الرئيسية
أعلنت شركة سيمانتيك أن مركز سيمانتيك للاستجابة الأمنية، بالتعاون مع مدرسة المعلوماتية التابعة لجامعة إنديانا الأمريكية، كشف النقاب عن تهديد أمني جديد خطير. وفي هذا الهجوم، الذي أطلق عليه "تزوير العناوين محلياً" (Drive-by Pharming)، يقع المستهلكون ضحية للاحتيال من خلال تغيير إعدادات أجهزة التوجيه (routers) الخاصة بالاتصال السريع بالإنترنت في منازلهم من قبل موقع شبكي خبيث. وطبقاً لدراسة منفصلة غير رسمية أجرتها جامعة إنديانا، فإن ما يصل إلى 50% من مستخدمي الاتصال السريع عبر شبكات الحزمة العريضة في المنازل عرضة لهذا الهجوم.
في هجمات تزوير العناوين pharming التقليدية، يعمل المهاجم على إعادة توجيه المستخدم الذي يحاول زيارة موقع شبكي معين، إلى موقع آخر زائف. ويمكن تنفيذ هذا النوع من الهجوم إما عن طريق تغيير ملف أسماء المزودات المضيفة على حاسوب الضحية أو من خلال التلاعب بنظام أسماء النطاقاتDNS . أما تزوير العناوين محلياً، فهو نوع جديد من المخاطر، يحصل عندما يزور المستخدم موقعاً شبكياً خبيثاً، ومن ثم يتمكن المهاجم من تغيير إعدادات نظام أسماء النطاقات على جهاز التوجيه router غير المحمي والخاص بالاتصال السريع لدى هذا المستخدم، أو على نقطة الوصول اللاسلكي التي يستخدمها. وتعتبر مزودات نظام أسماء النطاقات مسؤولة عن تحويل أسماء مواقع إنترنت إلى عناوينها الفعلية، حيث تعمل بمثابة لوحات الدلالة والإرشاد على إنترنت. وحتى يتمكن حاسوبان من الاتصال بأحدهما الآخر على إنترنت، فلابد أن يعرف كل منهما عنوان IP الخاص بالآخر. ويحدث هجوم "تزوير العناوين محلياً" عندما لا يكون جهاز التوجيه الخاص بالاتصال السريع محمياً بكلمة سر، أو إذا كان المهاجم قادراً على تخمين كلمة السر، فمثلاً تأتي معظم أجهزة التوجيه مزودة بكلمة سر افتراضية معروفة تماماً وقلما يغيرها المستخدم.
ويقول أوليفر فريدريك، مدير مركز سيمانتيك للاستجابة الأمنية: "يكشف هذا البحث الجديد عن مشكلة تؤثر على الملايين من مستخدمي الحزمة العريضة في مختلف أنحاء العالم. وبسبب السهولة التي يمكن بها شن هجمات تزوير العناوين محلياً، فمن الأهمية بمكان أن يقوم المستهلكون بتوفير الحماية المناسبة لأجهزة التوجيه الخاصة بهذا النوع من الاتصال وكذلك نقاط الوصول اللاسلكي التي يستخدمونها اليوم".
ويؤكد البروفيسور ماركوس جاكوبسون من مدرسة المعلوماتية التابعة لجامعة إنديانا أن هذا الهجوم يوضح مدى أهمية العامل البشري في توفير الأمن، ويقول: "بينما ينشأ هجوم 'تزوير العناوين محلياً' نتيجة عدم كفاية إجراءات الحماية، فإن هناك عاملا بشرياً آخر في هذه المشكلة: فإذا أمكن للمهاجم أن يخدعك حتى تزور صفحته الشبكية، فيمكنه سبر أغوار حاسوبك. والخداع ليس جديداً على الجنس البشري، ولكن الباحثين في مجال الأمن بدءوا حديثاً في التعامل معه بجدية".
