قصة حياة الدودة بلاستر والفيروس SoBig.F......

قصة حياة الدودة بلاستر والفيروس SoBig.F ......

قد تفاجأ إذا علمت أن بعض أكثر الفيروسات والديدان انتشاراً لم تكن لتظهر، لولا محاولة شركات أنظمة التشغيل إصلاح خلل غير ظاهر في برمجياتها، ولولا تركيز الصحافة والشركات والحكومات على خطورة هذا الخلل الذي تم إصلاحه. وربما لا وقت أفضل من الآن، للإجابة عن هذا السؤال، فقد شهد العالم خلال شهر أغسطس/آب الفائت ظهور عدة فيروسات خطيرة، سببت خسائر كبيرة جداً، وانتشرت انتشاراً واسعاً، بل إن أحدها كان أسرع الفيروسات انتشاراً على الإطلاق إلى اليوم.

انتشرت دودة Blaster وفيروس SoBig.F بشكل كبير جداً حول العالم خلال الشهر الفائت. ويعتقد محللو أمن المعلومات أن فيروس SoBig.F لم يؤلفه شخص واحد، بل مجموعة منظمة، كون هذا الفيروس هو السادس في سلسلة فيروسات SoBig التي بدأت بفيروس SoBig.A في يناير 2003، وصولاً إلى فيروس SoBig.F في أغسطس الفائت، والتي يرجح المحللون أنها عملية منظمة لتجربة إصدارات متلاحقة من هذا الفيروس بشكل واقعي عبر الإنترنت، بهدف ترقيته وتطويره مرحلياً مع الوقت، سعياً للوصول إلى "الفيروس المثالي"!

ولنأخذ دودة Blaster مثلاً، ولنتلمس خطوات نشوئها وتشكلها، ودوافع مؤلف الفيروس وطريقة تفكيره، وذلك من خلال عرض زمني فعلي للأحداث التي دارت بين 16 يوليو/حزيران و20 أغسطس/آب الفائت، في القصة التالية..

ولادة فكرة مدمرة
الأربعاء 16 يوليو، الساعة 11:00 مساء بتوقيت واشنطن: ثغرة أمنية جديدة تعلن مايكروسوفت عن اكتشافها في أنظمة ويندوز2000 وإكس بي وNT4، وServer 2003، وتحديداً في طريقة تعامل أنظمة التشغيل مع بروتوكول "استدعاء الإجراءات عن بعد" (Remote Procedure Call, RPC). أطلقت مايكروسوفت رقعة برمجية لتأمين أنظمة التشغيل المعرضة للخطر، وهي في هذه الحالة مئات الملايين من أنظمة التشغيل المنتشرة حول العالم، خاصة في بيئات الأعمال، واصفة الثغرة الأمنية المكتشفة بالخطيرة، والتركيز على الضرورة "الطارئة" لتركيب الرقعة، نتيجة سهولة استغلال هذه الثغرة لتشغيل شيفرات برمجية عن بعد على أنظمة ويندوز التي تتضمنها، إذا ما رغب مخترق في ذلك.

11:34 ليلاً: الشخص الذي سيؤلف دودة Blaster لاحقاً -ولنطلق عليه مثلاً، اسم.. "السيد ميكروب" (قد نحتاج هنا للتنويه بأن لا صلة بين بطل قصتنا والدكتورة جراثيم أو أسلحة الدمار الشامل!)- يجلس في غرفته أمام شاشة حاسوبه، في الحادية عشرة والنصف، يدردش كالعادة مع أصدقاء له يشاركونه هواية اختراق الشبكات. ويدور الحوار اليوم حول طرق اختراق أو إيقاف مزود لعبة Counter Strike الذي يديره أحد زملائه في الكلية. وإذا بأحد أصدقائه يرسل رسالة بخط أحمر عريض عبر برنامج التراسل الفوري، مبشراً الآخرين بتسليةٍ جديدة محتملة.. لقد أطلقت مايكروسوفت منذ نصف ساعة، تحذيراً عن وجود ثغرة أمنية خطيرة في طريقة تعامل أنظمة ويندوز مع بروتوكول RPC.. لقد قرأ "ميكروب" عن هذا البروتوكول في موقع ما سابقاً، لكنه لا يتذكر أين.. يقرر أن ينام الآن ويستكشف لاحقاً!

