المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : كيف يرسل الهاكرز الفيروسات الى كمبيوترك



سمير
06-10-2005, 10:02 AM
لعلها معاناة شائعة. ان نتلقى رسالة إلكترونية تحمل عنواناً ينطوي على لغز، يرسلها مجهول، وغالباً ما تكون باللغة الإنكليزية، تطلب فتح ملف ما في داخلها، تحت مغريات عدة. غالباً يمثل ذلك السيناريو مقدمة للدخول الى جحيم فيروسات الكومبيوتر. وفي حال استدراك الأمر بمحو الرسالة فوراً، يُنقذ الموقف. ويحدث احياناً ان يغلبنا فضول الهررة، فنفتح الملف المرفق، ونطلق فيروساً إلكترونياً. ربما لا يحدث شيء في اللحظات التالية. فالكثير من تلك الفيروسات «تنام» في القرص الصلب لفترة معينة، قبل ان تطلق اذاها المدمر. ويطلق الخبراء على هذا النوع من الفيروسات لقب «حصان طروادة» Trogan Horse.

ولا تعمل هذه «الاحصنة» دفعة واحدة. فعالباً ما تلجأ الى تكتيك الهجمات المنظمة والمتلاحقة، التي تذكر بالاستراتيجية العسكرية المعروفة باسم «الموجات البشرية المتلاحقة». والفارق انها موجات من برامج الكترونية صغيرة، تنتشر وتتوالد في سرعة هائلة. وغالباً ما تعمد الموجات الأولى من تلك الفيروسات الى مهاجمة محتوى القرص الصلب في سبيل تدميره. وتبقى الفيروسات الفعليّة متخفّية أطول فترة ممكنة، لتقود لاحقاً مهمات من نوع آخر، ذات طابع اشد تدميراً. والمعلوم ان الفيروسات ابتدأت كتسلية لعلماء برامج الكومبيوتر. وساهم انتشار الانترنت، التي تمثل شبكة هائلة من الحواسيب، في تكوين مفاهيم جديدة في عالم الفيروسات. واول اثر للانترنت تمثل في اتصال مجموعتين من هواة العبث بالكومبيوترات، تتألف الاولى من مبتكري الفيروسات الالكترونية. وتتكون الثانية من مجموعة القراصنة «الهاكرز» الذين يحترفون تفكيك أنظمة الأمن في نظم تشغيل الكومبيوتر واختراقها.

فيروس + هاكرز= انترنت الخوف

ادى التحالف بين مبتكري الفيروسات والقراصنة الالكترونيين الى ظهور انواع جديدة من الفيروسات الالكترونية. وراهناً، يميل صناع الفيروس الى صنع انواع تشكل «رأس الحربة»، التي تضرب نظام تشغيل الكومبيوتر. وتفتح فيه ثغرة يتسلل منها لاحقاً «الهاكرز».

وبالإضافة الى تهريب المعلومات المربح، يقوم مبتكرو الفيروسات راهناً بتخريب الشبكات الداخلية في المؤسسات، عبر اثقالها ببرامج غير مجدية، او بالضغط عليها عبر اغراقها بسيل من الرسائل الإلكترونية بكميات ضخمة.

للتذكير، فان الفيروس المعلوماتي كناية عن برنامج مستقلّ يسعى لولوج أكبر عدد من الحواسيب في سبيل اقتراف أعمال تسيء الى الحاسوب وتعطّله. ولهذا، تقوم الفيروسات بالتكاثر من خلال نسخ نفسها في أكبر عدد من الملفات. وتستطيع تلك النسخ الحلول محلّ البيانات الأساسيّة في الملف المصاب، مما يفضي الى اضاعتها ومحوها.

وتختلف لغة البرمجة التي يستخدمها مبتكرو الفيروس بحسب طبيعة الملفات المستهدفة، وكذلك تبعاً لأنظمة التشغيل التي تدير الكومبيوترالمستهدف. ومع الانتشار الهائل لنظام تشغيل الكومبيوتر «ويندوز» Windows، الذي تصنعه شركة «مايكروسوفت»، باتت الافضلية في صنع الفيروسات للعمل على لغات «سي» C و»سي ++» C++ . والحال انها لغات سهلة، وفي متناول الجميع. وغالباً ما يسافر الفيروس عبر البريد الإلكتروني، أو عبر مواد تُحمّل من الإنترنت، أو ينتقل من خلال قرص مرن أو مفتاح USB. ولكن استلام الفيروس عبر البريد الإلكتروني يشكل الوسيلة الأكثر انتشاراً. ويصل الفيروس بالإجمال كمادة ملحقة على هيئة ملفّ قابل للتنفيذ، مع اسماء ملفات من نوع .com, .cmd, .bat, .exe, .pif) ). وقد يختبئ أحياناً في ملفّ يحمل رمزاً بريدياً Zip .

