أثارت مايكروسوفت جدلاً جديداً حول تفحص الثغرات الأمنية، مما أعاد تسليط الضوء على الديناميكيات المعقدة بين الباحثين الأمنيين والشركات. يأتي هذا التفاعل المستمر في وقت حرج تواجه فيه الشركات والمستخدمون تهديدات متزايدة، مما يجعل من الضروري فهم طبيعة هذه العلاقات.
شهدت الأسابيع الماضية تصعيدًا جديدًا عندما هددت مايكروسوفت باتخاذ إجراءات قانونية جنائية ضد باحث أمني قام بالكشف العلني عن سلسلة من الثغرات غير المصححة (zero-day) مع أدلة قابلة للتنفيذ. أكدت الشركة أنها لم تتلق أي تفاصيل حول هذه الثغرات قبل نشرها، وأن هذه العيوب لم يتم الإبلاغ عنها بشكل مسؤول، مما عرّض عملاءها لمخاطر غير ضرورية.
تفاقم الجدل حول تفحص الثغرات الأمنية
أثار النزاع العلني بين مايكروسوفت والباحث المعروف باسم “Nightmare Eclipse”، الذي تعذر تحديد هويته أو التواصل معه، استياءً بين العديد من المتخصصين في الأمن السيبراني. وقد أحيت ردود فعل مايكروسوفت القوية وما تبعها من ردود فعل نقاشًا حول التوترات الكامنة بين الشركات والباحثين الذين يكتشفون عيوبًا في البرمجيات ويبلغون عنها.
وصفت كاتي موسوريس، مؤسسة والرئيسة التنفيذية لشركة Luta Security، الوضع بأنه “صراع يُجادل فيه كإفصاح منسق، لكن المظلمة الأساسية شخصية ومحددة بطريقة لا ينبغي أن تكون عليها عملية الإفصاح، خاصة مع بائع لديه تاريخ طويل في هذا المجال”.
وتابعت موسوريس، وهي موظفة سابقة لدى مايكروسوفت عملت على التواصل مع مجتمع الأمن وأنشأت أول برنامج مكافآت للشركة، أن الشركة “بدت وكأنها عاطفية ولم يكن ينبغي عليها قول أي شيء علنًا، لكنها شعرت بطريقة ما بالتبرير في استدعاء باحث متورط وإنفاذ القانون في نفس الوقت”. وأضافت موسوريس أن هذا يعيد الشركة إلى “المراحل الأولى من حزن تفحص الثغرات: الإنكار والغضب”.
من جانبها، رفضت مايكروسوفت الإجابة على أسئلة بعد تداعيات هذا الحادث. في المقابل، ألمح الباحث “Nightmare Eclipse” إلى وجود انهيار ومعركة وشيكة مع الشركة في سلسلة من المنشورات على مدونته قبل بيان مايكروسوفت بشأن الثغرات التي شملت RedSun، UnDefend، BlueHammer، YellowKey، GreenPlasma، و MiniPlasma.
تجدر الإشارة إلى أن المهاجمين استغلوا ثلاثًا من الثغرات الست التي كشفها “Nightmare Eclipse” قبل أن تقوم مايكروسوفت بإصلاحها. وزعم الباحث أن مايكروسوفت رفضت التواصل، ولم تدفع له أو تعترف به لاكتشاف والإبلاغ عن بعض الثغرات، وقامت بحذف حساب مركز الاستجابة الأمنية الخاص بـ مايكروسوفت الذي كان يستخدمه للإبلاغ عن الثغرات، ووضعت علامة على حسابه على GitHub للإزالة.
وكتب الباحث: “أنتم تثبتون للجميع أنكم تقومون بتصعيد هذا الصراع بنشاط”. وهدد مايكروسوفت بنشر معلومات في منتصف يوليو “سيؤدي إلى تحطيم عظامكم في ذلك اليوم”.
تفحص الثغرات الأمنية: طريق ذو اتجاهين
تتميز عمليات تفحص الثغرات الأمنية بخصائص دقيقة غالبًا ما تُرى من وجهة نظر كل طرف. ويكمن النجاح في التنسيق بين مكتشفي العيوب والشركات في “الالتقاء في منتصف الطريق”، بحسب ما ذكره أندرو موريس، مؤسس كبير المهندسين في GreyNoise.
