دعونا نعود بذكريات الماضي إلى مايو 2000. يوم عادي في المكتب: عندما فتحت جهاز الكمبيوتر في عملك، واتصلت بالإنترنت وحملت أحدث رسائل البريد الإلكتروني في برنامج Microsoft Outlook. لاحظت على الفور رسالة غريبة بعنوان “ILOVEOU”. يوجد شخص تعرفه يعترف بحبه لك. ربما صديق من المدرسة… انتظر، لا! بل أفضل من ذلك — إنه مشرفك الأعلى.
أيًا كان هذا، فهذه الرسالة بالتأكيد لافتة للنظر، لذلك فقد نقرت على الملف المرفق المسمى “LOVE-LETTER-FOR-YOU.TXT.VBS” و… لا شيء يبدو أنه قد حدث. ومع ذلك، في وقت لاحق، تكتشف أن مستندات مهمة على القرص الصلب لجهازك قد تعرضت للتلف ولا يمكن إصلاحها، كما تم إرسال مجموعة من رسائل الحب المماثلة نيابة عنك — إلى جميع جهات الاتصال في دفتر عناوينك.
[العنوان: رسالة بريد إلكتروني تحتوي على فيروس ILOVEYOU تشبه شيئًا من هذا القبيل في برنامج Microsoft للبريد الإلكتروني. Source]
لم يكن فيروس ILOVEYOU أول برنامج خبيث يستغل ثغرة في برنامج البريد الإلكتروني لشركة Microsoft، لكنه بالتأكيد بدأ واحدًا من أخطر التفشيات للفيروسات في بداية الألفية الجديدة. فدعونا نلقِ نظرة على تاريخه ونتحدث عن كيفية تغييره لتصورنا عن أمن نظم أجهزة الكمبيوتر.
السياق: الإنترنت هو التكنولوجيا الأكثر عصرية
عام 2000… كان ذلك منذ وقت طويل — يبدو وكأنه أحد عصور ما قبل التاريخ بالنسبة لعام 2022. اليوم، يمكنك الاطلاع على نسخ مؤرشفة من مواقع الإنترنت في تلك الأيام أو إخراج أحد أجهزة الكمبيوتر المحمول القديمة التي تعمل بنظام التشغيل Windows 98 من الخزانة لتتذكر البرامج التي كنا نستخدمها — كان ذلك أشبه بالعصر الحجري، أليس كذلك؟ حسنًا، ليس بالضبط. بطبيعة الحال، كانت التكنولوجيا في مطلع الألفية بدائية بمعايير اليوم. وتتصل الغالبية العظمى من المستخدمين بالشبكة عبر المودم، والذي كان بطيئًا للغاية. ولكن النماذج الأولية لجميع خدمات الشبكة الحديثة تقريبًا كانت موجودة بالفعل في ذلك الوقت.
لم يكن يوجد بث مرئي، ولكن كان يوجد بث إذاعي. وكانت توجد مجموعة واسعة من برامج المراسلة عبر الإنترنت. وكانت تتطور تجارة الإنترنت بسرعة فائقة، بالرغم من أنه كان من الأسهل في كثير من الأحيان الاتصال بالمتجر عبر الهاتف بدلًا من تقديم طلب على الموقع الإلكتروني.
وعموما، في عام 2000، حظيت أي تكنولوجيا شبكية، أو أي خدمة ذات بادئة “e -” (أي إلكترونية!) بالكثير من الاهتمام والاستثمار. ساد شعور ببعض الإحباط في وقت لاحق من عام 2001 عندما أفلست العديد من شركات الإنترنت الناشئة وفقدت الصناعة القليل من الضجة الإعلامية ولكنها اكتسبت المزيد من المنطق.
من المؤشرات المهمة على مدى انتشار الإنترنت بالفعل في ذلك الوقت هو إصدار الفيلم الشهير You’ve Got Mail عام 1998، الذي يعد من نوع الكوميديا الرومانسية وفي نفس الوقت يروج لشركة America Online العملاقة آنذاك.
بالنسبة لقصتنا، تجدر الإشارة إلى أنه في نهاية حقبة التسعينيات، لم يعد الإنترنت مكانًا للمميزين: في عام 2000، حيث اتجه مئات الملايين من الناس بالفعل إلى الإنترنت. وعلى هذا النحو، كان البريد الإلكتروني بالفعل أداة هامة للاتصال والتعاون في العديد من الشركات والوكالات الحكومية، وكذلك بالنسبة للمستخدمين المحليين العاديين.
