انضم إلينا
اغلاق
فيروس "أريد البكاء".. الفدية في مقابل فك التشفير

فيروس "أريد البكاء".. الفدية في مقابل فك التشفير

فراس اللو

محرر تقنية
  • ض
  • ض

لم يكن وقوف غوغل في صف آبل ضد مكتب التحقيقات الفيدرالي "أف بي آي" في 2016 عن عبث، فالمكتب طالب آبل وقتها بتطوير أداة أمنية تسمح بفك تشفير البيانات المُخزّنة على أجهزتها الذكية لاستخدامها عند الضرورة.

 

آبل قالت وقتها إن ما يطلبه المكتب ضرب من الجنون لأن تلك الأداة لو خرجت للعلن ستؤدّي إلى تعريض بيانات ملايين المستخدمين للخطر، وهو أمر أكّدته غوغل بنفسها رفقة القائمين على تطبيق "واتس آب"، فالجميع رفض هذا الأمر برُمّته[1]أصرّ مكتب التحقيقات ووكالة الاستخبارات الأميركية "سي آي إيه" على موقفهما وقاما بتطوير تلك الأدوات بشكل داخلي، لكن موقع "ويكي ليكس" تمكّن من فضح تلك المُمارسات وكشف عمّا تُخفيه الوكالات الأمنية الأميركية في جُعبتها.

 

لم يتوقّف الأمر عند تسريب المُستندات التي تصف الثغرات والأدوات، بل وصل إلى الأدوات نفسها حيث بدأت مساء يوم الجمعة، 12 (مايو/أيار)، هجمات على نظام ويندوز في مناطق مُتفرّقة حول العالم، بالاعتماد على واحدة من الأدوات التي تستغل ثغرة في نظام ويندوز.

 



بشكل مُفاجئ ودون سابق إنذار بدأت الأخبار تنتشر كالنار في الهشيم عن وجود اختراقات تُصيب مجموعة كبيرة من الأجهزة في أماكن مُتفرّقة حول العالم، وهي أجهزة تعمل بأنظمة ويندوز التي تسبق ويندوز 10، أي أن نظام مايكروسوفت الأخير في مأمن منها.

 

مؤسّسة الصحّة البريطانية أعلنت أن الأنظمة المُستخدمة في مجموعة كبيرة من المؤسّسات الصحيّة ظهرت لها رسائل تُفيد بوجود اختراق أدّى إلى تشفير جميع الملفات الموجودة على الحاسب، وأن الطريقة الوحيدة لفك تشفير تلك البيانات واستعادتها هي دفع فدية تُساوي 300 دولار أميركي للجهاز الواحد، وهو مبلغ سيرتفع بعد ثلاثة أيام ليُصبح 600 دولار. أما وفي حالة انقضاء أسبوع دون الدفع فسيتم حذف البيانات بشكل كامل[2].

 

ولم تكن المملكة المُتحّدة الهدف الوحيد للهجمات، فمجموعة كبيرة من المُنظّمات الحكومية والخاصّة في روسيا، وألمانيا، والهند، وأوكرانيا، وحتى تايوان وإسبانيا تضرّرت من تلك الهجمات، لتكون المُحصّلة النهائية إصابة أكثر من 75 ألف حاسب في 99 دولة مُختلفة حول العالم خلال ساعات قليلة.
 


أصل الحكاية يعود إلى (آذار/مارس) 2017 عندما أطلقت مايكروسوفت تحديث أمني في الرابع عشر من ذلك الشهر، مع تحديد درجة الأهمية إلى "عالي" ونصحت الجميع بتثبيت ذلك التحديث لأنه يُعالج ثغرة تحمل اسم "إيتيرنال بلو" (EternalBlue). وهي ثغرة موجودة في بروتوكول "إس إم بي" المسؤول عن توفير طبقة تسمح لنظام ويندوز بالتخاطب مع أنظمة الملفات المُختلفة عبر الشبكة، والتي بالأساس -أي الثغرة- كانت تُستخدم عن طريقة وكالة الأمن القومي الأميركية للتجسّس على المُستخدمين دون علمهم[3].

 

وبعد شهرين تقريبًا منذ إطلاق التحديث الأمني من قبل مايكروسوفت لإغلاق تلك الثغرة، وشهر واحد من الكشف عنها بشكل كامل عن طريق موقع ويكي ليكس، تمكّن المُخترقون من استغلالها وإصابة الأجهزة لأن انتقالها يتم عن طريق الشبكة، فبمجرّد إصابة جهاز واحد يُمكن الانتقال من جهاز للآخر بسهولة تامّة خصوصًا إذا كانت هناك صلاحيات واسعة بين الأجهزة.

