الجلسة التدريبية الخامسة: التهديدات السيبرانية ، و أنوا

 









(1)           الثغرات الأمنية  Security vulnerabilities:

المقصود بها تلك الأخطاء التي تظهر من غير قصد في الأكواد البرمجية للمواقع والتطبيقات والأنظمة، أو عيوب الأجهزة. ومثل هذه الثغرات يتم سدّها عند اكتشافها من خلال التحديثات التي تُجرى بشكل دوري لبعض البرامج والأنظمة، بشكل عام تُعتبر الثغرة، نقطة ضعف في دفاعات النظام، حيث أن لكل نظام إجراءات أمنية مُتعددة تُبقي المُتسللين في الخارج والبيانات الهامّة في الداخل. من خلال الثغرات الأمنية، يمكن للمهاجم أن يجد طريقه إلى الأنظمة أو الشبكة.

(1) العثور على الثغرات الأمنية:  يحاول المتسللون استغلال الثغرة الأمنية بعد اكتساب المعرفة بها.

(2) الاستغلال exploit : يعتبر مصطلح يستخدم لوصف برنامج مكتوب للاستفادة من ثغرة معروفة known vulnerability.

(3) الهجوم  attack: يعتبر فعل استغلال ثغرة أمنية إلى أنه هجوم بهدف  الحصول على إمكانية الوصول
إلى النظام، أو البيانات التي يستضيفها أو الوصول إلى مورد معين.

أ‌)       الثغرات الأمنية في البرامج Software vulnerabilities:

         عادة ما يتم تقديم الثغرات الأمنية بالبرامج بسبب أخطاء في نظام التشغيل أو رمز التطبيق   operating system or application code، وعلى الرغم من كل الجهود التي تبذلها الشركات في البحث
عن وتصحيح الثغرات الأمنية بالبرامج، فمن الشائع ظهور ثغرات أمنية جديدة إلى العلن.

          تصدر Microsoft  و Apple  وغيرهم من منتجي أنظمة التشغيل تصحيحات وتحديثات   patches and updates  كل يوم تقريبًا.

         غالباً ما تقوم الشركات أو المؤسسات المسؤولة عن تطبيقات مثل مستعرضات الويب وتطبيقات للأجهزة المحمولة وأجهزة خوادم الويب بتحديثها.

         في عام 2015، تم اكتشاف ثغرة أمنية رئيسية، تسمى SYNful Knock، في Cisco IOS.   سمحت هذه الثغرة الأمنية للمهاجمين بالتحكم في أجهزة التوجيه enterprise-grade routers على مستوى المؤسسات، مثل أجهزة توجيهCisco 1841 و2811 و3825 القديمة (Cisco 1841,2811,3825 routers). يمكن للمهاجمين بعد ذلك مراقبة جميع اتصالات الشبكة ولديهم القدرة على إصابة أجهزة الشبكة الأخرى.
 تم إدخال ثغرة أمنية في النظام عند تثبيت إصدار IOS الذي تم تعديله في أجهزة التوجيه routers.

ب‌)   الثغرات الأمنية في الأجهزة Hardware vulnerabilities

غالباً ما يتم تقديم ثغرات الأجهزة عن طريق عيوب تصميم الأجهزةhardware design flaws .

مثال: تُعد ذاكرة الوصول العشوائي   RAM في الأساس عددًا من المكثفات  essentially capacitorsالمُثبَّتة
في أماكن قريبة جدًا من بعضها البعض. تم اكتشاف أنه، نظرًا للتقارب، يمكن أن تؤثر التغييرات المستمرة على واحدة من هذه المكثفات على المكثفات المجاورة لها.

(4) استنادا إلى هذا الخلل في التصميم، تم إنشاء استغلال يسمى Rowhammer من خلال إعادة كتابة الذاكرة
 في نفس العناوين بشكل متكرر.

(5)  يتيح استغلال Rowhammer إمكانية استرداد retrievedالبيانات من خلايا ذاكرة العناوين القريبة،
حتى إذا كانت الخلايا محمية.

(6) تتعلق الثغرات الأمنية للأجهزة بطرازهاdevice models ، ولا يمكن استغلالها الاستغلال الأمثل من خلال المحاولات العشوائية .

(7) على الرغم من أن عمليات استغلال الأجهزة تكون أكثر شيوعًا في الهجمات شديدة الاستهداف، إلا أن الحماية التقليدية من البرامج الضارة والأمان المادي توفر حماية كافية للمستخدم اليومي.

