هل وكالة الوثائق المُؤْمِنَة .. مُؤْمِنَة ؟! / باب ولد الدي

نشرت بعض المواقع الإخبارية قبل حوالي أسبوع خبر اختراق موقع "الوكالة الوطنية لسجل السكان والوثائق المؤمنة " من طرف قراصنة صينيين و نظرا لأن الوكالة هي المسئولة عن حفظ وثائق

 الموريتانيين الثبوتية فقد طُرحت العديد من التساؤلات حول ما الذي حدث بالضبط ؟ وهل استطاع القراصنة الصينيون الوصول للبيانات الحساسة للوكالة ؟
و قــد قمت بنشر هذا المقال كمنشور علي صفحتي بالفيسبوك، لكن طلب مني بعض أصدقاء نشره في المواقع الاخبارية كي يتمكن الجميع من الإطلاع عليه.
حاولت في هذه المقالة أن أجيب علي بعض الأسئلة و أن أوضح ما الذي حدث بحسب ما توصلت إلي من معلومات، إنارة للرأي العام وتنبيها للمسئولين.
أولا: سأبدأ بالسؤال الذي يشغل بال الكثيرين وهو "هل باختراق القراصنة للموقع الخاص بالوكالة سيتمكنون من الوصول الي وثائق المواطنين المؤمنة ؟"
بنسبة لي بطريقة مباشرة لا أظن فالوكالة لديها فريق مميز من الكوادر التقنية الموريتانية، وبتأكيد لديهم سيرفر خاص بالموقع و المنفصل كليا عن السيرفيرات الخاصة بتخزين البيانات، وهو ما أشارت اليه الوكالة في البيان الذي نشرت بعد رجوع موقعها للعمل.
إذن ما الذي حدث ؟!
مع أن الخبر نشر يوم 29 إبريل الماضي لكن يبدو أن موقع الوكالة مخترق منذ يوم 21 إبريل فحسب صفحات غوغول المؤرشة [1] يتضح تركيب القراصنة لــ PHP Shell اسمه "b374k" ـ [2] و الشل يأتي تركيبه عادة كخطوة متقدمة نسبيا في الاختراق " اكتشاف ثغرة في الموقع - واستغلالها - ومن ثم تركيب الشل".
وتركيب الشل يمكن المخترق من الحصول علي واجهة رسومية تعطيه القدرة علي التحكم بالملفات و المجلدات إضافة حذف، تعديل، تغيير تصاريح) كما يمكن عن طريق شل رفع الصلاحيات إلى Root والسيطرة علي السيرفر وعرض الملفات الخاصة بالمواقع الأخرى المستضافة علي نفس السيرفر واختراقها، خصوصا أنه حسب نسخة غوغول المؤرشة للصفحة الخاصة بالشل المركب علي الموقع فإن الحماية Safe Mode غير مفعلة مما يمكن الشل من تنفيذ جميع الدوال PHP بلا إستثناء  .
ثانيا: يبدو أن جماعة الصينيين لم تكن وحدها من "مروا من هنا" فحسب موقع Zone-h ـ [3] لتسجيل الاختراقات تم اختراق موقع الوكالة من طرف مجموعة قراصنة غالب الظن أنهم أندنوسيين يطلقون علي أنفسهمwongbodo" "، وقد سجل الاختراق بتاريخ 28 أبريل 2014 الساعة 11:50، وقد قاموا مثل الصينيين باختراق النطاق الرئيسي للموقع والنطاقات الفرعية.
ثالثا: الموقع تم اختراقه بأسلوب "Random Hacking" لذلك صفحة الاختراق التي رفعت لا تحمل رسالة مباشرة للوكالة بمعني أن الاختراق كان اختراقا عشوائيا ولم تكن الوكالة مقصودة به لذاتها، فنفس الصفحة التي رفعت علي موقع الوكالة بعد اختراقه تم رفعها علي مواقع أمريكية وجنوب إفريقية وأرجنتينية ..الخ تم اختراقها من قبل نفس فريق القراصنة وذلك أيضا يؤكده اختراق النطاقات الفرعية عن طريقة تقنية "Mass defacement" وتسجيل تلك النطاقات في مواقع تسجيل الاختراقات الي جانب النطاق الرئيسي لزيادة عدد المواقع المخترقة من طرف ذلك الفريق.
أيضا إعلانهم للقرصنة بهذه الطريقة الاستعراضية يصنفهم كأطفال الهاكرز "Script kiddie" و الذين ينحصر همهم عادة في اختراق المواقع وتسجيلها في مواقع تسجيل الاختراقات وتباهي بها، ويبعد فرضية أن اختراقهم كان مقصودا أو بهدف الوصول الي معلومات الوكالة السرية، و لله الحمد من قبل ومن بعد
وهنا أتذكر أنه عندما اختراق الموقع الخاص بالشيخ محمد الحسن ولد الددو سبتمبر 2010 " أقصد هنا الموقع الأول الذي كان ولا يزال تحت شركة هندواي المصرية، ولا أقصد الموقع الثاني الرسمي للشيخ محمد الحسن ولد الددو والذي يديره مركز تكوين العلماء."
رفع المخترق وقتها صورة لفتاة سافرة علي الموقع، وقد فسرت بعض مواقعنا الإخبارية ذلك التصرف أنه استهداف لموقع عالم دين، والحقيقة أن القرصان "جن هاكرز" استخدم أسلوب الاختراق العشوائي في اختراقه للموقع ورفع نفس الصورة علي مواقع غنائية وتجارية أخري مستضافة علي نفس السيرفر ولم يكن يقصد موقع الشيخ محمد الحسن ولد الددو.
ونفس الشئ حدث بعد اختراق مواقع إخبارية موريتانية قبل ذلك بأشهر حيث اعتبرت تلك المواقع أن الاختراق موجه لها من طرف جهات لديها مشاكل مع السياسة التحريرية لتلك المواقع، في حين أن المخترقين لم يكونوا يستهدفون تلك المواقع أصلا وإنما وقع اختراقها عن طريق الصدفة !.
