هل تعلم أن بإمكان أي شخص جمع معلومات صغيرة عنك من خدمات مختلفة تستخدمها، وربطها ببعضها للحصول على سلسلة من الخطوات التي تسمح له بسرقة هويتك الإلكترونية وحذف جميع بيانات هاتفك الجوال وجهازك اللوحي وكومبيوترك المحمول، وأنت تنظر إليهم أمامك؟ هل تعلم أن هذه العملية تتم بمساعدة أقسام الدعم الفني لكبرى الشركات التقنية، ومن دون معرفتهم بذلك؟ الأمر اللافت للنظر هو أنه بالإمكان تجربة هذه العملية والحصول على النتيجة المذكورة في خلال دقائق قليلة! هذا ما حدث لكاتب تقني اسمه مات هونان في مجلة «وايرد» Wired المتخصصة، حيث استطاعت مجموعة صغيرة من القراصنة الاستيلاء على حساباته وإخضاعه لتجربة مرعبة، مستغلة الثغرات الأمنية الموجودة في إجراءات وآليات التحقق من هوية مستخدمي المواقع الإلكترونية وشركات التقنية، وفقدانه لملفات معنوية لا تقدر بثمن. * قصة الكابوس * وبدأت القصة بتوقف هاتف «آي فون» الخاص بالصحافي عن العمل فجأة، وبدء عمله وكأنه هاتف جديد (من دون بيانات)، الأمر الذي أجبر الصحافي على تفعيل خدمة «آي كلاود» (iCloud) لاسترجاع الملفات وخصائص الهاتف كما كان قبل تعطله. إلا أن النظام رفض الدخول إلى الخدمة بسبب عدم وجود كلمة سر صحيحة، لكي يصل المستخدم الهاتف بكومبيوتره المحمول («ماكبوك») للدخول إلى الخدمة من خلاله. وتفاجأ بعد ذلك بأن نظام التشغيل يرفض معلومات بريد «جي ميل» المخزنة فيه، وطلب منه إدخال الرقم السري المكون من 4 خانات لإلغاء عملية حذف البيانات التي تمت قبل قليل، الذي لم يكن موجودا لدى الصحافي التقني الخبير. وبدأت الشكوك تساوره، وفصل أجهزته عن الكهرباء وأوقف الإنترنت في منزله عن العمل، وتحدث مع قسم الدعم الفني الخاص بشركة «أبل» لمدة ساعة ونصف الساعة. واكتشف خلال ذلك أن مكالمة أخرى كانت قد وصلت لقسم الدعم الفني قبل نصف ساعة من اتصاله، يدعي صاحبها أنه الصحافي وأنه لم يستطع الدخول إلى بريده الخاص في خدمة «مي دوت كوم» Me.Com التابعة ل«أبل» أيضا، حيث سأله قسم الدعم الفني مجموعة من الأسئلة التي أجاب على سؤالين منها فقط بشكل صحيح، وقدموا له كلمة سر مؤقتة تسمح له الدخول إلى البريد الإلكتروني الخاص بالصحافي. واستطاع القرصان الحصول على تلك المعلومات ببعض الخطوات البسيطة التي يمكن لأي شخص متصل بالإنترنت القيام بها، وخصوصا إن كانت المعلومات مرتبطة بشخص تقني. ووصلت رسالة خاصة بتغيير كلمة السر إلى بريد «مي دوت كوم» وغير القرصان الكلمة وحذف الرسالة فورا، ليستولي على حساب «مي دوت كوم» بشكل كامل. ووصلت بعد ذلك رسالة أخرى إلى العنوان نفسه، ولكنها رسالة خاصة بتغيير كلمة سر لحساب الصحافي في «جي ميل» الذي كان مربوطا بحساب «مي دوت كوم» في حال فقدان كلمة السر، ليغير القرصان كلمة سر بريد «جي ميل» ويستولي عليه في دقائق قليلة. واستولى القرصان بعد ذلك على حساب «تويتر» الخاص بالمستخدم، الذي كان