- بواسطة x32x01 ||
ربما تذكرون الأسبوع الماضى حينما تم اختراق شركة نيفيديا المصنعة لكروت الشاشة وتسريب بيانتها من قبل فريق Lapsus، حيث تم اختراق أكثر من 1 تيرابايت من المعلومات والأكواد البرمجية.
من بين تلك الأكواد والملفات المسروقة أكواد (صناعة / توقيع) الشهائد الأمنية (signing certificates) التي تستعملها نيفيديا لتوثيق برامجها ...
ماذا يعني ذلك ؟
لتبسيط الأمر لكي لا تقوم برامج الحماية بفحص أو تعطيل بعض البرامج تقوم بداية بفحص هل البرنامج له شهادة أمنية معروفة ؟ فإذا كان نعم فإن برامج الحماية لن تتعرض له ولن تفحصه حفاظاً على موارد وأداء الجهاز ولعدة أسباب أخرى
تلك الشهائد تعني أن ذلك البرنامج موثوق وتمت برمجته وصناعته من شركة معروفة ... مثل الشركات الكبرى Microsoft و Adobe و Epson و HP و Dell إلخ ... جميع تلك الشركات الكبرى برامجها بشكل عام لا يتم فحصها أو التعرض لها من قبل ويندوز أو برامج الحماية.
تلك البرامج تتعامل مع الـ Kernel لتثبيت التعريفات، لذلك ويندوز تمنع بشكل افتراضي أي برنامج من الوصول إلى النواة حفاظاً على أمان المستخدم ما لم يكن له شهادة أمنية من شركة موثوقة من ويندوز، وفور محاولة أي برنامج (عادي أو ضار) الوصول إلى النواة سوف يبعث ويندوز إلى المستخدم رسالة حمراء مخيفة تخبره أن لا يوافق على تثبيت ذلك البرامج لأنه باحتمال كبير هو برنامج ضار.
لماذا كل هذا ؟ ولماذا ويندوز تمنع وبشدة من الوصول إلى الـ Kernel ؟
للتبسيط في ويندوز يوجد شيئان شيء اسمه User mode وتعمل فيه كل البرامج والخدمات التي في الخلفية بلا استثناء وكل تلك البرامج لها ذاكرة خاصة لا يستطيع أي برنامج أو طرف ثالث الوصول إلى تلك الذواكر، وبمجرد حدوث خلل في أي تلك البرامج ينهار ذلك البرنامج لوحده ويمكن إيقافه، ذلك الشيء User mode أو وضع المستخدم يوجد فيه أيضاً كل المستخدمين بمختلف أنواعهم User و Admin و System وصلاحياتهم...
أما الوضع الثاني الـ Kernel Mode أو وضع النواة فتعمل فيه بعض الأشياء فقط ككرت الشاشة أو كرت الصوت والشبكة إلخ إضافة إلى بعض البرامج الحيوية للنظام والتي لا يمكن المساس بها، كل تلك الخدمات والبرامج تتشارك في الذاكرة وبمجرد حدوث أي خلل بسيط في أحدها ستنهار معه كل البرامج والأشياء الأخرى وينهار معها النظام ويندوز أيضاً ويؤدي إلى ما يسمى BSOD شاشة الموت الزرقاء (Blue Screen of Death) والتي قد تحل بعمل Restart للجهاز أو قد تحل باتخاذ بعض خطوات الإصلاح أو قد لا تحل إلا بحذف الويندوز القديم بشكل كامل وتثبيت واحد جديد ... لذلك هذه المنطقة محمية بشكل كبير من قبل ويندوز.
وبما إن الكرنل وما فيها من برامج وخدمات يتم تحميلها في وضع الإقلاع (Boot) أي قبل كل شيء وقبل برامج الويندوز الأساسية، فإن كل ما يتم تشغيله هناك لن يراه المستخدم في الـ Task manger مثلاً ولن تستطيع أكثر البرامج والخدمات رؤيته ... وسيظل يعمل في الخلفية ولن يراه المستخدم وويندوز وبرامج الحماية ...
كل هذه المقدمة للوصول إلى هذه النقطة وهي أن البرنامج الضار لو وصل إلى النواة لن يصبح اسمه Virus أو Malware أو ... بل سيصبح اسمه Rootkit وله صلاحيات غير محدودة بالمعنى الحرفي على الجهاز المستضيف (حتى حذف ويندوز أو تخريبه) وسيصبح ذلك البرنامج الضار سواء أكان للتجسس أو التعدين أو أي هدف آخر صعب الحذف أو شبه مستحيل الحذف سواء أكان ذلك بشكل يدوي أو بالاستعانة ببرنامج حماية، أضف إلى ذلك أنه كما ذكرنا سيعمل في وضع الكرنل ولن يراه المستخدم ... ولزيادة الأمر سوءاً أثناء حذف ذلك البرنامج الذي في الكرنل فقد يحدث خطأ غير متوقع يؤدي إلى انهيار ويندوز ويؤدي إلى BSOD سواء بشكل مؤقت لمرة واحدة أو بشكل دائم ...
