اشكالات في الرد على عمليات الإختراق

ادارة الاعمال تتطلب مجهود تكاملي من عدة فرق. امن المعلومات لاعب مهم في تسهيل الاعمال او تحويلها الى خطوات معقدة وبمنهجية يصعب حلها او تفكيكها. كما ان الاعمال تتطلب ربحية عالية، امن المعلومات يتطلب عملية تأقلم عالية لمواكبة التغيير المستمر حتى لا يتحول الى عملية تحويل النجاح الى فشل غير قابل للحل.

 

يخطيء كثير من المتخصصين في تبني المنهجيات المعلبة من الموردين، والذي قد يضع ادارة الاعمال بحد ذاتها في مخاطر، على امن المعلومات مسؤولية الحماية الشاملة للمخاطر المتعلقة بالاعمال مع تسهيل ادارة الاعمال. احد الامثلة الممكن قياسها على ما سبق في عمليات الاستجابة على الاختراقات الأمنية عملية عزل الأنظمة المعرضة للإختراق.

 

المنهجية لها عدة مصادر من ضمنها شركات تعمل في مجال امن المعلومات بشكل موسع ولها تغطية في مجالات الرد على الاختراقات ونشر التقارير المختصة كمثال بعض الشركات التي تقوم على نشر مخاطر الاختراقات الصفرية - 0 day.

 

المنهجية المفترضة تقوم على افتراض ان الاختراق اذا ما حصل، فإن افضل الاستجابة تكون في عدم احداث اي استجابة او رد حتى يتم جمع معلومات كافية عن المخترق وهدف الاختراق وجمع ما يكفي من المؤشرات لوضع شخصية اعتبارية للمخترق (Persona) ورسم معالم طرق الاختراقات السابقه مع ربطها في عوامل فريدة تخص المخترق لتمييزه عن مجموعات الاختراق الأخرى.

 

على الرغم من صحة الهدف المنشود، إلا ان لها اشكالات تكمن في عدة امور اهمها:

 

- الاشكال الاول ان عمليات الاختراق الصفرية المستهدفة تكون فردية على مستوى الاعمال بعينه، ولا يمكن لجهه معينه ان تعمل على جمع مؤشرات خارج اطارها المعني، بالتالي، تعجز المنهجية عن توفيراي فائدة اضافية من اطالة مدة الرد على الاختراق.

 

- الاشكال الثاني، ان جمع المؤشرات بشكل كافي يتطلب نفاذ ووصول الى جمع مؤشرات الاختراق على عدة جهات حتى يتم رسم صورة كافية عن الشخصية الاعتبارية للمخترق، وبالتالي تقييم المخترق واهدافة من عدة جهات وتأكيد طرق الاختراق والمؤشرات المعنيه.

 

-الاشكال الثالث، الاصول المهمة وعالية القيمة قد تكون هدف الاختراق، بالتالي، عملية السماح بالاختراق قد تؤدي الى وصول المخترق الى الهدف المنشود في البيئة الاقل نضجا.

 

 ومن المنصف القول ان عدم الرد له إشكالات فإن عزل الأصول المخترقة قد يشكل بعض الضرر كذلك، ولكن من منطلق ادارة اعمال قد يكون الانقطاع الجزئي عبر العزل المؤقت افضل بكثير من الوصول الى اصول داخلية ذات حساسية او قيمة عالية.

لذا يمكن القول ان التوصية العملية الاقل كلفة على المستوى الخاص بالمنشأة هو (الرد الفوري بالعزل للأصول حسب نوعية الاختراق) وفهم هدف الإختراق بما تم جمعه من معلومات اولية. 

هل علم الـ Threat Intelligence مهم؟ الطرق الإستخبارية لجمع المعلومات.

بسم الله الرحمن الرحيم..

خضت مؤخرا غمار شهادة الـ GIAC Cyber Threat Intelligence  وهذه التدوينة ملخص بسيط عن محتوياتها واهميتها ولماذا بالتحديد اخترت هذه الشهاده. تحتوى الماده على خمس كتب كالعاده وكتاب سادس للتطبيق العملي، هذه المره يوجد استثناء بحكم ان الماده جديده، اصدر تحديث لبعض المعلومات، فعددته كتاب سابع.

المميز الذي لا يشبه دورات اخرى هو محتوى الدورة، فهي بعيده نوعا ما من التدريب التقني الفني، وتعنى اكثر بالطرق الإستخبارية لجمع المعلومات والتصنيف واتخاذ القرار الأقرب للصحه عبر تحليل منطقي وممنهج.

