خبراء أمن المعلومات (الهاكرز): ماذا يفعلون حقًا؟
كتب خليل صحناوي لـ “This Is Beirut”:
أوّل ما يتبادر إلى أذهان الناس حينما أذكر مجال خبرتي وعملي، وما أسأل عنه هو: “هل تستطيع اختراق حسابي الخاص على “فيسبوك؟” أو “هل أنت قادر على قراءة رسائل “إنستغرام” الخاصة بي؟” أو جملة من الأسئلة التي يغذّيها الفضول والغرابة والتي تتمحور حول الاستخدام الذكي للكمبيوتر بطرق غير قانونية.
هذا هو أثر عبارة “مقرصن” بشكل عام على الأشخاص.. مزيجٌ من الغموض والحيرة مصحوبٌ بصورة إعلامية تروّج للّاشرعية والجريمة.
ولكن ما الذي يقوم به قراصنة الكمبيوتر حقًا؟ حتّى باتوا في العقود الأخيرة من أكثر الخبراء المطلوبين عالمياً ومن أعلاهم أجرًا؟
فلنحسم الأمر قبل أن نبدأ. الإجابة على الأسئلة المذكورة آنفاً هي نعم. نعم بالتأكيد ودون أدنى شك! ولكن الأهمّ من ذلك، هو أنّ هذه الممارسات غير قانونية. وبإمكاني الجزم، بعكس ما قد يعتقده البعض، أنّ معظم المقرصنين ليس لهم أيّ مصلحة على الإطلاق في خرق القانون ولا فضول لديهم للاطلاع على البيانات الشخصية للآخرين.
فلننظر للأمر من هذا المنظار، هل يقوم صانع الأقفال بفتح معظم الأبواب لمجرّد أنّ لديه المعرفة التقنية؟ وهل هذا يعني أن جميع صانعي الأقفال يتربّصون بالأشخاص لغزو خصوصيّتهم داخل منازلهم؟ الحال سيّان بالنسبة لقراصنة الكمبيوتر، إذ يتمّ التواصل معهم عند مواجهة أيّ مشكلة تماماً كما يتمّ التواصل مع صانعي الأقفال عند الحاجة. وهكذا يقوم القراصنة بما يتطلبه الأمر لتقييم الأمن.
في كلّ الأحوال، فلنبدأ بتسميتهم “خبراء أمن المعلومات”. وفي كلتا الحالتين، إنها مجرد مهنة.
لا بد من التأكيد أنّ هناك فرقاً بين المقرصن وخبير أمن المعلومات، إذ لا يعمل كلّ مقرصن في مجال أمن المعلومات، ولكن يجب أن يكون جميع خبراء أمن المعلومات متمرّسين في القرصنة كي يتمكّنوا من أداء عمل جيد في اختبار الشبكات وتأمين التطبيقات. قد تتساءلون عن السبب والإجابة هي كالتالي: في لعبة الأمن السيبراني، يتمتع المهاجم دائمًا بالأفضلية، ببساطة لأنّك لا تستطيع الدفاع ضدّ أيّ هجوم لا تعرف مصدره. وبالتالي، لا بدّ لخبراء الأمن من أن يكونوا قادرين على توقع الخروقات واختبار المواقف الأمنية ومتابعة أيّ شيء وكل ما يحدث في كواليس عالم الحوسبة. كما عليهم أن يكونوا على دراية بأحدث الأساليب التي يستخدمها المخترقون وأن يمتلكوا الشغف نفسه كأولئك الذين قد يستخدمون مهاراتهم لخلق الفوضى. هذه هي السمات المميزة لقراصنة الكمبيوتر.
