تطبيق صراحة يعاني من مشاكل أمنية خطيرة

تلبية لفضول البشر في معرفة ماذا يُقال عنهم بصراحة ، فقد حقق تطبيق صراحة Sarahah الشهير عبر فيس بوك Facebook انتشاراً واسعاً و خاصة في صفوف المراهقين .

و لطالماً ما أثار هذا التطبيق مخاوف أمنية من العديد من المختصين في مجال الأمن و الحماية حيث كان آخرهم الباحث سكوت هيلم Scott Helme .

و بحسب الباحث السابق فإن المخاوف الأمنية تركزت على نسخة الويب من تطبيق صراحة و ليس تطبيق الموبايل .

و وصف الباحث أن نظام الحماية CSRF الخاص بتطبيق صراحة تعتبر سهلة التجاوز . حيث يعتبر بحد ذاته شكل خطير من الهجوم و الذي يمكن أن يؤدي إلى تصرفات سيئة على حساب الفيس بوك Facebook للشخص الذي سجل من خلاله في خدمة صراحة ، حيث أشار الباحث إلى أن المهاجم يمكن أن يستغل هذا الأمر من أجل إجبار الحساب على تفضيل منشورات معينة .

كما أشار إلى أنه و في شهر آب المنصرم قام باحث آخر يدعى روني داس Rony Das من معهد Defencely باكتشاف ملفات XSS ( سكريبت عبر الموقع ) قابلة للإصابة و التي يمكن من خلالها القيام و بشكل عدائي برفع محتويات تكون بشكل خاص بصيغة أتش تي إم إل HTML و جافا  سكريبت JavaScript و التي يمكن أن يتم إستدعاؤها و تنفيذها ضمن المتصفح و بالتالي فإنه يمكن عبر هذا النوع من الهجوم القيام بإعادة تحويل المستخدم إلى مواقع أخرى و التي يمكن أن تحوي على برمجيات خبيثة مثل الفايروسات أو برامج التجسس .

الباحث هيلم Helme اكتشف أيضاً مشاكل خطرة مع نظام الحماية و الذي يمنع الموقع من استخدام بروتوكول إتش إس تي إس HSTS  و الذي يُستخدم بشكل متزايد من أجل حماية المستخدمين من اختراق الكوكيز و هجمات البروتوكول منخفض الحماية .

يملك تطبيق صراحة نظام تصفية ( فلترة ) و الذي يستطيع من خلاله استبعاد منشورات بالاعتماد على الكلمات المستخدمة .و بحسب هذا النظام فإن كلمة سكريبت “script” ضمن الكلمات المستبعدة و من المحتمل أن تكون هذه ” طريقة بلهاء ” من أجل تجنب هجمات XSS  كون هناك الكثير الكثير من الطرق من أجل إدخال الجافاسكريبت الخاص بالمهاجم دون استخدام وسم أو تاغ سكريبت script .

و اكتشف الباحث أيضاً افتقار تطبيق صراحة لأي نوع من التقييد سامحا للمستخدم بإمكانية إرسال الكثير من الرسائل سوية. و هي مشلكة تتعلق بقضايا الحماية و معايير المجتمع و ذلك بسبب أن هذا يسبب إزعاج الضحية بعدد لا نهائي من الرسائل المزعجة و ذلك فقط من خلال كتابة سكريبت  بسيط ..

كما يفتقر تطبيق صراحة إلى وظيفة حذف متعدد للرسائل و هو ما يجبر الضحية على قراءة الرسالة أو على الأقل إلقاء نظرة سريعة على كل الرسائل المزعجة التي تتلقاها .

كما عبر الباحث عن مخاوفه من الطريقة التي يتعامل فيها الموقع مع إعادة تعيين كلمة السر في حالة نسيانها و محاولات الدخول المعتمدة على التخمين . حيث يمكن أن يستخدم بطريقة مزعجة .

فمن أجل إعادة تعيين كلمة السر في تطبيق الصراحة فلا يطلب منك سوى عنوان البريد الإلكتروني المرتبط بالحساب ثم سيقوم الموقع بإنشاء ذاتي لكلمة سر جديدة يتم إرسالها إلى ذلك الإيميل و هذا أيضاً لا يقيد بعدد محدد و بالتالي يمكن كتابة سكريبت من أجل تغيير كلمة السر كل ثلاثين ثانية و هذا لن يؤدي إلى ملء صندوق الوارد للضحية فحسب إنما سيجعل من الصعب لهم الدخول إلى حسابهم

و نفس السكريبت السابق يمكن أن يستخدم من أجل منع المستخدم من الدخول إلى حسابهم بطريقة تسجيلات الدخول الخاطئة حيت يتم بعد عشر محاولات خاطئة قفل الحساب لفترة عشوائية من الزمن .

