هل نظامك بأمان ضروري أدخل

هل نظامك في أمان عند اتصالك بإنترنت؟

يرِد إلينا كثيراً، السؤال التالي من مستخدمي إنترنت: هل تتعرض البيانات المحفوظة في جهازي للخطر، عند تصفحي إنترنت؟

كنا نتمنى أن تكون الإجابة بالنفي معظم الأحيان، والقول أنه لا توجد حاجة لكل هذا القلق.. لكن الحقيقة، للأسف، هي أنك عند الاتصال بإنترنت، ترتبط بأكبر شبكة في العالم، يُسمَح فيها بتبادل البيانات، من نظامك وإليه. وإذا لم تتقن "فن" حماية جهازك والبيانات التي يحتوي عليها، فإنه معرض دوماً، لعمليات البحث عن نقاط الضعف فيه، وإيجاد أفضل الطرق لاختراقه، فتكون بياناتك معرضة حكماً، للخطر، بل ومن المحتمل أن شخصاً يحاول العبث في جهازك، خلال قراءتك هذه السطور!

توجد طرق كثيرة، يمكن أن يستغلها شخص، ذو أهداف خبيثة، للوصول إلى نظامك والبيانات التي يتضمنها. فمن المعروف، مثلاً، أن نظامك معرض لدرجة كبيرة من التخريب، عند تشغيل أي شيفرة أو ملف تشغيلي (executable)، يتم جلبها من إنترنت، خلال إبحارك فيها. وإذا قررت أنك تثق بمصدر هذا الملف، وقمت بتشغيله، فإنك تتحمل المسؤولية كاملاً!

وتتيح لك بعض الإصدارات الحديثة من متصفحات ويب، أن تحدد هيئاتٍ من الملفات والشيفرات، التي ترغب في السماح للمتصفح بجلبها، وهيئات أخرى ترغب في أن يمنع المتصفح جلبها إلى نظامك. ويمكن أن تتم عمليات قبول، أو رفض، الملفات، إما بشكل دائم، أو بصورة آنية، لدى جلب كل ملف. لكن تحسينات تضاف باستمرار، إلى الكائنات البرمجية التي تجلبها المتصفحات من إنترنت، لذا يمكن أن يؤدي تعيين الخيارات الأمنية للمتصفح على أقصى حد لها، إلى عدم تمكنك من الاستفادة من هذه الكائنات، وإلى عدم إتمام عمليات تبادل البيانات بشكل سليم، خاصة مع المواقع التي تتطلب تبادلاً لبيانات مهمة. وتساعد سلطات منح الشهادات الرقمية (digital certificates)، على تحديد الجهات التي يمكن الوثوق بها، لكنك تبقى، على الرغم من ذلك، معرضاً لبعض المخاطر.

ويتبع بعض المخترقين ذو الأهداف التخريبية، أساليب خفية أكثر دهاءً من مجرد تحميل الشيفرات أو الملفات إلى نظامك. وتعتمد هذه الأساليب، عادةً، على إحدى طريقتين:

-يمكن أن يستفيد المخترق من تفعيلك خيارات "مشاركة في الملفات والطباعة" (File and Print Sharing)، الموجودة في "لوحة التحكم" (Control Panel)، أثناء الاتصال بإنترنت. ويمكن أن نشبه تفعيل هذا الخيار بتركك باب بيتك مفتوحاً، ووضع ثروتك داخل المنزل، على بعد خطوات من الباب!

يمكنك أن تُبقي خيارات المشاركة في الملفات والطباعة فعالة، وأن تحمي هذه الموارد بكلمة سر، إذا كانت هذه الميزة مهمة بالنسبة لعملك. ولن يحميك هذا الإجراء تماماً من محاولات الاختراق، لكنه سيزيد فقط، من صعوبة اختراق جهازك.

