المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : «فليم» البرنامج الخبيث الأشد تعقيدًا يلوح بانتهاء عصر البرمجيات المضادة للفيروسات


Eng.Jordan
11-08-2012, 09:24 PM
انتهاء عصر البرمجيات المضادة للفيروسات
طارق راشد
برمجيات الحماية التقليدية تقف عاجزة أمام الهجمات المتطورة مثل «فليم»، لكن هناك نُّهجًا بديلة بالكاد في بداياتها.

http://www.alarabimag.com/Arabi-Elmy/2012/Issues/Issue_9/MEDIA/26.jpg


أعلنت مختبرات أمن الكمبيوتر في إيران وروسيا والمجر، أخيرًا، عن اكتشاف «فليم» Flame، وهو البرنامج الخبيث الأشد تعقيدًا الذي يتم اكتشافه، وفق ما أعلنه مختبر كرايسيس CrySyS في المجر.

منذ سنتين على الأقل، و«فليم» يعمل على نسخ الوثائق وتسجيل الأصوات ومراقبة الضربات على لوحة المفاتيح ورصد حركة المرور على الشبكات وتتبع المكالمات التي تجرى عبر خدمة سكايب والتقاط لقطات للشاشات من أجهزة الكمبيوتر المصابة به. وقد أُرسلت تلك المعلومات إلى واحد من خوادم قيادة وسيطرة عديد يشغّلها منشئو هذا البرنامج الخبيث. وخلال تلك الفترة بأكملها، لم يطلق أي برنامج أمني أجراس الإنذار.

«فليم» ما هو إلا الحلقة الأخيرة من سلسلة من الأحداث التي تشير إلى أن البرمجيات التقليدية المضادة للفيروسات باتت طريقة بالية لحماية أجهزة الكمبيوتر من البرامج الخبيثة. فقد كتب ميكو هايبونين Mikko Hypponen، مؤسس شركة إف-سيكيور F-Secure لمكافحة الفيروسات وكبير الباحثين فيها، يقول: «كان فليم إخفاقًا بالنسبة لصناعة البرمجيات المضادة للفيروسات. والحقيقة أنه كان ينبغي أن نتمكن من فعل ما هو أفضل، لكننا لم نتمكن من ذلك. كنا في وضع لسنا مهيئين له، وفي مباراتنا الخاصة».
تعمل البرامج التي تمثل العمود الفقري لأمن الكمبيوتر بالنسبة للشركات والحكومات والمستهلكين على حد سواء مثلما تعمل البرمجيات المضادة للفيروسات المثبتة على أجهزة الكمبيوتر الاستهلاكية، حيث يتم اكتشاف التهديدات بمقارنة كود برامج الكمبيوتر ونشاطها بقاعدة بيانات تشتمل على «توقيعات» البرمجيات الخبيثة المعروفة. وتعكف شركات الأمن مثل إف - سيكيور ومكافي McAfee باستمرار على بحث البلاغات التي تُعنى بالبرمجيات الخبيثة الجديدة وتقوم بتحديث قوائم التوقيعات الخاصة بها بناء على ذلك. والمفترض أن تكون النتيجة عبارة عن سور منيع يصد الأشرار ويبقيهم بعيدًا.
بيد أن السنوات الأخيرة شهدت وقوع هجمات شهيرة، ليس فقط على الحكومة الإيرانية بل على الحكومة الأمريكية أيضًا، باستخدام برمجيات كان بمقدورها - مثلها مثل فليم - أن تنسلّ دون أن تلاحظها البرمجيات التي تعمل استنادًا إلى التوقيعات. كما تم أيضًا استهداف كثير من الشركات الأمريكية المتقدمة فنيًّا، ومن ضمنها جوجل Google وشركة أمن الكمبيوتر آر إس أيه RSA، بالطريقة ذاتها - وإنْ ببرمجيات خبيثة أرخص تكلفة - لمعرفة أسرارها التجارية. ويقول الخبراء إن هناك شركات أصغر حجمًا تتعرض هي أيضًا للخطر بشكل دوري.
الالتفاف حول الفيروسات
وبحسب مجلة «تكنولوجي ريفيو»، فإن بعض الخبراء والشركات يرون أن الوقت قد حان لعدم الاعتماد بالدرجة الأولى على الحماية بأسلوب البرمجيات المضادة للفيروسات، إذْ يقول نيكولاس كريستين Nicolas Christin، الباحث في جامعة كارنيجي ميلون: «يجب أن نتوقف عن محاولة بناء خطوط تحصينات تبدو وكأنها منيعة، لكن حقيقة الأمر أنه يسهل الالتفاف من حولها».
يعكف كريستين والعديد من الشركات المبتدئة القيادية في مجال أمن الكمبيوتر على وضع استراتيجيات دفاعية جديدة تجعل تنفيذ الهجمات أصعب، بل وتمكّن المستهدَفين بها من صدها.