ويتضمن تزوير العناوين محلياً استخدام شيفرة جافاسكريبت لتغيير إعدادات جهاز التوجيه الخاص بالاتصال السريع في منازل المستخدمين. فبمجرد أن ينقر المستخدم على وصلة خبيث، تعمل شيفرة جافاسكريبت الخبيثة لتغيير إعدادات نظام أسماء النطاقات DNS على جهاز التوجيه الخاص بهذا المستخدم. وانطلاقاً من هنا، ففي كل مرة يتوجه فيها المستخدم إلى موقع شبكي، يتولى حاسوب المهاجم بنفسه عملية تحويل أسماء النطاقات. وهذه العملية تتعلق بتحديد عناوين إنترنت التي يشير إليها الاسم المتعارف عليه لأي موقع شبكي. وهذا يعطي المهاجم تحكماً كاملاً بالمواقع التي يدفع الضحية لزيارتها على إنترنت. فمثلاً، قد يعتقد المستخدم أنه يزور الموقع الشبكي الخاص بالمصرف الذي يتعامل معه، بينما تمت إعادة توجيهه في الحقيقة إلى موقع المهاجم.
وهذه المواقع المزيفة عادة ما تكون نسخة طبق الأصل من الموقع الفعلي الذي يرغب المستخدم في زيارته،. ولذا، فمن المحتمل جداً ألا يتعرف المستخدم على الفرق بينهما. وبمجرد إعادة توجيه هذا المستخدم إلى موقع "مصرف" المهاجم، وقيامه بإدخال اسم المستخدم وكلمة السر الخاصة به، فيمكن للمهاجم سرقة هذه المعلومة. وبعد ذلك، يصبح المهاجم قادراً على الوصول إلى حساب الضحية على موقع المصرف الحقيقي وتحويل رصيده، أو إنشاء حسابات جديدة، وتحرير شيكات.
ويوصي مركز الاستجابة الأمنية لدى سيمانتيك المستخدمين باتباع إستراتيجية حماية متعددة الطبقات:
• يجب الحرص على حماية أجهزة التوجيه الخاصة بالمستخدمين بكلمات سر فريدة وقوية، حيث إن معظم أجهزة التوجيه تأتي مزودة بكلمة سر افتراضية للمدير يسهل على المهاجمين تخمينها.
• يجب استخدام حل أمني شبكي يجمع بين أداة لمكافحة الفيروسات وجدار ناري وأداة لاكتشاف محاولات الاقتحام واكتشاف الثغرات الأمنية.
• يجب تجنب النقر على الروابط التي تبدو مريبة، مثل تلك الروابط التي ترسل لك في رسائل بريد إلكتروني من شخص لا تعرفه.
ولا يمكن للحلول الأمنية المتوافرة في السوق اليوم توفير الحماية من هذا النوع من الهجمات، حيث أن هجمات تزوير العناوين محلياً تستهدف تحديداً جهاز التوجيه الشبكي (الراوتر) لدى المستخدم، بينما توفر الحلول الموجودة حالياً الحماية لنظام الحاسوب فقط. وتعمل وحدة أعمال المستهلكين في سيمانتيك الآن على ابتكار حلول تساعد في مواجهة هذه المشكلة، باستخدام تقنيات تعمل على حواسيب المستهلكين وتتصدى لهذا الهجوم آلياً باستخدام عدد من الأساليب التقنية المضمنة في مكدس الشبكة، وفي المتصفح.
ويمكن الحصول على مزيد من التفاصيل حول هذا الهجوم في النشرة التقنية TR641 لجامعة إنديانا والتي تحمل العنوان Drive-by Pharming من إعداد سيد ستام وذو الفقار رمضان وماركوس جاكوبسون والتي يمكن الوصول إليها في الصفحة: http://www.cs.indiana.edu/pub/techreports/TR641.pdf وكذلك في المقال Warkitting: the Drive-by Subversion of Wireless Home Routers من إعداد أليكس تساو وماركوس جاكوبسون وليو يانج وسوزان ويتزل، وذلك في مجلة The Journal of Digital Forensic Practice لعام 2006 على العنوان: http://www.indiana.edu/~phishing/papers/warkit.pdf
كما تقدم مدونة الاستجابة الأمنية من سيمانتيك معلومات تقنية مفصلة حول هذا الهجوم وكيفية الوقاية منه، إضافة إلى رسوم فلاش متحركة تصفه خطوة بخطوة، وذلك في الصفحة: http://www.symantec.com/enterprise/security_response/weblog
كما يعكف خبراء الأمن في سيمانتيك على متابعة كل المستجدات المتعلقة بهذا التهديد، وسيقدمون أحدث المعلومات كلما لزم الأمر.