الخطر المرتقب
الخميس 17 يوليو، 10:00 صباحاً: أدرك محللو أمن المعلومات الخطر، فرفعت شركات مكافحة الفيروسات وشركات أمن المعلومات من مستوى مؤشرات الأخطار الأمنية، وأطلقت تحليلات وتحذيرات تنبئ بأخطار هذه الثغرة بالغة الانتشار. ونصح المحللون جميع مديري الأنظمة ومستخدمي إصدارات ويندوز2000 وإكس بي وNT4 وServer 2003 بالمسارعة إلى تركيب الرقعة الأمنية التي أطلقتها مايكروسوفت لمعالجة المشكلة. ونتيجة لذلك رفعت شركة ISS لأمن المعلومات مؤشر AlertCon إلى المستوى 2، وهو مؤشر يدل على مستوى التهديد الأمني الحالي للمعلومات عبر الإنترنت.

الساعة 4:00 بعد الظهر: يعود "ميكروب" من جامعته مسرعاً، وينقض على حاسوبه، محاولاً وضع يده على كل ما يمكن من معلومات عن بروتوكول RPC، بعد أن قضى جل يومه في مختبر الحاسوب في الكلية، يقرأ سيل التحذيرات التي أطلقتها شركات أمن المعلومات عبر إنترنت، محاولاً فهم هذا البروتوكول الذي قد يسمح له باختراق مزود لعبة Counter Strike الذي يديره غريمه.. وربما أكثر من ذلك، من يدري!

إغراءات الثغرات الأمنية
الجمعة 18 يوليو، 9:30 صباحاً: معهد SANS الشهير لأمن المعلومات يؤكد أنباء ترددت في الإنترنت عن ثغرة أمنية اكتشفت في جميع إصدارات أنظمة تشغيل Cisco IOS وروترات شركة سيسكو، الأمر الذي يعرض معظم شبكات الحواسيب حول العالم لخطر هجمات حجب الخدمة (DoS). ويؤكد المعهد كذلك، اكتشاف ثغرة أمنية أخرى في بروتوكول RPC، لكن في أنظمة تشغيل لينكس هذه المرة.

السبت 19 يوليو: يتابع "ميكروب" محاولاته لليوم الثالث على التوالي، لاستغلال ثغرة RPC لاختراق المزود. وفجأة.. يكتشف أنه قد يكون من الأسهل كتابة برنامج يستغل هذه الثغرة من داخل المزود، ثم أن يرسله إليه بطريقة معينة.. كفيروس مثلاً!

الأحد 20 يوليو: تمكن صديقنا "ميكروب" من تحقيق فتح مهم، فقد صاغ رزمة شبكية تتضمن طلباً محدداً وأرسلها عبر المنفذ رقم 135 لبروتوكول TCP ، لتصل إلى مستمع بروتوكول RPC الموجود على عدة مزودات، ثم تمكن من ربط هذه المزودات حصراً مع جهازه، وإرسال طلب تشغيل حسب النموذج الكائني الموزع للمكونات DCOM، الذي يتضمن ثغرة في بنيته البرمجية قد تسمح بفيضان ذاكرة الشيفرة البرمجية الوسيطة (buffer overflow) عند استقبال رسالة محددة عبر المنفذ 135، ما قد يتيح تنفيذ شيفرة برمجية مرفقة في الطلب المرسل عن بعد، عوضاً عن الشيفرة البرمجية الأصلية للبرنامج، الأمر الذي قد يسمح له بإرسال برنامج لاختراق المزود!

