كيف تحمي نفسك من التروجان ؟

: الكاتب أخرى () - 21/04/2012 - (11) المشاركات

تقول الأسطورة ان نظام Mac OS X لا يصاب بالفايروسات ، نعم Mac لا يصاب بالفايروسات ! ولكن ماذا يحدث الآن في الساحة من إنتشار الكثير من الأخبار التي تتحدث عن إصابة نظام Mac OS X هي ليست فايروسات بل تروجان Trojan هناك مشكلة حقيقية في المدونات و وسائل الإعلام العربية  دائماً الناقل للخبر يكون شخص لا يفقه شيء في المجال التقني ويتحدث على أنه خبير وهو في الأصل ليس الإ مترجم  كمترجمين القناة الخشبية يأخذ الخبر من مصادر متنوعة ويضع عليه القليل من الأكشن لغرض الإنتشار و ليس للتحذير و الفائدة كمثال العربية نت هكذا تصيغ الخبر !

قبل البداية في الحديث عن كيفية الحماية و ما هي الميزات التي تجعل من Mac OS X نظام قوي قادر على التصدي لتلك التروجانات بدون برامج الحماية عكس النظام العقيم Windows ، سوف نوضح تعريف كلمة فايروس و تروجان لان البعض بدا يخلط بينها وكأنهما كلمة واحده أو شيء واحد وهذا للأسف يعود للثقافة الميكروسفتيه المرتبطة بالمستخدم العربي !

الفايروس : هو برنامج ضار مصمم لإحداث أضرار في نظام التشغيل والتحكم الكامل في ملفات النظام و التعديل عليها و تعطيل النظام بشكل كامل اي إعاقته عن العمل وهذا الشيء لا يمكن حصوله في Mac OS X و الأنظمة الشبيهة اليونكس Unix-Like لانها تتطلب صلاحيات Root إلا في حالة إستطاع اكتشاف ثغرة في (نواة النظام) وهذا الشيء شبه مستحيل لأن الترقيع يكون سريع لمثل هذا النوع من الثغرات !

التروجان : فهو ليس إلا فتح باب خلفي في النظام بغرض سرقة بعض البيانات من الجهاز وهو مصمم للإتصال بسيرفر خارجي عبر الإنترنت ،  ولا يستطيع إحداث أي ضرر في نظام Mac OS X ، وفي حالة إكتشافه يمكن إيقافة وحذفة بكل سهولة ولن يكون ذو فائدة في حالة تعطل السيرفر الذي يستخدمه لتلقي الأوامر و إرسال البيانات سواءًاً من مزود الخدمة أو بعض الشركات التي تقدم خدمات DNS عندما تقوم بعمل فلتره لتك السيرفرات .

السؤال هنا كيف يصيب التروجان نظام Mac OS X ؟

هناك طريقتين :

الطريقة الأولى :

انت تقوم بتثبيته في جهازك ، نعم تقوم بتثبيتها لانك ببساطة -لا تعلم- أنه تروجان لكن كيف ؟!
على سبيل المثال، يقوم تروجان بخداعك وذلك بالظهور بمظهر تحديث للفلاش ويطلب منك تركيب هذا التحديث حتى تستطيع مشاهدة الفيديو مثل Fake Flash player

 و هناك بعض التروجانات تظهر بمظهر برنامج حماية وتطلب تركيبه، في هذه الحالة تأكد أنك مصاب وهي تتطلب تثبيته على الجهاز ثم شراءه حتى يحذفها وهو في الأصل يريد سرقة بيانات بطاقتك الائتمانية مثل Mac Defender

لكن كيف أكتشف أنها مجرد تروجانات تقوم بخداعي ، بالطبع قليلاً من الملاحظة سوف تشاهد غباء مصممين تلك التروجانات كمثال !

ملاحظة : Fake Flash player و Mac Defender أنهت آبل مسيرتها ولكن إنتبه قد تظهر مره آخرى بمظهر مختلف ولكن ثق مصممين التروجانات ليس لديهم خبرة كبيرة في الفوتوشوب ( نسخ المظهر الحقيقي ) و يمكنك ملاحظة أخطاءهم بسهولة !