وقال الباحث أن مشكلته الأكبر مع التطبيق هي النقص الواضح في الاحترافية ، حيث قدم لهم ما وجده قبل أشهر من أجل تنبيههم على هذه القضايا الأمنية ، و بعد أشهر من المتابعة دون جدوى قام بكشف هذه القضايا عبر مدونته الشخصية .

أجهزة أندرويد في خطر جديد

اكتشف باحثون من شركة ESET الشهيرة في مجال مكافحة البرمجيات الخبيثة نوعاً جديداً من البرمجيات الخبيثة التي تطلب فدية ransomware  ، و لكن هذه المرة تستهدف أجهزة الأندرويد Android و ذلك للمرة الأولى .

ما هي هذه البرمجية ؟

البرمجية الجديدة و التي تحمل الاسم دوبل لوكر DoubleLocker ( القفل المضاعف ) ، و كما هو واضح من اسمها فإنها تقوم بعمل قفل ثنائي معاً فهي تقفل ( تشفر )البيانات في الأجهزة المصابة ، و تقفل الشاشة برقم بين PIN عشوائي ، لذلك فإن أجهزة الضحايا تبقى مقفلة حتى يتم دفع الفدية للهاكرز .

و يمكن لهذه البرمجية الخبيثة أن تصيب أي جهاز أندرويد Android بما فيها الأجهزة المروتة ( ذات صلاحيات الروت أو الجذر Root ) و الغير مروتة مما يُفقد المستخدم القدرة على استخدام هاتفه الشخصي .

و يقول الباحثون في شركة الحماية ESET أن هذه هي المرة الأولى التي تستطيع فيها برمجية خبيثة من الجمع بين تشفير البيانات و تغيير رقم PIN معاً .

كيف تتم الإصابة بها ؟

و تتم الإصابة بهذه البرمجية عن طريقة تحميل برنامج أدوب فلاش بلاير مزور Adobe Flash Player  من خلال بعض المواقع على شبكة الإنترنت

ما هي آلية عمل هذه البرمجية ؟

عند فتح برنامج أدوب فلاش بلاير Adobe Flash Player المزور فإنه يطلب تفعيل و استخدام خدمات جوجل بلاي “Google Play Service.” ليستغل سلسلة من الأذونات من خلال خدمات الوصول – و هي الخدمات المصممة لمساعدة ذوي الاحتياجات الخاصة لاستخدام هاتفهم .( فيديو في أسفل المقالة يشرح مبدأ عمل هذه البرمجية ) .

و حالما تحصل على الأذونات المناسبة تنصب نفسها كتطبيق أساسي لانشر Launcher يتمتع بصلاحيات تمكن من تغيير قفل الشاشة.

كما تقوم بصنع اختصار غير مرئي يتم تنشيطه ذاتياً كلما تم الضغط على زر القائمة أو الهوم home ليتم عرض رسالة من الهاكرز تطالب بدفع الفدية بعملة البيتكوين كما توضح طريقة الدفع .

و تقوم البرمجية أيضا بتغيير رقم البين PIN إلى رقم عشوائي دون أن يتم إرساله إلى المخترقين ، جاعلاً من المتسحيل افتراضاً أن يتم استعادة رقم ال PIN دون الخضوع لمطالب الهاكرز . و الذين يقومومون ب إعادة تعيين رقم ال PIN عن بعد حالما تدفع الفدية .

و تقوم أيضاً بتشفير الملفات على جهازك باستخدام خوارزمية تشفير AES و التي لسوء الحظ يتم تطبيقها بشكل فعال جاعلة من الصعب فك تشفيرها دون وجود مفتاح التشفير .

و يملك الضحايا مهلة 24 ساعة لكي يقوموا بدفع الفدية و التي تبلغ قيمتها حوالي 0.0130 بيتكوين من أجل فك تشفير البيانات . و لحسن الحظ فإنه لا يتم حذف الملفات في حال لم تقم بالدفع خلال المهلة المطلوبة و لكن تبقى الملفات مشفرة و الهاتف مقفول برمز غير معروف .

و يمكن معرفة إذا كانت ملفاتك مصابة أم لا من خلال رؤية اللاحقة .cryeye في نهاية الملفات المصابة .

هل هناك حل دون دفع الفدية ؟؟

في الوقت الحالي فإنه يمكن إزالة هذه البرمجية الخبيثة عن طريقة عمل ضبط مصنع factory reset و لكنك ستخسر كل ملفاتك في هذه الحالة .