يتدرج المحتوى من البداية بتعريف مفاهيم الاستخبارات، وفي اول صفحه يضع المؤلف نبذه بسيطه عن خبراته السابقة وهي مثيرة للإهتمام، وتعطى نبده عن كاتب المحتوى وخلفيته وتوجهاته. يعد المؤلف خبير وله سابق خبره في عالم الإستخبارات في cyberspace warfare operations officer in the U.S. intelligence community. كما انه خبير بأنظمة التحكم ونشر عدة تقارير لها علاقة بإختراقات نوعية مثل الإختراق لأنظمة اوكرانيا

لماذا؟

بدأ من 2010 الى الان اصدرت عدة تقارير تشرح اهم الإختراقات المتقدمة التي حدثت حول العالم مثل عملية Operation Aurora التي استهدفت قوقل مع عدة شركات ضخمة اخرى

كل الفهم كان مرتكز على العوامل التقنية مثل طريقة الاختراق، الثغرات المستخدمة، البنية التحتية للمهاجمين التي تم استخدامها..الخ

لم يكن جانب معرفة المتسبب ذا اهمية كبيرة، لاننا ظننا سابقا اننا بمعزل عن هذه الهجمات التي تحدث بين امم صناعية متقدمة (الصين و امريكا) (روسيا و امريكا) (اسرائيل و بقية العالم) (اسبانيا والبرازيل)، ;حتى هذه الأمم تعلمت لاحقاً انها تحت الإتهداف السبراني، فلما حدث في السعودية اختراقات متقدمة تغيرت نظرتنا نحن الى الأبد حول الامن السيبراني! 

بدأت شخصيا في السنوات الأخيرة تحليل التقارير المنشورة (APT reports)  من اغلب الشركات العالمية المعروفة والمشهورة بالعمليات الدفاعية الرصينة. لم يكن واضح وجلي كيف يتوصل هؤلاء الباحثون الي معرفة البلدان، وكيفية ربط الهجوم ببلد معين او مجموعة معينه. بدا لي ان لكل شركة طريقة مختلفة عن الأخرى، فوجدت ان بعض التقارير رصين ومحكم، وبعضها ركيك. وبعض من منتجي التقارير الركيكة شركات من ذوات الأسماء المميزة للأسف. فالمعيار ليس للأسماء -المميزة- في التحليل، وإنما في جدية التهديد الإلكتروني ولو كان منشوراً في تغريدة مغمورة او تدوينة لا يعلم عنها احد.

وبحكم تتابع الهجمات في اخر ثلاث سنوات، بدا جلياً ان السعودية مستهدفة بشكل غير مسبوق، وبدا لي ان العمل مترابط ومنسق بشكل لم يسبق له مثيل في تاريخ السعودية الحديث.

هذا كله مدعاه الى معرفة الطرق والأساليب الأكثر اعتمادية للوصول الى فهم كامل لهذه الهجمات وتحديد المتسبب ودوافعه وطرق الدفاع.

كما ان احد اسباب دراسة هذه الدورة والإطلاع بشكل مكثف على تقارير الإختراقات، المقدرة على التمييز بين الغث والسمين بشكل مبدئي. والتعامل مع الأهم فالأهم، وإلا فإن علامات الإختراق [IOCs] والتقارير تصدر اسبوعياً بالمئات والالاف! 

فإن كان هجوم معين موصوف في أحد التقارير بانه خطير ومهم للغاية،وجب علينا ان نتأكد قبل ان نستهلك طاقة وموارد قد لا تكون في مكانها الصحيح.

ايضا، تمكن المباديء الأساسية لهذه الدورة من فهم "الدافع" للمهاجم، فهذه النقطه قد لا تكون ذات اهتمام، ولكنها مهمة لأن بفهم دوافع المهاجمين قد تتغير استراتيجية الدفاع. فربما يفضل ان توقف الإختراق فوراً عند العلم به (يفضل هذا الخيارعلى مستوى المؤسسات والمنشئات الفردية) او قد تقرر ان تراقب تحركات المهاجم لجمع اكبر قدر من المعلومات لفهم الدوافع (يفضل هذا التوجه للمراكز الوطنية او للمنشات على مستوى الدولة او حتى الكيانات ذات التواجد الدولي الموزع).

فهم الدافع يغير استراتيجية الدفاع. واقل الإحسان ان فهم الدافع يمكن فرق التحليل من الحكم بشكل منطقي على التقارير المنشورة وأهميتها. ومعرفة مدى جدية شرح الهجمات  واسباب ربط هذه التقارير بدول  او مجموعات معينة. 

هل هذا العلم فعلاً مهم؟ وذو تأثير؟

قد تكون افضل طريقة لمعرفة أهمية هذا العلم هو ضرب الأمثلة. مؤخرا ومع اختيار ترامب رئيساً خرجت تقارير مختلفة من عدة وكالات امريكية ترشح ان لروسيا وبوتين دور في التأثير على الناخبين.

الجانب السياسي لوحده لا يعنينا في هذا الحدث، ما يعنينا هو ان الوكالات الأمريكية ومجتمع امن المعلومات هناك قد فصل ونشر تقارير عن اختراق احزاب دميقراطية (المنافس لترامب) كما ان بعض التقارير اوضحت ان هناك اختراقات لحسابات شخصية لرؤساء حملات انتخابية لهيلاري كلينتون. هذه الإختراقات اثرت على الجانب السياسي بل ودفعت الجميع (وكالات وشركات) الى القول ان الهدف كان التأثير على الناخب الأمريكي.

استطاعت هذه الشركات والتقارير الاثبات عبر التحليل والبناء لمختلف الفرضيات والربط التقني والسلوكي (وهو اساس هذه الدورة) ان المخترقين ليسوا إلا روسيا ومجموعات روسية، وكان الهدف من كل هذه الإختراقات هو دفع الناخبين لانتخاب ترامب!

