#الامن_السيبراني
تحدثنا في التغريدة السابقة عن الروتكيتس Rootkits
الان نود ان نعرف كيف نقلل من أضرار كارثة الإصابة بروتكيت أو برات؟ أو كيف نخفف من الخطورة؟
تحدثنا في التغريدة السابقة عن الروتكيتس Rootkits
الان نود ان نعرف كيف نقلل من أضرار كارثة الإصابة بروتكيت أو برات؟ أو كيف نخفف من الخطورة؟
هناك عدة خطوات كي نقلل من أضرار كارثة الإصابة بروتكيت أو برات :
1- تقسيم القرص الصلب إلى جزء لنظام التشغيل وجزء للملفات
بما أن استخدام النسخ الاحتياطية Backups لنظام التشغيل هي الأسلوب المعتمد لمعالجة الإصابة (أو الشك بالإصابة) بالرات أو بالروتكيت
1- تقسيم القرص الصلب إلى جزء لنظام التشغيل وجزء للملفات
بما أن استخدام النسخ الاحتياطية Backups لنظام التشغيل هي الأسلوب المعتمد لمعالجة الإصابة (أو الشك بالإصابة) بالرات أو بالروتكيت
فننصح بتقسيم القرص الصلب للحاسب Hard Disk إلى عدة أجزاء بحيث يتم تخزين ملفات نظام التشغيل على قسم وملفات المستخدم على أنواعها في سواقات أخرى
بحيث تكون النسخ الاحتياطية لملفات نظام التشغيل ذات حجم صغير وبحيث يتمكن المستخدم من تكرار العملية بشكل دوري دون الحاجة لاستخدام وسائط تخزين
بحيث تكون النسخ الاحتياطية لملفات نظام التشغيل ذات حجم صغير وبحيث يتمكن المستخدم من تكرار العملية بشكل دوري دون الحاجة لاستخدام وسائط تخزين
وبدون استهلاك وقت كبير لعملية النسخ الاحتياطي
ومن المهم وضع النسخ الاحتياطية بشكل منفصل فيزيائيا عن الحاسب
مثلا على قرص صلب خارجي مخصص للنسخ الاحتياطية محمي من العوامل الطبيعية كالتعرض للشمس، البلل، الرطوبة… إلخ، او على الكلاود
ومن المهم وضع النسخ الاحتياطية بشكل منفصل فيزيائيا عن الحاسب
مثلا على قرص صلب خارجي مخصص للنسخ الاحتياطية محمي من العوامل الطبيعية كالتعرض للشمس، البلل، الرطوبة… إلخ، او على الكلاود
2- إجراء النسخ الاحتياطية لنظام التشغيل
بما أن أهم طرق المعالجة من هذه البرمجيات الخبيثة هي استعادة نظام التشغيل System Recovery لذلك يحتاج المستخدم لأخذ نسخ احتياطية عن النظام بين الفينة و الأخرى كي يستخدمها لعملية الاستعادة عند حدوث الكارثة.
بما أن أهم طرق المعالجة من هذه البرمجيات الخبيثة هي استعادة نظام التشغيل System Recovery لذلك يحتاج المستخدم لأخذ نسخ احتياطية عن النظام بين الفينة و الأخرى كي يستخدمها لعملية الاستعادة عند حدوث الكارثة.
