28-نوفمبر-2017

من خلال تحديد الثغرات في مواقع الإنترنت، يهدف طلاب علوم الكمبيوتر للمساعدة في تحسين الأمن السيبراني (جون نورمان/Getty)

لا تقتصر بعض الجامعات الأمريكية على تدريس علوم الكمبيوتر ومنهج الأمن الإلكتروني بشكل عام ونظري، كما يحصل في دول أخرى، بل تحرص على توفير دورات في "القرصنة الأخلاقية"، كما يسمونها، تحت إشراف مختصين للمساهمة في اكتشاف ثغرات في مواقع حكومية وخاصة، فكيف يعيشون هذه التجربة؟.. في هذا المقال، المترجم عن الرابط التالي، نعيش التجربة مع دوج تيغار، أستاذ علوم الكمبيوتر، بجامعة كاليفورنيا في بيركلي وتلامذته.


أخبرني مؤخرًا دوج تيغار، أستاذ علوم الكمبيوتر، بجامعة كاليفورنيا في بيركلي: "كلما أًدرّس منهج الأمن الإلكتروني لفصلٍ جديد، يحدث شيء ما في العالم يرتبط بذلك الفصل الدراسي".

لقد كان هذا العام مثمرًا بشكلٍ خاص من الناحية التربوية. جديرٌ بالذكر أنه حتى الآن من العام 2017، سجل مركز بيانات سرقة الهوية، وهو منظمة أمريكية غير ربحية، أكثر من ألف ومائة خرق للبيانات، وهو أعلى رقم منذ عام 2005. وتشمل قائمة الضحايا، بعض المنظمات التي تقدم الرعاية الصحية، وبعض المواقع الكبيرة التي توفر خدمة الوجبات السريعة، والمصارف متعددة الجنسيات، والمدارس الثانوية العامة والكليات الخاصة، وبعض مصانع الشوكولاته الصغيرة التي تديرها بعض العائلات، وموزعي السجائر الإلكترونية، بالإضافة إلى موقع القوات الجوية الأمريكية.

تقدم بعض الجامعات في الولايات المتحدة لطلبة علوم الكمبيوتر، دورات في "القرصنة الأخلاقية" لكشف الثغرات في عديد المواقع مقابل مكافآت مختلفة  

وقد تعرض ما لا يقل عن مائة وواحد وسبعين مليون سجل للخطر. ويمكن أن يُعزى ما يقرب من 85 في المائة من تلك السجلات إلى الاختراق الكارثي الذي استهدف وكالة إيكيفاكس Equifax المعنية بالإبلاغ الائتماني. تم الإبلاغ عن هذا الاختراق في أوائل شهر أيلول / سبتمبر، ووقع ذلك فقط في الأسبوع الثالث من بداية دورة جديدة لتيغار وطلابه كانت تُسمَّى (الحروب السيبرانية)، أو (حروب الإنترنت).

وكان الغرض من الدورة، وفقًا لصفحة كلية تيغار على شبكة الإنترنت، هو تعليم الطلاب الناشئين الذين يدرسون علوم الحاسب في بيركلي كيف يقومون بعمل "فحص جنائي لبعض الهجمات السيبرانية الحقيقية" بهدف منعها. وهذا يعني أنه يمكنهم اعتراض الهجمات من تلقاء نفسهم.

اقرأ/ي أيضًا: هل يتجسس زوكربيرغ على هواتفنا ليعرف ما نريد؟ هذا رد فيسبوك

يُعد قانون العقوبات في جميع أنحاء الولايات المتحدة غير متساهل بالمرة وبشكلٍ خاص عندما يتعلق الأمر بالجرائم الإلكترونية. في بعض الولايات، تُعتبر بعض جرائم الحاسوب جنايات من الفئة C، مما يضعها على قدم المساواة مع جرائم الحرق العمد والخطف. لذلك، بالنسبة للجزء العملي من دراستهم، يعتمد طلاب تيغار على هاكر وان، وهو نوع من سوق تجاري وشبكة اجتماعية على الإنترنت مُكرَّس لـ(القرصنة الأخلاقية).

وتستخدم الشركات والمنظمات والهيئات الحكومية الموقع لطلب المساعدة في تحديد مواطن الضعف في منتجاتها أو، كما قال تيغار: "يكرّسون أنفسهم بطريقةٍ ما لمساعدة الطلاب وذلك من خلال جعل أنفسهم هدفًا يحاول الطلاب الجامعيون اختراقه". يقدم  العديد من هؤلاء العملاء يعض المكافآت النقدية كمقابل الحصول على معلومات حول مواطن الخلل، وتُعرف تلك المكافآت باسم (مكافأة العلّة). ومنذ أن تم إطلاق هاكر وان في عام 2012، حصل حوالي مائة ألف مُختبِر أو نحو ذلك العدد، على مكافآت يبلغ مجموعها 22 مليون دولار، وهو الرقم الذي كان يأمل مؤسسو المنصة الهولندية، جوبيرت إبما وميشيل برينز، تحقيقه بحلول عام 2020. أما بالنسبة لطلاب تيغار، فلهم حافز مختلف: كل علّة أو خلل يكتشفوه من خلال موقع هاكر، يعطيهم نقطة إضافية على تقديرهم النهائي.

