استطاع الباحثون مؤخرًا تحديد أحد العيوب الأمنية في إحدى البرمجيات التي يُطلق عليها «Log4J»، والتي تستخدمها العديد من الكيانات الخاصة والتجارية والحكومية لتسجيل البيانات، بدءًا من أسماء المستخدمين وكلمات المرور، وانتهاءً بمُعاملات البطاقات الائتمانية، ومنذ اكتشاف الخلل في الأسبوع الماضي، انشغل القائمون على الأمن السيبراني بمحاولات حماية التطبيقات والخدمات والبنية التحتية وحتى شبكات «إنترنت الأشياء» من المجرمين الذين بدأوا بالفعل في استغلال هذا الخلل.

وقد صرحت تيريزا بايتون -كبيرة مسؤولي المعلومات السابقة في البيت الأبيض، والمديرة التنفيذية لشركة استشارات الأمن السيبراني «فورتاليس سولوشنز» Fortalice Solutions- قائلة: "تقدم هذه الثغرة هديةً عظيمةً لمُجرمي الإنترنت؛ لأنها تفتح أمامهم احتمالات لانهائية"، مضيفة: "لن يعوق مجرمي الإنترنت عن الاستفادة من هذه الثغرة سوى قصور خيالهم أو ضعف معرفتهم التقنية أو عجز إمكانياتهم عن استغلال هذا الخلل، وفيما عدا ذلك، فالفرصة قد أتتهم على طبق من الفضة"، وتحدثت بايتون مع مجلة «ساينتفك أمريكان» Scientific American عما تقوم به برمجية Log4J، ونقاط الخلل التي اكتُشفت فيها مؤخرًا وكيف يمكن أن يستغلها المجرمون، وما يجب فعله لإصلاح هذه المشكلة.

[فيما يلي النص المُنقَح للمقابلة]

ما هي برمجية Log4J؟ وكيف تُستخدم؟

يحتاج كافة العاملين في فِرق التكنولوجيا والأمن السيبراني إلى سجلات بيانات موثوقة؛ فأنت بحاجة إلى سجلات تمكِّنك من الكشف عن مصداقية المعاملات التجارية ومصادر الحسابات، أو في حالة التعرض للهجوم من برمجيات "الفدية" الخبيثة، أو لعمل التحريات الجنائية، أو للتحكم في بعض الأمور الأخرى، وتُعد برمجية [Log4J] واحدة من أدوات المنصة الحاسوبية «ﭼاﭬا» Java التي تتولى تسجيل البيانات، إذ تمكِّنك مثلًا من تسجيل ما إذا كان شخصٌ ما قد سبق له استخدام نوع معين من بطاقات الائتمان، أو إذا ما كان شخصٌ ما قد سجل دخوله على الموقع في يوم معين، وبصفة عامة تستطيع برمجية Log4J تسجيل أحداث لا حصر لها.

ولكن برمجية Log4J أظهرت خللًا أمنيًّا فادحًا، فما هو؟

هذا النوع من الثغرات يتيح لأي شخص أن يُدخل بعض التعليمات ضمن سجلات البيانات، ومن ثم يصبح متحكمًا في هذه السجلات وما تقوم به، وقد اكتشف الباحثون هذه الثغرة الأمنية في مطلع شهر ديسمبر، ولهذا فإنني ممتنة دائمًا للباحثين ولما يفعلونه، وتسمح هذه الثغرة بالأساس للقراصنة بالحصول على رمز غير مصادق، يمكّنهم من التحكم في الخادم عن بعد، ومن ثَم يمكن لهؤلاء القراصنة إرسال التعليمات وتنفيذ الإجراءات، كل ذلك دون أن يتم اكتشاف ما يفعلونه، ولدينا بالفعل أمثلة تدل على المدى الذي يمكن أن يصل إليه القراصنة في استغلال ثغرة برمجية Log4J، إذ قام بعضهم بتثبيت برمجيات خبيثة تقوم بتعدين العملات المشفرة على الحواسيب بصورة يصعب اكتشافها، وقد استطاع فيما قبل الروبوت الشبكي المعروف باسم «ميراي» اختراق شبكة «إنترنت الأشياء» والسيطرة عليه، والآن يبدو لنا أن «ميراي» يحاول استغلال هذا الخلل في برمجية Log4J لتحقيق أهدافه.