وفي حين أن الشركات ملزمة بإصلاح العيوب البرمجية وإعطاء الأولوية للأمن، أشار موريس إلى أن الإبلاغ غير المسؤول عن الثغرات يضر بكل من مستجيبي الحوادث والضحايا المحتملين. “شخصيًا، أشعر أن هذا الباحث يتقمص دورًا شخصيًا للغاية. يبدو أن لديه ضغينة”.
وأوضح موريس: “لا يُسمح لك بإعطاء شخص شيئًا والقول إنه بدافع لطف قلبك، ثم الغضب عندما لا يدفع لك مقابل ذلك”. ومع ذلك، أوضح موريس أيضًا أن الشركات تتحمل مسؤولية بناء الثقة مع الباحثين. “إذا كنت تهتم حقًا بأن تكون أول من يعرف عن الأخطاء في برامجك، بدلًا من معرفتها بعد وقوع الضرر، أو بعد تعرض شخص ما للاستهداف، فأنت تريد بناء تلك الثقة مع مجتمع الأمن”.
قالت مايكروسوفت إنها تدرك أن العلاقة بين الباحثين الأمنيين والشركات “حرجة، وفي بعض الأحيان، هشة”. وأضافت الشركة في منشور لها على منصة X: “نحن نقدر بشدة مجتمع الأمن، وسنواصل أخذ ملاحظاتكم على محمل الجد”.
ومع ذلك، تظل الشركة راسخة في موقفها المعارض لظروف كشف “Nightmare Eclipse” عن الثغرات، واصفة أفعاله بأنها “غير قانونية، ولا يمكن تبريرها، وغير مسؤولة”. وذكرت مايكروسوفت، دون تسمية الباحث، “عندما يخرق فرد القانون ويشارك في أنشطة خبيثة تسبب ضررًا حقيقيًا لعملائنا، سنتعاون مع جهات إنفاذ القانون حسب الاقتضاء”.
وأضافت الشركة: “نحن نواصل الإيمان بقوة بالإفصاح المنسق عن الثغرات كأساس لحماية العملاء وتحسين منتجاتنا. نعلم أنه، نظرًا لطبيعة هذا العمل، ستكون هناك أحيانًا سوء تفاهم. ونبقى ملتزمين بالمشاركة بحسن نية وتوفير تجربة محترمة ومهنية لجميع الباحثين، بغض النظر عن التفاعلات السابقة”.
تكلفة المقاومة
يسعى الباحثون الأمنيون للعثور على العيوب لأسباب متنوعة؛ مثل المكافآت المالية، والتقدير، والمصداقية الصناعية، أو ببساطة شغف المطاردة الذي يأتي مع اكتشاف الثغرات وإصلاحها. في أحسن الأحوال، تتم هذه العملية خلف الكواليس، مع نشر الإصلاحات وتحذير العملاء قبل حدوث الاستغلال.
لقد ترسخ هذا النهج التعاوني وتحسن بشكل كبير، لكن لا تزال هناك حالات يشعر فيها الباحثون بعدم الرضا. “العامة ليس لديها فكرة عما حدث خلف الكواليس للحكم على سبب وصول باحث كان ينسق في السابق إلى حد نفد صبره وقرر الكشف عن ثغرة (zero-day)”، قالت موسوريس، مما يجعلها أقل ميلًا لانتقاد تصرفات “Nightmare Eclipse”، مضيفة أن “هؤلاء الباحثين يظهرون كأشخاص يحتاجون إلى المساعدة”.
ومع ذلك، ينهار الثقة بين مكتشفي الثغرات والشركات غالبًا. في وقت سابق من هذا الأسبوع، زعم الباحث الأمني عمار عسكر أن تفاعله الأخير مع فريق أمن مايكروسوفت كان سيئًا للغاية لدرجة أنه قرر الكشف علنًا عن أي أخطاء يجدها في VS Code مستقبلاً. وقد وفى بتهديده بكشف ثغرة وشفرة استغلال لعيوب تسمح للمهاجمين بسرقة رموز GitHub.
