السبت، 6 فبراير 2021

الثغرات الامنية في كبريات الشركات هل هي أخطاء تطوير أم كما يقال "باب النجار مخلع"


تقول Google انه من السهل جدا على المخترقين العثور على ثغرات امنية جديدة ،وذلك لان المخترقين غالبا ما يستغلون نقاط الضعف نفسها للبرامج مرارا وتكرارا لمعرفتهم بان الشركات غالبا ما تفوت نقاط الضعف تلك .

في ديسمبر 2018 اكتشفت مجموعة من الباحثيين الامنيين في Google مجموعة من المخترقين الذين يوجهون انظارهم نحو مايكروسوفت انترنت اكسبلورر، على الرغم من انه تم ايقاف التطوير الجديد قبل عامين الا انه لمن الشائع انك اذا تمكنت من العثور على طريقه لاختراقه،فقد عثرت على باب مفتوح محتمل لاختراق المليارات من اجهزة الكمبيوتر.

كان المخترقون يبحثون عن عيوب لم تكن معروفة من قبل، والمعروفة باسم نقاط الضعف يوم الصفر :-(وهي الثغرات التي يكتشفها المخترقون دون معرفه مالك النظام بها ).

وبعد وقت قصير من رصدها، رأى الباحثون استغلال واحد يجري استخدامه بشكل واسع، فقامت مايكروسوفت بإصلاح هذا الخلل الامني ،و في سبتمبر 2019 ، تم العثور على ثغرة أمنية أخرى مماثلة يتم استغلالها من قبل نفس مجموعة المخترقين .


أضافت هذه المجموعة المزيد من الاكتشافات من الثغرات الامنية في نوفمبر 2019، يناير 2020، و أبريل 2020 اي ما يصل إلى خمس ثغرات امنية على الأقل من تصنيف اليوم الصفر.

أصدرت Microsoft تحديثات أمنية متعددة:

فشل بعضها في إصلاح الثغرة المستهدفة بالفعل ، بينما طلب البعض الآخر تغييرات طفيفة فقط تتطلب سطرًا أو سطرين فقط لتغيير رمز المخترق لجعل الاستغلال يعمل مرة أخرى.

"بمجرد أن تفهم واحدة فقط من تلك الثغرات الامنية ، يمكنك بعد ذلك تغيير بضعة أسطر ثم تستمر في العمل وانتاج المزيد من ثغرات اليوم الصفر."

يمثل هذا التنافس الشرس بين المتسللين والشركات السبب الرئيسي للمشكلة في مجال الأمن السيبراني ، وفقًا لبحث جديد أجرته Maddie Stone، باحثة أمنية في Google : من السهل جدًا على المتسللين الاستمرار في استغلال ثغرات الـ 0-Day الخبيثة لأن الشركات لا تقوم بعمل جيد بشكل دائم في اغلاق العيوب والثغرات الامنية .

البحث الذي أجرته Stone، التي هي عضو من الفريق الامني ل Google المعروف باسم Zero Project ، يركز الضوء على أمثلة متعددة على ذلك الاداء، بما في ذلك المشاكل التي واجهتها Google نفسها مع متصفح Chrome الشهير.

وقالت Stone يوم الثلاثاء في المؤتمر الأمني Enigma: 

"ما رأيناه من تخفيضات في جميع أنحاء الصناعة : بقع غير مكتملة تسهل على المهاجمين استغلال المستخدمين في ثغرات الـ 0-Day".  المهاجمين لا يحتاجون الوصول إلى جميع التعليمات البرمجية الجديدة ، أو تطوير استغلال جذرية الجديدة ، والنظر في التعليمات البرمجية التي لم يتم بحثها من قبل. من خلال سوء التطوير نحن نسمح للمهاجمين بإعادة استخدام الكثير من نقاط الضعف المختلفة التي كنا نعرف عنها سابقًا.

يعمل Project Zero داخل Google كفريق فريد ومثير للجدل في بعض الأحيان، ويُكرس بالكامل لصيد الثغرات الامنية من تصنيف 0-day. ووجود هذه الثغرات الامنية سبب في مطمع القراصنة من جميع انحاء العالم، وأكثر قيمة من أي وقت مضى - ليس بالضرورة لأنها تزداد صعوبة في التطوير، ولكن لأنه، في عالمنا hyperconnected، انهم الأكثر قوة.

على مدى فترة 6 سنوات، قام فريق Google بتتبع أكثر من 150 خطأ رئيسيًا من نوع 0-day، وفي عام 2020 وثق فريق ستون 24 ثغره من نوع 0-day تم استغلالها - ربعها مشابه للغاية لنقاط الضعف التي تم الكشف عنها سابقًا.