ت‌)   تصنيف الثغرات الأمنية:

تقع معظم الثغرات الأمنية في إحدى الفئات التالية:

1.    تجاوز سعة المساحة التخزينية المؤقتة Buffer overflow:

(8)  تحدث هذه الثغرة الأمنية عندما تتم كتابة البيانات خارج حدود مساحة التخزين المؤقتة.

(9)  مساحات التخزين المؤقتة Buffers  هي مناطق الذاكرة المخصصة allocated  لأحد التطبيقات.

(10)                    من خلال تغيير البيانات خارج حدود مساحة التخزين المؤقتة data beyond the boundaries of a buffer، يصل التطبيق إلى الذاكرة المخصصة لعمليات أخرى.

(11)                    وهذا يؤدي إلى تعطل مفاجئ في النظام system crash، أو اختراق البيانات  data compromise،
 أو توفير تصعيد الامتيازات escalation of privileges.

2.    عدم التحقق من الإدخال Non-validated input:

-         غالباً ما تعمل البرامج بإدخال بيانات data input. يمكن أن تحتوي هذه البيانات الواردة في البرنامج
على محتوى ضارmalicious content، مصمم لإجبار البرنامج على التصرف بطريقة غير مقصودة unintended way.

3.    حالات التعارض Race conditions:

-         هذه الثغرة الأمنية تحدث عندما يعتمد إخراج حدث output of an eventعلى مخرجات مرتبة أو محددة زمنياً  ordered or timed outputs. تصبح حالة التعارض مصدرًا للضعف عندما لا تحدث الأحداث المطلوبة أو المحددة بتوقيت معين required ordered or timed events في الترتيب الصحيح
 أو التوقيت الصحيحthe correct order or proper timing.

4.    نقاط الضعف في الممارسات الأمنية Weaknesses in security practices:

-          يمكن حماية الأنظمة والبيانات الحساسة من خلال التقنيات مثل المصادقة والترخيص والتشفير. ولا ينبغي للمطورين محاولة إنشاء خوارزميات الأمان الخاصة بهم لأنه من المرجح ستظهر بها ثغرات أمنية. لذا يُنصح بشدة أن يقوم مطورو البرامج باستخدام مكتبات الأمان التي تم إنشاؤها بالفعل واختبارها والتحقق منها.

5.    مشاكل التحكم في الوصول Access-control problems:

-         التحكم في الوصول هو عملية التحكم في تحديد من يقوم بماذا ويمتد من إدارة الوصول الفعلي إلى المعدات لإملاء من له حق الوصول إلى أحد الموارد، مثل الملف، وماذا يمكنهم فعله، مثل القراءة أو التغيير في الملف. يتم إنشاء العديد من الثغرات الأمنية بواسطة الاستخدام غير الصحيح لعناصر التحكم في الوصول.

لذا يجب تقييد الوصول المادي ويجب استخدام تقنيات التشفير لحماية البيانات من السرقة أو التلف ولحماية الجهاز والبيانات التي يحتوي عليها.

 

(2)           البرامج الضارة (Malicious Software):

اختصار  البرامج الضارة (Malicious Software)هو البرنامج الضار (malware) وهو أي شفرة يمكن استخدامها لسرقة البيانات أو تجاوز عناصر التحكم في الوصول أو إلحاق الضرر بالنظام أو تعريضه للخطر.

يتم عرض فيديو من انتاج Kaspersky Middle East وهي مجموعة دولية تشرف على العمليات وتطوير الأعمال على الصعيد العالمي وتوفر منتجات وحلول وتأمين التقنيات حول العالم.

يمكن الحصول علي الفيديو من الرابط التالي:


الأنواع الشائعة للبرامج الضارة:

1-    برامج التجسس (Spyware) :

-          صممت بهدف التجسس والتتبع وجمع البيانات عن المستخدم track and spy on the user .

-         تتضمن برامج التجسس برامج تعقب النشاطات، وجمع تفاصيل الضغط على لوحة المفاتيح وجمع البياناتactivity trackers, keystroke collection, and data capture. .

-          في محاولة للتغلب على الإجراءات الأمنية، تقوم برامج التجسس بتعديل إعدادات الأمان security settings . وغالبًا ما تلحق برامج التجسس نفسها مع البرامج الشرعية legitimate software
أو مع فيروس حصان طروادة (Trojan horse).

