قراصنة المعلومات يثبتون سهولة استهداف البنى التحتية الحساسة

4 دقائق
قراصنة المعلومات يثبتون سهولة استهداف البنى التحتية الحساسة
الفريق الفائز، كوبر وألكيميد، خلال البطولة. حقوق الصورة: زيرو داي إينيشياتيف.

ليست ممارسة القرصنة تحت الأضواء الساطعة بالأمر الجديد بالنسبة لدان كوبر.

ففي 2012، قام باختراق هاتف آيفون جديد وفاز بمبلغ 30,000 دولار على منصة مسابقة "بون تو أون" (Pwn2Own)، وهي أكبر مسابقة قرصنة في العالم. وقام مع زميله ذيس ألكيميد بعد ذلك، وبدافع من الفضول المحض، باختراق سيارة في 2018. وفي السنة الماضية، وبدافع من انتشار الوباء، قاما باختراق برنامج للاتصال المرئي وتطبيقات لفيروس كورونا.

ومؤخراً، فاز الباحثان الهولنديان بمبلغ 90,000 دولار مع كأس جديدة لبطولة "بون تو أون" باستهداف البرنامج الذي يساعد على تشغيل البنى التحتية الحساسة في العالم. 

وقد قالا إنه أسهل تحدٍّ خاضاه حتى الآن.

اقرأ أيضاً: أربع مجموعات قرصنة تنضم للهجوم الحالي على خوادم البريد الإلكتروني في مايكروسوفت

سهولة تكشف عن الكثير من نقاط الضعف في البنى التحتية الحساسة

يقول كوبر: "ما زال هناك الكثير من نقاط الضعف التي يمكن استغلالها بسهولة في أنظمة التحكم الصناعية، إن مستوى الحماية فيها متأخر إلى درجة كبيرة".

ويتفق ألكيميد معه قائلاً: "لا شك في أنها بيئة يمكن العمل فيها بسهولة أكبر".

في نفس اللحظة التي كنت أشاهد فيها الباحثين على المنصة في ميامي وهما يعملان على اختراق مجموعة صغيرة من البرمجيات الصناعية الحساسة، أصدرت الولايات المتحدة وحلفاؤها تحذيراً حول تصاعد خطر القراصنة الروس الذين يستهدفون البنى التحتية، مثل شبكات الكهرباء والمفاعلات النووية وأنظمة المياه وغيرها. ومؤخراً، تم ضبط مجموعة من القراصنة الروس خلال محاولة لتعطيل شبكة الطاقة الأوكرانية، كما تم ضبط مجموعة قرصنة أخرى كانت تعمل على عرقلة عمل أنظمة صناعية حساسة

مسابقة بون تو أون: أنظمة موازية للعالم الحقيقي

وعلى الرغم من أن مسابقة "بون تو أون" ليست على هذا المستوى من الخطورة، فإن الأنظمة الموجودة فيها هي نفس الأنظمة الموجودة في العالم الحقيقي. وفي ميامي، كانت الأهداف جميعاً أنظمة تحكم صناعية لتشغيل المنشآت الحساسة. وتمكن القراصنة من اختراق جميع البرمجيات التي طُلب منهم استهدافها تقريباً. وهذا بالضبط ما كان رعاة الحدث يدفعون الأموال للحصول عليه، حيث يقوم القراصنة الذين نجحوا في عمليات الاختراق بمشاركة جميع التفاصيل بحيث يمكن إصلاح الثغرات التي استغلوها. ولكنها أيضاً دلالة على حاجة أنظمة الأمن في البنى التحتية إلى الكثير من التعديلات والتطويرات.

يقول دستن تشايلدز، والذي أشرف على المسابقة هذه السنة: "غالبية الأخطاء البرمجية التي نكتشفها في أنظمة التحكم الصناعية مماثلة للأخطاء التي رأيناها في عالم برمجيات الشركات منذ 10 إلى 15 سنة مضت، وما زال أمامنا الكثير مما يجب إنجازه".

البحث عن الإنجاز الأكبر

من الأهداف المميزة لهذه السنة برنامج "آيكونيكس جينيسيس 64" (Iconics Genesis64)، وهو أداة تؤدي دور واجهة تخاطبية بين البشر والآلة، ويستطيع القراصنة اختراقها لتعطيل الأهداف الحساسة مع خداع المشرفين البشر بدفعهم إلى الاعتقاد بعدم وجود أي مشكلة.

ونحن ندرك أن هذا الخطر حقيقي، فمنذ عقد من الزمن، قامت حملة قرصنة شهيرة ومعروفة باسم "ستوكسنيت" (Stuxnet) باستهداف البرنامج النووي الإيراني. حيث قام قراصنة يُعتقد بأنهم يعملون لصالح الولايات المتحدة وحلفائها بتخريب وحدات التحكم المنطقية القابلة للبرمجة داخل آلات الطرد المركزي الغازية المستخدمة لفصل المواد النووية، ولكنهم قاموا أيضاً ببرمجة الآلات حتى تشير للمشرفين الإيرانيين بعدم وجود أي مشكلة. وأدت هذه الحيلة الإضافية التخريبية الخبيثة إلى مضاعفة نتائج العملية.

وفي ميامي، تم اختراق "آيكونيكس جينيسيس 64" على الأقل ست مرات لمنح القراصنة التحكم الكامل. وفازت الفرق التي خاضت هذا التحدي بجوائز بلغت قيمتها الإجمالية 75,000 دولار. 