ويفضل إجراء نسخة احتياطية لملفات نظام التشغيل قبل كل عملية تنصيب جديدة. من المهم وضع النسخ الاحتياطية Backups بشكل منفصل فيزيائيا عن الحاسب
مثلا على قرص صلب خارجي مخصص للنسخ الاحتياطية محمي من العوامل الطبيعية كالتعرض للشمس، البلل، الرطوبة… إلخ،
مثلا على قرص صلب خارجي مخصص للنسخ الاحتياطية محمي من العوامل الطبيعية كالتعرض للشمس، البلل، الرطوبة… إلخ،
3- إجراء نسخ احتياطية للملفات
قد يرغب المهاجم بتخريب ملفات المستخدم سواء عبر الحذف أو عبر التعديل
لذلك ننصح بإجراء نسخ الاحتياطية Backups لملفات المستخدم بشكل دوري
ينصح بأخذ النسخة الاحتياطية على حسب أهمية الملفات المنسوخة و اختلاف تواتر تغييرها،
قد يرغب المهاجم بتخريب ملفات المستخدم سواء عبر الحذف أو عبر التعديل
لذلك ننصح بإجراء نسخ الاحتياطية Backups لملفات المستخدم بشكل دوري
ينصح بأخذ النسخة الاحتياطية على حسب أهمية الملفات المنسوخة و اختلاف تواتر تغييرها،
إذا كانت الملفات على قدر عالي من الأهمية و تتغير بشكل يومي فلا بد من أخذ نسخ يومية تحذف بعد فترة شهر من أخذها أما إذا كان التغيير نادر الحدوث فيمكن من إطالة المدة بين عمليات أخذ النسخ الاحتياطية
و لإتمام عملية النسخ الاحتياطي يوجد عدة أدوات وبرمجيات مساعدة
و لإتمام عملية النسخ الاحتياطي يوجد عدة أدوات وبرمجيات مساعدة
4- عدم حفظ كلمات سرّ الحسابات في المتصفح
تتيح المتصفحات المتختلفة مثل كروم Chrom وفايرفوكس Firefox إمكانية حفظ كلمات السرّ لمساعدة المستخدم من دخول حساباته أونلاين
يستغل المخترقون باستخدام روتكيتس هذه الخاصية للحصول على كلمات السرّ الخاصة بالضحايا.
تتيح المتصفحات المتختلفة مثل كروم Chrom وفايرفوكس Firefox إمكانية حفظ كلمات السرّ لمساعدة المستخدم من دخول حساباته أونلاين
يستغل المخترقون باستخدام روتكيتس هذه الخاصية للحصول على كلمات السرّ الخاصة بالضحايا.
5- استخدام ميزة التحقق بخطوتين أينما توفّرت Two Factor Authentication
لنفترض أن المهاجم قام باختراق الحاسب ولنفترض أنه استطاع مراقبة نقرات لوحة المفاتيح وبالتالي الحصول على كلمة سرك على حسابك على Gmail. إذا يستطيع المهاجم الدخول لحسابك على Google ومعاينة مراسلاتك
لنفترض أن المهاجم قام باختراق الحاسب ولنفترض أنه استطاع مراقبة نقرات لوحة المفاتيح وبالتالي الحصول على كلمة سرك على حسابك على Gmail. إذا يستطيع المهاجم الدخول لحسابك على Google ومعاينة مراسلاتك
وأيضا لاستخدام حسابك للإيقاع بأصدقاء لك
لكي نحد من هذه الخطورة ننصح باستخدام ميزة التحقق بخطوتين والتي تتيحها الكثير من المنصات على الانترنت مثل Gmail، Facebook، Dropbox وغيرها. بهذا الشكل حتى لو حصل المخترق على كلمة السرّ الخاصة بحسابك، سيحتاج أيضا للوصول لهاتفك المحمول
لكي نحد من هذه الخطورة ننصح باستخدام ميزة التحقق بخطوتين والتي تتيحها الكثير من المنصات على الانترنت مثل Gmail، Facebook، Dropbox وغيرها. بهذا الشكل حتى لو حصل المخترق على كلمة السرّ الخاصة بحسابك، سيحتاج أيضا للوصول لهاتفك المحمول
6- الاحتفاظ بالملفات المهمة بشكل مشفر
يقوم المخترق عادة بمعاينة ملفاتك للوصول لمعلومات مهمة قد يستخدمها ضدك أو ضد شركتك أو يستخدمها ليرسم صورة أوضح عنك
