· RustDesk Team · الأمان · 8 دقائق للقراءة
RustDesk واحتيالات الوصول عن بُعد: ما الذي نقوم به
لماذا غادرت RustDesk متجر Google Play، وأضافت تحذيرات ومتطلبات تسجيل دخول للخادم العام، وكيف يمكن للمستخدمين تعزيز حماية الأجهزة الخاضعة للتحكم بكلمات المرور والمصادقة الثنائية وقوائم عناوين IP المسموح بها.

RustDesk برنامج شرعي ومفتوح المصدر للوصول عن بُعد، لكن حتى البرامج الشرعية يمكن إساءة استخدامها. فقد يتصل محتال بضحية، ويختلق مشكلة عاجلة، ويقنع ذلك الشخص بتثبيت أداة للتحكم عن بُعد ومنحه صلاحية الوصول. RustDesk ليس بمنأى عن هذا الخطر، والتشفير وحده لا يمكنه تصحيح موافقة تم الحصول عليها عن طريق الخداع.
كانت استجابتنا وضع تحذيرات وعوائق عند عدة نقاط على طول هذا المسار: على موقعنا الإلكتروني، وداخل مسار الجهاز الخاضع للتحكم على أندرويد، وفي أحد قنوات التوزيع الرئيسية، وعلى الخادم العام. وتُسبب هذه الإجراءات أيضًا بعض الإزعاج للمستخدمين الشرعيين. يوثّق هذا المقال ما قمنا به، ولماذا فعلنا ذلك، وأين تبقى حدود هذه الإجراءات.
ماذا فعلت RustDesk بشأن احتيالات الوصول عن بُعد؟
| الإجراء | ما الذي يعالجه | التكلفة أو القيود |
|---|---|---|
| تحذيرات الموقع الإلكتروني والتطبيق | شخص يتم توجيهه لتثبيت RustDesk من قبل متصل مجهول | لا يزال بالإمكان تجاهل التحذير |
| الانسحاب الطوعي من متجر Google Play | التثبيت السهل المدفوع بالاحتيال عبر متجر تطبيقات مألوف | يفقد مستخدمو أندرويد الشرعيون إمكانية الاكتشاف عبر متجر Google Play والتحديثات التلقائية منه |
| تسجيل الدخول على الخادم العام | الاستخدام المجهول للبنية التحتية المشتركة في عمليات الاحتيال وشبكات الروبوتات | يجب على المستخدمين الشرعيين تسجيل الدخول، وتتعطل بعض إجراءات سير العمل الحالية |
| ضوابط الأمان على الجهاز الخاضع للتحكم | سرقة كلمات المرور، والتعرض الواسع للشبكة، ومخاطر الوصول غير المراقب | يجب تهيئتها بشكل صحيح، ولا يمكنها منع الإفصاح الطوعي عنها |
هذه إجراءات للحد من المخاطر، وليست ادعاءً بأن RustDesk محصّن تمامًا ضد الاحتيال.
تحذيرات في الأماكن التي قد يراها فيها الضحية المحتملة
تبدأ صفحة دعم RustDesk بتحذير مباشر من الاحتيال. فهي تخاطب الأشخاص الذين يتحدثون هاتفيًا مع شخص لا يعرفونه ولا يثقون به، ويُطلب منهم تثبيت RustDesk، وتطلب منهم التوقف. كما يحمل مستودع RustDesk على GitHub إخلاء مسؤولية بشأن إساءة الاستخدام ضد الوصول غير المصرح به والتحكم وانتهاك الخصوصية.