وفي أواخر الشهر الماضي، تجمع حوالي خمسين طالبًا من كورس (حرب الانترنت)، يحملون على ظهورهم حقائب الظهر الثقيلة، ومرتدين أشكالًا مختلفة من الملابس التي تحمل ختم جامعة كاليفورنيا في مبنى يعود إلى القرن التاسع عشر في الحرم الجامعي للقيام بـ(ليلة من الإختراقات). تم وضع غنائم ومكافآت هاكر وان على المقاعد، وكانت عبارة عن تي شيرتات، وأغطية للكاميرات وأجهزة الكمبيوتر المحمولة، وسبينر. دار تيغار في جميع أنحاء الغرفة بقميص "بولو تيل"، وصندل من "بيركن"، يحثُّ المتطوعين لتجهيز العديد من أكوام البيتزا وتوزيع علب الصودا. وما إن تم إعداد كل شيء، حتى بدأ الطلاب في البحث عن العلل ومواطن الخلل.

وقد أرسل "هاكر وان" كادرًا من المهنيين في مجال أمن الانترنت، معظمهم من أولئك الشباب النحيف المهووس بالكمبيوتر ويرتدون التيشرتات، لتقديم المشورة. وكان أحدهم هو تانر إيميك، أحد مهندسي شركة التمويل الشخصي، نيرد ووليت NerdWallet، والذي قد تلقى مؤخرًا مكافأة قدرها 14 ألف دولار في ديف كون، وهو مؤتمر سنوي للقراصنة في لاس فيغاس، لاكتشافه خللًا في سيليس فورس Salesforce، وهي منصة لإدارة العلاقات العامة، (وأكد لي إيميك أن الخلل قد تم إصلاحه).

وكان طلاب تيغار يسعون لجوائز أكثر تواضعًا سابقًا. قال لي، في آن فان: "هناك بعض الشركات التي تُقدم هدايا أصغر للقراصنة"، وأضاف: "بالنسبة لي، مواقع الدولة على شبكة الإنترنت والمواقع الحكومية المحلية على شبكة الإنترنت، هي مثل، الفاكهة التي سقطت بالفعل على الأرض". على الرغم من أن العملاء الحكوميين لموقع هاكر وان لا يميلون لتقديم  الهبات أو المكافآت النقدية، إلا أن فان قرر التركيز على مواقع الانترنت المختلفة التابعة لمكاتب وزارة الخارجية في جميع أنحاء البلاد، والتي تضم الأدوات الأساسية في العملية الانتخابية من تسجيل الناخبين، وتدابير الاقتراع، ومعلومات المرشحين، والمبادئ التوجيهية يوم الانتخابات. ويتابع، لقد وجدت، حتى الآن، ثمانية أنواع من الخلل تنتشر عبر أربعة مواقع مختلفة.

كان أحد مواطن الخلل يكمن في النقر على المفاتيح، حيث يمكن للمستخدم التلاعب بها عن غير قصد وذلك من خلال النقر على شيءٍ غير مرغوب فيه. وكانت العديد من نقاط الضعف الأخرى من نوع الحقن البرمجي للمواقع (XSS)، وهو نوع مرن وخبيث من الهجومات، حيث يقوم القراصنة بحقن بعض التعليمات البرمجية الخاصة بهم في حيز البرمجة الخاص بأحد المواقع أو بعض التطبيقات البرمجية. وقال فان: "وهذا من شأنه أن يخدع شخصًا ويدفعه للتسجيل لحزب غير الذي يرغب في التسجيل له أو يخدعه من خلال عدم التسجيل نهائيًا"، وأضاف فان: "ويتوقف كل هذا على ما يريد المخترق القيام به".

وقام طالبان من جامعة ووهان الصينية على الناحية الأخرى من الغرفة باختبار موقع وزارة الدفاع الأمريكية على شبكة الإنترنت. وصرخ أنجوش تشو مبتهجًا: "لقد وجدنا للتو أحد مواضع الخلل". وقد اكتشف هو وزميله، فارلوي لي، أن جزءً من الموقع كان عرضةً لشن هجمات من نوع (XSS) سالف الذكر، ويجعل هذا الخلل من السهل نسبيًا على المخترق سرقة بيانات الزوار المتصفحين الآخرين وانتحال صفاتهم.

