هل شاركت ثلاجتك في تعطيل الإنترنت في أمريكا؟

الإثنين 24 تشرين الأول 2016
internet-wires

بدأ يوم الجمعة الماضي، 21 تشرين الأول، كيوم عادي في الولايات المتحدة الأمريكية. ولكن قبل انتصاف نهار اليوم، لاحظ مستخدمو العديد من مواقع التواصل الاجتماعي، القاطنون في الساحل الشرقي الأمريكي عدم قدرتهم على التواصل مع تلك المواقع، تبعهم في ذلك مستخدمون آخرون إلى الغرب وحتى أطراف أوروبا، وسرعان ما أعلنت شركة «DynDNS» عن تعرضها لهجمات عبر الإنترنت تهدف لتعطيل خدماتها. ولكن كيف يمكن لضرر تعرضت له شركة واحدة أن يؤدي إلى توقف ما تم وصفه بـ«نصف مجموع الإنترنت»؟

شركة «DynDNS» هي إحدى الشركات العاملة في خدمة ترجمة عناوين مواقع الإنترنت. فأجهزة الحاسوب لا تتعامل بينها وبين بعضها بألفبائيتنا المنطوقة، ولكن عبر لغة الأرقام. ولأنه سيكون من الصعب علينا نحن المستخدمين أن ندخل رقم 31.13.67.36 حتى نصل لموقع الفيسبوك، ظهرت فكرة خوادم أسماء النطاقات (Domain Name Servers) كوسيلة تمكننا من التعامل بسهولة على الإنترنت. فلكي نزور موقع الفيسبوك، نقوم فقط بكتابة العنوان السهل (facebook.com)، بعد ذلك يرسل جهازنا تلك الحروف إلى أحد خوادم أسماء النطاقات الذي بدوره يملك سجل يحتوي على كل أسماء المواقع وعناوينها الرقمية. وبعد أن يتفحص الخادم سجلاته، يرسل مرة أخرى إلى جهازنا الإسم الرقمي للموقع (31.13.67.36 في حالة الفيسبوك). عندئذٍ يستطيع الجهاز التواصل مباشرة مع الموقع وتنتهي مهمة خوادم أسماء النطاقات عند هذه المرحلة.

عادة ما تستأجر شركات مواقع الإنترنت الكبيرة خوادم خاصة تكون كل مهمتها هي ترجمة أسماء مواقعها فقط، وفي بعض الحالات تقوم الشركات العملاقة كچوچل بشراء خوادم أسماء خاصة لنطاقاتها فقط: تخيل أن موقعًا كچوچل يستخدمه ملايين البشر -والأجهزة- آلاف المرات كل يوم. ينتج عن هذا كمية ضخمة من طلبات تحويل العنوان الألفبائي إلى عنوان رقمي، مما يستدعي وجود خوادم خاصة لتلك الشركات الكبيرة؛ ولكن شركات أخرى كفيسبوك وتويتر وغيرها فضلوا أن يتعاقدوا مع شركة «DynDNS»  لتقديم تلك الخدمة. وفي الساعة الحادية عشر من ظهر الجمعة، تعرضت خوادم هذه الشركة لهجوم يهدف للتأثير على خدماتها.

تنفذ آلاف أجهزة الكمبيوتر هذه الهجمات باستخدام طلبات ثقيلة الحجم وكثيرة العدد لأوقات تطول حتى 24 ساعة، وذلك دون علم مالكي هذه الأجهزة من الأساس.

تقوم هجمات الحرمان من الخدمة الموزعة (Distributed Denial of Service – DDoS) على إغراق الخوادم بعدد ضخم من الطلبات الوهمية بما يستهلك قدرات الخوادم القصوى ويعيقها عن تقديم خدماتها كالمعتاد. فبسطر أمر واحد يمكن لحاسوب واحد أن يطلب من الخادم 1000 طلب، كأنه ألف جهاز يطلبون الخدمة في آن واحد. تخيل أن يقوم برنامج على جهاز كمبيوتر واحد بطلب عشرة آلاف طلب في الثانية الواحدة، وتخيل وجود ألف جهاز كمبيوتر يقومون بهذا في آن واحد. في الحقيقة، تنفذ آلاف أجهزة الكمبيوتر هذه الهجمات باستخدام طلبات ثقيلة الحجم وكثيرة العدد لأوقات تطول حتى 24 ساعة، وذلك دون علم مالكي هذه الأجهزة من الأساس؛ بل إنه من الممكن أن يكون جهاز الكمبيوتر الخاص بك أو تليفونك المحمول – أو حتى سيارة أو تلفزيون متصلان بالإنترنت – جزء مما يعرف بمزرعة أجهزة.

مزرعة الأجهزة (Bot Farm) هي تسمية تطلق على عدد كبير من الأجهزة الإلكترونية استهدفها شخص واحد حتى تكون كل تلك الأجهزة تحت أمره عند الطلب، ويحدث هذا بطريقة آلية. فخلال تحميلك لأحد البرامج غير معروفة المصدر، أو بنقرك على وصلة تعِدك بربح هاتف محمول جديد، قد يكون جهازك قد تم استهدافه من برنامج خبيث (Malware) صنعه أحدهم ليضم جهازك إلى مزرعته. لن تشعر، ولا الآلاف غيرك، باختلاف في أداء الجهاز، ولكن في لحظة معينة، يقوم مالك المزرعة بإعطاء الأمر لأجهزة مزرعته للقيام بهجوم على هدف يحدده، وحينها، فجلّ ما ستلاحظه كمالك للجهاز هو بطء في سرعة اتصالك بالإنترنت. ففي الخلفية، يرسل جهازك بإرسال ملايين الطلبات الثقيلة مشتركًا -كجندي مطيع- في معركة لا تعلم عنها شيئًا.

