تخطى الى المحتوى

آراء

هل وكالة الوثائق المُؤْمِنَة.. مُؤْمِنَة؟!

 and  Mohamed M. Saleck
1 دقيقة قراءة
باب ولد الدي: المدير التقني لـشركة النــصــر مــيديــا

جدول المحتويات

 

و قــد قمت بنشر هذا المقال كمنشور علي صفحتي بالفيسبوك، لكن طلب مني بعض أصدقاء نشره في المواقع الاخبارية كي يتمكن الجميع من الإطلاع عليه.

 

حاولت في هذه المقالة أن أجيب علي بعض الأسئلة و أن أوضح ما الذي حدث بحسب ما توصلت إلي من معلومات، إنارة للرأي العام وتنبيها للمسئولين.

 

أولا: سأبدأ بالسؤال الذي يشغل بال الكثيرين وهو "هل باختراق القراصنة للموقع الخاص بالوكالة سيتمكنون من الوصول الي وثائق المواطنين المؤمنة؟".

 

بنسبة لي بطريقة مباشرة لا أظن فالوكالة لديها فريق مميز من الكوادر التقنية الموريتانية، وبتأكيد لديهم سيرفر خاص بالموقع و المنفصل كليا عن السيرفيرات الخاصة بتخزين البيانات، وهو ما أشارت اليه الوكالة في البيان الذي نشرت بعد رجوع موقعها للعمل.

 

إذن ما الذي حدث؟!

 

مع أن الخبر نشر يوم 29 إبريل الماضي لكن يبدو أن موقع الوكالة مخترق منذ يوم 21 إبريل فحسب صفحات غوغول المؤرشة [1] يتضح تركيب القراصنة لــ PHP Shell اسمه "b374k" ـ [2] والشل يأتي تركيبه عادة كخطوة متقدمة نسبيا في الاختراق "اكتشاف ثغرة في الموقع – واستغلالها – ومن ثم تركيب الشل".

 

وتركيب الشل يمكن المخترق من الحصول علي واجهة رسومية تعطيه القدرة علي التحكم بالملفات والمجلدات إضافة حذف، تعديل، تغيير تصاريح) كما يمكن عن طريق شل رفع الصلاحيات إلى Root والسيطرة علي السيرفر وعرض الملفات الخاصة بالمواقع الأخرى المستضافة علي نفس السيرفر واختراقها، خصوصا أنه حسب نسخة غوغول المؤرشة للصفحة الخاصة بالشل المركب علي الموقع فإن الحماية Safe Mode غير مفعلة مما يمكن الشل من تنفيذ جميع الدوال PHP بلا إستثناء.

 

ثانيا: يبدو أن جماعة الصينيين لم تكن وحدها من "مروا من هنا" فحسب موقع Zone-h ـ [3] لتسجيل الاختراقات تم اختراق موقع الوكالة من طرف مجموعة قراصنة غالب الظن أنهم أندنوسيين يطلقون علي أنفسهم wongbodo" "، وقد سجل الاختراق بتاريخ 28 إبريل 2014 الساعة 11:50، وقد قاموا مثل الصينيين باختراق النطاق الرئيسي للموقع والنطاقات الفرعية.

 

ثالثا: الموقع تم اختراقه بأسلوب "Random Hacking" لذلك صفحة الاختراق التي رفعت لا تحمل رسالة مباشرة للوكالة بمعني أن الاختراق كان اختراقا عشوائيا ولم تكن الوكالة مقصودة به لذاتها، فنفس الصفحة التي رفعت علي موقع الوكالة بعد اختراقه تم رفعها علي مواقع أمريكية وجنوب إفريقية وأرجنتينية.. إلخ، تم اختراقها من قبل نفس فريق القراصنة وذلك أيضا يؤكده اختراق النطاقات الفرعية عن طريقة تقنية "Mass defacement" وتسجيل تلك النطاقات في مواقع تسجيل الاختراقات الي جانب النطاق الرئيسي لزيادة عدد المواقع المخترقة من طرف ذلك الفريق.

 

أيضا إعلانهم للقرصنة بهذه الطريقة الاستعراضية يصنفهم كأطفال الهاكرز "Script kiddie" والذين ينحصر همهم عادة في اختراق المواقع وتسجيلها في مواقع تسجيل الاختراقات وتباهي بها، ويبعد فرضية أن اختراقهم كان مقصودا أو بهدف الوصول الي معلومات الوكالة السرية، ولله الحمد من قبل ومن بعد.

 

وهنا أتذكر أنه عندما اختراق الموقع الخاص بالشيخ محمد الحسن ولد الددو سبتمبر 2010 "أقصد هنا الموقع الأول الذي كان ولا يزال تحت شركة هندواي المصرية، ولا أقصد الموقع الثاني الرسمي للشيخ محمد الحسن ولد الددو والذي يديره مركز تكوين العلماء".

 

رفع المخترق وقتها صورة لفتاة سافرة علي الموقع، وقد فسرت بعض مواقعنا الإخبارية ذلك التصرف أنه استهداف لموقع عالم دين، والحقيقة أن القرصان "جن هاكرز" استخدم أسلوب الاختراق العشوائي في اختراقه للموقع ورفع نفس الصورة علي مواقع غنائية وتجارية أخري مستضافة على نفس السيرفر ولم يكن يقصد موقع الشيخ محمد الحسن ولد الددو.

 

ونفس الشئ حدث بعد اختراق مواقع إخبارية موريتانية قبل ذلك بأشهر حيث اعتبرت تلك المواقع أن الاختراق موجه لها من طرف جهات لديها مشاكل مع السياسة التحريرية لتلك المواقع، في حين أن المخترقين لم يكونوا يستهدفون تلك المواقع أصلا وإنما وقع اختراقها عن طريق الصدفة!.