فكلّ شيء مدروس ومعمول عليه للحض على فتح الرسالة. كما يشارك اسم الملفّ أحياناً في الخداع من خلال وجود امتداد مضاعف. وعلى سبيل المثال، من الممكن أن يؤخذ ملفّ بعنوان (photo 1.jpg.pif) الذي يبدو وكأنه صورة فوتوغرافيّة. وفي كلّ الأحوال، يدخل الفيروس مرحلة الفاعلية الخطرة، بعد تحريكه عبر فتح البرنامج الذي يحمله. ومتى بدأت العدوى بالانتشار، فانها تقضي على محتوى القرص الصلب، وتبعث برسائل الى جميع العناوين وما الى ذلك من الانشطة التخريبية. ويحتال الفيروس ليتمكّن من العيش طويلاً. فقد يعدل مثلاً مفاتيح سجلّ نظام Windows بشكل يسمح له بالعمل منذ لحظة تشغيل الحاسوب. وغالباً ما يتطوّر الفيروس، ليتتخذ أشكالاً متعددة. ويحاول مبتكروه تحسينه انطلاقاً من النسخة الأولى، من خلال تعديل جزء من برمجته، أو بإضافة معايير تقنية من نوع جديد، كاملة. وبهذا، يأملون زيادة فاعليّة الفيروس، ومط مدّة عيشه قبل أن تتمكّن الأنظمة المضادة للفيروس من كشفه.

تكاثر الديدان الخطرة

عملت الاجيال الأولى من الفيروسات في سهولة تامة نسبياً. ثم تطوّرت مع تقدّم الإنترنت لتفسح في المجال أمام ولادة اجيال أكثر تطوّراً وتعقيداً. وتعطي الفيروسات الالكترونية المسماة بالديدان worms، نموذجاً من ذلك التطور. فالمعروف ان الاختلاف بين انواع الفيروسات يستند الى الفارق في المجالات التي ينشط فيها كلّ نوع. فبدل أن تتكاثر الديدان من ملفّ الى ملفّ آخر، تستعمل الشبكة الإلكترونية لتتنقّل مباشرة من حاسوب الى آخر. وتصل سرعة تكاثرها الى عشرة أضعاف ما تظهره الفيروسات العادية. وللولوج الى الكومبيوتر، تمرّ الديدان عبر «نقاط الضعف» في انظمة التشغيل، وكذلك تعبر من خلال «ثقوب» في أنظمة أمن نظم التشغيل، مثل «ويندوز»، او تطبيقاته مثل متصفح الانترنت الشهير «اكسبلورر» Internet Explorer وبرنامج البريد الالكتروني «آوت لوك»Outlook , وهما من صنع شركة «مايكروسوفت».

وسرعان ما تصدر الصيحة من الجمهور. وتعمد الشركات المنتجة لنظم الكومبيوتر وتطبيقاته الى اصدار برامج صغيرة لسد الثغرات الأمنية، التي تعرف باسم «باتش» Patch. ويعرف صناع الفيروسات بهذا الأمر ايضاً. وسرعان ما يعكفون على دراسة برامج باتش، لاستعمالها في صنع ديدان الكترونية بديلة. كما يراهنون على المدّة بين الإعلان عن برامج باتش وتحميله من جانب المستخدمين. وتمتدّ الفترة بين ظهور أي ثقب في النظام وظهور الديدان الأولى التي تستعمله بين خمسة أو ستة أيام. وتستخدم الدودة كل أدوات الانترنت لكي تنتشر، بما في ذلك أدوات الرسائل والملفات المتبادلة وشبكات «من صديق الى صديق» peer to peer ، التي تتضمن نظاماً لتبادل الملفات عبر الإنترنت وغيرها. كما أنّ في إمكان بعض الديدان مسح الشبكة بغية التعرّف الى الحواسيب الضعيفة. واظهرت الديدان الجديدة التي ولدت عام 2004 ، انها تفضل العمل مع شبكات peer to peer، اضافة الى رسائل البريد الإلكتروني المفخّخة. ويمكن أن تصنع الدودة منفــــذاً من الكومبيـــوتر الى شبكــــــة الإنترنت لتتمكّن من إرســــال نفسها مجــــدداً عبر البريد الإلكترونـــي. وتكيّف الديدان الأكثر تطوّراً الغرض والنص واسم الملفّ الملحق وعنوان المُرسل، بحسب المرسَل اليه.

