اليوم الأسود:
أساليب الاستعداد لتطور الهجمات السيبرانية إيهاب خليفة
يعد العالم على أعتاب مرحلة جديدة من الهجمات الإلكرونية، أكثر تعقيداً وسرعة، تعجز الدول منفردة عن مواجهتها، فهي تنتشر في ثوان معدودة، وتتسبب في الإضرار بالاقتصادات والجيوش والأفراد، وتقودها مجموعات متفرقة من قراصنة المعلومات والعصابات الإجرامية كما قد تتورط فيها الدول، الأمر الذي ينذر في النهاية بحدوث فوضى كرى عر الفضاء الإلكروني تمثل يوماً أسود في تاريخ البشرية. شهد العالم محاكاة، ولو بصورة مصغرة، لما يمكن تسميته "اليوم الأسود" في تاريخ الفضاء الإلكتروني، وذلك يوم الجمعة الموافق 12 مايو 2017، حيث قامت مجموعة من القراصنة المجهولين بشن هجوم ضارٍ من أحد البرمجيات الخبيثة المعروفة باسم "أريد البكاء" WannaCry(،) واستطاع إصابة أكثر من مائتي ألف ضحية في أكثر من مائة وخمسين دولة)(1 خال أول 48 ساعة فقط من الهجوم، وهو ما يثير التساؤل حول فرص تكرار هذا السيناريو في المستقبل القريب، وإن بصورة أشد وأعنف، فضاً عن الوسائل والآليات التي يمكن توظيفها للتعامل مع تلك الهجمات.
اأولاً: اأنواع الهجمات الاإلكترونية
تتعدد أنواع الهجمات الإلكترونية وفقاً للأسلوب الفني لتنفيذها، وهو ما يمكن إيضاحه فيما يلي: 1- هجمات التصيد :)Phishing( حيث يعتمد هذا الأسلوب على "الهندسة الاجتماعية" )Social Engineering( من خال تحفيز الضحية لفتح رابط يحتوي على برمجية خبيثة تصيب الجهاز، وذلك من خال إرسال رسائل تحتوي على موضوعات قد تكون محل اهتمام الضحية، أو استخدام أسماء قد تكون مألوفة بالنسبة لهم مع إرفاق أحد البرمجيات الخبيثة، وبمجرد أن يقوم الضحية بفتح الرسالة تبدأ عملية القرصنة، ويعتبر البريد الإلكتروني والرسائل الشخصية والتطبيقات التي يتم تنصيبها على مواقع التواصل الاجتماعي من أكثر المنصات عرضة لمثل هذه الهجمات)2.) 2- هجمات الحرمان من الخدمة DOS(:) تُعد من أخطر أشكال الهجمات الإلكترونية، حيث يتم استخدام برامج كمبيوتر مخصصة لهذا الغرض، بالإضافة إلى السيطرة على عدد كبير من أجهزة الكمبيوتر وتكوين شبكة روبوتية بينهم تسمى botnet(،) يستخدمها الهاكر في إطاق هجمة إلكترونية ضخمة على الضحية، وإغراقها بالآلاف من الرسائل والطلبات، التي تؤدي في النهاية إلى انقطاع الخدمة ووقفها، سواء كان ذلك موقع إنترنت أو خدمة إلكترونية خاصة أو حكومية)3.) 3- الثغرات الصفرية :)Zero-Day( وهي الثغرات الحديثة نسبياً الموجودة في برامج التشغيل وتطبيقات الكمبيوتر والهواتف الذكية، والتي لم يتم اكتشافها بعد من قبل المطورين
والباحثين الأمنيين، وإذا اكتشفها أحد قراصنة المعلومات قبل الفنيين، فإنه قد يستغلها للسيطرة على أجهزة الضحايا بصورة مباشرة أو حقنها بعدد من التطبيقات والبرمجيات الخبيثة التي تقوم بوظائف معينة)4.) 4- الأبواب الخلفية :)Backdoors( وهي ليست ثغرات مجهولة، بل ثغرات مقصودة، تلجأ إليها بعض الشركات بهدف الدخول على جهاز المستخدم بصورة مباشرة لإصاح مشكلة فنية مثاً أو جمع معلومات عن آلية عمل الجهاز، أو تقوم بوضعها بعض المنظمات والمؤسسات الأمنية على أجهزة الضحايا بهدف التجسس والمراقبة)5.) 5- الثغرات التقنية: وهي الأخطاء التقنية التي تؤدي إلى ثغرات، مثل سوء هندسة الشبكة الداخلية الخاصة بالشركة أو المؤسسة، أو ضعف إجراءات التأمين الخاصة بها، أو الثغرات الموجودة في التطبيقات سيئة السمعة، والتي يستغلها القراصنة لإصابة الأجهزة والخوادم، ومن الأنماط التي تستخدم في ذلك نمط SQL Injection Attack( .) « »