فتخيّل مثلاً أنّك ترغب باختبار فعالية نظام الأمان في منزلك. هل تطلب من الشركة التي باعتك إياه، اختباره دون أيّ إطار موضوعي، أم تفضّل أن يتولّى خبير (متسلل) متمرس عملية الاقتحام؟ بالطبع، ستختار هذا الأخير الذي ينجح بتخطي أنظمة الأمان وإيجاد طرق مبتكرة لاقتحام الثغرات غير المكتشفة. هذا يعني أنّه سيعثر على أيّ شيء لا يرقى لمستوى جهاز الأمان الخاص بك، وسيحدّده ويصدر توصيات سليمة حول كيفية إصلاحه.
اسمحوا لي مجدداً بالتأكيد على أنني لا أقول بأيّ شكل من الأشكال، إنّ جميع قراصنة الكمبيوتر هم من المنتهكين السابقين للقانون.
اسمحوا لي أيضاً بالاستطراد قليلًا. أنا من جيل ما يعرف بـ “جيل الإنترنت”، بمعنى أنني نشأت مع تطور العصر الرقمي. في أيّامه الأولى، كان الإنترنت أشبه بالغرب المتوحش قديمًا، بلا قوانين تحكمه على الإطلاق. وبالتالي، بالنسبة لجميع من يمتلكون “جين” القرصنة، كان من الطبيعي أو من غير المدان على الأقلّ القيام بالأشياء التي يمكن اعتبارها غير قانونية اليوم. حينها، لم نكن مدفوعين بأيّ نوع من النوايا الإجرامية بل بالفضول والرغبة في التعلم. ولكن لنكن صادقين، ربما تملّكنا بعض الشعور بالقوة لكوننا قادرين على التنقل عبر شبكة الويب بكل تفرعاتها وأمكنتها بطرق تتعذر على المستخدمين العاديين.
وسمح هذا الواقع، للجيل الأول من خبراء أمن المعلومات باكتساب وتطوير فهم وخبرة معينة في تخطّي الحواجز الحاسوبية واختراق الكمبيوتر تماماً كما يطوّر اللص مهاراته. ومع نضوج الجيل الأول من قراصنة الكمبيوتر، تحوّل معظمهم إلى استخدام هذه المهارات في خدمة الإنترنت ومستخدميه، ومن الواضح أنّ قلة منهم تحوّلوا إلى الجانب المظلم.
لا شكّ بأنّ تنظيم الإنترنت اليوم (الذي يراه البعض مبالغاً بينما يجادل البعض الآخر بأنه غير كاف) والقوانين المرعية، تمنع الجيل الجديد من خبراء أمن المعلومات من التعلّم عن طريق الممارسة. ولكن مع إدراك أهمية وجود هؤلاء الخبراء والحاجة لخبراتهم، باتت تُنظّم دورات جامعية ومؤتمرات وأنشئت حتى مختبرات افتراضية تتيح للمرء التعلم من خلال التطبيق، دون أي خرق للقوانين.
إلى ذلك، يقوم خبراء أمن المعلومات باختبار جميع الأشياء المتعلقة بالتكنولوجيا (من برامج وأجهزة وتطبيقات ومواقع إلكترونية وشبكات ، وما إلى ذلك) بهدف العثور على نقاط الضعف فيها، وفهرستها ثم تقديم التوصيات حول كيفية معالجتها. كما بإمكانهم لعب دور حيوي في مرحلة التطوير، إذ تسمح مشورتهم بالتأكيد على الحفاظ على الأمان في أذهان المطورين، وهو جانب غالبًا ما يتم تجاهله بسبب نقص الموارد أو الميزانية أو الخبرة أو قيود الوقت.
