في عالمنا الحديث، لا تكاد مؤسسة حكومية أو خاصة، تخلو من الاعتماد المستمر على الحواسيب وأنظمتها بمختلف أنواعها، سواء الخوادم أو الشخصية أو المحمولة. فالأنظمة الحاسوبية هي عصب العمل حاليا ومن دونها تقل الإنتاجية بصورة كبيرة. وهذه الاعتمادية أوجدت نوعية من وظائف مرتبطة بضمان استمرار تلك الأجهزة والأنظمة في العمل وفق ما هو مصمم لها. وتلك الوظائف تعنى بما يعرف بأمن المعلومات، وهو المجال الذي يختص بأمن وسلامة واستمرار العمل في مختلف الأنظمة والأجهزة والشبكات الحاسوبية.
وتتنوع الأخطار المحيطة بالأنظمة والأجهزة الحاسوبية بتنوع الوقت والتقنيات التي تستخدم فيها، فمنها الفيروسات وأحصنة طروادة، وهجوم تعطيل الخدمة، وهنالك استغلال هفوات التطبيقات.
وتعد شبكة الروبوتات أو البوت نت (Botnets) اختصارا أحد الأخطار الحديثة. ويتمثل خطرها في سيطرة شخص أو مجموعة يعرف بالمتحكم أو السيد (Master) على شبكات ضخمة من الأجهزة الحاسوبية ربما يبلغ عددها الآلاف بل وحتى الملايين. ويمكن لذلك المتحكم أن يطلب من تلك الأجهزة أن تقوم في توقيت محدد عن -طريق عملية برنامج تحكم يطلق عليه برنامج السيطرة والتحكم- بتنفيذ أوامر معينة لأغراض تجارية أو تخريبية. المعضلة في ذلك الأمر أن جميع هذه الأمور تتم بشكل خفي ، ومن الصعب جدا اكتشافها من مستخدمي الأجهزة.
نشأة البوت نت
في نهاية التسعينيات، انطلق نوعان من البرامج الاختراقية الحاسوبية: أحدهما من نوع حصان طروادة (Trojan) والآخر من الديدان الإلكترونية (worms) هما (sub7) و (pretty Park) على التوالي. وكلاهما لديه القدرة البرمجية على توجيه الجهاز المصاب بهما عن طريق برنامج تخاطب إلكتروني بسيط يسمى (IRC) إلى تنفيذ بعض الأوامر، مثل نقل بعض الملفات إلى الأجهزة المجاورة له. تلك القدرة البرمجية على التحكم والتوجيه فتحت المجال أمام تطور شبكات البوت نت.
ومنذ ذلك الحين ظهر العديد من أنواع البوت نت، ففي عام 2002 انطلقت شبكة التهديد العالمي (Global Threat Bot) التي كانت تستخدم نسخة مطورة من برنامج التخاطب الإلكتروني (IRC)، والتي خولتها تنفيذ أوامر أكثر عددا ونوعا على الأجهزة المصابة، وأكثرها خطراً تلك التي يمكن من خلالها إنشاء وحدات الإرسال في الشبكات (sockets) للتخاطب مع أجهزة مختلفة عن طريق لغة التواصل الشبكي (TCP). وتلك الخاصية مكنت الأجهزة المتحكمة من استخدام الأجهزة المصابة كنقاط انطلاق في هجوم تعطيل الخدمة لخوادم الشبكات المختلفة.
في عام 2002 انطلق نوعان من شبكات البوت نت كانا بمنزلة الشرارة الحقيقية للانتشار الواسع لاستخدامات البوت نت، وهما (SDBot & AgoBot). كان لقرار مطوري تلك البرامج استخدام لغة ++ C الواسعة الانتشار في أوساط المبرمجين في برمجة البوت نت ثم نشر الأكواد الأصلية عن طريق إتاحتها للبيع عن طريق الإنترنت، أثر بالغ في تشجيع الكثيرين على الاستفادة من تلك الأكواد في تطوير برامج بوت نت أكثر فتكا وتطورا وتخفيا.