الطريقة الثانية :

عبر إستغلال بعض الثغرات الموجودة في التطبيقات الطرف الثالث Third party وأشهر هذه التطبيقات هي Java Applet و Adobe Flash Player و Adobe Reader و  Microsoft Word  وهي تقوم بثبيت نفسها لكن كيف تقوم بذلك ؟

في Java Applet و Adobe Flash Player تصيبك في حالة زيارة الصفحة الملغمة التي تحوي كود إستغلال لتك الثغرة وتقوم بتثبيت نفسها و تختلف طريقة عملها بنوع الثغرة المكتشفة في Java Applet و Adobe Flash Player هذا النوع دائماً يكون في نطاق صلاحيات المستخدم User أي من النادر الوصول إلى بعض الملفات الحساسة في النظام والتعديل عليها بدون طلب صلاحيات إضافية وكمثال لهذا النوع من الإستغلال ( Flashback ) و  ( Sabpab ) .

أما بالنسبة لـ Adobe Reader و Microsoft Word دائماً تكون عبر تلغيم ملف PDF أو Doc بكود الإستغلال ويتم تنفيذ هذا الكود في حالة فتح Doc بإستخدام Microsoft Word ، كمثال هناك نوع آخر من تروجان Sabpab يستغل ثغرة في Word بالطبع لا يصيبك في حالة قمت بفتح ملف Doc بإستخدام Preview لان الثغرة موجودة فقط في Microsoft Word !

لكن المهم كيف أستطيع حماية نفسي ؟ لا تقم بثبيت Java Applet إذا لم يكون ضروري ولا تحتاجه ولو قام أحد البرامج باجبارك على تركيبه مثل Photoshop ( يتطلب تثبيت  Java Applet ) قم بتثبيته ثم تعطيلة من المتصفح و Java Preferences وهذا فيديو يشرح طريقة تعطيلها :

وبالنسبة Adobe Flash Player قم إيضاً بتعطيله هناك العديد من الإضافات التي تغنيك عن إستخدامه كإضافة ClickToFlash في Safari وأيضاً تشغيل الفيديوات في Youtube عن طريق HTML5 ، إذا كنت من مستخدمين Google Chrome فهناك بعض الأشياء الرائعة في المتصفح تجعلك تقوم بتعطيل الفلاش وتفعيل اجزاء معينة في الصفحة تقريباً مثل ClickToFlash بدون اي أضافات .

وهذا الفيديو يشرح وبشكل سريع إضافه ClickToFlash في متصفح Safari

وأيضاً هذا فيديو لشرح طريقة تفعيل خيار Click To Play في متصفح Google Chrome وتفعيل HTML5

اما بالنسبة Adobe Reader فالـ Mac OS X ليس Windows تستطيع أستعراض ملفات PDF عن طريق Preview وأيضاً يستطيع قراءة صيغ Microsoft Office دون الحاجة لتثبيتها ، لا توجد حاجة تثبيت Microsoft Word فهو لا يدعم العربية وتقف خلفه سلحفاه هي ميكروسفت !

هناك الكثير من البرامج كـ iWork و OpenOffice و LibreOffice وغيرها الكثير ( هنا مقالة سابقة تتحدث عن برامج معالجة النصوص للماك )

لكن هل هذا كل شيء ؟ بالطبع لا ! لنبدأ في الجزء الأهم وهو ( أنت ) و معرفة هيكلية النظام التي سوف تساعدك في إكتشاف اي مخاطر قد تصيبك مستقبلاً :

1- هل تستخدم آخر أصدار من نظام التشغيل ؟ لا يخفي على الكثير الجهد و الدعم الرائعة الذي تقوم به شركة Apple لحماية النظام وذلك بإضافة العديد من الإصلاحات الأمنية و طرق جديدة للتصدي للتهديدات المستقبلية كمثال OS X Lion يتفوق على OS X Snow Leopard بالعديد من الإضافات والإصلاحات الأمنية ، إذا كنت تستخدم OS X Snow Leopard أو OS X Leopard ننصحك بالترقية إلى OS X Lion مباشرة بدون تفكير !

