المراجع : خالد الرويلي

ماجد الربيعان

النسخة : الأولى

1. مقدمة:

يجلب الارتباط بشبكة الإنترنت (أو كما يحلو للبعض تسميتها بالشبكة العنكبوتية) تحديات أمنية جديدة لشبكات الشركات ، حيث أنشأت هذه الشركات مواقع لها على الانترنت، وزودت موظفيها بخدمات البريد الالكتروني ومتصفحات انترنت وأصبح بذلك أمام قراصنة الحاسوب المسلحين ببعض المعرفة وبعض الأهداف الخبيثة طريقة جديدة للتسلل إلى الأنظمة الداخلية،وبمجرد أن يصبح هذا الدخيل داخل شبكة الشركة، يمكنه أن يتجول فيها ويخرب أو يغير البيانات، أو يسرقها مسببا أضرارا من مختلف الأنواع .

كما يصور البعض فيروس الحاسب على أنه كائن أسطوري يستطيع أن يفعل المعجزات، و أن هذا الكائن إذا استطاع السيطرة على الحاسب يمكن أن يقوم بكل شيء. و الحقيقة أن هذه النظرة للفيروس ترجع إلى عدم وجود المعلومات الكافية عن الفيروسات وما شابهها من البرامج الخبيثة و طبيعتها و كيف يمكن أن تصيب الحاسبات.

2. البرامج الخبيثة (Malicious code)

أحد أنواع البرامج والذي يقوم بأعمال تخريبية غير مشروعة مسبباً حدوث خلل في عمليات نظام التشغيل. ووفقاً لأبحاث SPECTRIA InfoSec فإن البرامج الخبيثة تعرف بـأنها " برامج تعمل بشكل يتضارب مع الوضع الطبيعي الذي تعمل به عمليات الحاسوب".¹

هناك أنواع عديدة من البرامج الخبيثة لعل أشهرها:

§ الفيروسات (viruses)

§ الديدان (worms)

§ التروجان (Trojan Horses) أو كما يحبذ البعض تسميتها أحصنة طروادة.

2. 1 الفيروسات (Viruses):

يعد الفيروس أحد البرامج الخبيثة والتي يتم إنتاجها خصيصاً لكي تلحق نفسها ببعض البرامج أو الملفات، تتميز هذه الفيروسات بقدرتها على التكاثر و الانتقال من جهاز إلى آخر عن طريق الملفات المتبادلة بين المستخدمين. إذ تتمكن هذه البرامج من تدمير البرامج و المعلومات أو إصابة الأجهزة بالخلل بعدة طرق فمنها ما يبدأ بالعمل مباشرة عند الإصابة و بعضها عند تنفيذ بعض الأوامر و البعض الآخر عندما يحين التوقيت و التاريخ المبرمج سلفا². وتعرف منظمة Xtra’s, Active Content and Malicious Code الفيروس على أنه " برنامج حاسوبي ينسخ نفسه من ملف إلى آخر وعادة ما يقوم بهجمات عدائية أو مزعجة على الجهاز المستهدف".

هناك معركة مستمرة بين من يكتب فيروسات الحاسب الآلي وبين الشركات المصنعة للبرمجيات المضادة لمثل هذه البرامج الخبيثة.

وفي وقتنا الحاضر بلغت الفيروسات درجة كبيرة من التعقيد إذ تعددت أشكالها وطرق انتشارها ووسائل علاجها. ووفقا لدراسة حديثة أجراها قسم التجارة والصناعة بالمملكة المتحدة: أن 93% من الشركات الصغيرة و99% من الشركات الكبيرة تستخدم برامج مكافحة الفيروسات ، وما يربو من 60% من الشركات تحدث تلك البرمجيات بشكل آلي إلا أن 50% من الشركات الصغيرة و 68% من الشركات الكبيرة مازلت معرضة لهجمات الفيروسات.

مصادر الفيروسات

توضح الدراسة التي قامت بها معامل ICSA: أن نسبة الإصابة بالفيروسات عن طريق البريد الإلكتروني في تزايد مستمر مع مرور الوقت، ولعل الجدول التالي يوضح أهم مصادر الفيروسات:

وبالنظر إلى الجدول أعلاه نجد أن البريد الإلكتروني يعد أكبر مصدر للفيروسات، إذ وتشير إحدى الدراسات إلى أن80% من الفيروسات يتم نشرها باستخدام البريد الالكتروني، في حين أن 90% مت الشركات قد تعرضت للإصابة بفيروسات أو ديدان³.

