الشركات
لا نمل من القول مرارًا وتكرارًا: إن القصص الخيالية ما هي إلا تقارير مختصرة محجوبة بشأن معلومات الأمان. ولم يقتصر الأمر على رواة القصص الأوروبيين الذين حاولوا تحذير من يأتي بعدهم من التهديدات السيبرانية؛ فقد كانوا على قدم المساواة من البصيرة النافذة في الشرق. فعلى سبيل المثال، شهرزاد، وهي الشخصية المحورية في مجموعة القصص الكلاسيكية ألف ليلة وليلة، احتفظت بما لا يمكن وصفه إلا أنه مدونة يومية عن أمان المعلومات تحتوي على ملفات بودكاست فيديو. نعم، فلقد كان لديها دوافعها الخفية لتفعل ذلك…
…إلا أننا اليوم ننظر إلى بعض الحالات التي أضيفت إلى مدونة شهرزاد بعد ذلك بكثير، تحديدًا في القرن الثامن عشر، فيما روي قديمًا وعرف باسم حكاية علي بابا والأربعين لصًا. وحتى أولئك الذين لا يعرفون شيئًا عن القصة فهم بكل تأكيد على دراية بتلك الجملة السحرية “افتح يا سمسم!”
وبلا أدنى شك، فمجريات القصة كلها تدور حول فكرة استخدام كلمة مرور للحماية من الوصول غير المصرح به. إلا أن هذا الأمر بعيد كل البعد عن مجرد كونها نصائح بخصوص أمان المعلومات ورد ذكرها في القصة الخيالية؛ إذ هي فقط الجانب الأكثر وضوحًا في القصة.
نقل كلمة المرور من خلال إحدى القنوات غير الآمنة
إليكم إحدى القصص السريعة التي تنعش ذاكرتكم: مجموعة من اللصوص يخفون بعضًا من المسروقات في إحدى المغارات لا يمكن الدخول إليها إلا عن طريق كلمة المرور افتح يا سمسم. وآلية الحماية هذه ينطوي داخلها عدد من الثغرات الخطيرة.
ففي بداية الحكاية، يقف زعيم اللصوص عند مدخل المغارة وينادي بأعلى صوته: “افتح يا سمسم!” وهنا تلوح العديد من المشكلات في الحال. أولاها: كلمة السر سهلة للغاية. ثانيها: لا توجد مصادقة ثنائية ولا حتى اسم مستخدم!
بل الأسوأ من ذلك، وهو انتقال كلمة المرور من خلال قناة مفتوحة. علي بابا، ذلك الشخص الذي كان يجمع الحطب بالقرب من المغارة، يصل إلى مسامعه كلام زعيم اللصوص عن غير قصد منه. وفي الحقيقة، ولم يكن ذلك إلا بدافع الفضول، ومن دون وجود نية خبيثة، فقد حاول علي بابا بنفسه تجربة كلمة المرور تلك. وعندما فتحت المغارة بابها، رغم ذلك، دخل إليها وأخذ بعضًا من المجوهرات المخبأة بالداخل.
نموذج برنامج التجسس
وفي طريق عودته إلى المنزل، يعطي علي بابا القطع النقدية الذهبية إلى زوجته لتحصرها. تحاول زوجة علي بابا حصر القطع النقدية قطعة قطعة، إلا أنها عجزت عن حصر الكثير منها وبدلاً من ذلك تقترض من سِلفتها، زوجة قاسم، وهو الأخ الوحيد لعلي بابا، إحدى الأدوات التي تعينها على حصر تلك القطع.
وتحدد بعض الترجمات أداة القياس تلك بميزان المطبخ والبعض الآخر يقول إنها وعاء من نوع ما، غير أن هذه التفصيلة لن تؤثر في مجريات الأحداث، إذا جاز التعبير. ما يهمنا هو أن زوجة قاسم التي انتابها الفضول تلطخ الجزء السفلي من الأداة بقليل من عسل النحل (كما ذُكر في بعض الترجمات) لتعرف السبب الذي دفع بزوجة علي بابا لاقتراض الأداة منها فجأة. وحينما أعادت زوجة علي بابا أداة القياس، ويا للمفاجأة، إذا بقطعة ذهبية تلتصق بأسفل تلك الأداة؛ أي أن زوجة قاسم كانت تستخدم تلك الأداة لحصر قطع الذهب!
حتى أولئك الذين لا يتقنون الأمور السيبرانية يرون أن المؤلف يشرح نموذج تجسس مدمجًا داخل منتج شرعي. فزوجة قاسم تقدم جهازًا (من منطلق نموذج “القياس كخدمة”) وتتجسس على نشاط العميل. السمة الرئيسية المميزة للقصة هي: استخدام أدوات من مصادر موثوق فيها والتحقق منها بغرض معرفة الثغرات والأجهزة الضارة.
