البرامج المؤذية - Harmful Software :
الاختراق ليس إلا احد أنواع التدمير الممكنة عبر البرامج المؤذية ، لذلك فالمخاطر التي يتعرض لها مستخدم الكمبيوتر العادي تتنوع بتنوع واختلاف البرامج المؤذية وإمكاناتها وإن كان الاختراق هو أخطرها وأبرزها.
المخاطر و أنواع البرامج المؤذية:
تتراوح المخاطر التي يتعرض لها المستخدم من مجرد إزعاج بسيط إلي مستوى الكارثة وقد صنف المؤلفين الثلاثة هذه المخاطر إلي أربعة أصناف:
1- القنابل وبرامج الطوفان Flooders/Bombers حيث يفاجأ المستخدم بوجود مئات الرسائل في عنوانه الالكتروني أو عبر برنامج الـ ICQ من أشخاص وعناوين لم يسمع بهم من قبل وهذا الصنف من المخاطر هو الأقل خطورة حيث انه يسبب إزعاجا ومضيعا للوقت لا أكثر .
2- الخداع Spoofing وهو عملية تمويه وطمس للهويه حيث تتم سرقة حساب الدخول للانترنت باسم المستخدم فيجد ساعاته تنقص دون أن يستخدمها أو يتم من خلاله سرقة كلمة السر في ساحات الحوار فتكتب مقالات لم يكتبها في حقيقة الأمر المستخدم الحقيقي.
3- التدمير من خلال برامج الـ Nukers تقوم هذه البرامج بتعطيل نظام التشغيل ويتراوح خطرها بين تغيير الوقت بساعة النظام وبين توقف النظام كليا عن العمل وتوجد أنواع منها تركز على برنامج معين لتدميره دون إلحاق الضرر بنظام التشغيل ذاته.
4- الباب الخلفي Backdoor هذا الصنف هو الأخطر وهو المحور الذي يدور حوله موضوعنا ، وهو الشائع بين كل المخترقين لأنه يجعل المخترق قادرا على الدخول لجهاز الضحية والسيطرة عليه كليا أو جزئيا بحسب البرنامج المستخدم . البعض يظن خطأ بأن الـ Backdoor اسم برنامج للاختراق ولكنه تعبير مجازي ويعني بالعربية الدخول من الباب الخلفي الغير مرئي وعن طريقة يتم دخول المخترقين لجهاز الضحية .
أشهر برامج الاختراق وكيفية عمل كل منها:
كثيرة هي برامج الاختراق ومتعددة ولكن هناك نظرية سائدة تشمل الجانب النفسي للمخترقين وهي البساطة في التعامل مع برنامج الاختراق والحصول على ما خف وزنه وغلاء ثمنه من جهاز الضحية Easy to Go ، وبمعنى أخر فأن المخترق لا يرغب في برنامج معقد يأخذ كثيرا من الوقت في تعلمه وكذلك لا يرغب بعد تعلم البرنامج و إتقانه الدخول إلي جهاز خاوي لا سمن فيه ولا عسل . لهذا السبب نجد بأن هناك ثلاثة برامج شهيرة ومعروفة يستخدمها المخترقون في كل أرجاء المعمورة لبساطة تعلمها وسهولة إتقانها وفي نفس الوقت خطورة ما تقوم به . هذه البرامج الثلاث سأشرحها بالتفصيل مركزا على ثلاثة عوامل فيهم (1) إمكانات كل برنامج (2) كيفية اكتشافه في الأجهزة (3) كيفية التخلص منه وجعل المخترق يجري خلف سراب .
برامج الاختراق المتداولة:
هذه قائمة بأشهر البرامج المتداولة مرتبة حسب خطورتها ، وسأكتفي بشرح الثلاثة الأولى منها لشهرتها وتداولها بين المخترقين في أرجاء المعمورة قاطبة:
Net Bus
Back Orifice
Sub Seven
Hack a Tack
Master Paradise
Deep Throat
Girl Friend
Net Sphere
Win Crash
Big Cluck
Executer
برنامج الـ Net Bus :
تمكن مبرمج سويدي اسمه كارل نيكتر في عام 1998 من إصدار نسخة تجريبية تعمل على الويندوز 95 من برنامج لم يطلق عليه اسما وقتها . ذلك البرنامج يمكن مستخدمه من تشغيله بواسطة كمبيوتر بعيد (ريموت) ,هذا البرنامج سماه اتوبيس الشبكة Net Bus صدرت بعد ذلك نسخ عديدة منه اذكر منها نسخة 1.6 و 1.7 و Net Bus Pro وأخيرا Net Bus 2000 .
