القائمة الرئيسية

الصفحات

حقيقة دمج الملفات الضارة مع الصور وملفات الوسائط والملفات الأخرى

 لكي لا يتم مشاركة معلومات خاطئة في سبيل التهويل، تتعدد الأقوال وتتضارب حول إمكانية أن يكون ملف txt أو mp3 أو mp4 أو jpg وغيرهم ملفات ضارة، أو تحتوي على أكواد ضارة قابلة للتنفيذ، فهناك من يقول أن هذا ضرب من الخيال ومن الأساطير المتداولة وهناك من يقول أنّ هذا ممكن، وهناك من يجزم أنه تم اختراقه بسبب ملف mp3 أو صورة jpg، هناك الكثير من المغالطات الشائعة حول هذا الموضوع وهناك الكثير من التهويل، دعونا نناقش هذا الموضوع بشكل علمي ومنطقي بعيداً عن المغالطات والمزايدات.

حقيقة دمج الملفات الضارة مع الصور وملفات الوسائط والملفات الأخرى



دعونا نتفق في البداية أن جميع ملفات MS Office قد تحتوي على أكواد ضارة مثلما رأينا في القسم الثاني، وملفات الـ pdf أيضاً، وهي الأكثر خطورة بعد الملفات التنفيذية exe والبرامج التي لها الصيغ bat, cmd, vbe, vbs, msi, msp, com وملفات مكاتب الربط dll وملفات محرر سجل النظام reg.
    
أما بالنسبة لملفات الـ txt فهناك إجماع أنها آمنة في حال أن الصيغة كانت فعلياً txt وليست صيغة مزورة مثلما قد رأينا سابقاً فقد تكون صيغة الملف filename.txt.exe فهذا يعني أنه ملف exe فعلياً وليس txt ولا يمكن اعتباره ملف txt.
    
أما بالنسبة للصور (بمختلف صيغها) فوفقاً لعدد من التقارير فإنه من الممكن أن تحتوي على أكواد صغيرة جداً على مستوى الرأس من الملف ويتم تنفيذها مباشرة على مستوى الذاكرة مهمتها بأن تقوم بإسقاط (drop) (تحميل) ملفات أخرى (أي برامج ضارة) وتفعيلها بالجهاز (هذه التقنية عادة ما يقوم باتباعها منظمات الاختراق، أو باحثون أمنيون من الطراز الرفيع، وليست أمور سهلة يمكن القيام بها) ، هذا ناهيك أنه ظهرت عدة أدوات في GitHub تسمح بدمج الملفات الـضارة مع الصور من نوع BMP وأتيحت للعموم.

      
    
أما بالنسبة لملفات الوسائط mp3 أو mp4 أو wav وغيرها، بشكل عام هي آمنة نسبياً، ولكن قد تحدث تجاوزات كما هو الحال دائماً، فملفات الوسائط هي ملفات مرئية تحتاج إلى برنامج وسيط كي يفتحها، وهنا تكمن الخطورة حيث عادة ما يتم اكتشاف ثغرة في برنامج لتشغيل الوسائط وليكن مثلاً VLC أو Windows media player هذه الثغرات والتي غالباً هي من ثغرات الطفح (Buffer overflow) تسمح للجهة المكتشفة للثغرة بزرع كود برمجي في أحد ملفات الوسائط يتم تنفيذه داخل البرنامج المكتشف فيه ثغرة الطفح حصراً، أي يجب كي يحصل التنفيذ للكود البرمجي الضار أو الاختراق أن يكون للضحية ملف صوتي أو فيديو فيه أكواد برمجية ضارة ويتم فتحه داخل برنامج فيه ثغرة الطفح، ماذا يعني ذلك؟ فلنفترض أن جهة معينة اكتشفت ثغرة طفح في برنامج VLC (على سبيل المثال) فتقوم بنشر ملف صوتي mp3 بشكل مهول عبر البريد في حملات تصيد ضخمة أو عبر ملفات التورنت أو مواقع التحميل إلخ.