الدب الفاخرFancy Bear :

هي مجموعة الإختراق المسؤولة عن التأثير في حملة ترامب، رُبطت بروسيا ولها عدة اسماء منها: Fancy Bear (also known as APT28, Pawn Storm, Sofacy Group, Sednit and STRONTIUM)

CrowdStrike قدمت تقرير يشرح الإختراق وربط هذه المجموعة بالإختراق المؤثر على انتخابات ترامب. وبالتحديد وجدت الشركة اختراقين متزامنين للروس في لجنة الإنتخابات الديمقراطيه، كل اختراق من جهة مختلفة عن الاخرى والاولى هي Main Directorate of the General Staff of the Russian Armed Forces - GRU و الثانية هي Federal Security Service of the Russian Federation

كيف يتم ربط الدول والمجموعات بالإختراقات؟
يتم هذا العمل عبر عدة مراحل، ولكل مرحلة تفصيل وشروح لا يتسع المجال هنا لشرحها كاملة، اهمها التالي:

1. سلسلة ايقاف الهجمات cyber kill chain
2.  نموذج الماسة Diamond model
3. استخدام Analysis of competing hypotheses

يتم استخدام السابق بعد جمع المعلومات التقنية من IOCs وليست فقط التقنية بل حتى السلوكية للمخترقين, بمعنى ان TTP وهي التقنيات، الاجراءات والادوات، المستخدمة من المهاجمين تختلف اختلافات قد تكون بتنوع كبير. استخدام اللغات في التحليل ايضا عامل مهم للتفريق. العوامل التي يتم تحديد فيها العلامات الفريدة لكل اختراق هي مهمة ومتعددة تبداً من تحليل بسيط الى عميق يصل الى هندسة عكسية كاملة لكل اجزاء الإختراق شاملة للاخطاء اللغوية في الكود البرمجي.

الصورة بالاعلى تمثل سلسة ايقاف الهجمات وفي كل خطوة يوجد اربع عوامل تتم ملاحظتها (هذه الاربع عوامل هي اركان نموذج الماسة للتحليل) وهي المخترق، القدرات، الضحية، البنية التحتية.

الاركان اليمنى، والاسفل واليسرى هي حقائق فقط لا تتحتمل الاحتمالات. بينما كقاعدة دائمة، المخترق هو عرضة للتقييم والتحليل عبر استخدام الـ Analysis of competing hypotheses


عودة لحملة الإختراق الروسية
تم تحليل اختراق اللجنة عبرثلاث شركات تجارية توصلت لـنتيجة واحدة، ان المجموعات تابعة لروسيا بلا مجال للشك. من ضمن الاخطاء خطاء لغوي في تسجيل نطاق تم استخدامه في التحكم والسيطرة، وهذا الإقتباس كما ذكر في مصدره :

"in late March the attackers registered a domain with a typo—misdepatrment[.]com—to look suspiciously like the company hired by the DNC to manage its network, MIS Department. They then linked this deceptive domain to a long-known APT 28 so-called X-Tunnel command-and-control IP address, 45.32.129[.]185."

https://motherboard.vice.com/en_us/article/4xa5g9/all-signs-point-to-russia-being-behind-the-dnc-hack

بالطبع بعد الإختراق وتدخل الشركات في اجهزة اللجنة الديمقراطية، عَرف المهاجمين انهم فُضحوا وانهم تحت المتابعة، بدأت بعدها التسريبات تصل لويكيليكس، ومن ضمن هذه الملفات ملف تم تسريبه تم تعديله بواسطة اللغة الروسية، اعتبر هذا دليل اخر على التدخل الروسي "Феликс Эдмундович," بعد تحليل هذا التعديل وُجِد ان هذا الاسم او الكود، تابع لاحد الشخصيات الروسية التي تعد من اوائل الروس الذين اسسوا الفرق التجسسية السوفييتية!

بعد عدد كبير اخر من الادلة التقنية و السلوكية التي تدل على هذه المجموعات، نشرت وكالات حكومية ان الاستنتاجات صحيحه وان الانتخابات فعلا تم التأثير عليها من قبل الروس! ونشرت في هذا بيانات وتقارير رسمية بعضها تم تصنيفه للعامه ويمكن الوصول له على الانترنت!

هذه الأمثلة لا تعنينا إلا في شيء واحد، هي الإجابة على السؤال مطلع التدوينة "هل هذا العلم فعلاً مهم؟ وذو تأثير؟"


اخيراً
نجد ان علم تصنيف التهديدات والاختراقات الالكترونية مهم للدول وللحكومات المختلفة بما فيها القطاع الخاص. حتى نستطيع ان نصل الى طرق واضحة نربط فيها الاعمال التخريبية و الاختراقات السبرانية بأدلة منطقية واضحة ومترابطه قادرة على معرفة ماذا حدث بدقة وتضع القرارات المناسبة التي تنسجم مع هذه التهديدات.

ليس هذا وحسب، بل عدم بناء هذه القدرات عاجلا او اجلا سيجعل الاهداف المرصودة من قبل العدو عرضه للاختراقات المتكررة. كما ان استثمار الوقت والجهد في التجهيز للتهديدات  الغير جديه هوانشغال عن التهديدات الجدية والواقعية التي قد تقع بلا تحوطات مسبقة!

لماذا نواجه صعوبة في منع الإختراقات؟

مرحبا،

نُشر تقرير مؤخرا مع بعض التقارير في الفترة السابقة توضح أن هناك #هجوم على عدة دول من ضمنها #تركيا و #السعودية ودول #الخليج. 