ثانياً:خ�سائ�ض الفديةالخبيثة
يوجد نوعان أساسيان من برمجيات الفدية الخبيثة، الأول يقوم بالتشفير Crypto(،) والثاني يقوم بالغلق Locker(،) حيث يقوم النوع الأول بتشفير البيانات فقط مع إعطاء قدرة للمستخدم للوصول إليها، لكن با فائدة من دون مفتاح فك التشفير، أما الثاني فيقوم بإبعاد المستخدم نهائياً عن البيانات، أي عمل حاجز بينه وبين جهاز الكمبيوتر وليس تشفير البيانات، ولا يستطيع استخدام الجهاز، إلا من خال دفع الفدية)6.)
وكانت بداية ظهور هذا النمط من البرمجيات الخبيثة المتقدمة التي تقوم بتشفير الملفات وطلب فدية لفكها في عام 2005 باسم )Archievus( وعلى الرغم من بدائيتها، فإنها شكلت عقبة حقيقية أمام محاولات فك التشفير، إلى أن جاءت برمجية )Cryptolocker( في سبتمبر 2013، وهي من البرمجيات المتطورة التي استهدفت الشركات من خال طريقة التصيد Phishing(،) وتسببت في خسائر كبيرة للأفراد.
وفي عام 2014، ظهرت برمجية CryptoDefense() التي تطورت فيما بعد وظهرت باسم آخر وهو CryptoWall(.) ولم تسلم أجهزة الهاتف المحمول أيضاً من هذه البرمجيات، حيث ظهرت برمجية Sypeng and( Koler) التي تقوم بإغاق الهاتف المحمول وتمنع المستخدم من الولوج لبياناته الشخصية حتى يقوم بدفع 200 دولار فدية)7(، ويمكن القول إن برنامج الفدية الخبيثة الأخير اختلف اختافاً كبيراً عن سابقه، بحيث يمكن القول إن له سمات خاصة به، وتتمثل في التالي: 1- الانتشار الجغرافي الواسع: تميزت جميع الهجمات السابقة على برمجية "أريد البكاء" WannaCry() بمحدودية انتشارها، وسرعة السيطرة عليها والحد من تداعياتها، أما "أريد البكاء"، فقد نجح في اجتياح أغلب دول العالم، وتسبب في خسائر مالية وإنسانية فادحة لم يتم تقديرها بعد، فقد نجح القراصنة باستخدام هذه البرمجية في اختراق أجهزة الشركات والمصانع والمستشفيات، وقاموا بتشفير البيانات الموجودة بالأجهزة والخوادم المصابة، وإعطاء مهلة محددة للضحية لدفع مبلغ مالي يصل إلى 300 دولار تقريباً لفك التشفير، تتم مضاعفتها بعد مرور ثاثة أيام، ثم حذف البيانات إذا لم يتم الدفع بعد أسبوع.
2- التركيز على الكيانات الحكومية والاقتصادية: تميزت الهجمة الأخيرة تحديداً باستهداف الكيانات الاقتصادية وليس الأفراد، وهو ما يجعلها تختلف عما سبقها من هجمات، والتي كانت تركز على استهداف الأفراد بالأساس، وذلك لأن هذه المؤسسات هي الأقدر على دفع الفدية، كما أنها الأكثر تضرراً في حالة حذف بيانات العماء أو براءات الاختراع التي تملكها أو حساباتها المالية أو خططها التسويقية أو غيرها من البيانات المهمة، فالخسائر التي سوف تقع على الشركات أكبر بكثير من تلك التي يمكن أن تقع على الأفراد، ومن ثم فالشركات هي الأكثر تضرراً، وبالتالي الأكثر احتمالية وقدرة أيضاً على الدفع.