مربوطا أصلا ببريد «جي ميل». واستخدم القرصان لاحقا خدمة «اعثر على هاتفي» الخاصة ب«آي كلاود» لحذف محتوى هاتف الصحافي. وحذف محتوى «آي باد» الخاص بالمستخدم بعد دقيقة واحدة بالطريقة نفسها، ومن ثم محتوى كومبيوتره من خلال خدمة «اعثر على كومبيوتري» بعد 4 دقائق فقط، ليحذف بعدها حساب «جي ميل»، ويضيف القرصان رسالة بعد دقيقتين في حساب «تويتر» الخاص بالمستخدم يخبر الجميع من خلالها أنه استولى على حساب المستخدم بالكامل. وصعق الصحافي لدى معرفته أنه لم يعد قادرا على استخدام كومبيوتره واستعادة السيطرة عليه وإرجاع ملفاته، وخصوصا أنه قد خسر جميع صور الأعوام الأولى لأطفاله، وصور أقاربه الذين توفوا. ولكن الصدمة الكبرى كانت لدى معرفته أن جميع ما تم لم يمكن بهدف حذف بياناته أو الوصول إلى رسائل بريده الإلكتروني مع كبار الشخصيات التقنية خلال سنوات عمله، وإنما لأن اسم حسابه في «تويتر» كان يتكون من 3 أحرف فقط، الأمر الذي أثار اهتمام القراصنة ورغبتهم في الحصول عليه، مع حذف بيانات الكومبيوتر والهاتف و«آي باد» لضمان عدم قدرة الصحافي على الدخول إلى حسابه بعد التحدث مع قسم الدعم الفني. * تحقيقات بسيطة وذكية * واستطاع الصحافي التواصل مع القرصان من خلال إنشاء حساب «تويتر» جديد وإضافة حسابه السابق والاتصال به هناك، ومن ثم عبر البريد الإلكتروني وخدمات الدردشة الفورية. وتفاخر القرصان بعمله وأخبر المستخدم عن آلية عمله شريطة عدم اتخاذ إجراءات قانونية ضده. وعلم الصحافي أن القرصان كان يحتاج إلى عنوان صندوق البريد الورقي الخاص بالصحافي وآخر 4 أرقام من بطاقته الائتمانية للإجابة عن أسئلة قسم الدعم الفني الخاص ب«أبل»، ذلك بهدف إرسال الشركة رسالة بريد إلكتروني لتغيير كلمة السر. وبدأت العملية بتصفح صفحة «تويتر» الخاصة بالصحافي والعثور على رابط يأخذ القرصان إلى الموقع الكامل الخاص بالمستخدم، الذي يحتوي بدوره على عنوان بريد «جي ميل» للتواصل معه. وجرب القرصان ربط حساب «جي ميل» ب«تويتر» نظريا وذهب إلى بريد «جي ميل» وتعرف إلى آلية تغيير كلمة السر هناك، التي تعرض عنوان بريد ثانيا للمستخدم يتم إرسال رسالة تغيير كلمة السر إليه، ولكن «غوغل» لا تعرض العنوان الكامل للبريد الثاني للمستخدم، ولكنه كان واضحا جدا للقرصان، إذ إنه يتكون من أول حرف من اسم الصحافي واسم عائلته، وهو بريد خاص بخدمة «مي دوت دوم». وأصبح هدف القرصان هنا الوصول إلى بريد «مي دوت كوم»، الذي يتطلب عنوان صندوق البريد الورقي الخاص بالصحافي وآخر 4 أرقام من بطاقته الائتمانية للإجابة عن أسئلة قسم الدعم الفني للخدمة. وذهب القرصان إلى موقع «هو إز دوت كوم» WhoIs.com الذي يمكن من خلاله كتابة اسم أي موقع إلكتروني، لتعرض الخدمة معلومات التسجيل الخاصة بصاحب الموقع، ومن ضمنها عنوان صندوق البريد الورقي. وتجدر الإشارة إلى أنه في حال لم يمكن لدى المستخدم موقع