-تقوم الطريقة الثانية، التي يكثر استخدامها من قبل المخترقين، على استخدام برنامج باب خلفي (backdoor)، مثل برنامجي Back Orifice، وNetBus الشهيرين. وتثّبت هذه البرامج ذاتها على نظامك، بالطريقة ذاتها، التي تتبعها الفيروسات من فئة "حصان طروادة"، وذلك بأن يضمّنها المخترق، كملفات مرفقة (attachment) ضمن رسالة بريد إلكتروني، أو أن يتم وضعها في موقع إنترنت، ووصفها بأنها برامج مفيدة، في محاولة لخداع زوار الصفحة، لجلب هذه البرامج، وتثبيتها على أنظمتهم. ويبقى هذا النوع من البرامج ساكناً في نظامك، عند إتمام عملية التثبيت، إلى أن يحاول المخترق إجراء اتصال من خلاله، حيث يتيح له الوصول عن بعد، إلى كافة أجزاء النظام.

لا يتنبه الكثير من المستخدمين إلى ضرورة إلغاء فعالية خيارات "مشاركة في الملفات والطباعة" عند عدم استخدامه، لذا أضافت شركة مايكروسوفت برنامجاً يتحرى فعالية هذا الخيار تلقائياً، في الإصدارات الحديثة من أنظمة التشغيل التي تصدرها. وينبه هذا البرنامج المستخدم إلى ضرورة إلغاء هذا الخيار، عند عدم استخدامه، إذا كان فعالاً. وعلى الرغم من وجود هذا الإجراء الذكي، إلا أن معظم المستخدمين لم يسمعوا به من قبل، لذا سيُبقيه قسم كبير منهم، فعالاً.

يعتمد المخترقون، الذين يرسلون برامج الباب الخلفي كملفات مرفقة بالبريد الإلكتروني، على "سذاجة" بعض المستخدمين، الذين يعتقدون أن برنامجاً مرفقاً باسم (runme.exe)، هو برنامج آمن، خاصةً إذا كانت الرسالة قادمة، مثلاً، من شخص يدّعي أنه مدير الشبكة، أو خبير تقني، ويقدم لك هذا البرنامج على أنه برنامج لمضاعفة سرعة اتصالك بإنترنت! وحتى إذا كان مصدر الرسالة شخصاً موثوقاً، كقريب أو صديق مقرب، فلا يمكنك التأكد من المصدر الأصلي للملف المرفق.

ما هو الحل إذاً؟ وكيف يمكن أن أحمي جهازي؟

أولى الخطوات، هي إزالة فعالية خيارات "مشاركة في الملفات والطباعة". وننصحك بتثبيت برنامج مضاد للفيروسات، وتحديثه من الشركة المنتجة خلال فترات متقاربة. وتأكد من تحديد إعدادات المتصفح، بحيث لا يسمح بجلب البرامج غير الموقّعة من شركات موثوقة، وتأكد من وجود شهادات رقمية موثقة قبل جلب هذه البرامج. وتذكر ألا تشغل أي ملف مرفق ضمن أي رسالة بريد إلكتروني، مهما كان مصدرها، إلا بعد أن تفحصها باستخدام برنامج مضاد للفيروسات، بشرط أن يكون مصدر الرسالة معروفاً، أو أن تكون تتوقع وصول هذا الملف. وعليك، باختصار، أن تضع سداً منيعاً أمام أي برنامج يصل إلى جهازك، وأن تجعله يمر في فحص قبول مشدد، قبل أن تسمح له بالدخول!

ويكون لإلغاء فعالية خيارات "مشاركة في الملفات والطباعة"، أهمية أكبر، إذا كنت تستخدم جهاز مودم كبلي (cable modem). فإذا تركت الخيارات فعالةً في هذه الحالة، ستجعل جهازك ظاهراً لكل من يتصفح الشبكة، ضمن النطاق الذي ترتبط به. ويكفي عندها، أن ينقر أي شخص على أيقونة "جوار شبكة الاتصال" (Network Neighborhood)، ليتمكن من عرض الملفات الموجودة على جهازك. وسيكون هذا الأمر مغرياً لكثير من المرتبطين بهذا النطاق، للتلصص على الملفات التي تحتفظ بها، بما في ذلك بعض المقربين إليك!

