برمجية خبيثة متطورة تتجسس على السعودية وروسيا والعديد من الدول

 

كشفت شركة سيمانتك عن برمجية خبيثة معقدة ومتطورة جدا تستخدم للتجسس على شركات الإنترنت والاتصالات والشركات الخاصة في دول عديدة وبالدرجة الأولى السعودية وروسيا. التفاصيل مع نايلة الصليبي.

أعلن خبراء شركة سيمانتك المتخصصة بأمن المعلومات ومكافحة الفيروسات عن  إكتشافهم لمجموعة من البرمجيات الخبيثة من نسق حصان طروادة ذات شيفرة شديدة التعقيد  ومتطورة جدا تخترق الأجهزة والخوادم التي تعمل بنظام التشغيل ويندوز وهدفها التجسس وجمع البيانات، أطلق عليها إسم Regin . ويعتقد أن مصدرها مؤسسات حكومية نظرا للتصميم المعقد لـ Regin.

برمجية خبيثة تُضم إلى اللائحة الطويلة مما يمكن أن نعتبره  اسلحة إلكترونية، التي بدأهاStuxNet  مستهدفا منذ سنوات المنشأت النووية الإيرانية وبعض الأنظمة الصناعية في الصين وباكستان وأندونيسيا، وبعد ذلك برز كل من  Duqu وFlame، في حرب صامتة طالت بعض دول الشرق الأوسط. وتستهدف البرمجية الخبيثة Regin بالدرجة الأولى المملكة العربية السعودية وروسيا، ومن ثم بدرجات متفاوتة الهند و إيرلندا. أما أهدافها فمختلفة ، أبرزها الشركات المزودة لخدمة الإنترنت و العمود الفقري BackBones لشركات الإتصالات .و أيضا من بين الأهداف الفنادق و شركات النقل الجوي والشركات المزودة للطاقة والشركات الصغيرة والمتوسطة الحجم ومؤسسات الأبحاث.

يؤكد خبراء سيمانتك أن لـ Regin مواصفات مشابهة في شيفرته لشيفرة ومواصفات StuxNet ،Duqu وFlame ويملك بنية على درجة عالية من التعقيد، مما يشير إلى أن تلك البرمجية تطلبت أشهروسنوات من التطوير ، فهي تضم حوالي عشر وحدات مختلفة تتيح للمهاجمين تكييف البرمجية الخبيثة حسب الأهداف. ووفق خبراء سيمانتك فإن هذه البرمجيية قد فُعلت للمرة الأولى عام 2008 ومن ثم أختفت فجأة  في مايو  2011 لتعود  وتظهر بإصدار جديد عام 2013. وما زالت مستخدمة حتى اليوم .

في تقرير نشر على موقع شركة سيمانتك شرح الخبراء آلية عمل برمجية Regin التي تنظم عملها على ست مراحل كي تبقى متخفية ولا تكشفها أنظمة مكافحة الفيروسات وأنظمة رصد أمن الشبكات المعلوماتية.

كل مرحلة من مراحل عمل تلك البرمجية هي مشفرة ما عدا المرحلة الأولى وكل مرحلة تتبعها مجموعة من الآليات تتوالى و تنتج عنها تعليمات معينة .تفك المرحلة الأولى تشفير البرمجية الخبيثة ومن ثم تنفذ التعليمات البرمجية الخاصة بتلك المرحلة قبل الإنتقال إلى المرحلة التالية .

قام خبراء سيمانتك، لفهم عمل البرمجية الخبيثة Regin، بتعقب ورصد كل تلك المراحل والتي يبدو أنها تحوي فهرسا كاملا لعمليات الهجوم  والقرصنة الممكنة، كإلتقاط صورة شاشة سطح المكتب، السيطرة على عمل الفأرة أو سرقة كلمات المرور، ومراقبة و رصد حركة تبادل البيانات من الجهاز إلى الإنترنت و حتى إستعادة الملفات المتلفة.

بعد كشف سيمانتك عن هذه البرمجية الجاسوسة أعلنت بدورها شركة كاسبيرسكي  المتخصصة بمكافحة الفيروسات وأمن شبكة المعلومات ،أنها تتبع هذه البرمجية منذ عامين وهي تستهدف أيضا الوكالات الحكومية والمؤسسات المالية والأفراد الذين يقومون بأبحاث متقدمة في مجال الرياضيات وتقنية التشفير و ألخطر مكاتب رؤساء دول.