يظهر هذا التحذير أيضًا داخل تطبيق أندرويد الرسمي الموزَّع عبر إصدارات GitHub. فعلى جهاز أندرويد غير مسجَّل الدخول والذي سيتم التحكم به، يؤدي النقر على بدء الخدمة (Start service) إلى فتح تحذير قبل أن تبدأ خدمة التقاط الشاشة. يُخبر هذا التحذير المستخدم الذي وجّهه متصل مجهول وغير موثوق بالتوقف وإنهاء المكالمة. وتفرض الإصدارات الرسمية عدًّا تنازليًا قبل أن يتمكن المستخدم من المتابعة. ويمكن الاطلاع على كل من مسار الجهاز الخاضع للتحكم الحالي ونص التحذير بالإنجليزية في المستودع مفتوح المصدر.
هذا الموضع مهم. فصفحة أمان عامة قد تصل إلى شخص يبحث عن معلومات حول المنتج، أما التحذير عند بدء الخدمة (Start service) فيصل إلى الشخص في اللحظة التي توشك فيها جلسة أندرويد واردة أن تصبح ممكنة. ومع ذلك، لا يمكنه إجبار ذلك الشخص على عدم الثقة بمتصل مقنع.
لماذا لا يتوفر RustDesk على متجر Google Play
في 3 سبتمبر 2023، قال حساب RustDesk الرسمي على منصة X: «لقد قمنا مؤقتًا بإلغاء نشر RustDesk من Google Play لمنع المزيد من عمليات الاحتيال التي تستهدف المستخدمين.» وقد تم الحفاظ على الرابط والنص أيضًا في نقاش GitHub رقم 5660 الذي تمت الإجابة عليه، كما تذكر الأسئلة الشائعة الحالية لـ RustDesk أن المشروع أزال نفسه من متجر Google Play بسبب الاحتيال.
لذلك، لا يتم توزيع RustDesk حاليًا عبر متجر Google Play. لم يكن هذا ادعاءً بأن تطبيق أندرويد كان برمجية خبيثة أو أن كل شخص يقوم بتثبيته كان معرضًا للخطر. بل كان قرارًا يتعلق بالتوزيع يهدف إلى تقليل مسار شائع يُستخدم في تعليمات الاحتيال.
هناك مقايضة حقيقية: فمغادرة متجر Google Play تقلل من إمكانية اكتشاف التطبيق، وسهولة التثبيت المألوفة، والتحديثات التلقائية من المتجر بالنسبة للمستخدمين الشرعيين. تتوفر إصدارات أندرويد الحالية عبر إصدارات RustDesk الرسمية على GitHub وعبر F-Droid. تحقق من الوجهة بنفسك. لا تُثبّت ملف APK من رابط تحميل أرسله متصل دعم لم تطلب منه ذلك. يسرد دليلنا لأندرويد و iOS الإمكانات الحالية للأجهزة المحمولة ومصادر التثبيت.
لماذا يتطلب الخادم العام تسجيل الدخول
يذكر دليل تسجيل الدخول للخادم العام الحالي الخاص بـ RustDesk أن تسجيل دخول الطرف المتحكم مطلوب بسبب استمرار إساءة الاستخدام من الاحتيال وشبكات الروبوتات. تسجيل الدخول مجاني ويستخدم مزود هوية خارجي مدعوم مثل Google أو GitHub؛ ولا يُتاح اسم مستخدم وكلمة مرور منفصلان على الخادم العام. ويذكر الدليل حاليًا أن أطراف التحكم فقط هي المطالَبة بتسجيل الدخول.
يضيف هذا خطوة تحقق من الهوية، ويزيل بعض إمكانية الوصول المجهول إلى البنية التحتية التي تشغّلها RustDesk لأغراض العرض التوضيحي والاختبار. وهو لا يحكم خادم RustDesk الخاص، ولا يمكنه إيقاف محتال يستخدم بنية تحتية أخرى أو ينشئ هوية جديدة.
