 |
ماذا سيكون رد فعلك، إذا دخلت إلى موقع أحد الشركات التجارية الكبرى، أو أحد مواقع إنترنت الحكومية، بقصد الحصول على بيانات رسمية معينة، وإذ برسالة بذيئة، تطالعك في الصفحة الرئيسية من هذا الموقع؟!
إذا كنت مستخدماً عادياً، فستنتقل بسرعة، غالباً، من حالة الصدمة والاندهاش، إلى حالة السخرية من الموقع والجهة التي يمثلها! أما إذا كنت مشرفاً على هذا الموقع، أو مسؤولاً عن الشبكة التي ينتمي إليها، فنتوقع أن يؤدي مزيج المشاعر التي ستنتابك، إلى تصبب العرق منك بغزارة.. لأنك ستكون أنت، موضع السخرية!
حدث الموقفان السابقان ملايين المرات، خلال شهر فبراير/ شباط الفائت.. فقد وقعت عشرات من عمليات اختراق مزودات ويب، نفذتها جموعات مختلفة من المخترقين في مناطق عديدة من العالم. وهدف بعضها إلى تشويه مواقع ويب (defacement)، وذلك بتغيير الصفحة الرئيسية فيها، وتَمثّل بعضها الآخر في هجمات حجب الخدمة الموزعة DDoS (distributed denial of service)، التي هدفت، كما أشار المحللون، إلى تدمير شبكة إنترنت بالكامل! وكانت مواقع ويب حكومية عربية، ضحية عدد كبير نسبياً من تلك العمليات. وقد تتبع فريق DIT بعضها، وقت حدوثها تتكرر عمليات التشويه بشكل يومي، تقريباً، في عدد كبير جداً من مواقع ويب، إلا أن الأمر الذي لفت الانتباه إليها في هذه الفترة تحديداً، هو ترافقها مع عمليات الاختراق التي أصابت أكبر مواقع إنترنت العالمية، على شكل هجمات حجب الخدمة. لكن، كيف حدثت هذه الهجمات والتشويهات؟ ومن وراءها؟ وما هي أهدافها؟
إذا كنت مستخدماً عادياً، فستنتقل بسرعة، غالباً، من حالة الصدمة والاندهاش، إلى حالة السخرية من الموقع والجهة التي يمثلها! أما إذا كنت مشرفاً على هذا الموقع، أو مسؤولاً عن الشبكة التي ينتمي إليها، فنتوقع أن يؤدي مزيج المشاعر التي ستنتابك، إلى تصبب العرق منك بغزارة.. لأنك ستكون أنت، موضع السخرية!
حدث الموقفان السابقان ملايين المرات، خلال شهر فبراير/ شباط الفائت.. فقد وقعت عشرات من عمليات اختراق مزودات ويب، نفذتها جموعات مختلفة من المخترقين في مناطق عديدة من العالم. وهدف بعضها إلى تشويه مواقع ويب (defacement)، وذلك بتغيير الصفحة الرئيسية فيها، وتَمثّل بعضها الآخر في هجمات حجب الخدمة الموزعة DDoS (distributed denial of service)، التي هدفت، كما أشار المحللون، إلى تدمير شبكة إنترنت بالكامل! وكانت مواقع ويب حكومية عربية، ضحية عدد كبير نسبياً من تلك العمليات. وقد تتبع فريق DIT بعضها، وقت حدوثها تتكرر عمليات التشويه بشكل يومي، تقريباً، في عدد كبير جداً من مواقع ويب، إلا أن الأمر الذي لفت الانتباه إليها في هذه الفترة تحديداً، هو ترافقها مع عمليات الاختراق التي أصابت أكبر مواقع إنترنت العالمية، على شكل هجمات حجب الخدمة. لكن، كيف حدثت هذه الهجمات والتشويهات؟ ومن وراءها؟ وما هي أهدافها؟
تشويه مواقع ويب :
هل شاهدت أفلاماً سينمائية قديمة، تدور أحداثها حول عمليات القرصنة البحرية، التي كانت تتم في القرون الماضية؟ ربما كان أكثر المشاهد بروزاً في هذه الأفلام، هو مشهد إنزال علم السفينة التجارية، ورفع علم القراصنة (المكون من عظام وجمجمة) مكانه، للدلالة على السيطرة والنصر!
