نشرة حوسبة #39: اختراق مايكروسوفت العظيم
كل خدمات الشركة من أولها إلى آخرها كانت مفتوحة لهجمات الصين من 2021م إلى 2023م.
حياكم الله جميعًا مشتركي نشرة علوم الحاسوب من حوسبة. نأمل أن تجدوا في هذه النشرة سلوةً لما تفتقدونه من نقاشاتٍ متعلقة بمواضيع علوم الحاسوب وكافّة تخصصاتها في الويب العربي.
إليكم محتوى هذا العدد.
نقاش العدد: اختراق مايكروسوفت العظيم
تعرضت شركة مايكروسوفت إلى واحدٍ من أكبر الهجمات السيبرانية من ناحية تأثيره في التاريخ، أو لعله يكون هو الأكبر.
نريد شرح بعض المفاهيم الأساسية قبل أن نخوض في شرح ما حصل، لكي تكون جميع المصطلحات والمعاني مفهومة لقارئينا:
التحطّم (Crash) هو خلل يؤدي إلى توقف البرنامج عن العمل فجأة إما بسبب عدم توفر الموارد الكافية، أو عدم وجود الصلاحيات اللازمة أو خطأ برمجي في الشفرة البرمجية الخاصة بالبرنامج. عندما يتحطم البرنامج، فإن المطورين بحاجة بالطبع إلى معرفة سبب ذلك بالإضافة إلى تسجيلٍ كامل (Log) للبيئة التي كان يعمل معها البرنامج، وهو ما يُعرف في عالم البرمجيات بنفاية التحطّم (Crash Dump). غالبًا ما تكون هذه “النفاية” ملفًا واحدًا يحتوي المعلومات اللازمة والبيانات التي كانت يعمل عليها البرنامج قبل أن يتحطّم على النظام.
مفتاح التوقيع (Signing Key) هو وسيلة لضمان أن أي ملف أو مجموعة بيانات هي صادرة عن الجهة الفلانية، سواءٌ كانت هذه الجهة شخصًا أو مؤسسة أو شركة. يُستعمل هذا المفتاح لتوقيع الملفات مثلًا مما يسمح لأي شخص أن يتأكد أن هذه الملفات صادرة عن صاحبها الأصلي، وليست معبوثًا بها أو غير موثوقة.
لا تحتوي نفاية التحطّم في العادة على أي بيانات حساسة أو شخصية، لأنها قد تقع في يد أكثر من شخص، ولهذا فإن نظام توليد هذه النفايات أصلًا لا يضمّن أي بيانات حساسة أو مهمة معها، بل فقط ما يلزم لتنقيح المشكلة من طرف المطورين.
في شهر أبريل من سنة 2021م حصل تحطّم (Crash) في أحد البرمجيات الداخلية المرتبطة بمفاتيح التوقيع (Signing Keys) في أحد أنظمة مايكروسوفت. الإجراء الروتيني هو أن تُولّد نفاية التحطّم بشكل عادي كأي برنامج آخر بهدف تمكين المطورين من تحليل المشكلة ومعرفة السبب… كل هذا طبيعي.
الغير طبيعي، هو أن نفاية التحطّم هذه كانت تحتوي واحدًا من أهم مفاتيح التوثيق للشركة داخله، وهو المفتاح الذي يسمح بالوصول إلى أي جزء من البنية التحتية الخاصة بخدمة Azure من مايكروسوفت والذي يؤدي بدوره إلى الخدمات الأخرى التابعة لنظام Active Directory. حصل هذا بسبب ما يعرف في علوم الحاسوب بحالة التسابق (Race Condition)؛ وهو حالة من عدم النهائية في مُخرجات نظام منطقي حاسوبي، فبدلًا من أن تحصل على نفس الخرج عندما تُدخل نفس المُدخلات، قد تحصل على مُخرجات أخرى بسببٍ خلل ما سواءٌ في العتاد أو في البرمجيات في أحد المرات.
يمكن لأي جهة خارجية عبر الحصول على مفتاح التوقيع هذا ببساطة تخطّي أنظمة الحماية الأمنية التابعة للشركة، لأنهم صاروا يمتلكون مفتاح التوقيع الذي يدلّ على أنهم جهة موثوقة، رغم أنهم ليسوا كذلك.