يتمنى كثير من المستخدمين، أن يراقبوا كل بت ينتقل بين أنظمتهم وإنترنت. وهذا، في الواقع، هو الحل الوحيد للتعرف على محاولات الاختراق التي تجري، وهو ما تقوم به برامج تحري وجود محاولات الاختراق، والحماية منها. ويعتبر برنامج BlackICE Defender http://www.networkice.com، الذي يبلغ ثمنه 39.95 دولار، أحد أفضل هذه البرامج، حيث يعلمك بوجود محاولة لاختراق جهازك لحظة حدوثها. وستتعرف، بعد استخدام هذا النوع من البرامج، على عدد من المشاكل التي يمكن أن تتعرض لها، بسبب اتصالك بإنترنت، كما أنها تضعك وجهاً لوجه، مع المخترقين.

يمكن وصف برنامج BlackICE، بأنه نظام شخصي للتحري عن وجود محاولات اختراق عبر إنترنت، والتعريف بمصدر هذه المحاولات، واتخاذ الاجراءات المضادة، حيث يراقب جميع عمليات نقل البيانات التي تقوم بها البروتوكولات من وإلى جهاز الكمبيوتر الشخصي، ويجمع هذه البيانات، ويعرضها (كما هو موضح في الشكل 2). ولا يتطلب هذا البرنامج من المستخدم أن يبرمج قواعد معقدة، تحدد له طريقة عمله. ولا يتطلب كذلك، معرفة المستخدم طرق التعامل مع منافذ بروتوكول TCP/IP، أو أنواع الرزم (packets) التي يتم تبادلها عبر ويب. فقد بنى مصممو البرنامج قاعدة معرفة، تتضمن أكثر من 200 أسلوب يتبعه المخترقون في محاولاتهم، بما في ذلك جميع الطرق الشائعة في الوقت الحالي، وصمموا البرنامج بحيث يصد المحاولات التي تستخدم جميع هذه الأساليب. ولا يطلب من المستخدم، سوى تحديد مستوى الأمان الذي يريده (كما يوضح الشكل 3).

اختبرنا البرنامج لعدة أسابيع، على جهاز يتضمن جهاز مودم عادي، يعتمد على مقاييس V.90، عبر شبكة الطلب الهاتفي (Dial-up). واكتشف البرنامج خلال عمله، عدداً كبيراً من محاولات الاختراق، التي كان يتم معظمها المحاولات، بأساليب انتظار الرد (ping)، أو السبر (probe)، التي يجريها المخترقون بحثاً عن وجود برامج "باب خلفي" مثبتة في النظام. وأدى احتواء برنامج BlackICE على مكونات تسمح بتعريف مصدر المحاولات، إلى جمع معلومات مثيرة عن محاولي الاختراق!

يكشف البرنامج عناوين IP، وأسماء DNS لمحاولات الاختراق التي تتم، مصنفةً حسب نوعها. ويحاول البرنامج كذلك، التوصل إلى اسم العقدة (أو اسم الكمبيوتر)، واسم مجموعة العمل، واسم نظام NetBIOS المستخدم، من قبل الجهة التي تحاول الاختراق، إذا أمكن ذلك. ويوضح الشكل (4) إحدى هذه المحاولات التي تم كشفها، لمخترق يسمي نفسه (Killer). وتشكل هذه المعلومات أدلة في غاية الأهمية، بالنسبة إلى خبراء أمن الشبكات، للتوصل إلى من يحاول الدخول إلى الأنظمة.

بدأنا عملية كشف محاولة الاختراق، بمحاولة التعرف على مزود خدمة إنترنت الذي يتصل المخترق من خلاله. ويوضح برنامج BlackICE، اسم النطاق (as.wcom.net)، الذي يمكن التعرف عليه من اسم DNS الخاص بهذا المخترق (lon-c45-017-vty41.as.wcom.net). وإذا رغبت في التعرف على مقدم خدمة إنترنت الذي يتصل المخترق من خلاله، ادخل إلى موقع (www.nsi.com)، وابحث، بواسطة خدمة WhoIs، عن عنوان IP الذي تعرف عليه البرنامج. ويمكنك كذلك، إدخال اسم النطاق الخاص بالمخترق عوضاً عن عنوان IP، وذلك بإدخال كلمة domain قبل اسم النطاق، كما يلي: (domain as.wcom.net). واستطعنا بهذه الطريقة، التعرف على أن المخترق مشترك مع مقدم خدمة إنترنت (MCI WorldCom).