في حين أن إجراءات مثل هذه يمكن أن تقوض الثقة وتزرع الشقاق بين الشركات والباحثين الأمنيين، فإن اللجوء إلى سبل الانتصاف محدود إلى حد كبير. قالت موسوريس إن الحدود القانونية والأخلاقية واضحة في أغلب الأحيان للمشاركين. يمكن للباحثين الإبلاغ عن الأخطاء، أو حجبها، أو بيعها، أو نشرها. “الخط الأحمر الوحيد هو الجريمة: استخدام عيب لابتزاز الناس أو مهاجمتهم”.
وتابعت: “التهديد بالنشر في تاريخ محدد هو تهديد بالكشف، والكشف قانوني. يمكنك أن تجد النبرة سيئة. [Nightmare Eclipse] لم يخرق أي قاعدة ولم ينتهك أي واجب”.
التوقيت لا يمكن أن يكون أسوأ
قال موريس إن كلا الجانبين مسؤول جزئيًا عما حدث، لكن مايكروسوفت جعلت الأمور أسوأ. فتهديد الإجراءات القانونية واتخاذ نهج عدواني لم ينجحا أبدًا. بناء علاقة جيدة بين الباحثين والشركات يتطلب التواصل المفتوح والثقة.
“اعتقدت أننا تجاوزنا هذا. تبين أننا لم نفعل”، قال موريس. يأتي حادث “Nightmare Eclipse” في وقت مضطرب في هذا المجال. تواجه الشركات وعملاؤهم سيلًا من الثغرات، ويرجع ذلك جزئيًا إلى ظهور نماذج الذكاء الاصطناعي التي تكتشفها، مما يزيد من هذا التحدي، ويترك خبراء الأمن في حالة قلق بشأن ما هو قادم.
إن الآفاق غير مؤكدة ومقلقة للغاية بشأن المكان الذي سيتم فيه اكتشاف الثغرات واستغلالها بعد ذلك، وما هو التأثير المتوقع. تشير هذه الإشارات إلى أن النظام الكلاسيكي المبني على أرقام CVE، مع عمليات إفصاح منسقة، ربما يكون معطلًا، بحسب موريس. “هناك الكثير من أرقام CVE. هل هذا يعمل بعد الآن؟”
في الوقت الحالي، وعلى الرغم من كل عيوبه، يُنظر إلى برامج الإفصاح المنسق عن الثغرات على نطاق واسع على أنها النهج الأكثر منطقية وقابلية للتوسع لهذه المعضلة. “الإفصاح المنسق هو ما يحدث عندما تكون الشركة محظوظة. شخص لم توظفه يمنحها خطأ حقيقيًا بدلًا من استخدامه أو بيعه. هذا يضع عبء الحفاظ على التنسيق على الشركة”، قالت موسوريس. “الإصلاح الصامت بدون رقم CVE واستدعاء الباحثين الذين لا يتبعون جدولكم الزمني للإفصاح يضيع حظ الشركة”.
وشددت على المخاطر: “آمل أن تتعلم مايكروسوفت وجميع الشركات أن الإفصاح المنسق عن الثغرات هو هدية ونعمة من مجتمع الباحثين الأمنيين لهم، وأن الكشف العام لا يزال أفضل من عدم الكشف أو الجريمة”.
إن البدائل لعلاقة متدهورة قد تسبب فوضى وتترك كل شركة وعميل أكثر عرضة للهجوم. “إذا نسيت الشركات كيفية تلقي الملكية الفكرية المجانية والعمالة من مجتمع الأمن في شكل تقارير ثغرات بامتنان، فإننا نتجه نحو عالم لا يتعب فيه أحد من إعطاء الشركات أي تنبيهات مسبقة، أو ينتقلون إلى نموذج إفصاح مؤقت لا يمنح أي فرصة”، قالت موسوريس.
واختتمت برسالة مباشرة: “شركات المنتجات كتبت التعليمات البرمجية المعرضة للخطر، وهي تمتلك المخاطر، ويدينون لمستخدميهم ببذل كل ما في وسعهم لتقليل هذا الخطر”. وهذا يشمل “كتم ضغائنهم والتعلم من التأمل الذاتي حول الإفصاح المنسق عن الثغرات الذي سار بشكل خاطئ”.