صحيحٌ أن هذه مشكلة كبيرة والمفترض ألا تحصل… لكننا إلى الآن في السليم؛ لأن المكان أو البيئة الذي تُولّد نفايات التحطّم هذه إليه هي بيئة داخلية في شركة مايكروسوفت ولا يمكن الوصول إليها سوى من طرف مطوري الشركة، وليست مفتوحة على الإنترنت العام. لكن ما حصل وبدأ أصل العملية هو أن مجموعة من المُخترقِين التابعين للصين تمكّنوا من اختراق أحد موظفي الشركة في سنة 2021م ممن كان لديهم وصول إلى النفايات هذه، وبالتالي تمكنوا من الحصول على مفتاح التوقيع المهم هذا والذي مكّنهم من الوصول إلى كامل البنية التحتية لشركة مايكروسوفت لمدة سنتين (من 2021م أبريل إلى 2023م يوليو).
كل منتجات الشركة: خدمة Azure، ويندوز، سكايب، Outlook، مايكروسوفت أوفيس، أوفيس 365، خدمات ويندوز التحتية (نظام التحديثات، الفيروسات، السجلات…)، خدمة Teams… وأي منتج تابع للشركة، كله كان قابلًا للوصول من طرف الحكومة الصينية خلال هذه المدة.
اكتُشفت المشكلة فقط في شهر يوليو الماضي وأعلنت مايكروسوفت في تقريرٍ مفصّل نُشر قبل شهر عمّا حصل.
تسببت هذه المشكلة في تمكين الصين من الوصول إلى حساباتٍ تابعة للحكومة الأمريكية كانت تستعمل خدمة Outlook من مايكروسوفت، وتمكنت الصين من سحب 60 ألف رسالة إلكترونية تابعة لوزارتيّ الخارجية والتجارة في الولايات المتحدة منذ شهر مايو 2023م.
تفجّر نقاش كبير على مجتمع هاكرنيوز الأسبوع الماضي عن الموضوع وحصل على نحو 770 نقطة.
المشكلة لا تشمل خدمات مايكروسوفت لوحدها، لأن خدمة Azure - وهي الخدمة التي توفّر خدمات البنية التحتية التقنية للكثير من الشركات والمؤسسات والأنظمة - كانت قابلة للوصول كذلك خلال هذه المدة، وهو ما يعني بدوره أن المؤسسات والشركات الفرعية والمستخدمين الذين يستخدمون هذه الخدمة كانوا عرضة للاختراق كذلك وسحب بياناتهم دون علمهم.
نموذج ChatGPT من شركة OpenAI نفسه مثلًا… مُستضاف بالكامل على Azure، مما يعني أن الصين من الناحية النظرية كانت قادرة على الوصول إليه وشفرته المصدرية. وقس على ذلك كل مؤسسة تستخدم أي خدمة من خدمات مايكروسوفت.
تقول مايكروسوفت أنها أصلحت المشكلة، ولكن حتى مع إصلاح المشكلة لا نزال في ورطة كبيرة وهذا لعدة أسباب:
لا يمكن لأحد معرفة ما قام به المخترقون بالضبط بعد تمكنهم من الوصول إلى الأنظمة الداخلية والحساسة للشركة، فربما قاموا بزرع ثغرات أخرى مخفية أو تركوا أبواب خلفية (backdoors) في أحد الأنظمة دون أن يُكتشف ذلك. الشركة تقول فقط أنها أجرت الفحوصات اللازمة ولم ترى شيئًا لكن لا يمكن لأحد ضمان ذلك في الواقع.
عملية الاختراق للموظف حصلت في سنة 2021م، والاكتشاف في يوليو 2023م… هذا يعني أنه كان أمام الصين من الناحية النظرية نحو سنتين من الوصول إلى جميع أنظمة مايكروسوفت الحساسة. هل استفادوا من هذا الوصول؟ هل سحبوا كل شيء؟ أم هل كان مبرمجوهم يا ترى عاجزين واكتفوا بالهجوم على خدمة Outlook في شهر مايو الماضي؟ كل هذا غير معروف؛ هذا هجومٌ واحد مُلتقط فقط وعدم التقاط غيره لا يعني أنه غير موجود.
