دولة قطر | اتصل بنا | خريطة الموقع | تسجيل الدخول
أحدث التطورات
جريدة الرايةجريدة الرايةجريدة الراية
آخر تحديث: الثلاثاء 22/12/2015 م , الساعة 10:52 صباحاً بالتوقيت المحلي لمدينة الدوحة
شكراً لقد تم ارسال النموذج بنجاح .

هل يمكن للأموال الطائلة أن تجعلنا أكثر أمنًا؟

شركات الأجهزة الذكية تدفع للقراصنة الملايين لاختراقها

شركات الأجهزة الذكية تدفع للقراصنة الملايين لاختراقها
  • مليون دولار مكافأة من يكتشف خللًا أمنيًا بنظام تشغيل الهواتف المحمولة
  • اختبار الاختراق صفقة للهجوم على منتجات شركة لكشف العيوب ومعالجتها
  • كلفة التحصين من الاختراقات في المؤسسات الكبيرة تتجاوز نصف مليون دولار
  • جرائم الإنترنت تنفّذ بالعمل على ما يكتشف من العيوب القديمة
  • الطريق الأسهل لتحقيق مكاسب مالية هو كشف العيوب البرمجية
  • إضافة إلى كلفة الحماية هناك أضرار قد تلحق بسمعة المؤسّسة
  • الكثير من الشركات التكنولوجية لا تملك برامج لـ "مكافآت اكتشاف الخلل"

ترجمة- كريم المالكي:

العديد من الشركات تنفق أموالًا طائلة لتحدّد عيوب الحمايات الأمنيّة في أنظمتها الإلكترونيّة بمختلف أنواعها، غير أن السؤال المهمّ الذي يفرض نفسه هو هل يمكن لهذا الإنفاق السخي أن يجعل أجهزتنا الذكية أكثر أمنًا؟ وكيف لنا أن نتخيل الحصول على مليون دولار لمجرد اكتشاف نقطة ضعف أمنيّة في نظام تشغيل الهواتف المحمولة؟ وهذه الأرقام ليست ضربًا من الخيال، بل حقيقية، وهو ما حدث مع فريق مجهول من الهاكرز استطاعوا أن يجدوا وسيلة لاختراق دائرة الرقابة الداخلية لشركة آبل، وبالتالي حصلوا على تلك الجائزة الكبيرة، بحسب ما أعلنت شركة "زيروديوم" الأمريكية المُتخصصة في إنشاء أنظمة أمان المعلومات. ويذكر أنه في سبتمبر الماضي، أطلقت شركة "زيروديوم" هذا التحدّي، حيث قالت إنها ستدفع جوائز إلى الجهة التي تكون قادرة على إيجاد وسيلة لتتمكن من اختراق أجهزة iPhone وiPad المزوّدة بأحدث إصدارات نظام التشغيل iOS فقط عن طريق التسلل والخداع من خلال زيارة صفحة الويب الخاطئة أو فتح رسالة نصيّة.

مؤسس شركة "زيروديوم" شوقي بكرار، قال إن فريقين فقط تنافسا بقوّة على هذه المكافأة، ولكنّ واحدًا فقط كان قادرًا على تلبية شروط المكافأة التي كان الموعد النهائي المحدد لها هو الواحد والثلاثون من أكتوبر الماضي.

 

المال مقابل اكتشاف العيوب

وأضاف بكرار إن الشركة تخطط للإبلاغ عن مواطن الضعف التي اكتشفت لزبائنها، الذين وصفوا على موقع الشركة على شبكة الإنترنت بأنهم "الشركات الكبرى المتخصصة بالدفاع والتكنولوجيا والتمويل" والمؤسسات الحكومية " التي هي في حاجة إلى قدرات محددة في "الأمن السيبراني". وأشار إلى أن شركته لا تخطط لإخبار آبل على الفور بالكيفية التي تمّ بها الاختراق، على الرغم من أنها قد تفعل ذلك في وقت لاحق، ويمكن لذلك أن يساعد آبل على إنشاء نهج صحيح للحماية من الهجوم، ومن جهتها، رفضت آبل التعليق على ذلك.

وحتى لو كان الإعلان هو حيلة دعائية - كما يعتقد البعض من الباحثين في مجال الأمن بحجة أنه لم يتم الكشف عن هوية الفريق ولا التفاصيل الدقيقة لكيفية اختراق دفاعات نظام التشغيل آي.أو.إس - فهناك شيء يمكننا أن نتعلمه من المنافسة، وهذا هو الموجود في اقتصادات القرصنة، حيث سنتعرف على الشيء الحسن والسيئ والطرق المشكوك فيها لكسب المال من خلال إيجاد الخلل في البرنامج.

