«المفترس».. أداة جديدة تكشف المواقع الخبيثة قبل بدء نشاطها على الإنتـرنت

في واحد من التطورات المهمة في مجال أمن المعلومات وأمن الإنترنت، أعلن المؤتمر السنوي الـ23 لجمعية الآلات الحوسبية حول الحاسبات وأمن الاتصالات «إيه سي إم 2016»، الذي عقد خلال الفترة من 24 إلى 28 أكتوبر الماضي في فيينا عن توصل فريق من العلماء بجامعة «برينستون» الأميركية إلى أداة برمجية جديدة أطلقوا عليها اسم «بريداتور» أو «المفترس»، مهمتها اكتشاف المواقع الخبيثة التي تستخدم من قبل المجرمين في شن أي من الهجمات والاختراقات الأمنية على الإنترنت، وذلك في لحظة تسجيلها في نظام نطاقات الأسماء، وقبل أن تبدأ العمل والنشاط على الشبكة، الأمر الذي يوفر إجراء أمنياً استباقياً مفيداً، يقطع الطريق على المجرمين والمخترقين والمهاجمين، ويحرمهم امتلاك قاعدة أو منصة لإطلاق هجماتهم عبر الشبكة.

تصفية النطاقات تصفي أداة «المفترس» أكثر من 80 ألفاً من نطاقات الأسماء التي تسجل يومياً، لتحدد مسبقاً أياً منها يرجح أنه سيستخدم في سلوك ضار، أو أياً منها سيكون مشروعاً وآمناً. وقد أشار فريق البحث إلى أنه تم اختبار هذه التقنية مع المواقع الواردة في القوائم السوداء بالفعل، ووجدوا أن «المفترس» استطاع أن يكشف 70% من هذه المواقع الخبيثة، حينما استند فقط إلى المعلومات التي جرى تعريفها وقت التسجيل، الأمر الذى يعني أن الكفاءة في الكشف سترتفع مع استخدام معلومات أو مؤشرات أكثر في الرصد والكشف.

وعرض كل من أستاذ علوم الكمبيوتر في الجامعة، الدكتور نيك فيمستر، والباحث في الجامعة شوان هاو، خلال فعاليات المؤتمر، تفاصيل البحث، ونشرت صفحة الأخبار بموقع الجامعة princeton.edu/‏‏‏‏main/‏‏‏‏news بياناً تفصيلياً حوله.

مواقع خبيثة

وطبقاً لما جاء في البيان، فإن البرامج الخبيثة التي تطاردها الأداة الجديدة هي البرامج التي تروج لعمليات الاحتيال، وتوزع البريد الدعائي المزعج والبرمجيات الخبيثة، وتجمع البيانات الحساسة الخاصة بكلمات المرور وأسماء المستخدمين التي يتم اصطيادها من الـ«ويب»، وتطلق الفيروسات والبرمجيات الخبيثة والضارة التي تستخدم في اختراق أمن المواقع والحاسبات الخادمة الضعيفة التأمين، وتزرع فيها الفيروسات والبرمجيات الخبيثة، لتسيطر عليها، ثم تسخرها في شن هجمات على مواقع وأجهزة كمبيوتر خادمة أخرى، كما حدث في الهجوم الأخير واسع النطاق الذي تعرضت له شبكة الانترنت قبل أسبوع.

عيوب الأداة

وشرح فريق البحث عن الأداة الجديدة بالقول إن الأدوات والتقنيات التي تستخدمها المواقع ونظم التأمين حالياً للتصدي لهذه المواقع، تقوم بعمليات مسح مستمرة واسعة النطاق للأنشطة الواردة إليها من المواقع المختلفة بالإنترنت، وعندما ترصد أي أنشط يعتقد أنها مشبوهة أو غير شرعية، فإنها تبدأ على الفور بالتعرف إلى المواقع التي تصدر عنها هذه الأنشطة الضارة، وبعد التعريف يتم منع وصول أي نشاط من هذه المواقع، ثم تضيفها على الفور إلى قائمة المواقع السوداء أو المواقع الممنوع تلقي أي شيء منها.