يوجد تشابه كبير، بين عمليات تشويه مواقع ويب (defacement)، ومشهد إنزال علم دولة معينة، عن السفينة، ورفع علم القراصنة كانه، حيث أن عملية التشويه، في أغلب الأحيان، ليست سوى تغيير الصفحة الرئيسية للموقع، بصفحة أخرى، يعلن المخترق فيها انتصاره على نظام مزود ويب، والإجراءات الأمنية للشبكة، ويقصد من ورائها إبراز قدراته التقنية، وإعلان تحديه للمشرفين على نظم مزودات ويب، ليثبت لنفسه، أو لغيره، امتلاكه المقدرة التقنية على كسر نظام الحماية في هذه المزودات، الأمر الذي يتطلب معرفة معمقة، لطريقة عمل إنترنت، وبروتوكولات التشبيك، وأنظمة التشغيل المختلفة التي تعمل عليها مزودات ويب. وتتضمن الصفحة الجديدة أحياناً، رسالة يرغب الشخص الذي قام بعملية التشويه إيصالها للعالم. وقد تتضمن هذه الرسالة اعتراضاً منه على حالة سياسية أو اجتماعية، أو صرخة يريد إيصالها، إلى كل من يزور هذا الموقع!
وتقتصر الأضرار التي تتسبب بها عمليات تشويه مواقع ويب، على الإضرار بسمعة الجهة المالكة للموقع، حيث يتم تغيير الصفحة الرئيسية فقط من الموقع، بصفحة HTML من تصميم المخترق، الذي يقتصر هدفه، كما ذكرنا، على إيصال رسالته إلى العالم عبر الموقع. ولا يلجأ المخترقون، عادةً، في عمليات التشويه إلى تدمير محتويات الموقع، حيث يمكنك في أغلب المواقع التي تتعرض لعمليات التشويه، الوصول إلى جميع صفحات المكونة الموقع، إذا كنت تعلم عنوان الصفحة كاملاً.
كيف تحدث عمليات تشويه موقع ويب؟
يتبع المخترقون أساليب عدة، في عمليات تشويه صفحات ويب. وتختلف هذه الأساليب من موقع إلى آخر، بناءً على نوع نظام التشغيل، ومزود ويب الذي يعتمد عليه الموقع. ونوضح هنا، أكثر هذه الأساليب انتشاراً:
1 الدخول بهوية مخفية (anonymous)، عبر منفذ بروتوكول FTP: تمكن هذه الطريقة، في بعض الحالات، المخترق من الحصول على ملف كلمة الدخول المشفرة، الخاصة بأحد المشرفين على الشبكة، أو من يملكون حق تعديل محتويات الموقع، والعمل على فك تشفيرها، حيث يتم إرسال كلمة السر مشفرة في مختلف المزودات. لكن هذه الشيفرة، تظهر في بعض المزودات، ضمن ملف كلمة السر، ويظلل البعض الآخر من المزودات، هذه الكلمة بعد تشفيرها (أي يظهر حرف x مكان كل رمز من الكلمة المشفرة). وتصعب الحالة الأخيرة على المخترقين، عملية كسر الشيفرة.
ويلجأ المخترقون، بعد الحصول على ملف كلمة السر، إلى استخدام برامج خاصة لتخمين كلمات السر. ومن أكثر هذه البرامج انتشاراً: Cracker Jack، وJohn The Ripper، وJack The Ripper، و Brute Force Cracker. وتعمل هذه البرامج على تجربة جميع الاحتمالات الممكنة لكلمة السر، من حروف وأرقام ورموز، لكنها تستغرق وقتاً أطول في التوصل إلى هذه الكلمة، إذا احتوت على عدد أكبر
من الرموز. وقد تصل الفترة التي تتطلبها هذه البرامج، للتوصل إلى كلمة السر، إلى سنوات، بناءً على عدد الرموز المستخدمة، والنظام المستخدم في عمليات التخمين. وننصح باستخدام كلمة سر طويلة نسبياً، وتغييرها خلال فترات متقاربة، للتقليل من احتمال توصل أحد المخترقين إليها. فمن شأن حصول المخترق على كلمة السر الخاصة لأحد المشرفين، السماح له بالدخول إلى مزود ويب، وتغيير الصفحة الرئيسية.
2 استغلال الثغرات الأمنية في مزودات ويب، وأنظمة التشغيل:لا يخلو أي نظام تشغيل، أو مزود ويب، من ثغرات أمنية تعرض مستخدميه لخطر الاختراق، ويعمل المطورون بشكل مستمر، على سد هذه الثغرات، كلما اكتشفت. ويستغل الهكرة هذه الثغرات الأمنية في عمليات الاختراق، إلى أن تجد الشركة المصممة للنظام، الحل المناسب لها. وتبقى بعض الثغرات متاحة لفترة طويلة حتى يتم اكتشافها، وذلك لأن أغلب هذه الثغرات يكتشفها الهكرة، الذين لا يعلنون عنها بسرعة، ليتمكنوا من استغلالها فترة أطول! وننصح لذلك، جميع مدراء ومشرفي الشبكات، بمتابعة مواقع الشركات المصممة لنظم التشغيل، ومزودات ويب، للاطلاع على آخر ما تم التوصل إليه من ثغرات أمنية، وجلب برامج الترقيع (patches) لها، حيث تحرص هذه الشركات على تقديم مثل هذه البرامج بأسرع وقت ممكن. يمكنك الاطلاع على آخر .
