اختراق موقع سيريانيوز, استهداف؟ أم رسالة؟ أم أنه محض صدفة؟

تعرض موقع سيريانيوز صباح الجمعة (الرابع من آب) لاختراق تغيير الواجهة (Defacement) من قبل مجموعة تطلق على نفسها اسم (XTech Inc.) بالتعاون مع مجموعة من الشباب لم يتضح بعد إن كانوا هواةً أم محترفين في دول عدة منها تشيلي، الأرجنتين، البرازيل، ألمانيا، تركيا، ودول أخرى من أمريكا اللاتينية بحسب صفحة الهجوم المنشورة التي غطت الصفحة الرئيسية لموقع سيريانيوز. هذا الهجوم كان بمثابة (احتجاج افتراضي شديد) -كما أسمته المجموعة- على العمليات العسكرية الدموية التي تشنها إسرائيل على لبنان، والتي اعتبرتها المجموعة (حرباً) ودعت كلى جانبيها (إسرائيل و"لبنان") إلى وقفها فوراً!

 

لم يكن موقع سيريانيوز وحده المستهدف، فالتحليل المبدئي يشير إلى أن المجموعة نشرت احتجاجها على عدد كبير جداً من مواقع الإنترنت، منها التجارية والتعليمية والتابعة لمنظمات غير ربحية في إسرائيل وبريطانيا والولايات المتحدة والنمسا وتشيلي وألمانيا والأرجنتين وغيرها. حيث نفذت المجموعة منذ بداية العدوان الإسرائيلي على لبنان حتى الآن أكثر من 165 هجوماً من نفس النوع تراوحت بين استبدال واجهة منفرد، والذي يتم فيه مهاجمة موقع معين، واستبدال شامل والذي تتم فيه مهاجمة جميع المواقع المستضافة على مخدم واحد أو المشار إليها بواسطة مخدم ترجمة أسماء نطاق (DNS) واحد اعتماداً على عنوان الشبكة الخاص بالمخدم (IP Address). لذا، ومع أن اختراق مخدم اعتماداً على عنوان الشبكة الخاص به يحتسب هجوماً واحداً ضمن العدد المذكور آنفاً، إلا أن هذا الهجوم يمكن أن يكون قد اخترق عشرات المواقع دفعة واحدة، وهي جميع المواقع المتعلقة بهذا المخدم.

الأرجح أن الهجوم على موقع سيريانيوز كان من النوع الثاني، حيث تم اختراق مزود خدمة ترجمة اسم النطاق (DNS) على الأقل، وموقعه على الإنترنت ما زال مخترقاً حتى إعداد هذا المقال (مساء الجمعة)، وربما كان مزود خدمة استضافة الموقع قد اخترق بالكامل أيضاً إذا كان الموقع مستضافاً على نفس المخدم أو مخدم من نفس مجال عناوين الشبكة. سبب نجاح هذا الاختراق هو وجود ثغرة أو عدة ثغرات أمنية في نظام تشغيل المخدم، والتي يقوم القراصنة عادة بالبحث عنها في مخدمات كثيرة جداً على الإنترنت والبدء بمحاولة استغلالها لتسجيل الدخول إلى المخدم وإجراء العمليات (سواء بعد التخطيط لها، أو لمجرد العبث وإظهار الإمكانيات التقنية كما يفعل الكثير من الهواة)، ويوجد لتوسيع وتسريع هذه العملية العديد من الأدوات ومنها المتاح للتحميل مجاناً من الإنترنت. كان من المواقع الجغرافية التي تم مسحها في هذا الهجوم -اعتماداً على مجالات عناوين الشبكة- الولايات المتحدة الأمريكية حيث يوجد المخدم المصاب المرتبط بموقع سيريانيوز.

مزيد من التفاصيل حول نقاط الضعف التي استغلها القراصنة لاختراق هذا المخدم بالذات، يمكن الحصول عليها من خلال تحليل ملفات تسجيل العمليات المخزنة في المخدم، وبما أنه لابد للقرصان الماهر من محو آثاره بعد الهجوم، فقد تكون هذه الملفات قد مسحت أو حررت؛ عندئذ يجب إجراء مسح أمني احترافي للمخدم يتم عادة من قبل قراصنة "القبعات البيضاء" بتفويض من مالك أو مدير المخدم أو الموقع، وهو مسح تحليلي فقط يتقاضى القرصان أجراً عليه ويقدم تقريراً مفصلاً في نهايته عن الوضع الأمني للمخدم أو الشبكة التي ينتمي لها ولا يهدف إلى إصابة المخدم أو النظام بأي أذى.