إمكانات برنامج Net Bus : يسمح البرنامج لأي شخص بالسيطرة على جهاز الضحية عن بعد (ريموت) بالشكل التالي:
1- عرض صورة مفاجئة على شاشة الضحية أو تغيير إعدادات الشاشة دون تدخل من المستخدم
2- استبدال مفاتيح الماوس الأيمن والأيسر
3- تشغيل برنامج معين بصورة مفاجئة
4- فتح و غلق باب سواقة الـ CD تلقائيا دون تدخل من المستخدم
5- عزف أي ملف صوتي فجأه
6- وضع مؤشر الماوس في نطاق معين من الشاشة لا يستطيع المستخدم أن يتعداه
7- تحريك مؤشر الماوس دون أن يفعل ذلك المستخدم الأصلي
8- عرض رسالة قصيرة على الشاشة تختفي فجأة أو تبقى معلقة دائما بالشاشة لا يستطيع المستخدم التخلص منها.
9- قفل وإعادة تشغيل الجهاز Rebooting بطريقة مفاجئة
10- الذهاب إلي موقع معين على الويب
11- التجسس على المستخدم ورؤية أية كلمات يكتبها
12- التقاط صور لسطح المكتب عن بعد
13- إرسال معلومات لكومبيوتر المخترق عبر برنامج الباتش المزروع بجهاز الضحية
14- عرض محتويات القرص الصلب بالكامل عن بعد
15- إنزال downloading أي ملف من جهاز الضحية لجهاز المخترق
16- تحميل upload أي ملف من جهاز المخترق لجهاز الضحية
17- التحكم في علو وانخفاض الصوت
18- في حالة ارتباط مايكروفون بجهاز الضحية فيمكن للمخترق الاستماع لما يدور من حديث بالغرفة المتواجد بها جهاز الضحية
19- حذف أي ملف من القرص الصلب عن بعد
20- إلغاء disable عمل مفاتيح معينه من لوحة المفاتيح
21- إقفال أي نافذة من النوافذ المفتوحة بشاشة الضحية
22- فتح نوافذ معينه بطريقة مفاجئة
23- إضافة كلمة سر لجهاز الضحية تمنعه من الدخول لجهازه
24- تغيير أو حذف كلمات السر الخاصة بالضحية واستبدالها بكلمات أخرى
25- تغيير إعدادات النظام بالجهاز الخاص بالضحية كل هذه الوظائف السابقة يمكن لأي مخترق لديه هذا البرنامج أو أي برنامج للاختراقات مع اختلاف قدراتها أن يستخدمها على كمبيوتر الضحية المزروع به الملف الخادم (ملف الباتش).
قد يسبب ما ذكرت أعلاه شئ من الخوف أو الوسوسة لمن ظهر في جهازه احد أو بعض الأعراض المذكورة ولكني انصحه أن لا يستعجل الأمور وقبل اتخاذه لأي قرار عليه أولا الكشف على جهازه والبحث عن أي ملف تجسسي مزروع به . هذا من جانب ، أما جانب أخر فأن المخترق لكي يتمكن من الاختراق عليه الدخول من احد المنافذ ports والبرامج المضادة للمخترقين كفيلة بإغلاق تلك المنافذ في وجه المخترق ولكن حتى نقطع الطريق هنا على المخترق فإليكم طريقة فذة لاكتشاف المنافذ المفتوحة وإغلاقها بطريقة يدوية من خلال الويندوز ويجب تنفيذ هذا الأجراء إثناء الاتصال بالانترنت online :
1- من قائمة إبداء اختر تشغيل
2- عند ظهور مربع الحوار الخاص بتنفيذ الأوامر اكتب Command
3- سيظهر لك إطار نظام التشغيل دوس وفي داخل الإطار وأمام خانة المؤشر اكتب : netstat-a ثم اضغط Enter
4- عند تنفيذ الخطوة السابقة سيتم عرض جميع المنافذ المفتوحة بجهازك وهي التي تلي الرمز (: ) مباشرة ، أما ما قبل الرمز فهو اسم الكمبيوتر الخاص بك الذي تم تعريفه عند تجهيز شبكة الاتصال .