بوادر الخطر
الاثنين 21 يوليو، 9:00 صباحاً: يبدو أن "ميكروب" ليس وحيداً في محاولات استغلال ثغرة RPC، فقد أرسلت مجموعة أمنية تسمى LSD لشركات أمن المعلومات شيفرات برمجية تجريبية أنتجتها، ونجحت من خلالها في اختراق أجهزة ويندوز مختلفة، وذلك اعتماداً على ثغرة RPC.
الساعة 11:00 صباحاً: شركة ISS ترفع مؤشر AlertCon لأمن المعلومات إلى المستوى 3، الأمر الذي يعني وجود هجمات مركزة متعددة عبر الإنترنت، وذلك نتيجة ورود تقارير للشركة عن محاولات لاستغلال ثغرة بروتوكول RPC في أنظمة ويندوز، وثغرة روترات سيسكو لاختراق مواقع وحواسيب عبر الإنترنت. وتطلق الشركة تحذيرات شديدة إلى مديري الأنظمة وعموم المستخدمين لسد هذه الثغرات في شبكاتهم بأسرع ما يمكن.
الساعة 6:00 مساء: الارتباك يصيب الكثير من مديري الشبكات، الذين يصلون الليل بالنهار للإسراع في سد الثغرة في جميع الأنظمة المرتبطة مع شبكاتهم، وسد منافذ بروتوكول TCP رقم 135 و139 بشكل رئيسي.

تحذيرات أكاديمية
الأربعاء 23 يوليو: معهد SANS يحذر من أن عدد الأجهزة المزودة بأنظمة ويندوز والتي تتضمن ثغرة RPC يزيد عددها بأكثر من عشرة أضعاف عن عدد الأجهزة التي كانت تعاني من الثغرة التي اعتمدت عليها دودة CodeRed الشهيرة، منذ عامين تقريباً. ويضيف تحذير المعهد أن أية دودة ستعتمد على هذه الثغرة قد تتمكن من تحقيق أضرار تفوق الأضرار التي حققتها CodeRed بأكثر من 10 مرات. كما يحذر من أن إغلاق المنفذ 135 لن يكون كافياً لمديري الشبكة.

الجمعة 25 يوليو: شخص أو مجموعة مجهولة تنشر على الإنترنت شيفرة برمجية جاهزة تتيح استغلال ثغرة RPC لاختراق أجهزة ويندوز. ومعهد SANS يؤكد نجاح محاولات تجريبية لحجب الخدمة عن أجهزة ويندوز2000 بواسطة هذه الثغرة، على الرغم من تركيب رزمة الخدمات SP4 على هذه الأجهزة، والتي تتضمن أحدث الرقع الأمنية. ويؤكد المعهد ضرورة تركيب الرقعة التي أطلقتها مايكروسوفت.

الأحد 27 يوليو، 11:00 صباحاً: شركة ISS لأمن المعلومات تحذر من أن تركيب الرقعة فقط لا يحمي المزودات والأجهزة من الثغرة، بل يجب إعادة تشغيل الأجهزة يدوياً، لتفعيل ملفاتها، وذلك عقب اختبار مزودات تم تركيب الرقعة عليها دون أثر.
الساعة 6:00 مساءً: أدت إعادة تشغيل آلاف المزودات حول العالم بعد تركيب الرقعة، إلى إهدار مئات الساعات من أوقات العمل.. كثير من مديري تقنية المعلومات في الشركات يتلقون توبيخاً من رؤسائهم لإضاعة الوقت دون سبب واضح!

الخميس 31 يوليو، 10:00 صباحاً: مركز "فريق الاستجابة لطوارئ الحواسيب" (CERT/CC) الشهير في مجال أمن المعلومات، والتابع لجامعة Carnegie Mellon الأمريكية يطلق تعميماً يشدد على ضرورة الإسراع بتركيب الرقعة الأمنية وإيقاف عمل كثير من الخدمات وإغلاق منافذ عديدة على جميع الأجهزة في البلاد، كما ينصح جميع المستخدمين بتركيب جدران نارية.

حوالي 4:00 بعد الظهر: مجموعة تسمى Chinese X تعمم شيفرة برمجية على عدد كبير من مواقع المخترقين، تسمح باختراق أنظمة ويندوز والتحكم الكامل بها، اعتماداً على ثغرة RPC.