حسب كاسبيرسكي  فقد صممت البرمجيات الخبيثة Regin لإرسال المعلومات  والبيانات، التي تم جمعها بهدوء، إلى الأجهزة الخارجية  وخوادم  “القيادة والسيطرة“، أو  C & C . وقد تعقب خبراء شركة  كاسبيرسكي أربعة عناوين بروتوكول الإنترنتIP و تبين لهم أن اثنان منها موقعها في الهند، وأخرى في تايوان، وواحدة في بلجيكا.ومع ذلك لا يمكن توريط تلك البلدان. فأي شخص يمكن أن ينشئ  بسهولة خادم في أي بلد في العالم.

 أضاف خبراء كاسبرسكي أسماء دول أخرى  إستهدفها Regin: كـإيران وباكستان وأفغانستان والعراق ومصر .

وحددت شركة  كاسبيرسكي عددا من الدول الجديدة على قائمة المستهدفين و هيتشمل دول غير عادية كدول جزر المحيط الهادئ كيريباتي وفيجي بالإضافة  لسوريا وماليزيا واندونيسيا.

يبقى أن كثير من الغموض يحيط هذه البرمجية الخبيثة المعقدة، فعدد الأجهزة التي تعرضت للتلوث منخفض نسبيا نظرا لنوعية هذه البرمجيات الجاسوسة الخطيرة، ولم يتمكن خيراء سيمانتك  و كاسبرسكي من كشف المواقع  الأخرى لأنظمة القيادة والسيطرة التابعة لهذه البرمجيات الخبيثة الجاسوسة . وبالتالي ليس لديهم أدنى فكرة عن البلد وراء إنتشار هذه البرمجية الخبيثة رغم أن الأنظار يمكن ان تتجه إلى الولايات المتحدة و إسرائيل و الصين.

نايلة الصليبي

هفوة برمجية في نظام تشغيل ويندوز تصفها مايكروسوفت بـ”الكارثية”

هفوة برمجية في “قناة نظام تشغيل ويندوز الأمنية” تطال مختلف إصدارات نظام التشغيل، وصفتها مايكروسوفت بـ”الكارثية”، تعرض أجهزة الكمبيوتر والخوادم للاختراق.

يبدو أننا في عز موسم اكتشاف الهفوات والثغرات البرمجية. حذرتكم في يوميات “إي ميل” عن هفوة برمجية في نظام تشغيل iOS للأجهزة المحمولة من آبل تعرض بيانات المستخدم للسرقة. وبدورها تحذر مايكروسوفت من ثغرة برمجية وصفتها بالخطيرة تطال قناة نظام تشغيل ويندوز الأمنية Microsoft Secure Channel Schannel والتي تحوي أدوات التشفير التي تعرف ببروتوكولات طبقة المنافذ الأمنيةSecure Socket Layer SSL   وTLS Transport Layer Security   التي تستخدم خوارزميات فائقة القدرة لتشفير البيانات المتبادلة على الشبكة ، وأذكر هنا أن هذه الأدوات عانت منذ أشهر من هفوات خطيرة كـ HeartBlead والهفوة البرمجية في نظام التشفير المفتوح المصدر OpenSSL وغيرها من الهفوات التي هددت أمن شبكة الإنترنت.

حذرت مايكروسوفت بضرورة تحميل و تثبيت التحديث الذي طرحته يوم الثلاثاء لسد هذه الثغرة التي تطال كل إصدارات نظام التشغيل ويندوز من “فيستا” إلى وأخر إصدار من “ويندوز ثمانية”. والتي تهدد ليس فقط الخوادم الـServer وإنما أيضا أجهزة الكمبيوتر المنزلية والمحمولة خاصة تلك التي ثبت فيها المستخدم خادم FTP  إي عميل File Transfert Protocole لنقل البيانات من جهاز كمبيوتر إلى جهاز كمبيوتر آخر أو إلى خادم لإدارة موقع انترنت.

حسب خبراء مايكروسوفت فإن هذه الثغرة الخطيرة تمنع قناة الأمن  Microsoft Secure Channelمن فلترة حزم البيانات المشفرة، مما يتيح للقراصنة اختراق الخادم أو جهاز الكمبيوتر الذي يعمل بنظام التشغيل ويندوزعن طريق إرسال حزم بيانات خبيثة تستغل هذه الثغرة وتتجسس على مداخل جهاز الكمبيوتر ويصبح الجهاز معرضا للاختراق لسرقة البيانات وتفعيل شيفرة خبيثة في الهفوات البرمجية.

