مدونة سايبركوف للأمن الإلكتروني – Cyberkov Official Blog في العمق | تحليلات وتحقيقات وأخبار أمن المعلومات
يعد قطاعي النفط والغاز وقطاع الطاقة البنية التحتية الحساسة والأساسية في كل بلد خاصة دول الخليج، إن تعرض فيها للتعطل أو الإيقاف فإن تأثير ذلك لا يقف عند القطاع نفسة بل يمتد ليؤثر على كافة مناحي الحياة في الدولة، خاصة إن كان الهجوم إلكترونياً فإنه يأتي بغته وبغير ميعاد وتأثيره قد يكون أكبر وأبلغ من الهجوم الحقيقي في بعض المراحل.
وقد إزداد في السنوات الأخيرة تركيز الهاكرز ومنظمات الجريمة الإلكترونية على الهجمات المتقدمة والمنظمة APT Attacks خاصة في قطاع الطاقة والنفط والغاز فاخترقوا في سبتمبر الماضي شركة Telvent Canada Ltd الكندية التي تدير 60% من خطوط انابيب النفط والغاز في كندا فتم إختراق أنظمتها الداخلية وجدارها الناري واستطاع الهاكرز بذلك الوصول لبيانات حساسة، بل تجاوز الأمر ذلك فقد نشرت وزارة العدل الأمريكية تقريرا مفصلاً حول إختراق هاكرز يتبعون الجيش الصيني لعشرات شركات الطاقة الأمريكية وسرقة مشاريعها ونماذج إختراعاتها ثم إعادة تصميم تلك المنتجات بتكلفة أقل حيث تم توفير تكاليف “البحث والتطوير” ثم التسبب بخسارة كبيرة للشركات الأمريكية في الأسواق.
بل وصل الأمر أن تم إستهداف وإختراق الشركات المصنعة لمحطات الطاقة النووية من أجل الوصول للمؤسسات الحساسة التي تعمل بالطاقة النووية مثل المصانع الضخمة ومحطات الكهرباء والماء ومحطات الطاقة الذكية.
والأخطر من ذلك تقرير نُشر قبل عدة أيام على موقع FBI عن قيام هاكرز محترفين بالتدرب على تفجير خطوط انابيب النفط والغاز وتعطيل محطات توليد الكهرباء في الولايات المتحدة.
ومن هذه الأحداث نستطيع أن ندرك الخطر الحقيقي الذي قد يواجه أي دولة تفرط أو تقصر في حماية بنيتها التحتية الإلكترونية وخاصة في قطاع النفط والغاز والطاقة، فالأمر لا يحتمل التساهل ولا التقصير ونحن نعيش في واقع مليء بالصراعات السياسية والتحالفات المفاجئة.
وفي الشهر الماضي أعلنت منظمة الهاكرز “أنونموس” الشهيرة عن عزمها شن هجمات إلكترونية على المؤسسات النفطية في دول العالم وأشارت أن من بين تلك الدول المستهدفة ( الكويت والسعودية و قطر وعمان ) وذلك في يوم 20 يونيو القادم وذكروا بأن السبب الرئيسي والأول هو سيطرة الصهاينة على العالم وهذه السيطرة تتمثل في بيع البترول بعملة الدولار الأمريكي بدلاً من عملة الدولة المصدرة لهذا البترول، مما يرجع أن السبب وراء الهجمات قد يكون ” سياسي “.
ونعتقد نحن في شركة سايبركوف أن حماية المؤسسات النفطية هي حماية لأمن البلد وإستقراره وإيماناً منا بخطورة هذه الهجمات الإلكترونية على أمن الدولة وإقتصادها وإنطلاقا من الواجب الوطني نتقدم بهذه النصائح والإرشادات لكل المؤسسات النفطية الخليجية المستهدفة كخطوات وتدابير استباقية لتحصين المؤسسة وأنظمتها من هجمات #OpPetrol:
1- توعية موظفي المؤسسة بالهجمات وتحذيرهم من الوقوع في خدع هجمات الهندسة الإجتماعية (عدم قبول أي إيميل أو أي ملف والحذر من الإصابة بالفايروسات)، خصوصاً في شبكات التواصل الاجتماعي فقد تنشر انونمس اخبار اختراقات مزيفة تحتوى على مرفقات ملغومة بفايروسات.