توالت بعد ذلك العديد من شبكات البوت نت مثل (Spybot 2002) و (RBot 2003) و (Sinit 2003)، واستخدم فيها الكثير من التقنيات الجديدة مثل التشفير واستخدام بروتوكول HTTP وبروتوكول peer-to-peer للتخفي بين الملايين من البرامج التي تستخدم هذا البروتوكول للتخاطب السلمي. وجميع تلك التقنيات كانت تسعى إما للتخفي من البرامج المضادة التي تحاول التعرف على تواقيع تلك الشبكات والقضاء عليها، وإما للسيطرة المطلقة على الأجهزة المصابة بحيث يصعب على خبراء أمن المعلومات فك الارتباط بالجهاز المتحكم إلا بعد دفع فدية. وبعد أعوام عدة ظهر الاهتمام الحقيقي من العصابات الإجرامية باستخدامات شبكات البوت نت، ورأت فيها أداة يمكن من خلالها تحقيق أرباح خيالية، مما أدى إلى تولي تلك العصابات تطوير أنواع معقدة من تلك الشبكات.
كيف تبنى تلك الشبكات؟
هنالك ثلاث طرق رئيسية لإنشاء شبكات البوت نت وبنائها، هي:
الطريقة الأولى: أن يجد المتحكم في البوت نت هفوات برمجية في الأجهزة الحاسوبية عن طريق مسح تلك الأجهزة (Network Scanning) للبحث عن تلك الهفوات. وبمجرد الحصول على جهاز يمكن اختراقه، يقوم المتحكم بإرسال برنامج البوت عن طريق الهفوة وتثبيته في الجهاز المخترق. يقوم برنامج البوت بعد ذلك بالتخاطب مع برنامج التحكم والسيطرة لدى المتحكم لإعلان انضمام الجهاز المخترق إلى شبكة البوت نت وجاهزيته لتلقي الأوامر. يتعدى ذلك إلى قدرة بعض برامج البوت على مسح الأجهزة المجاورة في نفس الشبكة للجهاز المصاب لاكتشاف هفوات أخرى ومن ثم استغلالها لنقل تلك البوتات إلى تلك الأجهزة وزيادة حجم شبكة البوت نت.
الطريقة الثانية: يستفيد المتحكم من شبكات البريد غير المرغوب به (spam) أو صفحات الإنترنت التي يرتادها العديد من المستخدمين، مثل صفحات المنتديات والتواصل الاجتماعي، لخداع المستخدم لتنزيل برامج تم تعديلها بعناية من قبل المتحكم بحيث تبدو آمنة لنظر واستخدام الشخص العادي ولكنها تحمل في طياتها تلك البوتات، مما يجعل المستخدم يثبت تلك البوتات طواعية من دون وجود هفوات في جهازه مسبقا. الدهاء في ذلك أن المستخدم لن يتمكن من معرفة ذلك لكون البرامج المثبتة تعمل حسب ما هو متوقع منها، غير أن لها بابا خلفيا (back door) لا يمكن الانتباه إليه. وعند تثبيت تلك البوتات في الأجهزة المصابة ترتبط ببرنامج التحكم والسيطرة لدى المتحكم, معلنة بذلك انضمامها إلى شبكة البوت نت.
الطريقة الثالثة: تتضمن قيام بعض الجهات سواء كانت حكومية أو خاصة أو مجموعات من الأشخاص المهتمين بإنشاء تلك الشبكات طواعية وتعمدا لتحقيق أهداف بعضها سلمية وبعضها يخدم أغراضا مدنية أو عسكرية.
