القاهرة - عبد الرحمن أحمد- خلال السنوات الأخيرة تمكن العديد من الباحثين المصريين في مجال الأمن الإلكتروني من الحضور بقوة في مجال ما يعرف بـ "الاختراق الأخلاقي"، حيث لا تكاد تخلو قوائم شرف المواقع الكبرى من أسماء مصرية، تقديرا لمساهمتهم في توفير إنترنت وتكنولوجيا أكثر أمانا.

 

ووفقا لتقرير أعمال أمن المعلومات لعام 2019 الصادر عن منصة "هاكر وَن" -أكبر ملتقى مختص في إدارة ومتابعة القراصنة أو المخترقين الأخلاقيين- ازداد نشاط المخترقين المصريين على المنصة، واحتلوا المركز السابع في الحصول على المكافآت خلال العام الماضي، حيث حصدوا حوالي 750 ألف دولار.

 

ولسنوات طويلة ارتبط مصطلح الاختراق الإلكتروني بالأعمال الإجرامية لقراصنة أشرار يخترقون المواقع والأنظمة، وينشرون الفيروسات والبرمجيات الخبيثة التي تكبد الشركات والمنظمات والأفراد خسائر فادحة تقدر بمليارات الدولارات.

 

ولكن على خلاف الصورة النمطية الشائعة، ظهرت مجموعات من الباحثين الأمنيين المعروفين بالقراصنة "الهاكرز" الأخلاقيين أو القبعات البيضاء، الذين يقومون بعمليات اختراق قانونية ومصرح بها لكشف نقاط ضعف الأنظمة والتطبيقات وإبلاغ أصحابها في سرية لتداركها وإصلاحها، ومنع استغلالها من قبل المخترقين المجرمين المعروفين باسم "القبعات السوداء".

 

وبعيدا عن الأضواء يدور سباق محموم بين القبعات البيضاء والسوداء، حول من يكتشف ثغرات ونقاط ضعف الأنظمة أولا.

 

ثغرات ومكافآت

لأن ثغرة واحدة قد تقضي على علامة تجارية شهيرة، أو تكلف مؤسسات وأفرادا ملايين وربما مليارات الدولارات، تعرض العديد من الشركات الكبرى حول العالم مكافآت باهظة لمن يكتشفون ثغرات في أنظمتها الإلكترونية ويقومون بالإبلاغ عنها.

 

وبينما توظف بعض الشركات باحثين من ذوي المهارات في اختراق المواقع لإجراء الاختبارات على أنظمتها، تلجأ شركات أخرى إلى منصات الاختراق الأخلاقي مثل "هاكر ون" و"بج كراود"، فضلا عن "كراود كيورتي" التي تدير برامج مكافآت الاختراق، وتلعب دور الوسيط بين الشركات والمخترقين الأخلاقيين. 

وبحسب تقرير منصة "هاكر وَن" التي تضم أكثر من 450 ألف مخترق أخلاقي، بلغ عدد الثغرات والتهديدات الأمنية التي تم الإبلاغ عنها وحلها عبر المنصة أكثر من 123 ألف ثغرة وتهديد أمني، وتم دفع مكافآت تجاوزت 62 مليون دولار.

 

وتمكن ستة مخترقين من الحصول على مكافآت عبر المنصة تجاوزت حاجز المليون دولار لكل منهم.

 

وتضع شركات كبرى -مثل غوغل وآبل وفيسبوك ومايكروسوفت- برامج مكافآت خاصة باكتشاف الثغرات فى أنظمتها تصل في بعض الحالات إلى مليون دولار للثغرة الواحدة، وتتيح وسيلة مناسبة للباحثين الأمنيين لإبلاغهم بأي مشاكل يتوصلون إليها.

 

وفي نوفمبر/تشرين الثاني الماضي أعلنت غوغل أنها قدمت منذ عام 2015 أكثر من أربعة ملايين دولار مكافآت للباحثين الأمنيين الذين تمكنوا من اكتشاف ثغرات في نظامها الشهير للهواتف والأجهزة الذكية "أندرويد".

 

تزداد أهمية المخترقين الأخلاقيين أو القبعات البيضاء، في ظل تقارير تقدر عدد الهجمات السيبرانية التي ينفذها القراصنة في اليوم الواحد بحوالي 2422 هجمة يوميا أي بمعدل هجوم واحد كل 39 ثانية، وفق دراسة سابقة لجامعة ميريلاند الأميركية.

 

كما توقعت دراسة لـ "سايبر سيكيورتي فنتشرز" المختصة في أبحاث الجرائم الإلكترونية وسوق الأمن السيبراني، أن ترتفع تكلفة الجرائم الإلكترونية سنويا لأكثر من ستة تريليونات دولار بحلول عام 2021، ما يعني الحاجة إلى شغل أكثر من 3.5 ملايين وظيفة جديدة في مجال أمن المعلومات.