مراحل الإختراق

الاتهام موجه لايران، والهدف جمع اكبر قدر من المعلومات. فتقرير شركة FireEye مؤخرا المعنون بـ APT33 هو بالتحديد ما حدث من إختراقات عام 2016 و عام 2017 لأغلب القطاعات في السعودية. كما حلل المختصون بعض من هذه الهجمات وهي تتم عبر عدة مراحل:

١-اختراق شركة صغيرة وجعلها منصة للهجوم، الشركة غالباً لها بعض من الموثوقية مثل com.sa

٢-استخدام المرحله الاولى كمنصة لشركة اكبر، واختراقها بنفس الطريقة. وفي #هجمات هذه المرحله، تستخدم طريقتين: ١-عن طريق الماكرو ٢-عن طريق الجافا سكربت 3-صفحة تحتوى على اكواد PowerShell او اكواد اخرى مشفرة.

٣-يزرع شمعون او غيره من ادوات خبيثة، تُنفذ وتتصل بجهاز المستخدم بدون علمه.

كما لوحظ ان الهجمات تحدث بإستخدام الجافا، وتأثير هذا الاختراق اعلى لسهولته، وأُستخدم هذا النوع على الأقل مره واحده خلال عام 2017 في احد المؤسسات الحكومية عبر باكدور معروف بإسم NetWire ايضا تم إستخدام AgentTesla وكما أُستغل برنامج آخر بإسم NANOCORE و فيروس نيرون كما تم تحليله من ‏‏‏المجموعة السعودية لتحليل الاختراقات - Saudi Group for Incidents Response

لماذا نواجه صعوبة في منع هذه الإختراقات؟

 المختلف هو الضجيج الذي يُحدِثه المُخترِقين في المرحله الثانيه، وهي استهداف الجهات الكبيرة التي تملك مقومات كشفهم. يفصل بين كل مرحله واخرى ايام فقط وقد تطول الى أسابيع وشهور. تختلف طريقة المرحله ١ و ٢ غالبا، اما الثالثة ثابته من #شمعون ارامكو ٢٠١٢ للان! وصعوبة منع هذه الإختراقات يعود لعدة أسباب لعل اهمها: 

1-الاختراقات تستخدم ادوات  تستخدمها الأنظمة في صميمها. 

2-الاختراق على مرحلتين إن لم يكن ثلاثه. 

3-الإختراقات تستخدم الباورشيل، الجافاسكربت، وملفات word and excel كما تستخدم صفحات تم تلغيمها خادعه للمستخدمين. 4- تطور ادوات الإختراق بشكل لافت للنظر مثل ادوات اختراق الباورشيل ( PowerShell Empire and PowerSploit)، وادوات تشفير الباورشيل (Invoke Obfuscation)، ادوات خلق اكواد باورشيل في صفحات غير مكتشفة من قبل (Cobalt Strike)  وغيرها الكثير مما يصعب حصرها.

الاختراقات السابقة تمكن من اختراق كامل او جزئي كما قد تؤثرعلى بيانات العملاء سواء كانت منشئات حكومة او خاصة بما يشمل: معرفة بيتك، معاملاتك، ارقام جوالاتك، واتصالاتك ومراسلاتك الخاصة، اي معلومات عن الهوية الشخصية او البيانات المحفوظة عنك في القطاع الحكومي، ثم تخيل تم الوصول لبياناتك الموجودة في : شركة المياه، شركة الكهرباء، الاتصالات، بعض القطاعات الحكومية و الخاصة. النتيجة مخيفة للغايه!

لماذا نحن؟

نحن لسنا مختلفين عن الآخرين، بل إن استهدافنا المكثف بدأ متأخرا، فامريكا ايضا استُهدفت عبر شركة سوني المنتجة للافلام، استهدفتها كوريا الشماليه لانتاجها فلم the interview بفيروسات هزت مجتمع الحماية وأمن المعلومات. قُدمت بعض الإحصائيات مؤخرا من مركز الأمن الإلكتروني عن هذه الإختراقات التي ذكرت في تقارير الشركات الأمريكية عبر حسابها في تويتر https://twitter.com/NCSC_SA/status/849968611494154241

وذكرت ان العديد من القطاعات ما زالت مخترقة، وحسب الخبر، تمكن المخترقين من اغلب القطاعات وبتحكم كامل للشبكة متضمنا التنصت على 'جميع' مراسلات المستخدمين وتحركاتهم، نسبة القطاعات المستهدفة بالتفصيل:

بماذا انصح في هذا الوقت؟

1-المراقبه الدائمة لخطط العدو في الشأن الإلكتروني من مبدأ واعدوا لهم ما استطعتم

2-تاسيس نواه لفرق #امن_معلومات هجومية ودفاعية 

3-زرع الادوات اللازمة في اصول العدو لتفعيلها عند الحاجه 

مراجع

https://www.fireeye.com/current-threats/apt-groups.html

https://www.asd.gov.au/publications/protect/Securing_PowerShell.pdf

https://github.com/SG1R/Reports/blob/master/SGIR%20Malware%20Analysis%20P1.pdf

https://github.com/PowerShellMafia/PowerSploit

معدل كشف الاختراقات خلال عام 2013 و 2014 و 2015 و 2016

مرحبا،

تعد احصائيات أمن المعلومات ركيزة أساسية للتقويم المستمر لفعاليته ومدى تحقيقه للهدف الأساسي وهو الحماية المرجوة من الأستثمار المستمر.