 

بحسب شركة "كاسبرسكي"، المُتخصّصة في مجال الحماية الرقمية، فإن الثغرة لا تُصيب الإصدار الأول من بروتوكول "إس إم بي" فقط مثلما تدّعي مايكروسوفت، بل يصل ضررها كذلك للإصدار الثاني[4]أما عبارة "أريد البكاء" فهي تأتي من اسم الهجوم نفسه، ففي النافذة التي تظهر للأجهزة المُصابة يُروّج المُخترقون للأداة بثلاثة أسماء هي WannaCry، وWcry، وWannaCrypt، وجميعها تُشير إلى نفس الأداة التي استغلّت هذا الشرخ الأمني في نظام ويندوز.

 

الحماية

مُعظم الشركات المُطوّرة لتطبيقات الحماية من الهجمات الخبيثة أكدّت أن الخُبراء الأمنيين في الشركة يقومون باكتشاف أنماط عمل تلك الأداة للحد من ضررها، وبالفعل تمكّنت بعض التطبيقات من إيقاف نشاطها وحماية الأجهزة من الاختراق. كما تزال الجهود قائمة حتى هذه اللحظة.

 

أما الحلول اليدوية فهي بسيطة ولا تحتاج لجهد كبير، وتبدأ من تثبيت التحديثات الأمنية التي تُطلقها مايكروسوفت بشكل دوري. إذا كنت تعمل على حاسب منزلي أو لأغراض شخصية بعيدًا عن أغراض العمل والشركات فأنت من المحظوظين لأنه لا يوجد سبب يمنع من تثبيت التحديثات الأمنية فور صدورها، ومن الأفضل بالأساس عدم تعطيل مُعالج تثبيت التحديثات الآلي الموجود في نظام ويندوز لتجنّب هذا النوع من الهجمات.

 

الحواسب الموجودة في الشركات فهي كانت الضحيّة الأولى بسبب تأخير تثبيت التحديثات، ليس من قبل مايكروسوفت نفسها، بل من قبل الفرق المسؤولة عن هذا الأمر والتي دائمًا ما تتردّد في تثبيت التحديثات الجديدة.

 

في الشركات الكُبرى لا يتم اعتماد إصدار جديد من نظام ويندوز فورًا تجنّبًا للوقوع في مشاكل التوافقية، فتلك الشركات تعمل على أكثر من نظام وتمتلك مئات الحواسب، وبالتالي فإن تثبيت نظام جديد دون ضمان عمله بشكل كامل قد يتسبّب في خسائر ماديّة كبيرة إلى جانب التكلفة العالية لتثبيته بالأساس، ولهذا السبب -للأسف- قد نجد أن بعض المصارف ما زالت تستخدم نظام ويندوز إكس بي حتى هذه اللحظة ولم تنتقل لاستخدام ويندوز 10، أو حتى ويندوز 7 على الأقل.

 

على الرغم من تكاسل بعض الجهات في اعتماد إصدارات مدعومة من قبل مايكروسوفت، تجاوبت الشركة نفسها وأطلقت تحديث أمني استثنائي لنظام ويندوز إكس إبي لحماية الأجهزة العاملة به، فالنسبة كبيرة جدًا على ما يبدو[5]وفي حالة وجود أسباب تمنع الآن من تثبيت التحديث الأمني فالحل بحسب بعض الخُبراء يكمن في تعطيل بروتوكول "إس إم بي" بشكل كامل. طبعًا قبلها يتم عزل الجهاز من الشبكة وتعطيل البروتوكول قبل وصله من جديد لضمان عدم استغلال الأداة لتلك الثغرة[10].

 

مفتاح الإيقاف

في عالم البرمجيات الخبيثة هناك ما يُعرف بمفتاح الإيقاف "كيل سويتش" الذي يُمكن من خلاله منع البرمجية من الانتشار أو من مُمارسة عملها بالشكل المطلوب، وهو مفتاح موجود بالفعل في الأداة المُستخدمة، حيث تمكّن باحث أمني بعمر 22 عام من اكتشافه والحد من نشاط الهجمات إلى حد ما[6].