2-    برامج الإعلانات المتسللة (Adware) :

-         هي برامج ضارة صممت بهدف تقديم الإعلانات تلقائياً. وغالباً ما يتم تثبيت برامج الإعلانات المتسللة ببعض إصدارات البرامج. Adware is often installed with some versions of software. بعض هذه البرامج تكون هدفها الدعاية الاعلانية فقط وبعضها يكون غطاءً مناسبًا لبرامج التجسس (spyware)

3-    روبوت أو بوت (Bot)  :

-         تم اشتقاقها من كلمة (robot)، فهي في حقيقة الأمر برامج ضارة (malware) صممت لتقوم بتنفيذ إجراء معين بشكل أوتوماتيكي عادة عبر الإنترنت.

-         في حين أن معظم البوتات غير ضارة harmless ، إلا أنه تصاب العديد من أجهزة الكمبيوتر بالبوت bots  التي تتم برمجتها لينتظر بهدوء الأوامر commands  المقدمة من المهاجم (attacker).

4-    برامج طلب الفدية (Ransomware):

-         هي برامج صممت من أجل تعطيل نظام الكمبيوتر أو البيانات computer system or the data it contains captive حتى يتم إجراء عملية دفع.

-         تعمل تلك البرامج عاده عن طريق تشفير البيانات encrypting data في جهاز الكمبيوتر باستخدام مفتاح غير معروف للمستخدم.

-         تنتشر برامج طلب الفدية (Ransomware) بواسطة ملف تم تنزيله أو بعض ثغرات البرامج  Ransomware is spread by a downloaded file or some software vulnerability..

5-    برنامج استغلال الخوف (Scareware):

-         هو نوع من البرامج الضارة المصممة لإقناع المستخدم باتخاذ إجراء محدد بناء على الخوف fear.

-          يقوم برنامج استغلال الخوف (Scareware)بتكوين إطارات منبثقة تشبه نوافذ حوار نظام التشغيل. تنقل هذه النوافذ رسائل مزورة  forged messages  تفيد بأن النظام في خطر أو يحتاج إلى تنفيذ برنامج معين للعودة إلى التشغيل العادي.

-         في الواقع، لم يتم تقييم أية مشاكل أو اكتشافها، وإذا وافق المستخدم على البرنامج المذكور
وتم تنفيذه، فسيتم إصابة نظامه ببرامج ضارة malware   .

6-    برنامج  (Rootkit) :

-         تم تصميم هذا البرنامج الضار لتعديل نظام التشغيل لإنشاء باب خلفي.

-         ثم يستخدم المهاجمون الباب الخلفي للوصول إلى الكمبيوتر عن بُعد.

-          تستفيد معظم برامج rootkit من الثغرات الأمنية في البرامج لتنفيذ تصعيد الامتيازات privilege escalation وتعديل ملفات النظام.

-          ومن الشائع أيضًا أن تقوم برامج rootkit بتعديل بيانات التحليل الجنائي وأدوات المراقبة system forensics and monitoring tools ، مما يجعل اكتشافها صعبًا للغاية.

-         في كثير من الأحيان، يجب أن يتم مسح جهاز كمبيوتر مصاب بـ rootkit  وإعادة تثبيته wiped and reinstalled.

7-    الفيروس (Virus) :

-         هو رمز ضار(executable code) قابل للتنفيذ يتم إرفاقه بملفات أخرى قابلة للتنفيذ ، غالبًا ما تكون برامج شرعية.

-         تتطلب معظم الفيروسات تنشيطها من قبل المستخدم النهائي ويمكن تنشيطها في وقت أو تاريخ محدد.

-         يمكن أن تكون الفيروسات غير ضارة وتعرض ببساطة صورة أو يمكن أن تكون مدمرة ، مثل تلك التي تعدل البيانات أو تحذفها.

-         يمكن أيضًا برمجة الفيروسات للتحور لتجنب اكتشافها. تنتشر معظم الفيروسات عن طريق محركات أقراص USB أو الأقراص الضوئية أو مشاركات الشبكة أو البريد الإلكتروني.

8-    الفيروسات المتنقلة (Worms):

-         هي شفرة خبيثة تقوم بتكرار نفسها بشكل مستقل من خلال استغلال الثغرات في الشبكات.

-         عادة ما تؤدي الفيروسات المتنقلة إلى إبطاء الشبكات.