وقد تم الاكتشاف في الأيام القليلة السابقة عن عدة فيروسات وأحصنة طروادة وبرامج تجسس وبرامج فدية بمختلف أنواعها مثل تلك المصنعة بريمكوس وكوبالت سترايك وميتاسبلويت وغيرهم لها شهادة أمنية من نيفيديا مثلما هو مبين في الصورة المرافقة في التعليق الأول، وحسب معرفتي هذه أول مرة تحدث فيها حادثة كهذه إختراق إحدى الشركات الرائدة والضخمة والموثوقة من ويندوز وسرقة الأكواد المصنعة للشهائد الأمنية.
ما هو الأمر السيء ؟
فقط تقوم بتحميل برنامج ما من موقع معين وما هو إلا برنامج فدية أو تجسس سيقوم المتصفح بالسماح له بالتحميل دون حظره لأن له شهادة أمنية من نيفيديا، ثم سيقوم ويندوز ديفندر بالسماح له بالحفظ على الجهاز، ثم ويندوز ديفندر أو أي برنامج حماية آخر مثبت في الجهاز كمالويربايت أو كاسبرسكي سيسمحان له بالفتح وتنفيذ الأكواد التي فيه بدون أي اعتراض أو إشعار أو حظر، ثم سيقوم ذلك البرنامج الضار بالوصول إلى الكرنل ولن يصبح أي شيء قادر على وقفه أو حذفه أو رؤيته ... حلم كل هاكر أو كاتب للبرامج الضارة.
وإلى الآن غير معروف إذا كان فريق Lapsus المخترق هو وراء تلك البرامج الضارة، أم قاموا بنشر الأكواد المصنعة للشهائد لأطراف أخرى...
ومن المتوقع أن الأمور لن تكون فوضوية لهذه الدرجة، فمن المتوقع في الأيام المقبلة سيتم تحديث قواعد بيانات ويندوز ديفندر وبرامج الحماية الأخرى وعدم السماح للبرامج التي لها شهائد أمنية جديدة من نيفيديا بالتنفيذ باستثناء تلك التي لها شهائد أمنية قديمة، وسيتم الفرز مستقبلاً هكذا، إلى حين الوصول إلى حل آخر... وفي الاثناء وحتى صدور التحديثات وحتى قيام المستخدم بقبول التحديثات وتثبيتها قد يتم اختراق عدد ضخم من الأجهزة.
من بين تلك الأكواد والملفات المسروقة أكواد (صناعة / توقيع) الشهائد الأمنية (signing certificates) التي تستعملها نيفيديا لتوثيق برامجها ...
ماذا يعني ذلك ؟
لتبسيط الأمر لكي لا تقوم برامج الحماية بفحص أو تعطيل بعض البرامج تقوم بداية بفحص هل البرنامج له شهادة أمنية معروفة ؟ فإذا كان نعم فإن برامج الحماية لن تتعرض له ولن تفحصه حفاظاً على موارد وأداء الجهاز ولعدة أسباب أخرى
تلك الشهائد تعني أن ذلك البرنامج موثوق وتمت برمجته وصناعته من شركة معروفة ... مثل الشركات الكبرى Microsoft و Adobe و Epson و HP و Dell إلخ ... جميع تلك الشركات الكبرى برامجها بشكل عام لا يتم فحصها أو التعرض لها من قبل ويندوز أو برامج الحماية.
تلك البرامج تتعامل مع الـ Kernel لتثبيت التعريفات، لذلك ويندوز تمنع بشكل افتراضي أي برنامج من الوصول إلى النواة حفاظاً على أمان المستخدم ما لم يكن له شهادة أمنية من شركة موثوقة من ويندوز، وفور محاولة أي برنامج (عادي أو ضار) الوصول إلى النواة سوف يبعث ويندوز إلى المستخدم رسالة حمراء مخيفة تخبره أن لا يوافق على تثبيت ذلك البرامج لأنه باحتمال كبير هو برنامج ضار.
لماذا كل هذا ؟ ولماذا ويندوز تمنع وبشدة من الوصول إلى الـ Kernel ؟
للتبسيط في ويندوز يوجد شيئان شيء اسمه User mode وتعمل فيه كل البرامج والخدمات التي في الخلفية بلا استثناء وكل تلك البرامج لها ذاكرة خاصة لا يستطيع أي برنامج أو طرف ثالث الوصول إلى تلك الذواكر، وبمجرد حدوث خلل في أي تلك البرامج ينهار ذلك البرنامج لوحده ويمكن إيقافه، ذلك الشيء User mode أو وضع المستخدم يوجد فيه أيضاً كل المستخدمين بمختلف أنواعهم User و Admin و System وصلاحياتهم...
