اقتراحات عملية لإصلاح ثغرات الأمن السيبراني في الشرائح الإلكترونية بشكل أسرع

4 دقائق
مصدر الصورة: إريك كارتر

عندما كشفت إنتل مع مجموعة من باحثي أمن المعلومات في مايو الماضي عن وجود ثغرات أمنية جديدة في الأجيال القديمة من الشرائح الميكروية للشركة، تضمّن الخبر معلومة مثيرة للقلق، فقد استغرق إيجادُ حل لإحدى الثغرات مدةً تزيد عن السنة.

يقول الباحثون إنهم أنذروا إنتل بشأن المشكلة -التي أطلقوا عليها اسم: زومبي لود- في أبريل من العام 2018، إلا أنه لم يتم إطلاق حل لها على نطاق واسع حتى مايو من العام 2019. ومن ناحية أخرى، فإن الشركات البرمجية لا تستغرق عادة أكثر من 90 يوماً لإصدار التصحيحات البرمجية بعد الكشف عن مشكلة في برامجها، وكلما طال بقاء المشكلة من دون حل، ازداد احتمال اكتشاف القراصنة لها.

يشغل دانييل جروس منصب بروفسور في جامعة جراز للتكنولوجيا في أستراليا، وهو أحد الباحثين الذين ساعدوا على الكشف عن زومبي لود، وهو يعتقد أن من الممكن تسريع العمل. وفي رسالة بالبريد الإلكتروني إلى إم آي تي تكنولوجي ريفيو، يقول جروس إنه عندما قام وزملاؤه بإعلام إنتل بالمشكلة في أبريل المنصرم، قدموا إثباتاً عملياً تم تدقيقه بشكل مستقل على وجود المشكلة فعلياً. وفي مايو من 2018، قدموا تفاصيل إضافية لإنتل حول الثغرة، التي يمكن أن تسمح للقراصنة بالحصول على بيانات حساسة من التطبيقات على الآلات. وتقول إنتل أنها لم تتمكن في البداية من تكرار الاختراق الأمني الذي وجده الباحثون، ولهذا كانت في حاجة إلى مزيد من الأدلة قبل اتخاذ أي إجراء. وفي وقت سابق من هذه السنة، أكدت أخيراً وجود الثغرة وأصدرت الحل.

ويؤكد هذا الأمر التوتر القائم على مستوى التحديات في التعامل مع ثغرات العتاد الصلب؛ حيث إن معالجتها غالباً ما تكون أكثر تكلفة وصعوبة بكثير من الثغرات البرمجية، مما يفتح المجال للتأثير على مليارات الشرائح، ويعرض كل شيء لخطر الاختراق، بدءاً من المخدمات في مراكز البيانات ووصولاً إلى الحواسيب اللوحية والهواتف الخليوية.

سبيكتر وميلتداون

تصاعدت الضغوط لتسريع الاستجابة لهذه المشاكل منذ بداية 2018، عندما تسربت تفاصيل عن مجموعة أخرى من ثغرات الشرائح -والمسماة: سبيكتر وميلتداون- قبل أوانها. وعمَّت الفوضى مع تخبط الشركات لمعرفة مدى عرضتها للهجمات، وسارعت شركات الشرائح لإصدار حلول برمجية. وقد عززت هذه الحادثة من أهمية ثغرات الشرائح، ومن المرجح أنها شجعت القراصنة على البحث عنها بشكل أدق.

وعندما يعثر الباحثون على ثغرة أمنية برمجية أو في العتاد الصلب، فإنهم عادة ما يقومون بالإبلاغ عنها سرياً إلى الشركة المعنية. وتبقى الثغرة سراً بينما تعمل الشركة على إيجاد حل حتى لا تعرف أية جهات خبيثة بوجودها. وما أن يتم تجهيز الحل، تُطلق الشركة حملة إعلامية حتى تحث المستخدمين على تطبيق الحل في أسرع وقت ممكن.

وتُعرف هذه العملية باسم الإعلان المنسق عن الثغرات (CVD)، وهي ناجحة بالنسبة للثغرات البرمجية، التي لا يستغرق إصدار تعديل برمجي لها عادة أكثر من 90 يوماً في صناعة البرمجيات. ولكن بالنسبة للثغرات في الشرائح، فإنها ما زالت طويلة إلى حد يثير القلق.

ولا شك في أن ثغرات العتاد الصلب أكثر صعوبة؛ حيث يمكن أن تحتوي عائلة من الشرائح على العشرات من الإصدارات، يعتمد كل منها على نظام تشغيل مصمم بشكل خاص به يُعرف باسم الكود الميكروي، ولهذا فإن إصلاح الثغرات يتطلب تحديث الكود الميكروي في كل هذه الإصدارات.

وقد تتضمن حلول ثغرات العتاد الصلب أيضاً تحديثات لأشياء أخرى مثل أنظمة التشغيل، مما يعني أنه يجب على صانعي الشرائح العمل جنباً إلى جنب مع الشركات الأخرى بشكل سري لضمان عمل الكود الميكروي المعدل بانسيابية مع البرامج الأخرى قبل إطلاق الحل.