كما تسبب ذلك في بعض الاضطراب. ففي نقاش على Reddit حول خطأ تسجيل الدخول الجديد، أفاد بعض المستخدمين الشرعيين بأنهم لم يتمكنوا من الوصول إلى أجهزتهم المنزلية أو أجهزة العائلة حتى فهموا خطوة تسجيل الدخول وأتمّوها. واعترض آخرون على ربط هوية خارجية. هذه التعليقات ليست دليلاً على أن هذا القيد فعّال أو غير فعّال ضد المحتالين، لكنها توثّق تكلفته التشغيلية. فالإجراءات المضادة للاحتيال التي تضيف عوائق ينبغي أن تعترف بهذه التكلفة بوضوح.
كيف تؤمّن جهاز RustDesk الخاضع للتحكم؟
القيود على مستوى المنصة ليست سوى طبقة واحدة فقط. إذ ينبغي على مالك الجهاز الخاضع للتحكم أو مسؤوله أيضًا أن يحدّ من الجهات القادرة على الاتصال، ومما يمكن أن تفعله بيانات الاعتماد المسروقة.
1. عيّن كلمة مرور دائمة قوية وفريدة
من أجل الوصول غير المراقب، عيّن كلمة مرور دائمة قوية وفريدة ضمن إعدادات أمان RustDesk الخاصة بالجهاز الخاضع للتحكم. لا تُعِد استخدام كلمة مرور تسجيل الدخول لنظام التشغيل، أو كلمة مرور البريد الإلكتروني، أو كلمة مرور مستخدمة في خدمة أخرى. وغيّرها فورًا إذا كان يُحتمل أنها قد أُفشيت.
بالنسبة للدعم الفني المراقَب (بحضور المستخدم)، يُفضَّل استخدام كلمة مرور مؤقتة لمرة واحدة أو الموافقة الصريحة بالنقر متى كان ذلك عمليًا. تقلل كلمة المرور الدائمة القوية من مخاطر التخمين، وحشو بيانات الاعتماد (credential stuffing)، وإعادة استخدام كلمة المرور. لكنها لا تُجدي نفعًا إذا قرأ الضحية تلك الكلمة على متصل هاتفي.
2. فعّل المصادقة الثنائية (2FA) على الجهاز الخاضع للتحكم
يتضمن RustDesk مصادقة ثنائية عبر TOTP للاتصالات الواردة إلى الجهاز الخاضع للتحكم. على الجهاز الذي سيقبل الاتصالات، افتح إعدادات الأمان الخاصة به، وفعّل المصادقة الثنائية (2FA)، وامسح رمز QR ضوئيًا باستخدام تطبيق مصادقة، وأكّد الإعداد باستخدام الرمز المكون من ستة أرقام.
بمجرد التفعيل، لا يكفي قبول كلمة مرور الاتصال العادية: إذ يجب على الطرف المتحكم أيضًا تقديم رمز TOTP الحالي المكون من ستة أرقام قبل أن يُصرِّح الجهاز الخاضع للتحكم بالجلسة. وقد تم تقديم هذه الميزة تحديدًا باعتبارها مصادقة ثنائية للوصول غير المراقب، وتطبيق TOTP الخاص بها متاح للعامة في الشيفرة المصدرية.
يمكن لـ RustDesk، اختياريًا، أن يثق بجهاز متحكم معين ويتخطى طلبات المصادقة الثنائية لاحقًا. اترك خيار التجاوز هذا معطلاً للحصول على أكثر سلوك تقييدًا. وإذا استخدمته، راجع قائمة الأجهزة الموثوقة واحذف الأجهزة المفقودة أو المستبدَلة أو المشتركة أو التي لم تعد مصرَّحًا لها.
تحمي المصادقة الثنائية من كلمة مرور تم تخمينها أو إعادة استخدامها أو تعرّضت للانكشاف. لكنها لا يمكن أن تحمي شخصًا يُسلّم محتالًا كلمة المرور ورمز تطبيق المصادقة الحالي معًا.
3. قيّد الاتصالات الواردة باستخدام قائمة عناوين IP المسموح بها
تُطلق واجهة RustDesk على هذه الميزة اسم القائمة البيضاء لعناوين IP (IP Whitelisting). وبعبارة توضيحية، فهي قائمة عناوين IP مسموح بها: إذ يرفض الجهاز الخاضع للتحكم أي اتصال يكون عنوان مصدره خارج القائمة المُعدَّة، وذلك قبل التحقق من كلمة المرور والمصادقة الثنائية.