أحد اهم معايير التقييم، معيار معدل كشف الإختراقات، والمقصود فيه المده الزمنية المنقضية من حدوث الإختراق الى وقت اكتشافه. ذلك ان عملية الإختراق عملية حتمية ولا احد في يسلم منها.

وذلك ان الأمثل هو توفير الإستجابة المناسبة لعملية الإختراق والتعامل معها بشكل فعَال. وعلى هذا فإن هذه التدوينة هي سجل متحدث بالإحصائية خلال السنوات الماضية أملا ان ابقيها محدثة خلال الأعوام. وهي سجل شخصي اجمعه من مختلف المصادر الموثوقة في مجال أمن المعلومات.

عام 2013 معدل كشف الاختراقات​ كان 229 يوم

عام 2014 معدل كشف الاختراقات​ كان 205 يوم

عام 2015 معدل كشف الاختراقات​ كان 146 يوم

عام 2016 معدل كشف الاختراقات​ كان 99 يوم

نراكم لاحقاً.

الإختراقات الحديثة ما لها وما عليها

الإختراقات الحديثة ما لها وما عليها..

اعلنت مؤخرا بعض الاختراقات الأمنية التي اوضحت بشكل لا يدع مجالا للشك ان امن المعلومات هو جزء اساسي من الأمن العام والوطني او القومي. ان اختراق شركات كبرى وبنى تحتية مثل ما حدث من اختراق شركة الكهرباء بأوكرانيا، مما ادى الى انقطاع خدمة الكهرباء لما يقارب 200 الف مستفيد، والمنشآت النووية لبعض الدول في الشرق الأوسط واختراق ارامكوا و وزارة الخارجية السعودية ماهي إلا مثالا لما يمكن للأعداء ان يدمروا عبر الاختراق.  كما وصل الحال ان تعرض المنشآت التحتيه الى خطر الاختراق السيبراني كما حصل مؤخرا ان اصدرت الولايات المتحدث الامريكية اعلان تتهم فيه ايرانيين باختراق السدود الأمريكيه.

ان الهجمات الجديدة متحايلة لدرجة ان صعوبة اكتشافها تمثل هاجس وقلق مستمر، حسب احصائية احد الشركات المتخصصة في التعامل مع الاختراقات وجدوا ان 69% من (العملاء\الشركات) المختًرقة علموا من جهات خارجية انهم مخترقين وان نسبة كشف الاختراقات هي 205 ايام في 2014 مقابل 229 يوم في 2013، بمعنى ان الاختراق كان مستمرا داخل الشبكة لمدة تزيد عن الستة شهور.

هذه الاختراقات تتنوع من نوع مستهدف و اخرى عشوائية تعتمد على وجودة انظمة ضعيفة امنيا يمكن استهدافها. يعمد الاختراق المستهدف الى تحقيق هدف واضع ومعين بينما العشوائية تهدف الى استغلال الثغرات المنتشرة التي لم تحصل على تحديثات امنية.

أنواع الاختراقات

اختراق مستهدف

حيث يتم استهداف شخص بعينه بغرض الحصول على شيء ما قد يكون معلومات، مال أو تجسس، طرق الاستهداف تكون مخصصة وقد تكون باسم بريد المستخدم أو حتى على حسابه الشخصي في مواقع التواصل الإجتماعي. كما تتعدد من اختراقات عبر البريد أو حتى استغلال لثغرات موجودة في المواقع أو الحسابات الخاصة بالمستخدم. بمعنى أنه يمكن اختراق المستخدم بغير علمه أو حتى التواصل معه. وهنا تظهر أهمية استخدام نصائح أمن المعلومات  التي سيتم ذكرها بآخر المقال.

اختراق غير مستهدف

وهي في الغالب برمجيات خبيثة تستهدف الكل، بمعنى أن يكون الاختراق مبني على ثغرات قائمة مسبقاً، الاهداف غالبا أما التدمير أو السرقة المالية، في هذا النوع يتم استغلال ثغرات موجودة في برامج الأجهزة مثل الجافا أو الورد وغيرها، ويتم تسليم هذه الملفات التي يكون ظاهرها جيد وباطنها ضار إلى المستخدمين بشكل عشوائي وبإعداد كبيرة عبر كل الأساليب المتاحة.

 

أسباب الاختراق:

الاختراقات الشخصية المستهدفة قد تهدف الى الوصول الى بيانات الشخص والإضرار به، قد تهدف ايضا الى الابتزاز بشكل عام، كما يحدث ايضا ان تكون الاختراقات بسبب تحدي شخصي او اثبات وجود. بينما تختلف اختراقات الشركات الى اهداف اكثر جدية تتنوع ما بين قصيرة المدى وطويلة المدى، من ضمن الاهداف قصيرة الاجل التي تستهدف قطاع الأعمال:

1. سرقة البيانات الخاصة المالية او الوطنية لاسباب اجتماعية او استخباراتية او السياسية
2. سرقة البيانات التجارية وما يتعلق بها من عملاء والى اخره ونشرها على الانترنت بهدف الإضرار بالسمعة.