اقرأ أيضاً: هل ستصبح القرصنة الأخلاقية مهنة مزدهرة وآمنة؟

يقول تشايلدز: "لقد تفاجأت بوجود هذا العدد من الأخطاء البرمجية الفريدة في آيكونيكس جينيسيس 64. وهو ما يبين مدى انتشار الأخطاء البرمجية التي يمكن البحث عنها. وهناك عدد كبير منها يفوق ما يقوم الناس بالإبلاغ عنه حالياً".

قدم كوبر وألكيميد أفضل أداء في المسابقة دون منازع، حيث قاما باختراق بروتوكول اتصال يسمى "أو بي سي يو أيه" (OPC UA). ويمكن أن ننظر إلى هذا البروتوكول على أنه لغة مشتركة تستخدمها الأجزاء المختلفة من أنظمة العمليات الحساسة حتى تتواصل مع بعضها بعضاً ضمن البيئة الصناعية. وتمكن كوبر وألكيميد –المشاركان في المسابقة تحت اسم شركتهما "كومبيوتيست" (Computest)- من تجاوز تدقيق التطبيقات الموثوقة بنجاح.  

وعندما أتما المهمة، ضجت الغرفة على الفور بأقوى جولة من التصفيق منقطع النظير طوال فترة المسابقة التي دامت لأسبوع كامل. وشاهدتُ ضجيج الجمهور عندما قام كوبر وألكيميد بإدارة حاسوبيهما المحمولين باتجاهنا جميعاً حتى نرى نجاحهما. وخلال بضع ثوانٍ، فاز الفريق بمبلغ 40,000 دولار وما يكفي من النقاط لضمان الفوز بلقب البطولة في المسابقة: "أستاذ الاختراق" (Master of Pwn). 

يقول تشايلدز: "نحن نبحث عن هذا النوع بالضبط من الإنجازات الكبيرة".

اقرأ أيضاً: كيف نحمي أنظمة الذكاء الاصطناعي من الهجمات السيبرانية؟

ماذا يعني بروتوكول الاتصال "أو بي سي يو أيه" (OPC UA)؟ 

ويقول كوبر: "تعتمد الأنظمة الصناعية في كافة أنحاء العالم على البروتوكول "OPC UA" للتواصل مع بعضها بعضاً، ويُعتبر هذا النظام مكوناً أساسياً في الشبكات الصناعية النموذجية، ويمكننا تجاوز عملية المصادقة الضرورية بشكل طبيعي لقراءة أو تغيير أي شيء. ولهذا وجد الناس أن هذا العمل كان الأكثر أهمية وإثارة للاهتمام، ولم يتطلب العثور على الثغرة سوى يومين وحسب".

لقد استغرقت عملية اختراق آيفون في 2012 ثلاثة أسابيع من العمل المركز. وعلى العكس، كانت عملية اختراق النظام "OPC UA" مجرد مشروع جانبي أقرب إلى تسلية ألهت كوبر وألكيميد عن أعمالهما اليومية المعتادة. ولكن أثرها كبير للغاية.

فهناك فروقات كبيرة بين عواقب اختراق هاتف آيفون واختراق برنامج للبنى التحتية الحساسة، إذ يمكن تحديث آيفون بسهولة، كما أن الشركة تنتج هواتف جديدة على الدوام. 

اقرأ أيضاً: جوجل تقول: بعض مواقع الإنترنت تخترق عدداً كبيراً من أجهزة الآيفون بصمت… ومنذ سنوات

ولكن، ومن ناحية أخرى، فإن بعض الأنظمة في البنى التحتية الحساسة تدوم عقوداً كاملة. كما أن بعض العيوب الأمنية غير قابلة للإصلاح على الإطلاق، ولا يستطيع المشرفون في أغلب الأحيان تحديث تكنولوجياتهم لإصلاح المشكلات الأمنية لأن إيقاف عمل النظام غير وارد، فليس من السهل إيقاف عمل مصنع وتشغيله ثانية مثل المصباح أو الحاسوب المحمول.

يقول كوبر: "في أنظمة التحكم الصناعية، بيئة العمل مختلفة تماماً، ويجب أن تفكر في الجوانب الأمنية بشكل مختلف. وستجد أنك بحاجة إلى حلول مختلفة، وبحاجة إلى أفكار تحدث تغييرات جذرية".

على الرغم من النجاح الذي حققاه، فإن كوبر وألكيميد يدركان تماماً أن مشكلات الأمن الصناعي ما زالت موجودة وبحاجة إلى معالجة. ولكنها بداية جيدة بالنسبة لهما.

يقول ألكيميد: "أنا أجري الأبحاث لدعم الصالح العام والمساعدة في جعل العالم أكثر أماناً بقليل، ونحن نركز على الإنجازات التي تجتذب الكثير من الاهتمام حتى يصغي الناس إلينا. ليس المال هو الهدف،  بل الحماسة واستعراض ما نستطيع فعله". 

اقرأ أيضاً: كيف بنت الصين نظام تجسس سيبراني فريداً من نوعه؟

يقول كوبر: "نأمل بأننا جعلنا العالم مكاناً أكثر أماناً".

وفي هذه الأثناء، تتواصل منافسات "بون تو أون"، بعد أن قدمت جوائز بقيمة مليوني دولار في السنة الماضية. وبعد فترة وجيزة، سيجتمع القراصنة في فانكوفر للاحتفال بالذكرى الخامسة عشرة لهذا الحدث. أما أحد الأهداف المميزة لذلك اليوم: سيارة تسلا.

المحتوى محمي