 

اختبار الاختراق

لابد أن نتذكر أن هناك أولًا، قراصنة "القبعة البيضاء" الذين يعملون مع شركات حماية البرمجيات، وهناك الكثير ممن يعملون في شركات اختبار الاختراق أو من يشاركون في برامج "المكافآت لاكتشاف الخلل". ويحدث اختبار الاختراق عندما تتعاقد شركة مع أشخاص للهجوم على منتجاتها، ومن ثمّ يتمّ الكشف عن مشكلات وعيوب يمكن للجهة المطوّرة، عند ذلك، إصلاحها. وتكون المكافأة عند اكتشاف الخلل نوعًا من نسخة مجزَّأة، حيث تضع الشركة نظامًا رسميًا لمكافأة الباحثين المستقلين الذين يجدون عيوبًا في البرامج الخاصة بهم والعمل مع الشركات على إصلاحها.

وتدفع بعض الشركات مكافآت كبيرة إلى حدٍ ما. وعلى سبيل المثال، فإن برامج مايكروسوفت دفعت ما يصل إلى 15000 دولار عند اكتشاف عيب فردي ووصلت المكافأة إلى 100 ألف دولار بالنسبة لتقنيات لم تكن معروفة سابقًا، والتي تتطلب في بعض الأحيان من الشركة المطوّرة إعادة النظر في البنية التي تقف وراء تشغيل هذا النظام. وأصبح هذا السوق أكثر تنظيمًا في السنوات الأخيرة، خصوصًا مع ظهور شركات مثل "هاكروان" التي ساعدت في ربط الباحثين مع الشركات التي تقدّم هذه البرامج.

 

لا توجد برامج رسمية

ومع ذلك، ليست كل شركات التكنولوجيا - حتى تلك الجيدة بشأن العمل مع الباحثين الذين وصلوا إلى مراحل متقدمة مع المشكلات - لديها أنظمة تمييز. فعلى سبيل المثال، شركة آبل التي تتمتع بسمعة جيدة وإيجابية بشكل عام بين الباحثين، لا تملك برنامجًا رسميًا يتعلّق بـ "مكافآت اكتشاف الخلل". وفي بعض الحالات، تشعر الشركات الجديدة العاملة على عمليات كشف العيوب بأنها مهدّدة من قبل طرف ثالث من الباحثين يحاولون أن يخبروهم بالمشكلة ومن ثمّ يتفاعلون مع التهديدات القانونية.

وأوضح الرئيس التنفيذي لشركة "هاكرون" كاتي موسوريس: في كثير من الأحيان يهدّد الباحثون في مجال الأمن بإقامة دعاوى قضائية بموجب قانون الاحتيال وإساءة استخدام الكمبيوتر، أو قانون حقوق الطبع والنشر الرقمي للألفية الجديدة في الولايات المتحدة، وهناك قوانين مماثلة في جميع أنحاء العالم. ولكن هذا لا يفيد في الواقع الشركة المعنية، بل إنه قد يسكت مؤقتًا الباحثين، ولكن الخلل يظلّ ماثلًا هناك.

 

المال أساس الجرائم السيبرانية

لعلّ الطريق الأسهل لتحقيق مكاسب مالية هو كشف العيوب في التعليمات البرمجية للكمبيوتر عبر استغلال صريح للمشكلات لأغراض إجرامية. وهذا هو المصدر الذي جاء منه النموذج الأصلي الشنيع للهاكرز، ولكن على صعيد الحياة الواقعية، فإن معظم هذه الجرائم السيبرانية هي إزعاجات مهنية جميلة، تفكّر بها العصابات المنظمة ضمن إشكال رسمية. ويقول راج سماني، نائب الرئيس والمدير التقني لعمليات إنتل سكيورتي في أوروبا والشرق الأوسط وإفريقيا: فيما يتعلق بجرائم الإنترنت، الدافع النهائي هو عادةً المال.

في كثير من الأحيان، يقول الخبراء، لقد أصبح جزء القرصنة الفعلي أكثر من مجرد نظام خدمة البرمجيات، حيث يقوم المتسللون من ذوي المهارات العالية برزم البرمجيات المعروفة باسم الإكسبلويتس، والتي تنفّذ هجمات ضد أنظمة الكمبيوتر والشبكات بواسطة العيوب التي يجدونها.

