ثغرة في فيسبوك مسنجر سمحت بمعرفة جهات اتصال المستخدم

كُتب يوم 8 مارس، 2019 بواسطة محمد عبد الرحمن بركات

تحدثت عدة تقارير عن ثغرة خطيرة في تطبيق التراسل الخاص بشبكة فيسبوك Facebook والمعروف لدى الجميع باسم فيسبوك مسنجر Messenger.

الغريب في القصة أن اكتشاف الثغرة لم يكن حديثاً، بل كان قبل عام تقريباً، لكن المشكلة ما زال تأثيرها مستمراً إلى الآن دون التوصل لحل.

سمحت هذه الثغرة للمتسللين بمعرفة جهات الاتصال التي كان يتحدث معها المستخدم الضحية، لكن محتوى الرسائل المتبادلة بين الطرفين لم يكن من الممكن الوصول إليها.

اكتشاف الثغرة كان من قبل مجموعة الأمن المعلوماتي Imperva والتي أرسلت إلى فيسبوك تقريراً عن الثغرة المكتشفة ليتم إصلاحها في شهر تشرين الثاني الماضي.

عادت هذه الثغرة للظهور مجدداً بطريقة أخرى، حيث يتطلب استهداف المستخدم الضحية أن يدخل المستخدم إلى موقع ويب مع برمجيات خبيثة مضرة معدّة سابقاً من متصفح كروم Chrome أثناء تسجيل دخوله على حسابه الشخصي على فيسبوك.

تسمح هذه الثغرة للمهاجمين بالكشف عن قائمة جهات الاتصال الخاصة بالضحية، كما يمكن الكشف عن الأسماء التي تم تبادل الرسائل معها مؤخراً، لكنها لم تسمح بالكشف عن محتوى المحادثات.

عندما تم الكشف عن الثغرة للمرة الأولى استجابت فيسبوك للتقرير وحاولت إصلاح المشكلة، لكن بحسب تقرير مجموعة الأمن المعلوماتي المذكورة فإن المشكلة ما زالت متواجدة وما زال بإمكان المهاجمين الاستفادة منها.

على مدى السنوات القليلة الماضية، تم توجيه عشرات الانتقادات الخاصة بشبكة فيسبوك بسبب مواضيع متعلقة بالخصوصية وحماية بيانات المستخدمين والثغرات الأمنية.

وفي الوقت الذي تعهّد فيه الرئيس التنفيذي للشبكة مارك زوكربيرج بتغيير مستقبل فيسبوك للتركيز بشكل أكبر على الخصوصية، تأتي هذه الأخبار لتكشف عن مدى سوء الوضع الحالي في الشبكة وتدهورها المستمر.

مقالات قد تعجبك:

ما هو معدل تحديث الشاشة؟ وكيف يتم تغييره؟

كيفية استخدام ميزة التصفح المتخفي الجديدة في يوتيوب

كيفية استخدام أندرويد دون شركته الأم غوغل

الطريقة الصحيحة للف كابلات الشحن والبيانات لمنع تضررها

لما جودة الصوت في هواتف آيفون أفضل من هواتف أندرويد؟

سويسرا دعت القراصنة لاختراق نظامها الإلكتروني للتصويت

كُتب يوم 13 فبراير، 2019 بواسطة محمد عبد الرحمن بركات

دعت الحكومة السويسرية وبصفة رسمية الشركات والباحثين الأمنيين والقراصنة من حول العالم من أجل محاولة اختراق نظامها الإلكتروني للتصويت وذلك بعد أن يتم تحويله إلى نظام مفتوح أمام الجميع قريباً.

وقالت الحكومة في بيان صحفي:

نرحب بالقراصنة المهتمين من جميع أنحاء العالم لمهاجمة النظام، من خلال القيام بذلك فسوف تساهمون في تحسين أمن النظام الخاص بنا.

سيتم إجراء اختبار الاختراق العام (PIT) بين 25 من شهر شباط الحالي و 2 آذار القادم، وستتوفر مكافآت نقدية تتراوح من 100 دولار إلى 30 ألف دولار بحسب الثغرات المكتشفة ودرجة خطورتها.

ومن المقرر إجراء جلسة تصويت إلكتروني وهمية في اليوم الأخير من فترة الاختبار في 24 آذار، ولكن يمكن للمشاركين مهاجمة نظام التصويت الإلكتروني قبل ذلك أيضاً.

للمشاركة في هذا الاختبار، يتعين على الشركات والباحثين في مجال الأمن الاشتراك مسبقاً قبل بدء جلسة اختبار الاختراق الرسمية.

