعبد الاجهزة.
ومن الممكن الإصابة بهذه الدودة عن طرق تحميل ملحقات في البريد الإلكترونيّ تبدو وكأنّها بريئة، إلا أنّها تحتوي على البرنامج الضارّ، أو عن طريق النقر على صورة إعلانيّة معيّنة أو رابط ضارّ. وتدور تكهنات بان مصدر إطلاق هذه الدودة موجود في روسيا، حيث تقوم مجموعة صغيرة من المبرمجين الإجراميين بتوزيع العمل بينهم، مثل قيام أحدهم بكتابة طرق التشفير، ووجود خبير في طرق التحايل على الأفراد الذين يتلقون الرسائل وإقناعهم بتحميل الملف، وقيام آخر بمتابعة انتشار الدودة، وكتابة غيره لبرنامج تحميل الملف على الكومبيوتر، وتشغيل آخر للدودة في داخل بيئة «ويندوز»، وبدون معرفة المستخدم بذلك.
ويقوم الكثير من الخبراء بإلقاء اللوم على شركات «مايكروسوفت» و«أدوب» بسبب تجاهلها للثغرات الأمنيّة الموجودة في برامجها التي سمحت لهذه الدودة بالانتشار الكبير الذي نشهده الآن. وقامت شركة «مايكروسوفت» بطرح تحديث برنامج إزالة الفيروسات Windows Malicious Software Removal Tool الذي استطاع إزالة هذه الدودة من حوالي 275 ألف كومبيوتر فقط، معظمها من الكومبيوترات الشخصيّة للمستخدمين.
* «آر بوت» تستخدم دودة «آر بوت» قنوات «آي آر سي» IRC المختصة بالدردشة لنشر نفسها، ويقوم بإرسال الرسائل الضارّة ومحاولة إيقاف عمل بعض المواقع المهمة وإيقاف عمل برامج الوقاية من الفيروسات وسرقة الملفات من كومبيوترات المستخدمين وتسجيل ما يقومون بكتابته على لوحة المفاتيح، وأي عمل آخر يريده المجرمون الإلكترونيّون. وتمّ التوصل إلى أنّ شخصا تركيا قد قام بالدفع، لمبرمج مغربيّ لكتابة هذه الدودة، لتقوم السلطات المغربيّة بالعثور عليه وسجنه. إلا أنّه تمّت ملاحظة أنّه تمّ تطوير سلالة جديدة من هذه الدودة بعد سجن المبرمج المغربيّ، الأمر الذي يدلّ على أنّه مجرد فرد في جيش كبير. ومن المتوقع أن يكون المصدر الرئيسيّ للفيروس هو شرق أوروبا. وأصابت هذه الدودة (وبعض السلالات المنحدرة منها) مواقع مشهورة، مثل «إيه بي سي» ABC و«سي إن إن» CNN و«أسوشيتد بريس» Associated Press و«نيويورك تايمز» New York Times و«كاتربلر» Caterpillar و«بوينغ» Boeing ودائرة الأمن القوميّ الأميركيّة في السابق. وتقوم بعض هذه السلالات بإعادة تشغيل الكومبيوتر بشكل مستمرّ، ومن دون توقف. وتجدر الإشارة إلى أنّه تمّت كتابة هذه الدودة في 4 أيّام فقط، قبل أن يُصاب موقع «سي إن إن» بالدودة ويتوقف عن العمل (بعد 3 أيّام من تجوّلها في الإنترنت). ومن المتوقع أنّ كلفة إزالة هذه الدودة في الشركة الواحدة هي 97 ألف دولار أميركيّ بالإضافة إلى ضياع حوالي 80 ساعة من العمل.
