نوفمبر 23, 2017

نصائح من كاسبرسكي لحماية أجهزة الكمبيوتر والشبكات من الهجمات المحتملة مثل “DIY” وما يشابهها

قام باحثو كاسبرسكي لاب بإجراء فحص على الأجهزة وأدوات البرمجيات بهدف اختراق كلمات المرور السرية، وتوصلوا إلى أن هناك إمكانية لإنشاء أداة قرصنة فاعلة وقوية مقابل مبلغ لا يتجاوز 20 دولار أمريكي ولا يستغرق الأمر سوى ساعات عمل قليلة يقضيها أي شخص تتوفر لديه معرفة بسيطة بأساسيات البرمجة. وخلال تلك التجربة، استخدم الباحثون جهاز ذاكرة قابلة للإزالة مصمم على شكل كمبيوتر صغير “Raspberry Pi” ممكن صناعته شخصياً “DIY” معرّف بطريقة معينة وغير محمّل بأي برمجيات خبيثة. وبالاستعانة بهذا الجهاز، استطاع الباحثون جمع بيانات تعريف المستخدم من شبكة الشركة بمعدل 50 كلمة مرور مشفّرة في الساعة.

وقد بدأ البحث بقصة حقيقية: ففي تحقيق آخر شارك فيه خبراء كاسبرسكي لاب، استخدم أحد العاملين المطلعين من داخل الشركة (أحد موظفي شركات التنظيف) ذاكرة قابلة للإزالة “USB” لإصابة محطة عمل، داخل شركة مستهدفة، بإحدى البرمجيات الخبيثة. وقد أثارت القصة عند سماعها فضول خبراء كاسبرسكي لاب المتحمسين لمعرفة الوسائل الأخرى التي يمكن لموظفي الشركة المطلعين استخدامها لاختراق الشبكة المستهدفة؟ وكذلك معرفة ما إذا كان من المحتمل اختراق الشبكة من دون الحاجة لاستخدام أي برامج خبيثة على الإطلاق؟

استخدم الباحثون جهاز الكمبيوتر المصغر “Raspberry-Pi” وعرّفوه كمحول إيثرنت “Ethernet” وقاموا بإجراء بعض التعريفات الإضافية في نظام تشغيل “OS” الكمبيوتر الصغير، ومن ثم تثبّتوا عليه عدداً من الأدوات المتاحة للجمهور من أجل تحليل الحزم وجمع البيانات ومعالجتها. وأخيرا، قام الباحثون بإعداد خادم لجمع البيانات التي تم اختراقها. بعد ذلك، تم توصيل الجهاز إلى الجهاز المستهدف وبدأ بتغذية الخادم تلقائيا ببيانات التعريف الشخصية المسروقة.

ويعود سبب حدوث ذلك إلى أن نظام التشغيل “OS” المثبت على الكمبيوتر الضحية قد تعرّف على جهاز الكمبيوتر “Raspberry-Pi” الصغير على أنه محول سلكي للشبكة المحلية “LAN”، ومن ثم قيامه تلقائياً بإعطائه قدراً أكبر من الأولوية على نحو يفوق الاتصالات الأخرى المتاحة على الشبكة، والأهم من ذلك، أنه سمح له بتبادل البيانات في الشبكة. وقد كانت الشبكة التجريبية عبارة عن محاكاة لنموذج حقيقي لإحدى شبكات الشركات. ونتيجة لذلك، تمكن الباحثون من جمع بيانات المصادقة المرسلة من جهاز الكمبيوتر الضحية وتطبيقاته، وذلك بعد محاولتهم القيام بالمصادقة على النطاق والخوادم المتصلة عن بعد، وبالإضافة لذلك، تمكن الباحثون أيضا من جمع هذه البيانات من أجهزة الكمبيوتر الأخرى المتصلة بالشبكة التجريبية.

وفضلاً عن ذلك، نظراً لأن خصائص الهجوم المحددة قد سمحت بإرسال البيانات المخترقة من خلال الشبكة في الوقت الحقيقي، فإن الجهاز المعني بقدر ما يكون متصلاً بالكمبيوتر الضحية لوقت أطول، كلما تمكن من جمع وتحويل البيانات إلى الخادم المتصل عن بعد.

وبعد مرور نصف ساعة فقط على التجربة، استطاع الباحثون جمع ما يقرب من 30 كلمة مرور مشفّرة ونقلها عن طريق الشبكة الضحية، ولذلك من السهل علينا تصور الكمّ الهائل من البيانات التي يمكن جمعها في غضون يوم واحد فقط. والسيناريو الأسوأ هو في احتمال تعرض بيانات المصادقة الخاصة بمسؤولي النطاق “Domain Administrator” للاختراق أيضاً، وذلك في حال قيامهم بتسجيل الدخول إلى حسابهم عندما يكون الجهاز متصلاً بأحد أجهزة الكمبيوتر داخل النطاق.

إن نطاق الهجوم المحتمل لهذا النمط من اختراق البيانات كبير: تم تكرار التجربة بنجاح على كل من أجهزة الكمبيوتر المحجوبة والنشطة التي تعمل بنظام التشغيل “الويندوز” و”ماك”، ومع ذلك، لم يتمكن الباحثون من إعادة استنساخ الهجوم ذاته على الأجهزة بنظام “Linux”.