ما الإمكانيات الأخرى التي تتيحها هذه الثغرة أمام مجرمي الإنترنت؟

نظرًا إلى أن هذه الثغرة خاصة بتسجيل البيانات، فإنها تتيح أمام القراصنة تثبيت بعض التعليمات في الخوادم، مثل أن تطلب من الخادم ما يلي: "عندما تقوم بتسجيل بيانات الدخول لأحد المستخدمين، أرسِلْها في الوقت ذاته إلى هذا الموقع"، إذ يكون الموقع المشار إليه مكانًا خصصه مجرمو الإنترنت لتجميع بيانات المستخدمين، ويمكن لمجرمي الإنترنت تثبيت أي أوامر يريدونها لفرض سيطرتهم الكاملة على السجلات، وفي الوقت ذاته، قد تحتوي هذه السجلات على أي نوع من المعلومات مثل بيانات تسجيل الدخول، وبيانات بطاقات الائتمان، وطرق السداد، ويتحدد مدى تلك المعلومات بناءً على القرارات التي يتخذها مطورو البرمجيات عند تطوير البرمجيات المستخدمة؛ فهم مَن يقررون نوعية البيانات التي سوف يسجلها الموقع وما إذا كان سيتم تشفير هذه البيانات، ويبقى السؤال المهم هو: هل يخضع إدخال هذه البيانات لإجراءات احترازية معينة؟ وهل هناك وسائل لرصد عملية إدخال البيانات يمكن من خلالها الكشف عن أي أنشطة مريبة؟ إذا كانت المؤسسة لا تستخدم أيًّا من وسائل الرصد، فإنها بطبيعة الحال لن تلحظ ما يثير الشك، وهكذا، فبمجرد تسجيل المستخدم الرمز التعريفي وكلمة المرور، تذهب نسخة من هذه البيانات في التو إلى مكان آخر.

والآن تعمل فرق الأمن السيبراني في سباق مع الزمن لاكتشاف هذه المشكلات وتصحيح ما نجم عنها، وملاحظتها وتسجيلها ومحاولة إصلاحها، وإلى أن ننجح في ذلك، سوف يستمر مجرمو الإنترنت في استغلال هذه الثغرة، وغالبًا ما ينزع مجرمو الإنترنت إلى ابتكار وسائل اختراق مختلفة ولكن بعضها يتشابه كثيرًا مع بعض، ولذا فمن المتوقع أن تشهد الفترة القادمة ظهور برمجيات إجرامية يستطيع مجرمو الإنترنت والأشخاص غير المؤهلين فنيًّا استخدامها على حدٍّ سواء.

ماذا يعني ذلك للأشخاص الذين لا يعملون في مجال الأمن السيبراني ولكن يستخدمون هذه التطبيقات والخدمات في حياتهم اليومية؟

نظريًّا، يمكنك بصورةٍ ما أن تكتشف تعرُّضك لسرقة بياناتك؛ فقد تحاول تسجيل الدخول على أحد الخوادم طلبًا لخدمةٍ ما من إحدى الشركات التي تتعامل معها فتجد رسالةً تفيد بتعطُّل الخادم في حين أن الشركة في هذا الوقت تتعرض للاختراق، أو قد تحاول الاتصال بإحدى الهيئات الحكومية للتحقق من أحد المبالغ المستردة أو لسداد ضريبةٍ ما ويتعذر اتصالك لأن شخصًا ما اخترق الموقع من خلال هذه الثغرة.

ومن الصعب في الوقت الحالي تصوُّر كيف ستسير الأمور؛ لأننا لا نزال في المراحل الأولى لفهم ما يحدث، كما يُحتمل أن يستمر الأمر وقتًا طويلًا وأن يتسبب في المشكلات لفترة ممتدة؛ فمثل هذا الموقف المعقد لا تصلح فيه مقولة: "دعونا نصلح كل شيء خلال عطلة نهاية الأسبوع، ثم نعود للاستمتاع بإجازة عيد الميلاد".

ما الذي نحتاج إليه لإصلاح هذه المشكلة؟

أحب استخدام تشبيه مسمار البناء [المستخدم] في أحد المنازل، أو أحد المباني أو الكباري، إذ يمكن أن نسمع مَن يقول: "لقد اكتشفنا للتو أن هناك خللًا في كل مسامير البناء، يجعلها غير قادرة على تأدية وظيفتها في أي لحظة"، هناك العديد من أنواع مسامير البناء، إلا أنه يتوجب عليك في هذه اللحظة أن تتذكر الأماكن التي استُخدم فيها كل واحد من هذه المسامير، بناءً على ذلك، تخاطب شركات الإنشاء لاكتشاف أماكن استخدام المسامير والاستبدال بها قبل توقفها عن العمل.