طريقة أخرى خاصة بالهواتف المروتة ( ذات صلاحيات الروت أو الجذر Root ) و التي يكون وضع تصحيح USB أو debug mode مفعلاً قبل أن تتمكن البرمجية من قفل الهاتف فإنه يمكن تجاوز رمز الPIN من دون ضبط المصنع و ذلك من خلال ما يعرف ب جسر تصحيح أندرويد  Android Debug Bridge (adb) و الذي يتم من خلاله إزالة ملف النظام المسؤول عن تخزين رقم PIN ، و من ثم يتم الدخول إلى الهاتف بالوضع الآمن Safe Mode من أجل تعطيل صلاحيات الأدمن المعطاة للبرمجية الخبيثة و من ثم إزالتها .

و هذه العملية ليست سهلة و ينصح بعد إجرائها القيام بنقل الملفات المهمة إلى مكان آخر ثم عمل ضبط مصنع لإزالة كل الملفات و التأكد من زوال البرمجية الخبيثة .

و لكن تبقى الطريقة الأفضل لتجنب مثل هكذا برمجيات هي الوقاية بعدم تحميل الملفات من مصدر خارجي ، و تحميل البرامج فقط من المتجر الرسمي جوجل بلاي Google Play و للمطورين الموثوقين .

و كانت شركة أدوبي Adobe قد قامت في عام 2012 بإزالة برنامج الفلاش بلاير Flash Playe من متجر جوجل بلاي Google Play منهية بشكل رسمي تطوير هذا البرنامج لأجهزة الموبايل .

و كان ستيف جوبز Steve Jobs قد انتقد فيما سبق و بشدة برنامج الفلاش بلاير Flash Player كونه يستنزف البطارية و يحوي العديد من الثغرات للاختراق .

فيديو من ESET يظهر البرمجية الخبيثة DoubleLocker

ثغرة خطيرة في شبكات الواي فاي تؤثر على جميع الأجهزة

إذا كنت تعتقد أن نظام التشفير القوي WPA2  آمن فأنت مخطئ تماماً بعد أن تم مؤخراً اكتشاف ثغرة خطيرة تحمل الاسم ” كراك ” KRACK .

الثغرة التي تم اكتشافها من قبل معهد Ars Technica التكنولوجي تعتمد بشكل رئيسي على مهاجمة بروتوكول الحماية WPA2 و هو نظام تشفير قوي من أجل حماية شبكات الواي فاي Wi-Fi من الاختراق ، كما يمكن من خلالها مهاجمة نظام التشفير WPA و WEP الأضعف .

ويستهدف هذا الهجوم ما يعرف ب The 4-way handshakeو هو المسؤول عن مطابقة كلمة السر بين أجهزة المضيف ونقطة الوصول (الراوتر)

و لكون نقطة الضعف هي في معايير الواي فاي Wi-FI نفسها فإن هذه الثغرة  تستهدف أي جهاز يدعم تقنية الاتصال اللاسكلي الواي فاي Wi-Fi ، ما يعني أن كل الأنظمة معرضة لهذا الهجوم : الأندرويد Android و نظام الماك MacOS و الويندوز Windows و IOS و اللينوكس Linux .

و من خلال هذه الثغرة يستطيع الهاكرز اعتراض حركة مرور البيانات ( الترافيك ) مابين  نقطة الوصول و الأجهزة المتصلة و حتى دون الحاجة إلى معرفة كلمة السر الخاصة بالشبكة .

و بحسب الباحثين فإن الأجهزة الأكثر عرضة لهذا الهجوم هي أجهزة الأندرويد Android العاملة بالإصدار السادس Android 6 Marshmallow منه و الأجهزة العاملة بنظام لينوكس Linux حيث وجد الباحثون أن حوالي 41% من كل أجهزة الأندرويد عرضة للإصابة بهذا ” الهجوم التخريبي الاستثنائي ” .

و يستطيع الهاكرز – الذي يكون ضمن نطاق الشبكة – من خلال هذا الهجوم اعتراض البيانات المرسلة و ” حقن” برمجية فدية أو برمجية خبيثة ، كما بإمكانه سرقة كلمات المرور ، أرقام الحسابات المصرفية ، رسائل الدردشة ، الصور ، البريد الإلكتروني و العديد من الأشياء الأخرى .

و بعد ساعات من الإعلان عن هذه الثغرة قالت شركة مايكروسوفت Microsoft أنها قامت بإصلاح المشكلة مسبقاً للمستخدمين الذي يعتمدون نسخ مدعومة من ويندوز Windows و قالت : ” لقد أصدرنا تحديث حماية من أجل معالجة هذه القضية ، المستخدمون الذين قاموا بتنزيل هذا التحديث أو أن التحميل الآلي مفعل لديهم سيتمتعون بالحماية المطلوبة ” .لتحميل التحديث اضغط هنا  .

