فيروس انتزاع الفدية ‘WannaCry’: انتشار كالنار في الهشيم!

مايو 17, 2017

تسبب الانتشار المدوي لفيروس الفدية WannaCry بالفعل في كومة من المشكلات التي أصابت جميع الأعمال التجارية. وعلى أي حالٍ فإننا نتوقع أن الشركات التي تستخدم بناها التحتية أنظمة مدمجة تنتابهابالفعلحالة فريدة من السخط العارم تجاه مبتكري هذا الفيروس الخبيث.

ومن ناحيةٍ نظريةٍ، ينبغي ألا تكون الأنظمة المدمجة محط اهتمام القائمين وراء فيروس الفدية، فمن غير المرجح أن يقدم أحد على سداد قيمة الفدية مقابل نظام نفعيٍ بالكامل لا يحتوي على أي بيانات ذات قيمة وتُعاد تهيئة قرصه الصلب على أي حالٍ. كما أن WannaCry لا يختار ضحاياه. ونظراً لقدرته المذهلة على استغلال نقاط الضعف؛ تمكن WannaCry من الانتشار كالنار في الهشيم مصيباً الشبكات المحلية وجميع الماكينات غير المؤمنة وغير المحمية.

!القادم من العدم

إنه من غير المنصف أن يُقال أن هذا الوباء كان أمراً مثيراً للدهشة: إن مشكلة الحماية غير الكافية للأنظمة المدمجة ليست وليدة اللحظة، ومن المعلومللقاصي والدانيأننا اعتدنا بطبيعة الحال أن يكون مستوى حماية تلك الأنظمة أقل من مستوى حماية منصات العمل والخوادم على افتراض وجود تلك الحماية من الأساس. ولكن WannaCry سلط الضوء على هذه المشكلة.

فعند التحدث عن نظام مدمج، قد يطرأ على البال أمور مثل ماكينات الصرف الآلي ومنصات نقاط البيع. وقد أصيب بعضهافي واقع الأمربتلك البرمجيات الخبيثة، على الرغم مما جرت عليه العادة من توفير بعض الحماية لتلك الماكينات أو المنصات بغرض الامتثال للوائح التنظيمية فضلاً عن أنها تخضع كثيراً لنماذج تهديد. وأقل ما يمكن قوله أن إصابة الأنظمةمثل أنظمة لوحات المعلومات والمعدات الطبية وماكينات البيعأمرٌ أكثر خطورة.

لا يشعر ملاك الأنظمة المدمجة المصابة بأي تحسن مع علمهم بأنهم لن يدفعوا ثمن الفدية للمجرمين؛ وبهذا تستمر معاناتهم من الأضرار الكبيرة.

يعني تعطل ماكينات الشراء أو ماكينات الصرف الآلي أو أكشاك التذاكر الأوتوماتيكية وجود عجزٍ نقدي.

يصرخ إخطار الفدية الظاهر على الشاشات المتاحة للعامة في العملاء قائلاً: “حمايتنا رديئة“. إنه لمن الصعب تقييم الآثار الوخيمة التي تصيب سمعة الشركة من مثل هذه الرسالة. هل يعود العميل الذي رأى هذه الرسالة إلى هذا المكان مرةً أخرى؟

المحطات المصابة تحتاج إلى إصلاحات. إذا كنت تستخدم في عملك المئات من المحطات فعليك أن تحسب كم المال الذي أنت مقدم على إهداره لإصلاحها، لا سيما مع التوزيع الجغرافي والسرعة التي يجب على موظفيك أن يعملوا في غضونها لإعادة تثبيت أنظمة التشغيل وإجراء التعديلات اللازمة على إعدادات الحماية. وعلاوةً على هذا، فقد تستخدم بعض الأجهزة برمجيات غير محدثة مما يجعل من إعادة تثبيت أنظمة تشغيلها أمراً صعباً بل مستحيلاً في بعض الأحيان.