حيث سيمنح التسجيل للمشاركين الإذن القانوني لمهاجمة النظام الحكومي، وسيضمن أن المكافآت النقدية ستصل لأولئك الذين يقدمون تقريراً عن الثغرات المكتشفة لأول مرة، مع فرض مجموعة من القواعد والقيود على المشاركين.

على سبيل المثال، بعض الأشياء التي لا يسمح للمشاركين في نظام اختبار الاختراق القيام بها هي تنفيذ الهجمات التي قد تضر الجهاز الشخصي للناخبين أو مهاجمة أنظمة غير ذات صلة تابعة للبريد السويسري وهو صانع نظام التصويت الإلكتروني.

سيساعد البريد السويسري في إجراء الاختبار عن طريق تعطيل بعض أنظمة الحماية الأمنية التي عادةً ما تحمي نظام التصويت الإلكتروني، وذلك لتمكين المشاركين من التركيز بشكل كامل على مهاجمة النظام الأساسي.

بالإضافة إلى ذلك، سيسمح البريد السويسري للمشاركين في الاختبار بطلب أكبر عدد ممكن من بطاقات الاقتراع الإلكترونية التي يحتاجونها لإجراء اختباراتهم، مع جعل شيفرة المصدر الخاصة بنظام التصويت الإلكتروني متوفرة للمشاركين في GitLab.

كما واستأجرت السلطات السويسرية أيضاً شركة SCRT SA السويسرية كطرف ثالث مستقل سيتحقق من تقارير الثغرات التي يقدمها المشاركون.

وقررت الحكومة السويسرية إجراء اختبارات اختراق عامة لنظام التصويت الإلكتروني لديها لتعزيز الثقة بأن هذه الأنظمة آمنة، وقالت الحكومة إن نظام التصويت الإلكتروني اجتاز بالفعل أكثر من 300 جلسة اختبار خاصة.

في حين قال المسؤولون أن التصويت الإلكتروني سيسهل على المواطنين السويسريين الذين يعيشون في الخارج المشاركة في عمليات التصويت التي يتم إجراؤها داخل البلاد.

مقالات قد تعجبك:

ما هي أجهزة كشف و إنذار الدخان والحرائق

إزالة الأشخاص من الصور بسهولة باستخدام برنامج الفوتوشوب

كيفيّة استرجاع كلمة مرور حساب Steam في حالة نسيانها

ما هو خطأ 503 Service Unavailable؟ وكيف يمكن إصلاحه؟

كيفيّة التقاط صور أفضل باستخدام وضع التتابع Burst Mode

مبرمج استغل ثغرة في نظام بنك صيني وسرق مليون دولار

كُتب يوم 11 فبراير، 2019 بواسطة محمد عبد الرحمن بركات

هل شاهدت يوماً ما مشهداً سينمائياً لأحد المبرمجين المحترفين وهو يجبر الصرافات الآلية على ضخ آلاف الدولارات بعد عملية اختراق ناجحة؟

حسناً، يبدو أن هذا المشهد تحوّل إلى حقيقة في الصين بحسب ما ذكرت كل من صحيفة The South China Morning Post وصحيفة Daily Economic News المحلية في البلاد.

حيث استطاع Qin Qisheng وهو مبرمج صيني محترف يبلغ من العمر 43 عاماً من سحب ما يزيد عن مليون دولار أمريكي من بنك Huaxia الذي يعمل فيه مستغلاً وجود ثغرة في نظام السحب النقدي.

ووفقاً للتقارير، فإن الثغرة الموجودة في النظام منعت عمليات تسجيل سحب الأموال التي يتم القيام بها في منتصف الليل تقريباً.

حيث كان من المفترض أن تؤدي عمليات السحب إلى إرسال تنبيه عاجل بأن عملية السحب قد فشلت، لكن بسبب وجود الثغرة في نظام عمل البنك فقد تمكن المبرمج من سحب مبالغ نقدية مختلفة دون أن يعلم أحد.

بدأ المبرمج السارق بسحب الأموال منذ شهر تشرين الثاني من عام 2016 على شكل مبالغ نقدية مختلفة القيمة في كل مرة، وعند اكتشاف أمره مؤخراً اعترف بسرقة ما يزيد عن مليون دولار أمريكي.

ولعل الجزء الأكثر إثارة للدهشة في هذه القصة هو أن البنك الصيني لم يرغب بالاستمرار في محاكمة المبرمج السارق والموظف لديه، حيث طالب الشرطة بإسقاط القضية.