يعد خطر الفيروسات على المنظمات كبير، فهي استنزاف للأموال والموارد وكذلك عامل الوقت. فبسببها تقل الإنتاجية في العمل، قد تكون سبباً لفقدان البيانات بل وقد تصل إلى فقدان ثقة المستخدم بالمنظمة التي يعمل بها⁴.

أسباب انتشار الفيروسات

§ تزايد عدد الأجهزة المتصلة بالشبكة العنكبوتية، إذ تشير إحدى الدراسات إلى أن هناك ما يربو من 533 مليون مستخدم لشبكة الإنترنت في عام ⁵2001.

§ برمجة وكتابة الفيروسات أصبحت بالأمر السهل خصوصاً مع توفر لغات البرمجة التي توفر للمستخدم واجهات تصويرية (Graphical User Interface)⁶.

كيفية عمل الفيروسات

يقوم من أنشأ أو برمج الفيروس ببرمجة الفيروس و توجيه الأوامر له حيث يقوم بتحديد الزمان و متى و كيف يبدأ الفيروس بالنشاط و عادة ما تعطى فرصة كافية من الوقت للفيروس حتى يضمن حرية الانتشار دون أن يلفت الانتباه ليتمكن من إصابة أكبر عدد ممكن من المستخدمين ، و تختلف الفيروسات من حيث بدأ النشاط فهنالك من يبدأ بتاريخ أو وقت محدد و هنالك من يبدأ بالعمل بعد تنفيذ أمر معين في البرنامج المصاب وهناك من الفيروسات يبدأ بالنشاط بعد التكاثر و الوصول إلى رقم معين من النسخ.

و بعد أن ينشط الفيروس يقوم الفيروس بعدة أنشطة تخريبية حسب الغرض من إنشاء ذلك الفيروس فهنالك ما يقوم بعرض رسالة تستخف بالمستخدم أو تقوم بعرض رسالة تحذيرية عن امتلاء الذاكرة وهناك أنواع أخرى تقوم بحذف أو تعديل بعض الملفات وهناك من يقوم بتكرار ونسخ نفسه حتى يشل جهازك تماما و هناك أنواع اشد فتكا فتقوم بمسح كل المعلومات من قرصك الصلب .

أنواع الفيروسات⁷

هناك آلاف الفيروسات المنتشرة عبر الانترنت، ومع تعدد الفيروسات تعددت تصنيفاتها ، وغالباً ما يتم تصنيف الفيروسات على أساس طريقة هجومها ) طريقة الإصابة بها) فهناك:

1. فيروس الملفات أو :File Virus هو أحد الفيروسات التقليدية التي تلحق نفسها كملف في أي برنامج تنفيذي. و يتميز هذا النوع من الفيروسات بقدرته على الانتشار بعدة طرق منها: الأقراص المرنة و الأقراص المدمجة و رسائل البريد الإلكتروني كملف ملحق، كما يمكنه الانتقال عن طريق تحميل البرامج المجانية و المتوفرة عبر الإنترنت.

2. فيروسات بدء التشغيل او Boot Sector Virus : هذا النوع من الفيروسات يصيب قطاع الإقلاع (Boot sector) في الجهاز ، وهو الجزء الأساسي من القرص الصلب والذي يقوم بتوجيه الجهاز في كيفية تحميل برنامج نظام التشغيل ، و يقوم هذا الفيروس بتحميل نفسه للذاكرة في كل مرة يتم فيها تشغيل الجهاز.

3. فيروس الماكرو أو Macro Virus : هذه الفيروسات تصيب برامج الميكروسوفت أوفيس مثل الوورد و الإكسل، و تعتبر ذات انتشار واسع جدا تقدر ب 75% من عدد الفيروسات الموجودة. يقوم هذا النوع من الفيروسات بتغيير بعض المستندات الموجودة في القرص الصلب و خصوصا الوورد , قد تجد بعض التصرفات الغير منطقية في بعض الأحيان مثل طلب كلمة السر لفتح ملف تعرف انك لم تضع عليه كلمة سر, و أيضا تجد بعض الكلمات قد تغير مكانها و أضيفت كلمات جديدة لا علاقة لها بالموضوع هي أساسا ليست ضارة, لكنها مزعجة نوعاً ما و قد تكون مدمرة أحيانا!