إلكتروني، فبإمكان أي شخص معرفة العنوان البريد الورقي الخاص بأي شخص في الولاياتالمتحدة الأميركية بإدخال اسمه في مواقع «سبوكيو» Spokeo أو «وايت بيجز» WhitePages أو «بيبل سمارت» PeopleSmart المجانية. وتوجه القرصان بعد ذلك إلى متجر «أمازون» Amazon الإلكتروني للحصول على آخر 4 أرقام من البطاقة الائتمانية الخاصة بالمستخدم، واتصل بقسم الدعم الفني ل«أمازون»، وأخبرهم بأنه هو صاحب الحساب ويريد إضافة بطاقة ائتمانية جديدة (توجد كثير من المواقع التي تقدم أرقام بطاقات ائتمانية مزورة). وطلب قسم الدعم الفني اسم صاحب الحساب وعنوان بريد إلكتروني مربوط بالحساب وعنوان صندوق البريد الورقي، وهي بيانات استطاع القرصان الحصول عليها بالطرق المذكورة. ووافق «أمازون» على إضافة البطاقة الجديدة بعد التأكد من صحة البيانات. وتحدث القرصان مرة أخرى مع قسم الدعم الفني ل«أمازون» وأخبرهم بأنه لا يستطيع الدخول إلى حسابه، ليطلبوا منه اسم المستخدم وعنوان صندوق البريد الورقي ورقم البطاقة الائتمانية (التي أضافها قبل قليل)، ليضيف قسم الدعم الفني عنوان بريد جديدا إلى الحساب يمكن الدخول من خلاله إلى الحساب وطلب تغيير كلمة السر من خلال رسالة بريد إلكتروني ترسل إلى العنوان الجديد، وبالتالي الدخول إلى حساب «أمازون» ومعاينة آخر 4 أرقام للبطاقات الائتمانية المربوطة بذلك الحساب. وتجدر الإشارة إلى أنه بالإمكان الحصول على آخر 4 أرقام باستخدام طرق أخرى، مثل طلبيات توصيل الطعام إلى المنزل التي تحتاج إلى رقم بطاقة ائتمانية، أو من خلال أي موظف دعم فني يعمل في مصرف أو متجر يتعامل مع شكاوى البطاقات الائتمانية. * آليات أمنية ضعيفة * ومن الواضح أن آخر 4 خانات من رقم بطاقة الائتمان التي يعرضها موقع «أمازون» هي محور التأكد من هوية مستخدمي خدمات «أبل». ويعتبر الصحافي محظوظا أن خسارته كانت فقط بفقدان الصور والملفات الشخصية وحسابه في «تويتر»، إذ كان بإمكان القراصنة استخدام بياناته الرقمية للدخول إلى الخدمات الإلكترونية للمصارف أو الخدمات الإلكترونية لشركات الوسطاء وسماسرة الأسهم وإلحاق الخسائر المادية المهولة، أو التواصل مع الأفراد في دفتر عناوين المستخدم للحصول على المزيد من البيانات الخاصة بهم واختراق حساباتهم، أو حتى طلب تحويل مبالغ مالية منهم بعد إخبارهم بوقوعه في حالة طوارئ أثناء السفر، وغير ذلك. ويلوم الصحافي نفسه لأنه لم يتخذ جميع الإجراءات الأمنية الممكنة، مثل عدم ربط حسابات الخدمات ببريده الشخصي وحساب «تويتر»، وعدم إضافة المزيد من الخطوات الأمنية الممكنة لبريد «جي ميل»، وعدم استخدام أسماء مختلفة لعناوين البريد الإلكتروني الخاصة به، وعدم حفظ نسخ احتياطية من ملفاته الشخصية وملفات العمل. ولكنه يلوم نفسه بشكل كبير لاستخدامه خدمة «اعثر على كومبيوتري» التي طلبها من دون تفكير عملي. الأمر الآخر المزعج هو الآلية المستخدمة في خدمة حذف