أما الوضع الثاني الـ Kernel Mode أو وضع النواة فتعمل فيه بعض الأشياء فقط ككرت الشاشة أو كرت الصوت والشبكة إلخ إضافة إلى بعض البرامج الحيوية للنظام والتي لا يمكن المساس بها، كل تلك الخدمات والبرامج تتشارك في الذاكرة وبمجرد حدوث أي خلل بسيط في أحدها ستنهار معه كل البرامج والأشياء الأخرى وينهار معها النظام ويندوز أيضاً ويؤدي إلى ما يسمى BSOD شاشة الموت الزرقاء (Blue Screen of Death) والتي قد تحل بعمل Restart للجهاز أو قد تحل باتخاذ بعض خطوات الإصلاح أو قد لا تحل إلا بحذف الويندوز القديم بشكل كامل وتثبيت واحد جديد ... لذلك هذه المنطقة محمية بشكل كبير من قبل ويندوز.
وبما إن الكرنل وما فيها من برامج وخدمات يتم تحميلها في وضع الإقلاع (Boot) أي قبل كل شيء وقبل برامج الويندوز الأساسية، فإن كل ما يتم تشغيله هناك لن يراه المستخدم في الـ Task manger مثلاً ولن تستطيع أكثر البرامج والخدمات رؤيته ... وسيظل يعمل في الخلفية ولن يراه المستخدم وويندوز وبرامج الحماية ...
كل هذه المقدمة للوصول إلى هذه النقطة وهي أن البرنامج الضار لو وصل إلى النواة لن يصبح اسمه Virus أو Malware أو ... بل سيصبح اسمه Rootkit وله صلاحيات غير محدودة بالمعنى الحرفي على الجهاز المستضيف (حتى حذف ويندوز أو تخريبه) وسيصبح ذلك البرنامج الضار سواء أكان للتجسس أو التعدين أو أي هدف آخر صعب الحذف أو شبه مستحيل الحذف سواء أكان ذلك بشكل يدوي أو بالاستعانة ببرنامج حماية، أضف إلى ذلك أنه كما ذكرنا سيعمل في وضع الكرنل ولن يراه المستخدم ... ولزيادة الأمر سوءاً أثناء حذف ذلك البرنامج الذي في الكرنل فقد يحدث خطأ غير متوقع يؤدي إلى انهيار ويندوز ويؤدي إلى BSOD سواء بشكل مؤقت لمرة واحدة أو بشكل دائم ...
وقد تم الاكتشاف في الأيام القليلة السابقة عن عدة فيروسات وأحصنة طروادة وبرامج تجسس وبرامج فدية بمختلف أنواعها مثل تلك المصنعة بريمكوس وكوبالت سترايك وميتاسبلويت وغيرهم لها شهادة أمنية من نيفيديا مثلما هو مبين في الصورة المرافقة في التعليق الأول، وحسب معرفتي هذه أول مرة تحدث فيها حادثة كهذه إختراق إحدى الشركات الرائدة والضخمة والموثوقة من ويندوز وسرقة الأكواد المصنعة للشهائد الأمنية.
ما هو الأمر السيء ؟
فقط تقوم بتحميل برنامج ما من موقع معين وما هو إلا برنامج فدية أو تجسس سيقوم المتصفح بالسماح له بالتحميل دون حظره لأن له شهادة أمنية من نيفيديا، ثم سيقوم ويندوز ديفندر بالسماح له بالحفظ على الجهاز، ثم ويندوز ديفندر أو أي برنامج حماية آخر مثبت في الجهاز كمالويربايت أو كاسبرسكي سيسمحان له بالفتح وتنفيذ الأكواد التي فيه بدون أي اعتراض أو إشعار أو حظر، ثم سيقوم ذلك البرنامج الضار بالوصول إلى الكرنل ولن يصبح أي شيء قادر على وقفه أو حذفه أو رؤيته ... حلم كل هاكر أو كاتب للبرامج الضارة.
وإلى الآن غير معروف إذا كان فريق Lapsus المخترق هو وراء تلك البرامج الضارة، أم قاموا بنشر الأكواد المصنعة للشهائد لأطراف أخرى...
ومن المتوقع أن الأمور لن تكون فوضوية لهذه الدرجة، فمن المتوقع في الأيام المقبلة سيتم تحديث قواعد بيانات ويندوز ديفندر وبرامج الحماية الأخرى وعدم السماح للبرامج التي لها شهائد أمنية جديدة من نيفيديا بالتنفيذ باستثناء تلك التي لها شهائد أمنية قديمة، وسيتم الفرز مستقبلاً هكذا، إلى حين الوصول إلى حل آخر... وفي الاثناء وحتى صدور التحديثات وحتى قيام المستخدم بقبول التحديثات وتثبيتها قد يتم اختراق عدد ضخم من الأجهزة.