الإجراء الروتيني المُتعارف عليه عندما يحصل هذا النوع من الاختراق هو إتلاف أي سيرفرات تمكن المُخترق من الوصول إليها خلال هذه المدة، واستخدام أنظمة النسخ الاحتياطي للعودة إلى ما قبلها… لكن المشكلة هنا هي أن هذا الاختراق قد يشمل حرفيًا كل بايت مخزّن عند شركة مايكروسوفت، ولن تخوض الشركة هذه المعركة وتخاطر بخسارة مليارت الدولارات بل لربما مستقبلها بأكمله بهدف تأمين بيانات زبائنها تأمينًا حقيقيًا، بل ما ستكتفي به - وما فعلته فعلًا - هو أنها سدت الثغرة وأصدرت بيانًا للعملاء تقول فيه أنها أصلحت المشكلة.
تفاصيل هذا الاختراق تقنية جدًا ويبدو أن مايكروسوفت قد نجحت في احتواء المشكلة والتكتمّ عليها، فقليلٌ جدًا من وسائل الإعلام من يتناولها: لا يمكن لكثيرٍ من الناس غير التقنيين فهم المشكلة وتبعاتها، وقد يضيع الإنسان في التفاصيل التقنية الخاصة بها، ولهذا فإن موقف مايكروسوفت اللاأخلاقي كان ببساطة إصدار البيانات والتدوينات واعتبار الأمر شيئًا طبيعيًا ومتابعة الحياة، رغم أن أي شركة أخرى كان لينتهي مستقبلها بمجرّد الإعلان عن اختراقٍ كهذا.
ولهذا فإن هذا الاختراق عظيم: لا يوجد أي ضمان فعلي على أن خدمات الشركة، ولا أي مؤسسات أو شركات تستضيفها على خدماتها مثل Azure وOffice وغيرها، هي غير مُخترقة في الواقع أو قد اختُرقت بالفعل وسحبت بياناتها في الفترة الماضية.
هذا يعني أنه لا يمكنك ضمان أن أي منتج تستعمله من الشركة منذ هذا الاختراق هو غير مخترق بالفعل؛ لأن المُخترقِين الصينيين تمكنوا من الوصول إليه - نظريًا - لفترة زمنية طويلة، فهل استفادوا من هذا الوصول أم لا في سحب بياناتك هو أمرٌ للبحث والنظر، والشركة لن تقوم بهذا البحث والنظر.
توصياتنا:
للشركات والمؤسسات التي تستخدم خدمات مايكروسوفت التحتية: المسارعة بالانتقال إلى البرمجيات الحرة ومفتوحة المصدر واستضافة بنيتكم التحتية بأنفسكم بعيدًا عن مايكروسوفت.
للأفراد الذين يستخدمون خدماتٍ مثل Outlook وغيره: الانتقال إلى خدمات ذات تشفيرٍ عالٍ وتحترم الخصوصية مثل ProtonMail وTutaNota وغيرها.
لمُدراء الأمان والنُظُم الذين يستضيفون أنظمتهم على أحد خدمات الشركة: التأكد من أنظمة الحماية والمراقبة والسجلات (Logs)، بحيث تُسجّل كل معلومة وكل أمر مرتبط بأي وصول مهم لبنيتكم التحتية. لو أمكنكم شرح المشكلة لمدرائكم والانتقال بعيدًا عن خدمات الشركة فسيكون زيادة خير.
يمكنك قراءة المزيد عن الموضوع من هذا المقال على Arstechnica، وتصفّح المقالات المُشار إليها والتي كتبها متخصصون في الأمن السيبراني منتقدين أداء مايكروسوفت الأمني واستهتارها ببيانات المستخدمين.
شاركونا آراءكم عن هذا العدد، أو عن الأعداد السابقة من نشرة حوسبة بشكل عام على تويتر تحت الوسم #نقاشات_نشرة_حوسبة
أخبار ومواد سريعة
ستجد في هذا القسم بعض الأخبار والمواد السريعة عن مختلف مجالات علوم الحاسوب والتقنية.