من المحتمل أن إدارة البنك كانت قلقة بشأن تضخم القضية والتسبب بدعاية سيئة لأعمال البنك وأمن نظامه، وقالت الإدارة بأنها قبلت واقتنعت بتبرير المبرمج الصيني.

حيث برّر المبرمج سرقته أثناء التحقيق بأن ما كان يقوم به هو مجرد اختبار لأنظمة الأمان في البنك، وأنه يعتزم إعادة كافة الأموال التي سحبها.

في الحقيقة يبدو هذا التبرير غير مقنعاً أبداً نظراً لأن الأموال المسحوبة كانت تُحوّل إلى حساب المبرمج الصيني الخاص وليس إلى خزينة البنك، كما قام المبرمج باستثمار جزء من هذه الأموال في سوق الأسهم أيضاً.

رفضت المحكمة طلب البنك بإسقاط القضية، ووجهت حكم نهائي على المبرمج الصيني بالسجن لمدة 10 سنوات ونصف بعد أن خسر استئنافه.

مقالات قد تعجبك:

كيفية استعادة المبالغ المدفوعة باستخدام البطاقة الائتمانية

كيفية استعادة الملفات المحذوفة على نظام ماك macOS

كيفية إضافة منافذ USB-C إلى حواسيب ويندوز

كيفية إصلاح صوت الكمبيوتر إذا قام تحديث ويندوز بتعطيله

طرق العمل المشترك المتوفرة بين ويندوز 10 وبين هواتف أندرويد أو آيفون

جوجل دفعت أكثر من 15 مليون دولار لمكتشفي الثغرات

كُتب يوم 10 فبراير، 2019 بواسطة محمد عبد الرحمن بركات

ازداد مؤخراً اعتماد الشركات التقنية الضخمة على نظام المكافآت والجوائز التي يتم منحها لمكتشفي الثغرات وأماكن الخلل الأمني في المنتجات والتطبيقات الخاصة بتلك الشركات.

وذلك بسبب تعقّد وسائل اكتشاف تلك الثغرات والصعوبة الكبيرة في الوصول إليها من قبل فريق الاختبار الخاص بالشركة، الأمر الذي يستدعي دعوة المهتمين في مجال الأمن لاكتشاف الثغرات المخبأة.

ونظراً إلى ازدياد قيمة الجوائز المالية الممنوحة، فإن عدداً متزايداً من خبراء الأمن أو المهتمين في هذا المجال بدأوا بالبحث والتحري في منتجات الشركات للحصول على المبالغ المالية المعلن عنها.

بالنسبة إلى شركة عملاقة مثل جوجل Google فيبدو أنها انتقلت مؤخراً إلى مستوى أعلى من الجوائز المالية الممنوحة لمكتشفي الثغرات.

حيث أعلنت الشركة عن منحها ما يزيد عن 15 مليون دولار أمريكي لمكتشفي الثغرات في أنظمتها وتطبيقاتها ومنتجاتها، وذلك خلال السنوات التسع الماضية.

في العام الماضي وحده دفعت جوجل 3.4 مليون دولار إلى 317 باحث أمني، وهو ما يمثّل زيادة ملحوظة في نظام المكافآت الخاص بالشركة وازدياد اعتماد جوجل على هذه الطرق لاكتشاف ثغراتها.

الجوائز المالية التي تم منحها من جوجل توزّعت بين العديد من التطبيقات والمنتجات الخاصة بالشركة، لكن متصفح Chrome ونظام التشغيل أندرويد كان لهما السيطرة على نصف المكافآت الممنوحة تقريباً.

بالطبع فإن قيمة المكافأة المالية المقدّمة من قبل الشركة تعتمد بالدرجة الأولى على خطورة الثغرة المكتشفة، وعلى سبيل المثال فإن واحدة من أخطر ثغرات العام الماضي نال مكتشفها حوالي 41 ألف دولار.

لكن الحد الأعلى للجوائز الممنوحة قد يصل إلى 200 ألف دولار فيما إذا كانت الثغرة على درجة عالية من الخطورة والأهمية، كما وتخطط الشركة لإضافة نظام مكافآت مالية لمكتشفي الثغرات الخاصة بأجهزة Chromebook.

