هل تعلم أن بإمكان أي شخص جمع معلومات صغيرة عنك من خدمات مختلفة تستخدمها، وربطها ببعضها للحصول على سلسلة من الخطوات التي تسمح له بسرقة هويتك الإلكترونية وحذف جميع بيانات هاتفك الجوال وجهازك اللوحي وكومبيوترك المحمول، وأنت تنظر إليهم أمامك؟ هل تعلم أن هذه العملية تتم بمساعدة أقسام الدعم الفني لكبرى الشركات التقنية، ومن دون معرفتهم بذلك؟ الأمر اللافت للنظر هو أنه بالإمكان تجربة هذه العملية والحصول على النتيجة المذكورة في خلال دقائق قليلة! هذا ما حدث لكاتب تقني اسمه مات هونان في مجلة “Wired” المتخصصة، حيث استطاعت مجموعة صغيرة من القراصنة الاستيلاء على حساباته وإخضاعه لتجربة مرعبة، مستغلة الثغرات الأمنية الموجودة في إجراءات وآليات التحقق من هوية مستخدمي المواقع الإلكترونية وشركات التقنية، وفقدانه لملفات معنوية لا تقدر بثمن.
قصة الكابوس
وبدأت القصة بتوقف هاتف “آي فون” الخاص بالصحفي عن العمل فجأة، وبدء عمله وكأنه هاتف جديد (من دون بيانات)، الأمر الذي أجبر الصحفي على تفعيل خدمة “iCloud” لاسترجاع الملفات وخصائص الهاتف كما كان قبل تعطله. إلا أن النظام رفض الدخول إلى الخدمة بسبب عدم وجود كلمة سر صحيحة، لكي يصل المستخدم الهاتف بكومبيوتره المحمول “Macbook” للدخول إلى الخدمة من خلاله. وتفاجأ بعد ذلك بأن نظام التشغيل يرفض معلومات بريد “Gmail” المخزنة فيه، وطلب منه إدخال الرقم السري المكون من 4 خانات لإلغاء عملية حذف البيانات التي تمت قبل قليل، الذي لم يكن موجودا لدى الصحفي التقني الخبير.
وبدأت الشكوك تساوره، وفصل أجهزته عن الكهرباء وأوقف الإنترنت في منزله عن العمل، وتحدث مع قسم الدعم الفني الخاص بشركة “أبل” لمدة ساعة ونصف الساعة. واكتشف خلال ذلك أن مكالمة أخرى كانت قد وصلت لقسم الدعم الفني قبل نصف ساعة من اتصاله، يدعي صاحبها أنه الصحفي وأنه لم يستطع الدخول إلى بريده الخاص في خدمة “Me.Com” التابعة لـ”أبل” أيضا، حيث سأله قسم الدعم الفني مجموعة من الأسئلة التي أجاب على سؤالين منها فقط بشكل صحيح، وقدموا له كلمة سر مؤقتة تسمح له الدخول إلى البريد الإلكتروني الخاص بالصحفي. واستطاع القرصان الحصول على تلك المعلومات ببعض الخطوات البسيطة التي يمكن لأي شخص متصل بالإنترنت القيام بها، وخصوصا إن كانت المعلومات مرتبطة بشخص تقني.