تؤكد شركة مايكروسوفت أنه حتى الآن لم يبلغ عن أي استغلال لهذه الثغرة أو أي هجوم على أنظمة ويندوز. وقد نشرت الشركة مجموعة من التحديثات يوم الثلاثاء وهي من ضمن مجموعة التحديثات التي تقترحها مايكروسوفت كل شهر لسد مختلف الهفوات والثغرات، ونصحت مايكروسوفت بضرورة تحميلها وتثبيتها بسرعة قبل أن تتحول إلى كارثة كما حصل مع هارتبليد حين خرق موقع ياهو وغيره من المواقع في العالم.

نايلة الصليبي

Masque Attack:هفوة برمجية في نظام iOS من آبل تعرض بيانات المستخدمين الحساسة للسرقة

 

هفوة برمجية جديدة تهدد حصن و سمعة آبل، هفوة تضاف اليوم إلى لائحة من الهفوات التي بدأت تثير التساؤلات حول مناعة نظام آبل ضد الثغرات و الهفوات و القرصنة.

كشفت شركة FireEye المتخصصة بأمن وحماية بيانات الشبكة عن هفوة برمجية في نظام التشغيل iOS   من آبل  في النسخات السابعة والثامنة، تمكن القراصنة من خرق الأجهزة الذكية المحمولة عن طريق إستبدال التطبيقات ألأصلية بتطبيقات مشابهة مزيفة ، تتيح للقرصان سرقة بيانات المستخدم .

أطلقت FireEye على عملية القرصنة هذه إسم Masque Attack، عملية تخدع المستخدمين وتدفعهم لتثبيت التطبيقات الخبيثة في أجهزتهم، وذلك من خلال دعوات منمقة عبر رسائل نصية أو رسائل بريد إلكتروني أو عبر رابط في صفحة إنترنت مزيفة وهي دعوة لتحديث التطبيقات المثبتة في الجهاز والتي إشتراها المستخدم من متجر آبل، وعند النقر على رابط التحديث تحل تلك التطبيقات الخبيثة محل التطبيقات الأصلية، وهي بالتحديد تطبيقات طرف ثالث مثلا لإدارة البريد الإلكتروني كـGMAIL أو تطبيق مصرفي لإدارة الحساب المصرفي وغيرها من التطبيقات التي تتحول إلى تطبيقات جاسوسة وتسرق البيانات من كلمات مرور وتعريف الهوية ID User وغيرها من البيانات الحساسة و تنقلها للقرصان .

يستغل Masque Attack ثغرة فادحة بسهولة محيرة، عندما نعرف ما تتمتع به أنظمة آبل من ميزات الآمان التي تمنع القراصنة عادة من تثبيت برامج خبيثة بإستخدام الأساليب التقليدية للقرصنة. ولخرق أجهزة آبل يستغل القراصنة ما يعرف بالـ iOS’s Enterprise Provision profile ، وهي آلية يتيحها متجر آبل للمؤسسات والشركات لنشر تطبيقاتها الخاصة بأجهزة آبل الذكية دون المرور بمتجر آبل، وبالإضافة لهذه الآلية ينسخ القراصنة الـBundle ID وهي بطاقة هوية التطبيق التي تتيح تعرف الجهاز الذكي على التطبيق مما يسهل على القرصان عملية  تثبيت تطبيقهم المزيف الجاسوس داخل التطبيق الأصلي، فيخدع نظام التشغيل الذي لا يميز الـBundle ID المزيف من الحقيقي، أي التطبيق المزيف من التطبيق الأصلي.

 

أشارت شركة FireEye إلى أن هذه الثغرة تطال أيضا الأجهزة التي تم كسر أنظمة تشغيلها iOS Jailbreaking وهي لا تطال تطبيقات آبل كـمتصفح الإنترنت “سفاري” وبرنامج إدارة البريد الإلكتروني  “ميل” …

هذه الثغرة هي الثغرة الثانية والتي تعتبر أكثر خطورة من ثغرة Wirelurker  التي تم كشفها الأسبوع الماضي في الصين والتي تتيح سرقة بيانات المستخدمين من خلال تلويث تطبيقات طرف ثالث بأحصنة طروادة عند وصل الأجهزة الذكية المحمولة بجهاز الكمبيوتر ماك ملوث ، فتخترق أحصنة طروادة تلك الإجهزة و تقرصن بياناتها خاصة لائحةالإتصال والبريد الإلكتروني  .

توصي FireEye بعدم تحميل أو تحديث إي تطبيق إلا من خلال متجر آبل وفي حال تلقي المستخدم لإشعار منبثق، عدم الإستجابة، وفي حال إنبثاق اشعار بأن المطور غير موثوق فيه، فعليه عدم إعطاء إذن القبول و إلغاء تثبيت التطبيق .

