سرقة دومين Perl.com: كيف اتسرق بيت مجتمع عمره 30 سنة في صمت

في الدنيا في دومينات هي في الحقيقة بنية تحتية بتعمل في صورة اسم. perl.com واحدة منهم. مش مجرد أصل تسويقي أو براند اتعمل السنة اللي فاتت — ده قطعة من أثاث الإنترنت اللي مجتمع Perl البرمجي عايش حواليها من بداية الويب، الباب الأمامي الأساسي للتوثيق والمقالات والواجهة العامة للغة.

فلما في صباح 27 يناير 2021 الباب الأمامي ده فجأة اتملك من حد تاني، مكانش ده ذكاء في اللعب أو بيع منظم. كانت سرقة. الدومين اتسلخ بهدوء من يد صاحبه الأصلي قبل كده بشهور، واتنقل بين شركات التسجيل، واتوجه لـ IP عنده تاريخ في توزيع برامج خبيثة. مشغلي شبكة المجتمع قالوها صريحة: "دومين perl.com اتخطف النهارده الصبح، ودلوقتي بيوجه لموقع انتظار (parking)."

دي حكاية الحلقة EP19 في سلسلة Domain Mayday بتاعتنا: إزاي اتسرق دومين مجتمعي عمره تلاتين سنة من غير ما حد يكسر سيرفر واحد، وإيه اللي اتطلب لاسترداده.

دومين محفوظ من أوائل التسعينيات

عشان تفهم السرقة، لازم تفهم إزاي كان الوضع عادي جداً — وإزاي العادية دي كانت هي نقطة الضعف.

perl.com مكانش محفوظ جوه خزينة شركة محصنة. كان محفوظ بالطريقة اللي بيتحفظ بيها معظم الدومينات القديمة: عند شخص واحد موثوق، في شركة تسجيل معروفة، بيتجدد سنة بعد سنة من غير أي مشاكل. محرر الموقع، brian d foy، وصف الوضع بعد الحادثة في روايته الخاصة: "الدومين ده اتسجل في أوائل التسعينيات، اتدي التحكم فيه لـ Tom Christiansen بعدها بشوية، وأساساً ظل بيدفع رسوم التسجيل."

ده هو نفس الوضع لنسبة كبيرة من أهم الأسماء على الإنترنت. شخص، ولوج لشركة تسجيل، وتلاتين سنة بيدفع الفاتورة بهدوء. بيشتغل كويس جداً — لحد لما حساب شركة التسجيل نفسه بيبقى هو الهدف.

27 يناير 2021: الباب الأمامي بيتغيير قفله

فن تصوري ملون حيوي لعلامة مجتمع خشبية عتيقة بتتفك بهدوء من عمودها في الليل وبتتاخد، على خلفية سماء من لوحات دوائر إلكترونية متلألئة

أول إنذار عام جه من الناس اللي بتشغل بنية مجتمع Perl التحتية. مدونة Perl NOC (مركز عمليات الشبكة) نشرت إن الدومين اتخطف "الصبح" ودلوقتي بيوجه لمكان مش المفروض يوجه له. وأسوأ من مجرد صفحة انتظار، المشغلون حذروا إن "في إشارات إن ممكن يكون له علاقة بمواقع وزعت برامج خبيثة في الماضي."

brian d foy رفع الموضوع علناً في نفس اليوم. التقارير عن الحادثة أكدت التوقيت بوضوح: "في 27 يناير، كاتب Perl وتحرير Perl.com brian d foy تغرد إن دومين perl.com اتسجل فجأة باسم شخص تاني."

استجابة المجتمع كانت سريعة وعملية. وبينما بدأ العمل على الاسترداد، قام الـ NOC بتوجيه القراء لنسخة احتياطية: "لو بتدور على المحتوى، تقدر تزور perldotcom.perl.org." الاسم الأساسي راح، لكن المحتوى ظل متاح.