لذلك احتفظ بالملفات المهمة بشكل مشفر
لجعل محتوى الحاسب يبدو وكأن الحاسب لا يستحق جهد المخترق ووقته
يقوم المخترق عادة بمعاينة ملفاتك للوصول لمعلومات مهمة قد يستخدمها ضدك أو ضد شركتك أو يستخدمها ليرسم صورة أوضح عنك
لذلك احتفظ بالملفات المهمة بشكل مشفر
لجعل محتوى الحاسب يبدو وكأن الحاسب لا يستحق جهد المخترق ووقته
لا يهتم المهاجم الخطير بالحواسب المملة أي التي لا تحتوي معلومات وملفات مهمة
لذلك إن كان بإمكانك جعل حاسبك يبدو مملا تكون قد خدعت المهاجم الذي سيقوم ربما بترك حاسبك ليستغل الوقت لمهاجمة ضحية أخرى
أو ليبقي على جهازك خلية نائمة
على كل حال خداع المهاجم جزء من الوقاية من آثار الكارثة
لذلك إن كان بإمكانك جعل حاسبك يبدو مملا تكون قد خدعت المهاجم الذي سيقوم ربما بترك حاسبك ليستغل الوقت لمهاجمة ضحية أخرى
أو ليبقي على جهازك خلية نائمة
على كل حال خداع المهاجم جزء من الوقاية من آثار الكارثة
اكتشاف إصابة الحاسب بالروتكيت Rootkit attack detection :
ليس من السهل اكتشاف الروتكيت و ذلك لأن المهاجمين يعملون على إخفاء آثار الاختراق وآثار الهجوم والروتكيت تستخدم تقنيات مختلفة لإخفاء نشاطها على الحاسب الضحية.
ليس من السهل اكتشاف الروتكيت و ذلك لأن المهاجمين يعملون على إخفاء آثار الاختراق وآثار الهجوم والروتكيت تستخدم تقنيات مختلفة لإخفاء نشاطها على الحاسب الضحية.
على الرغم من ذلك يعتقد البعض بأنه لا يمكن أن يتواجد مهاجم باحترافية عالية جداً لدرجة عدم ترك أي دليل على حدوث التدخل و هو ما يتم استخدامه لاكتشاف الروتكيت عادة.
وبما أن من الصعب على المستخدم العادي اكتشاف الروتكيت بنفسه فعليه الاستعانة إما بخبراء لاكتشافه أو ببعض الأدوات،
وبما أن من الصعب على المستخدم العادي اكتشاف الروتكيت بنفسه فعليه الاستعانة إما بخبراء لاكتشافه أو ببعض الأدوات،
لذلك ننصح بدل الانتظار للتأكد بالإصابة بروتكيت والتصرف بعدها بأخذ الاحتياطات الكاملة للوقاية من الإصابة بروتكيت والمذكورة في هذه التغريدة وأيضا اتخاذ الاجراءات التي تخفف من آثار كارثة الإصابة المذكورة في هذه التغريدة وأيضا القيام بالإجراءات العلاجية بمجرد الشك بالإصابة.
فيما يلي بعض الإيضاح حول صعوبة اكتشاف الروتكيت :
برمجيات للكشف عن الروتكيت
لا تتوفر حاليا أدوات أو برمجيات تمتلك القدرة الكاملة على التقاط كل أنواع الروتكيت على الأجهزة. إلّا أنه هناك عدد من الأدوات التي قد تستطيع اكتشاف المشهور منها قبل تنصيبها على أنظمة التشغيل ويندورز Windows
برمجيات للكشف عن الروتكيت
لا تتوفر حاليا أدوات أو برمجيات تمتلك القدرة الكاملة على التقاط كل أنواع الروتكيت على الأجهزة. إلّا أنه هناك عدد من الأدوات التي قد تستطيع اكتشاف المشهور منها قبل تنصيبها على أنظمة التشغيل ويندورز Windows
مثل حزم مضادات الفيروسات
لذلك إن كان المستخدم يستخدم برمجية روتكيت مشهورة في هجومه قد يستطيع مضاد فيروسات اكتشافه قبل حدوث الضرر لكنه من الصعب جدا أن يكتشفه بعد حدوث الضرر بسبب تقنيات التخفي التي تستخدمها معضم برمجيات الروتكيت لتفادي الاكتشاف من مضاد الفيروسات.