كلمات المرور المنسية
ما سيحدث لاحقًا يبدو وكأنه من المستبعد أن يقع على أرض الواقع؛ إذ يعترف علي بابا لأخيه قاسم بكل شيء ويخبره بكلمة المرور. ويدخل قاسم إلى المغارة بنفسه. وفي الداخل، ينسى قاسم كلمة المرور (وهي تلك الكلمة التي يحتاج إليها للخروج من المغارة) ويعلق قاسم بداخل المغارة ثم يفقد رأسه إثر عثور اللصوص عليه داخل المغارة. أما الرسالة التسويقية فواضحة ومفادها: “لا تفقد حياتك بسبب نسيانك لكلمة المرور” أو أي شيء من هذا القبيل.
أشك أنه في ذلك اليوم، احتوى هذا الجزء من الحكاية على ترويج لمنتج لبعض أدوات إدارة كلمات المرور القديمة التي استخدمها الفنيون الساسانيون، ولكن تم مسح الرسالة الأصلية من خلال إعادة السرد اللانهائي للحكاية. لتعويض ذلك الفقد، سندرج ما يخصنا: يخزن تطبيق Kaspersky Password Manager كلمات المرور وغيرها من المعلومات السرية بأمان.
إياك وتغيير كلمة المرور
لكن لنعد أدراجنا إلى القصة مرة أخرى. بعد أن فشل قاسم في العودة إلى منزله، انطلق أقاربه بحثًا عنه في كل مكان. وإذا بعلي بابا يرجع مرة أخرى إلى المغارة ليجد جثة أخيه ملقاة داخلها ليحملها على عاتقه ويعود بها إلى منزله لدفنها.
في هذه العملية، يُعرض على القارئ مثال آخر على سياسة كلمات المرور التى يرثى لها: لم يكلف اللصوص أنفسهم مشقة تغيير كلمة المرور بعد تلك الواقعة. السبب الحقيقي غير واضح. قد يكون هذا إهمالاً واضحًا وصريحًا أو أن البنية الأساسية لنظام المصادقة معيبة.
وفي الوقت نفسه، من المحتمل ببساطة أنه ليس لديهم حقوق المسؤول. إذا كانوا قد استولوا على المغارة (وهم بالفعل لصوص، قبل أي شيء) فمن المحتمل ألا تكون لديهم سوى كلمة مرور لمستخدم واحد. كان المالك الحقيقي للمغارة قد دفن معه بيانات اعتماد المسؤول التي تخصه.
هجمات من خلال المتعهدين
ولأن علي بابا كان يرغب في أن تكون حكايته طي الكتمان، فلا يمكنه دفن جثة رأسها مقطوع. لذا فما كان من أمر علي بابا وزوجة أخيه الراحل والخادمة مرجانة إلا أن يفعلوا ما بوسعهم للتكتم على ما يحدث. فمرجانة قد ترددت كثيرًا على الصيدلية طلبًا للدواء؛ ما جعل الأمر يبدو للآخرين أن قاسمًا قد مرض وأن حالته تزداد سوءًا ثم أعلنت لاحقًا أنه قد مات ميتة طبيعية.
وفي هذه الأثناء، أحضرت إسكافيًا إلى المنزل ليخيط رأس قاسم بجسده مرة أخرى. والأدهى من ذلك أنها عصبت عين ذلك الإسكافي واقتادته في طرق ملتفة كالمتاهة؛ لذلك لم يكن بإمكانه معرفة مكانه.
أما بالنسبة للصوص فإنهم حاولوا معرفة مصدر تسريب المعلومات من خلال التقرب من ذلك الإسكافي، وذلك بوعده بإعطائه قطعًا من الذهب ثم إنهم عصبوا عينه – وهو ذلك الرجل الطاعن في السن – واستعرضوا قوتهم عليه بغرض تعقب أثر أقدامه حال عودته إلى منزل علي بابا.
يوضح هذا المثال أنه حتى في حال العمل مع المتعهدين من خلال قناة مشفرة آمنة، ما تزال المعلومات التي على درجة من الحساسية عرضة لأن تتسرب للدخلاء. ربما تكون مرجانة قد أبرمت اتفاقًا بعدم إفشاء الأسرار مع ذلك الإسكافي.
مصيدة المخترقين
قام أحد أفراد العصابة بوضع علامة على باب دار قاسم، حيثما يعيش علي بابا حاليًا، ثم عاد ذلك اللص مرة أخرى برفقة زملائه من اللصوص ليلاً لاغتيال كل من في تلك الدار. غير أن الخادمة مرجانة الماكرة لاحظت تلك العلامة الموضوعة على باب دار قاسم فقامت بوضع علامة مثلها تمامًا على جميع أبواب الدور الأخرى في ذلك الحي وبالتالي أحبطت الهجوم المنتظر.