وقال سيرجي لوري، الخبير الأمني والمؤلف المشارك في البحث لدى كاسبرسكي لاب، “هناك شيئان أساسيان يجعلاننا نشعر بالقلق كنتيجة لهذه التجربة: الأمر الأول، وهو حقيقة أنه لم يستدعي الأمر منا تطوير البرمجية، بل استخدمنا أدوات متوفرة بحرية للجمهور على شبكة الإنترنت. الشيء الثاني هو قلقنا المتزايد حول مدى سهولة إعداد دليل مقنع للمصادقة على أداة القرصنة التي كانت بحوزتنا. وهذا يعني أنه بإمكان أي شخص، لديه معرفة بالإنترنت ومهارات البرمجة الأساسية، إعادة تكرار هذه التجربة. ومن السهل التنبؤ بما يمكن أن يحصل في حال حدوث ذلك بدوافع ونوايا خبيثة. وهذه الأخيرة هي السبب الرئيسي الذي جعلنا نلفت انتباه الجمهور إلى هذه المشكلة. يتعين إعداد المستخدمين وإداريي النطاق على النحو الأمثل لمواجهة هذا النوع من الهجمات.”

ومع أن الهجوم يسمح باعتراض كلمات المرور المشفّرة (فك الشيفرة الأبجدية لنص كلمة المرور العادي بعد أن تتم معالجتها عن طريق خوارزمية معقدة محددة)، فبالإمكان أيضاً فك رموز تشفير كلمات المرور، باعتبار أن الخوارزميات معروفة أو مستخدمة في نمط هجمات تمرير الشيفرة دون فكها أو ما يعرف بإسم: “Pass-the-Hash Attacks”.

ومن أجل حماية أجهزة الكمبيوتر أو الشبكة الخاصة بكم من الهجمات التي يتم شنها باستخدام أجهزة شبيهة بنوع “اصنعه بنفسك” أو “DIY”، يوصي خبراء الأمن في كاسبرسكي لاب باتباع الخطوات التالية:

للمستخدمين العاديين:

  1. عند العودة إلى جهاز الكمبيوتر الخاص بكم، تحققوا فيما إذا كان هناك أي أجهزة ذاكرة قابلة للإزالة “USB” إضافية متصلة بجهازكم.
  2. تجنبوا قبول محركات أقراص الفلاش من مصادر غير موثوقة، فقد يكون محرك الأقراص هذا، في الواقع، بمثابة أداة لاعتراض كلمات المرور.
  3. احرصوا على إنهاء فترة استخدام المواقع التي تتطلب المصادقة واجعلوا من ذلك عادة دائمة لديكم. يكون ذلك عادة بالضغط على مفتاح “تسجيل الخروج”.
  4. قوموا بتغيير كلمات المرور بانتظام – سواء على جهاز الكمبيوتر الخاص بكم والمواقع الإلكترونية التي تستخدمونها بشكل متكرر. تذكروا أن المواقع الإلكترونية المفضلة لديكم، لا تستخدم جميعها آليات محددة لحمايتكم من استبدال بيانات ملفات تعريف الارتباط “Cookie”. يمكنكم استخدام برنامج إدارة كلمة المرور المتخصص للتحكم السهل بضبط واختيار كلمات المرور القوية والآمنة، مثل حل “Kaspersky Password Manager”.
  5. اتبعوا أسلوب التوثيق المكون من عاملين، على سبيل المثال، عن طريق طلب تأكيد تسجيل الدخول أو استخدام رمز الجهاز.
  6. قوموا بشكل مستمر بتثبيت وتحديث الحل الأمني المقدم من مورد معتمد وموثوق.

لمسؤولي النظام

  1. في أن هيكلية الشبكة تسمح بذلك، نقترح استخدام بروتوكول “Kerberos” فقط للمصادقة على مستخدمي النطاق.
  2. تقييد مستخدمي النطاق الذي لديهم الأفضيلة، من الدخول إلى الأنظمة القديمة، وخاصة مسؤولي النطاق.
  3. ينبغي تغيير كلمات مرور مستخدمي النطاق بانتظام. في حال لم تتضمن سياسة الشركة، لأي سبب مهما يكن، تعليمات بشأن تغيير كلمات المرور بشكل منتظم، فتأكدوا من تغيير هذه السياسة.
  4. ينبغي حماية جميع أجهزة الكمبيوتر داخل شبكة الشركة باستخدام الحلول الأمنية، كما ينبغي التأكد من إجراء تحديثات منتظمة لتلك الحلول الأمنية.
  5. من أجل منع اتصال أجهزة الذاكرة القابلة للإزالة “USB” غير المصرح بها، ننصح باستخدام خاصية “Device Control”، مثل تلك المتوفرة في حل “Kaspersky Endpoint Security” للشركات.
  6. في حال كنتم تملكون مصدر الاتصال بالإنترنت، نوصي بتفعيل “HSTS” (نظام نقل البيانات الأمني الصارم عبر الإنترنت “HTTP”) الذي يمنع الانتقال من بروتوكول “HTTPS” إلى بروتوكول “HTTP” وإخفاء بيانات التعريف الشخصية عن ملفات تعريف الارتباط “Cookie” المسروقة.
  7. في حال كان ممكناً، قوموا بتعطيل وضعية الاستماع وتفعيل إعدادات عزل نقطة الاتصال “Client AP” في أجهزة الراوتر والمحولات التي تبث إشارة الاتصال اللاسلكي بالإنترنت “WiFi”، وذلك عن طريق تعطيل وضعية الاستماع لتدفقات بيانات محطات العمل الأخرى.
  8. قوموا بتفعيل إعدادات “DHCP Snooping” لحماية مستخدمي شبكة الشركة من اعتراض طلبات “DHCP” الخاصة بهم عن طريق خوادم “DHCP” المزيفة.

بالإضافة إلى قدرته على اعتراض بيانات المصادقة الصادرة عن شبكة الشركات، يمكن استخدام الجهاز التجريبي أيضاً لجمع ملفات تعريف الارتباط “Cookies” من متصفحات على الأجهزة التي تقع ضحية لتلك الهجمات.

مقالات ذات صله

الرد

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

*