4.الفيروس المتعدد الأجزاء أو :Multipartite Virus و هو الذي يقوم بإصابة الملفات مع قطاع الإقلاع (Boot Sector) في نفس الوقت و يكون مدمراً في كثير من الأحيان إذا لم تتم الوقاية منه.

5.الفيروس المتطور أو Polymorphic Virus: هي فيروسات متطورة نوعا ما حيث أنها تغير الشفرة كلما انتقلت من جهاز إلى آخر (لديها القدرة على تغيير آثارها وطريقة عملها كلما انتقلت من جهاز إلى آخر)

6.الفيروس المختفي أوStealth Virus : تخفي نفسها بان تجعل الملف المصاب سليما و تخدع مضادات الفيروسات (Antivirus) بان الملف سليم و ليس مصاباً بفيروس. مع تطور مضادات الفيروسات أصبح من السهل كشف هذا النوع.

2. 2 الديدان (Worms):

تصيب الدودة الحاسبات الموصلة بالشبكة بشكل أوتوماتيكي و من غير تدخل الإنسان مستغلة بذلك الثغرات الموجودة في النظام المستهدف للهجوم، و هذا الأمر يجعلها تنتشر بشكل أوسع و أسرع عن الفيروسات. الفرق بينهم هو إن الديدان لا تقوم بحذف أو تغيير الملفات بل تقوم بتهليك موارد الجهاز و استخدام الذاكرة بشكل فظيع مما يؤدي إلى بطء ملحوظ جدا للجهاز.

والدودة مشابهة لفيروس الكمبيوتر والفارق الأساسي بينهما هو أن الفيروس يربط نفسه ببرنامج آخر ويصبح جزءا منه في حين أن الدودة برنامج مستقل لا يحتاج إلى أن يكون جزءا من برنامج آخر كي يبدأ في نسخ نفسه.

من أشهر الأمثلة على الديدان والتي لا تزال راسخة في أذهاننا دودة البلاستر (Blaster worm) والتي انتشرت بشكل سريع جداً من خلال شبكة الانترنت في أغسطس من عام 2003. أصابت دودة بلاستر ملايين أجهزة الحاسب الآلي والتي تعمل بنظام التشغيل ويندوز مستغلة أحد ثغرات النظام.

2. 3 التروجان (Trojan Horse):

يعد التروجان أحد البرامج الخبيثة، له القدرة على التقاط كلمات المرور أو الاتصال من بعد بأحد أجهزة الحاسب الآلي والمتصل بشبكة الانترنت.

التروجان يختلف كليا عن الفيروس والدودة . التروجان صمم لكي يكون مزعجاً أكثر من كونه مؤذياً مثل الفيروسات.

3. الحماية من الفيروسات:

للحيطة و الحذر من الفيروسات-خاصة إذا كنت معتاداً على تبادل الأقراص المرنة، أو الملفات عبر الانترنت- لابد من إتباع الإرشادات التالية:

- لابد من وجود برنامج حماية من الفيروسات في جهازك.

- تحديث برنامج الحماية من الفيروسات بشكل دوري وذلك من خلال تحميل جميع التحديثات من شبكة الإنترنت

- ثقافة المستخدم:

وذلك من خلال التعرف على الفيروسات، وطرق انتشارها ، وكيفية الحماية منها ، والآثار المترتبة حال الإصابة بها. ويتم هذا من خلال المداومة على زيارة المواقع التي تهتم بالحماية من الفيروسات، للإطلاع على كل ما هو جديد في هذا المجال، و لاتخاذ الحيطة، فدرهم وقاية خيرٌ من قنطار علاج. ولعل من أشهر المواقع التي توفر معلومات عن كل ما هو جديد في عالم الفيروسات وطرق الحماية منها مايلي⁸ :