تم تصحيح ثلاثة منها بشكل غير كامل ، مما يعني أنه استغرق بعض التعديلات على رمز القراصنة لمواصلة العمل ،وقالت Stone : 
"ان العديد من هذه الهجمات تنطوي على أخطاء أساسية ،وهي ليست صعبة بالنسبة للقراصنة بمجرد أن تفهم واحدة من تلك الأخطاء، يمكنك بعد ذلك تغيير بضعة أسطر ثم تستمر في العمل صفر أيام."

ولكن السؤال الذي يتردد في ذهن الجميع لماذا لم يتم إصلاحها؟

معظم فرق الأمن العاملة في شركات البرمجيات لديها وقت وموارد محدودة، كما تقترح - وإذا كانت أولوياتها وحوافزها معيبة، فإنها تتحقق فقط من أنها أصلحت الضعف المحدد للغاية أمامها بدلاً من معالجة المشاكل الأكبر من الجذور للعديد من الثغرات الامنية . ولقد اكد العديد من الباحثون الآخرون أن هذه المشكلة شائعة.

يقول جون سيمبسون ، الباحث الامني في شركة الأمن السيبراني Trend Micro: "يمكننا جميعا التحدث في الوجه ولكن إذا لم يكن لدى المنظمات الهيكل الصحيح للقيام باصلاح اكثر من علة دقيقة ذكرت لهم، وان تحصل على هذا يتطلب جزء كبير من الوقت والمال ،وإعطاء المهندسين مساحة أكبر للتحقيق في نقاط الضعف الأمنية الجديدة، والعثور على السبب الجذري، وإصلاح القضايا الأعمق التي غالبا ما تظهر في نقاط الضعف الفردية".

وقالت Stone : ان البحث عن نفس الضعف في أماكن مختلفة ، أو نقاط ضعف أخرى في نفس الكتل من التعليمات البرمجية. قد يحاول البعض بالفعل اتباع هذا النهج او اتباع مناهج مختلفة ، شركة Apple على سبيل المثال ، تمكنت من إصلاح بعض الثغرات الأمنية الأكثر خطورة من خلال ايجاد هذه الثغرت وازالتها من مستوى أعمق.

في عام 2019، تصدرت باحثة أخرى في Google Project Zero،
(Natalie Silvanovich) عناوين الصحف عندما قدمت ثغرة حرجة من نوع
 (0-click )في iMessage من Apple حيث كانت هذه ثغرة 0-day. 

حيث يسمح هذا التصنيف من العيوب الامنيه للمهاجم بالسيطرة على هاتف الشخص بالكامل دون أن يطلب من الضحية فعل أي شيء او حتى النقر على رابط لذلك سميت بـ Zero click، مما يمكن المهاجمين ان يتحكموا بهاتفك. (في ديسمبر 2020، وجدت أبحاث جديدة حملة من قبل المخترقين ضد الصحفيين في قناة الجزيرة الذين يستغلون هجومًا آخر من نوع Zero click ضد iMessage).

بدلاً من الاقتراب الضيق من نقاط الضعف المحددة ، دخلت الشركة في اعماق iMessage لمعالجة المشكلات الأساسية والهيكلية التي كان المتسللون يستغلونها. على الرغم من أن Apple لم تقل شيئًا عن الطبيعة المحددة لهذه التغييرات - فقد أعلنت مسبقا عن مجموعة من التحسينات مع تحديث برنامج iOS 14.4 الخاص بها الذي قامو بتطويره بعد ان وجدو 3 ثغرات امنية خطيره : "يمكنك قراءة المزيد من هنا"


قام Samuel Groß من Project Zero مؤخرًا بتشريح iOS و iMessage واستنتج ما حدث ، يتم الآن عزل التطبيق عن بقية الهاتف مع ميزة تسمى BlastDoor ، مكتوبة بلغة Swift مما يجعل من الصعب على المتسللين الوصول إلى ذاكرة iMessage.

وقامت Apple أيضًا بتغيير بنية iOS بحيث يكون من الصعب الوصول إلى ذاكرة التخزين المؤقت المشتركة للهاتف ،وأخيرا ، منعت Apple المخترقين من محاولة "القوة الغاشمة" الهجمات مرارا وتكرارا في تعاقب سريع. واضافت ميزات جديدة فاصبحت الاختراقات التي قد تستغرق دقائق في الاستغلال ومرة واحدة يمكن أن تستغرق الآن ساعات أو أيام لإكمالها ، مما يجعلها أقل إغراء للمخترقين .

كتب Groß : "إنه لأمر رائع أن نرى شركة Apple تضع جانبًا الموارد لهذه الأنواع من عمليات إعادة البناء الكبيرة لتحسين أمان المستخدمين النهائيين". "تسلط هذه التغييرات الضوء أيضًا على قيمة العمل الأمني الهجومي: لم يتم إصلاح أخطاء فردية فقط ، ولكن تم إجراء تحسينات هيكلية بدلاً من ذلك بناءً على الأفكار المكتسبة من أعمال تطوير برمجيات إكسبلويت"

ليست هناك تعليقات:

إرسال تعليق

Ads link

Ads test

Labels