إذا كان القانون لا يحمي المغفلين، فهل تحميهم الجمعية المعلوماتية؟

نشر خبير أمن الإنترنت المعروف المهندس يعرب كاشور مقالا يتحدث فيه عن انتشار دودة Blaster في سورية خلال الأيام الماضية، ويقول فيها أن مخدم الإنترنت للجمعية المعلوماتية ملوث بالفيروس ويحاول نقله إلى كل مشتركي الإنترنت السورية.

في تلك المقالة يصف الأستاذ يعرب كيف يصاب الحاسب بالدودة بمجرد الدخول إلى الإنترنت، وأن الحماية التي يقدمها برنامج Norton Antivirus ليست كافية لمنع الإصابة بالفيروس، ويتهم مزود الخدمة أنه ينشر الدودة قصدا أو عفوا.

تنتشر هذه الدودة عبر الإنترنت بشكل مباشر، وبدون الحاجة لفتح البريد الالكتروني، وتصيب أنظمة Windows 2000 و ويندوز XP غير المحمية. تعتمد الدودة في انتشارها على استغلال ثغرة في تقنية DCOM RPC التي تعمل تلقائيا على كل أنظمة ويندوز، وتنصت على المنفذ 135 للبروتوكول TCP. يقوم أي حاسب مصاب يستطيع الاتصال مباشرة بالحاسب الهدف بإرسال حزمة بيانات تحوي أوامر تستغل الثغرة الأمنية، وتفتح المنفذين 4444 على البروتوكول TCP و 69 على البروتوكول UDP، ثم تقوم حزمة البيانات المرسلة بتنزيل ملف الدودة من الحاسب المصاب، ثم تشغله لتبدأ عملها من جديد. ولن أدخل في تفاصيل عمل الدودة وخطرها الأمني الهائل على الحاسب المصاب، لأنه موضوع طويل وعديم الفائدة، فهذه الدودة قديمة وقد انخفضت الإصابة بها إلى الحدود الدنيا.

لكي تتمكن الدودة من الانتشار إلى حاسب ما، يجب أن يحقق الحاسب الشروط التالية:

1- نظام التشغيل يحوي الثغرة التي تستغلها الدودة في DCOM RPC
2- الحاسب ليس محميا بجدار نار، أو أن جدار النار بالغ الغباء لدرجة أنه يفتح المنافذ 135 و 4444 على البروتوكول TCP و 69 على البروتوكول UDP.

نلاحظ أن تقنية انتشار الدودة تتم آليا لمجرد كون الحاسب غير محمي ومتصلا بالإنترنت، والحماية الأساسية منها هي في:

 

1- ترقية نظام التشغيل إلى Windows XP SP1 أو ما بعدها لسد الثغرة الأمنية
2- استخدام جدار ناري وإغلاق المنفذ 135 على البروتوكول TCP من الجدار الناري، لإن ويندوز لا يستطيع إيقاف خدمة DCOM RPC.

في الفترة الماضية، عندما كانت الجمعية تقدم خدمة Real IP، ولم تكن Microsoft قد أصدرت إصدار الخدمة الأول SP1 لنظام Windows XP، كانت كل حواسب مستخدمي الإنترنت السورية المشتركين بخدمة Real IP مفتوحة أمام هذه الدودة، لأن سياسة أمن الإنترنت لدى الجمعية المعلوماتية كانت تمنع أي اتصال مع الخارج من سورية، ولكنها تسمح لكل من خارج سورية أن يسرح ويمرح في الشبكة السورية. ولذلك شاع في تلك الفترة استخدام جدران النار المحلية، وأثبتت فعالية كبيرة في وجه الدودة، لأنها تصدها قبل أن تتمكن من النفاذ.