ونظراً لسرعة انتشارها عبر شبكات التواصل الجماعي، لم يكن من الممكن إخفاء هذا الأمر.

حل المشكلة

لِمَ تفتقر الأنظمة المدمجة إلى الحماية الكافية؟ هناك سببان: السبب الأول: لم يكن هناك اهتمامفي غالب الأمربتأمين هذه الأجهزة. السبب الثاني: غالباً ما تعمل هذه الأنظمة بعتادٍ حاسوبيٍ قديم وتستخدم قنوات إنترنت ذات عرض نطاق ترددي منخفض وأنظمة تشغيل غير محدثة. إنها تبدوببساطةٍغير ملائمة للعمل مع الحلول الأمنية الموجودة.

وعلينا أن نعترف على كل حالٍ أن WannaCry قد ساعد العالم عبر تسليط الضوء على المشكلة الأولى. وفي واقع الأمر، قد لا تكون حماية الأنظمة المدمجة المحتوية على حلول مكافحة برمجيات خبيثة تقليدية أكثر الحلول فاعليةً. وهذابالضبطما دفعنا إلى ابتكار برنامج Kaspersky Embedded Systems Security المصمم خصيصاً للعمل مع مجموعة كبيرة من الأنظمة المدمجة. ورغم استهلاكه موارد قليلة بخلاف حلول حماية الأجهزة المكتبية، إلا أنه يتمتع بالقدرة على الحماية من الإصابة بالبرمجيات الخبيثة عن طريق استخدام عددٍ من مزايا حماية فئة الأجهزة المكتبية.

وعند حدوث هجوم عبر البرمجيات الخبيثة (بما في ذلك WannaCry) فإن البرنامج يعمل كما يلي:

  • وضع الرفض الافتراضي (Default Deny) هو التقنية الرئيسية التي تميز هذا المُنتَج. تعمل هذه التقنية على إعدام جميع الشفراتبما في ذلك النصوص البرمجيةإذا لم تكن مصرح بها؛ لذا فحتى إذا كان البرنامج الخبيث قادراً على اختراق نظام التشغيلمثل التخفي في حزمة برمجية مصرح بهافلن يكون قادراً على تشغيل نفسه.
  • يحلل مكونحماية ذاكرة العمليات (Process Memory Protection)” سلامة العمليات التي تعالجها الذاكرة وتمنع المحاولات التي ترمي إلى اختراق النظام سواءً أكانت معروفة أم لا.
  • يتضمن Kaspersky Embedded Systems Security جداراً نارياً مزوداً بتحكم مركزي، مما يتيح التعطيل السريع للمنفذ الذي يحتوي على نقاط ضعف بمجرد اكتشافه.
  • تتمتع هذه التقنية بقدرتها على التحكم في أجهزة USB عند إيصالها، مما يمثل تقديم حلٍ أمنيٍ معززٍ. يمنع هذا الأمر حدوث إصابة من خلال جهاز USB غير موثوقٍ، على سبيل المثال: الأضرار التي قد تصيب الأنظمة أثناء الصيانة.
  • تنظف وحدة مكافحة البرامج الخبيثةالتي تتوفر عند الاختيارالنظام من جميع الملفات المصابة.

ووفقاً لسجلاتنا، لم يستطع وباء WannaCry أن يمس أيٍ من الأجهزة التي تستخدم نظام حماية Kaspersky Embedded Systems Security. يحمي هذا الحل الأمنيفي الوقت الراهنآلاف أنظمة التشغيل المدمجة حول العالم؛ لذا فمن المنصف أن نقول أنه استطاع أن يجتاز هذا الاختبار القاسي بنجاحٍ. وبناءً عليه فإذا كانت البنية التحتية للشبكة التي تعمل عليها تحتوي أنظمة تشغيل مدمجة تستخدم نظام التشغيل Windows Embedded، فإننا نوصي بشدة بتجربة حلنا الأمني..