كيف شاركت دون قصد في هجمات DDoS الأخيرة

إن خطر إصابة جهاز كمبيوتر متصل بالإنترنت ببرامج ضارة لن يكون قابلاً للاختزال أبداً إلى الصفر. إنها فقط طبيعة البرامج التي تحدث الأخطاء. عندما تكون هناك أخطاء في تصميم البرامج ، هناك أشخاص يستغلون تلك الأخطاء لصالحهم.

أفضل ما يمكن أن يأمله مستخدمو الكمبيوتر الشخصي هو التقليل من فرص الإصابة والتخفيف من الأضرار التي يمكن أن تلحقها قطعة من البرامج الضارة - سواء كانت تهدف إلى سرقة بيانات المستخدم الحساسة أو توجيه الجهاز كجزء من هجوم إلكتروني على الخوادم على بعد آلاف الأميال

في الأسبوع الماضي ، تم القبض على مستخدمي الإنترنت في تبادل لإطلاق النار من معركة على الإنترنت. على جانب واحد ، كان مرسلو الرسائل غير المرغوب فيها والأنواع الشائنة الأخرى يرسلون برامج ضارة عبر البريد الإلكتروني. من ناحية أخرى كانت منظمة Spamhaus لمكافحة الرسائل الاقتحامية. وكما أفاد دون ريزنغر يوم الأربعاء الماضي ، شهدت العديد من المواقع الأوروبية تباطؤًا كبيرًا نتيجة للهجوم ، الذي ربما كان قد تورط أيضًا في عصابات إجرامية في روسيا وأوروبا الشرقية.

في مقال نشر يوم الجمعة الماضي ، أوضح ديكلان مكلاغ أن التكنولوجيا لهزيمة مثل هذه الهجمات معروفة منذ أكثر من عشر سنوات ، على الرغم من أن تنفيذ التكنولوجيا على نطاق الإنترنت أمر صعب ، ومن الناحية العملية ، قد يكون مستحيلاً.

إذن ، أين يترك هذا متوسط مستخدم الإنترنت اليومي؟ ستكون قدرتنا على منع آلاتنا من التعرض للاختراق من قبل البرمجيات الخبيثة محدودة دائمًا بسبب حساسيتنا الفطرية. نحن ببساطة من المحتمل جدا أن يتم خداعنا لفتح ملف أو صفحة ويب لا ينبغي لنا.

تبقى معدلات إصابة جهاز الكمبيوتر ثابتة على الرغم من انتشار برامج مكافحة الفيروسات المجانية. حتى أفضل برامج الأمان تفشل في تحديد بعض البرامج الضارة ، حيث تشير نتائج اختبار AV Comparatives إلى (PDF). على سبيل المثال ، في الاختبارات التي أجريت في أغسطس 2011 ، تم تصنيف Microsoft Security Essentials على أنه متقدم (ثاني أعلى مستوى تسجيل) مع معدل اكتشاف قدره 92.1 بالمائة و "عدد قليل جدًا" من الإيجابيات الزائفة.

نظرًا لأننا لن نلغي أبدًا إصابات الكمبيوتر ، فإن أفضل دفاع ضد شبكات الروبوت ليس موجودًا في المصدر بل في نقطة الدخول إلى شبكة مزودي خدمات الإنترنت. في يوليو من العام الماضي ، أصدرت فرقة عمل هندسة الإنترنت مسودة للتوصيات الخاصة بعلاج برامج الروبوت في شبكات مقدمي خدمات الإنترنت والتي تشير إلى التحديات التي يقدمها اكتشاف البوت وإزالته.

لسوء الحظ ، لا يكون اكتشاف الشبكات البوتاتية وإزالتها أسهل بكثير بالنسبة لمقدمي خدمات الإنترنت. عندما يقوم مزودو خدمات الإنترنت بفحص أجهزة الكمبيوتر الخاصة بعملائهم ، قد ينظر الكمبيوتر الشخصي إلى الفحص على أنه هجوم وينشئ إنذارًا أمنيًا. يشعر الكثير من الناس بالقلق بشأن تداعيات الخصوصية لمقدمي خدمات الإنترنت الذين يقومون بمسح محتوى آلات عملائهم. ثم هناك التردد الأساسي لمزودي خدمة الإنترنت في مشاركة البيانات والعمل معًا بشكل عام.