ووصلت رسالة خاصة بتغيير كلمة السر إلى بريد “Me.Com” وغير القرصان الكلمة وحذف الرسالة فورا، ليستولي على حساب “Me.Com” بشكل كامل. ووصلت بعد ذلك رسالة أخرى إلى العنوان نفسه، ولكنها رسالة خاصة بتغيير كلمة سر لحساب الصحفي في “Gmail” الذي كان مربوطا بحساب “Me.Com” في حال فقدان كلمة السر، ليغير القرصان كلمة سر بريد “Gmail” ويستولي عليه في دقائق قليلة. واستولى القرصان بعد ذلك على حساب “Twitter” الخاص بالمستخدم، الذي كان مربوطا أصلا ببريد “Gmail”. واستخدم القرصان لاحقا خدمة “اعثر على هاتفي” الخاصة بـ”iCloud” لحذف محتوى هاتف الصحفي. وحذف محتوى “آي باد” الخاص بالمستخدم بعد دقيقة واحدة بالطريقة نفسها، ومن ثم محتوى كومبيوتره من خلال خدمة “اعثر على كومبيوتري” بعد 4 دقائق فقط، ليحذف بعدها حساب “Gmail”، ويضيف القرصان رسالة بعد دقيقتين في حساب “Twitter” الخاص بالمستخدم يخبر الجميع من خلالها أنه استولى على حساب المستخدم بالكامل.
وصعق الصحفي لدى معرفته أنه لم يعد قادرا على استخدام كومبيوتره واستعادة السيطرة عليه وإرجاع ملفاته، وخصوصا أنه قد خسر جميع صور الأعوام الأولى لأطفاله، وصور أقاربه الذين توفوا. ولكن الصدمة الكبرى كانت لدى معرفته أن جميع ما تم لم يمكن بهدف حذف بياناته أو الوصول إلى رسائل بريده الإلكتروني مع كبار الشخصيات التقنية خلال سنوات عمله، وإنما لأن اسم حسابه في “Twitter” كان يتكون من 3 أحرف فقط، الأمر الذي أثار اهتمام القراصنة ورغبتهم في الحصول عليه، مع حذف بيانات الكومبيوتر والهاتف و”آي باد” لضمان عدم قدرة الصحفي على الدخول إلى حسابه بعد التحدث مع قسم الدعم الفني.
تحقيقات بسيطة وذكية
واستطاع الصحفي التواصل مع القرصان من خلال إنشاء حساب “Twitter” جديد وإضافة حسابه السابق والاتصال به هناك، ومن ثم عبر البريد الإلكتروني وخدمات الدردشة الفورية. وتفاخر القرصان بعمله وأخبر المستخدم عن آلية عمله شريطة عدم اتخاذ إجراءات قانونية ضده.
وعلم الصحفي أن القرصان كان يحتاج إلى عنوان صندوق البريد الورقي الخاص بالصحفي وآخر 4 أرقام من بطاقته الائتمانية للإجابة عن أسئلة قسم الدعم الفني الخاص بـ”أبل”، ذلك بهدف إرسال الشركة رسالة بريد إلكتروني لتغيير كلمة السر. وبدأت العملية بتصفح صفحة “Twitter” الخاصة بالصحفي والعثور على رابط يأخذ القرصان إلى الموقع الكامل الخاص بالمستخدم، الذي يحتوي بدوره على عنوان بريد “Gmail” للتواصل معه. وجرب القرصان ربط حساب “Gmail” بـ”Twitter” نظريا وذهب إلى بريد “Gmail” وتعرف إلى آلية تغيير كلمة السر هناك، التي تعرض عنوان بريد ثانيا للمستخدم يتم إرسال رسالة تغيير كلمة السر إليه، ولكن “Google” لا تعرض العنوان الكامل للبريد الثاني للمستخدم، ولكنه كان واضحا جدا للقرصان، إذ إنه يتكون من أول حرف من اسم الصحفي واسم عائلته، وهو بريد خاص بخدمة “Me.Com”.
وأصبح هدف القرصان هنا الوصول إلى بريد “Me.Com”، الذي يتطلب عنوان صندوق البريد الورقي الخاص بالصحفي وآخر 4 أرقام من بطاقته الائتمانية للإجابة عن أسئلة قسم الدعم الفني للخدمة. وذهب القرصان إلى موقع “Who.is” الذي يمكن من خلاله كتابة اسم أي موقع إلكتروني، لتعرض الخدمة معلومات التسجيل الخاصة بصاحب الموقع، ومن ضمنها عنوان صندوق البريد الورقي. وتجدر الإشارة إلى أنه في حال لم يمكن لدى المستخدم موقع إلكتروني، فبإمكان أي شخص معرفة العنوان البريد الورقي الخاص بأي شخص في الولايات المتحدة الأميركية بإدخال اسمه في مواقع “Spokeo” أو “WhitePages” أو “PeopleSmart” المجانية.