Virus Protection software vendors, such as -

Trend Micro www.antivirus.com

Sophos www.sophos.com

McAfee www.mcafee.com

Symantec www.sarc.com

Major news web sites including CNN www.cnn.com and MSN www.msn.com

-

The Virus Bulletins web site: www.virusbtn.com

-

The International Security Industry Association web site -

www.icsalabs.com/html/communities/antivirus/index.shtml

The Computer Emergency Response Team (CERT) web site: www.cert.org

-

The Computer Incident Advisory Capability web site: www.ciac.org/ciac

-

The Information Systems Security Professionals portal web site: www.infosyssec.net

-

The National Institute of Standards and Technology: csrc.ncsl.nist.gov/virus -

Security Focus: www.securityfocus.com

-

- قم بعمل مسح (Scan System) دوري لجهازك الشخصي للكشف عن البرامج الخبيثة ومن ثم قم بإزالتها.

- لا تقم بفتح المرفقات في أي إيميل لا تعرف مرسله.

- لا تقم بفتح المرفقات في إيميلات أصدقائك إذا وجدتها تنتهي بـ exe أو bat أو أي امتداد لا تعرفه.

- لا تقبل ملف من شخص لا تعرفه أبداً.

- إذا قبلت ملفاً من شخص تعرفه، افحصه أيضاً ببرنامج الحماية، فقد يكون صديقك نفسه ضحية.

- احرص على فحص جميع البرامج التي تقوم بتنزيلها من الإنترنت، أو تشغيلها من قرص مرن أو سي دي. قبل أن تشغّلها.

- قم بتنزيل أحدث نسخة(إصدار) من المتصفح وذلك لأن الإصدارات القديمة بها العديد من الثقوب الأمنية والتي تجعل منك هدفا سهلا وطبعا إذا كنت ممن يشترون من خلال الشبكة احصل على نسخة مدعومه بقوة تشفير 128 بت، كما ننصح بتعديل مستوى الأمن في المتصفح.

- التحكم بملفات المشاركة المحلية LAN
إذا كنت تملك نظام تشغيل ويندوز ولست متصل بشبكة حاسبات آًلية داخل المكتب أو المنزل أي انك لست بحاجة إلى أي نوع من أنواع الملفات الخاصة بالمشاركة قم بمسح وإزالة أي نوع من ملفات المشاركة لأن نظام ويندوز يقوم بفتح هذه الملفات بطريقة مباشرة كشيء أساسي في النظام و تعتبر هذه الملفات أكبر مصدر تهديد أمني لك لأنها تسمح لأي شخص في الإنترنت من الدخول إلى جهازك ومشاركتك في ملفاتك ومعلوماتك الموجودة في الجهاز.

- احمي جهازك بكلمة مرور تمنع الآخرين من الدخول إلى جهازك.

- تجنب تنزيل أو تحميل أي برامج أو ملفات ذات طبيعة تنفيذية خاصة من مصادر غير موثوق بها.

- تجنب تنزيل أي برامج مجانية (إذا لم تكن من مواقع معروفة وذات سمعة بالحفاظ على الخصوصية وكذلك تجنب تنزيل البرامج من مصادر الأخبار الجماعية وهو ما يعرف ب News Group لأن الكثير من المخترقين (Hackers) يتخفون تحت مظلة هذه البرامج للوصول إلى جهازك).

- إذا كنت تملك معلومات في غاية الأهمية أو خاصة جدا، قم باستخدام أي برنامج لتشفير معلوماتك ورسائلك الإلكترونية.

- لا تقم بأي عملية شراء من شبكة الإنترنت دون التأكد من استخدام جهاز خادم آًمن و وجود علامة القفل المغلق في المتصفح⁹.

4. الآثار المترتبة من هجمات الفيروسات والديدان¹⁰:

- يبطئ البريد الالكتروني: فالفيروسات التي تنتشر عن طريق البريد الإلكتروني مثل فيروس سوبيج (Sobig) الذي من شأنه توليد كم هائل من رسائل البريد الإلكتروني ، مما يؤدي إلى ازدحام الشبكة. ومن الجدير بالذكر أن شركة مايكروسوفت العملاقة أعلنت عن مكافأة قدرها 500 ألف دولار أمريكي، لمن يدلي بمعلومات تؤدي إلى القبض على مطور فيروس ¹¹Sobig

- سرقة البيانات الشخصية.

