وو- هوو! طوربيد آخر تم إصداره من قِبَل المجرمين السيبرانيين ضد مايكروسوفت أوفيس تم إحباطه بواسطة الحماية السيبرانية الماكرة لدينا.
تم اكتشاف هجوم جديد ولكنه شائع أو مألوف إلى حدٍ ما: عندما تم حقن شفرات خبيثة بلا قصد في الكمبيوتر عند فتح ملفات الوورد. ما كان ذلك ليتصدر عناوين الصحف إلا بسبب ظرف واحد: كان هذا هجومًا بلا انتظار، أي ذلك الهجوم الذي استخدم ثغرة كانت غير معروفة مسبقًا في مايكروسوفت أوفيس، والتي لم يكن لها أي ملفات إصلاح، والتي تسمح معظم برامج مكافحة الفيروسات لها باستغلالها. هل حزرتها – برنامج مكافحة الفيروسات لدينا أمسك بها في شباكه المحكمة بضربةٍ واحدة!
ما حدث هو أن تكنولوجيا المنع التلقائي لبرامج استغلال الثغرات (AEP) لدينا كشفت عن سلوكٍ غريب، وبشكلٍ استباقي منعت الهجمات المقابلة. لا تحديثات، لا انتظار، لا عبث. تم الانطلاق لإيقافها على الفور.
الهجمات دون انتظار تمثل تهديدًا خطيرًا حقيقيًا في هذه الأيام.
إنها تحتاج إلى معالجتها مباشرةً بكل قوة. مع ذلك، معظم برامج مكافحة الفيروسات هي إلى حدٍ ما لا جدوى منها في مواجهة الخطر المستقبلي الذي تشكله الهجمات من دون انتظار، حيث أن عملها يستند في معظمه على التوقيعات، مع “حماية من التهديدات المستقبلية” تُقدَّم فقط على ورقة/ أو علبة (ورقة جميلة جدًا/ علبة لامعة جدًا:). لكن بالطبع! بعد كل شيء، الحماية – الحقيقية – والفعالة! من التهديدات المستقبلية تتطلب جرعات قوية من كلٍ من، قوة العقل وموارد للتنمية. ليس كل بائع لديه ما ذُكر سابقًا، في حين أنه إذا كان لدى أحد البائعين ما ذُكِر أخيرًا – فهو ما لا ينتزعه دائمًا. وهذه ليست تكنولوجيا قابلة للنسخ، التي نتحدث عنها هنا…
على عكس ما يقول بوذا والمعمرون الجدد بأنها فكرة جيدة للأفراد، فنحن اعتقدنا دائمًا أنه في أمن تكنولوجيا المعلومات لا يمكنك العيش لهذا اليوم – في الوقت الحالي. يحتاج أمن تكنولوجيا المعلومات إلى النظر باستمرار إلى المستقبل، والتنبؤ بما سيحدث في عقول المجرمين السيبرانيين – قبل وقوع الأحداث. ما يشبه قليلاً تقريرًا للأقلية (Minority Report). لهذا السبب كانت “الاستباقية” على جدول أعمالنا منذ بداية التسعينيات – منذ ذلك الوقت، تركنا انطباعًا مميزًا عن بقية الآخرين في أمن تكنولوجيا المعلومات، من بين أمور أخرى، ونقوم بتطوير الأساليب البحثية والمحاكاة لدينا. التفكير المستقبلي يتنافس بقوة! منذ ذلك الحين، تم إعادة اختراع التكنولوجيا، وتعديلها، وتطويرها، وبعد ذلك، منذ حوالي سنتين ونصف، تم جمع جميع مزايا الحماية من استغلال الثغرات المعروفة وغير المعروفة معًا تحت مظلة ((AEP. وفي الوقت المناسب أيضًا. من خلال مساعدتها تمكنَّا من الكشف بشكلٍ استباقي عن مجموعة كاملة من الهجمات المستهدِفة، بما في ذلك تشرين الأول/ أكتوبر الأحمر، ميني دوك، وآيس فوج.
