تزايد الهجمات عبر الإنترنت بأساليب متنوعة من المراوغة والتخفي

كشف تقرير حديث من شركة سيمانتيك حول تهديدات أمن الإنترنت عن أن عدم استخدام تدابير أمن رقمي قوية ومتكاملة لدى المستخدمين في المنازل تجعلهم مستهدفين بشكل متزايد من قبل المهاجمين الساعين إلى سرقة الهويات والاحتيال وغيرها من الجرائم ذات الدوافع المالية. إضافة إلى ذلك، يستخدم المهاجمون اليوم أساليب متنوعة للمراوغة والتخفي، ويطيلون فترات وجودهم على الأنظمة بهدف الحصول على مزيد من الوقت لسرقة المعلومات، أو السطو على الحواسيب لأسباب تسويقية، أو إتاحة الوصول عن بعد، أو استغلال المعلومات الخاصة لنيل الأرباح.
ويشير تقرير سيمانتيك حول تهديدات أمن الإنترنت
(Internet Security Threat Report) إلى أن المستخدمين المنزليين هم أكثر الفئات استهدافاً من الهجمات، حيث تتلقى هذه الفئة 86 في المائة من جميع الهجمات المركزة، يليهم قطاع الخدمات المالية. وكشف التقرير عن تزايد الهجمات الموجهة ضد التطبيقات المستخدمة في الأجهزة الطرفية، وتزايد استخدام أساليب المراوغة لمنع اكتشاف مصادر الهجمات، وقد تراجعت الهجمات الواسعة لديدان الإنترنت وحلت محلها الهجمات الصغيرة والمركزة التي تستهدف الاحتيال وسرقة البيانات والنشاطات الإجرامية.
وأبان كيفن إيزاك، المدير الإقليمي لسيمانتيك في الشرق الأوسط وشمال إفريقيا أن المهاجمين يرون في المستخدم الحلقة الأضعف ضمن السلسلة الأمنية، وهم يستهدفون هؤلاء المستخدمين باستمرار بغرض تحقيق الربح.
هجمات ضد الحواسيب المكتبية
ومع نجاح منتجي البرمجيات والشركات الكبرى في الاستجابة لبيئة التهديدات المتغيرة عبر تطبيق أفضل الممارسات الأمنية وإستراتيجيات الدفاع في العمق، بدأ المهاجمون بتبني أساليب جديدة، مثل توجيه الشيفرات الخبيثة نحو التطبيقات المستخدمة في الأجهزة الطرفية كمتصفحات ويب وبرامج البريد الإلكتروني وغيرها من التطبيقات المكتبية. وبلغت نسبة الثغرات التي تؤثر على تطبيقات ويب 69 في المائة من جميع الثغرات التي سجلها التقرير في النصف الأول من عام 2006. كما تظهر الثغرات في متصفحات ويب أيضاً باضطراد، حيث سجلت 47 ثغرة في متصفحات موزيللا (مقارنة بنحو 17 ثغرة في فترة التقرير الأخيرة)، و38 ثغرة في المتصفح مايكروسوفت إنترنت إكسبلورر (مقارنة بنحو 25 ثغرة في الفترة السابقة)، و12 ثغرة في المتصفح أبل سفاري (مقارنة بست ثغرات).

ازدياد أساليب المراوغة
خلال الفترة التي يغطيها هذا التقرير، كان نحو 18في المائة من جميع الشيفرات الخبيثة التي كشف عنها التقرير تعتبر جديدة ولم يسبق الاطلاع عليها، ما يشير إلى أن المهاجمين يحاولون بفعالية أكبر تجنب كشفهم من قبل الأنظمة المضادة للفيروسات، وأنظمة كشف ومنع الاقتحام، والتي ترتكز في عملها على تواقيع الهجمات.
كما يحاول متصيدو المعلومات الخصوصية تجاوز تقنيات الترشيح عن طريق ابتكار رسائل عشوائية متعددة وتوزيعها بشكل واسع وغير منتظم. وخلال الأشهر الستة الأولى من عام 2006، تم اكتشاف 157.477 رسالة فريدة لتصيد المعلومات، ما يمثل زيادة تبلغ 81 في المائة عن الفترة السابقة. وفي الوقت نفسه، مثَّل البريد التطفلي 54 في المائة من مجمل حركة البريد الإلكتروني المراقبة، أي بزيادة طفيفة عن النسبة المسجلة في الفترة السابقة والبالغة 50 في المائة. ويفضل معظم مرسلي البريد التطفلي إبعاد الشيفرات الخبيثة عن رسائلهم التطفلية لتقليل فرص حجبها، وهم يقومون بدلاً من ذلك بوضع روابط إلى مواقع ويب التي تستضيف تلك الشيفرات الخبيثة.