مقالات قد تعجبك:

هل جهازك محمي من ثغرتي Meltdown و Spectre؟ أم متأثر بهما؟

ما هو مسح (فحص) المنافذ؟ وما هي أنواعه؟

كيفية إدارة أذونات البرامج في ويندوز 10

كيفية التحكم بالإعدادات المختلفة في كاميرات كانون Canon

كيفية تصفير عداد استخدام البيانات في ويندوز 10

آبل أرسلت تحديث iOS 12.1.4 لإغلاق ثغرة FaceTime

كُتب يوم 8 فبراير، 2019 بواسطة محمد عبد الرحمن بركات

أطلقت شركة آبل Apple يوم الأمس التحديث رقم 12.1.4 من نظام التشغيل iOS لإصلاح ثغرة أمنية تم الكشف عنها مؤخراً في ميزة المكالمات الجماعية في تطبيق FaceTime.

حيث سمحت هذه الثغرة لأي شخص عند الاتصال بشخص آخر بتشغيل ميكروفون هاتف المتلقّي قبل أن يوافق على إنشاء المكالمة.

نجحت الشركة الآن في إصلاح هذا الخلل، حيث اتخذت آبل اجراء عاجل سابقاً عندما قامت بتعطيل ميزة Group FaceTime على جانب الخادم لمنع الأشخاص من استغلال هذا الخلل.

وعلى ما يبدو وبحسب تقارير مختلفة، فإن الإبلاغ عن هذه المشكلة قد بدأ منذ بضعة أسابيع، لكن الشركة كانت بطيئة في الاستجابة من خلال القنوات الرسمية.

لا يزال من غير الواضح كم هي المدة التي بقي فيها الخلل قابلاً للاستغلال في نظام التشغيل iOS 12، مع الأخذ في الاعتبار أن ميزة Group FaceTime قد تم تقديمها قبل ثلاثة أشهر باستخدام تحديث iOS 12.1.

وفي حين وعدت شركة آبل بإصدار حل للمشكلة في الأسبوع الماضي، فقد أخّرت التحديث حتى يوم الأمس، حيث تلتزم الشركة الآن بتحسين كيفية التعامل مع تقارير الأخطاء في المستقبل، لتجنب المواقف التي قد يتم تجاهل تقارير الأخطاء فيها.

والجدير بالذكر أن الشركة تعمل في الوقت الحالي على تحديث iOS 12.2، والذي يتضمن عدداً من الميزات مثل رموز تعبيرية جديدة كالزرافة وسمك القرش وألبوم Animoji جديد.

مقالات قد تعجبك:

ما هي ميزة مدّة استخدام الجهاز Screen Time في الآيفون أو الآيباد ؟

كيفية حذف الصور السابقة لحسابات المستخدمين في ويندوز 10

كيفية إنشاء صفحة غلاف مخصصة في وورد

كيفية تعطيل لوحة لمس الكمبيوتر عند وصل ماوس خارجي

ماذا تفعل أزرار الوظائف في مايكروسوفت إكسل

شركة Tesla ستقدّم سيارتها Model 3 لمن يستطيع اختراقها

كُتب يوم 19 يناير، 2019 بواسطة محمد عبد الرحمن بركات

ليس هنالك أفضل من المسابقات التي تتحدّى فيها الشركات الكبيرة عباقرة الأمن المعلوماتي حول العالم في مسابقات الاختراق التي تحدث كل فترة.

فعند اكتشاف ثغرة في تلك المسابقات، فإن المنفعة تكون متبادلة بين الشركة من جهة ومكتشف الثغرة من جهة أخرى، حيث تتوصل الشركة من خلال هذه المسابقة إلى ثغرة أمنية معقدة جداً لدرجة أنها لم تستطع اكتشافها في مرحلة اختبار المنتج.

بينما ينال مكتشف الثغرة مبالغ مالية تصل إلى أرقام ضخمة جداً، وغالباً ما يُسلّط الضوء على مكتشفي الثغرات بوصفهم الأذكى في مجال الأمن المعلوماتي وربما يحصل بعضهم على وظائف في أرقى شركات العالم.

مع تفاقم التهديدات الأمنية وتعقدها وصعوبة اكتشاف بعضها في الفترة الأخيرة، أصبح الاهتمام مركزاً على مسابقة Pwn2Own السنوية التي تقام ضمن فعاليات مؤتمر CanSecWest في فانكوفر في كندا، حيث تعرض الشركات جوائزها المالية على مكتشفي الثغرات في منتجاتها البرمجية.

تركّز المسابقة السنوية عادةً على اكتشاف الثغرات في التطبيقات والخدمات ومتصفحات الويب التي تتبع لشركات كبيرة ومعروفة في عالم التكنولوجيا، لكن هذا العام فإن الأمر مختلف تماماً.