كيفية تخاطب الأجهزة
هنالك عدة طرق استخدمتها شبكات البوت نت للتواصل بين جهاز التحكم والأجهزة المصابة عن طريق برنامج التحكم والسيطرة، وهي:
< استخدام مواقع إنترنت معينة سلفا معروفة لدى برامج البوت المزروعة في الأجهزة المصابة لتلقي الأوامر، فتقوم تلك الأجهزة بزيارة تلك المواقع وقراءة الأوامر منها. تلك الطريقة تسهل عمل برامج التحكم والسيطرة للتخاطب مع الآلاف من الأجهزة المصابة، لكنها في ذات الوقت تعرض الشبكة للكشف بسهولة، وذلك لسهولة تتبع الكم الهائل من المعلومات المتبادلة مع تلك المواقع من قبل الجهات الأمنية ومن ثم إيقافها. وهذا دفع مطوري شبكات البوت نت إلى استخدام طرق مختلفة لتغيير عنوان الجهاز المتحكم بطرق ذكية، عن طريق مساعدة نظم التعرف على أسماء العناوين (DNS)، وعن طريق عملية يطلق عليها خدمة التدفق السريع (Fast Flux Service). وهذه الخدمة تستغل مواقع مخترقة للتعرف على أسماء عناوين الإنترنت لتوجيه الأجهزة المراد إصابتها نحو عدة عناوين (تتغير باستمرار) تكون بمثابة الوكيل (Proxy) عن الجهاز الذي يحوي برنامج التحكم والسيطرة في تلقي وإرسال الأوامر للأجهزة المصابة. هذه الطريقة تجعل من الصعب تعقب عنوان جهاز المتحكم لعدم استخدامه للتواصل المباشر مع الأجهزة المصابة.
< استخدام بروتوكول أي آر سي (IRC)، وهو طريقة للتخاطب تعتمد نظام العميل والخادم (cclient-server) في التخاطب بين الأشخاص في صفحات التخاطب مع بداية ظهور الإنترنت. يمكن إنشاء قناة خاصة بواسطة المتحكم في شبكة البوت نت عن طريق البرامج التي تستخدم ذلك البروتوكول ويسمح للأجهزة المصابة فقط الانضمام لها. يتم التخاطب بين الأجهزة المصابة والمتحكم بسرية تامة في تلك القناة. استخدمت هذه الطريقة بواسطة الكثير من شبكات البوت نت، لكن الجهات الأمنية تتبعت تلك القنوات الخاصة حتى مصادرها وأوقفت عناوين الأجهزة المتحكمة في تلك القنوات التي تمثل الأجهزة المسيطرة على شبكات البوت نت. تطور العمل باستخدام بروتوكول أي آر سي (IRC) للتخاطب إلى استخدام عدة قنوات للتخاطب بين المتحكم في الشبكة والأجهزة المصابة بدلا من قناة واحدة لتفادي إقفالها من قبل الأجهزة الأمنية. ثم تطورت إلى القدرة على ربط عناوين الأجهزة المتحكمة بقنوات مختلفة تنشـأ في أوقات زمنية مختلفة كل يوم، بدلا من الاعتماد على قنوات ثابتة مما يجعل أمر تتبعها صعبا جدا.
< استخدام بروتوكول بي تو بي (P2P)، وهو طريقة للتخاطب بين الأجهزة لا تعتمد على وجود جهاز خادم واحد للتخاطب مع الأجهزة المصابة بل يكون لجميع تلك الأجهزة قدرة على أن تكون عميلا لخوادم أخرى وخادما لأجهزة أخرى في آن واحد. وعدم وجود جهاز متحكم واحد في شبكات البوت نت التي تستخدم هذا النوع من التخاطب يجعل من الصعب التعرف عليها بسهولة كما هو الحال في الطريقة السابقة. ومعظم شبكات البوت نت الحديثة تستخدم هذا النوع من التواصل فيما بينها.
هنالك شبكات حديثة استخدمت طرقا مختلفة مثل شبكات التواصل الاجتماعي، ومنها على سبيل المثال شبكة تويتر وإنستغرام.