لكن في شهر مايو من عام 2000، توقف فجأة هذا “التحول الرقمي”، كما أصبح من الشائع أن نطلق عليه لاحقًا، بسبب تفشي فيروس ILOVEYOU. واضطرت العديد من الشركات إلى إغلاق خوادم البريد مؤقتًا، والتي كانت ببساطة غير قادرة على التعامل مع تدفق عشرات الآلاف من رسائل الحب.
النسخ السابقة:Concept.B and Melissa
توخيًا للدقة، يجب تصنيف فيروس ILOVEYOU على أنه فيروس شبكي: برنامج خبيث ينشر نفسه عبر الشبكة. وتوجد سمة رئيسية أخرى لفيروس ILOVEYOU وهي أن العدوى الأولية تمت من خلال برنامج VBscript بسيط. حيث يعتمد برنامج VBscript، بدوره، على فكرة أقدم من وحدات الماكرو: بشكل أساسي، برامج بسيطة تسمح لك بأتمتة إجراءات معينة — على سبيل المثال، عند العمل مع المستندات.
في معظم الأحيان، تُستخدم وحدات الماكرو لإجراء عمليات حسابية معقدة في جداول البيانات، مثل Microsoft Excel. ومنذ العصور القديمة، تم دعم وحدات الماكرو أيضًا في Microsoft Word، على سبيل المثال، لإنشاء التقارير تلقائيًا من البيانات المدخلة في نموذج.
في عام 1995، استغل فيروس WM/Concept هذه الوظيفة في Word. حيث أصاب هذا الفيروس الخاص بوحدات الماكرو مستندات Microsoft Word وعرض هذه الرسالة عند فتح المستند:
[الرسالة التي تظهر عند فتح مستند مصاب بفيروس Concept.A macro virus]
وهذا كل شيء. لم تكن توجد وظيفة خبيثة بحد ذاتها، بل نافذة مزعجة إلى حد ما استمرت في الظهور. يشير موظف Microsoft السابق Steven Sinofsky، الذي كان مسؤولًا عن تطوير الحلول المكتبية بالشركة من عام 1998 إلى عام 2006، إلى فيروس Concept.A في مذكراته بالإشارة الأولى: في تلك المرحلة أصبح من الواضح أن الأتمتة المطبقة في جميع حلول Microsoft يمكن استخدامها على حسابها. نتيجة لذلك، تقرر عرض تحذير قبل تشغيل وحدات الماكرو: يحتوي المستند على أحد البرامج، هل أنت متأكد من أنك تريد تشغيله؟
بمجرد أن بدأت Microsoft في فرض قيود على تشغيل وحدات الماكرو، بدأ مؤلفو البرامج الخبيثة في البحث عن طرق للتحايل على هذه القيود. ثم وقع الحدث البارز التالي في مارس 1999. وصف Steven Sinofsky كيف كان الأمر: عندما تتفقد بريدك الإلكتروني، وتحصل على رسالة مع ملف مرفق وسطر الموضوع “رسالة مهمة من… “.
: رسالة مصابة بفيروس Melissa
ثم رسالة أخرى من مرسل آخر. ومرسل آخر. ثم توقف البريد الإلكتروني عن العمل: حتى خادم البريد الإلكتروني لـMicrosoft لم يستطع تحمل العبء. لقد كان فيروس الإنترنت Melissa. فكان يحتوي مستند Microsoft Word المرفق على شفرة خبيثة ترسل رسالة من خلال برنامج Microsoft Outlook إلى أول 50 جهة اتصال في دفتر العناوين.
الأمر متعلق بالحب
كان فيروس ILOVEYOU تطورًا للأفكار المستخدمة في فيروس Melissa. فلم يستغل أي ثغرة أمنية في منتجات Microsoft، بل استخدم بدلًا من ذلك وظائف قياسية. الخطأ الوحيد هو أنه لم يعرض أي تحذير عند إطلاق البرنامج النصي من برنامج البريد الإلكتروني Outlook.
لم تقتصر وظيفة الفيروس على إرسال رسائل حب إلى جميع المستلمين. فبالإضافة إلى إرسال رسائل البريد الإلكتروني غير المرغوب فيها نيابة عن الضحية، كان قادرًا أيضًا على الانتشار عبر برنامج المراسلة IRC الشهير في ذلك الوقت. وعلاوة على ذلك، كان الفيروس يحمل برنامج Trojan الذي يرسل كلمات المرور للبريد وكيفية الوصول إلى الإنترنت إلى صانع البرنامج الخبيث. وأخيرًا، كان يحذف الملفات الموجودة على محرك القرص الثابت أو يخفيها أو يتلفها: مثل ملفات الموسيقى بتنسيق MP3 وصور JPEG ومجموعة متنوعة من البرامج النصية ونسخ صفحات الويب.