إيه اللي كان في خطر: IP مرتبط ببرامج خبيثة

الدومين المسروق خطير بقدر الثقة اللي بيحملها — وperl.com كان محمل بثقة كتير. ملايين المطورين والدروس وأدوات CPAN والروابط القديمة على الويب كلها بتوجه ليه. اللي اتحكم في الاسم اتحكم فيما بتتحول ليه كل الثقة دي.

والمالك الجديد مش وجهه لمكان آمن. زي ما BleepingComputer وثق، "دومين perl.com اتسرق ودلوقتي بيوجه لعنوان IP مرتبط بحملات برامج خبيثة."

البصمات التقنية كانت محددة. سجلات DNS اتعدلت عشان "عناوين الـ IP المخصصة للدومين اتغيرت من 151.101.2.132 لعنوان Google Cloud IP 35.186.238[.]101." الوجهة دي عندها ماضي: "في 2019، عنوان IP 35.186.238[.]101 اتربط بدومين بيوزع برنامج برامج خبيثة لفدية Locky اللي بطل يشتغل دلوقتي."

اجمع الحقيقتين دول والخطر بيبقى واضح. اسم المطورين بيثقوا فيه تلقائياً، فجأة بيوجه لـ IP عنده تاريخ برامج خبيثة، ده إعداد شبه مثالي لخداع نوع الجمهور التقني الواعي بالأمن اللي عادةً صعب تخدعه.

إزاي حصل: حساب شركة التسجيل، مش السيرفر

فن تصوري ملون حيوي لورقة نقل ملكية مزورة بتتمرر على مكتب خدمة السجل، خاتم ختم رسمي بيضيء باللون الأحمر، أوراق بتدور في ضوء النيون — من غير أي شعارات تجارية

دي هي الجزء اللي بيخلي الحادثة دي حالة دراسية مش مجرد هامش: محدش اخترق سيرفر الويب بتاع perl.com، ومحدش خمن كلمة سر الـ DNS. الهجوم حصل على طبقة أعلى، عند شركة التسجيل — الشركة اللي بتحتفظ بالسجل الرسمي لمن يملك الاسم.

في تحليله للحادثة، brian d foy وصف النظرية الأساسية مباشرة: "بنفتكر إن كان في هجوم هندسة اجتماعية على Network Solutions، بما فيه وثائق مزورة وما شابه ذلك." الصحافة صاغتها بنفس الطريقة: السرقة كانت "هجوم هندسة اجتماعية أقنع شركة التسجيل Network Solutions بتغيير سجلات الدومين من غير تفويض صحيح."

التفصيلة الأكتر إزعاجاً هي الجدول الزمني. المجتمع لاحظ في يناير بس، لكن الاختراق الفعلي كان أقدم بكتير. العمل الجنائي اللي كشفه محامي الدومين John Berryhill رجع التاريخ الفعلي لشهور قبل كده؛ زي ما سجلات perl.com بتوثق، "John Berryhill قدم تحليل جنائي على تويتر أثبت إن الاختراق حصل فعلاً في سبتمبر." SecurityWeek أكدت صبر المهاجم: "الهجوم، بيشرح، حصل في سبتمبر 2020" — حوالي أربع شهور قبل ما حد شاف التأثيرات.

ليه الانتظار الطويل؟ لأن قواعد نقل الدومين بتكافئ الصبر. "ICANN بيحظر نقل الدومين لمدة 60 يوم بعد تحديث معلومات الاتصال." مهاجم استولى بهدوء على حساب شركة التسجيل في سبتمبر مقدرش يحرك الدومين على طول — فقعد عليه، خلى العداد يعدي، وعمل خطوته لما القفل انتهى.

لما تحرك أخيراً، غسل الاسم عبر شركات تسجيل وحدود عشان يصعب الاسترداد. The Register وثق أول قفزة: "الدومين اتنقل لشركة تسجيل BizCN في ديسمبر، لكن الـ nameservers ما اتغيرتش." BleepingComputer تتبع نفس المسار جغرافياً: الدومين "اتسرق في سبتمبر 2020 وهو في Network Solutions، واتنقل لشركة تسجيل في الصين يوم الكريسماس" قبل القفزة الأخيرة في يناير، لما "الدومين اتنقل تاني في يناير لشركة تسجيل تانية، Key Systems, GmbH."