يأتي الكثير من إصلاحات IETF المقترحة لتعليم المستخدمين حول الحاجة إلى فحص أجهزة الكمبيوتر الخاصة بهم لالتهابات وإزالة تلك التي يكتشفونها. في حين أن معظم الإصابات بالفيروسات تجعل وجودها معروفًا عن طريق إبطاء النظام والتسبب في مشاكل أخرى ، فإن طبيعة التسلل للعديد من البوتات تعني أن المستخدمين قد لا يكونوا على علم بها على الإطلاق. إذا تم تصميم برنامج الروبوت ليس لسرقة بيانات المستخدم ولكن فقط للمشاركة في هجوم DDoS ، فقد يشعر المستخدمون بعدم الحاجة إلى الكشف عن برنامج الروبوت وحذفه.

أحد اقتراحات تقرير IETF هو أن مقدمي خدمات الإنترنت يشتركون في بيانات "انتقائية" مع أطراف ثالثة ، بما في ذلك المنافسين ، لتسهيل تحليل حركة المرور. في شهر مارس من العام الماضي ، أصدر مجلس أمن الاتصالات والموثوقية وقابلية التشغيل البيني قواعد السلوك التطوعية الخاصة ببووتس لمقدمي خدمات الإنترنت (PDF). بالإضافة إلى كونها تطوعية ، تعتمد ثلاث من التوصيات الأربع في "ABCs for ISPs" على المستخدمين النهائيين:

تثقيف المستخدمين النهائيين للتهديد الذي تشكله البوتات والإجراءات التي يمكن للمستخدمين النهائيين اتخاذها للمساعدة في منع عدوى الروبوت ؛

الكشف عن أنشطة البوت أو الحصول على معلومات ، بما في ذلك من أطراف ثالثة موثوقة ، بشأن عدوى البوت بين قاعدة المستخدمين النهائيين ؛

إخطار المستخدمين النهائيين بإصابات الروبوت المشتبه بها أو المساعدة في تمكين المستخدمين النهائيين من تحديد ما إذا كانوا يُحتمل أن يكونوا مصابين بالعدوى؟ و

توفير المعلومات والموارد ، مباشرة أو بالرجوع إلى مصادر أخرى ، للمستخدمين النهائيين لمساعدتهم في علاج عدوى الروبوتات.

تشير ورقة بعنوان "نمذجة سياسات مقياس الإنترنت لتنظيف البرمجيات الخبيثة" (PDF) من تأليف ستيفن هوفمير ، من مختبر لورنس بيركلي الوطني وغيره ، إلى أن وجود مزودي خدمات إنترنت كبيرين يعملون معاً لتحليل حركة المرور عند نقاط الدخول إلى شبكاتهم أكثر فعالية من اكتشاف البوتات على أجهزة المستخدم النهائي.

لكن هذا لا يجعلنا نتخلص من كل شيء. إذا تم فحص كل أجهزة كمبيوتر بنظام Windows بحثًا عن برامج ضارة مرة واحدة في الشهر ، فسيكون هناك عدد أقل بكثير من برامج التتبع المتاحة لهجوم DDoS التالي. وبما أن قراء CNET يميلون إلى أن يكونوا أكثر ذكاءً من التقنية ، فإنني أقترح برنامجاً لتبني الكمبيوتر: كل شخص يقوم بفحص جهازين أو ثلاثة أجهزة كمبيوتر يشتبه في أن أصحابها لا يحتفظون بها بانتظام (مثل الأقارب) على أساس المصلحة العامة.

فيما يلي ثلاث خطوات يمكنك اتخاذها لتقليل احتمالية أن يتم إعداد جهاز كمبيوتر يعمل بنظام Windows في جيش بوت نت.