يقول ديمتري ألبيروفيتش Dmitri Alperovitch، كبير مسئولي التكنولوجيا والمؤسس المشارك لشركة كراود سترايك CrowdStrike، وهي شركة مبتدئة مقرها في كاليفورنيا أسسها مخضرمون في مجال مكافحة الفيروسات وتلقت تمويلًا استثماريًا يبلغ 26 مليون دولار أمريكي: «يجب علينا التركيز على الرامي لا على البندقية، فالتكتيكات - وهي الأجزاء البشرية من هذه العملية - هي الأقل قابلية للتطوير».
وكراود سترايك ليست مستعدة للإعلان عن تفاصيل تكنولوجيتها، لكن ألبيروفيتش يقول إن الشركة تخطط لتقديم ما يشبه نظامًا تحذيريًا ذكيًا يمكنه اكتشاف حتى الهجمات الجديدة تمامًا وتتبع آثارها لمعرفة مصادرها.
ويقول ألبيروفيتش إن هذا النوع من النُّهج ممكن؛ لأنه على الرغم من أن المهاجم يمكنه بسهولة أن يغير كود فيروس مثل «فليم» لتفادي البرمجيات المضادة للفيروسات مرة أخرى، فإن هذا المهاجم سيظل مُركِّزًا على الهدف ذاته وهو الوصول إلى البيانات المهمة واستخلاصها. وتقول الشركة إن تكنولوجيتها سوف تستند إلى «بيانات كبرى»، وقد يعني هذا أنها ستحلل مقادير كبيرة من البيانات المتعلقة بالكثير من الآثار التي تركتها الأنشطة على نظام العميل لاكتشاف أيّها يمكن أن يكون أثرَ برنامجٍ ضارٍّ بدأت شركات أخرى تتحدث لغة مماثلة، إذْ يقول سوميت أجاروال Sumit Agarwal، أحد المشاركين في تأسيس شركة شيب سيكيوريتي Shape Security، وهي شركة أخرى مبتدئة مقرها في كاليفورنيا وخرجت أخيرًا عن نمط السرية الذي اتبعته: «الأمر مردّه إلى شعار أجهزة إنفاذ القانون في ثمانينيات القرن الماضي والذي يقول: الجريمة لا تفيد». وقد حصلت هذه الشركة على تمويل قيمته 6 ملايين دولار من الرئيس التنفيذي السابق لشركة جوجل إريك شميت Eric Schmidt بجانب مصادر تمويل أخرى. كما تتوخى شركة أجاروال أيضًا الصمت حيال التكنولوجيا التي تطورها، لكنها تهدف إلى رفع تكلفة الهجوم الإلكتروني مقارنة بالمردود الاقتصادي، ومن ثم تجعله لا يستحق عناء القيام به.
تبديد وقت اللصوص
هناك شركة أخرى تنتهج نهجًا مماثلًا وهي مايكونوس سوفتوير Mykonos Software، التي طورت تكنولوجيا تساعد على حماية مواقع الويب من خلال تبديد وقت المتسللين لإحداث خلل في اقتصاديات أي هجوم ينفَّذ، وقد بيعت مايكونوس لشركة الشبكات جونيبر Juniper في وقت سابق من هذا العام.