أما بالنسبة لأجهزة الأندرويد Android فقد وعدت شركة غوغل Google بإصلاح المشكلة قريباً في الأسابيع القادمة حيث ستكون أجهزة غوغل الخاصة وهي أجهزة البيكسل أولى الأجهزة التي سوف تحصل على باتش الحماية في السادس من الشهر القادم إلا أن معظم الأجهزة الأخرى ستحصل عليه لاحقاً .

بالنسبة لشركة آبل Apple فلم توضح  فيما إذا كانت أحدث إصدارات أنظمة التشغيل الخاصة بها i0S و MacOS معرضة للهجوم أم لا . و لكنها أعلنت لاحقاً إصلاح المشكلة في النسخة بيتا من أنظمة التشغيل الحالية و سيصبح التحديث متاحاً للجميع خلال أسابيع .

فيديو يوضح آلية الهجوم باستخدام هذه الثغرة :

نسخة مزيفة وربما ضارة من إضافة حظر الإعلانات على متجر Chrome

قامت غوغل Google منذ عام 2015 بمنع جميع مستخدمي متصفحها كروم Chrome عبر نظامي ويندوز Windows و ماك Mac من تحميل أي إضافة للمتصفح من مصدر خارجي ، و حصرت تحميل الإضافات من خلال متجر كروم الخاص Chrome Web Store و ذلك منعاً لتحميل أي برمجية خبيثة أو مخادعة من قبل المستخدم.

و لكن رغم ذلك فقد اكتشف مؤخراً وجود إضافة مخادعة تحمل الاسم AdBlock Plus في المتجر الرسمي و ما زالت موجودة حتى اليوم ، و بعدد تحميلات أكثر من 30.000 .

و قد لفت الانتباه لهذه الإضافة المخادعة حساب متخصص في مجال الحماية الرقمية @SwiftOnSecurity.

و قال أن هذه الإضافة إستطاعت تجاوز عمليات التدقيق و دخلت إلى قائمة الإضافات في المتجر الرسمي ، و هذه يمثل حالة خداع خاصة للمستخدمين الذين لا ينتبهون بحرص إلى مطور كل إضافة .

في هذه الحالة قام مطور ما بتصميم إضافة تحمل الاسم ” Adblock Plus ” بشكل مقصود من أجل تمويه المستخدم عن الإضافة الحقيقية التي تحمل ذات الاسم و المطورة من قبل adblockplus.org. و لها أكثر من 10 مليون مستخدم لها ، بينما مطور الإضافة المخادعة استطاع إقناع حوالي 37.000 ألف مستخدم لتحميلها .

و غير معروف فيما إذا كانت هذه الإضافة تمثل برمجية مخادعة أو ما هي البيانات التي يمكن أن تحصل عليها .

و كانت غوغل Google قد أعلنت عن حصر تحميل الإضافات في متجرها الرسمي منذ عام 2015 و قالت أنه في ذلك الوقت حوالي 75 % من المستخدمين قد دخلوا إلى قسم الدعم من أجل إزالة إضافة غير مرغوب بها عندما تم اعتماد هذه السياس وبشكل رسمي لمستخدمي ويندوز Windows

حالياً ، فإن الهاكرز يعتمدون على تقنية الخداع عن طريق نفس الاسم و التي خدعت غوغل نفسها في بداية هذا العام حيث انتشر تطبيق ويب من مصدر خارجي يحمل الاسم “Google Docs,” و الذي خدع مستخدميه من أجل الحصول على صلاحيات الدخول إلى عناوني الاتصال و الجي ميل Gmail. و على إثر هذه الهجمة قالت غوغل Google أنها تعمل لمنع مثل هكذا نوع من الخداع مرة اخرى .

 

هاكرز ربما سرقوا ملفات من وكالة الأمن الوطني الأمريكية عن طريق Kaspersky

قالت صحيفة وول ستريت جورنال الأمريكية The Wall Street Journal أن قراصنة روس استطاعوا سرقة معلومات حول الدفاع الإلكتروني من وكالة الأمن القومي الأمريكي NSA.

و بحسب الصحيفة فإن هذه المعلومات كانت بشأن كيفية قيام الولايات المتحدة الأمريكية بعمليات اختراق شبكات الحاسوب الأجنبية ، و الاستراتيجية التي تتبعها للحماية من الهجمات الإلكترونية  .