 

وعندما تقوم الجماهير بتحميله فإن من سيفتح منهم ذلك الملف ببرنامج الـ VLC فإنه سوف يتم تنفيذ أكواد برمجية ضارة داخل البرنامج من شأنها أن تؤدي إلى اختراق جهازه أو تحميل برامج ضارة أخرى، هذه حادثة حقيقية وقعت الكثير من المرات وآخرها مع برنامج VLC سابقاً في سنة 2019، حيث تمكن مجموعة من المخترقون من اكتشاف ثغرة طفح (Buffer overflow) تمكنهم من إضافة أكواد ضارة في الملفات من نوع mkv و avi  وعندما يفتح الضحايا الملفات باستعمال الـ VLC سيحدث تنفيذ النص البرمجي الخبيث والذي سيؤدي إلى الاختراق.

 

 النوع هذا من الثغرات على مستوى الصيغ والبرامج نادر الحدوث نسبياً ولكنه قائم وغالباً ما تقوم به الدول ومنظمات الاختراقات ونادراً جداً ما يكون على المستوى الفردي، وإذا اكتشفت شركات الحماية أو الشركة المصنعة للبرنامج الذي حدثت فيه الثغرة فإنها ستحذر المستخدمين وتقوم بترقيع الثغرة وإضافة تحديث أمني لبرنامجها وحثّ المستعملين على تحميله.

 

 ولكن السؤال المطروح هو: ما هي الفترة الزمنية منذ اكتشاف الثغرة من قبل المخترقين وبدء استغلالهم لها إلى الوقت الذي اكتشفت فيه الشركة أن هناك خللاً برمجياً في برنامجها وقامت بتحديثه؟ الجواب قد تكون هذه الفترة أيام وقد تكون أسابيع أو شهور أو سنين، وعدد المصابين قد يكون قليل جداً وقد يكون بالمئات أو الآلاف، وهذا دائماً يعتمد على الجهة المكتشفة للثغرة ومدى استعمالها لها، فمثلاً قامت جهة ما باستعمال مفرط للثغرة ونشر الملف الذي يعتمد على الثغرة بشكل كبير فإن إمكانية اكتشافها ستكون كبيرة جداً.

 

 أمّا لو قامت تلك الجهة باستخدامه بشكل منظم ومقنن ضد خصومها في أوقات معينة فإن إمكانية اكتشاف الثغرة صغيرة جداً، وبين كل ما سبق يقول الكثيرون من خبراء الحماية من يدري فربما هناك جهات تقوم باستغلال ثغرات غير مكتشفة وتهاجم فيها المستخدمين ولا أحد يعرف ذلك.    
            
الخلاصة: 

كما قلنا إن المخاطر متنوعة ومتعددة ومتجددة ولا يمكن لنا كمستخدمين عاديين أن نواكب كل تلك الثغرات يوماً بيوم، وكما قلنا فإن المخاطر السابقة التي رأيناها قليلة ونادرة وبسبب ندرتها تحتفظ بها منظمات الاختراق لنفسها للمهاجمة في أوقات محدّدة ضد خصوم محددة، ويجب على المستخدم أن لا يصاب بالـ Cyberphobia (رهاب - مرض نفسي يصيب الأشخاص ويعتقدون أنه يتم التجسس عليهم عبر البرامج الضارة ومنظمات الاختراق)، لذلك يجب الموازنة بين الحذر والخوف المفرط، ويفضل بشكل عام عدم فتح تلك الملفات التي تأتي عبر البريد من قبل المجهولون أو التي يتم تداولها عبر منصات التواصل الاجتماعي ومجموعات الواتس اب والتيليجرام إلخ.
"مقتبس من كتاب يتم تأليف الآن"
شارك الموضوع مع أصدقائك ...
By #JokanderX
Sarra Al Homsi

تعليقات