وبعدين حاولوا يصرفوه. وبعد ما الاسم اتنقل لمكانه الجديد، "المسجل غير المصرح له حاول يبيع الدومين بـ 190,000 دولار على سوق الدومينات Afternic." أصل مجتمعي عمره تلاتين سنة، اتسرق بالورق، معروض للبيع زي أثاث مستعمل.

الاسترداد: أسابيع من الأوراق عشان تلغي الأوراق

نفس الآلية اللي خلت السرقة تحصل — شركات التسجيل والسجلات وسجلات الملكية — كانت هي الطريق الوحيد للرجوع. مكانش في سيرفر يتأمن من جديد ولا patch يتطبق. كان لازم حد يثبت، عبر سلسلة شركة التسجيل والسجل، إن Tom Christiansen هو المالك الحقيقي والـ"مالك" الجديد محتال.

الشغل ده بدأ في خلال أيام. في 30 يناير، Perl NOC أفادت إن "Network Solutions بتشتغل مع Tom Christiansen، المسجل الشرعي، على استرداد دومين Perl.com." الضغط "أدى في النهاية لاستعادة الدومين لمالكه السابق، Tom Christiansen، في أوائل فبراير."

لكن "اتاسترد" ما معناهاش "اتصلح." صياغة brian d foy الخاصة بتجمع الارتياح والشغل غير المكتمل: "دومين Perl.com رجع في إيدين Tom Christiansen وبنشتغل على التحديثات الأمنية المختلفة عشان ده ما يحصلش تاني." لأن الدومين كان بيوجه لـ IP مرتبط ببرامج خبيثة، المنتجات الأمنية كانت حطته على القائمة السوداء وبعض محللات الـ DNS كانت بتحوله. حتى بعد ما سجل السجل اتصح، اخد أسابيع إضافية عشان الاسم يتبع مرة تانية عبر أنظمة السمعة على الإنترنت — ذيل طويل مد المحنة بالكامل لحوالي شهرين.

العنوان الرئيسي، بكلمات foy، كان هادي تقريباً: "لمدة أسبوع فقدنا التحكم في دومين Perl.com." أسبوع سرقة نشطة؛ شهور اختراق كامن قبلها؛ أسابيع تنظيف بعدها.

إيه اللي بيعلمنا إياه عن أمان حسابات التسجيل والدومينات القديمة

سرقة perl.com مفيدة جداً بالضبط لأن مفيش حاجة غريبة حصلت. لو قلصناها لجوهرها، الدروس مزعجة في عموميتها:

حساب شركة التسجيل بتاعك هو التاج الحقيقي. الكل بيحصن سيرفراته ومزود الـ DNS بتاعه. لكن سجل ملكية الدومين عايش في شركة التسجيل، وده الحساب اللي غالباً بيتحمي بأكتر شوية من كلمة سر وفريق دعم ممكن يتقنع بتغييرات. perl.com اتسرق من هناك، مش من الحافة.
الهندسة الاجتماعية بتتغلب على الضوابط التقنية. مفيش استغلال، مفيش برامج خبيثة على جهة الضحية — بس "وثائق مزورة وما شابه ذلك" مقنعة كفاية عشان تحرك سجل حقيقي. التحقق الثنائي على لوجينك الشخصي مش بيساعد لو البشر في شركة التسجيل ممكن يتقنعوا يتجاوزوه.
الدومينات القديمة أهداف سهلة. اسم اتسجل في أوائل التسعينيات واتجدد تلقائياً لتلاتين سنة بيتراكم عنده معلومات اتصال قديمة، ونقطة فشل بشرية واحدة، وصاحبه مش بيراقب سجل WHOIS كل يوم. الاستقرار الهادئ بالضبط هو اللي خلى اختراق سبتمبر يعدي من غير ما حد يلاحظ لحد يناير.
قواعد النقل مزدوجة الاتجاه. قفل النقل الـ 60 يوم بعد التحديث اللي المفروض يحمي المالكين اتحول لغرفة انتظار المهاجم. الصبر زائد غسيل الاسم عبر شركات التسجيل والحدود حول التصحيح السريع لاسترداد متعدد الأطراف ومتعدد الأسابيع.
الاسترداد أبطأ من السرقة. سرقة الاسم احتاجت وثيقة مزورة. استرداده احتاج شركات تسجيل وسجل ودليل المالك الشرعي، وبعدين أسابيع لإعادة بناء السمعة مع قوائم الحظر والمحللات. السرقة معاملة واحدة؛ الإعادة معاملات كتير.