وتوجه القرصان بعد ذلك إلى متجر Amazon الإلكتروني للحصول على آخر 4 أرقام من البطاقة الائتمانية الخاصة بالمستخدم، واتصل بقسم الدعم الفني لـ”أمازون”، وأخبرهم بأنه هو صاحب الحساب ويريد إضافة بطاقة ائتمانية جديدة (توجد كثير من المواقع التي تقدم أرقام بطاقات ائتمانية مزورة). وطلب قسم الدعم الفني اسم صاحب الحساب وعنوان بريد إلكتروني مربوط بالحساب وعنوان صندوق البريد الورقي، وهي بيانات استطاع القرصان الحصول عليها بالطرق المذكورة. ووافق “أمازون” على إضافة البطاقة الجديدة بعد التأكد من صحة البيانات.
وتحدث القرصان مرة أخرى مع قسم الدعم الفني لـ”أمازون” وأخبرهم بأنه لا يستطيع الدخول إلى حسابه، ليطلبوا منه اسم المستخدم وعنوان صندوق البريد الورقي ورقم البطاقة الائتمانية (التي أضافها قبل قليل)، ليضيف قسم الدعم الفني عنوان بريد جديدا إلى الحساب يمكن الدخول من خلاله إلى الحساب وطلب تغيير كلمة السر من خلال رسالة بريد إلكتروني ترسل إلى العنوان الجديد، وبالتالي الدخول إلى حساب “أمازون” ومعاينة آخر 4 أرقام للبطاقات الائتمانية المربوطة بذلك الحساب. وتجدر الإشارة إلى أنه بالإمكان الحصول على آخر 4 أرقام باستخدام طرق أخرى، مثل طلبيات توصيل الطعام إلى المنزل التي تحتاج إلى رقم بطاقة ائتمانية، أو من خلال أي موظف دعم فني يعمل في مصرف أو متجر يتعامل مع شكاوى البطاقات الائتمانية.
آليات أمنية ضعيفة
ومن الواضح أن آخر 4 خانات من رقم بطاقة الائتمان التي يعرضها موقع “أمازون” هي محور التأكد من هوية مستخدمي خدمات “أبل”. ويعتبر الصحفي محظوظا أن خسارته كانت فقط بفقدان الصور والملفات الشخصية وحسابه في “تويتر”، إذ كان بإمكان القراصنة استخدام بياناته الرقمية للدخول إلى الخدمات الإلكترونية للمصارف أو الخدمات الإلكترونية لشركات الوسطاء وسماسرة الأسهم وإلحاق الخسائر المادية المهولة، أو التواصل مع الأفراد في دفتر عناوين المستخدم للحصول على المزيد من البيانات الخاصة بهم واختراق حساباتهم، أو حتى طلب تحويل مبالغ مالية منهم بعد إخبارهم بوقوعه في حالة طوارئ أثناء السفر، وغير ذلك.
ويلوم الصحفي نفسه لأنه لم يتخذ جميع الإجراءات الأمنية الممكنة، مثل عدم ربط حسابات الخدمات ببريده الشخصي وحساب “Twitter”، وعدم إضافة المزيد من الخطوات الأمنية الممكنة لبريد “Gmail”، وعدم استخدام أسماء مختلفة لعناوين البريد الإلكتروني الخاصة به، وعدم حفظ نسخ احتياطية من ملفاته الشخصية وملفات العمل. ولكنه يلوم نفسه بشكل كبير لاستخدامه خدمة “اعثر على كومبيوتري” التي طلبها من دون تفكير عملي.