3 استخدام بروتوكول Telnet: تسمح كثير من الثغرات الأمنية في الأنظمة المختلفة، سواء كانت يونكس، أو ويندوز، أو غيرها، باستخدام تطبيقات تعتمد على بروتوكول Telnet، الذي يسمح بالوصول إلى أجهزة الكمبيوتر عن بعد، وتنفيذ الأوامر عليها. ويمكن استخدام هذا البروتوكول للدخول إلى مزودات ويب، وتغيير الصفحات فيها.
يتبع المخترقون أساليب عدة، في عمليات تشويه صفحات ويب. وتختلف هذه الأساليب من موقع إلى آخر، بناءً على نوع نظام التشغيل، ومزود ويب الذي يعتمد عليه الموقع. ونوضح هنا، أكثر هذه الأساليب انتشاراً:
1 الدخول بهوية مخفية (anonymous)، عبر منفذ بروتوكول FTP: تمكن هذه الطريقة، في بعض الحالات، المخترق من الحصول على ملف كلمة الدخول المشفرة، الخاصة بأحد المشرفين على الشبكة، أو من يملكون حق تعديل محتويات الموقع، والعمل على فك تشفيرها، حيث يتم إرسال كلمة السر مشفرة في مختلف المزودات. لكن هذه الشيفرة، تظهر في بعض المزودات، ضمن ملف كلمة السر، ويظلل البعض الآخر من المزودات، هذه الكلمة بعد تشفيرها (أي يظهر حرف x مكان كل رمز من الكلمة المشفرة). وتصعب الحالة الأخيرة على المخترقين، عملية كسر الشيفرة.
ويلجأ المخترقون، بعد الحصول على ملف كلمة السر، إلى استخدام برامج خاصة لتخمين كلمات السر. ومن أكثر هذه البرامج انتشاراً: Cracker Jack، وJohn The Ripper، وJack The Ripper، و Brute Force Cracker. وتعمل هذه البرامج على تجربة جميع الاحتمالات الممكنة لكلمة السر، من حروف وأرقام ورموز، لكنها تستغرق وقتاً أطول في التوصل إلى هذه الكلمة، إذا احتوت على عدد أكبر
من الرموز. وقد تصل الفترة التي تتطلبها هذه البرامج، للتوصل إلى كلمة السر، إلى سنوات، بناءً على عدد الرموز المستخدمة، والنظام المستخدم في عمليات التخمين. وننصح باستخدام كلمة سر طويلة نسبياً، وتغييرها خلال فترات متقاربة، للتقليل من احتمال توصل أحد المخترقين إليها. فمن شأن حصول المخترق على كلمة السر الخاصة لأحد المشرفين، السماح له بالدخول إلى مزود ويب، وتغيير الصفحة الرئيسية.2 استغلال الثغرات الأمنية في مزودات ويب، وأنظمة التشغيل:لا يخلو أي نظام تشغيل، أو مزود ويب، من ثغرات أمنية تعرض مستخدميه لخطر الاختراق، ويعمل المطورون بشكل مستمر، على سد هذه الثغرات، كلما اكتشفت. ويستغل الهكرة هذه الثغرات الأمنية في عمليات الاختراق، إلى أن تجد الشركة المصممة للنظام، الحل المناسب لها. وتبقى بعض الثغرات متاحة لفترة طويلة حتى يتم اكتشافها، وذلك لأن أغلب هذه الثغرات يكتشفها الهكرة، الذين لا يعلنون عنها بسرعة، ليتمكنوا من استغلالها فترة أطول! وننصح لذلك، جميع مدراء ومشرفي الشبكات، بمتابعة مواقع الشركات المصممة لنظم التشغيل، ومزودات ويب، للاطلاع على آخر ما تم التوصل إليه من ثغرات أمنية، وجلب برامج الترقيع (patches) لها، حيث تحرص هذه الشركات على تقديم مثل هذه البرامج بأسرع وقت ممكن. يمكنك الاطلاع على آخر .
3 استخدام بروتوكول Telnet: تسمح كثير من الثغرات الأمنية في الأنظمة المختلفة، سواء كانت يونكس، أو ويندوز، أو غيرها، باستخدام تطبيقات تعتمد على بروتوكول Telnet، الذي يسمح بالوصول إلى أجهزة الكمبيوتر عن بعد، وتنفيذ الأوامر عليها. ويمكن استخدام هذا البروتوكول للدخول إلى مزودات ويب، وتغيير الصفحات فيها.
