فيروس انتزاع الفدية ‘WannaCry’: انتشار كالنار في الهشيم!

تسبب الانتشار المدوي لفيروس الفدية WannaCry بالفعل في كومة من المشكلات التي أصابت جميع الأعمال التجارية. وعلى أي حالٍ فإننا نتوقع أن الشركات التي تستخدم بناها التحتية أنظمة مدمجة تنتابها –بالفعل– حالة فريدة من السخط العارم تجاه مبتكري هذا الفيروس الخبيث.

ومن ناحيةٍ نظريةٍ، ينبغي ألا تكون الأنظمة المدمجة محط اهتمام القائمين وراء فيروس الفدية، فمن غير المرجح أن يقدم أحد على سداد قيمة الفدية مقابل نظام نفعيٍ بالكامل لا يحتوي على أي بيانات ذات قيمة وتُعاد تهيئة قرصه الصلب على أي حالٍ. كما أن WannaCry لا يختار ضحاياه. ونظراً لقدرته المذهلة على استغلال نقاط الضعف؛ تمكن WannaCry من الانتشار كالنار في الهشيم مصيباً الشبكات المحلية وجميع الماكينات غير المؤمنة وغير المحمية.

!القادم من العدم

إنه من غير المنصف أن يُقال أن هذا الوباء كان أمراً مثيراً للدهشة: إن مشكلة الحماية غير الكافية للأنظمة المدمجة ليست وليدة اللحظة، ومن المعلوم –للقاصي والداني– أننا اعتدنا بطبيعة الحال أن يكون مستوى حماية تلك الأنظمة أقل من مستوى حماية منصات العمل والخوادم على افتراض وجود تلك الحماية من الأساس. ولكن WannaCry سلط الضوء على هذه المشكلة.

فعند التحدث عن نظام مدمج، قد يطرأ على البال أمور مثل ماكينات الصرف الآلي ومنصات نقاط البيع. وقد أصيب بعضها –في واقع الأمر– بتلك البرمجيات الخبيثة، على الرغم مما جرت عليه العادة من توفير بعض الحماية لتلك الماكينات أو المنصات بغرض الامتثال للوائح التنظيمية فضلاً عن أنها تخضع كثيراً لنماذج تهديد. وأقل ما يمكن قوله أن إصابة الأنظمة –مثل أنظمة لوحات المعلومات والمعدات الطبية وماكينات البيع– أمرٌ أكثر خطورة.

Wow, even in my building lobby! #WannaCry #ransomware pic.twitter.com/ilPqHBmiB5

— Andrew Tinits (@amtinits) May 12, 2017

لا يشعر ملاك الأنظمة المدمجة المصابة بأي تحسن مع علمهم بأنهم لن يدفعوا ثمن الفدية للمجرمين؛ وبهذا تستمر معاناتهم من الأضرار الكبيرة.

يعني تعطل ماكينات الشراء أو ماكينات الصرف الآلي أو أكشاك التذاكر الأوتوماتيكية وجود عجزٍ نقدي.

يصرخ إخطار الفدية الظاهر على الشاشات المتاحة للعامة في العملاء قائلاً: “حمايتنا رديئة“. إنه لمن الصعب تقييم الآثار الوخيمة التي تصيب سمعة الشركة من مثل هذه الرسالة. هل يعود العميل الذي رأى هذه الرسالة إلى هذا المكان مرةً أخرى؟

المحطات المصابة تحتاج إلى إصلاحات. إذا كنت تستخدم في عملك المئات من المحطات فعليك أن تحسب كم المال الذي أنت مقدم على إهداره لإصلاحها، لا سيما مع التوزيع الجغرافي والسرعة التي يجب على موظفيك أن يعملوا في غضونها لإعادة تثبيت أنظمة التشغيل وإجراء التعديلات اللازمة على إعدادات الحماية. وعلاوةً على هذا، فقد تستخدم بعض الأجهزة برمجيات غير محدثة مما يجعل من إعادة تثبيت أنظمة تشغيلها أمراً صعباً بل مستحيلاً في بعض الأحيان.