تقدم عدد من الجهات، خدمة WhoIs، التي تتطلب وجود مزود قاعدة بيانات يتضمن معلومات عن أسماء النطاقات والمعلومات المتعلقة بها. وتوجد عدة جهات تقدم خدمة WhoIs، تختص بعضها، مثلاً، بالولايات المتحدة، وأخرى بأوروبا، وغيرها بالنطاقات العسكرية، بالإضافة إلى العديد غيرها. وتمكنّا من الكشف عن هوية المخترق في حالتنا، بإدخال رقم IP الخاص به، في خدمة WhoIs تتضمن قاعدة بيانات خاصة بالنطاقات الأوروبية. ويعني هذا أنك قد تحتاج إلى عدد من عمليات البحث.

لجأنا بعد ذلك، إلى شركة (MCI WorldCom)، التي تقدم خدمة إنترنت للمخترق، ووحدة أمن المعلومات (UUnet)، وقدمنا لهما المعلومات التي كشفها البرنامج في الشكل (4). وقارنت الشركتان هذه المعلومات بمعلومات مسجلة لديها ضمن ملف الحركة (traffic log file)، وتمكنتا بعد محاولات جاهدة، من التوصل إلى أن نقاط الاتصال التي تمت محاولات الاختراق عبرها، تقع في كل من إسبانيا وإيطاليا، حيث تمكن المخترق في الحالتين، من الاتصال بشكل غير قانوني، عبر حساب فعلي يملكه شخص آخر، ومسجل لدى مقدم خدمة إنترنت. وربما تمكن المخترق من السيطرة على هذين الحسابين، عن طريق خداع المالكين الحقيقيين، وإقناعهما بكشف كلمة السر، لذا وضحت المعلومات التي كشفها برنامج BlackICE، أن عمليات انتظار الرد (ping)، أو السبر (probe) التي حاول المخترق من خلالها كشف وجود برامج مثبتة، تسمح له اختراق النظام، تمت عبر حسابي إنترنت الشرعيين، السابقين.

واتصلت شركة MCI WorldCom المقدمة لخدمة إنترنت، في هذه الحالة، مع مالكي حسابي إنترنت السابقين، وأعلمتهما بوجود المشكلة، ثم ألغت الحسابين تماماً، وأعادت تعيين حسابين جديدين لهما. ويكون المخترق المدعو Killer، قد ألقي به بذلك، خارج نطاق إنترنت، مؤقتاً على الأقل، إلا إذا كان استولى على حسابات إنترنت أخرى!

لم نتمكن من التأكد إذا ما كان الشخص الذي يستخدم عقدة الشبكة المسماة Killer، مجرد مراهق يتسلى بالاعتداء على خصوصية الغير، أم أنه هاكر محترف، لكننا متأكدون، كما هو الحال بالنسبة للجميع، أننا لا نرغب في وصول هذا الشخص أو غيره، إلى أجهزتنا!

والأمر المثير، والمرعب في آن واحد، في قصتنا هذه، هو أننا لم نكن لنعلم بوجود المحاولات التي قام بها Killer، وغيرها من المحاولات التي كشفناها، لولا وجود برنامج مثل BlackICE. ويؤكد هذا الأمر على أهمية هذا النوع الجديد من البرامج، التي بدأت تنتشر بكثرة عبر إنترنت، والتي تختص بكشف ومنع حدوث عمليات الاختراق في الحواسيب الشخصية، والتي لم تعد مقتصرة على مزودات الشركات الكبرى، لذا ننصحك بالتفكير جدياً، باقتناء مثل هذه البرامج.