5- والآن قارن أرقام المنافذ التي ظهرت لك مع أرقام المنافذ التالية وهي المنافذ التي يفتحها في العادة ملف التجسس (الباتش) لبرنامج الـ Net Bus فإن وجدت رقم المنفذ ضمنها فإن جهازك قد أخترق وعليك في هذه الحالة التخلص أولا من ملف التجسس ثم إغلاق المنفذ المفتوح, منافذ Ports دخول برنامج Net Bus :
20034
1045
4590
6711
7300
7301
7306
7303
7308
30029
30100
30101
30102
31337
31338
31339
التخلص من برنامج Net Bus وإغلاق منافذه المفتوحة:
الرابط الرئيسي بين كمبيوتر المخترق وكمبيوتر الضحية هو ملف التجسس المزروع بالأخير ومتى ما تم تحديده والتخلص منه قطعت عليه سبل التجسس إما المنافذ التي فتحت فهي جزء من الذاكرة يتعرف عليها الجهاز بأنها منطقة اتصال ومتى ما تم حذف ملف التجسس (الباتش) فأن الويندوز يعيد إغلاق تلك المنافذ عقب إعادة تشغيل الجهاز لأن مصدرها (ملف الباتش) قد قضي عليه.
برنامج Black Orifice :
الفجوة السوداء ثاني أشهر برنامج للاختراق وأقدمها يعطي سيطرة كاملة للمخترق وابرز إصدارته السابقة يحمل النسخة رقم 1.2 وقد أصدرت الجمعية التي تصدره وأسمها "جمعية البقرة الميتة" Cult of Death Cow إعلانا بإطلاق إصدارات جديدة منه في نهاية الصيف السابق سمته Black Orifice 2000 . يقوم البرنامج كما ذكرنا بإعطاء سيطرة كاملة للمخترق وتظهر بجهاز الضحية نفس الأعراض التي ذكرتها سابقا .
البحث عن منافذ دخول هذا البرنامج:
قم بأجراء البحث عن المنافذ كما تم شرحه أعلاه التي عادة يدخل منها برنامج الـفجوة السوداء وقارنها بالمنافذ في القائمة أدناه فإن وجدتها من ضمن هذه القائمة فأن جهازك يكون قد اخترق عن طريق هذا البرنامج:
31338
31337
31666
54320
54321
اكتشاف ملف التجسس الخاص بهذا البرنامج:
قم بنفس الأجراء الذي شرحته سابقا للكشف عن ملف الباتش وبعد الدخول لملف تسجيل الويندوز توقف عند Current Version . الآن أنقر على المجلد RunServices وابحث عن أي ملف غريب بجهازك له امتداد exe ( أنت اعرف بجهازك من الآخرين) . إن وجدت أي ملف غريب لم تشاهده بجهازك من قبل فأنقر عليه بزر الماوس الأيمن ثم احذفه واخرج من ملف تسجيل الويندوز . اعد تشغيل الجهاز وتوجه إلي مجلد الـ System في إعدادات بقائمة إبداء. الآن ابحث عن ملف يحمل نفس اسم الملف الغريب الذي حذفته وإذا لم تجده فأنقر قائمة (عرض) ثم ( خيارات المجلد) ثم (عرض) من قائمة الملفات المختفية ثم ضع علامة على (اظهار جميع الملفات) ثم انقر تطبيق فموافق. ستعود مرة اخرى الي مجلد System فإذا وجدت الملف المطلوب فقم بمسحة وستجد ملفا أخر اسمه windll.dll قم بحذفه هو أيضا واعد تشغيل الجهاز . الآن تكون قد قطعت الطريق على المخترق وجعلته يبحث عن سراب.
برنامج Sub Seven :
من أشهر البرامج المستخدمة بمنطقة الخليج ، يدعى "القنبله" وهو مرغوب ومطلوب وشعبي لبساطته وسهولة تعلمه وسهولة الاختراق عن طريقة . يتميز بمخادعة الشخص الذي يحاول إزالته فهو يعيد تركيب نفسه تلقائيا بعد حذفه من ملف التسجيل بالويندوز بالطرق الثلاث التي ذكرتها سابقا ولكن هناك طريقة جديدة وخارقه لحذفه سأشرحها لاحقا.
