في ديسمبر 2018، رصد باحثون في جوجل مجموعة من قراصنة المعلومات يستعدون لاختراق متصفح مايكروسوفت إنترنت إكسبلورر. وعلى الرغم من إيقاف مايكروسوفت لتطوير المتصفح منذ عامين، إلا أنه شائع الاستخدام لدرجة أنه إذا تمكنت من اكتشاف طريقة لاختراقه ستتاح لك إمكانية اختراق مليارات الحواسيب.
كان القراصنة يفتشون عن ثغرات غير معروفة سابقاً تسمى ثغرات اليوم صفر، وينجحون في سعيهم. [ثغرات اليوم صفر هي ثغرات أمنية في البرمجيات غير معروفة للعامة أو حتى يغفل عنها مطورو البرمجيات أنفسهم، ويستغلها القراصنة لشن هجمات إلكترونية].
وبعد أن وجد الباحثون هذه الثغرات في إنترنت إكسبلورر، سرعان ما اكتشفوا أن إحداها يجري استغلالها بالفعل. بعد ذلك، أصدرت مايكروسوفت تصحيحاً وأصلحت الخلل نوعاً ما. ثم في سبتمبر 2019، تم اكتشاف ثغرة أمنية مماثلة تستغلها نفس المجموعة من القراصنة.
وتوالى اكتشاف الثغرات في نوفمبر 2019 ويناير 2020 وأبريل 2020 ليصل عددها إلى أكثر من 5 ثغرات من نوع اليوم صفر قيد الاستغلال وناجمة عن نفس نوع الخلل. أصدرت مايكروسوفت تحديثات أمنية متعددة؛ فشل بعضها في إصلاح الثغرة الأمنية المستهدفة بالفعل، بينما تطلَّب البعض الآخر تغييرات طفيفة فقط لا يحتاج القراصنة إلا لتعديل سطر أو اثنين فقط في رمازهم البرمجي لإنجاح استغلال الثغرة من جديد.
"بمجرد أن تفهم واحداً من هذه الأخطاء، يمكنك حينئذٍ تغيير بضعة أسطر ومواصلة استغلال ثغرات اليوم صفر".
وفقاً لبحث جديد أجرته مادي ستون، باحثة أمنية في جوجل، فإن هذه القصة تمثل رمزاً لمشكلة أكبر بكثير في مجال الأمن السيبراني؛ إذ إنه من السهل جداً على المتسللين الاستمرار في استغلال ثغرات اليوم صفر الخفية لأن الشركات لا تقوم بما يلزم لإجراء إصلاح وإغلاق دائم للعيوب البرمجية والثغرات.
يسلط البحث الذي أجرته ستون -وهي أحد أعضاء فريق المشروع صفر (Project Zero) للأمن السيبراني في جوجل- الضوءَ على العديد من الأمثلة الحية على هذه المسألة، بما في ذلك المشكلات التي واجهتها جوجل نفسها في متصفحها الشهير كروم.
وقد قالت ستون يوم 2 فبراير في مؤتمر الأمن إنيجما (Enigma): "ما رصدناه في بحثنا يحدث في مختلف شركات البرمجيات؛ فالتصحيحات غير المكتملة تسهِّل على المهاجمين استغلال المستخدمين عبر ثغرات اليوم صفر. نحن لا نقوم بما يكفي حتى نجبر المهاجمين على البحث عن أنواع ثغرات جديدة تماماً، وتطوير أساليب استغلال جديدة كلياً، وتمحيص رمازات برمجية لم تخضع للتدقيق من قبل. وبذلك، فإننا نفسح المجال أمام القراصنة لإعادة استخدام الكثير من نقاط الضعف المختلفة التي اكتشفناها سابقاً".
ثغرات أمنية في متناول القراصنة كالفاكهة المتدلية من الشجرة
يعمل أعضاء المشروع صفر داخل جوجل كفريق فريد ومثير للجدل أحياناً ومكرَّس بشكل كامل للبحث عن ثغرات اليوم صفر الغامضة ورصدها. ويشكل هذا النوع من الثغرات مطمعاً للقراصنة على اختلاف أساليبهم، وهي تحظى بتقدير أكبر من أي وقت مضى، ليس بالضرورة بسبب صعوبة تطويرها، ولكن لأنها تكتسب فاعلية أكبر في عالمنا فائق الاتصال.