ويتمثّل التطوّر الآخــر في أنّ أربعـــاً من اصــــل الديـــدان الخمــــس الأكثــــر خبثاً في العــــام الماضـــي، استخدمت تقنيات يمكن تشبيهها بالفيروسات من نوع «حصان طروادة».

أحصنة طروادة: العدو يتسلل

على عكس الفيروس والدودة، لا ترتكز مهمّة «حصان طروادة» المعلوماتيّ على التكاثر. ويتبع الاستراتيجيّة التي تذكر بأسطورة حصان طروادة، والتي تتضمن التنكر بهدف التمويه، ومخاتلة الاعداء، والكمون في «الداخل» قبل الانطلاق لأداء المهمة المدمرة. وفي إمكان الفيروس الالكتروني من هذا النوع الظهور في شكل تطبيقات معلوماتية مفيدة، مثل التنكر على هيئة أداة للحماية من الفيروسات الالكترونية واستئصالها. كما في امكانها التموضع من دون علم مستخدم الكومبيوتر، عبر ربط نفسها ببرامج مفيدة، يمكن استلامها عبر البريد الإلكتروني. ومتى فُتح البرنامج، يفتح فيروس حصان طروادة ما يسمّى بـ «الباب السرّي»، او «باك دور» backdoor، بمعنى انه يحدث ثغرة في نظام تشغيل الكومبيوتر، ويبقيه مفتوحاً على مصراعيه. وبشكل أوضح، يقوم بتنشيط أحد المنافذ التي تربط بين الحاسوب والإنترنت، ويسيطر على مدخلها. وفي مرحلة تالية، تتيح تلك الثغرة للهاكرز الدخول الى الكومبيوتر، والسيطرة عليه.

وقد تقتصر افعال بعض القراصنة على الدعابات والخداع المرح، مثل إعادة تشغيل الكومبيوتر بعد اطفائه، والفصل بين عملي المؤشر cursor والفأرة الالكترونية mouse وزرع الفوضى في الحاسوب. وراهناً، بات في مقدورهم الحصول على كلّ ما يطبع على لوحة المفاتيح. ويميلون الى اختراق النظم التي تحمي المعلومات والملفات الموضوعة على الكومبيوتر، كأدوات التعريف وكلمات السرّ التي تستخدم في الدخول الى مواقع الإنترنت. ولعل الأخطر يتمثل في الحصول على معلومات حساسة، مثل رقم الحساب المصرفي، ورقم بطاقة الائتمان وكلمة السر التي تشغلها، مما يعطيهم القدرة على الدخول الى الحسابات المصرفية والتلاعب بها.

والأرجح ان الأخطر يحدث عندما تختلط الفيروسات والديدان وأحصنة طروادة، وذلك ما يفعله صنّاع الفيروسات الجديدة. ومثلاً، يدمجون عمل الدودة الالكترونية مع طرق عمل الفيروس من نوع حصان طروادة.

ومن الممكن أن يستعمل فيروس الدودة تقنيّة الباب السريّ. كذلك من المحتمل ان يستخدم ذلك الباب لدخول فيروس آخر، مما يعني تنسيق عمل هجمتين من الفيروسات.

ويمتلك القراصنة أدوات لمسح الشبكة بهدف البحث عن حواسيب تأوي الأبواب السريّة لاستخدامها في أعمال غير مشروعة، مثل ارسال سيول من البريد المتطفل «سبام» spam، التي يخدم بعضها غايات اعلانية لبعض كبار الشركات. وفي حال إجراء تحقيق، تبقى راحة بال القراصنة مضمونة لأنّ السلطات لن تصــل الا الى الكومبيوتـــــرات التي استخدمت كمحطـــات موقتـــة.

يبقى ان الانتشار الهائل لنظام «ويندوز» يعتبر من الامور التي تسهل استهداف الكومبيوترات والشبكات. فمثلاً، عندما يعثر الهاكرز على ثغرة امنية في نظام «ويندوز»، يُسهل لهم الامر استهداف مئات ملايين الكومبيوترات التي تدار بذلك النظام.

وينطبق الامر على بريد «آوت لوك»، الذي استهدفته مجموعة كبيرة من الفيروسات الالكترونية. فاذا ما وجد احد صناع الفيروسات منفذاً في ذلك التطبيق، فانه يستخدمه في الانطلاق من كومبيوتر واحد لاصابة ملايين الكومبيوتــــرات، بطريقـــة متشابه.

اذاً، يؤدي التشابه، في معنى وجود نظام واحد يتكرر بصورة لا نهائية على كومبيوترات العالم، الى خفض المناعة وانكشاف النظام باكمله. والحال ان الآثار السلبية لوجود نظام واحد على حواسيب الجمهور، يصعب حصرها في مقال منفرد.