-         تعمل الفيروسات المتنقلة ذاتيًا، في حين أن الفيروسات لا تعمل إلا من خلال برنامج مُضيف.

-          كما لا تحتاج إلى مشاركة المستخدم إلا في بداية الإصابة. وبعد إصابة المُضيف، يمتلك الفيروس المتنقل القدرة على الانتشار بسرعة كبيرة على الشبكة.

-          تتشارك الفيروسات المتنقلة في تشابه الأنماط. كما أن لديها القدرة على إيجاد الثغرات وهي الطريقة التي تنتشر من خلالها وتتكاثر، وجميعها يحتوي على البيانات الأساسية.

-         وتعتبر الفيروسات المتنقلة (الديدان) مسؤولة عن بعض الهجمات الأكثر تدميرًا على الإنترنت

9-    الهجوم الوسيط MitM)) Man-In-The-Middle :

-          يتيح للمهاجم التحكم في أحد الأجهزة دون معرفة المستخدم.

-         وبهذا المستوى من الوصول، يمكن للمهاجم اعتراض بيانات المستخدم، والتقاطها قبل ترحيلها إلى وجهتها المقصودة.

-          يتم استخدام هجوم (MitM)على نطاق واسع لسرقة المعلومات المالية.

-          ويوجد العديد من الفيروسات المتنقلة والوسائل المختلفة التي تساعد المهاجم في استخدام إمكانيات (MitM).

10-                       فيروس حصان طروادة (Trojan horse):

-         هو برنامج خبيث يقوم بعمليات خبيثة تحت ستار العملية المطلوبة.

-          يستغل هذا الرمز الخبيث امتيازات privileges المستخدم الذي يشغله.

-          في كثير من الأحيان، يتم العثور على أحصنة طروادة في ملفات الصور والملفات الصوتية أو الألعاب.

-         حصان طروادة يختلف عن الفيروس لأنه يربط binds  نفسه بالملفات غير القابلة للتنفيذ non-executable.

11-                       الهجوم على الأجهزة المحمولةMan-In-The-Mobile (MitMo) :

-         هو نوع من أنواع الهجوم الوسيط، يستغله المستخدم للسيطرة على الأجهزة المحمولة.

-         عند الإصابة، يمكن توجيه معلومات المستخدم الحساسة من الجهاز المحمول وإرسالها إلى المهاجمين.

-          ويعتبر (ZeuS مثالاً على استغلال قدرات MitMo، حيث يقوم المهاجمون في الخفاء بالتقاط رسائل SMS  التي تحتوي على التحققات الثنائية المرسلة إلى المستخدمين.

 ويتم استخدام خرائط المفاهيم في تلخيص أنواع البرامج الضارة كما في الرابط التالي:

https://www.canva.com/design/DAFXefMFCUw/2Yz1MegFeXQjbwPmmckziA/watch?utm_content=DAFXefMFCUw&utm_campaign=designshare&utm_medium=link&utm_source=publishsharelink

أعراض البرامج الضارة الشائعة بغض النظر عن النوع الذي يصيب النظام:

         الزيادة في استخدام CPU.

         البطء في سرعة الكمبيوتر.

         تجمد الكمبيوتر أو تعطله في أغلب الأحيان.

         البطء في سرعة تصفح مواقع الإنترنت داخل الشبكة.

         المشاكل الغامضة المتعلقة بالاتصال بالشبكة.

         تعديل الملفات.

         حذف الملفات.

         تواجد الملفات أو البرامج أو الأيقونات على سطح المكتب غير المعروفة.

         هناك تشغيل يحدث لعمليات غير معروفة.

         إيقاف البرامج أو إعادة تشغيل نفسها.

         إرسال رسائل البريد الإلكتروني دون علم المستخدم أو موافقته.

 

 

(1)             امثلة للثغرات الأمنية:

ابحث في الإنترنت عن الثغرة RowHammer

Rowhammer هي ثغرة خطيرة تؤثر على شرائح DRAM الحديثة، وتسمح للمهاجمين بتقليب الـbits المخزنة على الذاكرة عن طريق الوصول المتكرر (طَرْق) إلى الخلايا المجاورة.

https://www.secure-enough.com/2544/

(2)              امثلة للثغرات الأمنية والبرامج الضارة:

ابحث في الإنترنت عن الفيرس 


تعليقات

إرسال تعليق

المشاركات الشائعة