تاريخ عمليات تشويه صفحات ويب :
بلغ عدد عمليات تشويه صفحات ويب، التي رصدت في أنحاء العالم منذ العام 1995، وحتى الآن، حوالي 5000 عملية، توزعت على مختلف مواقع ويب، التي تملك أسماء نطاقات تجارية (com وnet، وorg)، ونطاقات محلية في جميع دول العالم تقريباً. وتشير الدراسات، إلى أن حوالي 20 في المائة من عمليات التشويه، تتم يوم الأحد. ويرجح السبب في ذلك، إلى أن تغيير الصفحة الرئيسية في موقع معين يوم العطلة الأسبوعية (في معظم دول العالم)، يضمن بقاء التغيير أطول مدة ممكنة، إلى أن يعود مدير الشبكة وموظفو الشركات، من إجازتهم، ويرجعوا الصفحة الأصلية للموقع، إلى ما كانت.
وحدثت أوائل عمليات التشويه في العالم، العام 1995، ولم تتعدَ في ذلك الوقت، أربع عمليات. وتلتها 18 عملية العام 1996، و28 عملية سنة 1997، ثم تضاعفت العام 1998، عشر مرات، ليصل العدد إلى 233 عملية. وانتشرت حمى تشويه مواقع إنترنت سنة 1999، ليتضاعف عددها حوالي 15 مرة، وليبلغ 3699 عملية تشويه في مختلف أنحاء العالم، ومن ضمنها 16 عملية تمت على مواقع محلية في الدول العربية!
وكانت المواقع المحلية البرازيلية، أكثر دول العالم إصابة بعمليات التشويه، وبلغ عدد العمليات فيها، 178 عملية، تلتها الولايات المتحدة الأمريكية، التي بلغ عدد العمليات فيها 126 عملية.
وجدير بالذكر أن كثيراً من عمليات التشويه، مرت بدون أن يذاع صيتها، فلم تدخل ضمن هذه الإحصائيات. ويتوقع لذلك، أن يكون عدد عمليات التشويه الفعلية التي تمت، أكبر من العدد المذكور!
هجمات حجب خدمة: الهدف.. تدمير إنترنت!
"الوصول إلى هذا الموقع، غير ممكن!"
قد تعني الرسالة السابقة أن الموقع الذي تحاول أن تزوره، تعرض لهجمات حجب الخدمة، خاصة إذا كان واحداً من المواقع الكبرى، التي يعني ظهور مثل هذه الرسالة في موقعها، خسارة عشرات الآلاف من الدولارات!
يكمن الفرق بين عمليات التشويه، وبين هجمات حجب الخدمة DoS (denial of service)، أن الأولى تتم عن طريق اختراق مزودات ويب، وتتم الثانية عن طريق توجيه جهة معينة، حزم بيانات شبكية بصورة كثيفة جداً، إلى هذه المزودات، بهدف إيقافها عن العمل. ويعتبر القيام بمثل هذه الهجمات سهلاً للغاية، حيث يوجد عدد كبير من البرامج التي يمكن استخدامها لتوجيه الطلبات والحزم الشبكية إلى هدف محدد، كموقع إنترنت، أو عنوان IP.
اعتمدت أولى هجمات حجب الخدمة، التي ظهرت في العالم، على توجيه طلبات كثيفة باستخدام بروتوكول رسائل التحكم بإنترنت ICMP (Internet Control Message Protocol)، الذي يسمح بتبادل رسائل التحكم، والتعامل مع رسائل الخطأ، بين مزودات ويب. وتحدث هذه الهجمات اليوم، باستخدام منافذ بروتوكولات TCP، وUDP، بالإضافة إلى ICMP، في تسليط سيل من الرزم الشبكية إلى مزودات معينة، عبر أوامر، مثل Ping. ومن أشهر الهجمات، تلك التي تستخدم نوع الهجوم المعروف باسم WinNuke، والتي تسلط سيلاً من الحزم الشبكية عبر المنفذ 139 من نظام NetBIOS، الذي يسمح بتحاور التطبيقات الموجودة على الأجهزة المرتبطة بالشبكة.
وتوجد بالإضافة إلى ما سبق، عشرات الطرق التي يمكن اتباعها لدفع الحزم أو الطلبات الشبكية، إلى مزودات معينة، لإيقافها عن العمل، سواء كانت مزودات ويب، أو مزودات بريد إلكتروني، أو أي مزود يمكنه أن يستقبل الحزم الشبكية. وتعرف أنواع هذه الهجمات، بأسماء غريبة، منها: SYN، وSmurf، و Floods، وLand، وPing Bomb، وPing O'Death، وFraggle، بالإضافة إلى Winnuke، المذكور سابقاً. والأمر الذي يزيد الطين بلة، بالإضافة إلى سهولة القيام بمثل هذه الهجمات، هو أن توقعها، أو صدها صعب جداً! لكن ما دوافع هذه الهجمات؟!
ليست هناك تعليقات:
إرسال تعليق