على مدار ست سنوات من بدء نشاط فريق جوجل، تتبع بشكل علني أكثر من 150 ثغرة كبرى من نوع اليوم صفر. وفي عام 2020 قام فريق ستون بتوثيق 24 ثغرة من هذا النوع يجري استغلالها، وكان ربعُها مشابهاً للغاية لنقاط ضعف تم الكشف عنها سابقاً. تم تصحيح ثلاث ثغرات منها بشكل غير كامل، ما يعني أن الأمر لم يستغرق القراصنة سوى بضع تعديلات على رمازهم البرمجي حتى يستأنفوا هجومهم. وتقول ستون إن العديد من الهجمات من هذا النوع تعتمد على وجود أخطاء بدائية و"ثغرات سهلة المنال".
وتضيف أن "الأمر ليس صعباً" بالنسبة للقراصنة؛ إذ إنه "بمجرد أن تفهم واحداً من هذه الأخطاء، يمكنك حينئذٍ تغيير بضعة أسطر ومواصلة استغلال ثغرات اليوم صفر".
إذن، لم لا يتم إصلاحها؟ ترى ستون أن معظم فرق الأمن السيبراني العاملة في شركات البرمجيات مقيدة من حيث الوقت والموارد، وإذا كان هناك خلل في محفزاتهم وأولوياتهم، فإنهم سيتحققون فقط من إصلاح الثغرة الأمنية المحددة جداً بين أيديهم بدلاً من معالجة المشكلات الأكبر الكامنة وراء العديد من مواطن الضعف.
يؤيد باحثون آخرون تفسيرات ستون ويؤكدون أنها مشكلة شائعة؛ إذ يقول جون سيمبسون، الباحث في مجال الثغرات الأمنية في شركة تريند مايكرو للأمن السيبراني: "في أسوأ الحالات، اكتشفت بضع ثغرات من نوع اليوم صفر ناجمة عن قيام مزود البرنامج بإصلاح خلل ما في سطر برمجي وعدم تصحيح النوع نفسه من الخلل في السطر البرمجي التالي، لم يكلفوا أنفسهم عناء إصلاحها. يمكننا جميعاً التحدث عن هذه المشكلة بلا كلل، ولكن إذا لم تمتلك الشركات البنيةَ السليمة للقيام بأكثر من إصلاح الخطأ الدقيق الذي تم إبلاغهم به، فسنحصل في نهاية المطاف على كمية هائلة من حزم الإصلاحات البرمجية".
يعتمد تغيير الوضع الحالي إلى حد كبير على توافر الوقت والمال؛ أي إتاحة وقت أكبر للمهندسين للتحقيق في الثغرات الأمنية الجديدة، والعثور على السبب الجذري وراءها، وإصلاح المشكلات الأعمق التي غالباً ما يتم اكتشافها عبر التدقيق في الثغرات المنفردة. وقالت ستون إن المهندسين يستطيعون أيضاً إجراء تحليل تنوعي كامل؛ أي البحث عن نفس الثغرة الأمنية في أماكن مختلفة، أو عن نقاط ضعف أخرى في نفس الكتلة من الرماز البرمجي.
آبل: فاكهة مختلفة تماماً
يجرب البعض بالفعل أساليب مختلفة لحل هذه المشكلة؛ فعلى سبيل المثال، تمكنت آبل من إصلاح بعض المخاطر الأمنية الأكثر خطورة في آيفون من خلال استئصال الثغرات الأمنية على مستوى أعمق.
