تقرير سيرج مغامس:
منذ 10 أيام واجه العالم أكبر هجوم إلكتروني في التاريخ وقع ضحيته أكثر من 200 ألف مستخدم في نحو 150 دولة حول العالم وذلك عبر إستخدام فيروس “WannaCry” الذي إستغل ثغرة في أنظمة ويندوز جميعها وخاصة نسخة الـ”Windows XP” الذي أوقفت مايكروسوفت دعمه منذ سنوات. هذا الفيروس يعمل على تشفير بيانات المستخدمين ويطلب فدية بقيمة 300 دولار من عملية البتكوين الرقمية التي لا يمكن تعقبها من أجل فكّ التشفير واستعادة البيانات.
فما هي أسباب هذا الهجوم وكيف تم إيقافه وكيف يمكننا حماية معلوماتنا من أي خطر؟ وهل وصل “WannaCry” الى لبنان؟
ما هو الـ“Ransomware” وكيف ينتقل الى الحواسيب؟
مساعد رئيس مكتب مكافحة الجرائم المعلوماتية وحماية الملكية الفكرية الملازم أول المهندس الدكتور أيمن تاج الدين يشرح في حديث لـIMLebanon عن خاصية الـ”Ransomware”، ويقول: “هناك نوع فيروس قديم تحت إسم “Ransomware” أو برنامج الفدية، وهذا البرنامج خبيث يضرب الحواسيب ويحرم المستخدم من الوصول الى معلوماته والداتا الخاصة به، في البداية كان هذا الفيروس يحرم المستخدم فقط من الوصول الى الداتا أو البيانات، ولكن بعد فترة زمنية تحول هذا الفيروس ليصبح “Cryptor” أي يقوم بتشفير الداتا بطريقة لا يمكن فكّها من أجل استعادة المعلومات ويرسل رسالة إلى المستخدم أن لديه مهلة زمنية محددة لكي يدفع الفدية وإذا لم يدفعها فالقيمة ستضاعف، ولكن بالطبع ليس هناك أي ضمانة انه بعد دفع الفدية سيحصل المستخدم على مفتاح فكّ الشيفرة لكي يستعيد الداتا الخاصة به، فالفيروس لا يحصل على الداتا وإنما يشفّرها فقط بحيث لا يمكن للمستخدم الولوج إليها، وفقط بعد دفع الفدية يتم إرسال الـ”Decrypter” أي برنامج فكّ الشفيرة”.
ويضيف انه “في السابق كانت الفيروسات تطلب من المستخدم دفع الفدية عبر بطاقات الإئتمان ولكن اليوم يتم إستخدام عملة البتكوين “Bitcoin”، فالفيروس يطلب دفع الفدية بهذه العملة لانه من الصعب جدا تعقبها او حتى تزويرها، والهدف إجمالا يكون من أجل جني الأرباح المادية لان البتكوين يمكن تحويلها الى أموال، وهذه العملة تنخفض وترتفع قيمتها حسب العرض والطلب وبالأمس وصلت الى حوالي الـ2000 دولار، وبرامج الفدية بالاجمال عادة تطلب الفدية بدءا من عشرات الدولارات وصولا الى آلاف الدولارات حسب الشخص او الشركة التي يتم خرقها، لانه في بعض الاحيان يتم تحديد الشخص او الشركة التي يريدون النيل منها”.
وعن كيفية انتقال الفيروس، يكشف تاج الدين عن أن “الفيروسات العامة تنتقل عبر مواقع مشبوهة في حال ضغطنا على رابط مشبوه، أو في حال قمنا بتحميل ملف عبر الانترنت يكون الفيروس مخبأ بداخله، كما وأنه ينتقل عبر شبكة الاتصال المحلية أي الـ”Local Network”، كما وممكن انتقال الفيروس عبر البريد الالكتروني أي بعد تحميل ملف يكون الفيروس مخبأ بداخله وهكذا ينتقل الى الحاسوب علما أن الفيروس يمكنه ن يختبئ في أنواع ملفات مختلفة منها جميع ميكروسوفت (Word, Power Point, Excel…)، وبعد تحميل الملف يضرب الفيروس الحاسوب ويشفّر البيانات الخاصة بالمستخدم ويطلب فدية”.
هكذا ينتقل الـ“WannaCry” وهذا السبب وراء إنتشاره!
ولكن ما الذي حصل في 12 أيار وكيف تم أكبر هجوم إلكتروني في التاريخ؟ يشرح تاج الدين أن “فيروس “WannaCry” إنتشر وضرب مختلف انحاء العالم، إلا ان هذا الفيروس كان مختلفا عن الفيروسات السابقة لأنه ينتقل من تلقاء نفسه ومن دون قيام المستخدم بتحميل أي ملف أو برنامج مشبوه”.
ويضيف ان “الأمر بدأ عندما تم إكتشاف ثغرة في نظام الويندوز “Windows” في بداية العام، ولكن في منتصف شهر آذار قامت شركة ويندوز بتصحيح هذا الخلل عبر تحديث، فهذه الثغرة كانت خطيرة جدا لانها تسمح للفيروس بأن يستخدم الانترنت من تلقاء نفسه ويبدأ بتحميل الملفات لضرب الحاسوب”.