 

ضمن الشيفرة البرمجية للأداة هناك سطر أو أمر يختبر وجود موقع من عدمه، ففي حالة عدم وجوده تُتابع الأداة عملها وتقوم بتشفير البيانات باستخدام نظام "آر إس إيه" بمفاتيح تشفير بحجم 2048-بِت[9]بالأساس هذا الرابط أو النطاق لم يكن مُسجّلًا من قبل، وبالتالي ستفشل عملية الاختبار وتُتابع الأداة عملها. لكن الباحث الأمني اليافع قام بتسجيل النطاق وبالتالي أوقف انتشار الأداة وعملها لأنها وعند اختبار النطاق الآن ستجده مُسجّلًا وستخرج ولن تُتابع العمليات من الأساس.

 

السؤال التقني الأبرز هو عن سبب وجود المفتاح بهذا الوضوح. البعض رجّح وجوده لتمكين المُخترقين من إيقاف عمل الأداة عن بُعد من خلال تسجيل النطاق فقط. بينما ذكر البعض الآخر أن وجوده قد يكون لتشتيت فرق الحماية والبحث الأمني الرقمي، لأن تلك الفرق وعند اختبار الأداة سوف تقوم بتشغيلها داخل نظام افتراضي وليس ضمن الحاسب نفسه لتجنّب انتشارها وإصابته. سيقوم النظام الافتراضي باعتبار أن النطاق موجود بالفعل حتى وإن لم يكن موجودًا، وبالتالي تخرج الأداة دون مُتابعة عملها، وهكذا لن يتمكّن الباحث من تحليل ما يحصل بدقّة.

 

دفع الفدية
الأهم من آلية عمل الأداة وطريقة انتشارها هي الفدية التي تُعتبر الأمل الوحيد للمستخدمين المُتضرّرين والتي من شأنها أن تدل الوكالات الأمنية على من يقف خلفها، لكن وفي عالم التشفير والإنترنت المُظلم، الأمر ليس بهذه السهولة.

 

دفع الفدية لن يتم عبر تحويل بنكي أو عن طريق الاجتماع بالمُخترقين في أقبية أبنية مهجورة، بل سيتم عبر الحاسب من خلال استخدام العملة الرقمية "بت كوين". تلك العملة هي أول عملة رقمية غير خاضعة لجهة واحدة، أي أنها لا تتبع لدولة أو لمصرف مركزي، بل هي ملك الجميع ويتم توليدها عبر الحواسب وطاقة المعالجة الخاصّة به.
 


من أهم ميّزات تلك العملة الحماية وعدم معرفة الأطراف التي تتعامل بها، وبالتالي فإن الخصوصية حاضرة بقوّة، ولهذا السبب دائمًا ما يلجأ المُخترقون لاستخدامها للحصول على الفدية المطلوبة لفك التشفير وإيقاف تلك المُمارسات.

 

حتى الآن في هجمات "أريد البكاء" تم رصد ثلاثة عناوين للتحويل إليها. الحساب الأول أُجريت له 23 عملية تحويل ليصل المبلغ الذي حصل عليه إلى 7188 دولار أميركي حتى اللحظة. أما الحساب الثاني فهو استلم 17 عملية تحويل بمجموع 7767 دولار، ليجمع الثالث 2906 دولار بعد إجراء 12 عملية تحويل له، لتكون المُحصّلة النهائية أكثر من 18 ألف دولار أميركي خلال ساعات قليلة، وهو رقم سوف يزداد مع مرور الوقت لأن الجهات التي تعرّضت للاختراق ولتشفير البيانات لا تمتلك حتى الآن أي أمل في وجود أداة لفك التشفير وإعادة البيانات دون دفع الفدية. كما أن تحديد مدّة ثلاثة أيام قبل مُضاعفة المبلغ أمر سيضع الجميع في مأزق[7].

 

وبالعودة إلى العملة الرقمية فإن قيمتها كانت تبلغ 457 دولار أميركي تقريبًا في (مايو/أيار) 2016، لكن قيمتها اليوم وصلت إلى 1776 دولار أميركي. وبتحليل بسيط لأداء العملة يُمكن رصد ارتفاع قيمتها بالتدريج مع نهاية 2016، وهي الفترة التي ترافقت أيضًا مع اكتشاف مُمارسات وكالة الأمن القومي وانتشار أخبار الأدوات التي تستخدمها للتجسّس على المُستخدمين[8].