ما لذي يمكن لشبكات البوت نت عمله؟
تقوم شبكات البوت نت حسب حجمها (عدد الأجهزة المتصلة ببرنامج السيطرة والتحكم) وحسب أهداف الأشخاص المتحكمين فيها بعدة وظائف، بعضها تخريبي وبعضها تجاري. في معظم الأحيان لا يقوم المتحكم في معظم تلك الشبكات بتلك الأعمال لأغراض شخصية بل بالنيابة عن مؤسسات إجرامية أو تجارية تستأجر تلك الشبكات من المتحكم لتحقيق أهدافها. وتتلخص الاستفادة من شبكات البوت نت في الأمور الآتية:
< إحداث هجوم لتعطيل الخدمة في موقع معين في الإنترنت. عادة يكون الهدف من ذلك إما تخريبيا لغرض الانتقام وإما تجاريا لغرض الابتزاز. وكلما زاد حجم الشبكة زادت فعاليتها في هذا الغرض وزادت صعوبة صد هذا النوع من الهجمات، ومن ثم زادت القيمة الإيجارية لتلك الشبكات.
<يمكن استغلال شبكات البوت نت في بث ما يعرف بالإعلانات غير المرغوب بها (Adware) والبريد غير المرغوب به (Spams) إلى جميع الأجهزة المصابة في الشبكة.
< تلك الشبكات قادرة على إيصال برامج التجسس (spyware) مثل متتبع النقر على لوحة المفاتيح (Keyloggers) وغيرها من البرامج القادرة على التجسس على معلومات وسلوك الشخص المستخدم للجهاز المصاب، والاستفادة من المعلومات التي لدية وخاصة تلك التي يمكن من خلالها الاستفادة المالية من حسابات بنكية أو معلومات شخصية لذلك الشخص.
< يمكن لبرنامج التحكم والسيطرة إصدار أوامر للبوتات في الأجهزة المصابة لزيارة (عند تشغيل برنامج تصفح الإنترنت من قبل المستخدم) صفحات إنترنت محددة من قبل المتحكم من دون معرفة المستخدم وبطريقة خفية لا يمكنه الانتباه إليها. والهدف من ذلك إحداث زخم مزيف للحصول على تلك الصفحات (click fraud) من قبل كثير من الأجهزة المصابة، لأجل رفع مرتبة تلك الصفحات في محركات البحث (SEO)، ومن ثم ترتفع قيمتها البحثية والسوقية. وإما أن تقوم محركات البحث بعرض الرابط لتلك الصفحات في بداية نتائج البحث، وإما أنها تستخدم لعرض إعلانات بتكلفة أعلى تتناسب مع تلك المرتبة المزيفة.
في السنوات الأخيرة، قامت شبكات البوت نت بنوع آخر من الاستفادة من الأجهزة المصابة، بحيث استخدمت القدرة التشغيلية لتلك الأجهزة في أوقاتها الخاملة التي لا تستخدم من قبل المستخدم لتشغيل بعض البرمجيات الخاصة بالتنقيب عن العملة الإلكترونية (Bitcoin Mining). وهذا التنقيب يعد من أكثر الأعمال ربحا في الآونة الأخيرة لكنه يحتاج إلى قدرة تشغيلية كبيرة تستنزف الكثير من الطاقة الكهربائية ، ومن ثم يعد الأمر مكلفا في كثير من الدول. يستغل المتحكم الأجهزة المصابة التي لا تستخدم في أوقات معينة من اليوم لتشغيلها من دون علم المستخدم. ومعظم هذه الأجهزة المستغلة هي أجهزة تتبع لجهات حكومية أو تعليمية.
أخيرا، بالاستفادة من تقنيات التشفير أو التعمية (Cryptography)، ابتزت الكثير من تلك الشبكات أصحاب الأجهزة المصابة عن طريق تشفير جميع محتويات وملفات تلك الأجهزة ، وطالبت بمبالغ مادية مقابل إزالة ذلك التشفير. وقد نجح الكثير منها في الاستفادة المادية الكبيرة من تلك الطريقة.