ويكشف عن أن “الأشخاص وراء فيروس “وانا كراي” “WannaCry” قاموا يإنشائه مستغلين الثغرة المكتشفة في ويندوز التي تدعى “Eternal Blue” ما سمح للفيروس باستخدام الانترنت وضرب الحواسيب، فكل الحواسيب التي لم تقم بتحديث الويندوز كانت معرضة للخرق من قبل فيروس الـ”WannaCry” الذي ينتقل من دون أي تدخل بشري، وعندما يضرب حاسوب على الشبكة يبدأ بالتفتيش على حواسيب أخرى ليخرقها، وينتقل بسرعة ويشفّر المعلومات والبيانات الخاصة بالمستخدم، من دون أن ننسى أن هذا الفيروس طلب فدية بقيمة 300 دولار اميركي وبعد فترة أصبحت 600 دولار اميركي بعملة البتكوين لانه يمكن تقسيمها الى أجزاء صغيرة”.
ويؤكد تاج الدين أنه “عندما ضرب الفيروس في 12 أيار انتشر بشكل مخيف لأن هناك مستخدمين كثر لم يقوموا بتحديث الويندوز كما ثمة شركات ومؤسسات كثيرة لا تزال تستخدم الـ”Windows XP” ما ساعد على إنتشار هذا الفيروس الذي ضرب حتى اليوم أكثر من 200 ألف حاسوب بأكثر من 150 دولة وشركات ضخمة جدا، ولكن بعد مرور يومين على انتشار الفيروس قام شاب بريطاني يدعى ماركوس هاتشينز يبلغ من العمر 22 عاما باكتشاف ثغرة لقتل الفيروس عبر موقع قام بشرائه، ما أدى الى تخفيف انتشار الفيروس بشكل كبير بالإضافة الى التحديث الذي قامت به شركة ويندوز للـ”Windows XP” القديم مما خفف من حدة انتشار الفيروس”.
ويشدد على أن “الفيروس لا يزال موجودا ولكن خف انتشاره لان الجميع أصبح على علم به وقام بتحديث نسخة الويندوز الخاصة به، ولكن الـ”Ransomware” موجود منذ مدة ولا تنتهي خطورته”.
هكذا نحمي أنفسنا ونحافظ على بياناتنا
ماذا يمكن ان نفعل في حال وقوعنا ضحية هجوم الكتروني؟ يوضح تاج الدين انه “في حال تعرض أي مستخدم لأي اعتداء الكتروني من قبل أي فيروس فنطلب منه عدم دفع الفدية لان ليس هناك أي دليل بأن من يقف وراء الفيروس سيقوم بإرسال مفتاح فكّ الشيفرة، كما أن هذه الطريقة ستشجع أصحاب الفيروس على الاستمرار، فعدم دفع الفدية هو أفضل حلّ ولكن من الأفضل هو أن نكون دائما على استعداد لمواجهة أي هجمة أو فيروس لحماية الحواسيب قبل وقوع المشكلة”.
وعن كيفية مواجهة الفيروس، يشرح تاج الدين أنه “يمكننا مواجهته عبر تجديد وتحديث الويندوز والبرامج، وعبر تحميل مضاد للفيروسات “Anti-Virus” موثوق وأصلي ومعروف، وعبر التوعية البشرية وعدم الضغط على برنامج مشبوه أو تحميل تطبيق مشبوه أو ملف عبر البريد الالكتروني من مصدر غير موثوق، فعلى كل شركة أن تقوم بتوعية موظفيها لتجنب الفيروسات، وأهم خطوة هي القيام بالـ”Backup” للملفات بشكل دوري لكل المعلومات والبيانات ولكن لا يجب تركها على شبكات الاتصال بل الاحتفاظ بها بقرص صلب أي “HardDisk” مفصول عن الشبكة”.
أما بالنسبة لبعض الـ”Ransomware” والفيروسات، فيقول: “أصبح هناك أدوات ومفاتيح مجانية عبر الانترنت يمكن اسستخدامها لفك شيفرة الفيروس القديم، ففي حال تعرض اي مستخدم لفيروس يمكنه اللجوء الى هذه الفاتيح واستخدامها لان الـ”Decrypter” أصبح موجودا”.
ويشدد تاج الدين على أن “هذه الفيروسات خطيرة جدا وتضرب معلومات مهمة وأساسية للشركات والمصارف الكبرى ويمكنها أن تؤدي الى أزمات اقتصادية كبرى، ولكن كل الشركات تكون مستعدة دائما لاي اعتداء الكتروني عبر اعتماد برامج حماية مهمة من الصعب جدا خرقها وعبر القيام بالـ”Backup” للبيانات بشكل دوري ويومي أو حتى كل ساعة وهكذا تكون كل المعلومات محفوظة ولا تكون الخسائر كبيرة”.
هل وصل WannaCry الى لبنان؟
وعما إذا كان فيروس “WannaCry” ضرب شركات ومستخدمين في لبنان، يؤكد تاج الدين أنه “لم يتم تبليغنا بأي هجوم ولم يتم تقديم اي شكوى رسمية بهذا الخصوص لذا لا يمكننا الجزم، ولكن من المعلوم أن الشركات الكبرى والمصارف لا تعلن عن هكذا أمور في حال تعرضها لأي خرق لكي لا تفقد مصداقيتها امام زبائنها، وإجمالا تقوم بمواجهة وحل هذه المشكال الامنية عبر سيساساتها الامنية الداخلية “IT Security Policy”