وتسببت الهجمة في شل قطاع الصحة في بريطانيا عن العمل، وإلغاء العديد من العمليات الجراحية وتأجيل الحالات الصحية الطارئة، فاستطاعت هذه الهجمة التأثير على قطاع كبير من المستخدمين في وقت قياسي وتسببت في شلل لأحد أهم قطاعات البنية التحتية البريطانية وهو قطاع الصحة)8.) 3- التورط غير المباشر لوكالة الأمن القومي الأمريكي: قامت وكالة الأمن القومي الأمريكي National Security( Agency) بتطوير هذه البرمجية قبل أن يتم تسريبها، إلى موقع "ويكيليكس"، والذي بدوره قام بنشر تسريبات عرفت باسم "القبو 7" 7( Vault) في 7 مارس 2017، والتي سربت فيها العديد من المشروعات والثغرات والبرامج التي تستخدمها وكالة الأمن القومي الأمريكي للتجسس على جميع الأفراد حول العالم)9(، وكان من بينها برمجية "أريد البكاء"، التي طورتها الوكالة لاستغال بعض الثغرات الصفرية الموجودة في برامج تشغيل ويندوز للتجسس على الأفراد والحكومات.
وقد قامت الوكالة بإعطاء هذه الثغرات لشركة مايكروسوفت في أغسطس 2016، وقامت بمعالجتها في مارس 2017، أي قبل الهجوم بنحو شهرين، غير أن التحديث لم يشمل الأجهزة كافة حول العالم، مما ترك الكثير منها عرضة للهجمات. وقد استغلت هذه الثغرات مجموعة من القراصنة تطلق على نفسها لقب "وسطاء الظل" Shadow Brokers( ،) ظهرت عام 2016 وادعت أنها استطاعت سرقة بعض الأسلحة الإلكترونية التي قامت بتطويرها وكالة الأمن القومي الأمريكي.
وتجدر الإشارة إلى أن أحد الباحثين الإلكترونيين صاحب حساب MalwareTechBlog() على تويتر، بالتعاون مع أحد أصدقائه في شركة "بروف بوينت" Proofpoint() للأمن الإلكتروني، ومن خال الصدفة البحتة، قام باكتشاف كود لتدمير الهجمة ذاتياً. وقام بإنشائه صاحب الهجمة نفسه بهدف إحكام السيطرة عليها وإيقافها في أي وقت يرغب فيه.
وقد لاحظ هذا الباحث وجود أحد النطاقات التي تتردد عليها الهجمة عقب إصابتها لكل هدف جديد، وهو ما دفع الباحث لتدوين هذا النطاق الذي يتكون من أكواد مختلفة، وشرائه بمبلغ 10 دولارات وتسجيله لصالحه، وبمجرد أن تم تسجيل هذا النطاق على شبكة الويب توقفت الهجمة تلقائياً، وتم إبطاؤها بصورة ملحوظة، ولكن يعتقد كثير من الباحثين أن هذا الإيقاف مؤقت وليس دائماً، وقد ترجع الهجمة من جديد بصورة أعنف ولا يمكن السيطرة عليها من أي من الأشخاص في حالة رغب صاحب الهجمة في ذلك.