 

رابعا: صحيح أن اختراق المواقع شئ عادي وعانت منه كبريات الشركات العالمية والمؤسسات الحكومية الرسمية،  لكن عدم تنبه القائمين علي الموقع علي حدوث عملية الاختراق لمدة أسبوع يطرح أكثر من تساؤل؟!

 

خصوصا أن الموقع يحتوي علي نطاق فرعي خاص بسيرفر البريد الالكتروني! وقد اخترق القراصنة جميع النطاقات الفرعية وأمضوا أسبوعا وهم يصولون ويجولون في سيرفر، لذلك فالدخول الي المراسلات الخاصة بالوكالة أمر مطروح جدا، وأيضا موضوع أن القراصنة قاموا بتركيب باب خلفي"Backdoor"، يمكنهم من الرجوع الي الموقع المخترق بعد استعادته أصحابه له ووربط قنوات اتصال مشفرة بينهم معه، أمر يجب التأكد منه والتصدي له.

 

خامسا: القراصنة المحترفون أو الذين لهم أهداف لديهم الكثير من الطرق التي تمكنهم من الانتقال من اختراق موقع عادي موجه للجمهور ولا يحمل أي بيانات سرية إلى أماكن أخرى أكثر سرية.

 

وفي حالة موقع الوكالة كان يمكن للقراصنة مثلا أن يزرعوا في الموقع برمجيات خبيثة تؤدي الي اختراق أجهزة الزوار الموقع والذين من بينهم عمال و مهندسين في الوكالة تلك البرمجيات قــد تستخدم ثغرات "0 day " في أنظمة التشغيل والمتصفحات تمكن من السيطرة علي كمبيوتر الزائر، ولا يستطيع أي نوع من أنواع الحماية التصدي لها مثل الثغرة التي اكتشفت قبل فترة في إصدارات “إنترنت إكسبلورر” من 6 إلى 11 التابع لمايكروسوفت والتي لم تصدر مايكروسوفت ترقيعا أمنيا لها إلا بعد أيام مما عرض أجهزة مئات الآلاف من المستخدمين حول العالم العالم للخطر. [4]

 

وبعد اختراق كمبيوتر أحد المهندسين يمكن الانتقال الي أي فلاش ديسك »USB »  أو أي جهاز آخر خاص بنقل المعلومات أو الانتقال إلي الشبكة الداخلية  المعزولة والمؤمنة، مما يزيد فرص الوصول غير الشرعي الي بيانات أكثر خطورة، وهنا نتذكر فيروس "ستاكسنت" [5] الشهير والذي ضرب مفاعل بوشهر الإيراني وأدي إلي تعطيله وتوقيف العمل فيه، عن طريق التغيير سّرعات نوابذ الغار من عالية إلى منخفضة، هذا التغيير في السّرعات أدى إلى تعطيلها.

 

"ستاكسنت " أنتقل الي مفاعل البعيد كل البعد عن الإنترنت والغير متصل بأي شئ!

 

سادسا: في الأخير وكما يقول خبراء أمن المعلومات "الأمن المطلق وهم مطلق" لكن أيضا من غير المقبول أن تكون مواقعنا الإلكترونية معرضة لمثل هذه الهجمات التي كان يمكن تفاديها فالصورة المؤرشفة لدي غوغول للشل الذي قام القراصنة بتركيبه بعد اختراق موقع الوكالة تشير إلى أن الموقع يستخدم نظام تشغيل ويندوز سيرفر 2003 ونسخة PHP 5.3.0 وهذه الأخيرة مليئة بالثغرات وأي بحث  بسيط على غوغل عن PHP 5.3.0 Vulnerabilities سيوضح الكثير.

 

لذلك أتمني من الدوائر التقنية في البلد الاهتمام أكثر بأمن المعلومات وأن نفهم أننا لسنا بمأمن من القراصنة المنتشرين في الفضاء السيبيري، واليوم لا تمضي أشهر إلا ونسمع باختراق مؤسسة موريتانية وهنا أتذكر بكل أسف، اختراق موقع الشركة الموريتانية التونسية للاتصالات "ماتال" في  مايو 2013 من طرف الهاكرز "Mauritania Attacker" والذي  نشر عناوين بريد اكتروني وكلمات سر تعود للعاملين في الشركة علي موقع "pastebin" الشهير.

 

الأمر يزداد تعقيدا يوما بعد يوم والحروب الإلكترونية لم تعد حروب المستقبل بل أصبحت حروب الواقع والدول أصبح لديها جيوش وقيادات أركان خاصة بمجال الحروب الالكترونية فهل نفهم قبل فوات الآن؟!

 

ــــــــــــــــــــــــــــــــــــــــــــــــ

 المصادر:

[1] – الصورة للصفحة مؤرشة في أرشيف جوجول توضح تركيب الشل علي الموقع. http://postimg.org/image/wgo5owbrf

[2] لمعلومات أكـثـر حول " PHP Shell " الذي قام القراصنة بتركيبه علي الموقع : https://code.google.com/p/b374k-shell/

[3]  رابط علي موقع " Zone-h " لتسجيل الاختراقات للصفحة الخاصة بالفريق الأندنوسي الذي أخترق الموقع توضح وقت وتفاصيل اختراقهم للموقع: http://www.zone-h.com/archive/ip=82.151.83.143

[4] Adobe, Microsoft et leurs petites faille

 http://korben.info/adobe-microsoft-leurs-petites-failles.html

[5] : Stuxnet: http://en.wikipedia.org/wiki/Stuxnet

 

مرتبط

الأحدث