فإذا اعتبرنا أن سقوط موقع سيريانيوز -استناداً إلى ما سبق- كان محض صدفة لمجرد ارتباط الموقع بالمخدم الذي تم اختراقه، فأنا لا أجد عيباً في أن ينشر خبر هذا الاختراق في الموقع ذاته، خصوصاً وأن فريق العمل كان سريعاً -كما يبدو- في تفادي المشكلة وإعادة الموقع إلى العمل، حيث أني بالكاد استطعت تسجيل صورة الموقع وهو في حالة الاختراق، إلا أني لا أستطيع الآن أن أجزم كم من الوقت استمر الموقع على هذه الحال!

على كل، فإنه من حسن حظ سيريانيوز والعشرات من المواقع الأخرى التي مازالت مخترقة حتى الآن أن هؤلاء القراصنة ليسوا تماماً من ذوي "القبعات السوداء" بالنظر إلى الهدف من وراء الاختراق. بالإضافة إلى أنه لا يبدو أن للمجموعة المخترقة سجلاً أسوداً يحتوي عمليات اختراق تخريبية أو هدامة بالمعنى التجاري، ففي اكثر من 7000 اختراق مسجلة لهذه المجموعة منذ نهاية عام 2005، كان الاستبدال دائماً بصفحة تذكارية تشير إلى أنهم "كانوا هنا" فقط. ولأن المواقع والمخدمات المخترقة لا تشترك بلغة أو نوعية أو مكان جغرافي معين أو تقدبم خدمات معينة، فيمكننا الاعتقاد بأن المجموعة هي من الهواة وتعتمد على مسح الثغرات الأمنية والاستفادة منها أكثر من الاستثمار في إحداثها والتوغل في المسارات التي تفتحها، خاصة وأن هذا النوع من الاختراقات يصنف بأنه بسيط نسبياً.

في النهاية لا أرى بداً من الإشارة إلى أنه كان بإمكان سيريانيوز الاستفادة من هذا الاختراق، وجعله خبراً يفيد في لفت المزيد من الانتباه، كما فعلت قناة الجزيرة القطرية عندما تعرض موقع الجزيرة.نت لهجوم مشابه أثناء الغزو الأمريكي-البريطاني للعراق، الأمر الذي اضطر إدارة الموقع إلى نقل وتشعيب استضافته بالكامل على عدة مخدمات مرآتية، وقد تصدر الخبر وتحليله نشرات الأخبار الرئيسية والموجزة. وقد يساهم نشر الخبر في مزيد من توخي الحرفية والشفافية، خاصةً بعد أيام قليلة من نشر خبر تقدم مرتبة الموقع في الترتيب العالمي و عدد الزيارات في الشهر الأخير.

المهندس وسام طويلة

تعرضت العديد من المخدمات التي أديرها حاليا لعدة محاولات إيقاف خلال الأسبوعين الماضيين، وتنوعت محاولات الأذى بين محاولة إيقاف نظام التشغيل على المخدم، ومحاولات اختراق برمجية موقع محدد. ورغم أن محاولات الاختراق أمر يومي، وتأتينا يوميا بين 2-10 محاولات اختراق لكل مخدم، عدا عن محاولات اختراق المواقع المنفردة، فإن الأذى في الأسبوعين الماضيين كان واضحا، فقد ازدادت محاولات إحباط نظام التشغيل إلى أكثر من 50 محاولة يوميا، وأدى الهجوم على أحد المواقع إلى بطء واضح في تخديم جميع المواقع التي يستضيفها المخدم المستهدف.

In reply to by salam

نعم فهذا يحصل معنا كثيرا هذه الأيام بسبب DoS على بعض المواقع ذات البرمجيات السيئة مما يؤدي لإرهاق قاعدة البيانات، ويتم اكتشاف المصدر وتحييده آليا ولكن العملية تستغرق نصف ساعة على الأقل لتجنب تحييد عناوين أي بي غير مؤذية. وفي هذه الحالة تتوقف المواقع المعتمدة على قواعد البيانات فقط، ولكن باقي المواقع، وباقي خدمات المخدم، تظل تعمل بكفاءة.