ثالثاً: ملامح الهجمات ال�سيبرانية القادمة
تميزت الهجمات الإلكترونية بصورة عامة خال العقد الأخير، وتحديداً حتى عام 2016 بكونها محدودة ومؤقتة، ولا تؤثر على قطاع كبير من المستخدمين، حتى جاء هجوم "إنترنت الأشياء" الذي وقع في الولايات المتحدة يوم الجمعة 21 أكتوبر 2016، حين تمكن بعض القراصنة من السيطرة على أجهزة بسيطة متصلة بالإنترنت، مثل بعض الألعاب والأدوات المنزلية الإلكترونية، واستخدامها في إطاق هجوم إلكتروني على العديد من المواقع الإلكترونية، مثل تويتر ونيتفليكس، وذلك من خال إغراق الخوادم المشغلة للمواقع بمايين الطلبات التي تفوق قدرة الخوادم على معالجتها، مما تسبب في انقطاع الخدمة عن عدد كبير من المستخدمين لمدة وصلت إلى 11 ساعة)10(. وفي ضوء التطور السريع في أنماط الهجمات السيبرانية، يمكن التنبؤ بمامح الهجمات السيبرانية المستقبلية، وذلك على النحو التالي: 1- استخدام منصات مختلفة: يتم استخدام منصات مختلفة لشن الهجمات الإلكترونية، سواء كانت عبر أجهزة الحاسب، أو إنترنت الأشياء أو أجهزة الهواتف المحمولة، كما أنه في المستقبل قد يتم توظيف تطبيقات الذكاء الصناعي في الهجوم مثل الروبوتات. 2- تسارع وتيرة الهجمات السيبرانية: فالفارق الزمني بين هجمة سيبرانية وأخرى أصبح قصير جداً، ولذلك سوف يكون من الطبيعي حدوث عدة هجمات كبرى خال عام واحد. 3- الاعتماد على العملات الافتراضية: مثل البيتكوين، فيما يتعلق ببرامج الفدية، وذلك لصعوبة تعقبها، وخروجها عن سيطرة البنوك المركزية. ومن جهة ثانية، فإنه يمكن البيع والشراء من خالها، أو حتى تحويلها إلى عمات تقليدية من خال ماكينات الصرف الآلي المنتشرة في دول متعددة، فتصبح العملة الرسمية للهجمات الإلكترونية. 4- زيادة درجة تعقيد الهجمة وتداعياتها: فتكون الهجمات معقدة في طريقة تنفيذها، يصعب تعقبها أو معرفة مصدرها، ويشارك فيها عدد كبير من الأفراد حول العالم، وتستخدم أجهزة غير متوقعة في عملية القرصنة، مثل الدرونز، كما أن تداعياتها المادية سوف تكون جسيمة. 5- تنامي دور الفاعلين من غير الدول: يلعب الفواعل من غير الدول دوراً مهماً، قد يكون مساوياً لدور الدول، سواء كانت مجموعة قرصنة أو حركات إرهابية أو مافيا دولية، أو أفراداً عاديين. 6- انتفاء الحاجة إلى خبرة فنية: حيث تم تطوير العديد من برامج القرصنة الإلكترونية التي لا تحتاج إلى مطورين ومختصين لاستخدامها، بل يمكن شرائها واستخدامها بصورة سهلة، وهو ما يفتح الباب لقطاع كبير من غير المختصين للمشاركة في هذا النوع من الهجمات.
رابعاً: من�سات قابلة للاختراق
تميزت الهجمة الأخيرة تحديداً باستهداف الكيانات الاقتصادية وليس الأفراد، وهو ما يجعلها تختلف عما سبقها من هجمات، والتي كانت تركز على استهداف الأفراد بالأساس، وذلك لأن هذه المؤسسات هي الأقدر على دفع الفدية، كما أنها الأكثر تضرراً في حالة حذف البيانات التي تملكها.