ثم جاءت موجة مفاجئة من الاهتمام الضار بجفافا أوراكل، ولكن تكنولوجيا ((AEP كانت مستعدة مرة أخرى: فقد قامت بعملها في مكافحة جميع الأضرار. ما كان يقود (AEP) في المعركة هي الوحدة النمطية Java2SW – التي صُممت خصيصًا للكشف عن الهجمات عن طريق جافا. هذه الوحدة النمطية هي التي سأتحدث عنها في بقية هذا المنشور.
مشهد البرامج داخل جهاز الكمبيوتر النمطي يشبه قليلاً لحاف عتيق الطراز قديم جدًا: يوجد به الكثير من البقع والعديد من الثقوب! يتم العثور على الثغرات بانتظام في البرامج (كلما كان المنتج أكثر شعبية، زاد عدد الثغرات التي يتم العثور عليها فيه، ويكون ذلك بشكلٍ متكرر)، والشركات التي تصنع تلك البرامج بحاجة إلى تأمينها عن طريق إصدار إصلاحات لها…
…ولكن رقم 1: لا يقوم مطوري البرامج بإصدار برامج الإصلاح على الفور؛ يظل بعضهم لا يفعل شيئًا لشهور!
لكن رقم 2: ينسى معظم المستخدمين، أو ببساطة لا يعبأون، بشأن تثبيت الإصلاحات، ويستمرون في العمل مع البرامج وهي تحتوي على الثغرات.
مع ذلك رقم 1: الغالبية العظمى من أجهزة الكمبيوتر في العالم بها برامج لمكافحة الفيروسات!
إذًا ما الذي ينبغي عمله؟ الأمر بسيط: احصل على Java2SW على جهازك. لماذا؟ لأنه يقتل عصفورين بحجرٍ واحد في نطاق جافا.
عمومًا، من وجهة نظر الأمن، فإن الهندسة البنائية لجافا هي متقدمة نوعًا ما. كل برنامج يتم تنفيذه في بيئة معزولة (JVM – آلة جافا الافتراضية)، تحت إشراف مُدير الأمن. مع ذلك، وللأسف، أصبحت جافا ضحية شعبيتها – بغض النظر عن مدى الحماية الجيدة للنظام، عُثر في وقتٍ قريبٍ جدًا (وهو أمر يتعلق مباشرةً بشعبيتها) على ثغرات فيها. يتم العثور على الثغرات إن عاجلاً أو آجلاً، ويحتاج كل مورد للبرامج أن يكون مستعدًا لذلك، وخصوصًا (1) من خلال تطوير تقنيات وقائية في الوقت المناسب، (2) بأن يكون سريعًا حقًا من حيث أوقات رد الفعل، و (3) عن طريق إخبار المستخدمين عن مدى أهمية تحديث البرنامج عن طريق الإصلاحات.
الأمر هو أنه، فيما يتعلق بجافا، لم تقم أوراكل بعملٍ عظيمٍ من ناحية الاستعداد لما تم ذكره للتو. في الحقيقة، لقد قاموا بمثل هذا العمل الذي تم على عجلٍ وجَعْل المستخدمين بشكلٍ جماعي يبدأون في حذف جافا من متصفحاتهم – بغض النظر عن المزيد من التعقيد الذي أصبح عليه فتح بعض المواقع.
احكم بنفسك: عدد الثغرات التي عُثر عليها في جافا في 2010 – 52 ثغرة؛ في 2011 – 59 ثغرة؛ في عام 2012 – 60 ثغرة؛ في 2013 – 180 (ولم ينتهي العام حتى الآن)! بينما عدد الهجمات عبر الثغرات الموجودة في جافا قد تنامى بطريقةٍ مقلقة كذلك:
عدد الهجمات الموجهة لاستغلال الثغرات
2011 – 2013
إذًا ما هو الأمرالعظيم بشأن Java2SW، وكيف تمنع الهجمات على الثغرات الموجودة في جافا؟
حسنًا، بالإضافة إلى العامل الافتراضي للأمن، فهي تضيف إلى كل آلة جافا افتراضية عنصر آخر للآمن. إنها تقوم بتحليل إضافي مستقل للتعليمات البرمجية لجافا، وتوقفها عن العمل في حالة اكتشاف أي نشاط مشبوه.