الملخص المحزن: بالنسبة لدومين زي perl.com، قوة كلمة السر بتاعتك أقل أهمية من إمكانية خداع شركة التسجيل عشان تتجاهلها.

زاوية Namefi

رسم توضيحي ملون لملكية دومين قابلة للتحقق ومقاومة للتلاعب — بطاقة دومين محمية بدرع أخضر وتوكن Namefi أخضر واستمرارية DNS

كل خطوة في سرقة perl.com دارت حول نقطة ضعف واحدة: الملكية كانت سجل في حساب حد تاني، قابل للتغيير من أي شخص يقدر يقنع الموظف المناسب. المهاجم ما احتاجش مفاتيح المالك. احتاج ثقة شركة التسجيل — وورقة مزورة كانت كافية عشان تنقل أصل عمره تلاتين سنة عبر الكوكب وتعرضه للبيع.

Namefi اتبنى على الفرضية المعاكسة: إن ملكية الدومين المفروض تكون قابلة للتحقق تشفيرياً وصعبة التعديل السري. بتمثيل التحكم في الدومين كأصل مرمز على السلسلة يظل متوافق مع DNS، الإجابة الموثوقة لـ"مين يملك الاسم ده؟" بتوقف كونها سطر قابل للتغيير في قاعدة بيانات شركة تسجيل ممكن مكالمة هاتفية مقنعة تقلبه. عمليات النقل بتبقى أحداث موقعة وقابلة للمراجعة بدلاً من أوراق مكتبية خلفية — و"تغيير الملكية" الاحتيالي مالوش باب هادي يدخل منه.

ما كانش هيخلي perl.com مستحيل السرقة من يوم لليوم؛ شركات التسجيل والسجلات لسة جزء من السلسلة. لكنه بيهاجم نفس طريقة الفشل اللي حددت الحادثة دي بالضبط — الفجوة بين دفع ثمن اسم لتلاتين سنة والقدرة على إثبات، بطريقة مقاومة للتلاعب، إنه بتاعك — وبيضيق الفترة اللي فيها ممكن يتغسل دومين مسروق قبل ما حد يعترض.

perl.com رجعتله بابه الأمامي. السؤال الأصعب اللي الحادثة دي تسيبه ورايها هو: ليه القفل كان في يوم من الأيام حاجة غريب عنده الورق المناسب يقدر يفتحه؟

المصادر وقراءة إضافية

The Perl NOC — perl.com اتخطف
perl.com (brian d foy) — اختطاف Perl.com
BleepingComputer — دومين Perl.com اتسرق، دلوقتي بيستخدم عنوان IP مرتبط ببرامج خبيثة
The Register — سرقة Perl.com بتتحمل على هجوم هندسة اجتماعية
SecurityWeek — الهاكرز تحكموا في دومين Perl.com لشهور قبل الاختطاف
Security Affairs — المهاجمون استولوا على دومين Perl.com في سبتمبر 2020
The Daily Swig (PortSwigger) — دومين موقع البرمجة الشهير Perl.com اتسرق في 'اختراق'
Slashdot — دومين Perl.com اتسرق، دلوقتي بيستخدم عنوان IP من حملات برامج خبيثة سابقة
INCIBE-CERT — دومين perl.com اتخطف
GIGAZINE — محرري Perl.com بيحكوا الحقيقة عن قضية اختطاف دومين Perl.com