الأمر الآخر المزعج هو الآلية المستخدمة في خدمة حذف بيانات الكومبيوتر الشخصي من بعيد، والتي تعرض أمام المستخدم رقما مكونا من 4 خانات لإلغاء العملية لاحقا واسترجاع البيانات، الأمر غير العملي في هذه الحالة، إذ إن الرقم السري المذكور سيظهر أمام القرصان وليس صاحب الجهاز، ليفقد هذا الجزء من الخدمة معناه. أضف إلى ذلك أنه لا توجد آلية متعددة المستويات لطلب تأكيد الحذف من خلال رسالة ترسل لعنوان بريد آخر، الأمر الذي كان قد يوقف القرصان في عمليته.
ومن الواضح أن ما بدأت به “أبل” بطلب إنشاء حساب لديها لشراء الأغاني لقاء 99 سنتا قد تطور ليصبح نظاما متكاملا يرتبط بالهواتف الذكية والأجهزة اللوحية والكومبيوترات الشخصية، ولا يحتاج إلى الكثير من العمل والدهاء لاختراقه، الذي يهدد نظام الهوية الرقمية الخاصة بـ”أبل” ويضعف الثقة بالخدمات السحابية المقبلة، وخصوصا نظام التشغيل “ويندوز 8″ ومجموعة “مايكروسوفت أوفيس 2013″، التي تعتمد على الخدمات السحابية بشكل مدمج ومتكامل. أضف إلى ذلك الخدمات السحابية المتعددة لـ”Google” ونظام تشغيلها السحابي “كروم” وتوجه شركات صناعة الألعاب إلى نشرها عبر أجهزة خادمة سحابية يمكن الاتصال بها من أي كومبيوتر في العالم (مثل “GaiKai” و “OnLive”)، فإن الآليات المختلفة للتأكد من الهوية الرقمية لهذه الخدمات تهدد المستخدمين، حتى التقنيين منهم.
فيروسات المعلومات الشخصية
ومن الممكن للقراصنة ربط معلومات تشبه تلك المذكورة في قصة الصحفي مع فيروسات ضارة، أو استفادتهم من الفيروسات للحصول على المعلومات الشخصية للمستخدمين، مثل فيروس “Gauss” الذي ضرب مصارف منطقة الشرق الأوسط في وقت لاحق من شهر أغسطس الحالي، الذي يستطيع التجسس على العمليات المصرفية والحصول على اسم المستخدم وكلمة السر الخاصة به والكثير من المعلومات الشخصية الأخرى، بالإضافة إلى قدرته على مهاجمة البنية التحتية المصرفية، التي يعتقد أنها من صُنع الجهة نفسها التي طورت دودة “Stuxnet” التي هاجمت المفاعلات النووية الإيرانية في عام 2010.
ويعتقد أن “غاوس” مرتبط أيضا بأدوات “Flame” (تعرف أيضا باسم “SkyWiper”) و “Duqu” التجسسية التي أصابت كثيرا من الكومبيوترات مؤخرا، وفقا لشركة “كاسبرسكاي” المتخصصة في الأمن الرقمي، وهي أدوات متطورة جدا تصل لمستويات التمويل الحكومي لعمليات التجسس الرقمي، وخصوصا على الحسابات التي يشتبه في أنها مرتبطة بإرهابيين. ويمكن لهذه الأدوات الانتقال بين الأجهزة عبر الإنترنت أو الشبكات المحلية، أو حتى من خلال وحدات الذاكرة المحمولة “USB”، وتستطيع تسجيل جميع ما يكتب على لوحة المفاتيح والمعلومات الصادرة والواردة، وتسجيل محادثات “سكايب” وحتى التقاط صور لما يحدث على الشاشة، ومن ثم إرسال هذه البيانات إلى أجهزة خادمة متفرقة في العالم، وانتظار المزيد من الأوامر التي تصلها عبر الإنترنت.