بينما الاهداف طويلة الأجل:

1. اختراق متواصل للشبكات الحساسة  (persistence) ، بمعنى ان يكون هناك طرق شرعية بعد ان يتم الاختراق المبدئي تمكن المخترق من تفعيل اتصال مستمر بالشبكة.
2. التحرك باستمرار تجاه شبكات جديده بشكل مخفي غير مكشوف (lateral movement\ Leapfrogging) تبنياً للاستراتيجية العسكرية المستخدمة في الحرب العالمية الثانية ضد اليابان في التحرك من جزيرة الى جزيرة بشكل مخفي. الفكرة هي استخدام جزر الدفاعات عليها قليلة ولكنها تسهم للوصول الى الجزيرة الرئيسية المطلوبة، تماما نفس المبدأ مستخدم في الهجمات الحديثة، يتم استغلال المناطق او الاجزاء الضعيفة الحماية للوصول الى الجزء الاهم في الشبكة، فيمكن من خلال اختراق مستخدم طرفي بصلاحيات عالية اختراق اعلى الحمايات على السيرفر الرئيسي لعمل الشركة.

نكمن الخطورة في الاختراقات طويلة الأجل انها تهدف الى البقاء بشكل متخفي لاكبر وقت لجمع اكبر قدر من المعلومات بهدوء وبدون لفت اي انتباه ومن استغلال الاختراق بكل الطرق الممكنة إما تخريب للتأثير الإقتصادي او تجسس لأسباب جيوساسية او تدمير سمعة بلد او شركة معينه، حدث مؤخرا ان اعلنت احد شركات تقنية المعلومات الشهيرة في السعودية محاولة تعرضها لإختراق امتد الى مؤسسات وشركات اخرى، قد يكون هذا احد الأمثلة الغير ناجحة على محاولة الاختراق طويل الأجل الذي يعتمد في اساسه على التحرك بشكل متخفي نحو شبكات جديده.

انواع من الاختراقات الحديثة:

يستخدم المخترقين برمجيات للتحكم عن بعد عادة في الاختراقات التي تهدف الى السيطرة والتحكم Remote Admin Tool-RAT، بينما تتنوع من تحكم كامل إلى التقاط ما يطبع على لوحة المفاتيح، تتنوع كذلك انواع الاختراقات من جزئية بسيطة الى تحكم كامل. تكمن المشكلة في تجدد طرق إيصال هذه البرامج عبر قنوات مختلفة، كمثال، في السابق الاختراقات كانت تتم عن طريق الاختراق المباشر عبر برامج المحادثة، بينما الآن عبر مواقع التواصل الإجتماعية و الملفات التي تحتوي على اكواد ماكرو.

احد الأمثلة على سبيل العد لا الحصر،  نوعية هجوم جديد يستخدم في اصابة عدد كبير من المستخدمين بغية استهداف اشخاص معينين هو (Malversting) المسمى مركب من كلمتين خبيث واعلانات malicious advertising بمعنى ان المخترق شخص او جهة تقوم بشراء اعلانات مدفوعة على احد المواقع المشهورة مثل  Yahoo ومن ثم تضع في كود الإعلان برمجية خبيثة تهدف لإصابة اجهزة المستخدمين. تم استخدام هذه الطريقة فعلياً مع ياهو في عام 2014.

مثال اخر على هجوم من نوع جديد هو عباره عن اصطياد إلكتروني ولكن على الجوال يسمى بـ minnows، المسمى مأخوذ من سمكة صغيره بنفس الاسم دلالة على انه اصطياد صغير. هو باختصار رسائل بريد الكتروني على الموبايل، اسم المرسل يظهر فقط بدون البريد مما يغير طريقة عرض المرسل وبالتالي زيادة خطر التعرض للاحتيال اما الضغط على الرابط او تحميل ملف يخفي كود خبيث. يستخدم في نفس الهجوم روابط  تظهر انها موجهة الى موقع معروف بينما هي توجه الى موقع اخر.

اختراق انترنت الاشياء Internet Of Things:

أنترنت الأشياء (بالإنجليزية: Internet of Things - IoT)، مصطلح برز حديثا، يُقصد به الجيل الجديد من الإنترنت (الشبكة) الذي يتيح التفاهم بين الأجهزة المترابطة مع بعضها (عبر الإنترنت). وتشمل هذه الأجهزة والأدوات والمستشعرات والحساسات وأدوات الذكاء الاصطناعي المختلفة وغيرها بما فيها الأجهزة المنزلية الحديثة، السيارات..الخ

اختراق كاميرات المراقبة عن بعد:

في عام 2013 نشر باحث في احد مؤتمرات امن المعلومات ثغرة امنية في احد اشهر الشركات تمكن من الوصول الى كاميرات مراقبة موصولة الى الانترنت. الثغرة المنشورة تمكن المخترق من الوصول الى كلمة مرور لوحة التحكم الخاصة بكاميرات المراقبة عبر المتصفح، هذا الرابط الذي يمكن المخترقين من الولوج الى كاميرات المراقبة منشور على محرك بحث شودان (يُمكن عبر محرك البحث التقني "شودان" " www.shodan.io" الوصول الى الكثير من معلومات الاجهزة الضعيفة امنيا، ومن ضمنها الأجهزة الموصولة على الإنترنت حيث يمكن البحث عنها والوصول لها بكل سهولة، ويمكن اختراقها في حال وجود ثغرات امنية بها او ضعيفة الحماية مثل ان يكون راوتر المنزل بلا كلمة مرور او بكلمة المرور التلقائية من المصنع). عند استطلاع هذه الثغرة بالتحديد على مستوى السعودية ظهر ما يقارب 280 كاميرة مراقبة مصابة بنفس الثغرة ويمكن بسهولة الدخول اليها والتحكم بها. الصورة بالأسفل توضح انتشار الثغرة حول العالم وفي السعودية بالخصوص.