أعتقد أن مزود الخدمة لا يستطيع فعليا حماية المستخدمين داخل شبكته من مستخدمين آخرين على نفس الشبكة، ربما يحاول مزود الخدمة تقديم أفضل حماية، ولكن الحماية الكاملة غير ممكنة فعليا. أعتقد أيضا أن مزود الخدمة ليس مسؤولا إذا كان بعض مستخدمي الشبكة قد قرروا استخدام نظام تشغيل قديم، ومزود بثغرات أمنية مبيتة قصدا أو عفوا، ولا يحمون نفسهم بجدار نار. فكل مستخدم على الإنترنت مسؤول عن حماية نفسه قدر الإمكان، ولذلك فأنا لا أوافق الأستاذ يعرب كاشور على تحميل مسؤولية إصابة بعض الأجهزة بهذه الدودة لمزود الخدمة، بل أضم صوتي لصوت طاقم الدعم التقني في الجمعية المعلوماتية، فالمسؤولية أولا وأخيرا تقع على مسؤول الأمن لهذه الأجهزة، وهو الشخص المسؤول عن تعيير جدار النار، وترقية نظم التشغيل لسد كل الثغرات الأمنية. وعندما يقوم مسؤول الأمن هذا بمهمته كما يجب، بدلا من دفن رأسه في الرمال وتحميل المسؤولية لغيره، لن تستطيع دودة Blaster الانتشار على حواسبه حتى لو حاول مزود الخدمة عمدا أن ينشرها.

في نهاية مقالته يطرح الأستاذ يعرب كاشور مجموعة من الأسئلة العامة، وأهمها سؤاله لمزودي الخدمة عن الاحتياطات الأمنية التي يتخذونها، وهو سؤال مشروع أضم صوتي إلى صوته في طرحه، ولكنني أخالفه الرأي في تحميل المسؤولية للجمعية المعلوماتية عن انتشار هذه الدودة، وأعتقد أن ذنب من يصاب بها هو أنه لم يستخدم نظام تشغيل آمن، ولم يحم نفسه بجدار نار، وإذا كان القانون لا يحمي المغفلين، فهل مسؤولية الجمعية المعلوماتية أن تحميهم؟

مزودو الخدمة في سورية ليسوا مسؤولين عن هذه المشكلة البسيطة، ولكنهم مسؤولون عن الكثير من المشاكل التي تترك تأثيرا كبيرا جدا على مجتمعنا، وإذ أحاول هنا أن أكون موضوعيا ومنصفا، أرجو أن يحاولوا هم أيضا أن يكونوا موضوعيين، ويعتبروا أن المواطن السوري إنسان كامل الحقوق والأهلية، ويستطيع استخدام الإنترنت مثل أي مواطن في موزامبيق أو توغو أو سيراليون.

لمزيد من المعلومات عن هذه الدودة يمكن قراءة نشرة شركة مايكروسوفت عنها
http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%…
ولحماية حواسبكم من هذه الدودة والكثير من المشاكل الأمنية الأخرى عليكم ترقية إصدار ويندوز إلى Windows XP SP2 وتزويده بكل التحديثات الجديدة من Windows Update.
كلمة أخيرة: استخدام مضاد الفيروسات لن يحميكم من هذه الدودة، ولا من الكثير من الاخطار، لا بد من استخدام جدار نار، وتعييره بشكل مناسب لاحتياجاتكم.

