كتب : وسيم امام
كشف تقرير حماية التطبيقات والصادر عن مختبرات شركة "إف 5" أن غالبية الاختراقات الأمنية (51,8%) كانت بسبب هجمات التحكم في الدخول إلى التطبيقات، إذ نجمت هذه الاختراقات غالبا عن سرقة بيانات الوصول الخاصة بالمستخدمين من خلال هجمات التصيّد الاحتيالي أو من خلال محاولات الاختراق القهري عبر تخمين هذه البيانات.
وأشارت شركة إف 5 إلى أن البيانات المسروقة قد استُخدمت عبر وسائل أخرى في هجمات تخمين بيانات المستخدم. واليوم، بات تفاقم هذه المشكلة يعتمد بشكل كبير على الانتشار الواسع لبرامج بوت bot غير المرغوب بها.
واستعرضت شركة إف 5 في هذا السياق 8 جوانب يتوجب معرفتها وخطوات يجب القيام بها وهي:
1- الهجمات الأولية للاختراق بواسطة بيانات مسروقة: يحاول المهاجمون توظيف الأتمتة في عملية الاختراق، وذلك عبر استخدام برامج بوت bot لتشغيل وإدارة الحملات الرامية لكشف بيانات المرور.
2- استغلال ذاكرة التخزين لبيانات الوصول المسروقة: تحتاج عملية الاختراق بواسطة بيانات الدخول المسروقة إلى توفر قائمة بأسماء المستخدمين وكلمات المرور، بحيث يتسنى إطلاق حملة اختراق الموقع الإلكتروني المستهدف. هذه القوائم عبارة عن ملفات تحتوي جميع بيانات المستخدمين وكلمات المرور الخاصة بهم، والتي يمكن الحصول عليها عبر عمليات التصيّد الاحتيالي أو من خلال شبكة الويب المظلم.
3- الاختراق بواسطة البيانات المسروقة يسبب تعطّل الخدمة: تعتمد معظم مواقع الإنترنت على تطبيق جدار حماية أساسي للويب WAF، أو قد لا تحتوي على أي تطبيق حماية إطلاقا. وإجمالا، فإن تطبيقات جدار حماية الويب مصمّمة لحجب هجمات التطبيقات ومحاولات استغلال الشبكة. غير أن محاولات الاختراق بواسطة البيانات المسروقة غالبا ما تتجاوز هذا الاختبار لتتسبب في تعطل خدمة الموقع. إذ يتم إغراق صفحات الدخول في عدد كبير من عمليات الدخول الفاشلة، مما يتنج عنه تعطّل الموقع أو عدم تمكن المستخدمين من الوصول إليها.
4- الإجراءات الأولية للتصدي للاختراق بواسطة إغراق محاولات الدخول: لا بد من اتخاذ تدابير الوقاية بمجرد رصد أي محاولة هجوم. ومن ممارسات الدفاع الشائعة أن تقوم بتفحص وحجب الاتصال بالويب، وهي إجراءات يمكن لتطبيقات جدار الحماية WAF القيام بها.
5- جهات الاختراق تجدد أدواتها: تعرف الجهات التي تقف خلف محاولات الاختراق كيفية تفادي هذه التدابير الدفاعية البسيطة. وغالبا ما يكون الجهد الأكبر لهذه الجهات هو إعداد وتعديل الأدوات التي تتوفر لديها لتتمكّن من استهداف الموقع الإلكتروني للضحية وتعديل الكود المستخدم لذلك.
6- حجب جهات الاختراق: تعمل برامج بوت Bot عادة عبر اتصال المستخدمين بالإنترنت، وهو اتصال يعتمد على عنوان متغير لبروتوكول الإنترنت dynamic IP Address، وهو ما يعني عناوين اتصال جديدة بعد كل محاولة اتصال. ولهذا فإن حجب الاتصال بالاعتماد على عنوان المصدر لا يجدي نفعا، لاسيما مع اعتماد جهات الاختراق على برامج بوت bot منتشرة حول العالم.
7- انتحال شخصية آدمية: استطاعت جهات الاختراق إيجاد حلول للتغلب على تطبيقات التحقق من آدمية المستخدم. فالعديد من أدوات الاختراق تتضمن مكونات إضافية لتوفير آلاف الإجابات للألغاز المستخدمة من قبل تطبيقات التحقق هذه. بل إن بعض التطبيقات المتخصصة في رصد برامج بوت bot تتطلب أحيانا تحريك المؤشر أو استخدام لوحة المفاتيح للتحقق من هوية المستخدم. لكن هذه هي الأخرى لم تعد عائقا بعد توفر عدة أدوات اختراق تساعد في تجاوز هذا النوع من الاختبارات.
8- البحث عن مضادات أكثر فعالية: في نهاية الأمر، لا سبيل للحد من محاولات الاختراق هذه بواسطة برامج بوت bot إلا من خلال تطوير أساليب أكثر تطورا. فالبداية يمكن أن تكون من خلال جمع مجموعة من العوامل عن مستخدم الويب. هذه العوامل يمكن فيما بعد أن تعطى وزنا وأهمية باستخدام تقنيات التعلم الآلي لرصد أنشطة برامج بوت والتخلص منها.
من جهته قال محمد أبوخاطر، نائب الرئيس الإقليمي في الشرق الأوسط وإفريقيا لدى شركة F5: "يمكن لبرامج المكافحة الذكية أن ترصد احتمالية العشوائية في حركة مؤشر الماوس ولوحة المفاتيح. إضافة إلى ذلك، يمكنها التحقق من متصفح الإنترنت لدى المستخدم خلال عملية الاتصال، وذلك للبحث عن خصائص المتصفح الحقيقي على كمبيوتر حقيقي.
أضاف يمكن أن تتسبب هجمات الاختراق عبر الإغراق بمحاولات تسجيل الدخول – لا سيما مع أنظمة دفاع ضعيفة – بنتائج كارثية، خاصة مع استعداد مجرمي الاختراق للتكيف سريعا مع أية متغيرات. ويكمن الحل في جعل الأمر في غاية الصعوبة بالنسبة لهم، ولك عبر زيادة كلفة وتعقيد الهجوم، ليفقد بذلك أية قيمة في نظر هذه الممارسات الإجرامية".