كما قام تشو ولي أيضًا باختبار بعض مواقع الشبكات الاجتماعية مثل فيسبوك وتويتر وكورا للتعرف على مدى قابليتهم في الوقوع ضحية الهجمات الهوموغرافية، وفيها يستخدم القراصنة أحرفًا مشابهة من أنظمة الكتابة المختلفة للتشويش على أهدافهم. هذه التقنية تحظى بشعبيةٍ خاصة في عمليات الاحتيال والنصب من خلال البريد الإلكتروني. فإذا، أراد أحد القراصنة -على سبيل المثال- خداع بعض الأشخاص لسرقة معلومات بطاقات الائتمان الخاصة بهم، فربما يرسل لهم وصلة إلى نسخة وهمية من موقع باي بال Paypal.com، مع تبديل الحروف اللاتينية الموجودة في عنوان الرابط (URL) بالحروف السيريالية أو مشتقاتها (الحروف الهجائية ومشتقاتها المستخدمة في بعض الدول السلافية الشرقية والجنوبية -مثل لغات: بيلاروسيا، وبلغاريا، وجمهورية مقدونيا، وروسيا الاتحادية، والجبل الأسود وجمهورية صربيا والبوسنة والهرسك وأوكرانيا- وغيرهم) - على سبيل المثال، يتم استبدال حرف الـ (p) في الانجليزية بحرف الـ (р) في السلافية، والذي يشبه في نطقه حرف الـ (R) في الانجليزية، وحرف الـ(Y) في الانجليزية بحرف الـ (у ) في السلافية، الذي يُنطق كـ(U). وهلم جرا.

اقرأ/ي أيضًا: شاب تونسي يكتشف ثغرات في فيسبوك ويكافأ

كريستيان نغ، طالب جديد، كان يقوم بغربلة واختبار إحدى شفرات منصات العملات المشفرة (الكريبتو كيرنسي) المدعوم من المشروع. وأثناء ذلك بدا غير متفائل. وقال: "إنهم كانوا يستخدمون برنامج الفلاش، وهو أمر غير آمن على الإطلاق"، وأضاف: "بإمكاني حقن التعليمات البرمجية في أي كائن لبرنامج الفلاش، ويمكنني من خلال ذلك إنشاء ثغرة من نوع (XSS)". يمكن للمهاجمين من الناحية النظرية استخدام مثل هذه الثغرة لسرقة بيانات المعاملات أو الحسابات المصرفية - من المتوقع أن يحصل نغ على مكافأةٍ تصل إلى سبعة آلاف وخمسمائة دولار للعثور على هذا الخلل.

يقول دوج تيغار، أستاذ علوم الكمبيوتر "إذا تمكن بعض الطلاب في المرحلة الجامعية من اختراق بعض المواقع الحيوية في الولايات المتحدة فلا يجب الاستغراب من ما قد يقوم به القراصنة الروس"

وعلى بُعد بعض المقاعد من نغ، كان يجلس جوبيل كايل فيسينو، وكان يعمل مع شريك له على اختراق أحد مواقع الترفيه للأطفال. وقال: "مبدأنا فى التفكير هو أن المواقع الإلكترونية التي تهدف في الأساس للترفيه عن الأطفال، لا يتم اختبارها عادةً بشكلٍ جيد". (في شهر تموز/ يوليو، بعد العثور على عددٍ من الدمى الذكية المتصلة بالإنترنت والحيوانات المحشوة ببعض المشاكل الأمنية، أصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرًا عامًا باحتمالية وجود فرص للاحتيال على (هُوية الأطفال)).

كان أدما، المؤسس المشارك لـ (هاكر وان)، يجلس بل ويشترك مع الطلاب طوال المساء. وقال لي بينما كنا نجلس في الجزء الخلفي من الفصل الدراسي، أن بعضًا من هؤلاء الطلبة لديهم القدرة على أن يصبحوا: "مخترقين ناجحين جدًا". لكنه أعرب أيضًا عن بعض الشكوك قائلًا: إن "الثبات والإبداع والسعي إلى الاستمرار هما أمور يصعب علينا تعليم أي منها". وشبّه القرصنة بمكعب روبيك معلقًا: "أنت لا تعرف بالضرورة كيف تفعل ذلك، ولكنك متأكد أن هناك حلًّا".

بالنسبة لتيغار، فإن الحلول نفسها أقل أهميةً من التجربة والمنظور الذي سيوفره دراسة كورس "حرب الانترنت" لطلابه. وقال: "لقد قرأنا جميعًا الأخبار والتي حوت بعض  التقارير بأن القراصنة الروس اقتحموا البنية التحتية التي تساعد على دعم والتأكد من نزاهة العملية الانتخابية"، وتابع: "وعندما تعلم أن بعض الطلاب في المرحلة الجامعية يمكنهم أيضًا اختراق بعض تلك المواقع الهامة والحيوية، فإن ذلك من شأنه أن يغير تمامًا نظرتنا لتطور الأمور".

اقرأ/ي أيضًا:

الفضاء السيبراني.. امتداد حرب باردة بين واشنطن وموسكو

فرنسا متخوفة من هجمات روسية.. إلكترونيًا