10:30 مساءً: "ميكروب" تصيبه الدهشة من حجم الاهتمام بخطر هذه الثغرة عالمياً، ويقرر تجربة التأثير على أكثر من مزود لعبة Counter Strike. ويبدأ، مثل مئات من الأشخاص حول العالم، بسبر المنافذ المعرضة للخطر في أنظمة ويندوز عبر الإنترنت بشكل عشوائي، سعياً لاختراق الأجهزة عبر ثغرة RPC بطرق مختلفة.

إنذار حكومي
الجمعة 1 أغسطس، 9:00 صباحاً: قسم "تحليل المعلومات وحماية البنية التحتية القومية لتقنية المعلومات" التابع لوزارة الأمن الوطني الأمريكية تطلق تحذيراً عاماً للشركات والمواطنين ينذر بخطر قد يؤثر بشدة على شبكة الإنترنت، نتيجة استغلال ثغرة RPC. وتشير إلى ازدياد كبير في عمليات سبر منافذ الأجهزة عبر الإنترنت، بحثاً عن الثغرة. ويؤكد التعميم الذي أصدرته الوزارة أن عدة طرق ناجحة قد اكتشفت عبر الإنترنت، لاستغلال ثغرة RPC لاختراق الأجهزة و"التحكم بها بشكل كامل".

الساعة 3:37 بعد الظهر بتوقيت واشنطن: موقع شركة مايكروسوفت (microsoft.com) يتعرض لهجمة تؤدي إلى توقفه عن العمل وإزالته من الإنترنت لمدة ساعتين، وتمنع المستخدمين حول العالم من تنزيل رقعة RPC الأمنية.
حوالي الساعة 5:30 مساءً: مايكروسوفت تعيد الموقع للعمل وتقدم شكوى رسمية للسلطات، وتصرح أن توقف الموقع كان نتيجة هجمة لحجب الخدمة (DoS)، وليس استغلالاً لثغرة RPC.

الساعة 6:00 مساءً: شركة ComScore تعلن أن عدد زوار موقع مايكروسوفت خلال شهر يوليو قد وصل إلى 54.6 مليون زائر فريد، أي ما يمثل 37 في المائة من عدد مستخدمي إنترنت في الولايات المتحدة (نتيجة محاولات تنزيل الرقعة الأمنية).

الاثنين 4 أغسطس: ظهور أداة برمجية لاختراق أنظمة ويندوز التي تتضمن ثغرة RPC من خلال شبكات الدردشة IRC. وشركة Symantec تعلن بداية عن ظهور دودة تعتمد على ثغرة RPC، ثم تصحح إعلاناها إلى وجود أداة برمجية للاختراق وليست دودة!

الثلاثاء 5 أغسطس: ظهور فيروس MiMail وتعطل مزودات البريد الإلكتروني في مناطق عديدة من الولايات المتحدة، على الرغم من أنه لا يعتمد على ثغرة RPC.

الجمعة 8 أغسطس: يتأثر "ميكروب" بفكرة تعطيل موقع مايكروسوفت، وينهي كتابة دودة تعتمد على ثغرة RPC، ويُضمّن فيها شيفرة برمجية للهجوم على موقع windowsupdate.com التابع لمايكروسوفت، والذي يتضمن الرقعة الأمنية التي تسد ثغرة RPC، وذلك في الفترة بين 15 أغسطس و31 ديسمبر، في محاولة لمنع الأجهزة المصابة من تنزيل الرقعة.

السبت 9 أغسطس: "ميكروب" يؤمن عدة مزودات تشغل بروتوكل TFTP (Trivial FTP)، ويضع شيفرته البرمجية المدمرة ضمن ملف msblast.exe الخاص بنظام ويندوز2000 على بعضها، والخاص بنظام ويندوز إكس بي على بعضها الآخر، ليتم تحميل هذه الشيفرة منها آلياً إلى الأجهزة التي ستصيبها الدودة.

الأحد 10 أغسطس: "ميكروب" ينهي كتابة الشيفرة البرمجية ويطلق دودته Blaster إلى فضاء الإنترنت.