ولكن الجانب الآخر من هذه المسألة هو أنه كلما تمّ استخدام جوانب الضعف أو الإكسبلويتس أكثر وأكثر، فهناك احتمالات من أنه سيتمّ ملاحظتها ومعالجتها من قبل المطوّرين. والكثير من جرائم الإنترنت لا تعمل على العيوب الجديدة كليًا - بل بدلًا من ذلك، تعتمد على المشكلات المعروفة سابقًا، حيث لم يطبق المستخدمون الإصلاحات لأنظمتها حتى الآن. كما أن بعض الهاكرز السيئين يقدمون خدمات الدعم الشبيهة للمجرمين باستخدام أدواتهم التي تساعد على الحفاظ على أدوات القرصنة، التي تنتهي بالتحديثات التي تساعدهم على التملص عندما تصحح الشركات الثغرات الأمنية.

 

التعافي من الاختراقات

وتقول شركات عالمية متخصصة أخرى في مجال أمن المعلومات، إن كلفة التحصين من الاختراقات الأمنية للمؤسسات الكبيرة قد تتجاوز نصف مليون دولار، في حين قد تصل إلى أربعين ألف دولار للشركات الصغيرة والمتوسطة. ومن بين أكثر أنواع الاختراقات الأمنية كلفة هي تلك التي تنجم عن الاحتيال من جانب الموظفين وأنشطة التجسس الإلكتروني والاختراق عبر شبكة الإنترنت وعدم التزام الطرف الثالث من موردي الخدمات للشركات. ومن المؤكّد أن اختراق أنظمة أمن المعلومات يؤدي إلى مشكلات تجارية عديدة قد يكون من الصعب معها في بعض الأحيان - مع تعدد الأضرار إلى حد كبير- أن يتمكن الضحايا أنفسهم من تقدير الكلفة الإجمالية للاختراق الأمني.

وتنفق الشركات بعد وقوع اختراق مزيدًا من الأموال على الخدمات المهنية مثل الاستعانة بخبراء تقنية المعلومات الخارجيين والمحامين والمستشارين، في وقت تنخفض فيه الأرباح بسبب الفرص التجارية الضائعة والأوقات التي تتوقف في أعمال الشركة بسبب الاختراق. ويبلغ إجمالي متوسط الكلفة للتعافي من الاختراق الأمني نحو 551 ألف دولار أمريكي، إضافة إلى 69 ألف دولار كلفة الإنفاق غير المباشر، ويضاف إليها كذلك الأضرار التي قد تلحق بسمعة المؤسسة وقد تكلف ما يصل إلى مئتي ألف دولار.

 

المال بحجم الخلل المكتشف

هناك شركات كبيرة تدفع مبالغ طائلة على نحو ملحوظ عندما يكون الاختراق الأمني ناجمًا عن إخفاق طرف ثالث من مورّدي الخدمات موثوق به. وتميل الشركات الصغيرة والمتوسطة إلى خسارة مبالغ كبيرة من المال بسبب كل أنواع الاختراقات تقريبًا، وتدفع ثمنًا باهظًا نظير معالجة أعمال التجسس وكذلك هجمات الحرمان من الخدمة وهجمات التصيد الإلكتروني.

وبالتالي يلاحظ أن بعضًا من الشركات أخذت تمارس نهج المكافآت لاكتشاف عيوبها حتى لا تدخل في دائرة السمعة السيئة. وقال التقني كريستوفر سوفويان من الاتحاد الأمريكي للحريات المدنية: في نهاية المطاف، بالنسبة لنموذج شركة زيروديوم الذي سيكون مستدامًا، فإنه سيتعين عليها أن تحصل على أكثر من مليون دولار من عملية اختراق دائرة الرقابة الداخلية لنظام التشغيل iOS عن طريق بيعه مرارًا وتكرارًا لمختلف العملاء. ولكن من الممكن أيضًا أن يكون ذلك حيلة دعائية أقدم عليها زعيم خاسر للحصول على الضغط اللازم من أجل الإطلاق الأولي. وقال بكرار، ليس من برامج أخرى أكثر أهمية من نظام التشغيل iOS دائرة الرقابة الداخلية "يستحقّ حقًا" مثل هذه المكافأة العالية للقضاء على أي عيب أو خلل، وهذا ما جعل شركة زيروديوم تقدّم تحديات أخرى مقابل دفعات كبيرة في المستقبل.

 عن صحيفة الجارديان البريطانية

جريدة الراية
جريدة الراية
جريدة الراية
لترك تعليقك على موقع جريدة الراية الرجاء إدخال الحقول التالية :
* الاسم :
البريد الإلكتروني :
عنوان التعليق :
500
* التعليق :
tofriend Visual verification * أدخل الرموز :
 
 
جريدة الراية جريدة الراية  
* أساسي
جريدة الراية
شكراً لك
سيتم نشر التعليق بعد تدقيقه من قبل مسؤول النظام .