أعلنت شركة ميتا عن نظرات جديدة تدعم الواقع الافتراضي ومندمجة مع خدمات الشركة (مثل فيسبوك وانستغرام وغيرها) سعرها $300 دولار. تسمح هذه النظارات للمستخدم بتحليل الوجوه أو الصور التي يراها أو التقاط المرئيات ومشاركتها على حساباته على مواقع التواصل الاجتماعي. هذه النظارات ليست بديلة بالطبع لنظارات آبل التي تحدثنا عنها مسبقًا ولا تقترب منها، لكن يبدو أن ميتا تحاول دخول السوق بالتدريج.
رفعت هيئة التجارة الفيدرالية الأمريكية دعوى قضائية ضد شركة أمازون بتهمة الاحتكار. واتهمت الهيئة الشركة بأنها تروّج لمنتجاتها دومًا أولًا في نتائج البحث على الرغم من وجود منتجات أخرى أعلى في الجودة وأرخص، كما اتهمها بالتلاعب بالأسعار لتكسير المنافسين في السوق. تريد الهيئة تكسير شركة أمازون إلى شركات صغيرة أصغر كما فعلت من قبل مع شركة Standard Oil النفطية العملاقة في القرن الماضي بتهمة الاحتكار:
صار نموذج ChatGPT قادرًا على تحليل الصور والمواد المرئية بالإضافة إلى المواد الصوتية، وهو ما يفتح مجالًا واسعًا من الاستخدامات والتطبيقات أمام مستخدميه.
أعلن ريتشارد ستالمان عن إصابته بمرض السرطان في مؤتمر جنو40. ريتشارد ستالمان هو مؤسس مؤسسة البرمجيات الحرّة (Free Software Foundation) ومشروع جنو (GNU)، وله ولمشروعه إسهاماتٌ كبيرة في عالم البرمجيات الحرّة ونظام لينكس والتطبيقات التي تحيط بنظام لينكس. يقول ريتشارد أن السرطان محدود وتحت السيطرة وقد يعيش بضع سنوات أكثر، والله وحده هو العليم.
موارد أو برمجيات مفيدة
ستجد في هذا القسم بعض البرمجيات أو الموارد المفيدة التي اكتشفناها في الفترة الماضية والتي نرى أنها ستكون مفيدة لقرّائنا.
هذا المقال تفصيلي ومناسب لأي مطور يريد التعامل مع نظام الترميز Unicode في سنة 2023م. سيكون مهمًا لأي مطور يتعامل مع الأنظمة النصية أو التي تدعم أكثر من لغة إدخال.
صار أحد نماذج Stable Diffusion المفتوحة المصدر قابلًا للتشغيل على أقل من 300 ميغابايت من الذاكرة العشوائية (RAM)، بل ويعمل على جهاز راسبيري باي 2 (رغم أنه يستغرق ساعات لتوليد الصور إلا أنه يعمل في النهاية). هذا يعني أن نماذج الذكاء الاصطناعي التوليدية هذه تصبح أكثر قابلية للتشغيل كل يوم على مختلف قطع العتاد الموجّه للمستخدمين العاديين.
***
هنا ينتهي هذا العدد من نشرة حوسبة، ونلقاكم في العدد المقبل بإذن الله. لا تنسوا مشاركة النشرة مع معارفكم وأصدقائكم ليطّلعوا على المحتوى الرائع الذي نعدّه ❤️
تصدر نشرة حوسبة في عيد كل مسلمٍ يوم الجمعة مرتين في الشهر (مرة كل أسبوعين). وأقسام النشرة البريدية تختلف من عددٍ لآخر، على حسب المتاح.
للأسف صعب جداُ الاعتماد على استضافة محلية للبنى التحتية
الموضوع مكلف من ناحية الاستثمار الأولي و لا يوفر الديناميكية في التعامل كالتي توفرها Azure/ AWS
لو حضرتك عندك خبرة في المجال الاستضافة المحلية و العقبات التي واجهتك مهتم جداً أقرأ عن تجربتك