وبحسب الصحيفة فأن المشكلة بدأت عندما قام أحد موظفي الأمن القومي بنسخ ملفات سرية من حواسيب الوكالة و نقلها إلى حاسوبه الشخصي والذي يعتمد على مضاد الفيروسات الروسي كاسبر سكاي  Kaspersky وذلك للعمل عليها في منزله . والذي ربما جعل الاختراق ممكناً .

وقد أخبر بليك دارشيه أحد الموظفين السابقين في وكالة الأمن القومي الأمريكية و الخبير في مجال أنظمة الاختراق الأجنبية صحيفة The Wall Street أن برنامج كاسبر سكاي Kaspersky “عدواني” في طرقه باصطياد البرمجيات الخبيثة .
حيث قال : “إنهم يقومون بإنشاء نسخ من ملفات الحاسوب ، أي شيء يظنونه مثيراً للاهتمام” ويقول بأن اتفاقية ترخيص الكاسبر سكاي التي يقرأها قليل من المستخدمين تسمح بذلك .

و رغم أن هذه الحادثة قد وقعت منذ عام 2015 إلا أنه لم يتم الكشف عنها حتى ربيع العام الماضي .

و لم تؤكد وكالة الأمن القومي هذه المعلومات حتى الآن مشيرة إلى سياسة “عدم التعليق نهائيا على القضايا التي تخص منشآتها أو موظفيها”

و بالمقابل فإن شركة كاسبر سكاي لابس Kaspersky Labs نفت هذه المزاعم بشدة كما نفت أي علاقة تربطها مع الكرملين الروسي رغم اعتراف مؤسس الشركة بأن شخصاً أو اثنين بعملان لصالح الحكومة الروسية قد تمكنا من التسلل إلى شركته

و أضافت الشركة : ” لم نُزود بأي معلومات أو أدلة على هذه العملية و بالتالي فإننا نعتبر أن هذه التهمة باطلة “

يُذكر أن الإداراة الأمريكية أمرت في الثالث عشر من شهر أيلول الماضي جميع موظفيها الفيدراليين بنزع كل برامج مكافحة الفيروسات التابعة لشركة كاسبر سكاي لابس Kaspersky Labs من أجهزة الحواسيب الخاصة بالمؤسسات الحكومية و الوكالات الفيدرالية .

عدد هائل من أجهزة الحاسوب عرضة للاختراق

كشف تقرير نشره فريق Duo Security للحماية بعد فحصه لأكثر من 70 ألف جهاز ماك Mac أن عدد كبيراً من هذه الأجهزة يحوي على ثغرة في الفيرموير firmware  يمكن أن تتسبب بضرر عدد كبير من الحواسيب ،

و لا يقتصر هذا الأمر على الحواسيب العاملة بنظام ماك Mac بل و حتى الحواسيب العاملة بنظام ويندوز Windows يمكن أن تكون مصابة أيضاً بثغرة مشابهة . .

الثغرة موجودة بنظام آبل إي إف آي Apple’s EFI ( وهو المسؤول عن إقلاع و تشغيل نظام التشغيل ماك MacOS، و لأن جميع البرامج اللاحقة تعتمد أساساً على إقلاع النظام التشغيل من  EFI ( ال EFI يشبه نظام البيوس BiOS في أجهزة الحاسوب القديمة ) فإن المشكلة يمكن أن تسبب تهديدا حقيقياً للكثير من الحواسيب .

و قد تم اكتشاف هذه الثغرة عند إجراء إحصاء لحواسيب الماك Mac و التي تعمل ب برنامج ثابت firmware  بإصدار قديم ، حيث أن أجهزة الماك الحالية يُفترض أن تقوم بتحديث firmware بشكل تلقائي إلى آخر نسخة عندما يقوم المستخدم بتحديث نظام التشغيل و لكن و بحسب مركز Duo Security فإن هذا الأمر لا يتم .

حيث أن الكثير من المستخدمين يملكون آخر تحديث لنظام التشغيل و لكنهم يستخدمون إصدار قديم من firmware ، و بالتالي فإن المشكلة توصف بحسب الفريق نفسه: ” نظام التشغيل Software آمن ، و لكن البرنامج الأساسي firmware  غير آمن ”

و بحسب الفريق نفسه فإن هذه الثغرة تم اكتشفاها في 16 جهاز ماك Mac من الإصدارات الحديثة ، و لكن أكثر الحواسيب عرضة لهذه الثغرة هي الحواسيب المصنعة في أواخر عام 2015 حيث أن حوالي 45 % من تلك الأجهزة تعمل بنظام فيرموير firmware  قديم

و هذه الثغرة لا تقتصر على أجهزة الماك Mac بل قد تكون موجودة بنسبة كبيرة أيضاً في الحواسيب العاملة بنظام ويندوز Windows

,و على عكس أجهزة الماك Mac و والتي هي الحواسيب الوحيدة التي تعمل بنظام MacOS و المصنعة من قبل آبل Apple حصرا ،  فإن العديد من الشركات تصنع الحواسيب الخاصة بها و العاملة افتراضياً بنظام ويندوز Windows و بالتالي فإن مايكروسوفت Microsoft تفقد التحكم بسلسلة الإمداد ما يجعلها غير قادرة على معرفة مدى عمق هذه المشكلة .