حيث ستشارك شركة تيسلا Tesla في المسابقة لكن ليس من أجل اختراق واكتشاف ثغرات تطبيق خاص بها، وإنما من أجل تحدّي اختراق سيارتها Tesla Model 3.

وقال منظمو المسابقة أن هذا العام سيشهد دخول سيارة تيسلا لأول مرة في فئة السيارات في المنتجات المعروضة من أجل محاولة الاختراق.

كما وقالت الشركة أن الشخص الأول الذي يستطيع اختراق السيارة سيقودها عائداً إلى منزله، حيث أن الشركة ستمنحه السيارة الفاخرة كهدية ثمينة.

كما وستمنح الشركة مجموعة من الجوائز المالية المخصصة لمكتشفي الثغرات في سيارتها الجديدة، وستتراوح قيمة الجوائز المالية بين 35 ألف دولار أمريكي وصولاً إلى 300 ألف دولار، اعتماداً على خطورة الثغرة.

وكانت المسابقة الشهيرة Pwn2Own قد تطورت بشكل لافت من جوائز تبلغ قيمتها حوالي 10 آلاف دولار لكل ثغرة مكتشفة لتصبح الآن واحدة من أكبر مسابقات اكتشاف الثغرات مع جوائز تصل لملايين الدولارات.

إذا كنت مهتماً بالحصول على سيارة Tesla Model 3 مجاناً من خلال اختراقها فإن المسابقة الدولية ستنطلق في اليوم 20 من شهر آذار القادم وستستمر حتى اليوم 22 من ذلك الشهر.

مقالات قد تعجبك:

كيفية حماية الحاسوب من فيروسات انتزاع الفدية Ransomware ؟

كيفية إرسال بطاقة هدايا Steam بأي مبلغ

كيفية تفعيل خدمات الطوارئ في هواتف آيفون من أجل الحماية

ما هي خدمة الحماية الجديدة لأندرويد Play Protect وكيفية تفعيلها

ما الفرق بين الجيليبريك Jailbreak والروت Root وإلغاء الحماية Unlocking ؟

جوجل منحت 36 ألف دولار لشاب عثر على ثغرة أمنية

كُتب يوم 28 مايو، 2018 بواسطة محمد عبد الرحمن بركات

منحت شركة جوجل Google مكافأة مالية 36 ألف دولار أمريكي للشاب Ezequiel Pereira بعد قيامه بكشف ثغرة أمنية خطيرة في أنظمة الشركة.

لكن هذه الجائزة المالية لم تكن الأولى في مسيرة الشاب وإن كانت الأكبر حجماً، حيث استطاع قبل ذلك الكشف عن عدة ثغرات أمنية وحصل على عدة جوائز مالية.

حصل Ezequiel Pereira على أول حاسوب له عندما كان في العاشرة من عمره، وحصل على دورة برمجة أولية عندما كان في الحادية عشرة من عمره.

ثم أمضى عدة سنوات في تدريس نفسه لغات وتقنيات مختلفة، حتى انتقل في عام 2016 إلى المقر الرئيسي لشركة جوجل في كاليفورنيا بعد فوزه في مسابقة برمجية.

في بداية مسيرته على طرق كشف الثغرات، استطاع Ezequiel Pereira الكشف عن ثغرة أمنية وتم منحه مبلغ 500 دولار كمكافأة على جهوده.

استمر الشاب بتطوير قدراته في علوم أمن الحاسوب وكشف الثغرات الأمنية حتى استطاع الوصول إلى ثغرة جوجل التي تسمح بإجراء تغييرات على أنظمة الشركة الداخلية.

ومع أن الحادثة وقعت في وقت سابق من هذا العام، إلا أن الشركة لم تمنح إذن التصريح عنها حتى هذا الأسبوع بعد أن تأكدت من إصلاحها للمشكلة.

هذه هي الثغرة الخامسة التي يكتشفها Ezequiel Pereira، ولكنها الأكثر ربحاً حتى الآن، بعد أن كانت الثغرة التي اكتشفها في شهر تموز الماضي هي الإنجاز الأكبر بمكافأة 10000دولار.

في الوقت الحالي، ليس لدى الشاب خطط كبيرة لتحقيق مكاسب جديدة، ويأمل حالياً في الحصول على درجة الماجستير في أمن الحاسوب.

الجدير بالذكر أن لدى جوجل برنامج للمكافآت وتشجيع الباحثين على اكتشاف المزيد من الثغرات الأمنية مقابل مبالغ مالية، حيث دفعت الشركة 2.9 مليون دولار العام الماضي كجوائز مالية لـ 274 باحثاً مختلفاً في مجال الأمن المعلوماتي.