قبل شرح إعراض الإصابة التي يتركها هذا البرنامج بجهاز الضحية تأكد أولا من عدم فتح منافذ الاتصال الخاصة به في جهازك بنفس الطريقة السابقة وقارنها بالمنافذ التالية فإن وجدتها فأن جهازك حتما مصاب وعليك متابعة الموضوع للتخلص من المخترق:
6711
6776
1243
1999
أعراض الإصابة :
تختلف إعراض اصابه هذا البرنامج عن البرنامجين السابقين فمن أهم أعراض اصابه هذا البرنامج ظهور رسالة شهيرة عند كل مرة يدخل فيها المخترق لجهاز الضحية وهي ( قام هذا البرنامج بانجاز عملية غير شرعيه ....) !! تريثوا .. لا يعني من رأى منكم هذه الرسالة على شاشته أن جهازه قد اخترق .. قلنا بأن في هذا البرنامج الكثير من الخبث مما جعله مرغوبا خصوصا بمنطقة الخليج ، فهو حينما يعطي رسالة كهذه إنما يوهم المخترق بـأن هذه الرسالة شائعة ومعروفه ومن تظهر له فقد تعود عليها فلن يشك مطلقا قبل قراءة هذه الأسطر في أن جهازه قد اخترق . كيف نميز بين الرسالة الصادقة البريئة والرسالة الكاذبة الخبيثة؟؟
1- افتح ملف الـ win.ini الموجود بمجلد الويندوز وابحث في بداية السطور الأولى عن أي قيم شبيهة بالقيم التاليه:
run = xxxx.exe او run = xxxx.dl
load = xxxx.exe او load = xxxx.dl
لاحظ أن xxxx تعني اسم الخادم فإذا عثرت على أي قيمة منها فأحذفها فورا وبمعنى أخر يجب أن لا يظهر أي سطر من السطور أعلاه في بداية السطور الأولى لملف الـ win.ini فإن ظهر فأحذفه على الفور.
2- افتح الملف system.ini الموجود بمجلد الويندوز وستجد بالسطر الخامس العبارة التالية :
Shell = Explorer.exe
إن كان جهازك مصابا فستجد شكل العبارة السابقة يكون هكذا:
Shell = Explorer.exe xxx.exe او shell = Explorer.exe xxx.exe
مع العلم بأن xxx هو اسم الخادم زمن أشهر اسمائة : rundlll6.exe و Task_Bar.exe أن وجدت جهازك مصابا فقم بمسح اسم الخادم فقط ليصبح السطر كما يلي :
shell=Explorer.exe
و الآن أنت تكون قد قطعت الطريق بين ملف التجسس واسم الخادم الخاص به ونشبه ذلك بمن قطع جهاز التنفس عن المريض فلا يبقى إلا دفنه وعليك القيام بحذف ملف التجسس الخاص بهذا البرنامج كما تم شرحه سابقا . وبعد فكما رأينا خطورة الاختراق فإن الوقاية خير من العلاج والوقاية الأولى هي عدم السماح بزرع ملفات التجسس في أجهزتنا فهي حلقة الوصل الأولى لدخول المخترقين إليها .
مع التطور المستمر لطرق وأساليب الاختراق ، كان لزاما أن تتطور في مقابلها وسائل وطرق للحماية. ولأهمية هذا الموضوع بالنسبة للمسؤولين عن الأنظمة والمزودات فقد كان الاهتمام بأمن وحماية المزودات من المخاطر الأمنية كبير جدا ولا تخلوا اليوم شركة من قسم يختص بأمن وسلامة المعلومات .
ولكن في المقابل حينما نتحدث عن حماية الأجهزة الشخصية- وهو المحور الرئيسي لهذه الدورة الدراسية- نجد بأن هناك قصورا كبيرا من المستخدمين في حماية أجهزتهم و هو عامل أصبح لزاما على كل المستخدمين إدراكه من خلال ما تم شرحه سابقا .
وقد انتشرت برامج الحماية والبرامج المضادة للاختراقات انتشارا كبيرا قد يصاب معه المستخدم بالحيرة فيما يختاره منها خصوصا إذا ما أدركنا بأن بعض – وليس كل تلك البرامج- تقوم هي ذاتها بأنشطه تجسسية لصالح الشركة المصنعة لها ولكنه لا يكون سواء تجسس إحصائي لمعرفة عدد المستخدمين للبرنامج المذكور ، أما ما نسمعه من وجود برامج للحماية تقوم تلقائيا بفتح منافذ معينه بالأجهزة فأن هذا لم يثبت بعد في تقارير رسمية والشركات تدرك اليوم بأن المستخدم العادي وفي أي بلد كان على جانب كبير من الوعي الذي يؤهله لاكتشاف الثغرات الأمنية بالبرنامج – إن وجدت- وشركات كتلك تهمها السمعة أولا وأخيرا لأن ذلك يتوقف عليه نجاحها في السوق وبالتالي مكسبها وخسارتها
.