اختراق السيارات الحديثة عن بعد:

مثال آخر يدلل على خطورة وسهولة الاختراقات الإلكترونية اليوم، اظهر باحثين في احد المؤتمرات الأمنية في عام 2015 عن امكانية اختراق السيارات المتصلة بالأنترنت عن بعد وامكانية السيطرة الكاملة عليها بما في ذلك تحريكها وايقافها وتغيير مسارها اثناء القيادة. كما حدد الباحثان السيارات التي تنطبق عليها الثغرة الأمنية التي مكنتهم من اختراق السيارة عن بعد وعبر الإنترنت. بالأسفل صورة اظهرها الباحثين عن السيارات الضعيفة امنياً.

يمكن بنفس الطريقة اختراق اي شيء موصول على الانترنت خصوصا مع ظهور مفهوم انترنت الاشياء الذي يُمكن للسيارات ان تتصل بالانترنت وللأجهزة المنزلية وغيرها من الأجهزة الحديثة الممكن وصلها بالأنترنت.

أفضل طرق الحماية للأشخاص:

ان افضل طرق الحماية هي تصعيب عملية اختراق الكيان المستهدف حتى تصبح كُلفة الاختراق عاليه على المُختَرِق، بمعنى ان يتم تحديث البرامج الموجودة على الاجهزة الشخصية وغيرها الى اخر اصدار، كما يجب وضع كلمات مرور قوية ولا تقل عن 14 حرف (جمل غير معروفة) للمزيد حول كلمات المرور اضغط هنا ،و عند محاولة استخدام أي برمجيات، التوجه للبرمجيات المرخصة فقط وتحميلها من مواقعها الرئيسية او من مركز التطبيقات، وحذف البرامج الغير مستخدمة. جميع هذه الخطوات تصعب عملية وجود الثغرة من الأساس التي تمكن المخترق من اتمام مهامه.

كما يجب دائما الحرص على توافر مكافح فيروسات على الأجهزة الالكترونية سواء اجهزة الحواسيب او الجوال.كما تجدر الاشارة الى أهمية البريد الإلكتروني وعدم الضغط على الروابط عبر البريد نهائيا وعدم فتح المرفقات من مرسل مجهول تماماً. ويمكن تسطيب الحماية الإضافة من مايكروسوفت EMET التي تمنع الإستغلال من الحدوث.

كما يجب عند التسجيل في مواقع التواصل الاجتماعي تفعيل التحقق الثنائي في كل المواقع الداعمة وخصوصا التفعيل الثنائي الخاص بالبريد الإلكتروني لحماية هذه الحسابات من الاختراق. ويجدر التنويه الى انه يجب استخدام كلمات مرور مختلفة في مواقع التواصل الإجتماعي لان تسريب احد مواقع التواصل الاإجتماعي قد يعرض جميع حساباتك للخطر، انظر هنا للمزيد حول هذا النوع من الإختراقات.

كما يجب إزالة الجيلبريك على اجهزة الجوال لخطورة وصول الفيروسات اليه أو على الاقل تنفيذ العمليات المهمة من جهاز غير مكسور الحماية مثل التعاملات البنكية وغيرها. واخيرا يجب االحذر من تنفيذ عمليات مهمة في الشبكات المفتوحة مثل المقاهي العامة عبر الجوال أو الجهاز الشخصي والحرص دائما على الدخول الى الانترنت عبر اجهزة مؤمنة.

قلب نظام الحكم في الكويت و اقتحام أحد البنوك في بيروت لبنان عبر اختراق امن المعلومات

تقوم الدول والشركات عادة بعمل اتفاقيات مع الشركات العالمية او المحلية لعمل فحص امني وعمل اختراق اخلاقي، بمعنى هل يمكن ان نقوم باختبار انفسنا وحماية انفسنا ضد الاختراق الخارجي؟ يقوم بهذه الاعمال متخصصين بعد توقيع اتفاقيات سرية المعلومات لخطورتها ولحساسيتها. 

هذه الاختبارات تسمى penetration testing او red teaming  وفي المجمل معناها اختبر نفسك ومدى حمايتك قبل ان تتعرض لاختراق فعلي من قبل المخربين.

هذه ليست المرة الأولى التي يظهر فيها احد المستشارين او الموظفين المتعاقد معهم في القطاعات الحكومية او الخاصة بعد انهاء فترة عقودهم في الدول الخليجية او العربية، المشكلة تكمن في نشر هذه النتائج على الملأ وبلا اكتراث  في احد اهم مؤتمرات امن المعلومات او الاختراق حول العالم، DefCon.