و بحسب مصدر خاص لموقع TNW فإن شركة آبل Apple على علم بهذه الثغرة و تعمل جاهدة لإصلاحها في وقت قريب ،

 

 

 

رسائل الإيميلات النصية هي الوحيدة الآمنة حالياً

معظم الناس يعتقدون أنه خطأ المستخدم عندما يتعرض لعملية خداع عبر مواقع الإنترنت بشكل عام لأنه ببساطة ضغط على الشي الخاطئ ، و لأجل حل هذه المشكلة يجب الانتباه إلى الأشياء التي نضغط عليها ، ولكن خبراء الحماية يعتقدون أن الناس يفكرون في المشكلة الخطأ .

و على الرغم من أن مثل هكذا خداع عن طريق الإعلانات يمكن أن يحدث في أي موقع إلكتروني ، إلا أن حديثنا في هذه المقالة سيتركز على مواقع البريد الإلكتروني لما تشكله من أهمية و بشكل خاص بالنسبة للشركات و المنظمات الكبرى .

المشكلة الحقيقية بحسب هؤلاء الخبراء هذه الأيام هي أن مواقع البريد الإلكتروني هي عبارة عن ” حقل ألغام إلكتروني ” مليئة بالإعلانات المشوقة و المثيرة و التي تحرضك بطريقة أو بأخرى على الضغط عليها من أجل الدخول في تجربة رائعة من خلال الإنترنت بحسب زعمهم .

حيث أن المواقع التي توفر خدمة البريد الإلكتروني تعتبر مكاناً مناسباً للمعلنين من أجل ترويج منتجاتهم ، كونها تستخدم من قبل شريحة واسعة جداً من الناس .

و صحيح أن هذه المواقع توفر لك كتابة البريد الإلكتروني بمظهر جذاب و جميل و لكن بالوقت نفسه تحمل خطورة جدية و غير ضرورية بسبب أن صفحات الويب بشكل عام و من ضمنها هذه المواقع يمكن بسهولة أن تظهر شيئاً ما و لكن تفعل شيئاً آخر .

فمثلاً قد تضغط على إعلان لتنزيل محتوى ما و لكنك تتفاجئ بذهابك إلى موقع آخر .

و إن الحل الأمثل بالنسبة لمواقع البريد الإلكتروني هو تجنب عرض مثل هكذا إعلانات أو روابط وذلك من خلال عرض البريد بالشكل الأكثر بساطة ، ألا و هو بالشكل النصي فقط دون تواجد لأي صور أو وسائط أخرى أو إعلانات إنما فقط الكلمات المُرسلة .

إن إرجاع البريد الإلكتروني إلى أصله النصي فقط قد يعتبر أمراً متخلفاً و غير مناسب و لكنه أفضل بكثير من الناحية الأمنية .

ببساطة فإنك عندما تقوم بتعطيل HTML و عرض البريد الإلكتروني نصياً فقط فإن هذا الأمر سيزيل خطر الإعلانات المزيفة و الروابط الغير آمنة .

و إذا ما أردت الدخول إلى رابط ما ورد في البريد الإلكتروني ، فكل ما عليك فعله هو نسخ هذا الرابط و من ثم لصقه و هذا يعطي فترة صغيرة للتأكد من العنوان .

الشركات تكون عرضة للتهديد بشكل أكبر بكثير من الأفراد ، الشخص العادي يحتاج إلى أن يحذر من نقراته هو فقط على الإنترنت ، ولكن بالنسبة للشركات فإن نقرات كل موظفيها يجب أن تكون موضع قلق،

لذلك فإن الشركات الكبيرة توظف عادة خبراء حماية من أجل تثقيف موظفيها من الناحية الأمنية التقنية تجنباً لأي اختراق كان بالإمكان تجنبه بسهولة .

البرمجية الخبيثة التي أثرت على CCleaner استهدفت شركات كبيرة

بعد أن تحدثنا في مقالة سابقة عن عملية اختراق لبرنامج تنظيف الويندوز CCleaner فإن الأمور تتجه لتكون أكثر إثارة مما توقعناه .