نايلة الصليبي

 

TeamViewerبرنامج للتحكم عن بعد بجهاز الكمبيوتر وبمختلف الأجهزة الذكية

عندما تكون لدينا خبرة و لو قليلة بالمعلوماتية غالبا ما يلجأ إلينا الأهل و الأصدقاء طلبا للمساعدة في حل المشاكل التي تواجههم مع تطبيقاتهم المعلوماتية أو مع أجهزتهم و إذا كنا بعيدين جغرافيا كيف نتمكن من التحكم بجهازهم عن بعد دون أن ننفق ساعات طويلة على الهاتف للشرح والوصف دون النجاح في تقديم الدعم الفني المطلوب . فكيف يمكن حل هذه المشكلة؟

الحل هو  في إمكانية التحكم بجهاز الكمبيوتر الآخر عن بعد عبر شبكة الانترنت. ستسألون حتما كيف يمكن أن نقوم بذلك فهذا أمر يتطلب خبرة عالية وبالتالي فإن التطبيقات المتوفرة في أنظمة التشغيل للتحكم عن بعد معقدة والبرامج المعلوماتية المتخصصة مرتفعة الثمن .

هذا صحيح لكننا بتنا نجد على الشبكة برامج معلوماتية مجانية تسمح بإدارة جهاز كمبيوتر بعيد عن طريق شبكة الانترنت.

تتوفر عدة برامج مجانية، اخترت التعريف ببرنامج TeamViewer  من تطوير شركة TeamViewer الألمانية .يتناسب  ونظام التشغيل ويندوز ™ ونظام التشغيل Mac OS X من آبل. بالإضافة إلى تطبيقات مخصصة للأجهزة الذكية المحمولة iOS – Android – Windows Phone 8 – windows 8 /RT – BlackBerry

فبعد تحميل وتثبيت النسخة الكاملة على الجهاز الأول نطلب من مستخدم الطرف الآخر أن يحمل نسخة مبسطة هي TeamViewer Quicksupport التي لا تحتاج إلى تثبيت بل تفعل مباشرة، كما يمكن للطرف الآخر أن يثبت النسخة الكاملة إذا شاء .

عند تفعيل برنامج TeamViewer نحدد أنه للاستخدام الخاص وهو لا يحتاج إلى ضبط أي إختيار إذ يتميز بقدرته على تجاوز الجدار الناري FireWall والبروكسي بدون تعقيد و عند تفعيل البرنامج تظهر على سطح مكتبنا واجهة استخدام تعلمنا بأن الجهاز البعيد على وشك التشبيك مع جهازنا وتظهر على شاشتنا نافذتان: نافذة جهاز الطرف الثاني البعيد ونافذة لجهازنا تطلب ادخال رقم التعريف ID،  وهو رقم يعطى مرة واحدة للمستخدم مؤلف من تسعة أحرف، ومن ثم يطلب كلمة المرور وبعد ذلك علينا ملئ رقم التعريف ID بجهازالكمبيوتر البعيد. بالإضافة إلى كلمة المرور يكون مستخدم الكمبيوتر البعيد قد أرسلها لنا عبر البريد الالكتروني أو الهاتف. فيتم الاتصال بين الجهازين وقبل البدء يمكن ضبط بعض الاختيارات تساعد في عملية التحكم بالجهاز البعيد بحيث يمكننا التحكم الشامل بالجهاز البعيد فنفتح الايقونات ونراجع القوائم ونفعل البرامج وبالتالي التعامل بشكل كامل مع الجهاز البعيد وكأنه جهازنا.

يمكن من خلال برنامج TeamViewer تغيير حالة الاستخدام بحيث نعطي القدرة للمستخدم البعيد على التحكم بجهازنا ويمكننا أيضا منعه من ذلك بالإضافة إلى إمكانات متعددة في التعامل والتواصل بين الجهازين.

برنامج TeamViewer مجاني للاستخدام الخاص للتحكم عن بعد عبر شبكة الانترنت يتيح للمستخدمين الربط بين جهازين للدعم الفني من جهة و من جهة ثانية يمكن استخدامه للعمل الجماعي مع فريق عمل في مكانين مختلفين.

هذا و يتميز أيضا برنامج TeamViewer بنسبة الأمان العالية وبقدرته على شيفرة المعلومات بحيث لا يتمكن الخادم بين الجهازين من قراءة المعلومات المتبادلة.