في عام 2019، تصدرت باحثة أخرى في مشروع زيرو التابع لجوجل، ناتالي سيلفانوفيتش، عناوين الأخبار عندما اكتشفت ثغرات خطيرة من نوع النقرة صفر [التي لا تحتاج أي تفاعل من المستخدم لإنجاحها] واليوم صفر في تطبيق آبل الخاص بالرسائل آي ميساج (iMessage). سمحت هذه الثغرات للمهاجم بالاستيلاء على هاتف الشخص بالكامل دون أن تقوم الضحية بأي شيء إطلاقاً؛ إذ إنه حتى لو لم تنقر على رابط، فلا يزال بإمكان القراصنة التحكم في هاتفك. (في ديسمبر 2020، توصل بحث جديد إلى وجود حملة قرصنة تستهدف الصحفيين، وتستغل هجوماً آخر من نوع النقرة صفر واليوم صفر ضد تطبيق آي ميساج).
وبدلاً من معالجة بسيطة لثغرات معينة، أجرت آبل تحليلاً معمقاً وتعديلاً لتطبيق آي ميساج بهدف التعامل مع المشاكل الجوهرية والبنيوية التي يستغلها القراصنة. لم تصرح آبل عن الطبيعة المحددة لهذه التغييرات، وأعلنت منذ فترة قريبة عن مجموعة من التحسينات المصاحبة لتحديث نظامها آي أو إس 14 (iOS 14). لكن الباحث صاموئيل جروس من المشروع زيرو قام مؤخراً بتحليل مفصل لنظام آي أو إس وتطبيق آي ميساج واستنتج ما قامت به آبل؛ لقد أصبح التطبيق الآن معزولاً عن بقية الهاتف بالاستناد إلى ميزة تسمى بلاست دور (BlastDoor) مكتوبة بلغة برمجة تسمى سويفت (Swift) ومن شأنها أن تصعب على القراصنة الوصول إلى مساحة الذاكرة الخاصة بتطبيق آي ميساج.
قامت آبل أيضاً بتغيير بنية نظام التشغيل آي أو إس (iOS) بحيث تزداد صعوبة الوصول إلى ذاكرة التخزين المؤقت المشتركة للهاتف، وهو الأسلوب الذي اتبعته معظم عمليات الاختراق البارزة لهاتف آيفون في السنوات الأخيرة.
أخيراً، منعت آبل القراصنة من تجربة هجمات "القوة العمياء" مراراً وتكراراً في تتابع سريع. من شأن ميزات التقييد الجديدة أن تجعل عمليات الاستغلال التي ربما كانت تستغرق دقائق من قَبل تحتاج اليوم إلى ساعات أو أيام لإنجاحها، ما يجعلها أقل إغراءً للقراصنة.
علّق جروس على إجراءات آبل قائلاً: "إنه لأمر رائع أن نشهد قيام آبل بتخصيص الموارد لهذه الأنواع من عمليات إعادة البناء العميقة للتعليمات البرمجية من أجل تحسين مستوى أمان المستخدمين. كما أن هذه التغييرات تسلط الضوء على أهمية العمل الأمني الهجومي؛ إذ لم يتم إصلاح أخطاء منفردة فحسب، بل تم إجراء تحسينات بنيوية بناءً على الأفكار المكتسبة من جهود المطورين الذين يبحثون عن الثغرات في برمجياتهم".
تتفاقم عواقب الاختراقات الأمنية على نحو أكبر كلما أصبحنا متصلين أكثر، ما يعني أنه من المهم أكثر من أي وقت مضى أن تستثمر شركات التكنولوجيا في مشاكل الأمن السيبراني الرئيسية وأن تضع معالجتها في رأس أولوياتها، فهي تكمن وراء مجموعات كاملة من الثغرات والأخطاء القابلة للاستغلال.
تختم ستون بقولها: "أوجه نصيحة للمدراء والمسؤولين وأقول لهم: استثمروا في هذا المجال قدر استطاعتكم؛ امنحوا المهندسين وقتاً كافياً لإجراء تحقيق كامل في الأسباب الجذرية لنقاط الضعف وإصلاحها، وأفسحوا لهم المجال لإجراء تحليل تنوعي، وأعطوهم مكافآت على عملهم في خفض الدَّين التقني [أي التكلفة المترتبة على إعادة تطوير برمجيات معينة نتيجة اختيار حلول بسيطة غير مدروسة]، وركزوا على الإصلاحات المنهجية".