فبعد أن قام كلا من مركز أبحاث Cisco’s Talos و Avast بتحليل بيانات الهجوم السابق وجدوا دليلاً واضحاً على أن المهاجمين كانوا يستخدمون هذا الاختراق من أجل استهداف حواسيب الشركة التقنية المتطورة و شركات الاتصال في بعض دول العالم .

و قال الباحثون إن الهجوم كان يستهدف بشكل أساسي  سلسلة من الدومينات الخاصة بشركات تكنولوجية بهدف جمع بيانات و دخول دائم إلى اي من الأجهزة المصابة .

و رغم أن آفاست رفضت الإفصاح عن قائمة الشركات المصابة إلا أن مركز أبحاث Cisco’s Talos نشر قائمة الدومينات المستهدفة والتي ضمت إضافة للمركز نفسه – Cisco’s Talos – عدداً من الشركات الكبيرة مثل الدومين “Ntdev.corp.microsoft.com” و هو الدومين الخاص بمطوري ويندوز Windows .

و شملت قائمة الدومينات أيضاً كلاً من شركة جوجل Google وإنتل Intel ومايكروسوفت Microsoft وسامسونج Samsung وسوني Sony  وإتش تي سي HTC ولينكسيس Linksys، إضافة إلى شركات الاتصال الرئيسية في سينغافورة و المملكة المتحدة .

و شملت القائمة حوالي 20 شركة مختلف و ذلك خلال أربعة أيام فقط من الهجمة و التي استمرت حوالي الشهر ( من 15 آب حتى 12 أيلول )  و لذلك فإن عدد الشركات يتوقع أن يكون أكبر من ذلك بكثير .

حيث وُصف هذا الهجوم على أنه هجوم ” إغراقي ” بحيث أصاب مئات الآلاف من الحواسيب إلا أن الهدف الرئيسي له هو الشركات التقنية .

و اقتصر هذا الهجوم على مهمة جمع المعلومات فقط دون إلحاق أي ضرر ، دون معرفة دوافع المهاجمين للحصول على مثل هكذا معلومات .

و قدّر الباحثون عدد الأجهزة المصابة بحوالي 700.000 وذلك بعد أن كانت التقديرات الأولية حوالي 2.2 مليون جهاز .

هاكرز قاموا بإخفاء برمجية خبيثة ضمن برنامج CCleaner

إذا كنت من مستخدمي البرنامج الشهير في تنظيف الويندوز CCleaner فإن لدينا لك أخباراً سيئة هذا اليوم .

قد لا تصدق أن البرنامج الشهير و المستخدم من قبل الملايين عبر العالم قد تعرض للاختراق و ذلك بحسب ما تم كشفه من قبل مركز الأبحاث Cisco Talos .

حيث اكتشف المركز أنّ المخترقين قد تمكنوا من إدخال برمجية خبيثة Malware ضمن النسخة  CCleaner 5.33

و أكدت شركة بيريفورم   Piriform – و هي الشركة الأم لتطبيق CCleaner – عملية الاختراق هذه ، وأضافت الشركة أنه حالياً هنالك حوالي 2.27 مليون شخص تعرضوا للاختراق عبر تلك البرمجية الخبيثة داخل CCleaner، و لكنها طمأنت المستخدمين و قالت أنها قد أصلحت الخلل سريعاً و لا تعتقد أن المستخدمين قد تضرروا من هذه العملية .

ما الذي تفعله هذه البرمجية الخبيثة Malware ؟

رغم أن هذه البرمجية الخبيثة لا تؤدي إلى إحداث ضرر ما في النظام ، إلا أنها تقوم بتشفير و جمع معلومات يمكن أن تستخدم في المستقبل من أجل إلحاق الضرر بالنظام ، و بشكل أكثر تحديدا فإنها تقوم بصنع معرف نوعي لكل جهاز حاسوب و تقوم بجمع المعلومات التالية :

1 – اسم جهاز الكومبيوتر .

2 – قائمة بالبرامج المنصبة إضافة إلى تحديثات ويندوز أيضاً .

3 – قائمة بالعمليات المشغلة .

4 – عنوان الماك MAC لمحولات الشبكة الثلاثة الأولى .

5 – معلومات أخرى مثل معرفة إذا كانت عملية ما تجري بصلاحية المسؤول ( الأدمن ) ، هل النظام بمعمارية 64 بت ، و غيرها .

هل نسختي مصابة ؟ 

لحسن الحظ فإن هذه الإصابة اقتصرت على عدد قليل من المستخدمين ، بشكل أكثر تحديداً فإن النسخة المصابة يجب أن تحقق الشروط التالية :

1 – النسخة المستخدمة هي نسخة 32 بت و ليس نسخة ال 64 بت .