ممنقول
في هجمات تزوير العناوين pharming التقليدية، يعمل المهاجم على إعادة توجيه المستخدم الذي يحاول زيارة موقع شبكي معين، إلى موقع آخر زائف. ويمكن تنفيذ هذا النوع من الهجوم إما عن طريق تغيير ملف أسماء المزودات المضيفة على حاسوب الضحية أو من خلال التلاعب بنظام أسماء النطاقاتDNS . أما تزوير العناوين محلياً، فهو نوع جديد من المخاطر، يحصل عندما يزور المستخدم موقعاً شبكياً خبيثاً، ومن ثم يتمكن المهاجم من تغيير إعدادات نظام أسماء النطاقات على جهاز التوجيه router غير المحمي والخاص بالاتصال السريع لدى هذا المستخدم، أو على نقطة الوصول اللاسلكي التي يستخدمها. وتعتبر مزودات نظام أسماء النطاقات مسؤولة عن تحويل أسماء مواقع إنترنت إلى عناوينها الفعلية، حيث تعمل بمثابة لوحات الدلالة والإرشاد على إنترنت. وحتى يتمكن حاسوبان من الاتصال بأحدهما الآخر على إنترنت، فلابد أن يعرف كل منهما عنوان IP الخاص بالآخر. ويحدث هجوم "تزوير العناوين محلياً" عندما لا يكون جهاز التوجيه الخاص بالاتصال السريع محمياً بكلمة سر، أو إذا كان المهاجم قادراً على تخمين كلمة السر، فمثلاً تأتي معظم أجهزة التوجيه مزودة بكلمة سر افتراضية معروفة تماماً وقلما يغيرها المستخدم.
ويقول أوليفر فريدريك، مدير مركز سيمانتيك للاستجابة الأمنية: "يكشف هذا البحث الجديد عن مشكلة تؤثر على الملايين من مستخدمي الحزمة العريضة في مختلف أنحاء العالم. وبسبب السهولة التي يمكن بها شن هجمات تزوير العناوين محلياً، فمن الأهمية بمكان أن يقوم المستهلكون بتوفير الحماية المناسبة لأجهزة التوجيه الخاصة بهذا النوع من الاتصال وكذلك نقاط الوصول اللاسلكي التي يستخدمونها اليوم".
ويؤكد البروفيسور ماركوس جاكوبسون من مدرسة المعلوماتية التابعة لجامعة إنديانا أن هذا الهجوم يوضح مدى أهمية العامل البشري في توفير الأمن، ويقول: "بينما ينشأ هجوم 'تزوير العناوين محلياً' نتيجة عدم كفاية إجراءات الحماية، فإن هناك عاملا بشرياً آخر في هذه المشكلة: فإذا أمكن للمهاجم أن يخدعك حتى تزور صفحته الشبكية، فيمكنه سبر أغوار حاسوبك. والخداع ليس جديداً على الجنس البشري، ولكن الباحثين في مجال الأمن بدءوا حديثاً في التعامل معه بجدية".
ويتضمن تزوير العناوين محلياً استخدام شيفرة جافاسكريبت لتغيير إعدادات جهاز التوجيه الخاص بالاتصال السريع في منازل المستخدمين. فبمجرد أن ينقر المستخدم على وصلة خبيث، تعمل شيفرة جافاسكريبت الخبيثة لتغيير إعدادات نظام أسماء النطاقات DNS على جهاز التوجيه الخاص بهذا المستخدم. وانطلاقاً من هنا، ففي كل مرة يتوجه فيها المستخدم إلى موقع شبكي، يتولى حاسوب المهاجم بنفسه عملية تحويل أسماء النطاقات. وهذه العملية تتعلق بتحديد عناوين إنترنت التي يشير إليها الاسم المتعارف عليه لأي موقع شبكي. وهذا يعطي المهاجم تحكماً كاملاً بالمواقع التي يدفع الضحية لزيارتها على إنترنت. فمثلاً، قد يعتقد المستخدم أنه يزور الموقع الشبكي الخاص بالمصرف الذي يتعامل معه، بينما تمت إعادة توجيهه في الحقيقة إلى موقع المهاجم.