ملاحظة : في وقت كتابة المقالة آخر اصدار لـ OS X هو OS X Lion في حالة صدور OS X Mountain Lion بشكل رسمي او أي إصدار احدث مستقبلاً قم بالترقية .

2- هل تقوم بعمل تحديث للنظام ، والتشييك بشكل يومي أو حتي أسبوعي على آخر التحديثات ؟ اذا كانت أجابتك بـ لا ؟ فيجب عليك الأهتمام و جعل خيار التذكير بالتحديث بشكل يومي وذلك بالذهاب إلى System Preferences ثم Software Update وجعل الخيار كما في الصورة  التالية :

3- هل تستخدم أحد الخدمات الخاصة بـ DNS كمثال OpenDNS ؟ إذا كنت لا تستخدمها فيفضل إستخدامها فهي تقدم لك فلتره من المواقع الضارة و تقوم بتعطيل السيرفرات التي تُستخدم لتنفيذ هجوم عليك أو حتى للإتصال بالتروجان الذي أصابك ، كمثال Flashback يقوم بالإتصال بسيرفر خارجي لإرسال بياناتك وتلقى تعليماته من مصممه، قامت آبل بالتعاون مع بعض مزودي الخدمات بإيقاف تلك السيرفرات ولكن ماذا عن مزودين خدمة الانترنت لدينا فالمتسخدم العربي اخر اهتمامهم للأسف ! لذا يفضل إستخدام OpenDNS سواءًاً إضافة إلى جهازك أو تعديل إعدادات الموديم لحماية شبكتك بشكل كامل ، بكل سهولة يمكنك أضافة وذلك بالذهاب الي  ثم System Preferences ومن ثم Network ثم إختيار الوسيلة المرتبط من خلالها بالإنترنت أنا أستخدام Wi-Fi لذا نقوم بالضغط على Wi-Fi ثم Advanced ومن ثم DNS والضغط على علامة + وأضافة Primary DNS server الأول ثم تكرر العملية لأضافة Secondary DNS server كما في الصورة التالية

208.67.222.222
208.67.220.220

ويمكن قراءة المزيد عن OpenDNS من خلال زيارة موقعهم وأيضاً لا تنسي قراءت هذه المقالة

4- هل قمت بتفعيل الجدار الناري (Firewall) ، يكون الجدار الناري في Mac OS X بشكل أفتراضي معطل ، لذا يجب عليك تفعيله بشكل يدوي وذلك بالذهاب الي علامة التفاحة بالأعلى و اختيار System Preferences ثم Security & Privacy ومن ثم Firewall واضغظ على القفل بالأسفل حتى يمكنك تفعيل الخيارات ثم أدخال الباسورد ومن ثم يمكنك تفعيله بالضغط على Start

وأيضاً يمكنك التحكم الكامل بـخيارات Firewall بالضغط على Advanced وسوف تظهر لديك قائمة البرامج التي تم السماح لها ويمكن تغير ذلك بالضغط عليها كمثال سوف نقوم بعدم السماح لـ  Java Prefernces  بالأتصال .

5- هل تستخدم الأنترنت بشكل كبير و تريد حماية أكبر من أي مخاطر مستقبلاً اذاً عليك إنشاء مستخدم جديد ذو صلاحيات محدودة و أستخدامه لتصفح الأنترنت سوف يوفر لك درجة كبيرة من الحماية ، نعلم جيداً أن من أحد أسباب قوة iOS هي في محدوديه الصلاحيات التي يملكها المستخدم لهذا لم نشاهد حتى الآن أي تروجان أصاب iOS بينما تجد عشرات التروجانات تصيب Android .

6- هل تظهر لك بعض الرسائل تطلب منك أدخال الباسورد حتي تقوم بتثبيت نفسها ؟ يجب عليك الأنتباه لا تكتب الباسورد الا البرامج التي تثق بها ويمكن ملاحظة صورة ايقونة البرنامج بجانب القفل .