ونظراً لسرعة انتشارها عبر شبكات التواصل الجماعي، لم يكن من الممكن إخفاء هذا الأمر.

Don't worry boss, no-one outside the company will ever know we were hit by #WannaCry pic.twitter.com/ciI2gdBVSR

— Graham Cluley (@gcluley) May 14, 2017

حل المشكلة

لِمَ تفتقر الأنظمة المدمجة إلى الحماية الكافية؟ هناك سببان: السبب الأول: لم يكن هناك اهتمام –في غالب الأمر– بتأمين هذه الأجهزة. السبب الثاني: غالباً ما تعمل هذه الأنظمة بعتادٍ حاسوبيٍ قديم وتستخدم قنوات إنترنت ذات عرض نطاق ترددي منخفض وأنظمة تشغيل غير محدثة. إنها تبدو –ببساطةٍ– غير ملائمة للعمل مع الحلول الأمنية الموجودة.

وعلينا أن نعترف على كل حالٍ أن WannaCry قد ساعد العالم عبر تسليط الضوء على المشكلة الأولى. وفي واقع الأمر، قد لا تكون حماية الأنظمة المدمجة المحتوية على حلول مكافحة برمجيات خبيثة تقليدية أكثر الحلول فاعليةً. وهذا –بالضبط– ما دفعنا إلى ابتكار برنامج Kaspersky Embedded Systems Security المصمم خصيصاً للعمل مع مجموعة كبيرة من الأنظمة المدمجة. ورغم استهلاكه موارد قليلة بخلاف حلول حماية الأجهزة المكتبية، إلا أنه يتمتع بالقدرة على الحماية من الإصابة بالبرمجيات الخبيثة عن طريق استخدام عددٍ من مزايا حماية فئة الأجهزة المكتبية.

وعند حدوث هجوم عبر البرمجيات الخبيثة (بما في ذلك WannaCry) فإن البرنامج يعمل كما يلي:

• وضع الرفض الافتراضي (Default Deny) هو التقنية الرئيسية التي تميز هذا المُنتَج. تعمل هذه التقنية على إعدام جميع الشفرات –بما في ذلك النصوص البرمجية– إذا لم تكن مصرح بها؛ لذا فحتى إذا كان البرنامج الخبيث قادراً على اختراق نظام التشغيل–مثل التخفي في حزمة برمجية مصرح بها– فلن يكون قادراً على تشغيل نفسه.
• يحلل مكون “حماية ذاكرة العمليات (Process Memory Protection)” سلامة العمليات التي تعالجها الذاكرة وتمنع المحاولات التي ترمي إلى اختراق النظام سواءً أكانت معروفة أم لا.
• يتضمن Kaspersky Embedded Systems Security جداراً نارياً مزوداً بتحكم مركزي، مما يتيح التعطيل السريع للمنفذ الذي يحتوي على نقاط ضعف بمجرد اكتشافه.
• تتمتع هذه التقنية بقدرتها على التحكم في أجهزة USB عند إيصالها، مما يمثل تقديم حلٍ أمنيٍ معززٍ. يمنع هذا الأمر حدوث إصابة من خلال جهاز USB غير موثوقٍ، على سبيل المثال: الأضرار التي قد تصيب الأنظمة أثناء الصيانة.
• تنظف وحدة مكافحة البرامج الخبيثة –التي تتوفر عند الاختيار– النظام من جميع الملفات المصابة.

ووفقاً لسجلاتنا، لم يستطع وباء WannaCry أن يمس أيٍ من الأجهزة التي تستخدم نظام حماية Kaspersky Embedded Systems Security. يحمي هذا الحل الأمني –في الوقت الراهن– آلاف أنظمة التشغيل المدمجة حول العالم؛ لذا فمن المنصف أن نقول أنه استطاع أن يجتاز هذا الاختبار القاسي بنجاحٍ. وبناءً عليه فإذا كانت البنية التحتية للشبكة التي تعمل عليها تحتوي أنظمة تشغيل مدمجة تستخدم نظام التشغيل Windows Embedded، فإننا نوصي بشدة بتجربة حلنا الأمني..