قلب نظام الحكم في الكويت
اثيرت قضية مؤخراً بسبب عرض احد المستشارين السابقين (Chris Rock) في دولة الكويت في مؤتمر DefCon ليظهر انه استطاع اختراق البنية التحتية كاملة لدولة الكويت. الاختراق وصل الى شركات الاتصالات وبنوك وقطاع بنكي  و القطاع النفطي ليضع فرضية امكانية قلب نظام الحكم عبر اختراق هذه المنشئات. الصورة بالأسفل توضح جزء من هذا العرض امام الألاف من الحضور والملايين بعد نشر المحاضرة كاملة على اليوتيوب. 

لعل اهم اسباب مثل هذه التصرفات: عدم توقيع اتفاقيات سرية المعلومات الملزمة للمستشار او الفاحص ان يلتزم السرية وحتى ان غادر مقر عمله. كما ان اهمال امن المعلومات والبنى التحتية السبب الرئيس لوجود مثل هذا الخلل من الأساس. انشاء مراكز البحوث لأمن المعلومات وتشجيع العمل الحر وعمل الهواة في امن المعلومات والاختراق الاخلاقي، الاهتمام بامن المعلومات وتفعيله كما يجب ينمي الحس الأمني وينمي المهارات اللازمة للدفاع والهجوم إن لزم الأمر.


يظهر هؤلاء الاشخاص بعد انتهاء مهاهم وتجاوزاً للقوانين المفروضة من اتفاقيات "منع نشر المعلومات" لتوضع الدول العربية والخليجية موقع الضعف في مجال امن المعلومات بشكل علني. 


اقتحام أحد البنوك في بيروت لبنان
مثال أخر على نفس التصرف من شخص آخر في عام 2015، قدم "Jayson Street" في مؤتمر DefCon في امريكا عرض عن كيف استطاع اختراق احد البنوك اللبنانية بالتفاصيل وبالصور، كما شرح كيف استطاع الدخول وخداع الموظفين حتى استطاع اختراق الشبكة عبر احد الأجهزة.

العرض كاملا لكيفية الاختراق والوصول عبر اليوتيوب:

https://www.youtube.com/watch?v=2vdvINDmlX8

تحديث وتعليق من جيسون سترييت على المقال "t is only mentioning the city not the company there are many many different banks in Beirut. I was just referring to the city"

تعليق آخر "to make sure there is no misunderstanding the company gave me permission to use those photos and I never mentioned them by name"

المؤتمر يعقد سنويا في امريكا، ويظهر فيه عادة اهم اخبار الاختراق وطرائقها. على مختصي امن المعلومات والمخترقين الاخلاقيين، ان صح التعبير، المبادرة لحضور مثل هذه المؤتمرات والتعرف على الاساليب المختلفة وطرق الدفاع ومن ثم الهجوم وما بينمها من تحليل ورصد ومتابعه.

سعودي يخترق مارك زوكربيرج وكويتي يخترق "كيفن متنك" اشهر مخترق

في عام 2012 تم اختراق قاعدة بيانات موقع اللينكد إن المعروف، في 2016 تم نشر قاعدة البيانات على الانترنت.

بعدها بدأت سلسة من الإختراقات لمشاهر من ضمنها اختراق مارك زوكربيرج، المؤسس للفيسبوك من مخترقين يُدعى انهم من السعودية. كما تم إختراق حساب كيفن متنك من قبل عبدالله العلي، مؤسس شركة سايبركوف الكويتية.

كيف استطاع المخترق السعودي او العلي من اختراق حسابات شخصيات يعتبرون في قمة هرم التقنية و أمن المعلومات؟

الإجابة في اول سطر من هذه التدوينة، عن طريق قاعدة البيانات المنشورة. كل حساب تم نشره، نُشر معه كلمة المرور مشفرة بتشفير SHA1 وتم كسر العديد من كلمات المرور ومن ثم محاولة تسجيل الدخول الى موقع لينكد إن. والحقيقة ان مجرد كسر كلمة المرور يعتبر إنجاز لان كسر كلمات المرور عادة يكون لكمات المرور السهلة، واما المعقدة فيصعب كسرها عادة.

الآن بعد المقدمة، نبدأ في الشرح العملي لنعرف كيف استطاع العلي والمخترق السعودي من اختراق كلمات المرور.

اولا، تحميل قاعدة البيانات المنشورة لبدء البحث:

ثانياً: البحث عن بريد الشخص المستهدف للوصول الى كلمة المرور المشفرة ليتم كسرها، يظهر بالأسفل بريد كيفن متنك وكلمة المرور المشفرة:

بعد الوصول الى كلمة المرور المشفرة والبريد الإلكتروني للمستخدم، يتبقى كسر كلمة المرور عبر عدة برامج، اهمها موجود في نظام تشغيل المخترقين "كالي":

في المثال برنامج Hashcat مع ملايين من كلمات المرور يتم مطابقتها مع كلمة المرور المشفرة او "الهاش". حسب صعوبة كلمة المرور وذكاء المخترق تختلف سرعة كسر كلمة المرور من ساعة او اقل الى ايام او حتى اسابيع.

لبقية المستخدمين لموقع لينكد إن، ينصح بتغيير كلمة المرور وتفعيل التوثيق الثنائي لتصعيب امكانية الوصول الى الحساب من الأساس، فحتى لو كسرت كلمة المرور يتبقى الدخول الى الحساب يتم عن طريق التوثيق عبر الجوال. 

اخيراُ اذا استخدمت كلمة مرور لينكد إن في مواقع اخرى، قم بتغييرها فوراً لحماية حساباتك.