التعليقات

الأيهم

مقالة الأستاذ يعرب كاشور
كل عام وأنتم بفيروس دمشق صحيفة تشرين علوم وتقانة الخميس 13 كانون الثاني 2005 المهندس احمد يعرب كاشور تلقت تشرين المادة التالية تعقيباً على مانشرته في زاوية شعاع في صفحة العلوم والتقانة 6/1/2005بعنوان (يوم تخريب طوعي في الإنترنت) هناك من يقول: كل عام وأنتم بفيروس ‏ في الوقت الذي كان العام المنصرم 2004 يحزم أمتعته استعداداً للرحيل، كان بابا نويل الجمعية السورية للمعلوماتية يحضر في جعبته هدية رأس السنة الجديدة لمعظم مشتركي مخدم الإنترنيت الوحيد في سورية. ‏ ولم تكن هذه الهدية لعبة جميلة أو قطعة حلوى او باقة ورد مع عبارة لطيفة وإنما كانت فيروساً خبيثاً من فيروسات الحاسب من النوع المعروف بالديدان Worms يقذفه دون استئذان أو إخبار إلى حاسب المشترك عند اتصاله بالمخدم لقراءة البريد الإلكتروني أو تصفح شبكة الإنترنيت، فيعكر صفو عمله ويبدأ معه رحلة لا تنتهي من المشاكل. ‏ في ظهيرة يوم الجمعة 31 كانون الأول أي ليلة رأس السنة الميلادية اتصل بي أحد الزملاء ليخبرني عن ظاهرة غريبة لم يعتد مشاهدتها على حاسبه من قبل وبدأت بالظهور بعد قيامه بفتح بريده الإلكتروني. ‏ وتتخلص مشكلته بظهور رسالة غامضة السبب تعلمه بأن حاسبه سيعاود الإقلاع خلال ثلاثين ثانية ولا تسمح له بتخزين العمل الذي يقوم به ويبدأ عداد خاص للزمن بالتناقص التدريجي بدءاً من العدد )30( حتى الصفر وعندها يعاود الحاسب بدء التشغيل من جديد. ‏ ونظرا" لكوني خبيراً في فيروسات الحواسب فقد أدركت للفور أن حاسبه مصاب بإحدى نسخ فيروس W32.Blaster أو فيروس W32.Sasser وكلاهما يستغل ثغرة أمنية قديمة في نظام تشغيل ويندوز XP وتسبب هذه المشكلة. ‏ طلبت منه عدم الإتصال مجدداً بالإنترنيت وفصل الحاسب عن خط الهاتف لأن كلاً من الفيروسين السابقين مجهز بتقنية خاصة Backdoor تمكن الفيروس من الإتصال عبر مكالمات دولية إلى مناطق بعيدة (طبعاً في حال كون ميزة الاتصال الدولي مفعلة في الخط الهاتفي للمشترك). ‏ وفي الخامسة مساءً وعندما بدأت تلقي الرسائل الواردة إلى بريدي الإلكتروني على حاسب المكتب فوجئت ببرنامج (نورتون أنتي فايروس)المثبت على حاسبي يخبرني بالتقاطه لفيروس W32.Blaster.C وقيامه بالحجر عليه Quarantine، ونظراً لكون بعض الرسائل الواصلة تتضمن ملفات مرفقة Attachment فلم أعر الموضوع اهتماماً بادئ ذي بدء، ولكن عندما عدت إلى رشدي ثارت في نفسي الشكوك حول هذا الموضوع نظراً لعدم وصول اي فيروس من هذا النوع المعروف منذ فترة لا بأس بها بسبب قيام مخدم الجمعية بفحص جميع الرسائل الواردة للمشتركين وحذف الفيروسات إن وجدت فيها (وكنت شخصياً من المتضررين من هذه الخدمة النافعة والمفيدة بسبب هوايتي في جمع فيروسات الحاسب وكوني عضواً في منظمة عالمية متخصصة بتتبع انتشار فيروسات الحاسب WLO). ‏ وفي العاشرة مساءً قمت بفتح بريدي الإلكتروني على حاسب المنزل وتكرر ظهور التحذير من برنامج نورتون أنتي فايروس الذي التقط نسخة اخرى من الفيروس W32.Blaster.F مع العلم أن البريد الوارد كان رسالة واحدة بدون مرفقات ومكونة من بضع كلمات للتهنئة بالعام الجديد. ‏ وبعد عدة دقائق ظهرت عبارة "سيعاود النظام الإقلاع من جديد خلال ثلاثين ثانية" فعرفت أن حاسبي في المنزل قد اصيب بالفيروس رغم الحماية التي يقدمها البرنامج المضاد للفيروسات والسبب هو تقاعسي عن تحديث نظام التشغيل XP بالنسخ التطويرية SP1 و)SP2 نجار وبابو مخلوع( ‏ إن الرسالة لم تتضمن أية مرفقات وأنا لم أقم بالتصفح عبر شبكة الإنترنيت فمن أين اتى هذا الفيروس اللعين؟؟!! ‏ عندما أعدت التفكير في هذا السؤال المنطقي أدركت أن مصدر الفيروس هو مخدم الجمعية المعلوماتية وتصورت فداحة الكارثة التي ستطول العدد الكبير من المشتركين في هذا المخدم الوحيد. ‏ في صباح اليوم التالي وقبل أن يستفيق معظم من سهروا احتفالية العام القادم، ذهبت لزيارة أحد زملائي (المهندس س.ب)وعندما سألته إن كان قد لاحظ شيئاً مريباً على حاسبه فرد بالإيجاب وأعلمني بظهور رسالة الثلاثين ثانية وقيامه بفصل خط الهاتف عن الحاسب بعد تذكره فاتورة الهاتف الكارثية والتي قام بدفعها مكرهاً قبل عدة شهور نتيجة غزوة فيروسية مشابهة (الملدوع من الحليب بينفخ على اللبن). ‏ في تلك اللحظة قمت بالاتصال بقسم الدعم الفني في الجمعية السورية للمعلوماتية وردت علي الموظفة الموكلة بالدعم، فشرحت المشكلة لها ولكنها قالت إن المشكلة هي في حاسبي وطلبت مني تحديث برنامج )نورتون( كحل سحري. ‏ أكدت لها أن المشكلة ليست فردية ولكنها تواجه كل من حاول الدخول إلى شبكة الإنترنيت أو فتح البريد الإلكتروني مما يعني أن مخدم الجمعية المعلوماتية ملوث بالفيروس وينقله بشكل غير متعمد إلى مشتركيه وأوضحت لها حجم المشكلة وضرورة سرعة تداركها، ولكنها تشبثت برأيها وأعلنت براءة المخدم. ‏ أمضيت معظم أمسية السبت في الاتصال بزملائي لتحذيرهم ولكن )سبق السيف العذل(في معظم الحالات، وقلت في نفسي: من المؤكد أن أصحاب الخبرة وجهابذة أمن المعلومات في مخدم الجمعية قد أخذوا علماً بالشكوى وتحققوا منها وأن الحل هو قاب قوسين او أدنى. ولكن تبين لي أن الرياح تجري بما لا تشتهي السفن. ‏ الأسئلة المطروحة هنا كثيرة ومثيرة وخطيرة: ‏ * ماهي الاحتياطات والخبرات الموجودة في مخدم الجمعية لمنع إصابته مجدداً بالفيروسات (وما أكثرها)؟ وعدم تحوله إلى مصدر عدوى لكل من يحتك به. ‏ * هل ستكون هذه الكارثة هي الأخيرة؟ (علماً أنها لم تكن الأولى( وقد سبقتها عدة حوادث اخرى اكتفت فيها الجمعية بدفن رأسها في الرمال كالنعامة وأعلمت مشتركيها بانتشار دودة فيروسية وشرحت لهم طريقة التخلص من الفيروس بدون ان تمتلك الجرأة الأدبية والمهنية للاعتراف بالمسؤولية عما حدث. ‏ * ما هو ذنب المشتركين الذين يجهلون ما حدث حتى هذه اللحظة ويغطون في العسل بينما الفيروس يأكل مدخراتهم ويراكم المبالغ في فاتورة هاتفهم؟ ‏ * من هي الجهة التي ستقوم بدفع فواتير المكالمات الزائدة في حسابات المشتركين والذين لا ذنب لهم فيها؟ ‏ * من هي الجهة القضائية التي قد يفكر المتضررون باللجوء إليها لرفع الظلم عنهم او للمطالبة بالعطل والضرر؟ ‏ * هل نطمح إلى تحقيق شفاف يظهر الحقائق ويحدد المسؤوليات ويتخذ الإجراءات الكفيلة بتأمين مناخ آمن لاستخدام التقنية لتكون نعمة لنا بدل أن تكون نقمة. ‏ ‏ خبير في أمن المعلومات ‏
المصدر http://www.tishreen.info/_scin.asp?FileName=24492461920050112221915
yasir