يمكن إعداد ذلك من:
- جهاز سطح المكتب الخاضع للتحكم: الإعدادات → الأمان → الأمان → استخدام القائمة البيضاء لعناوين IP (Settings → Security → Security → Use IP Whitelisting)
- جهاز الجوال الخاضع للتحكم: الإعدادات → مشاركة الشاشة → استخدام القائمة البيضاء لعناوين IP (Settings → Share screen → Use IP Whitelisting)
يقبل هذا الإعداد عناوين IPv4 أو IPv6 فردية، بالإضافة إلى نطاقات CIDR. يجمع تدوين CIDR بين عنوان الشبكة وطول البادئة (prefix length). وتحدد البادئة عدد البتات الأولى الثابتة: فكلما زادت قيمة البادئة، صغُر النطاق المسموح به.
203.0.113.10أو203.0.113.10/32: عنوان IPv4 واحد.203.0.113.0/24: 256 عنوان IPv4، من203.0.113.0إلى203.0.113.255.2001:db8::10/128: عنوان IPv6 واحد.2001:db8:1234::/64: شبكة فرعية واحدة من نوع IPv6.
هذه نطاقات توضيحية لأغراض التوثيق فقط؛ لا تنسخها كما هي دون تغيير. أدخل عناوين أو شبكات أجهزة التحكم الفعلية الخاصة بك. يمكن الفصل بين الإدخالات المتعددة باستخدام الفواصل، أو الفواصل المنقوطة، أو المسافات، أو أسطر جديدة. توثّق RustDesk هذا الإعداد في مرجع الإعدادات المتقدمة للتطبيق، كما يمكن الاطلاع على آلية التطبيق على جانب الجهاز الخاضع للتحكم في الشيفرة المصدرية.
استخدم أصغر نطاقات ممكنة عمليًا. فعناوين خروج المكتب الثابتة ونطاقات VPN المعروفة مرشحات جيدة. أما العناوين المنزلية الديناميكية وأجهزة التحكم المتنقلة (roaming) فليست كذلك. تأكّد من عنوان المصدر الذي يراه RustDesk في بنية شبكتك، سواء كانت عبر NAT أو VPN أو اتصالاً مباشرًا أو عبر خادم ترحيل (relay)، واختبر القاعدة الجديدة من جلسة أخرى قبل إغلاق الجلسة العاملة الحالية. فقد يؤدي عنوان أو نطاق CIDR خاطئ إلى حرمان فريق الدعم الشرعي من الوصول.
تعمل القائمة المسموح بها على تضييق الأماكن التي يمكن أن ينشأ منها الاتصال. وهي لا تحل محل كلمة المرور أو المصادقة الثنائية، ولا يمكنها إيقاف طرف تحكم ضار يعمل بالفعل من داخل شبكة مسموح بها.
ما لا يمكن أن تفعله هذه الإجراءات
تزيل كل من التحذيرات، والانسحاب من المتجر، ومتطلبات تسجيل الدخول، وكلمات المرور القوية، والمصادقة الثنائية، وقوائم عناوين IP المسموح بها جزءًا من فرصة المهاجم. لكن لا شيء من ذلك يزيل الخطر الأساسي المتمثل في الهندسة الاجتماعية: إذ لا يزال بالإمكان إقناع شخص ما بالموافقة على الوصول أو الإفصاح عن كل عامل من عوامل الحماية.
كما أن الاستضافة الذاتية لا تجعل إساءة الاستخدام مستحيلة هي الأخرى. فهي تمنح المؤسسة السيطرة على خادم RustDesk الخاص بها وسياساتها، لكن بإمكان المحتال أيضًا تشغيل بنية تحتية خاصة أو توزيع تطبيق معدَّل. لذا لا ينبغي الخلط بين قيود الخادم العام لدى RustDesk وبين حماية تمتد تلقائيًا إلى كل عملية نشر ذاتية الاستضافة.