لا تستخدم حساب مسؤول Windows

الغالبية العظمى من البرامج الضارة تستهدف أنظمة Windows. في جزء كبير منه يرجع ببساطة إلى الأرقام: هناك الكثير من عمليات تثبيت Windows أكثر من أي نظام تشغيل آخر يعمل نظام Windows على زيادة فعالية البرمجيات الخبيثة.

كثير من الناس ليس لديهم خيار سوى استخدام ويندوز ، على الأرجح لأن صاحب العمل يتطلب ذلك. بالنسبة للكثيرين غيرهم ، فإن استخدام نظام تشغيل آخر غير Windows أمر غير عملي. ولكن هناك عدد قليل جدًا من الأشخاص الذين يحتاجون إلى استخدام حساب مسؤول Windows على أساس يومي. في العامين الماضيين ، استخدمت فقط حساب Windows قياسيًا على جهاز الكمبيوتر الشخصي اليومي ، مع استثناء واحد أو اثنين.

في الواقع ، غالبًا ما أنسى أن الحساب يفتقر إلى امتيازات المسؤول حتى يتطلب تثبيت البرنامج أو تحديثه إدخال كلمة مرور المسؤول. إن استخدام حساب قياسي لا يجعل الكمبيوتر الخاص بك مقاومًا للبرمجيات الضارة ، ولكن القيام بذلك يضيف بالتأكيد مستوى حماية.

اضبط برنامجك لتحديثه تلقائيًا

منذ سنوات عديدة ، نصح الخبراء مستخدمي الكمبيوتر الشخصي بالانتظار لمدة يوم أو يومين قبل تطبيق تصحيحات لنظام التشغيل Windows ومشغلات الوسائط والتطبيقات الأخرى لضمان أن البقع لم تتسبب في المزيد من المشكلات أكثر مما تمنعه. الآن الخطر الذي تشكله البرامج غير المثبتة هو أكبر بكثير من أي مواطن الخلل المحتملة الناتجة عن التحديث.

في شهر مايو 2011 ، قارنت ثلاثة أجهزة مسح ضوئي مجانية تكتشف برامج قديمة وغير آمنة. كانت المفضلة لديّ من الشركات الثلاث في ذلك الوقت هي TechTracker الخاصة بـ CNET لبساطتها ، لكني الآن أعتمد على مفتش البرمجيات الشخصي في Secunia ، الذي يتابع تحديثاتك السابقة ويوفر لك مجموع نقاط النظام.

الإعداد الافتراضي في Windows Update هو تنزيل التحديثات وتثبيتها تلقائيًا. كما يتم تحديدها أيضًا بشكل افتراضي خيارات استلام التحديثات المستحسنة بالإضافة إلى تلك الموضحة الهامة ، وتحديث منتجات Microsoft الأخرى تلقائيًا.

استخدم برنامج مكافحة البرامج الضارة الثاني لفحص النظام

نظرًا لأنه لا يوجد برنامج أمان يكتشف كل تهديد محتمل ، فمن المنطقي تثبيت ماسح ضوئي آخر للبرامج الضارة لإجراء المسح اليدوي للنظام في بعض الأحيان. إن برنامجي اليدويين المفضلين لفحص الفيروسات هما Malwarebytes Anti-Malware و أداة إزالة البرامج الضارة من Microsoft ، وكلاهما مجاني.

لم أتفاجأ بشكل خاص عندما عثرت Malwarebytes على ثلاث حالات من فيروس PUP.FaceThemes في مفاتيح التسجيل في جهاز Windows 7 PC اليومي (كما هو موضح أدناه) ، ولكن لم أكن أتوقع أن يقوم البرنامج باكتشاف أربعة فيروسات في مجلدات نظام Windows القديمة على نظام اختبار مع التكوين الافتراضي لـ Windows 7 Pro (كما هو موضح على الشاشة أعلى هذه المشاركة).

كانت فائدة غير متوقعة لإزالة البرامج الضارة تقليل وقت التمهيد لجهاز Windows 7 من أكثر من دقيقتين إلى أكثر من دقيقة واحدة.