في الأساس، حولت مرجانة الحي كله إلى شبكة من المصايد للإيقاع بالمخترقين. نظريًا، تسير الأمور كما يلي: يخطئ المتسللون داخل الشبكة في اكتشاف إحدى المصايد المخصصة لاصطياد المخترقين في أثناء سعيهم وراء أهدافهم ثم يبدأون في شن هجمة على تلك المصيدة، وبالتالي يفتضح أمرهم وتنكشف نواياهم وأساليبهم. وفي الوقت الذي يدرك فيه المخترقون جسامة أخطائهم، يتدخل الخبراء من وحدة الاستجابة السيبرانية ويوقفون ذلك الهجوم.
وما يتبقى هو السؤال عن مدى أخلاقية استخدام منازل المستخدمين الأبرياء بصفتها مصايد للإيقاع بالمخترقين. في جميع الأحوال لن يقع إيذاء حقيقي؛ يكتشف اللصوص الحيلة في الوقت المناسب ويوقفون شن الهجوم.
نظام النقل بالحاويات
أخذ زعيم اللصوص قراره بتحمل المسؤولية الشخصية عن الهجوم. فقد أمر بإحضار 40 جرة كبيرة (يحتمل أن يكون في ذلك إشارة إلى .JAR؛ وهو تنسيق لملف Java ARchive) على أن يتم ملء اثنتين منهما بالزيت وتُترك باقي الجرار فارغة. وكان الغرض من ملء جرتين اثنتين بالزيت تضليل أي محاولة من محاولات الفحص الظاهري؛ وقد اختبأ اللصوص في باقي الجرار الفارغة.
ويظهر هو مع هذه الحمولة داخل دار علي بابا. وتتمثل الخطة بالنسبة لزعيم العصابة في أن يتنكر في هيئة بائع للزيت لكي يشق طريقه إلى داخل دار علي بابا على أنه ضيف مع إضماره لنية تحرير باقي اللصوص من الجرار لاحقًا عندما يخلد جميع من في الدار إلى النوم.
بشكل عام، فهذا وصف لإحدى الهجمات على البنية التحتية باستخدام برنامج ضار مخبأ في حاويات. ذلك أن القائمين بالفحص عند المداخل لا يقومون بالتحقق مما في داخل هذه الحاويات؛ بل تتسرب هذه التهديدات من خلال محيط الأمان. كانت مهمة زعيم العصابة القابع في الداخل أن يُنشط أفراد العصابة.
إلا أن مرجانة أنقذت الموقف مرة أخرى عندما استرقت السمع إلى أحد اللصوص المختبئين في الجرار. فما كان منها إلا أن تحققت من جميع الجرار، واحدة تلو الأخرى؛ لتتحقق من أنها يختبئ فيها أفراد العصابة، ثم سكبت الزيت المغلي داخل هذه الجرار وبهذا قضت على هذا التهديد. وبعبارة أخرى، حتى في ذلك الوقت كانت لديها أداة لفحص ما بداخل هذه الحاويات. يشتمل حل Kaspersky Hybrid Cloud Security لدينا على التقنية نفسها التي يمتد تاريخها لأكثر من 1500 عام وحتى تاريخه.
وفي نهاية المطاف، فالسيادة للعدالة. تعرّض زعيم عصابة اللصوص للقتل، وتزوجت مرجانة من ابن علي بابا (الذي ظهر من حيث لا أدري في نهاية القصة) وظل علي بابا الشخص الوحيد الذي يحتفظ بكلمة المرور للمغارة المليئة بالمجوهرات.
العبرة من القصة
• عند تصميم نظام مصادقة، ينبغي عدم إغفال عنصر الأمان. فاستخدام كلمة مرور صعبة الترميز يتم إرسالها عبر قناة غير مشفرة دون وجود مصادقة متعددة العوامل ببساطة من شأنه أن يثير المتاعب.
• اختر الموردين والمتعاقدين معك من الباطن بعناية فائفة. وإذا أمكن، فتحقق من الأدوات التي يستخدمونها والخدمات التي يقدمونها بحثًا عن الثغرات والأجهزة الضارة مع عدم إغفال أن يُوقّع جميع الأطراف على اتفاقيات عدم الإفصاح (NDAs).
• استخدم أحد حلول الأمان الذي من شأنه فحص الحاويات عند تحميلها لمنع التعليمات البرمجية الضارة من التسلل إلى مشروعك من أحد المستودعات المخترقة.
يحتمل أن يكون في ذلك إشارة إلى تنسيق لملف Java ARchive.
النصائح