سارعت شركات مضادات الفيروسات إلى بيان أن «فليم» ليس فيروسًا حاسوبيًا عاديًا؛ لأن مصدره عالم الجاسوسية الدولية بما لديه من موارد واسعة. لكن هذه الأسلحة الإلكترونية تتسبب في أضرار ثانوية (حيث أصابت دودة ستاكسنت Stuxnet، التي استهدفت البرنامج النووي الإيراني، ما يقدر بمائة ألف جهاز كمبيوتر)، كما يعكف مجرمون وجماعات ذات موارد أقل على تبني خصائص تصميماتها. يقول أجاروال مؤسس شركة شيب سيكيوريتي المشارك: «لا تسمحوا أبدًا بتدفق الكثير من مليارات الدولارات من التكنولوجيا الدفاعية إلى المجال العام».
ويضيف قائلًا إنه على الرغم من بذل القوات المسلحة الأمريكية ما في وسعها للحيلولة دون سقوط الطائرات والغواصات في أيدي الآخرين، فإننا نجد أن هناك برمجيات خبيثة عسكرية مثل «فليم» أو «ستاكسنت» متاحة لأي شخص كي يقوم بفحصها.
البرمجيات الخبيثة
يقول كل من أجاروال وألبيروفيتش، كبير مسئولي التكنولوجيا في كراود سترايك، إن النتيجة هي أن هناك فئة جديدة من البرمجيات الخبيثة يجري استخدامها ضد الشركات الأمريكية من كل الأحجام. ويزعم ألبيروفيتش أنه يعرف بأمر شركات محاماة صغيرة نسبيًا تتعرض للهجوم من قبل منافسات لها أكبر منها حجمًا، وشركات للتكنولوجيا الخضراء يقل عدد موظفيها عن 100 فرد تتعرض أسرارها للاستهداف. ويقول ألبيروفيتش إن شركته سوف تمكّن الضحايا من صد مثل هذه الهجمات، وفي حدود القانون، بالتعرف أيضًا على مصدر هذه الهجمات، مضيفًا بقوله إن «الرد على التسلل بالتسلل سيكون عملًا غير قانوني، لكن هناك تدابير يمكنك اتخاذها ضد الأشخاص الذين يستفيدون من بياناتك، وهذه التدابير ترفع تكاليف الأعمال التي يتكبدها المتسللون». وتشمل هذه التدابير مطالبة الحكومة برفع دعوى لدى منظمة التجارة العالمية أو إعلان ما حدث على الجماهير لفضح مرتكبي التجسس الصناعي.
أظهرت الأبحاث التي يجريها كريستين والأوساط الأكاديمية الأخرى وجود نقاط اختناق يمكنها السماح بإجراء قانوني بسيط نسبيًا لتحييد عمليات الجريمة الإلكترونية. وقد درس كريستين وزملاؤه الأساليب الاحتيالية التي تتلاعب بنتائج البحث للترويج للصيدليات غير القانونية وانتهوا إلى أن معظمها يمكن إيقافه بتضييق الخناق على مجرد عدد قليل من الخدمات التي تعيد توجيه الزائرين من صفحة ويب إلى أخرى. وأثبت باحثون في جامعة كاليفورنيا في سان دييجو العام الماضي أن الدخل المحقق من معظم البريد الإلكتروني الطفيلي يمر عبر ثلاثة بنوك فقط. ويقول كريستين: «سيتمثل الإجراء التدخلي الأشد فعالية ضد البريد الإلكتروني الطفيلي في إغلاق هذه البنوك أو تطبيق لوائح تنظيمية جديدة. وغالبًا ما يكون لدى هذه الأنظمة المعقدة نقاط مركزة يمكنك التركيز عليها بحيث تجعل هذه الهجمات باهظة التكلفة».
لكن أجاروال يحذر من أنه حتى الانتقام في حدود القانون يمكن أن يكون عملًا غير حصيف، مضيفًا بقوله: «تخيل أنك شركة كبيرة وساقتك الأقدار إلى طريق المافيا الروسية. عندئذ يمكنك أن تثير مشكلة أكبر مما كنت تقصد».