7- عند تركيب بعض البرامج تطالبك بموافقة على أخذ بعض البيانات المخزنة في Keychain Access ( من لا يعرف Keychain Access فهو أحد الأدوات في Mac OS X للأحتفاظ بالبيانات الخاصة بك مثل الأرقام السرية و المفاتيح  و الشهادات و أيضاً يمكن أضافة بعض الملاحظات و اغلاقها برقم سري ) ، لا تقم بالموافقه إلا في البرامج التي تثق بها .

ويمكن التأكد اي البرامج التي تستخدم بياناتك عن طريق الذهاب إلى Applications ثم Utilities ثم Keychain Access سوف تجد الكثير من البيانات قم بالضغط على احدها كالبريد مثلاً

ثم الاتجاه الي Access Control سوف تشاهد البرامج التي تملك صلاحية في الحصول على بياناتك يمكن أزلتها بكل سهولة في حالة عدم الثقة بها

8 - هل تملك مصدر يزودك بآخر المعلومات عن التروجانات وطريقة حذفها ، بالطبع لا اقصد المواقع التقنية العربية ! أو ( العربية نت ) اللتي تتفلسف في الخبر وحتى لا تقدم أي فائدة تذكر ناهيك عن المغالطات وعدم توضيح طرق الحماية ، لذلك نعم أنت بحاجة إلى مصدر واليك هذا المصدر الرائع :

F-Secure – Threats – Virus and threat descriptions

يمكنك أيضاً عمل متابعة له عن طريق RSS ، المصدر يحتوي على جميع الأنظمة ويمكنك التمييز بينهم الخاص بـ Mac تكون OS X بالضغط على إسم التروجان سوف يزودك بمعلومات عن مكان التروجان في جهازك و كيفية الحذف .

متابعة المصدر السابق أفضل من متابعة بعض المواقع اللتي تقوم بنشر الذعر في قلوب المستخدمين ! وللعلم لا يمكن الإختباء في Mac OS X و هذي دلالة واضحة على هيكلية النظام فلن يستطيع أي تروجان العمل بدون Launchd نعم Launchd المسؤول عن تشغيل الخدمات والتطبيقات في النظام ، مهما حاول التروجان الإختباء فيمكن الوصول إلية عن طريق LaunchAgents في هذا المجلد تتوفر الخدمات التي تعمل بشكل مستمر او حسب الطلب في Mac ويمكن استعراض ملف Plist معرفة مصدر الملف التنفيذي في حالة الأصابة لنأخذ مثال بسيط التحديث التلقائي لـ Google Chrome

بكل سهولة استطعنا الوصول إلى الملف التنفيذي الذي يقوم بتحديث Google Chrome بشكل تلقائي :) , لو حذفنا ملف Plist لن يستطيع محدث Google Chrome التلقائي من العمل عندما نقوم بإعادة التشغيل .

لا يمكنك الإختباء عزيزي التروجان مني :) و لايمكنك تعطيل الملفات المخفية في Mac OS X فهو ليس Windows !  يمكنك إستعراض الملفات المخفية بكل سهولة ، لهذا عزيزي المتابع بالمصدر الذي وضعتة وقليلاً من المعرفة لن يستطيع أي تروجان مهما كان من إصابتك ، تأكد من التطبيقات التي تستخدمها في Mac OS X و أيها يستخدم LaunchAgents وفي حالة مشاهدة أي ملف غريب يمكنك فتحه و إكتشاف اي ملف تنفيذي يعمل و يمكنك إستخدام برنامج Lingon اذا كنت تكره التعامل مع الاكواد.