نموذج مصري

من الأسماء المصرية التي برزت في مجال الاختراق الأخلاقي واختبار الاختراق، الباحث الأمني الشاب محمد عبد الباسط النوبي، مؤسس ومدير الأمن السيبراني في شركة سيكيوريتي المختصة في أمن المعلومات ومقرها المكسيك.

 

ومنذ اكتشف النوبي أول ثغرة له في موقع فيسبوك عام 2013 لم تخلُ قائمة الشرف السنوية التي يصدرها عملاق التواصل الاجتماعي من اسم النوبي.

 

وقال النوبي في حديثه للجزيرة نت، إن رحلته مع اكتشاف الثغرات شملت العديد من المواقع والأسماء الكبرى في عالم التقنية والإلكترونيات مثل غوغل ومايكروسوفت وتويتر وياهو وسوني وآبل وسامسونغ، ومواقع شهيرة لاستضافة الملفات مثل ميديا فاير وفور شيرد، وحتى كبرى شركات مكافحة الفيروسات مثل كاسبرسكاي وسيمانتك وأفاست ومكافي.

 

واعتبر خبير الأمن السيبراني أن أهم وأخطر الثغرات التي اكتشفها كانت متعلقة بشركة خطوط الطيران الأميركية "يونايتد إيرلاينز"، حيث مكنته الثغرة من الوصول إلى البيانات الشخصية لجميع المسافرين على خطوط الشركة.

 

ونظرا لخطورة الثغرة، منحته الشركة الأميركية مكافأة بمليون ميل للسفر الحر.

 

وحول الأساليب التى يتبعها النوبي للعثور على الثغرات، أوضح النوبي أنه يقوم بدراسة عميقة للهدف ومعرفة التكنولوجيا المستخدمة فى بنائه، وتتبع الثغرات المعروفة في هذه التكنولوجياـ وأهمها الثغرات المصنفة في قائمة أخطر عشر ثغرات، التي تصدرها منظمة "أواسب 10" سواء للهواتف المحمولة أو الويب.

 

وأضاف أنه يعتمد أيضا على البيانات المسربة من خلال اختراقات سابقة، إلى جانب أسلوب الـ "Fuzzing"، وهو أسلوب يعتمد على إرسال العديد من المدخلات العشوائية إلى أى نظام أو تطبيق، ومتابعة رد فعله على هذه المدخلات.

 

وأشار النوبي إلى أنه واجه أحيانا صعوبات في التعامل مع بعض المؤسسات الكبيرة غير الحكومية في مصر وخارجها عند اكتشافه ثغرة خطيرة في أنظمتها، ما بين التشكيك في الثغرة أو التهوين منها رغم خطورتها، أو مطالبته بتأكيدات مبالغ فيها بشأن ثغرات واضحة.

 

وأرجع ذلك إلى غياب الاحترافية لدى القائمين على الأمن السيبراني في هذه المؤسسات.

 

شغف وقيمة إنسانية

وحول دوافع استمراره في هذه المهمة، يقول النوبي إنها متعددة -وإن اختلفت في أولوياتها- فهناك الشغف بالتكنولوجيا وإثبات التفوق، والقيمة الإنسانية في حماية المجتمع والمستخدمين من المخاطر التي تهدد خصوصياتهم وأموالهم وربما حياتهم، فضلا عن كون الاختراق الأخلاقي أصبح وظيفة مهمة ذات دخل مادي كبير.

 

ويقدم النوبي عبر حساباته على مواقع التواصل أهم الأخبار والنصائح المتعلقة بأمن المعلومات، بهدف رفع الوعي الأمني لدى المستخدم العادي، وتنبيهه للمخاطر الإلكترونية المتصاعدة.

 

وحذر الخبير الأمني الراغبين في خوض مغامرة صيد الثغرات والاختراق الأخلاقي، من التورط في عمليات فحص أي هدف (سواء كان موقعا أو نظاما أو تطبيقا) دون إذن صاحبه، وخاصة إذا كان الهدف لا يقدم قواعد للإبلاغ عن الثغرات (Responsible Disclosure Rules)، أو برنامج مكافآت لاكتشاف الثغرات (Bug Bounty)، لأن ذلك الأمر مجرّم قانونا في أغلب الدول.

 

ويتضمن القانون المصري لمكافحة جرائم تقنية المعلومات العديد من العقوبات تشمل الحبس والغرامة لمن يقوم باختراق أي موقع، أو الوصول إلى بيانات غير مصرح بها سواء كان متعمدا أو بغير قصد، ولا يُستثنى الاختراق الأخلاقي من هذه العقوبات.

المصدر : الجزيرة