* «بوباكس» تستخدم دودة «بوباكس» بروتوكول HTTP للتنقل في الإنترنت، وهي صعبة الاكتشاف. ويتمّ استخدام هذه الدودة لنشر البريد المتطفل. وتقوم الدودة بفتح باب خلفيّ في الكومبيوتر المصاب وتحميل ملفات خاصّة على الكومبيوتر، ومن ثمّ خفض مستوى الأمن وتشغيل نفسها في كلّ مرّة يقوم فيها المستخدم بتشغيل متصفح الإنترنت «إنترنت إكسبلورر» Internet Explorer ومعاينة سرعة الاتصال بالإنترنت وجودتها لتقييم كميّة الرسائل التي تستطيع إرسالها من دون أن ينتبه المستخدم إليها، وهي تستطيع منع المستخدم من الوصول إلى مواقع الحماية من الفيروسات وتسجيل ما يقوم المستخدم بكتابته على لوحة المفاتيح وسرقة أرقام الأقراص الليزريّة التسلسليّة ومعرفة عناوين البريد الإلكترونيّ المخزنة في كومبيوتر المستخدم والكثير غيرها من الأمور الخطرة. ولا تستهدف هذه الدودة إيقاف المواقع عن العمل، بل تريد سرقة المعلومات الشخصيّة للمستخدم وإرسال الرسائل المتطفلة والضارّة لجني الأرباح.
* هجمات «جغرافيّة» وتستطيع بعض برامج الاستعباد جمع أدلة حول موقع المستخدم الجغرافيّ، وعدم العمل إلا في حال كونه في بلد أو مجموعة بلدان محدّدة، الأمر الذي قد يسمح بتطوير ديدان تستطيع التوقف عن العمل في بلد الشركات المطوّرة لبرامج الحماية من الفيروسات وعدم قدرة هذه الشركات على علاج المشكلة بسبب عدم قدرتها على ملاحظتها. وفي حال إصابة هذه الديدان لمقدم خدمات الإنترنت الرئيسيّ في بلد ما، فإنّها ستستطيع تحديد أهدافها حسب المدينة أو الحيّ. هذا وتقوم بعض الديدان الأخرى بإيجاد قاعدة بيانات حول عدد الكومبيوترات المصابة ونجاح أفضل طرق الإصابة وسرعتها، الأمر الذي يسمح لمبرمجي هذه الديدان بتحليل المعلومات وإصلاح الثغرات أو تطوير طرق جديدة للانتقال والإصابة، مثل استخدام إضافات المتصفحات Plug-In التي يقوم بتطويرها أفراد عاديون والتي قد يحتوي بعضها على ثغرات أمنية لم ينتبه إليها مبرمجوها.
* نصائح للوقاية من الاستعباد الالكتروني > يمكنك أن تعرف إن كان كومبيوترك مستعبدا أم لا إن كانت سرعة الإنترنت اصبحت أقلّ من المعتاد، أو إن كان القرص الصلب يعمل لوحده من دون عمل أيّ برنامج في ذلك الوقت، أو توقف عمل برامج كانت تعمل في السابق. ويمكن اتباع النصائح التاليّة لتقليل فرصة استعباد كومبيوترك:
- لا تقرأ البريد الإلكترونيّ إن كان يقوم بالإعلان عن منتج ما أو إن كان من عنوان لا تعرفه، خصوصا الرسائل التي تحتوي على مرفقات.
- لا تقم بزيارة مواقع غير آمنة.
- لا تقم بتحميل برامج مجانيّة من مواقع مجهولة.
- لا تستخدم برامج المشاركة بالملفات، ذلك أنّها الوسيلة الأكبر لنشر الديدان.
- استخدم نظام حماية Firewall للتحكم في البرامج التي تحاول الإاصال بمواقع مشبوهة، ويُفضل أن يكون من ضمن العدد Hardware وليس برنامج Software، ذلك أنّه من السهل على الديدان تعديل البرنامج.
- استخدم برامج للحماية من الفيروسات AntiVirus والمضادة للبرامج الضارّة AntiSpyware وديدان الاستعباد AntiBots، وقم بتحديث تعاريفها بشكل دوريّ.
- قم بتحديث نظام التشغيل ومتصفح الإنترنت وملحقاته بشكل دوريّ لسدّ الثغرات الأمنيّة (تقوم «مايكروسوفت» بطرح تحديثات في ثاني ثلاثاء من كلّ شهر).
- استخدم كلمات سرّ طويلة تحتوي على أرقام وحروف لحساباتك المصرفيّة وبريدك الإلكترونيّ.
- قم بإبلاغ مقدم خدمة الإنترنت الخاصّ بك عن وجود بريد إلكترونيّ متطفل في حال وصوله على العنوان المرتبط بمقدم الخدمة.
مواقع بعض شركات الحماية http://www.symantec.com http://www.trendmicro.com http://www.damballa.com http://www.fireeye.com http://www.simplicita.com
|