إذا طلب منك متصل مجهول تثبيت RustDesk، أو بدء تشغيل خدمته، أو مشاركة كلمة مرور، أو الإفصاح عن رمز مصادقة ثنائية، أو فتح موقع مصرفي، فتوقف. يشرح دليلنا المحايد حول اكتشاف احتيالات سطح المكتب البعيد والوقاية منها والتعافي منها علامات التحذير وما يجب فعله إذا كان الوصول قد مُنح بالفعل.
المسؤولية هنا ليست إعدادًا واحدًا أو مجرد تصريح بالنوايا الحسنة. بل هي عمل مستمر يشمل تحذير المستخدمين، وتقبّل بعض العوائق حين تستدعيها مواجهة إساءة الاستخدام، وتوفير ضوابط تقنية، وتوثيق حدودها، وتطوير الاستجابة مع تغيّر أساليب المهاجمين.
Frequently asked questions
هل RustDesk عملية احتيال؟
لا. RustDesk هو برنامج شرعي ومفتوح المصدر للوصول عن بُعد. لكن مثله مثل أدوات سطح المكتب البعيد الأخرى، يمكن إساءة استخدامه عندما يقنع محتال شخصًا ما بتثبيته وتشغيل خدمته ومنحه صلاحية الوصول. تنشر RustDesk تحذيرات بشأن الاحتيال، وأضافت قيودًا على التوزيع وعلى الخادم العام للحد من هذا الاستغلال، إلا أنه لا يوجد أي منتج للوصول عن بُعد يمكنه جعل الهندسة الاجتماعية مستحيلة تمامًا.
لماذا لا يتوفر RustDesk على متجر Google Play؟
قامت RustDesk بسحب تطبيق أندرويد الخاص بها طوعًا من متجر Google Play في سبتمبر 2023 لمنع المزيد من عمليات الاحتيال التي تستهدف المستخدمين. لا تزال إصدارات أندرويد متوفرة عبر إصدارات RustDesk الرسمية على GitHub وعبر F-Droid. لا تُحمّل التطبيق إلا من مصادر تحققت منها بنفسك، وليس من رابط أرسله متصل لم تطلب منه ذلك.
لماذا يتطلب خادم RustDesk العام تسجيل الدخول؟
تقول RustDesk إن تسجيل دخول الطرف المتحكم مطلوب حاليًا على خادمها العام بسبب استمرار إساءة الاستخدام من عمليات الاحتيال وشبكات الروبوتات (botnets). تسجيل الدخول مجاني عبر مزودي هوية خارجيين مدعومين. والغرض من الخادم العام هو العرض التوضيحي والاختبار وليس بيئات الإنتاج أو الأعمال الحساسة؛ وتظل الاستضافة الذاتية متاحة للمؤسسات التي تحتاج إلى تشغيل بنيتها التحتية وسياساتها الخاصة.
كيف يمكنني حماية جهاز يقبل اتصالات RustDesk؟
عيّن كلمة مرور دائمة قوية وفريدة على الجهاز الخاضع للتحكم، وفعّل خاصية المصادقة الثنائية TOTP للاتصال في التطبيق، واستخدم قائمة عناوين IP المسموح بها عندما تكون عناوين أجهزة التحكم لديك أو نطاقات CIDR الخاصة بها معروفة ويمكن التنبؤ بها. اجعل استثناءات الأجهزة الموثوقة محدودة قدر الإمكان. تقلل هذه الطبقات من مخاطر كلمات المرور ومصدر الشبكة، لكنها لا يمكن أن تحمي شخصًا يُسلّم عمدًا كلمة المرور أو رمز المصادقة الثنائية الحالي أو الموافقة اليدوية إلى محتال.



