كيف يقوم المخترقون (الهاكرز) بتعطيل المواقع الإلكترونية؟
إن تعطل موقع ويب يمكن أن يكون مشكلة كبيرة، لكن كيف يقوم المخترقون بإغلاق المواقع؟
يقتحم روب أولسون المواقع الإلكترونية لكسب لقمة العيش، لكن لا تستدعِ رجال الشرطة، إنه رجل طيب. أولسون -وهو أيضًا محاضر ذو مقامٍ رفيع في قسم أمن الحوسبة في معهد روتشستر للتكنولوجيا في روتشستر-نيويورك، والمدير الفني لمختبر جامعة إيتون للأمن السيبراني- هو أحد المخترقين الصالحين، أو على حد تعبيره بشكل أقل دراما، خبير في الأمن الهجومي. هذا يعني أنه يخترق مواقع الشركات، بناء على طلبهم، لكشف نقاط الضعف الأمنية. ثم يبلغ عملاءه كيف يمكنهم إصلاح المشكلات التي استغلها للدخول.
إنها خدمة تشتد الحاجة إليها لأن شخصاً ما، في مكان ما، يحاول دائماً اختراق مواقع الويب. تتعرض جميع المواقع تقريباً لهجوم مستمر إلى حدٍ ما، يطلق أولسون على هذا الوابل المستمر من محاولات الاختراق “نوع من الإشعاع الجانبي”.
الأساليب والدوافع:
تتنوع أساليب ودوافع الهجمات، وكذلك مستويات تمرس المتعدّين والخصوم، كما يطلق عليهم في عمل الأمن السيبراني. قد يكون الخصم الذي يقف وراء هجوم على موقع إلكتروني يعمل لصالح وكالة استخبارات أو جيش دولة قومية، أو كما يقول أولسون قد يكون طالباً في المدرسة الثانوية قام بتنزيل برنامج مجاني من الإنترنت.
حتى وقت قريب، كانت أكثر هجمات مواقع الويب شيوعاً هي رفض الخدمة أو كما تعرف (DoS)، وفقاً لسجلات المراقبة التي تحتفظ بها OWASP (مشروع أمن تطبيقات الويب المفتوحة)، وهي منظمة تعمل على تحسين أمان البرامج. هذه الهجمات شائعة جزئياً لأنها سهلة؛ أو على الأقل سهلة للأشخاص الذين يعرفون كيفية القيام بهذا النوع من الأشياء. إنها تسعى إلى لتسجيل المزيد من الزيارات إلى موقع الويب أكثر مما يمكنه التعامل معها، ما يؤدي إلى تعطله. هجمات رفض الخدمة الموزعة (DDoS) هي مجرد إصدارات أكبر وأكثر تعقيداً من DoS. باستخدام DDoS، يتم استخدام أجهزة كمبيوتر متعددة بطريقة منسقة لإرسال كميات هائلة من الزيارات إلى موقع ما، ما يفوق قدرته على معالجتها. يوضح أولسون أن هذه الهجمات لا تهدف إلى إضرار الموقع أو سرقة البيانات، بل غالباً ما تكون شكلاً من أشكال الاحتجاج. ويقول أيضاً أنها كانت شائعة في حقبة 2010-2012، عندما كانت “القرصنة الإلكترونية” كبيرة.
كما أن هجمات حقن SQL (لغة الاستعلام المهيكلة) شائعة أيضاً. تعتبر هذه الطريقة في تعطيل موقع الويب أكثر تعقيداً قليلاً من هجمات DDoS. تستفيد هذه الهجمات من حقيقة أن البرمجة صعبة وأن الناس يرتكبون أخطاء. أو في بعض الأحيان، يأخذ مطورو البرامج مخاطر محسوبة لتوفير الوقت أو جعل المنتج سهل الاستخدام. لأي سبب من الأسباب، تسمح هذه الثغرات الأمنية للمهاجمين بإرسال استعلامات إلى قاعدة بيانات الموقع التي تخدع البرنامج للسماح لهم بالدخول.
قائمة ال TOP10 في OWASP تضم ‘هجوم كسر الصلاحيات والوصول إليها’ في المركز الأول. في هذا السيناريو، يدخل المهاجمون إلى موقع ويب من خلال استغلال الصعوبة التي يواجهها المبرمجون في التأكد من أن تطبيق الويب لا يسمح بالوصول إلى المستخدم الخطأ. وفقًا ل OWASP، بمجرد الدخول يمكن للمهاجم إحداث الكثير من الضرر، وفي بعض الأحيان تولّي إدارة الموقع.
سلبيات التكنولوجيا العالية:
يقول أولسون: “قد يبدو كل هذا وكأنه سباق تسلح محموم بين مطوري البرمجيات والأشرار، لكن الأمر ليس كذلك تماماً”، يقول أيضاً: “إن خبراء الأمن السيبراني لديهم فهم جيد لأفضل الممارسات، لكن التحدي الحقيقي لا يكمن في تطوير وسائل حماية جديدة؛ إنما بين الناس المثقفة والذين لدينا بالفعل. يقول:” لم أقابل أبداً أي شخص يريد أن يضع أمناً أقل حقيقةً “.” عندما يعرف الناس أفضل الممارسات، فإنهم يميلون إلى القيام بها. فهم لا يفهمون ما يجب عليهم فعله “.
هذه مشكلة لمطوري البرامج وأصحاب مواقع الويب. ولكن لحسن حظ بقيتنا، فإن أفضل ممارسات الحماية سهلة التنفيذ إلى حد ما:
حافظ على تحديث برامجك
_استخدم كلمات مرور قوية أو استخدم مدير كلمات المرور.
_لا تقم بتنزيل البرامج دون دفع ثمنها: (كما يشير أولسون، لا أحد يقدم نسخاً مجانية من Windows بدافع الخير).
بالنسبة لمعظمنا، فإن أكبر ثغرة أمنية لدينا هي ذاتها ما كانت عليه قبل وقت طويل من عصر الكمبيوتر، هي السذاجة. تلك الرسائل الإلكترونية التي تحاول الحصول على معلومات تسجيل الدخول الخاصة بك!! يسمي أولسون هذا “الخداع التكنولوجي”. لا يختلف الأمر حقاً عن الحيل التي يجريها كان الناس منذ أن خدع الثعبان حواء لتذوق التفاح، نحن فقط نشهد إصدار العصر التكنولوجي الآن.
يقول أولسون: “إن أهم شيء يحتاج معظم الناس معرفته حول الأمن السيبراني هو أن الفرص جيدة جداً ولن يستهدفك أحد، معظمنا ليس بهذه الأهمية، ما لم تكن هدفاً ذا قيمة عالية حقاً، لن ينفق أي شخص موراده لدخول حسابك المصرفي… استخدم القليل من المنطق وستكون على ما يرام”.
- ترجمة: محمد ياسين
- تدقيق علمي ولغوي: نور الحاج علي
- المصادر: 1