وهذه المواقع المزيفة عادة ما تكون نسخة طبق الأصل من الموقع الفعلي الذي يرغب المستخدم في زيارته،. ولذا، فمن المحتمل جداً ألا يتعرف المستخدم على الفرق بينهما. وبمجرد إعادة توجيه هذا المستخدم إلى موقع "مصرف" المهاجم، وقيامه بإدخال اسم المستخدم وكلمة السر الخاصة به، فيمكن للمهاجم سرقة هذه المعلومة. وبعد ذلك، يصبح المهاجم قادراً على الوصول إلى حساب الضحية على موقع المصرف الحقيقي وتحويل رصيده، أو إنشاء حسابات جديدة، وتحرير شيكات.
ويوصي مركز الاستجابة الأمنية لدى سيمانتيك المستخدمين باتباع إستراتيجية حماية متعددة الطبقات:
• يجب الحرص على حماية أجهزة التوجيه الخاصة بالمستخدمين بكلمات سر فريدة وقوية، حيث إن معظم أجهزة التوجيه تأتي مزودة بكلمة سر افتراضية للمدير يسهل على المهاجمين تخمينها.
• يجب استخدام حل أمني شبكي يجمع بين أداة لمكافحة الفيروسات وجدار ناري وأداة لاكتشاف محاولات الاقتحام واكتشاف الثغرات الأمنية.
• يجب تجنب النقر على الروابط التي تبدو مريبة، مثل تلك الروابط التي ترسل لك في رسائل بريد إلكتروني من شخص لا تعرفه.
ولا يمكن للحلول الأمنية المتوافرة في السوق اليوم توفير الحماية من هذا النوع من الهجمات، حيث أن هجمات تزوير العناوين محلياً تستهدف تحديداً جهاز التوجيه الشبكي (الراوتر) لدى المستخدم، بينما توفر الحلول الموجودة حالياً الحماية لنظام الحاسوب فقط. وتعمل وحدة أعمال المستهلكين في سيمانتيك الآن على ابتكار حلول تساعد في مواجهة هذه المشكلة، باستخدام تقنيات تعمل على حواسيب المستهلكين وتتصدى لهذا الهجوم آلياً باستخدام عدد من الأساليب التقنية المضمنة في مكدس الشبكة، وفي المتصفح.
ويمكن الحصول على مزيد من التفاصيل حول هذا الهجوم في النشرة التقنية TR641 لجامعة إنديانا والتي تحمل العنوان Drive-by Pharming من إعداد سيد ستام وذو الفقار رمضان وماركوس جاكوبسون والتي يمكن الوصول إليها في الصفحة: http://www.cs.indiana.edu/pub/techreports/TR641.pdf وكذلك في المقال Warkitting: the Drive-by Subversion of Wireless Home Routers من إعداد أليكس تساو وماركوس جاكوبسون وليو يانج وسوزان ويتزل، وذلك في مجلة The Journal of Digital Forensic Practice لعام 2006 على العنوان: http://www.indiana.edu/~phishing/papers/warkit.pdf
كما تقدم مدونة الاستجابة الأمنية من سيمانتيك معلومات تقنية مفصلة حول هذا الهجوم وكيفية الوقاية منه، إضافة إلى رسوم فلاش متحركة تصفه خطوة بخطوة، وذلك في الصفحة: http://www.symantec.com/enterprise/security_response/weblog
كما يعكف خبراء الأمن في سيمانتيك على متابعة كل المستجدات المتعلقة بهذا التهديد، وسيقدمون أحدث المعلومات كلما لزم الأمر.
ممنقول