شبكات شهيرة
هنالك الآلاف من شبكات البوت نت والعديد منها ينشأ يوميا، لكنها تختلف باختلاف طرق السيطرة والتحكم والتخفي والوظائف التي تؤديها. لا يمكن حصر تلك الشبكات في مقال واحد لكن بعضها ترك أثرا واضحا في المجتمع الدولي، وأشهرها:
1 – زوس (Zeus): انطلقت في عام 2007 كأداة لسرقة معلومات الأجهزة المصابة، ومنذ ذلك الحين وهي تعتبر أشهر أداة لفعل ذلك لدى جميع أنواع المخترقين والعصابات الإجرامية. ساعد على ذلك حرص مطور زوس على تحديث وتطوير النظام بين الحين والآخر (والاستفادة ماديا عن طريق بيع تلك النسخ المطورة)، مما أدى إلى صعوبة تتبعها ومعرفة توقيعها، إذ إن النسخ المتتابعة لها استخدمت طرقا مختلفة للسيطرة والتحكم في الأجهزة المصابة. هذا التطوير المستمر أدى بمطور الشبكة إلى توزيع النسخ القديمة مجانا في صفحات الإنترنت، والتي كانت في الغالب تعدل من قبل العصابات الإجرامية لإحداث ثغرة في أجهزة العصابات الأخرى التي تحاول الاستفادة من تلك النسخ المجانية. وأوجد ذلك نسخا ضخمة مختلفة من زوس (كان هنالك نحو 50000 نسخة بين عامي 2006 و2009 فقط) بجانب شبكات كثيرة من الأجهزة المخترقة باستخدام تلك الأداة.
2 – كونفليكتر (conflickter): استطاعت السيطرة على ما لا يقل على 10.5 مليون حاسوب وغيرها من الأجهزة في نوفمبر 2008. وقد نمت الشبكة بوتيرة لم يسبق لها مثيل، ولا يوجد حتى الآن أي تقدير حقيقي لحجم هذه الشبكة. لحسن الحظ، لم تستخدم هذه الشبكة لأداء هجمات تعطيل الخدمة – وفق ما نعلم – وإلا فإنها كانت ستسبب ضررا كبيرا.
3 – بريدولاب (Bredolab): تعد أكبر شبكات البوت نت المسجلة؛ لأنها استطاعت السيطرة على موارد أكثر من 30 مليون حاسوب في العالم. أنشأ القراصنة الروس هذه الشبكة لإجراء رسائل غير مرغوب فيها عبر البريد الإلكتروني. لحسن الحظ، تمكنت الحكومات من القضاء على الشبكة في نوفمبر من عام 2010، بعد أن استولت على معظم خوادم القيادة والسيطرة.
4 – ماريابوزا (MariPosa): بين نهاية 2008 وديسمبر 2009، تصدرت شبكة ماريابوزا عناوين وسائل الإعلام حيث أصابت حواسيب أكثر من نصف الشركات العملاقة في الولايات المتحدة .
كانت شبكة الماريابوزا من أوائل الشبكات التي وضعت للتأجير للعصابات الإجرامية. تم تعقب المتحكم بالشبكة عن طريق خطأ جسيم وقع به تمثل في فشله في استخدام قناة مشفرة أثناء الاتصال ببرنامج التحكم والسيطرة.
مكافحة شبكات البوت نت
تختلف طرق مكافحة البوت نت باختلاف التقنيات التي تستخدم، وأهمها:
< تتعرف التقنية الرئيسية لمكافحة شبكات البوت نت على عنوان جهاز التحكم والسيطرة وتمنعه من الاتصال بالإنترنت. ويؤدي ذلك إلى عدم القدرة على إرسال أوامر إضافية للأجهزة المصابة، ومن ثم يتم القضاء على الشبكة نظريا. وهذه الطريقة لا تقضي على الخلل الذي أصاب الأجهزة لكنها تتركها من دون فائدة تذكر، إذ إن القضاء على برنامج السيطرة والتحكم يمنعه من التعرف على عناوين تلك الأجهزة مرة أخرى.