 

يعتمد المُخترقون على "بت كوين" لحماية هويتهم والعمل في الخفاء دون أن يتم اكتشاف أمرهم بالكامل. لكن وبالنظر إلى قيمة العملة التي ارتفعت بشكل كبير خلال الأشهر القليلة الماضية، فإن كثرة التداول بها قد يكون سبب منطقي لارتفاع القيمة، وهُنا يُفتح باب الاحتمالات على مصراعيه، فالعاملين في الوكالات الأمنية قد يقومون ببيع تلك الأدوات بعد اكتشاف أمرهم لأنها لن تعود ذات قيمة بعد فترة قليلة من الزمن.

 

المخترق في هذه الحالة يستفيد من الحصول على الأداة، صحيح أن تأثيرها محدود، لكنها ستعمل لأنه يعلم تمامًا مشاكل الشركات الكبيرة في تحديث أنظمة تشغيلها. والعاملين في الوكالات الرقمية كذلك يستفيدون من الناحية المادّية، فعملة "بت كوين" توفّر غطاء تمنع تعقّب صاحب الحساب.

 

من المُلام؟

لا شك أن تطوير وكالة الأمن الرقمي لتلك الأداة، ولغيرها من أدوات التجسّس بطبيعة الحال، أمر غير مقبول أبدًا. لكن هذه الهجمة وغيرها من هجمات الفدية يُمكن تقسيمها إلى مجموعة من الوحدات، وبالتالي فإن التعافي منها مُمكن وبدون دفع فلس واحد.

 

الهجمة تبدأ عبر استغلال لثغرة أيًا كانت على الجهاز، وبالتالي فإن تثبيت التحديثات الأمنية بشكل دوري من شأنه منع الاستغلال وحماية الجهاز بشكل كامل. لكن وفي حالة وقوع الأمر لسبب من الأسباب، فإن المستخدم بإمكانه الاستعانة ببرامج الحماية من البرمجيات الخبيثة للحد من تأثير الهجوم.

 

أما وإذا كانت برامج الحماية غير نافعة، فهنا نحن نقف أمام الكارثة، أي إصابة الجهاز بالكامل وتشفير بياناته ومنع المستخدم الأصلي من الوصول إليها. الاعتقاد السائد في هذه الحالة هو الحاجة لدفع الفدية لفك التشفير، لكن لو قام المستخدم بتثبيت برامج لأخذ نسخة احتياطية آلية من ملفّاته وتخزينها على قرص صلب أو على السحاب فإن تعافي جهازه من الأداة بسيط ويبدأ من حذف كل شيء وإعادة تثبيت النظام ثم استعادة البيانات وكأن شيئًا لم يكن.

 

بشكل مُختصر للمستخدمين العاديين أو حتى أعضاء فرق العمل فإن الخطوات تبدأ من تثبيت التحديثات وخصوصًا تلك الأمنية دون تردّد؛ صرف المزيد من الوقت لتحليل التحديثات والتأكّد من عملها بالشكل الأمثل مع جميع المكونات أفضل بكثير من صرفه فيما بعد للتعافي من تلك الأضرار. كما أن استخدام حلول التخزين الاحتياطي شيء لم يعد كمالي في ظل وجود اتصال سريع وخدمات سحابية في كل مكان. تجنّب تثبيت البرامج المجهولة، أو فتح الروابط والرسائل ذات مصدر مجهول من شأنه حماية المستخدمين لأن الكثير من المُخترقين يلجؤون لهذا الأسلوب في يومنا الحالي.

 

أما على صعيد الشبكة فكل جهاز يجب أن يمتلك صلاحيات محدودة على الموارد. الوصول يجب أن يكون مُقيّدًا، وصلاحيات الكتابة والقراءة كذلك. كما يجب إغلاق المنافذ "بورتس" (Ports) وعدم تركها مفتوحة إن لم تُستخدم، فالوصول للجهاز شيء، واستغلال المنافذ المفتوحة شيء آخر من شأنه نشر الضرر هُنا وهناك على صعيد الشبكة.

 

أما الاعتماد على برامج الحماية من البرمجيات الخبيثة فهو لا ينفع دائمًا، ولهذا السبب يجب أخذ الحماية على أنها مجموعة من الطبقات التي لا يُمكن اختزالها في تطبيق أو حل أمني واحد.

إيران في ميزان النخبة العربية

تقارير متصدرة


آخر الأخبار