"حل نقاط الضعف الأمنية في جميع الأجهزة والبروتوكولات - تثقيف المطورين بعدم إطلاق منتج لم يتم اختباره بالكامل"

هذا ما قاله البروفيسور إيلي بيهام أمس (الاثنين)، في ندوة في التخنيون حول الهجمات السيبرانية

"الحل لنقاط الضعف الأمنية في جميع الأجهزة والبروتوكولات - تثقيف المطورين بعدم إطلاق منتج لم يتم اختباره بالكامل من الجانب الأمني." هذا ما قاله البروفيسور إيلي بيهام في ندوة حول الأمن السيبراني والمعلوماتي، عقدت أمس (الاثنين) في التخنيون. وقد قام بتنظيم المؤتمر البروفيسور .

وقال أوهاد بوبروف من شركة Lecon في المؤتمر إنه من السهل جدًا التخطيط لعملية اختراق بغرض التجسس على شخص معين على أي جهاز محمول. "يحتوي واحد من كل ألف جهاز محمول على نظام تجسس مخصص. المشكلة هي أن المصنعين يعرفون الثغرات لكن الأمر يستغرق وقتا طويلا للرد عليها".

وبحسب البروفيسور بيهام، فإن المشكلة لا تكمن في قيام المتسللين باختراق أجهزة الكمبيوتر والهواتف المحمولة، بل في نقاط الضعف التي تجعل ذلك ممكنا. "هناك مشكلة أساسية في تعليم المبرمجين في جميع أنحاء العالم، الذين لا يتأكدون من أن الذين يتركون المؤسسة التعليمية على علم بجميع المشاكل التي قد تسببها البرامج التي يقومون بتطويرها. كل أولئك الذين يحاولون إطلاق منتج قبل الموعد النهائي يتخلون عن الأمان. المشكلة هي أن العملاء لا يهتمون وهم على استعداد لشراء هذه المنتجات بدون أمان، سواء كان ذلك في سوق الأجهزة المحمولة أو سوق أجهزة الكمبيوتر أو أي منتج."

وأضاف البروفيسور بيهام أن "تصحيح مشكلة التعليم الأساسي لن يأتي إلا إذا لم يوافق المستهلكون على شراء المنتجات التي لم يتم اختبارها من جوانب أمن المعلومات". "لم أر حتى الآن شخصًا مستعدًا للذهاب إلى مكتب البريد وشراء مظروف شفاف لإرسال البريد حتى لو كان بنصف السعر. لكن عندما يتعلق الأمر بالهواتف أو أجهزة الكمبيوتر، فإنهم لا يسألون عما إذا كانت شفافة".

أما بالنسبة لتوقيت المؤتمر، فهو اليوم الذي يتم فيه التخطيط وتنفيذ هجوم جماعي على الخوادم في إسرائيل، قال البروفيسور بيهام إن الهجمات بمختلف أنواعها تحدث طوال الوقت، ولا يتم استهدافها ليوم محدد. وأوضح أن "الشيء المميز اليوم هو التنظيم لهجمات رفض الخدمة". "لا ينجح هذا النوع من الهجوم إلا في حالة وصول العديد من الطلبات إلى نفس الخادم في نفس الوقت. قال البعض أننا قد نغلق خوادمنا في هذا اليوم، وإجابتي هي أن هذا هو بالضبط ما يريده المهاجمون - إغلاق خوادمنا، فلماذا يجب أن نساعدهم؟"

في الجلسة الأولى للمؤتمر، عرضت البروفيسور أرينا غريمبرغ من كلية علوم الكمبيوتر في التخنيون نظامًا طورته مع باحثين آخرين - خوارزمية تبحث تلقائيًا عن الثغرات الأمنية في بروتوكول حركة مرور شبكة OSPF الذي يحدد المسار الذي ستسلكه الشبكة. ستستغرق حزم البيانات المرسلة من كمبيوتر إلى كمبيوتر. يتعلم بروتوكول OSPF بنية الشبكة لمعرفة كيفية إعادة التوجيه، ومن المستحيل إعادة توجيه الشبكة بدون مثل هذا البروتوكول. حتى الآن، كانت الطريقة الوحيدة للعثور على الثغرات هي من خلال الخبراء الذين قاموا بفحص الكود يدويًا. وتمكنت الخوارزمية من محاكاة أحداث القرصنة التي فاجأت الباحثين.

تمكن أوهاد بوبروف، أحد مؤسسي شركة Lacon، من توضيح كيف أنه من خلال الوسائل البسيطة والشائعة التي يمكن تنزيلها من الشبكة، يمكن اختراق أي هاتف، وعرض قائمة جهات الاتصال، والاستماع إلى الميكروفون، وتنشيط الكاميرا وأي شيء يتبادر إلى ذهن المهاجم.

"العينات كانت مذهلة. لقد علمت دائمًا أنه كان أمرًا فظيعًا وسهلاً للغاية اختراق أي جهاز خلوي وأي بروتوكول أساسي في حركة المرور على الإنترنت، لكنني اليوم اندهشت عندما رأيت مدى سهولة الأمر".