على غرار المثال السابق، يجب على الشركات الكبرى وشبكات البنية التحتية الشروع في تقصِّي الحقائق [فيما يخص برمجية Log4J المثبتة في خوادم هذه الشركات والشبكات]؛ ففي كثير من الأحيان لا تهتم الشركات بوضع مخططات تفصيلية لخوادمها، مما يعوق محاولات الحصر الدقيق للنقاط التي تعرضت لهجوم مثل هذه البرمجيات، كما لو أننا نبحث عن إبرة في كومة قش، وعادةً حينما نواجه ثغرة أمنية بهذا الشكل، يضطلع مسؤول الأمن السيبراني بالتصدي لها، إذ نجده يقول: "سأتولى هذا الأمر، وسوف أصلح ما أفسدته تلك البرمجية"، ولكننا الآن نواجه أمرًا مختلفًا لأنه يتعلق بسلسلة من الموردين؛ فهناك الكثير ممن يستخدمون المصادر المفتوحة، أو البائعين الوسطاء، أو تطبيقات التحكم في واجهة المستخدم (أو الودجات) أو تطبيقات خارجية، ومن المحتمل أن تكون [تلك البرمجيات] جميعها مخترقة من قِبل برمجية Log4J، نجد مثلًا أن سلسلة الموردين المتصلة بإحدى شبكات «إنترنت الأشياء» –مثل «أليكسا» Alexa [أو] «جوجل هوم» Google Home تضم ما يتراوح بين 10 إلى 50 أو حتى 60 شركة مختلفة تتولى توفير العناصر والأجزاء المختلفة، مثل البرامج الثابتة، وأنظمة التشغيل، والتطبيقات، ولهذا تصبح مجرد محاولة إعادة الأمر إلى ما كان عليه قبل الاختراق لمنتج واحد مهمةً جسيمة.

ما الدروس التي يمكن أن نتعلمها من هذه الثغرة الأمنية؟

دعونا نتذكر برمجيات شركة «سولار ويندز» SolarWinds الأمريكية، التي تسببت في مشكلات مماثلة لسلسلة من الموردين في التوقيت ذاته من العام الماضي، وقتها اعتقد كثيرٌ من الناس أننا "لا نستخدم البرمجيات التي تنتجها هذه الشركة، ولهذا لا داعي للقلق"، ولكن التجربة علمتنا أهمية اتخاذ الإجراءات التصحيحية طالما كنا جزءًا من نظام متكامل يضم في شبكته شركة سولار ويندز وغيرها، كذلك، عليك أن تتعرف على الطريقة المتبعة في حصر البيانات التي ينتهجها المطورون العاملون لديك، وكذلك المطورون الخارجيون أو الوسيطون، لقد تعلمنا درسًا قاسيًا وهو أن تجميع البرمجيات وضمان جودتها أمرٌ معقدٌ وصعبٌ للغاية، وأننا غالبًا ما نهمل التفاصيل الدقيقة في التعامل معه.

ولكن أحد الدروس الأساسية المستفادة أن لدينا نقاط ضعف في سلسلة الموردين تجعلها عرضةً للاختراق، وأننا سنواجه مواقفًا مشابهة في المستقبل، عليك إذًا التأكد من أن لديك جهازًا مشابهًا لأجهزة تشغيل الألعاب يتيح لك استدعاء اللاعبين المناسبين لتقييم خطورة الوضع كلما دعت الضرورة، إذ يسأل هؤلاء اللاعبون السؤال المبدئي: "هل الوضع سيئ بحق، أم أنه غير ذي حيثية لمؤسستنا، وأننا في أمان؟"، أما السؤال التالي الذي يجب أن تفكر فيه وقتها فهو: "ما هي أنظمة التعامل الآني التي أُعدّت لمواجهة مثل هذه الظروف؟"، فمثلًا إذا استغل القراصنة الفرصة قبل اتخاذك الإجراءات المضادة، وأصبحوا الآن قادرين على التحكم في قدرتك على تسجيل البيانات وكذلك التحكم في البيانات نفسها، فهل باستطاعتك اكتشافهم وهم يُخفون تحركاتهم؟ تلك هي الدروس المستفادة، وهي حقًّا دروس صعبة، أعني أنه لو كانت الحلول سهلة، لكانت الشركات والحكومات قد نفذتها ببساطة، ولكن الحل قد يبدو يسيًرا حين نقرأ عنه، إلا أن تنفيذه على أرض الواقع أمرٌ عسيرٌ للغاية.