مساعدة لمشغلي الموقع الذين يتعرضون للهجوم

هجمات DDoS مدفوعة في المقام الأول عن طريق المكسب المالي ، مثل الحادث في ديسمبر الماضي الذي أفرغ حساب بنك الغرب على الانترنت من 900،000 دولار ، كما ذكرت بريان كريبس. قد تكون هذه الهجمات محاولة للثأر ، وهو ما يعتقد العديد من المحللين أنه متورط في هجوم DDoS الأسبوع الماضي ضد Spamhaus.

قصص ذات الصلة

نكت دونغل وتويدر يؤدي إلى إطلاق النار ، والتهديدات ، هجمات DDoS
هل قهر الإنترنت المزعج حقا الإنترنت؟
التماسات مجهولة من الولايات المتحدة لمشاهدة هجمات DDoS كاحتجاج قانوني

ألقي باللوم على الحكومة الإيرانية في سلسلة من هجمات DDoS الأخيرة ضد البنوك الأمريكية ، كما ذكرت صحيفة نيويورك تايمز في يناير الماضي. على نحو متزايد ، يقوم ناشطون سياسيون بإدارة شبكات الإنترنت ضد معارضيهم ، مثل موجة هجمات المتسللين على البنوك التي أوردتها تريسي كيتن على موقع BankInfoSecurity.com.

بينما تمتلك المواقع الكبيرة مثل Google و Microsoft الموارد لاستيعاب هجمات DDoS دون حدوث خلل ، يكون مشغلو المواقع المستقلون أكثر عرضة. تقدم مؤسسة Electronic Frontier Foundation دليلاً لمالكي المواقع الصغيرة لمساعدتهم على التعامل مع هجمات DDoS والتهديدات الأخرى. يغطي برنامج Keep Your Site Alive الجوانب التي يجب مراعاتها عند اختيار مضيف ويب وبدائل النسخ الاحتياطي ونسخ الموقع.

التأثير المتزايد لهجمات DDoS هو أحد مواضيع تقرير استخبارات التهديد العالمي لعام 2013 الذي أصدرته شركة Securityary للأمن. يتطلب تنزيل التقرير التسجيل ، ولكن إذا كنت في عجلة من أمرنا ، يقدم بيل برينر ملخصًا للتقرير حول مدونة Snatch Hash.

كما ذكر برينر ، هناك اتجاهان حددهما Solutionary وهما أن البرمجيات الخبيثة بارعة بشكل متزايد في تجنب الكشف ، وجافا هي الهدف المفضل لمجموعات أدوات استغلال البرامج الضارة ، وتحل محل Adobe PDFs في أعلى القائمة.

"ثغرة" خادم DNS خلف هجمات DDoS

الانفتاح الفطري للإنترنت يجعل هجمات DDoS ممكنة. يشرح بائع JH Software لبرمجيات نظام أسماء النطاقات كيف يسمح إعداد العودية الخاص بـ DNS بتدفق طلبات الروبوتات على خادم DNS. ينظر "باتريك لينش" CloudShield Technologies إلى مشكلة "الحلول المفتوحة" من منظور المؤسسة و ISP.

ينظر Paul Vixie إلى مخاطر حجب DNS على موقع Internet Systems Consortium. تتناقض Vixie مع اقتراح DNS الآمن لإثبات صحة الموقع أو عدم صحته.

أخيراً ، إذا كان لديك ساعتان ونصف الساعة للقتل ، فقم بمشاهدة حلقة النقاش المثيرة للاهتمام التي عُقدت في مدينة نيويورك في ديسمبر الماضي تحت عنوان "تخفيف هجمات DDoS: أفضل الممارسات في مشهد التهديد المتطور". أدار الجلسة رئيس تنفيذي مصلحة عامة ، بريان كِت ، وشمل تنفيذيين من Verisign و Google و Symantec.

لقد صدمني موضوع متكرر واحد بين المشاركين في الحلقة: نحن بحاجة إلى تثقيف المستخدمين النهائيين ، ولكنه في الحقيقة ليس خطأهم ، وليس مشكلتهم بالكامل. بالنسبة لي ، بدا أكثر من مجرد مثل مزودي خدمات الإنترنت يمرون باك.