ويمكن تثبيت النسخة الكاملة في الجهازين لإنشاء شبكة خاصة إفتراضية – VPN

نايلة الصليبي

 

المخدرات الرقمية واقع تقني وهلع من تأثير افتراضي

عادت ما تسمى بالمخدرات الرقمية إلى الواجهة بعد تقرير بثته إحدى قنوات التلفزة اللبنانية تحذر فيه من وقوع الشباب اللبناني في مخالب هذا النوع من المخدرات، مما أثار الهلع والبلبلة ودفع وزير العدل اللبناني إلى الدعوة لحجب مواقع الإنترنت التي “ربما” تقترح هذا النوع من الملفات الصوتية. وبدأت التقارير تزهر أيضا في الإمارات والسعودية لتحذر من خطر وصول المخدرات الرقمية إليها.

تطرق الزميل وليد عباس في حلقة  سابقة من “إي ميل” إلى ماهية هذه النبضات الثنائية أو ما يعرف بالـ Binaural Beats التي تشكل الملفات الصوتية المتهمة بكونها مخدرات رقمية، وفي غياب أي دراسة علمية تتحدث عن أضرار في الدماغ ناجمة عن الاستماع  لملفات صوتية متّهمة بكونها مخدرات رقمية،  يعود برنامج “إي ميل” مع الأستاذ الجامعي والخبير والمحلل التكنولوجي أنطوان طنوس ضيف نايلة الصليبي، لتسليط الضوء على واقع تأثير هذه الملفات الصوتية على مستمعها خاصة بعد وقوع الكثير من الناس في بلبلة وارتباك بعد انتشار التحذيرات من وصول هذا النوع من المخدرات إلى بعض الدول العربية

يمكن أيضا مراجعة الحلقة التي خصصها إيلي أيوب في فقرة صحتكم تهمنا حول المخدرات الرقمية .

نموذج من انبضات ثنائيةلمفات الصوتية Binaural Beats

 

برنامج لمنع تثبيت البرامج الملحقة في جهاز الكمبيوتر

تضم البرامج المعلوماتية المجانية برامج ملحقة أحيانا هي برامج مفيدة وغالبا برامج أعلانية مزعجة. وعند التثبيت ولو كان المستخدم متمرسا، لا يتنبه أحيانا إلى خيار تثبيت البرامج الملحقة. في “إي ميل” تقترح نايلة الصليبي برنامج Unchucky الذي يقلل من فرص قبول تثبيت برامج ملحقة غير مرغوب فيها.

 

كيف يمكن منع البرامج الملحقة في برامج معلوماتية مجانية من أن تثبت في جهاز الكمبيوتر؟ غالبا ما يلجأ المطورون الشباب والشركات المطورة للبرامج المجانية إلى ضم برامج ملحقة لبرامجهم بحثا عن المكاسب المادية. وعند تثبيت المستخدم لتلك البرامج المجانية وإن لم ينتبه لإزالة خيار البرنامج الملحق، يرى نفسه مجبرا ببرنامج لا يرغبه ويرى مثلا برنامج تصفح الإنترنت قد أضيف له شريط أدوات ToolBar إعلان مزعج بالإضافة للبرامج الإعلانية المتطفلة والمزعجة التي تغير صفحة التصفح الرئيسية أو صفحة محرك البحث. ويجد المستخدم صعوبة للوصول إلى طريفة لإزالة تلك البرامج الملحقة إلا عن طريق إستخدام برامج كـMalwarebyte Anti-Malware وبرنامج AdwCleaner .

من مبدأ الوقاية خير من العلاج اليكم ببرنامج Unchecky الذي يقوم بمراقبة تثبيت البرامج في جهاز الكمبيوتر الذي يعمل بنظام التشغيل ويندوز، يعمل Unchecky بشكل خفي و لا يفعل إلا عند محاولة برنامج ملحق غير مرغوب فيه.

يرصد Unchecky البرامج التي يثبتها المستخدم ويقوم بإزالة خيارات التثبيت في المربعات التي تسمح للبرامج الملحقة من التثبت في جهاز الكمبيوتر. كذلك يقوم برنامج Unchecky بإشعر المستخدم أن هنالك محاولة لتثبيت برنامج ملحق خاصة إن كانت تلك البرامج مضغوطة ولا يرى المستخدم ما يقوم بتثبيته فيحذر Unchecky من أن برامج إضافية هي على وشك التثبيت .
Uncheckyبرنامج مجاني ويقوم بتحديث نسخاته بشكل تلقائي. ويتوفر لنظام التشغيل ويندوز من إصدار Windows XP حتى إصدار Windows 8.1.

يمكنكم التواصل مع برنامج “إي ميل” عبر “فيسبوك“، “غوغل بلاس“، و”تويتر“.

نايلة الصليبي