ما الذي يجعل هذه الخبرة مختلفة عن خبرة مشغّلي تكنولوجيا المعلومات العاديين، وكيف يقوم خبراء أمن الحاسوب باختبار بيئتك؟
دعوني أبدأ أولاً، بالتشديد على تقدير كلّ المهام التي يتولاها العاملون في مجال تكنولوجيا المعلومات، من مسؤولي الشبكة إلى مطوّري الويب والمبرمجين ومطوّري التطبيقات وفرق أمن الإنترنت الداخلية، وغيرهم. ذلك أنّ عملهم ضروري وهم يحافظون على دوران عجلة الإنترنت وعالم الحوسبة بشكل يومي ويستحقون كل الإشادة. ولكن بالنظر لمشاغلهم، لن يستطيعوا التركيز على القضايا الأمنية العميقة. لذلك، من المنطقي تواجد فريق أمان داخلي (خصوصاً في الشركات الكبيرة بما يكفي والقادرة على تحمل تكاليفها) وخبراء خارجيين مخوّلين باختبار الوضع الأمني للشركة بشكل موضوعي. وهذا يعني مجدداً أنّهم لا يمكن أن يكونوا الأشخاص الذين قاموا بأنفسهم بتثبيت نظام الأمان في الأصل. سأحاول تاليًا أن أشرح بشكل عام، كيف يقوم خبراء أمن الكمبيوتر بتقييم الأمن والقيام بما يعرف بشكل غامض باختبار الاختراق.
في الواقع، سيحاكي الخبراء في سياق الوقت الفعلي (أي دون معرفة أقسام تكنولوجيا المعلومات في الشركة بذلك وبالتالي دون استعدادهم للاختبارات القادمة، تماماً كما لو كان الخبراء متسللين حقيقيين) جميع الأساليب متاحة في ترسانتهم، لخرق أمنك واختراق شبكتك. الأساليب المستخدمة ستتنوع بين استغلال الثغرات الأمنية المعروفة، والأهم من ذلك، الثغرات غير المعروفة في الأجهزة أو البرامج التي تستخدمها الشركة المستهدفة، وكتابة أجزاء من التعليمات البرمجية القادرة على تجاوز جدران الحماية واستخدام البرامج الحالية المصممة لخرق الأمان وصولاً حتى للادّعاءات الكاذبة من أجل دخول الشركة فعلياً وزرع فيروس مباشرة في أحد أجهزة الكمبيوتر الخاصة بها. قد تدهشكم مدى سهولة الدخول إلى منشأة تحت ذرائع زائفة، من أجل الوصول إلى جهاز كمبيوتر، ولو لوقت قصير للغاية.. وأصلاً هذا كل ما يحتاجه قراصنة الكمبيوتر المخضرمون.
وهناك الطريقة الأكثر شيوعًا للحصول على القدرة على الوصول بشكل أسهل إلى حد بعيد بالنسبة للمهاجم، وهي تقضي بخداع مستخدمي الشركة لمنحهم كل ما يحتاجون إليه لاختراق الشبكة. ومن جملة هذه الأساليب، الهندسة الاجتماعية والتصيّد الاحتيالي (مع “الرقم الهيدروجيني”) والاحتيال. وتتمحور جميع هذه الطرق حول المفهوم عينه: الاستفادة من عدم استعداد المستخدم أو عدم معرفته بمبادئ الوقاية الأمنية الأساسية.
يمكنني القول بثقة إنّ نسبة كبيرة من جميع الانتهاكات المذكورة بدأت باستخدام إحدى هذه الأساليب، ولم تكن بتلك الإجراءات العالية التقنية التي تظهر بعدسات السينما البراقة (على الرغم من أنّ السينما تظهرها بشكل ممتع أكثر بكثير).
في أي نظام كان، دائمًا ما يكون العنصر البشري هو الحلقة الأضعف. قد تنفق مئات الملايين من الدولارات على أمن المعلومات (كما في بعض الشركات) ومن ثم تذهب كل التحضيرات أدراج الريح بسبب خطأ غير مقصود من موظف (مفتاح USB خاطئ في المكان الخاطئ أو الضغط على الرابط الخطأ أو مشاركة بيانات شخصية مع الشخص الخطأ).
في المقال المقبل، سنتناول الأسباب التي تسهل وصول المخترقين إلى بياناتك وتسمح لهم بسرقتها، والمفاجأة: كيف نساعدهم على فعل ذلك بنفسنا!
مواضيع ذات صلة :
ثغرة أمنية خطرة في كروم قد تؤثر في مليارات المستخدمين |