تتطور الهجمات الإلكترونية بصورة سريعة ومعقدة، وتتزايد خطورتها بصورة يومية، ومع اتجاه الدول والشركات والأفراد لزيادة الاعتماد على التكنولوجية الحديثة والتقنيات الذكية في القيام بكافة أنشطتهم اليومية، تتعدد المنصات القابلة لاختراق، وذلك على النحو التالي: 1- أجهزة إنترنت الأشياء: يبلغ عدد القطع المتصلة عبر شبكة لاسلكية بالإنترنت، والمعروفة بإنترنت الأشياء Internet of( Things) عام 2017 حوالي 8.1 مليار جهاز)11(، تشمل كافة الأجهزة المنزلية والأدوات الشخصية ومعدات المصانع ومستلزمات الشركات وتجهيزات المطاعم والفنادق والمحات وخطوط المواصات، بحجم اقتصاد يبلغ 3 تريليون دولار)12(، فإذا تم اختراق هذه الأجهزة، فإنها ستتحول إلى أدوات قادرة على تدمير البنية التحتية الحرجة كالبنوك ومحطات الطاقة والسدود والمستشفيات وقطاع الاتصالات، أو حتى تعطيل الخدمات المالية والمصرفية ووقف جميع الخدمات الحكومية، بل يمكن أن يتسبب في تدمير شبكة الإنترنت نفسها. 2- نظم الذكاء الاصطناعي: بدأت تقنيات الذكاء الاصطناعي في الانتشار تدريجياً، مثل نظم الروبوتكس في المصانع والشركات والسيارات ذاتية القيادة والطائرات بدون طيار، ويتوقع الباحثون أنه في غضون أربعين عاماً سيتحكم الذكاء الاصطناعي في كافة أنشطتنا اليومية)13(، وإذا تم اختراق هذه النظم، فمن الممكن أن يتم توظيفها لتنفيذ عمليات إجرامية، مثل توظيف الدرونز في عمليات تخريبية أو في تهديد حياة الأفراد. 3- المدن الذكية: اتجهت العديد من الدول حول العالم نحو تبني نماذج الحكومات الذكية والمدن الذكية، بهدف تحسين جودة الخدمات التي تقدمها للمواطنين وتحقيق أكبر استفادة ممكنة من الموارد، فالذي يدير نظم الاتصالات والمواصات ومحطات الطاقة وكافة الخدمات الحكومية هي نظم إلكترونية، وإذا حدث وتم اختراقها فإن خسائرها المادية أو البشرية أو
المعلوماتية سوف تكون فادحة. 4- الهواتف الذكية: يبلغ عدد حاملي الهواتف الذكية عام 2017 حوالي 2.32 مليار شخص حول العالم، ومن المتوقع أن يصل هذا العدد إلى 2.87 مليار شخص بحلول عام 14( 2020(، يسيطر فيها نظام التشغيل أندرويد على نسبة 65% منها)15(، وهي مشكلة هيكلية لأن نسبة 97% من فيروسات الهواتف الذكية تصيب برامج الأندرويد تحديداً)16(، مما يجعل احتمالية اختراق هذه الهواتف عالية جداً، ولذلك ليس من المستبعد التنبؤ بتطوير برمجية مماثلة ل "أريد البكاء" تسيطر على هواتف الأفراد وتطلب فدية من أصحابها للإفراج عنها. 5- منصات التخزين السحابية: اتجهت معظم الدول والشركات والمؤسسات، بل والأفراد إلى تخزين معلوماتهم المهمة في منصات تخزين سحابية Cloud(،) لكن هناك شكوك تحوم حول مسألة تأمين هذه المنصات، إذ إن هناك مخاوف جدية من أن يتم اختراقها وتسريب البيانات الموجودة عليها، وما يترتب عليها من انتهاك لخصوصية الأفراد، وفضح أسرار الشركات والمؤسسات. 6- خدمات الإنترنت: إذا نجح قراصنة المعلومات في السيطرة على عدد كبير من أجهزة إنترنت الأشياء وأجهزة الهواتف الذكية، فضاً عن أجهزة الحاسب الآلي، فإنه يمكنهم بسهلة استهداف خوادم الشركات المشغلة لنطاقات وعناوين الإنترنت في العالم، وإغراق خوادمهم بمليارات الطلبات التي تفوق قدرتها على التحمل، مما يؤدي في النهاية إلى انهيار الإنترنت، وتوقف الخدمات الإلكترونية عن جميع المستخدمين.