رابعا: صحيح أن اختراق المواقع شئ عادي وعانت منه كبريات الشركات العالمية والمؤسسات الحكومية الرسمية،  لكن عدم تنبه القائمين علي الموقع علي حدوث عملية الاختراق لمدة أسبوع يطرح أكثر من تساؤل ؟!
خصوصا أن الموقع يحتوي علي نطاق فرعي خاص بسيرفر البريد الالكتروني ! وقد اخترق القراصنة جميع النطاقات الفرعية وأمضوا أسبوعا وهم يصولون ويجولون في سيرفر، لذلك فالدخول الي المراسلات الخاصة بالوكالة أمر مطروح جدا، وأيضا موضوع أن القراصنة قاموا بتركيب باب خلفي"Backdoor"، يمكنهم من الرجوع الي الموقع المخترق بعد استعادته أصحابه له و وربط قنوات اتصال مشفرة بينهم معه، أمر يجب التأكد منه وتصدي له.
رابعا: القراصنة المحترفون أو الذين لهم أهداف لديهم الكثير من الطرق التي تمكنهم من الانتقال من اختراق موقع عادي موجه للجمهور و لا يحمل أي بيانات سرية الي أماكن أخري أكثر سرية.
وفي حالة موقع الوكالة كان يمكن للقراصنة مثلا أن يزرعوا في الموقع برمجيات خبيثة تؤدي الي اختراق أجهزة الزوار الموقع والذين من بينهم عمال و مهندسين في الوكالة تلك البرمجيات قــد تستخدم ثغرات "0 day " في أنظمة التشغيل والمتصفحات تمكن من السيطرة علي كمبيوتر الزائر، ولا يستطيع أي نوع من أنواع الحماية التصدي لها مثل الثغرة التي اكتشفت قبل فترة في إصدارات “إنترنت إكسبلورر” من 6 إلى 11 التابع لمايكروسوفت والتي لم تصدر مايكروسوفت ترقيعا أمنيا لها إلا بعد أيام مما عرض أجهزة مئات الآلاف من المستخدمين حول العالم العالم للخطر. [4]
وبعد اختراق كمبيوتر أحد المهندسين يمكن الانتقال الي أي فلاش ديسك »USB »  أو أي جهاز آخر خاص بنقل المعلومات أو الانتقال إلي الشبكة الداخلية  المعزولة والمؤمنة، مما يزيد فرص الوصول غير الشرعي الي بيانات أكثر خطورة، وهنا نتذكر فيروس "ستاكسنت" [5] الشهير والذي ضرب مفاعل بوشهر الإيراني وأدي إلي تعطيله وتوقيف العمل فيه، عن طريق التغيير سّرعات نوابذ الغار من عالية إلى منخفضة، هذا التغيير في السّرعات أدي الي تعطيلها.
"ستاكسنت " أنتقل الي مفاعل البعيد كل البعد عن الإنترنت والغير متصل بأي شئ  !
خامسا: في الأخير وكما يقول خبراء أمن المعلومات "الأمن المطلق وهم مطلق" لكن أيضا من غير المقبول أن تكون مواقعنا الإلكترونية معرضة لمثل هذه الهجمات التي كان يمكن تفاديها فالصورة المؤرشة لدي غوغول للشل الذي الي قام القراصنة بتركيبه بعد اختراق موقع الوكالة تشير الي أن الموقع يستخدم نظام تشغيل ويندوز سيرفر 2003 ونسخة PHP 5.3.0 وهذه الأخيرة مليئة بالثغرات و أي بحث  بسيط على غوغل عن PHP 5.3.0 Vulnerabilities سيوضح الكثير.
لذلك أتمني من الدوائر التقنية في البلد الاهتمام أكثر بأمن المعلومات وأن نفهم أننا لسنا بمأمن من القراصنة المنتشرين في الفضاء السيبيري،واليوم لا تمضي أشهر إلا و نسمع باختراق مؤسسة موريتانية وهنا أتذكر بكل أسف، اختراق موقع الشركة الموريتانية التونسية للاتصالات "ماتال" في  مايو 2013 من طرف الهاكرز "Mauritania Attacker" والذي  نشر عناوين بريد اكتروني وكلمات سر تعود للعاملين في الشركة علي موقع "pastebin" الشهير.
الأمر يزداد تعقيدا يوما بعد يوم والحروب الإلكترونية لم تعد حروب المستقبل بل أصبحت حروب الواقع والدول أصبح لديها جيوش وقيادات أركان خاصة بمجال الحروب الالكترونية فهل نفهم قبل فوات الآن ؟!

........................................................................................................

المصادر:
[1] الصورة للصفحة مؤرشة في أرشيف جوجول توضح تركيب الشل علي الموقع.
[2] لمعلومات أكـثـر حول " PHP Shell " الذي قام القراصنة بتركيبه علي الموقع : https://code.google.com/p/b374k-shell/
[3]  رابط علي موقع " Zone-h " لتسجيل الاختراقات للصفحة الخاصة بالفريق الأندنوسي الذي أخترق الموقع توضح وقت وتفاصيل اختراقهم للموقع: http://www.zone-h.com/archive/ip=82.151.83.143
[4] Adobe, Microsoft et leurs petites faille
http://korben.info/adobe-microsoft-leurs-petites-failles.html
[5] : Stuxnet: http://en.wikipedia.org/wiki/Stuxnet