هذا يصعب تحقيق النجاح فيه، لأننا بحاجة إلى الحصول على إمكانية الوصول المباشر إلى منصة جافا، وليس فقط “تطويقها”. لماذا؟ لأنه من الخارج جافا ليست واضحة إلى حدٍ ما – شيءٌ ما يحدث في داخلها ولكن ليس واضحًا لماذا. على سبيل المثال، ربما تقوم جافا بتنفيذ هذه العملية أوتلك، ولكن لماذا الغموض! ولكن من خلال إلقاء نظرة من الداخل من الممكن معرفة ما التعليمات البرمجية التي يتم تنفيذها في آلة جافا، ما التصاريح التي لديها، ما هو المصدر، وهلم جرا، وعلى أساس ما نجده يمكننا استخلاص النتائج.
بفضل هندستها البنائية، فإن جافا تقدم تغطية جيدة عبر المنصة (تطبيقات جافا من دون تعديلات يمكن أن تعمل افتراضيًا على أي نظام تشغيل). ولكن مع مثل هذه المرونة تأتي الحاجة لكثيرٍ من الخلايا الرمادية، لتكون قادرة على تطوير الحماية – حيث أنك بحاجة إلى وصول مباشر إلى قلب منصة جافا، وجراحة القلب لا تكون أبدًَا واضحة ومباشرة. غني عن القول أنه حتى الآن لا تُتاح “جراحة القلب الذكية” في كل برنامج لمكافحة الفيروسات.
في الوقت نفسه، فإن التكنولوجيا الخاصة بنا تقوم بالمهمة بالفعل – تماشيًا مع الحصول على براءة اختراع في ذلك الأمر.
الأمر الآخر العظيم بشأن Java2SW هو كيفية عملها بالاشتراك مع النظم الفرعية الأخرى للحماية ضد الثغرات (AEP).
عند العثور على نشاط مشبوه، تقوم الوحدة النمطية بإرسال معلومات تتعلق بهذا الشأن إلى مراقب النظام – المكون الذي يجمع الإشارات من المستشعرات في برامج مكافحة الفيروسات الأخرى، يرى الصورة الكاملة، ويتخذ الإجراءات المثلى (الدقيقة) المُبلَّغ بها، لإحباط حتى أكثر الهجمات تطورًا.
وهكذا، حتى إذا تم اختراق مدير الأمن في جافا في إحدى الهجمات (و أوه، كيف يقوم مثل هذا المجرم السيبراني الحثالة بمهاجمة مدير الأمن) – بغض النظر! لا زال يمكننا الكشف عن الهجوم ومنع حدوثه.
إذًا، هل تُعد Java2SW حلا سحريًا ضد ثغرات جافا غير المعروفة؟
من المهم هنا أن نتذكر شيئًا واحدًا: لا تكشف Java2SW عن الهجمات من دون انتظار ولا تكشف عن الثغرات. هذا ليس ضمن اختصاصها. في الواقع، الغريب كما قد يبدو، هو أن فعاليتها يُستفاد منها فقط من هذه الحقيقة. تتعرض Java2SW لبرامج استغلال الثغرات – السلوك الغريب للتعليمات البرمجية؛ حيث أن Java2SW غير معنية بهجوم برامج استغلال الثغرات تلك. إنها لا تسد الثقوب الموجودة في اللحاف العتيق الطراز القديم المذكور أعلاه، إنها فقط توقف الهجمات الآتية عن طريقها. بالتالي، فإننا لا نتابع ثغرات بعينها، ولكن بدلاً من ذلك نحمي المستخدمين بنهجٍ أكثر شمولاً.
النتيجة؟
أولاً، مع تحقيق درجة عالية من النجاح يمكننا حماية المستخدمين من هجمات غير معروفة عبر ثغرات موجودة في جافا. بعبارةٍ أخرى، إضافة هامش أمان للوقت بين اكتشاف الثغرة وذلك الوقت عندما يصبح برنامج الإصلاح متاحًا.
ثانيًا، حتى إذا كان المستخدم ينتمي إلى فئة المتجاهلين الذين لا يقومون بتثبيت برامج الإصلاح في الوقت المناسب، لا نزال ننقذه/ ننقذها من مثل هذه الهجمات، بغض النظر عن ذلك.
ومع هذه الملحوظة الإيجابية، سأتوقف عن الحديث، ولكن ليس لفترةٍ طويلة…