الاثنين 11 أغسطس: بعد حوالي 25 يوماً من انطلاق الفكرة، شركات مكافحة الفيروسات تعلن عن ظهور أول دودة تعتمد على ثغرة RPC عبر الإنترنت، تحمل الاسم MSBlast أو Blaster، وتصيب أنظمة ويندوز من خلال إرسال طلبات DCOM عبر بروتوكول RPC من خلال المنفذ 135، ثم تركب مزود TFTP على الجهاز المصاب، وتنزل شيفرة برمجية مدمرة من عدة مزودات TFTP، ثم تضيف مفتاحاً إلى سجل النظام (Registry) يسمح للدودة بتحميل ذاتها عند إعادة إقلاع الجهاز، لتبدأ في محاولة الانتشار.

الثلاثاء 12 أغسطس، 9:00 صباحاً: مركز CERT يقدّر إصابة 1.4 مليون جهاز بالدودة، وآلاف أنظمة ويندوز2000 وإكس بي وNT4 وServer 2003 تبدأ بالانهيار كلما تم تشغيلها نتيجة محاولة الدودة تنزيل الشيفرة البرمجية المدمرة الخاصة بأنظمة إكس بي على أجهزة تتضمن ويندوز2000 وبالعكس، وذلك من مزودات TFTP التي أنشأها "ميكروب".

الساعة 4 بعد الظهر: ازدياد الضغط على شبكة الإنترنت، وتوقف عدد كبير من المواقع عن العمل منها مواقع شركتي السيارات BMW وجنرال موتورز، ومصرف Nordea Bank الذي أغلق 70 فرعاً من فروعه نتيجة الإصابة. وإصابة آلاف الشبكات المحلية ببطء شديد.

الخميس 14 أغسطس، 10:00 صباحاً: ظهرت دودتان جديدتان محورتان عن دودة Blaster تحت اسم Blaster.B وBlaster.C في آسيا، وظهور برنامج حصان طروادة تحت اسم RPCSpyBot وجميعها تعتمد على ثغرة بروتوكول RPC.

الجمعة 15 أغسطس، 9:00 صباحاً: مايكروسوفت تنجو بأعجوبة من هجمة موزعة لحجب الخدمة كانت ستنتج عن الأجهزة المصابة بدودة Blaster، وذلك نتيجة خطأ ارتكبه "ميكروب" في كتابة عنوان الموقع ضمن شيفرة الدودة ذاتها، ما أدى إلى توجيه الهجمات إلى عنوان غير موجود!

الساعة 11:00 صباحاً:"ميكروب" يندب حظه لأن التغطية الصحفية التي كان سينالها نتيجة تعطيل موقع مايكروسوفت لم تتحقق، ويبدأ بتغيير العنوان الخاطئ إلى عنوان موقع مايكروسوفت الصحيح، في ملفات msblast.exe الموجودة على المزودات التي يتم تحديث الدودة منها، لكن مايكروسوفت تداركت الأمر!

الأحد 17 أغسطس: "ميكروب" يشعر بالندم على الأضرار التي تسبب بها، ويقرر كتابة دودة جديدة "طيبة" لإصلاح الأجهزة التي أصيبت بدودة Blaster، من خلال تركيب الرقعة الأمنية اللازمة، وأن تبقى فعالة حتى شهر يناير 2004، لضمان تنظيف كل ما تصيبه دودة Blaster.

الاثنين 18 أغسطس: دودة Blast.D أو Nachi الطيبة تنتشر في الإنترنت، بهدف إصلاح الأجهزة التي تضررت من Blaster، وتسبب عوضاً عن ذلك، أضراراً جديدة بتخفيض سرعة الاتصال بالإنترنت، وشغل مزودات مايكروسوفت!