دمج العقل المدبر وراء تفشي فيروس ILOVEYOU تطورات من فيروسات وحدات الماكرو السابقة، وخرج بخدعة هندسية اجتماعية مطلقة (كيف يمكن لأي شخص أن يتجاهل ملفًا باسم “أحبك”؟)، وأضاف وظائف خبيثة واستفاد إلى أقصى حد من انتشار البرامج الخبيثة التلقائي.
من الممكن إعادة بناء تسلسل الأحداث، بتتبع تقارير Kaspersky والتقارير الإعلامية من ذلك الوقت. في اليوم الأول بالفعل، 4 مايو، تم اكتشاف الآلاف من إصابات الأنظمة. وفي 9 مايو، تم الإبلاغ عن 2.5 مليون جهاز كمبيوتر مصاب، مما يعني أن هناك عشرات الملايين من رسائل البريد الإلكتروني التي أرسلت في جميع أنحاء العالم.
لم يحاول منشئ الفيروس حتى إخفاء الشفرة الخبيثة تحت ستار مستند مكتبي. ولكن استغل اسم الملف “LOVE-LETTER-FOR-YOU.TXT.VBS” حقيقة أن عملاء بريد Microsoft لم يظهروا سوى الجزء الأول من اسم طويل، كما يمكن رؤيته في لقطة الشاشة في بداية المقالة. كان الرمز في الداخل في تنسيق مفتوح، وسرعان ما بدأ العديد من المجرمين في استخدامه لعمل أشكال مختلفة من فيروس الإنترنت. وبدلًا من استخدام كلمة ILOVEYOU، بدأت كلمات أخرى تظهر في سطر الموضوع، بما في ذلك تحذيرات مغرورة من الفيروسات. لم يحذف متغير NewLove – الذي تم اكتشافه في 19 مايو – الملفات تلقائيًا، ولكنه مسح جميع المعلومات الموجودة على محرك القرص الثابت تمامًا.
التقديرات النهائية لتأثير فيروس ILOVEYOU هي كما يلي: تمت إصابة ما يصل إلى 10٪ من أجهزة الكمبيوتر المتصلة بالإنترنت، ويقدر الضرر الكلي، بما في ذلك الأفعال التدميرية لمتغيراته، بنحو 10 مليارات دولار. وغطت الصحافة الحادث على نطاق واسع، حتى أنه قد عُقدت جلسات استماع في مجلس الشيوخ الأمريكي.
الأخطاء التي ارتكبت
في عام 2022، وبعد أن علمنا بالقصة بأكملها من البداية إلى النهاية، يود المرء أن يسأل: ألم يكن من الممكن منع تفشي مثل هذا الفيروس التافه على الفور؟ لم تصدر Microsoft تحديث أمان رئيسي لبرنامج البريد الإلكتروني Outlook إلا في 8 يونيو 2000، والذي فرض أخيرًا قيودًا شديدة على تشغيل النصوص البرمجية. وكان يُنظر افتراضيًا لجميع مرفقات البريد الإلكتروني على أنها غير موثوقة، وتم إدخال الفحوصات إذا وصل تطبيق خارجي إلى دفتر عناوين Outlook أو حاول إرسال رسائل بريد إلكتروني متعددة في وقت واحد.
[ بعد التحديث في يونيو 2000، حذر برنامج البريد الإلكتروني Outlook المستخدمين من تطبيق خارجي يصل إلى دفتر العناوين ويحاول إرسال رسائل متعددة في وقت واحد.]
لم تفعل ذلك في وقت سابق، لأنه عند الاختيار بين الأمان والراحة، فضلت Microsoft الخيار الأخير. وكذلك فعل المستخدمون. في عام 1995، عندما قدمت Microsoft تحذيرًا بسيطًا في Microsoft Word (” يحتوي هذا المستند على وحدات ماكرو “)، تلقت الشركة تعليقات سلبية من العملاء. وأدى هذا الإقرار الإضافي، في بعض الشركات، إلى تعطيل العمليات الداخلية القائمة على النصوص. ولهذا السبب، فحتى عند إعداد التصحيح في أعقاب أحداث تفشي فيروس ILOVEYOU، فإن السؤال التالي: “هل سيعطل شيئًا ما عند المستخدمين؟” كان ذلك على جدول الأعمال، ولكن هذه المرة كان من الواضح بالفعل أن الأمن بحاجة إلى تحسين، وبسرعة.