المشكلة يا سيدي قديمة, والعاملون في الجمعية ضالعون فيها بشكا أو بآخر, منذ أكثر من سنتين كنت أجري اختبارا على نظام جدار ناري وتأكدت أن أحد مخدمات الجمعية والذي كان يدعى inana.scs-net.org كان مصدرا لأكثر من هجوم على جهازي الشخصي (عمليات استقصاء, و clocking ومحاولة لفتح منافذ UDP وتأسيس اتصال) . قمت حينها بالاتصال بالدعم الفني مستفسرا فأنكروا الموضوع جملة وتفصيلا حتى قبل أن أرسل لهم معلومات دقيقة عن المشكلة و بدون نتيجة, كانت الهجمات تتم في أوقات معينة وبتواتر ولا تتم في أيام العطل غالبا, مما يدعونا للشك شبه اليقيني بضلوع أفراد من مزود الخدمة.

إضافة تعليق جديد

لا يسمح باستخدام الأحرف الانكليزية في اسم المستخدم. استخدم اسم مستخدم بالعربية

محتويات هذا الحقل سرية ولن تظهر للآخرين.

Restricted HTML

  • وسوم إتش.تي.إم.إل المسموح بها: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • تفصل السطور و الفقرات تلقائيا.
  • Web page addresses and email addresses turn into links automatically.

دعوة للمشاركة

موقع الأيهم صالح يرحب بالمشاركات والتعليقات ويدعو القراء الراغبين بالمشاركة إلى فتح حساب في الموقع أو تسجيل الدخول إلى حسابهم. المزيد من المعلومات متاح في صفحة المجتمع.