خام�ساً: كيفية الا�ستعداد لليوم الاأ�سود
إن الاستعداد لإمكانية توقف خدمات الإنترنت لن يتم في ليلة وضحاها، ولذلك من الضروري على الدول سرعة اتخاذ مجموعة من الإجراءات والتدابير الاحترازية لاستعداد لمثل هذا اليوم، ومنها: 1- التدابير التقنية: يأتي ضمن هذه التدابير تطوير تقنيات التتبع العكسي للهجمات الإلكترونية، ونشر المجسات Sensors() وأنظمة الإنذار المبكر القادرة على سرعة اكتشاف الهجمة في بدايتها على البنية التحتية الحرجة، وإنشاء شبكات احتياطية يمكن اللجوء إليها في حالة إصابة الشبكة الرئيسية حتى لا تتوقف الخدمة، سواء كانت شبكات طاقة أو اتصالات أو إنترنت، مع عمل نسخ احتياطية من البيانات يتم تحديثها بصورة متزامنة، حتى إذا فُقدت البيانات الأصلية يتم اللجوء إلى البيانات الاحتياطية، مع إعادة النظر في مفهوم "أمن الشبكات" وتبني مفهوم "أمن البيئة" لكي تشمل كل العناصر الموجودة بها، سواء الأجهزة أو المباني أو الأفراد أو السلوكيات والتصرفات داخل المؤسسات. 2- الأحلاف السيبرانية: ينبغي للدول توسيع نطاق الأحاف التقليدية لتكون ضمن مهامها مسؤولية تحقيق الأمن السيبراني للدول، مثل حلف الأطلسي، فضاً عن توقيع اتفاقات سياسية للتعاون في مجال الاستخبارات الإلكترونية والأدلة الجنائية، على أن يشمل التعاون كذلك الشركات التكنولوجية التي يمكن أن توفر معلومات قد تفيد في تعقب القراصنة. 3- تنمية المواهب السيبرانية: يجب على الدول الاستثمار في العنصر البشري، خاصة الأطفال، لإنشاء جيل من الموهوبين في التعامل مع التقنيات الذكية، وقد لجأت العديد من الدول مثل بريطانيا وفرنسا، بالإضافة إلى الشركات التكنولوجية لتعليم الأطفال البرمجة في المرحلة الابتدائية، وتشجيع المبتكرين والموهبين في مجال القرصنة وأمن المعلومات وتنظيم مسابقات لهم، لاكتشاف أفضل العناصر وتبني مواهبها وتطويرها. 4- التوعية المجتمعية: ينبغي أن تبادل الحكومات بتوعية أفراد المجتمع بالتهديدات القادمة من الفضاء الإلكتروني، والتطبيقات التكنولوجية المختلفة، حتى يدركون كيفية الاستفادة من مميزات هذه التقنيات وتافي تهديداتها، ويتحقق ذلك عبر شراكة بين الحكومة والقطاع الخاص والمجتمع المدني. 1- NHS cyberattack: Seven trusts still turning away patients,of-further-cyberattacks-on-monday-morning-10876985 Sky news, 14 May 2017, accessible at: http://news.sky.com/story/europolwarns2- Phishing definition, Search Security, accessible at: http://searchsecurity.techtarget.com/definition/phishing 3- Distributed Denial of Service )DDoS( attack, Search Security, accessible at: https://goo.gl/g4QJha 4- What is a Zero-Day Exploit?, Fire Eye, accessible at: https://goo.gl/tduhIN 5- Back Door, Search Security, accessible at: http://searchsecurity.techtarget.com/definition/back-door 6- Kevin Savage, Peter Coogan, Hon Lau, The evolution of ransomware, Symantic, August 6,2015, accessible at: https://goo.gl/8CrN6B 7- Ryan Francis, The history of ransomware, CSO online, Jul 20,2016, accessible at: https://goo.gl/Q0dYrV 8- قطاع الصحة البريطاني يعاني من جراء الهجمات الإلكترونية، سكاي نيوز عربية، 15 مايو 2017، موجود على الرابط التالي: https://goo.gl/zaf3sT 9- The NSA exploit used in the WannaCry cyberattack was also used to build a money-making botnet, Business Insider, May 16, 2017, accessible at: https://goo.gl/dxtECd 10- Julia Franz, October’s cyberattack used the 'internet of things' to attack the internet itself. Here’s why it could happen again, Public Radio International, November 13,2016, accessible at: https://goo.gl/6Ex9mr 11- Gartner Says 8.4 Billion Connected "Things" Will Be in Use in 2017, Up 31 Percent From 2016, Gartner, February 7,2017, accessible at: http://www.gartner.com/newsroom/id/3598917 12- Ben Dickson, Techtalks: How blockchain can change the future of IoT, Venture Beat, November 20,2016, accessible at: http:// venturebeat.com/2016/11/20/how-blockchain-can-change-the-future-of-iot/ 13- Max Tegmark, Benefits & Risks Of Artificial Intelligence, Future of life, accessible at: https://goo.gl/amiY3o 14- Number of smartphone users worldwide from 2014 to 2020)in billions(, Statista, May 16,2017, accessible at: https://goo.gl/tTii5N 15- OS, Android Market Share on Mobile/Tablet, Netmarketshare, May 16,2017, accessible at: https://goo.gl/wemkuz 16- Report: 97% of Mobile Malware Is On Android. This Is The Easy Way You Stay Safe, Forbes, March 24,2014, accessible at: https://goo. gl/vPDyXD 45