فيروس قديم و مشاكل حديثة
أثار وباء ILOVEYOU العديد من الأسئلة التي لا تزال وثيقة الصلة بمجال أمن المعلومات اليوم. ويبدو أن أهم سؤال هو: ألا يمكننا إرسال التصحيحات أسرع؟ كانت توجد مشاكل في هذا الأمر بالتأكيد: أصدرت Microsoft مجموعة تصحيح لبرنامج Outlook بعد أكثر من شهر من بدء تفشي الفيروس. كما كانت آليات التسليم التلقائي لهذه التحديثات بدائية، لذلك استغرق وقف تفشي العدوى المحلية بالفيروس في البريد الإلكتروني وقتًا طويلًا.
قد أثبتت صناعة الحلول الأمنية بالفعل أنها مفيدة للغاية بهذا الخصوص. كما يذكر Eugene Kaspersky، لم يكن من الصعب حماية مستخدمي برامج مكافحة الفيروسات التابعة لشركتنا. فحتى في ذلك الحين، تم إدخال نظام تسليم للتحديثات المنتظمة في برامج الأمان عبر الإنترنت، في حين استغرق مطورو أنواع أخرى من البرامج سنوات عديدة لتنفيذ مخطط مماثل للتوزيع السريع للتصحيح. وبعد ذلك بقليل، تم تطوير طرق التحليل الإرشادي للكشف عن البرامج النصية الخبيثة غير المعروفة وحجبها تلقائيًا.
بالرغم من أن أمن البرامج وأنظمة التشغيل الشعبية قد تحسنت بشكل كبير على مدى السنوات الـ 22 الماضية، إلا أن صانعي البرامج الضارة يواصلون العثور على ثغرات جديدة للهجمات الإلكترونية الناجحة.
لم تذهب وحدات الماكرو الخبيثة إلى أي مكان أيضًا. ففي فبراير 2022، وعدت Microsoft بتقييد القدرة على توزيعها أخيرًا من خلال حظر تنفيذ أي نصوص في وثائق Office التي تم الحصول عليها عبر الإنترنت. وفي أوائل يوليو 2022، تم رفع هذا الحظر — من المعقول افتراض أن المخاوف من تعطيل شيء ما عند المستخدمين قد تحققت. في وقت لاحق من نفس الشهر، قررت Microsoft مرة أخرى البدء في حظر وحدات الماكرو افتراضيًا، وتشرح لأولئك المحتاجين كيفية تجاوز الحظر هذه المرة.
ما زال يوجد عدد أقل من التفشيات واسعة النطاق حيث تنتشر قطعة من البرامج الخبيثة في عشرات أو مئات الملايين من أجهزة الكمبيوتر، لكننا ما زلنا لا نستطيع منعها تمامًا. ولكن ما تغير بالتأكيد هو الطريقة التي يتحقق بها الدخل من الهجمات الإلكترونية، وأخذ بيانات الشركة والمستخدمين باعتبارها رهائن وطلب فديتها.
دعونا ننهِ قصتنا بموجز مختصر لمصير صانع فيروس الإنترنت ILOVEYOU. كان Onel de Guzman طالبًا يبلغ من العمر 24 عامًا وقت تفشي الفيروس. وفي عام 2000، تمكن مسؤولو مكتب التحقيقات الفيدرالية من تحديد أن الرسائل الأصلية التي تحتوي على الفيروس قد أرسلت إلى قوائم بريدية شعبية لمستخدمين من الفلبين، حيث لا يزال de Guzman يعيش. وفي عام 2000، أُدرج اسمه في قائمة صانعي فيروس ILOVEYOU المشتبه بهم. ولكنه لم يعاقب لسببين: الافتقار إلى الأدلة وعدم وجود مادة جنائية للجريمة الإلكترونية في القانون المحلي في ذلك الوقت.
في عام 2020، تعقب الصحفيون de Guzman. فأخبرهم أن فيروس ILOVEYOU لم يكن لديه في الأصل وظيفة إرسال الرسائل الجماعية لدفتر عناوين Outlook، وأنه أنشأ الفيروس لسرقة كلمات المرور للوصول إلى الإنترنت لأنه لم يتمكن من دفع ثمنه. لم يتمكن de Guzman من تحقيق الدخل من مواهبه الخبيثة. ففي وقت نشر المقال، كان يعمل في ورشة إصلاح هواتف متواضعة في مانيلا.