2 – رقم النسخة المستخدمة هو 5.33.6162 بالنسبة لبرنامج CCleaner أو النسخة 1.07.3191 بالنسبة للنسخة السحابية  CCleaner Cloud و التي تم إطلاقهما في 15 آب الماضي .

لحسن الحظ أيضاً فإن البرنامج لا يقوم بتحديث نفسه بشكل تلقائي عادة و هذا أمر جيد للكثير من المستخدمين الذين يعتمدون النسخ الأقدم .

كيف أعرف أن النسخة التي لدي مصابة أم لا ؟ 

إذا كنت تملك نسخة 32 بت من البرنامج و تعتقد أنك قمت بتحميله في فترة الإصابة ( أي بين 15 آب و 12 أيلول) ، فعليك القيام بفتح البرنامج و النظر إلى الزاوية العلوية اليسرى حيث سترى رقم الإصدار :

فإذا كان الرقم أقل من  5.33.6162 فالبرنامج غير مصاب ، و ينصح بتحديث هذه النسخة يدوياً من خلال حذف النسخة الحالية و تنصيب أحدث نسخة من خلال هذا الرابط  .

و أما إذا كان رقم النسخة 5.34 أو أحدث فإن البرنامج غير مصاب أيضاً ، و لكن يجب الانتباه فيما إذا كنت قد قمت بتحديث البرنامج في الفترة بين 15 آب و 12 أيلول الماضيين فإنه من المحتمل أن هذه النسخة قد كانت مصابة مسبقاً قبل التحديث .

ماذا علي أن أفعل ؟  

ينصح مركز Cisco Talos باستعادة النظام إلى نقطة ما قبل 15 آب 2017 من النسخ الاحتياطي ، كما ينصح أيضاً بعمل فحص شامل لكل محتويات النظام و النسخ الاحتياطي من أجل التأكد من سلامة الجهاز .

و كحل جذري يمكن القيام بإعادة تنصيب الويندوز Windows كلياً ، و ذلك للتأكد من سلامة جهازك بشكل مطلق .

شركة HBO تعرض على المخترقين 250 ألف دولار لوقف التسريبات

تقوم شركة HBO وهي الشركة المنتجة للعديد من المسلسلات وعلى رأسها مسلسل صراع العروش Game of Thrones بالتفاوض مع الهاكرز الذين استطاعوا اختراق الموقع وسرقة العديد من السكريبتات و العروض وبيانات الممثلين الشهر الماضي .

حيث أعلن كلاً من موقع Variety و موقع The Hollywood Reporter عن تلقي بريدا إلكترونياً من المخترقين يحوي على نسخة من رسالة من شركة HBO تحوي عرضاً مالياً للهاكرز .

حيث تقول الرسالة والتي أرسلها المدير التنفيذي في الشركة : “من أجل إبداء حسن النوايا من طرفنا فإننا مستعدون لدفع 250 ألف دولار تحت بند “جائزة كشف الثغرات التقنية” حالما نقوم بإنشاء الحساب اللازم وتأمين البيتكوين bitcoin ”

وعلى الرغم من أن شركة HBO رفضت التعليق على هذا الأمر إلا أن موقع Variety قال أنه تأكد من صحة هذا البريد الإلكتروني .

وقال الموقع Variety أنه هذه الصفقة قد تهدف إلى المماطلة كون تاريخ البريد الإلكتروني يعود إلى أواخر الشهر الماضي أي قبل أن تدرك الشركة حجم المعلومات التي حصل عليها المخترقون .

من غير الواضح فيما إذا كانت الشركة جادة في عرضها أم لا ، إلا أنه من المفاجئ أن تقوم بتقديم هذا العرض حتى .

وعادة فإن الشركات الكبيرة ترفض التفاوض مع المخترقين والرضوخ لابتزازاتهم . وعلى الرغم من أن الشركة قد لا تملك النية للدفع إلا أنه من غير المألوف أن نرى مثل هذا التعاون والتفاوض مع المخترقين على الإطلاق .

ويظهر بوضوح أن الدفع لم يتم وأن هدف المخترقين من تسريب هذه الرسالة ربما من أجل دفع المزيد أو من أجل إحراج الشركة HBO .

موقع The Hollywood Reporter قال انه تلقى بريداً إلكترونياً من الهاكرز منذ حوالي الأسبوع يقول :  ” “إنه فقط من أجل النقود ، أمضينا أسابيع في التفاوض مع شركة HBO ولكنهم خالفوا تعهداتهم ويريدون اللعب معنا ”

وقد قام المخترقون منذ يومين بتسريب بعض البيانات التي قاموا باختراقهما والتي تشمل عناوين وأرقام هواتف بعض نجوم مسلسل لعبة العروش Game of Thrones .