أدوات قرصنة إلكترونية ماكرة.. مصممة خصيصا لإيذائك

kumait · بتاريخ : 16-12-2012 الساعة : 05:21 AM

«عدوى فيروسية».. لا يمكن معالجتها
يمكن إدخالها في «لوحة الأم» في أجهزة الكومبيوتر

مع هجرة الشركات المصنعة لأجهزة الكومبيوتر والمعدات الأخرى إلى الصين، يتساءل البعض ما إذا كان الإغراء يساور الأخيرة لتركيب برمجيات خاصة بالتجسس والمراقبة. وقد يظل هذا الأمر فكرة صعبة التحقيق، لكن أحد القراصنة الفرنسيين أظهر على الأقل أن ثمة بابا خلفيا سريا يمكن التسلل منه. في مؤتمر «بلاك هات» للأمن الذي انعقد الصيف الماضي في لاس فيغاس، عرض جونثان بروسارد برنامجا يمكن إخفاؤه داخل جهاز «بي سي»، مما يؤسس إلى باب خلفي، يتيح تسللا سريا من بعيد عبر الإنترنت. ولا يمكن إغلاق هذا الباب السري عن طريق تبديل القرص الصلب، أو إعادة تركيب نظام التشغيل.

* «باب خلفي»

* وعمليات التجسس على الكومبيوترات التي ترعاها الشركات والحكومات هي مشكلة متفاقمة لأن القراصنة والمتسللين شرعوا يستخدمون المزيد من الأساليب المعقدة لتجاوز الأسوار والاحتياطات الأمنية. وكان تقرير صادر عن الكونغرس الأميركي نشر في مارس (آذار) الماضي، أشار إلى أن المعدات والقطع الإلكترونية المصنوعة في الصين، تشكل تهديدا لنظم الاتصالات الأميركية، بيد أنه لا يوجد دليل ملموس حتى الآن على محاولات تجسس عن طريق إخفاء أدوات استطلاع داخل المعدات الجديدة.

وأداة بروسارد للتسلل من الخلف، المعروفة باسم «راكشاسا» Rakshasa، بحاجة إلى تركيبها داخل شريحة BIOS (نظام الإدخال والإخراج الأساسي). في لوحة الأم التي يركب عليها المعالج الرئيسي ومكونات النواة الأخرى. وتضم شريحة BIOS الرمز الأول المعروف بـ«البرنامج الثابت»، أو «نظام التشغيل» الذي يقوم الكومبيوتر بتشغيله لدى تنشيطه، ليبدأ عملية التمهيد والتشغيل. وتمكن بروسارد أيضا من إخفاء رمزه الخبيث هذا داخل شرائح قطع ومكونات أخرى من العتاد، مثل بطاقات الشبكة، بحيث يمكنها القفز إلى شريحة BIOS عند الضرورة. وأبلغ بروسارد الحضور أنه «إذا قام أحدهم بوضع (برنامج ثابت) من النوع الخبيث المارق في جهازك، فإن ذلك يعني استيلاءه عليه إلى الأبد». ولدى تشغيل جهاز «بي سي» الذي ركب عليه «راكشاسا»، يبدأ البرنامج بالتفتيش عن وصلة إنترنت للبحث عن مقدار ضئيل من الرمز الذي يحتاجه للاستيلاء على الكومبيوتر، فإذا لم يتمكن «راكشاسا» من الحصول على وصلة إنترنتية، فهو لا يتمكن من العمل.

* تصميم مراوغ

* والتصميم يجعل من «راكشاسا» خفيا ومراوغا جدا. «فبالنسبة إلى الباب الخلفي على مستوى الدول، علينا التفكير بـ(فلايم)، أو (ستوكس نت)، بحيث نتمكن من المجاهرة بالإنكار المعقول»، كما يشير بروسارد إلى البرنامجين الضارين، الذي يعتقد الخبراء أنهما من إنتاج قراصنة ترعاهم حكومات. ويستخدم رمز «راكشاسا» لتعطيل سلسلة من الضوابط الأمنية التي تحدد من التغيرات التي يحدثها الرمز المنخفض المستوى، وصولا إلى نظام التشغيل العالي المستوى وذاكرة الكومبيوتر. ومع التمهيد لتشغيل نظام الكومبيوتر، يستخدم رمز «راكشاسا» القوي، مع السلطات التي وهبها لنفسه، لحقن الرمز في الأجزاء الحساسة من نظام التشغيل. كما يستخدم هذا الرمز لتعطيل ضوابط المستخدم، أو لسرقة كلمات المرور والبيانات الأخرى.

وقد أثبت بروسارد، وفي أحد عروضه نظريته هذه عن طريق جعل «راكشاسا» تشغل كومبيوترا بنظام «ويندوز 7» مركب عليه، مع تجاوز كلمة المرور إليه، والتدقيق في صحتها. وتمكن شخص من الحضور جرى اختياره بعد ذلك، من استخدام كلمة مرور عشوائية للدخول إلى حساب الإدارة. واستخدم بروسارد في تشييد «راكشاسا» توحيد كثير من رزم البرمجيات الشرعية المفتوحة المصدر لتغيير «النظام الثابت» (نظام التشغيل). ويعمل «راكشاسا» على 230 نموذجا مختلفا من لوحات الأم. ولكون «راكشاسا» يكمن فقط في شرائح لوحة الأم هذه، فهو أمين وبعيد عن نظر البرامج المضادة للفيروسات، كما أنه لين طيع يستطيع الإفلات من غالبية عمليات الاستجابة وردود فعل موظفي تقنيات المعلومات الذين يقومون عادة بتنظيف أجهزة الـ«بي سي» المصابة بعدوى الفيروسات. وهو قادر على تجاوز المجموعة العادية المؤلفة من 43 برنامجا مضادا للفيروسات، كما إنه لم يحدث أن قام أحدهم بوصفه أو التأشير عليه على أنه خطر.

طبعا نشر هذه الأداة يتطلب الوصول إلى لوحة الأم في أي كومبيوتر، وربما يتم هذا عادة في المصنع أو المستودع. ولذا فإن أي شخص يخشى من خطره، ينبغي عليه استبدال النظام الثابت في شرائح لوحة الأم، وفي الأجزاء الأخرى، ووضع نسخ بديلة معروفة بسلامتها بدلا منها.