يؤجر مالكو المزارع مزارعهم لقاء مبالغ تتراوح بحسب التقديرات ما بين 20 و200 دولار أمريكي في الساعة؛ تختلف بحسب حجم المزرعة ومدة الهجوم. وفي العشرين من أيلول من هذا العام، تم توثيق أكبر هجوم للحرمان من الخدمة (DDoS) بلغ حجم البيانات التي تم إرسالها خلاله ما يزيد عن 620 چيچابيت على مدار ثلاثة أيام. قبلها في بشهور كان حجم البيانات في أكبر هجوم تم تسجيله حوالي النصف، وهو ضعف الحجم الذي سجله أكبر هجوم قبلها بعام.

ما حدث في صباح الجمعة كان أحد تلك الهجمات، فقد أغرقت مزرعة أو عدة مزارع تسيطر على أجهزة، قُدر انتشارها في 56 دولة، خوادم شركة «DynDNS» بطلبات تهدف لاستنزاف قدرتها القصوى، ما أدى إلى عدم استطاعة أجهزة مستخدمي المواقع من التواصل مع تلك الخوادم، بسبب عجز الأجهزة عن تلقي العنوان الرقمي للمواقع المطلوبة، وبالتالي عدم قدرة المستخدمين على الوصول لما قدر بخمسة وثمانين موقعًا وخدمة كبرى: فيسبوك وتويتر للتواصل الاجتماعي، وأمازون للتسوق الإلكتروني، و«PayPal» للدفع الإلكتروني، وساوندكلاود للموسيقى، و«GitHub»، مستودع أكواد البرمجة الأول عالميًا.

الجديد في هذا الهجوم ليس فقط قدرته على التأثير على مواقع كبرى، بل كونه جاء بعد موجة من الهجمات  التي تم ربطها، ليس فقط بالحواسيب، ولكن بأجهزة أخرى ككاميرات مراقبة، وأجهزة تسجيل متصلة بالإنترنت، وموزعات شبكات أو راوترات، وأجهزة أخرى مما يعرف بتكنولوجيا إنترنت الأشياء (Internet of Things): فعندما يرتبط التلفزيون والثلاجة بالإنترنت، يصبحان هدفًا للضم للمزرعة.  وعلى الرغم من عدم الانتهاء من تحليل الهجوم الأخير حتى الآن، فإن المؤشرات الصادرة عن شركات الأمن الرقمي تشير إلى برنامج خبيث يسمى ميراي (Mirai) يعتمد على استهداف الأجهزة غير الحاسوبية العديدة المتصلة بالإنترنت في المنازل والمكاتب الصغيرة لتجنيدها ضمن مزارع الأجهزة.

بحسب تحليل الهجمات السابقة، لا يهتم ميراي بأجهزة الحاسوب التي يزداد أمانها يومًا بعد يوم، ولكنه يهتم بالأجهزة الأخرى المتصلة بالإنترنت والتي لم تنل نصيبها من اهتمام المستخدمين لحمايتها. فحاسوبك الشخصي يمر عبر الراوتر قبل وصوله للإنترنت، ومن المؤكد إنك تعرف كلمة سر حاسوبك عن ظهر قلب، ولكن هل تعلم ماهي كلمة سر الرواتر؟ في الغالب لا، وهذا ما يستغله ميراي.

تأتي الراوترات، وكاميرات المراقبة والتلفزيونات المتصلة بالإنترنت والثلاجات، بكلمة سر موحدة معروفة للجميع – عادة ما تكون admin أو 1234- على أن يقوم المستخدمون بتغييرها بعد ذلك، وهذا ما لا يحدث غالبًا. يستهدف ميراي تلك الأجهزة ذات كلمات السر الموحدة أو الضعيفة ويخترقها. وبقليل من التعديلات، يقوم ميراي بإغلاق الحاجز الناري (Firewall) الذي ينظم مرور المعلومات من وإلى الجهاز ويحميه من الاختراق أو تسريب المعلومات؛ وبذلك يصبح تلفزيونك أو كاميرا المراقبة في مكتبك أداة طيعة بانتظار أوامر الهجوم، بل وبوابة لإصابة الأجهزة الأخرى المتصلة بالشبكة ببرمجيات خبيثة من أنواع أخرى قد تهدف لسرقة المعلومات البنكية أو التلصص وما شابههم.

يعد هذا الأسلوب اتجاهًا جديدًا يضيف إلى المخاوف التقليدية من المخترقين أو محتالي الإنترنت الذين كانوا في العادة يستهدفون سرقة المعلومات البنكية وبيعها، أو حتى اختطاف جهاز الحاسوب وشلّه مقابل فدية. لم يعد التهديد يأتي من خلال تصفح مواقع الإنترنت، بل صار خارج إدراك المستخدم، حيث لا تأتي الإصابة من خلال نقر وصلة أو تحميل برنامج غير موثوق المصدر، بل بمجرد اتصال الراوتر بالإنترنت ودون أن تكون أنت كمستخدم طرفًا فاعلًا في العملية.

بذلك، يصير الهجوم الذي طال شركة «DynDNS» فريدًا من نوعه، فقد أتى بعد سلسلة من الهجمات التي طورت تكنولوجيا قديمة وأضافت إليها لاعبين جددًا يزداد عددهم يومًا بعد الآخر.