دلالات مُبشّرة

منذ مشكلة سبيكتر وميلتداون، أجرت صناعة الشرائح بعض التحسينات الجيدة على عملية "CVD". ويقول برايان يورجنسن، مدير تدقيق وأمن الإنتاج الرئيسي في إنتل، إن الاتصالات بين الشركات التي تتعاون لمواجهة الثغرات الأمنية في شرائحها كانت تتم كلها عبر إنتل. أما الآن فيمكن لهذه الشركات في أغلب الأحيان أن تنسق العمل فيما بينها بشكل مباشر للتأكيد على نجاح التعديل البرمجي عن طريق أنظمتها المترابطة.

وتتطلب التصحيحات البرمجية لمعالجة ثغرات العتاد الصلب في أغلب الأحيان قيام الشركات بتحديث الرماز الميكروي (التعليمات البرمجية الصغريّة) وبرمجيات أنظمة التشغيل. وكانت هذه العمليات منفصلة، مما يزيد من الوقت اللازم لتطبيق الحل. ويقول يورجنسن إن إنتل أتاحت الآن ضم هذه التصحيحات في حزمة واحدة لتطبيقها في نفس الوقت.

وهذه التغييرات جيدة ولا شك، ولكن ما زال هناك الكثير من المسائل الأخرى التي تحتاج إلى معالجة، مثل:

  • تحسين العلاقات مع باحثي أمن المعلومات:
    يقول الأكاديميون وباحثو الشركات -الذين يكتشفون الثغرات ويبلغون عنها- إن شركات صناعة الشرائح ما زالت تتعامل بسرية كبيرة معهم، وهو ما يمكن أن يؤدي إلى حالة من عدم الثقة. ويقول جروس إن شركات العتاد الصلب يجب أن تقدم -في الوضع المثالي- تحديثات يومية إلى الباحثين. كما يقترح أيضاً وجود طرف ثالث حيادي يراقب كيفية التعامل مع مسائل وحوادث الأمن السيبراني.
  • الاتفاق على تحديد موعد نهائي لعمليات "CVD" للعتاد الصلب:
    يحذر تقريرٌ حديث من المركز غير الربحي لسياسات وقوانين الأمن السيبراني (CCLP) من الإطالة في عملية إصلاح ثغرات العتاد الصلب لفترة أطول من الوقت المتعارف عليه للتعديل البرمجي؛ لأن هذا يدفع بالشركات المنخرطة في عملية "CVD" إلى اتخاذ إجراءات أحادية الجانب لحماية زبائنها ومصالحها.
    ويمكن أن يؤدي هذا إلى الكشف عن الثغرات قبل انتهاء عملية اختبار التصحيحات. كما أن الاتفاق على جدول زمني للتعامل مع ثغرات العتاد الصلب قد يساعد في هذه المسألة، كما ستستطيع شركات أنصاف النواقل حينها أن تلتزم بجدول لوضع موعد نهائي لعمليات "CVD".
  • تثقيف الناس حول الحاجة إلى التعامل مع المخاطر المتعلقة بالعتاد الصلب:
    لا فائدة تُرجى من تطوير الحلول البرمجية إذا لم تُستخدم. يقول آري شوارتز، وهو المنسق التنفيذي في CCLP ومدير رئيسي سابق للأمن السيبراني في طاقم مجلس الأمن القومي الأميركي: "إن الإقبال على تطبيق حلول الثغرات البرمجية ليس جيداً، ولكنه سيئ للغاية بالنسبة لثغرات العتاد الصلب".
    وما زال من الصعب حث الناس على القيام بأشياء بسيطة، مثل إعادة تشغيل الروترات المنزلية بانتظام بحيث تتمكن شرائحها الداخلية من تلقي التصحيحات البرمجية. وقد أطلقت إنتل وغيرها من شركات الشرائح المزيد من البرامج لتثقيف الناس حول هذه المخاطر وكيفية معالجتها، ولكن هذه الجهود ما زالت غير كافية.
  • بذل جهود أكبر لتلافي الثغرات الأمنية في تصاميم الشرائح:
    لم تعد الأجيال الأحدث من شرائح إنتل وغيرها معرضة لهجمات مثل زومبي لود وسبيكتر، وذلك بفضل التغييرات في طريقة عملها. ولكن هناك دائماً خطر من ظهور ثغرات جديدة.
    وللتخفيف من هذه المخاطر، يجب على الشركات الصانعة للشرائح أن تكرس المزيد من الموارد لدراسة نقاط الضعف في الأجيال الجديدة من الشرائح السيليكونية وتطوير تصاميم أكثر مناعة. ولا شك في أن زيادة الإنفاق على هذه المسائل سيكون أمراً مؤلماً للشركات، خصوصاً في هذا المجال شديد التنافسية، ولكن الشرائح أصبحت منتشرة داخل الأجهزة الموجودة في كل مكان، بدءاً من السيارات ذاتية التحكم ووصولاً إلى السماعات الذكية في المنزل، مما يعني زيادة كبيرة في الثمن الذي يمكن أن ندفعه بسبب الثغرات الأمنية.

 

المحتوى محمي