درر العراق

الطائر الحر · 13/February/2021

حصل على 130 ألف دولار.. باحث يخترق أكثر من 35 شركة تقنية بخدعة ذكية
الشركات الكبرى تعتمد على برمجيات جاهزة مفتوحة المصدر وهو ما يستغله القراصنة لوضع برمجياتهم الخبيثة

بيرسان أبلغ شركات التقنية عن الثغرة في برامجها فأصلحتها (رويترز-تعبيرية)

اكتشف الباحث الأمني أليكس بيرسان ثغرة أمنية سمحت له بتشغيل التعليمات البرمجية عبر خوادم أكثر من 35 شركة تقنية، من ضمنها آبل (Apple) ومايكروسوفت (Microsoft) وباي بال (PayPal) ونيتفليكس (Nitflex) وتسلا (Tisla).
والغريب أن الحيلة التي استخدمها تبدو بسيطة، مما يوجب على كثير من مطوّري البرامج الكبار معرفة كيفية الحماية منها.
والخدعة مبنية على حزم برمجيات تستخدمها الشركات الكبرى على نحو كبير، فعندما تقوم الشركات ببناء برامج، فإنها غالبا تستخدم تعليمات برمجية مفتوحة المصدر كتبها أشخاص آخرون، لذلك فهي لا تنفق الوقت والموارد على حل مشكلة حُلّت بالفعل.
ويمكن العثور على هذه البرامج المتوفرة للجمهور في مخازن برمجية متاحة، مثل "إن بي إم" (npm)، و"باي باي" (PyPi)، و"روبي غيمز" (RubyGems).
وقد وجد بيرسان أن هذه المستودعات يمكن استخدامها لتنفيذ هذا الهجوم، لكن الأمر لا يقتصر على الحزم البرمجية الثلاث المذكورة فقط.
فبالإضافة إلى هذه الحزم العامة، تقوم الشركات عادة ببناء حزم خاصة بها، لكنها لا تقوم بتحميلها، وبدلاً من ذلك توزعهاعلى مطوريها، ومن هنا وجد بيرسان الثغرة.
واكتشف بيرسان أن العثور على أسماء الحزم الخاصة التي تستخدمها الشركات، هي مهمة سهلة جدا في معظم الحالات.
وكان بإمكانه تحميل التعليمات البرمجية الخاصة به إلى أحد المستودعات العامة التي تحمل الاسم نفسه، وبذلك تستخدم الأنظمة الآلية للشركات تعليماته البرمجية بدلا من ذلك.
ولن تقوم الشركات بتنزيل الحزمة الخاصة به بدلا من الحزمة الصحيحة فقط، بل تقوم أيضا بتشغيل التعليمات البرمجية بداخلها.
ويبدو أن الشركات اتفقت على أن المشكلة خطرة، ففي رسالته عبر منصة "ميديم" (Medium)، كتب بيرسان أن غالبية مكافآت الأخطاء الممنوحة له حُدّدت بالحد الأقصى المسموح به بموجب سياسة كل برنامج، وأحيانا بحد أعلى.
وحصل الباحث على أكثر من 130 ألف دولار من مكافآت الأخطاء، وذلك بالنظر إلى جهوده البحثية الأخلاقية.
ووفقا لبيرسان، تمكنت معظم الشركات التي اتصل بها بشأن استغلال تلك الثغرة من تصحيح أنظمتها بسرعة حتى لا تكون عرضة للخطر.
وقدمت مايكروسوفت مستندًا تقنيا يشرح كيف يمكن لمسؤولي النظام حماية الشركات من هذه الأنواع من الهجمات، لكنّ المدهش أن الأمر استغرق كل هذا الوقت حتى يدرك شخص ما أن هذه الشركات الضخمة كانت عرضة لهذا النوع من الهجمات.