المكاسب المالية
وأوضح التقرير أن المكاسب المالية هي الدافع الرئيسي وراء العديد من التهديدات خلال فترة التقرير. وعلى سبيل المثال، يمكن استخدام شبكات الروبوت، وهي الحواسيب التي يسيطر عليها المهاجمون، ليس فقط لنشر الشيفرات الخبيثة بل لإرسال البريد التطفلي ورسائل تصيد المعلومات، وتنزيل البرمجيات الدعائية والتجسسية، والهجوم على أنظمة الشركات، وجمع المعلومات الخاصة. وحددت الدراسة أكثر من 4.6 مليون حاسوب نشط سيطر عليها المهاجمون، واكتشفت أن السيطرة على حواسيب المستخدمين كانت بمعدل 57.717 حاسوبا في اليوم خلال هذه الفترة. ويشيع أيضاً استخدام شبكات الحواسيب التي تتعرض لسيطرة المخترقين في تنفيذ هجمات حجب الخدمة DoS، وهي من التهديدات الرئيسية التي تواجه الشركات، حيث يمكن أن ينتج عنها قطع الاتصالات وخسارة العوائد والإضرار بالعلامة التجارية للشركة وسمعتها والتعرض لمكائد السرقة والابتزاز. وخلال النصف الأول من العام 2006، لاحظ التقرير وقوع نحو 6.110 هجوماً لحجب الخدمة في اليوم الواحد.
ومن الهجمات الأخرى ذات الدوافع المالية استخدام شيفرات خبيثة تركيبية modular، وهي برمجيات خبيثة تحدث نفسها أو تقوم بتنزيل تهديدات أشد خطورة لكشف المعلومات الحساسة بعد أن تضع لها موطئ قدم في الحاسوب الضحية. وخلال النصف الأول من عام 2006، بلغت نسبة الشيفرات الخبيثة التركيبية 79 في المائة من بين أهم 50 شيفرة خبيثة مسجلة. إضافة إلى ذلك، مثَّلت التهديدات بالشيفرات الخبيثة التي تكشف عن البيانات الخاصة نسبة تبلغ 30 في المائة من بين أهم 50 عينة مسجلة.
وللمرة الأولى، قامت سيمانتيك بتتبع قطاعات العلامات التجارية المستهدفة بهجمات تصيد المعلومات - وهو ما يشكل وسيلة أخرى للكسب المادي. ومن غير المفاجئ أن قطاع الخدمات المالية هو أكثر القطاعات تعرضاً لعمليات تصيد المعلومات، حيث كانت 84 في المائة من مواقع التصيد تستغل أسماء المؤسسات المالية الشهيرة لخداع المستخدمين، حسب تقرير شبكات التصيد من "سيمانتيك" وبرنامج Brightmail AntiSpam من "سيمانتيك" لمكافحة البريد التطفلي، الذي قام بتتبع مواقع التصيد خلال فترة الدراسة.

نتائج رئيسية أخرى

سجل التقرير 2.2249 ثغرة جديدة في النصف الأول من عام 2006 بزيادة قدرها 18في المائة عن الفترة السابقة، ويمثل هذا أكبر عدد من الثغرات المسجلة في فترة واحدة.
وبخصوص فترة التعرض للخطر والوقت المستغرق لظهور الرقعة بلغت فترة التعرض للخطر بالنسبة لمنتجات برمجيات الشركات الكبرى ومتصفحات الإنترنت 28 يوماً، هبوطاً من 50 يوماً في الفترة السابقة. وبلغت فترة تعرض برنامج مايكروسوفت إنترنت إكسبلورر للخطر 9 أيام وسطياً (هبوطاً من 25 يوماً)، وبلغت فترة الخطر لبرنامج أبل سفاري خمسة أيام (ارتفاعاً من صفر)، وبلغت فترة الخطر لبرنامج أوبرا يومين (هبوطاً من 18 يوماً)، وموزيللا يوما واحدا (ارتفاعاً من ناقص يومين). وللمرة الأولى، تتبعت سيمانتيك الزمن المتوسط الذي يستغرقه منتجو أنظمة التشغيل لإطلاق رقعة للثغرة، وكانت الفترة الزمنية الأطول اللازمة لإنتاج الرقعة من نصيب صن حيث بلغت 89 يوماً، تليها هيوليت باكارد بفترة تبلغ 53 يوماً.
أما أبل فقد استغرق منها إنتاج الرقعة وسطياً 37 يوماً في حين كان لمايكروسوفت وريدهات أقل زمن وسطي لإنتاج الرقعة بلغ 13 يوماً.
وفيما يخص التطبيقات المضللة كانت ثلاثة من بين أهم 10 تهديدات أمنية جديدة هي تطبيقات مضللة تعطي تقارير خاطئة أو مبالغاً فيها عن التهديدات الأمنية التي يتعرض لها جهاز المستخدم، بهدف حث المستخدم على دفع النقود لتحديث برنامجه إلى إصدارة جديدة قادرة على "إزالة خطر التهديدات" التي تدعيها تلك البرامج.
وما يتعلق بهجمات حجب الخدمة تلقت مواقع الإنترنت في الولايات المتحدة أكبر عدد من أهداف حجب الخدمة (DoS)، بنسبة بلغت 54في المائة من إجمالي التهديدات في العالم، وكان قطاع مزودي خدمة الإنترنت أكثر القطاعات استهدافاً من قبل هجمات حجب الخدمة. كما كان للولايات المتحدة أيضاً أعلى نسبة من الخوادم التي سيطر عليها المخترقون وتحكموا بها، حيث بلغت 42في المائة من العدد الإجمالي، في حين كانت الصين أعلى الدول في أعداد الحواسيب الطرفية التي خضعت لسيطرة المخترقين، حيث بلغت النسبة هناك 20في المائة من إجمالي الحواسيب المصابة في العالم.
وحول التهديدات المستقبلية من بين التوجهات التي تتوقعها سيمانتيك في المستقبل، عودة أسلوب التحويرات المتعددة (polymorphism) في التهديدات وغيره من أساليب المراوغة في شيفرات Win32 الخبيثة، بالإضافة إلى زيادة التهديدات التي تستغل مبادئ "ويب 2.0" مثل النشر عند طلب المستخدم وبعض التقنيات مثل AJAX، وظهور الأخطار الأمنية المرتبطة بإطلاق ويندوز فيستا، وزيادة عدد الثغرات المسجلة بسبب استخدام البرمجيات الاختبارية (fuzzers)، وهي برامج أو نصوص مصممة للعثور على الثغرات في شيفرات البرمجيات.