2- استعمال أنظمة منع هجمات الشبكات (Intrusion Prevention Systems) وأنظمة متابعة ومنع تغير الملفات (File Integrity Monitoring) ومتابعة سجلات هذه الأنظمة لمعرفة ما يجري في المؤسسة قبل الهجوم وأثناءة وبعده.
3- تحديث جميع الأنظمة التكنولوجية المستخدمة في المؤسسة سواء كانت أنظمة تشغيل أو سيرفرات أو تطبيقات أو غيرها. ننصح بتحميل أداة EMET المقدمة من مايكروسوفت لمنع وتقليل مخاطر الثغرات.
4- متابعة شبكات التواصل الإجتماعي وكل مصادر التواصل مع الهكرز لمعرفة التغيرات التي تطرأ عليهم والاستعداد لكل تغيير (تغيير في الأهداف، في الأدوات، في الدوافع أو البيانات والتسريبات وغيرها) وخصوصاً هاشتاق #OpPetrol في تويتر وغرفة #AnonOps التابعة للمنظمة في غرف العمليات في الـ IRC.
5- البحث عن أي تسريب تحت اسم OpPetrol في موقع Pastebin الشهير للتسريبات والبيانات عند أنونموس.
6- تحديث برامج سطح المكتب التي يستخدمها الموظفون مثل Adobe Reader و Java و Outlook و Microsoft Office للحماية من Client-Side Attacks ويفضل تعطيل عمل الـ Java لما فيها من ثغرات دائما ما تتأخر أوراكل بإصلاحها.
7- قاوم الفضول وامتنع عن الدخول على الصفحات المخترقة، فالهاكرز يستغلونها لاختراق المزيد من الضحايا عن طريق ثغرات المتصفحات، ويعد هذا التكتيك نوع من أنواع هجمات Watering Hole Attack. إذا لم يكن من الفضول بد، و أردت دخول الموقع المخترق للتحقق، فيمكنك استخدام هذا الموقع لرؤية صور حية للموقع المخترق دون الحاجة لدخوله.
8- تحديث المتصفحات للحماية من ثغرات المتصفحات مثل Buffer Overflows و Heap Sprays.
9- التأكد من إغلاق أي مواقع قديمة أو تجريبية أو تحت التطوير حتى لا يتم استهدافها من أنونمس، و التأكد من عدم تشغيل أي موقع أو برنامج على شبكة المؤسسة/الشركة إلا بعد الفحص وضمان الجودة ومعايير الأمان. الهاكرز يتقنون فن إيجاد واستغلال المواقع التجريبية أو القديمة خصوصاً تلك التي تعمل على منافذ (Ports) مثل 8080, 80, 8081 و غيرها.
10- تشغيل المميزات الأمنية الموجودة بالبرمجيات الجاهزة مثل خواص Captcha, Account Lockout, Session Timeout, Encryption.
11- متابعة ما يحصل على الشبكة خلال فترة التهديد و مراقبة السجلات Logs و خصوصاً أكواد الأخطاء مثل HTTP 500 Errors, HTTP 404, 403 و غيرها خصوصاً عند كثرتها مما يدل على استخدام أدوات اختراق وفحص للشبكات.
12- البحث عن الكلمات المريبة داخل سجلات السيرفرات والمواقع Logs مثل الكلمات التالية: Error, UNION, Authentication Failure, OR 1=1, DELETE, DROP TABLE, <script>alert, /etc/passwd, %00, %27 و أغلب هذه الكلمات تدل على محاولات اختراق.
13- فحص شبكة المؤسسة من الخارج باستخدام أدوات مثل nmap و unicornscan على نطاق الشبكة الكامل Network range للتأكد من عدم وجود أي مواقع أو منافذ غير مصرح بها أو تم نسيانها مع الزمن.
14- تأكد من عدم وجود خدمات أو مواقع على الشبكة تستخدم كلمات سر افتراضية Default Passwords أو ضعيفة مثل admin أو test123…الخ.