البرنامج متوفر في Mac App Store عبر هذا الرابط هنا

بالمناسبة لمن لا يعرف مسار ملف LaunchAgents

مجلد LaunchAgents الخاص بـ User على هذا المسار

~/Library/LaunchAgents/

و الخاص بـ Root على هذا المسار

/Library/LaunchAgents/

بإعتقادي هذه المعلومات حتى الآن كافيه ولن تكون آخر مقال بخصوص الحماية ولكن قبل الإنتهاء هناك سؤال مهم جداً

هل هناك اي فائدة من برامج الحماية ؟ 

برامج الحماية لا تقدم ولا تأخر فهي مجرد وسيلة لسرقتك لغرض حمايتك ، كمثال الدول العظمي عندما تقوم بنشر مرض معين ثم تبيع الدواء لكسب الكثير من المال ، بنفس النمط برامج الحماية ! فلو إنتشر Mac OS X بدون أي تهديد سوف تفلس الشركات المنتجة لبرامج الحماية الكل يعلم من يقف خلف بعض تلك التروجانات ! و نعلم جيداً كم هو سهل في هذا العصر شراء شهادة عاهرة للطعن في الشرف وتهويل الأمور !

Tweet

(معلومات الكاتب)

Wissen ist Macht
  1. ASD قال:

    الف شكر على الموضوع الرائع اللي كان محتاج توضيح من زمان وانا استفدت من هذه المعلومات.
    استمر

  2. الدحمي قال:

    مقال متعوب عليه..

    كل الشكر والتقدير..

  3. MAZENMM قال:

    المقال رائع ويصف الحقيقة بكل دقة ودون تحيز للرائع ماك.. كما ينم عن مقدرة الكاتب وغزارة المعلومات لديه.. ألف شكر

  4. الترا قال:

    شكراا

  5. Ayman قال:

    ماشاء الله عليك متعوب عليه المقال ورائع كتير ناس ماتعرف بهذا الحكي .. مشكور وايد

  6. iSkyFalConS قال:

    هذه الرسالة تظهر في موقع الجزيرة بعد حذف الفلاش من الكروم
    https://img.skitch.com/20120525-gnhpix99wy7jeh5uw64kcj5ah8.png
    أتمنا الفكرة وضحة

  7. adelnet10 قال:

    شـكــ وبارك الله فيك ـــرا لك … لك مني أجمل تحية .

  8. Kuwait قال:

    بسراحة انا عندي برنامج حماية وكل شي واخترق ايميلي في الهوتميل وموبايل مي رجعت الايميل عن طريق السؤال السري وبعد ١٠ دقائق تقريبا اخترق وهكذا انا معه الي ان استولي الايميل ولم اعد ارجاعه الي الان راسلت ابل بهذا الموضوع والي الان انتظر الرد منهم لا اعرف كيف استطاع معرفة كلمة السر لقد وضعت احرف وارقام كبتل وصمول ٢٠ حرف شيكت علي ازلت الايميل البديل ولم ينفع فعلت كل شي والي الان لا اعرف كيف استطاع معرفه كلمة السر والسوال السري الصعبين بسراحة انا محتار هل المخترق وضع باتش بالايميل او وضع ايميل مخفي او ماذا عندي برنامج حماية ومفعل الفايرول ورغم هذا سرق ايميلي الامر غريب فعلا جهازي نظيف جدا والحماية عندي برنامج mackepper 2012 ومسوي تحديثات للبرنامج ربما هناك طريقه لا نعرفها اما وضع باتش او ربط الايميل بايميل اخر او وضع ايميلي بديل مخفي بسراحة انا لا اعرف كيف سرق بريدي بهذي السهوله رغم صعوبة الرقم السري والسوال السري

  9. [...] في ماك تووك بشكل موجز عن هذه الإشكاليه من خلال مقالة ( كيف تحمي نفسك من التروجان ؟ ) ويمكن الرجوع إلى ( الطريقة الثانية ) وفيها توضيح هذه [...]

  10. scamed قال:

    الاخ Kuwait

    الهوت ميل فيه ثغرة وقد سرقت الكثير من الايميلات بالرغم من كون اجهزة اصحابها غير مخترقة ،، لأن الثغرة في الهوت ميل نفسه ،، ولايهم طول كلمة السر لان هناك ثغرة يستطيع من خلالها سرقة الايميل ،، وسمعت انهم اوقفوا الثغرة

أضف رداً