الثلاثاء 19 أغسطس، 9:00 صباحاً: ضغط صحفي كبير من صحافة تقنية المعلومات على مايكروسوفت، وتحميلها ذنب كل ما حدث بسبب رداءة أسلوب ترقيع منتجاتها أمنياً. ومايكروسوفت تعلن أن نظام الترقيع لا تشوبه شائبة، لكنها تعلن في الآن ذاته أنها ستبدأ اختبار نظام ترقيع أمني آلي لبرامج أوفيس ومزود SQL ابتداء من شهر سبتمبر، على أن تطرح نظاماً شبيهاً لأنظمة ويندوز لاحقاً.
الساعة 6 مساء: مخترق آخر (أو مجموعة من المخترقين) أعجبته التغطية الصحفية التي نالتها دودة Blaster، فأطلق إصدارة جديدة من فيروس Sobig الشهير باسم Sobig.F ينتشر عبر البريد الإلكتروني وتنتهي فعاليته في 10 سبتمبر، ليتمكن من تحقيق لقب أسرع انتشار لفيروس حتى الآن!

الأربعاء 20 أغسطس: "ميكروب" يحاول التخلص من أية آثار تشير إلى أنه الذي كتب فيروس Blaster، ويعود إلى لعب Counter Strike مع أصدقائه!

النهاية
نؤكد لك أن المعلومات السابقة دقيقة، وقد سُرِدَت بالتسلسل الزمني الفعلي الذي وقع فعلاً، عدا قصة "ميكروب" التي أضيفت لبيان طريقة تفكير معظم مؤلفي الفيروسات. والأمر الجدير بالذكر هنا، هو أن هذه الهستيريا التي سبقت ورافقت انطلاق دودة Blaster، يرجح أنها ساهمت في إنشائه وانتشاره، ومن المرجح كذلك أنها دفعت المئات أو الآلاف من الأشخاص عبر العالم إلى تجربة كتابة فيروس أو اختراق الأنظمة عبر الإنترنت عبر ثغرة RPC بدافع الفضول أو بقصد التخريب.

إلا أن هذا الزخم الأمني الذي تصاعد عبر الإنترنت، والذي لم نشهده إلا نادراً (وقت انتشار فيروس الحب ومليسا وCodeRed ومرتين عند حدوث هجمات ضخمة موزعة لحجب الخدمة DDoS)، فتح النقاش حول ضعف نظام "ترقيع الثغرات الأمنية" الذي تتبعه شركات أنظمة التشغيل والبرمجيات، والذي يتطلب أن يقوم مئات ملايين المستخدمين بتنزيل الرقعة وتركيبها على أجهزتهم، وهو أمر يستحيل أن يتحقق بشكل كامل عبر العالم، حيث ستبقى ملايين الأجهزة بدون الرقعة الأمنية، وبالتالي يكون خطر وقوع الأضرار حتمياً.

ربما يكمن الحل في أن تُلزِم الشركات والحكومات مقدمي أنظمة التشغيل والبرمجيات في عقود الشراء بأن يؤمنوا نظام ترقيع تلقائي للمستخدمين عبر إنترنت. كما يمكن تعميم نظام "للترقيع الإجباري" بحيث تصبح مسؤولاً عن الأضرار التي قد يتسبب بها نظامك للأنظمة الأخرى، نتيجة عدم تركيبك الرقعة الأمنية على جهازك، تماماً كنظام تأمين السيارات الإجباري المعمول به في معظم دول العالم، والذي يجبرك بطريقة أو أخرى، على دفع تكاليف إصلاح جميع السيارات التي قد تصطدم بها، إذا ما تعطلت مكابح سيارتك فجأة نتيجة إهمالك. ويُرجح بعض المحللين أن أياً من هذه الحلول قد يكون كفيلاً بتقليص آثار الفيروسات والديدان، وبالتالي الخسائر الكبيرة، بشكل ملموس، وبصورة تفوق آلية "الترقيع عند الخطر" التي ساهمت في انتشار دودة Blaster وربما نشوئها من الأساس!

» سيرة حياة آدولف هتلر...... الجزء الأول .....
» سيرة حياة آدولف هتلر...... الجزء الثاني .....
» سيرة حياة آدولف هتلر...... الجزء الثالث .....
» فريق علماء يزعم إنجاز حياة اصطناعية......