15- تحدث بجدية مع مزود خدمة الانترنت لمؤسستك عن خيارات الحماية و التخفيف من هجمات حجب الخدمة DDOS فهي الخيار المفضل لدى أنونمس. أغلب الظن أن هجمات حجب الخدمة لن يتم منعها بالكامل لكن يمكن تخفيف أثرها DDOS Mitigation.
16- تأكد من تفعيل التسجيل Logging فمن دونه تكون أعمى داخل شبكتك ولا تستطيع تحليل ما يحدث فيها. قم بتفعيل التسجيل Logging على مستوى نظام التشغيل والبرامج والمواقع.
17- شغل أداة Microsoft Baseline Security Analyzer على خوادم Windows Server لديك للحصول على ضمان أكثر بإعداداتها الأمنية.
18- اذا كنت تستخدم خادم مواقع Web Server من نوعية Apache فتأكد أنه يعمل بحساب منخفض الصلاحية Low Privilege User مثل www-data أو apache باستخدام الأمر grep -ir ‘APACHE_RUN_USER’ /etc/apache2 أو grep -ir ‘APACHE_RUN_USER’ /etc/httpd
19- إذا كانت لديك مواقع تعمل بتقنية PHP فتأكد من اطفاء بعض الخواص الخطرة أمنياً بإعدادات PHP في ملف php.ini ومنها: display_errors, allow_url_fopen, allow_url_include, disable_functions = system, exec, passthru و غيرها.
20- اذا كنت تستخدم خوادم IIS مع تقنية ASP من مايكروسوفت فتحقق من بعض الاعدادات في ملف machine.config مثل <trace enable=”false”/> و <compilation debug=”false”/> و <deployment retail=”true”/> لضمان عدم تسريب بيانات حساسة.
21- راجع نطاق الانترنت التابع لمؤسستك و تأكد من عدم وجود نطاقات قديمة و تأكد أيضاً من إيقاف خاصية الZone Transfer.
22- تحقق من سلامة ملفات النظام في Windows من التغيير الغير مصرح عن طريق استخدام أداة sigverif.
23- لا ترتعد و لا تخف إذا لاحظت وجود العديد من الطلبات من شبكتك للعنوان الغريب 1e100.net، فهو عنوان يتبع شركة Google و يمكنك أحياناً ملاحظة هذا عند استخدام أمر ping google.com .
24- بعض الأنظمة تعمل تلقائياً مع كم هائل من المستخدمين وكلمات السر الافتراضيين التي لا تتغير عادةً مثل Oracle المليئة بهذه الحسابات، على سبيل المثال لا الحصر: apex_040000, dbsnmp, mdys
25- تحقق من عدم وجود حسابات على أنظمة Linux ذات صلاحية عالية إلا حساب الroot عن طريق هذا الأمر: sudo awk -F: ‘($3 == “0”) { print $1 }’ /etc/passwd
26- تحقق من عدم وجود حسابات ذات كلمات سر فارغة في أنظمة Linux باستخدام الأمر: sudo awk -F: ‘($2 == “”) { print $1 }’ /etc/shadow
27- وضع خطة واضحة لآلية وإجراءات الاستجابة للطوارئ والحوادث الخاصة (كيفية التعامل حال تعطل عمل السيرفرات؟ كيفية التعامل اذا تم تسريب معلومات؟…إلخ).
كما يجب على المؤسسات توعية موظفيها وتدريبهم على الاستعداد دائماً لأي خطر قادم في المستقبل ولاختبار أمن شبكاتها وأنظمتها ومعرفة نقاط ضعفها لسدها وتأمين ملفاتها ومعلوماتها، كما يجب تنبيه ومتابعة الشركات ذات العقود الخارجية حيث قد يستغل الهاكرز قلة تدريبهم او ضعف وعيهم او عدم مبالاتهم للدخول عن طريقهم لأنظمة المؤسسة وشبكتها.
تقدم شركة سايبركوف لتكنولوجيا المعلومات خدمات أمنية متعددة وسبق لها المشاركة بحماية عدد من الشركات النفطية في الكويت ولديها خبرة عالية في هذا المجال.
موقع شركة سايبركوف لتكنولوجيا المعلومات
الخدمات الأمنية المقدمة من شركة سايبركوف