من ناحية الأجهزة المصابة، تقوم جدران النار (Personal Firewall) بتحليل الوحدات المرسلة عبر الشبكة والتأكد من أي نشاط غير اعتيادي للجهاز، ومنع النشاطات التي تكون مرتبطة بأجهزة تحكم وسيطرة خارجية معروفة مسبقا ومحفوظة في قواعد المنع والسماح لدى تلك الجدران النارية.
< التحليل العكسي للبرمجيات (Reverse Engineering): يقوم المختصون في البرمجيات بالحصول على نسخ من برامج التحكم والسيطرة للأنواع المختلفة من شبكات البوت نت وتحليلها عكسيا للتعرف على طريقة عملها، ومن ثم صياغة برمجيات قادرة على التعرف على نشاطها في الأجهزة المصابة ومنعها من الاستمرارية.
< متابعة نشاط شبكات البوت نت للاستدلال على تطورها والمساحات الجغرافية التي تنتشر فيها: هنالك العديد من الجهات الحكومية والخاصة والمواقع الإلكترونية التي تهتم بتطور وانتشار هذه الشبكات لأغراض إما بحثية وإما دفاعية وإما تجارية. من أشهر تلك المواقع موقع لوكنغ غلاس (https://map.lookingglasscyber.com) الذي ينشر معلومات حية عن تطور الكثير من تلك الشبكات ومواقع انتشارها في العالم، وموقع خريطة شبكات البوت نت العالمية الذي يقدم من قبل شركة ترند مايكرو (TrendMicro 2017).
< تقنية طمس الاتصالات (sinkholing): هذه التقنية تستخدم بواسطة الباحثين والجهات الأمنية لدراسة ومعرفة نمط الاتصالات بين الأجهزة المصابة وبرنامج التحكم والسيطرة. تحول التقنية جميع الاتصالات القادمة من الأجهزة المصابة إلى جهاز معد سلفا لتحليل نمط ونوعية المعلومات المتبادلة عوضا عن إرسالها إلى الجهاز المتحكم في شبكة البوت نت. يتطلب هذا النوع من التقنيات التعرف مسبقا على عناوين الأجهزة المتحكمة فيتلك الشبكات.
الشبكات والعصابات
إن وجود وإنشاء شبكات البوت نت مرتبط غالبا بالعصابات الإجرامية (وفي بعض الأحيان بمؤسسات حكومية تخدم أهداف دول معينة) ونظرا إلى العوائد المالية الكبيرة العائدة من وجود تلك الشبكات ، فإن ذلك أدى الى تسخير طاقات برمجية عملاقة من قبل تلك الجهات للتطوير المستمر لبرامج السيطرة والتحكم وتعزيز سبل السيطرة على أجهزة إضافية لضمها إلى تلك الشبكات. وترتب على ذلك صعوبة القضاء على تلك الشبكات (على الأقل ليس في المستقبل القريب). إضافة إلى ذلك، فإن استخدام التشفير في تصميم عمل البرمجيات المكونة لعمل تلك الشبكات جعل معرفة أسرار تلك البرمجيات أمرا صعبا جدا. وجميع ما سبق ينذر بنتيجة حتمية لا مفر منها مفادها أن الخطر القادم من انتشار واستخدام تلك الشبكات أعظم مما قد سلف.
والدول العربية ليست بمعزل عن هذه الأخطار الإلكترونية التي تعمل في الخفاء، بل قد يكون بعضها ، ولاسيما دول الخليج العربي، من أكثر المناطق تعرضا لها. والبحث العلمي في هذا الجانب لا يزال في بداياته، والكثير من الجهات الأمنية ليس لديها القدرة التقنية لتتبع تلك الشبكات والقضاء عليها. وهذا ما يستدعي من الجهات المعنية بذل جهود علمية وتقنية وأمنية حثيثة للحد من أضرارها وتداعياتها. >