لذلك إن كان المستخدم يستخدم برمجية روتكيت مشهورة في هجومه قد يستطيع مضاد فيروسات اكتشافه قبل حدوث الضرر لكنه من الصعب جدا أن يكتشفه بعد حدوث الضرر بسبب تقنيات التخفي التي تستخدمها معضم برمجيات الروتكيت لتفادي الاكتشاف من مضاد الفيروسات.
يوجد أيضا أدوات منفصلة عن حزم مضادات الفيروسات تساعد على التخلص من روتكيتس معينة مثل DarkComet RAT Remover وهي أداة خاصة لاكتشاف وإزالة أحد أنواع الروتكيت والذي يطلق عليه اسم DarkComet.
هناك أيضا أنظمة التقاط التدخل Intrusion Detection system
هناك أيضا أنظمة التقاط التدخل Intrusion Detection system
وأنظمة تجنب التدخل Intrusion prevention Systems خاصة بالشبكات يمكن تحليل بياناتها لالتقاط أي حركة مشبوهة من قبل أي نظام تم استهدافه. وهو الطريقة التي تعتمدها الشركات والمنظمات الكبيرة لكشف كارثة حدوث اختراق بروتكيت.
أما بالنسبة لأنظمة التشغيل لينوكس Linux بالتحديد أو الشبيهة بها يتوفر عدد إضافي من الأدوات التي تكشف الشهير من أنواع الروتكيت المشهورة مثل برنامج Chkrootkit و برنامج Rootkit Revealer ويجب التأكيد على القيام بتحديث هذه البرمجيات والأدوات بشكل دائم مثل مضاد الفيروسات
اكتشاف الروتكيت بشكل ظرفي
أيضا يمكن كشف وجود روتكيت على جهاز ما أو الشك بوجوده بشكل ظرفي فمثلا:
وصول رسالة بريد الكتروني من جهة A إلى جهة B على الرغم أن A أكد لـ B أنه لم يرسل أي بريد الكتروني توحي أن حساب الجهة A مخترق وربما سبب الاختراق وجود روتكيت على جهاز الجهة A.
أيضا يمكن كشف وجود روتكيت على جهاز ما أو الشك بوجوده بشكل ظرفي فمثلا:
وصول رسالة بريد الكتروني من جهة A إلى جهة B على الرغم أن A أكد لـ B أنه لم يرسل أي بريد الكتروني توحي أن حساب الجهة A مخترق وربما سبب الاختراق وجود روتكيت على جهاز الجهة A.