- استخدام جهازك الشخصي لمهاجمة مواقع معينة. فعلى سبيل المثال: استخدمت دودة مايدوم (MyDoom) لإغراق الموقع الإلكتروني الخاص بشركة SCO بكم هائل من البيانات مما أدى إلى توقف الموقع عن الخدمة.

- إفساد البيانات: بعض الفيروسات تغير المحتوى داخل ملفات معينة.

- حذف البيانات: فعلى سبيل المثال: استخدام دودة سيركم (Sircam) لحذف بعض البيانات الموجودة في القرص الصلب في يوم محدد.

- حجب أو تعطيل بعض مكونات الحاسوب: حاول Chernobyl إعادة الكتابة على شريحة البيوس (BIOS) في 26 أبريل معطلا جهاز الحاسب الآلي.

- عمل مقالب أو أعمال مزعجة: فعلى سبيل المثال قامت دودة نت سكاي (Netsky-D) بإصدار أصوات متقطعة استمرت لعدة ساعات خلال صبا ح واحد.

- عرض رسالة: فعلى سبيل المثال كانت Cone-F تعرض رسائل سياسية إذا كان الشهر مايو.

- فقدان المصداقية: في حال كون الفيروس يرسل نفسه من جهازك إلى عملائك فإن هذا قد يسبب رفض العميل لعقد صفقات تجارية معك.

- سبب للعديد من الإحراجات: فعلى سبيل المثال قام فيروس PolyPost بتسمية بعض المستندات بأسماء مجلات جنسية شهيرة.

5. الخاتمة:

الإنترنت بحر زاخر, يعج بالجديد الغريب يومياً, و منه ظهور العديد من الأكواد الخبيثة التخريبية على اختلاف أنواعها, إذ تزداد أعدادها يوماً بعد يوم و تزداد خطورتها أيضا. لذا وجب أخذ الحيطة والحذر من هؤلاء المخربين وذلك عن طريق حماية الأجهزة ببرامج مضادة لهم و لطرقهم الجديدة و عن طريق تحديث هذه البرامج دورياً بحيث يكون الجهاز في مأمن عنهم, فهم يخترعون كل يوم أشياء جديدة معقدة , إلى أن تنتهي هذه الحرب.

6. المراجع:

[1] S. Ballou, "Malicious code – what should we do", SANS GSEC Practical Assignment, September 18, 2003, pp. 2

[2] Marc Mazuhelli , "A virus and a worm", SANS Institute, August 2001, pp. 2

[3] S. Ballou, "Malicious code – what should we do", SANS GSEC Practical Assignment, September 18, 2003, pp. 3

[3] Julie S. Newberry, "Virus Writers 360^o", version 1.4b, SANS GSEC Practical Assignment, August 2, 2004, pp. 2

[4] Pam Cocca, "Email Security Threats", version 1.4b, SANS Institute, September 20, 2004, pp. 3

[5] Michael Clarkson, "Recent Developments in Worms and Viruses", version 1.4, SANS Institute, 2002, pp. 3

[6] D. Pearson, "Psst…Hey Buddy, wanna create a virus?", version 1.2f, SANS Institute, February 13, 2003, pp. 1

[7] K. Seymour, "Protecting Against the Unexpected", version 1.2f, SANS Institute, 2002, pp. 2

[8] J. Stone, "Detecting and Recovering from a Virus Incident", version 1.4b, SANS Institute, November 15, 2002, pp. 3

[9] مصطفى أحمد، مقال بعنوان "الفيروسات و البرامج المضادة لها"، 17 يوليو 2002، على الرابط الإلكتروني:

http://www.c4arab.com/showac.php?acid=101

[10] P. Oldfield, "Viruses and spam, what you need to know", Sophos Plc, pp. 26, at website:

http://www.sophos.com/sophos/docs/eng/comviru/viru_ben.pdf

[11]مقال بعنوان الدفاع ضد الهاكرز و مخترقي البريد الإلكتروني على الموقع الإلكتروني:

http://itctt.com/BOOKS/main/Azh/virus.htm