بيانات الكومبيوتر الشخصي من بعيد، والتي تعرض أمام المستخدم رقما مكونا من 4 خانات لإلغاء العملية لاحقا واسترجاع البيانات، الأمر غير العملي في هذه الحالة، إذ إن الرقم السري المذكور سيظهر أمام القرصان وليس صاحب الجهاز، ليفقد هذا الجزء من الخدمة معناه. أضف إلى ذلك أنه لا توجد آلية متعددة المستويات لطلب تأكيد الحذف من خلال رسالة ترسل لعنوان بريد آخر، الأمر الذي كان قد يوقف القرصان في عمليته. ومن الواضح أن ما بدأت به «أبل» بطلب إنشاء حساب لديها لشراء الأغاني لقاء 99 سنتا قد تطور ليصبح نظاما متكاملا يرتبط بالهواتف الذكية والأجهزة اللوحية والكومبيوترات الشخصية، ولا يحتاج إلى الكثير من المراوغة لاختراقه، الذي يهدد نظام الهوية الرقمية الخاصة ب«أبل» ويضعف الثقة بالخدمات السحابية المقبلة، وخصوصا نظام التشغيل «ويندوز 8» ومجموعة «مايكروسوفت أوفيس 2013»، التي تعتمد على الخدمات السحابية بشكل مدمج ومتكامل. أضف إلى ذلك الخدمات السحابية المتعددة ل«غوغل» ونظام تشغيلها السحابي «كروم» وتوجه شركات صناعة الألعاب إلى نشرها عبر أجهزة خادمة سحابية يمكن الاتصال بها من أي كومبيوتر في العالم (مثل «غايكاي» GaiKai و«أونلايف» OnLive)، فإن الآليات المختلفة للتأكد من الهوية الرقمية لهذه الخدمات تهدد المستخدمين، حتى التقنيين منهم. * فيروسات المعلومات الشخصية * ومن الممكن للقراصنة ربط معلومات تشبه تلك المذكورة في قصة الصحافي مع فيروسات ضارة، أو استفادتهم من الفيروسات للحصول على المعلومات الشخصية للمستخدمين، مثل فيروس «غاوس» Gauss الذي ضرب مصارف منطقة الشرق الأوسط في وقت لاحق من شهر أغسطس (آب) الحالي، الذي يستطيع التجسس على العمليات المصرفية والحصول على اسم المستخدم وكلمة السر الخاصة به والكثير من المعلومات الشخصية الأخرى، بالإضافة إلى قدرته على مهاجمة البنية التحتية المصرفية، التي يعتقد أنها من صُنع الجهة نفسها التي طورت دودة «ستوكس نت» Stuxnet التي هاجمت المفاعلات النووية الإيرانية في عام 2010. ويعتقد أن «غاوس» مرتبط أيضا بأدوات «فلايم» Flame (تعرف أيضا باسم «سكاي وايبر» SkyWiper) و«دوكو» Duqu التجسسية التي أصابت كثيرا من الكومبيوترات مؤخرا، وفقا لشركة «كاسبر سكاي» المتخصصة في الأمن الرقمي، وهي أدوات متطورة جدا تصل لمستويات التمويل الحكومي لعمليات التجسس الرقمي، وخصوصا على الحسابات التي يشتبه في أنها مرتبطة بإرهابيين. ويمكن لهذه الأدوات الانتقال بين الأجهزة عبر الإنترنت أو الشبكات المحلية، أو حتى من خلال وحدات الذاكرة المحمولة «يو إس بي»، وتستطيع تسجيل جميع ما يكتب على لوحة المفاتيح والمعلومات الصادرة والواردة، وتسجيل محادثات «سكايب» وحتى التقاط صور لما يحدث على الشاشة، ومن ثم إرسال هذه البيانات إلى أجهزة خادمة متفرقة في العالم، وانتظار المزيد من الأوامر التي تصلها عبر الإنترنت. الشرق الاوسط