ملاحظة كمية كبيرة من المعلومات المرفوعة مع الانترنت على الرغم من عدم رفع أي ملف إلى الانترنت يشير إلى أن هناك من يرسل من حاسبك حجما كبيرا من المعلومات قد يكون الـ روتكيت
يقوم نظام التشغيل بتسجيل عمليات تسجيل الولوج وعمليات الوصول للموارد والعمليات الهامة التي تجري عليه عادة
يقوم نظام التشغيل بتسجيل عمليات تسجيل الولوج وعمليات الوصول للموارد والعمليات الهامة التي تجري عليه عادة
تسمى هذه السجلات بشكل عام System Logs
قد يستطيع الخبير من قراءة سجلات نظام التشغيل أن يكتشف حدثا يشير إلى وجود روتكيت على الجهاز أو قد يلاحظ أن حدثا ما قد اختفى من جداول سجلات نظام التشغيل ما يشير إلى وجود شئ ما يحاول إخفاء آثاره وقد يكون الروتكيت
قد يستطيع الخبير من قراءة سجلات نظام التشغيل أن يكتشف حدثا يشير إلى وجود روتكيت على الجهاز أو قد يلاحظ أن حدثا ما قد اختفى من جداول سجلات نظام التشغيل ما يشير إلى وجود شئ ما يحاول إخفاء آثاره وقد يكون الروتكيت
معالجة الإصابته أو الشك بالإصابة برات أو روتكيت Dealing with a Rootkit or RAT attack
عند الإصابة أو الشك بالإصابة بروتكيت أو برات على المستخدم القيام بالخطوات التالية:
1-تغطية الكاميرا بغطاء ما (إن كان للجهاز كاميرا مدمجة) أو فصل الكاميرا المتصلة بالجهاز (إن وجدت)
عند الإصابة أو الشك بالإصابة بروتكيت أو برات على المستخدم القيام بالخطوات التالية:
1-تغطية الكاميرا بغطاء ما (إن كان للجهاز كاميرا مدمجة) أو فصل الكاميرا المتصلة بالجهاز (إن وجدت)
2- تغطية المايكروفون (إن كان للجهاز مايكروفون مدمج) أو فصل المايكروفون المتصل بالجهاز (إن وجد)
3- فصل الجهاز عن الانترنت عبر فك كابل الانرتنت LAN أو عبر وقف تشغيل الـ Wireless Router لقطع إمكانية التواصل بين البرمجية الخبيثة والمهاجم.
3- فصل الجهاز عن الانترنت عبر فك كابل الانرتنت LAN أو عبر وقف تشغيل الـ Wireless Router لقطع إمكانية التواصل بين البرمجية الخبيثة والمهاجم.
4- تبليغ المختصين بموضوع الأمن الرقمي (سواء مدير الأمن الرقمي في المؤسسة التي تعمل ضمنها) أو الزميل أو الصديق الذي تستشيره في موضوع الأمن الرقمي عن حدث الإصابة أو الشك بالإصابة عبر استخدام جهاز آخر للتبليغ
(لكن لا تستخدم الجهاز المصاب في ذلك الغرض)
(لكن لا تستخدم الجهاز المصاب في ذلك الغرض)
إن كان القرار إزالة الرات أو الروتكيت من الجهاز :
1- تأكد مجددا من أن الجهاز غير متصل بالانترنت عبر فك كابل LAN أو عبر وقف تشغيل الـ Wireless Router أو وضع الجهاز خارج نطاق الوصول للانترنت اللاسلكي في حال لم يكن بالإمكان وقف تشغيل الـ Wireless Router
1- تأكد مجددا من أن الجهاز غير متصل بالانترنت عبر فك كابل LAN أو عبر وقف تشغيل الـ Wireless Router أو وضع الجهاز خارج نطاق الوصول للانترنت اللاسلكي في حال لم يكن بالإمكان وقف تشغيل الـ Wireless Router
2- حاول تقدير متى تمت الإصابة بالروتكيت
3- ابحث عن نسخة احتياطية Backup لنظام التشغيل تحمل تاريخ قبل التاريخ المقدر للإصابة.
4- قم باستعادة النظام Recovery باستخدام النسخة الاحتياطية إلى مرحلة ما قبل الإصابة بالروتكيت وفي حالة الشك في توفر نسخة نظيفة من النظام يمكن استعادتها،
3- ابحث عن نسخة احتياطية Backup لنظام التشغيل تحمل تاريخ قبل التاريخ المقدر للإصابة.
4- قم باستعادة النظام Recovery باستخدام النسخة الاحتياطية إلى مرحلة ما قبل الإصابة بالروتكيت وفي حالة الشك في توفر نسخة نظيفة من النظام يمكن استعادتها،
على المستخدم أن يقوم بإعادة تنصيب النظام و البرمجيات من جديد للتأكد من أن الحاسب قد تمت معالجته تماماً من الإصابة
جاري تحميل الاقتراحات...