إلا أنه يعيب هذه الطريقة أمران: الأول أنها تعمل بعد أن يكون الموقع الخبيث قد أنشئ وأصبح نشطاً ويشن هجماته بكل حرية، وتالياً فإن نظم التأمين دائماً في موقف رد الفعل، وإذا كانت الهجمة ماكرة وصعبة الاكتشاف يصبح نظام التأمين بلا جدوى وتحدث الكارثة.

وأما الأمر الثاني فيتمثل في أن الأداة تنفذ المنع اعتماداً على العنوان الرقمي ونطاق الاسم الخاص بالموقع المشبوه، والمجرمون بدورهم يعرفون ذلك جيداً، ومن ثم يغيرون ببساطة اسم النطاق وعنوان الموقع، ويجرون تعديلات طفيفة علية، فلا يتعرف إليه نظام التأمين، ولا يصنفه على أنه موقع ضار إلا بعد أن يعاود نشاطه الإجرامي من جديد، ثم يتم اكتشافه وضمه للقائمة السوداء، وهو أمر يشبه لعبة «القط والفأر» الدائمة التي تجري في حلقة مفرغة ولا تنتهى.

مزايا «المفترس»

تحاول الأداة الجديدة كسر هذه الحلقة المفرغة، وجعل لعبة القط والفأر لا تحدث أصلاً، فهي تعتمد على فحص عناوين المواقع عند تسجيلها للمرة الأولى في نظام تسجيل الأسماء على الانترنت، وعند الاشتباه في العنوان يتم على الفور إجراء فحص دقيق وشامل للموقع، ووضعه على لائحة المواقع المحتمل أن تكون خبيثة، وعدم السماح له بالعمل إلا بعد مزيد من الفحوص والإجراءات وعمليات التحقق. وبعبارة أخرى يقوم عمل هذه الأداة على كشف المواقع الخبيثة قبل أن تبدأ العمل، ومنعها أو على الأقل وضعها تحت المراقبة والتحذير منها إلى حين التأكد من شرعيتها وعدم لجوئها للنشاط الضار.

حجز المواقع

وطبقاً لما يقوله فريق البحث، فإن لدى المجرمين وأصحاب البرمجيات الخبيثة طريقة مميزة أو مختلفة نوعاً ما في تسجيل مواقعهم داخل نظام نطاقات الأسماء بالإنترنت، وقد ركز الفريق أولاً على البحث عن هذه الاختلافات في السلوك، أو طريقة حجز وتسجيل المواقع من قبل المجرمين، ووضعها في هذه الأداة.

ويضيف الدكتور فيمستر في هذه النقطة، أن جوهر الأداة الجديدة يتمثل في كونها تبحث عن الاشارات أو العلامات المتعلقة باسم النطاق، التي يؤدي وجودها إلى تصنيف اسم الموقع أو نطاق الاسم الخاص به على انه خاص بموقع خبيث، ومن العلامات أو الإشارات الدالة على ذلك أن المجرمين يقومون بشراء وتسجيل مجموعة كبيرة من نطاقات الاسماء مرة واحدة، للحصول على ميزة التخفيضات عند الشراء بالجملة، ليمكنهم بعد ذلك تغيير وإعادة تهيئة مواقعهم بسرعة وبكلفة أقل حينما يتم كشفها ووضعها على القوائم السوداء، إضافة إلى أنهم غالباً ما يسجلون مواقع متعددة باستخدام اختلافات طفيفة في الاسماء، وتغيير حروف أو كلمات مثل منزل، ومنازل، أو وضع كلمات محولة، أو معكوسة في العبارات.

يحقق «المفترس» الكشف المبكر قبل القوائم السوداء بأيام أو أسابيع، ولكي يساعد مستخدمي الإنترنت على مدار اليوم، يجب استخدامه من قبل موفري خدمات إعداد القوائم الممنوعة أو السوداء، مثل خدمة «سبام هاوس» التي تدير قوائم المواقع الممنوعة، وكذلك من قبل الشركات المتخصصة في تقديم خدمات تسجيل المواقع على الإنترنت، مثل «جو دادي» التي تبيع نطاقات الأسماء الجديدة.