باحثان أمنيان اخترقا سيارة Tesla Model 3 وفازا بها

هل سمعت سابقاً بمسابقة Pwn2Own السنوية المختصة باكتشاف الثغرات الأمنية وإعطاء المكافآت للباحثين الأمنيين الذين يستطيعون كشف هذه الأخطاء والثغرات الخطيرة؟

هذا العام لم تكن تلك المسابقة السنوية اعتيادية، والسبب هو مشاركة شركة تيسلا Tesla والتي تحدّت المشتركين في المسابقة من أجل كشف أي ثغرة أمنية خطيرة في سيارة Model 3 وهو ما ذكرناه في مقالة سابقة حول تحدّي الشركة.

خسرت الشركة التحدي، وكسبت معرفة ثغرة أمنية موجودة في متصفح السيارة، حيث استطاع الفريق Fluoroacetate المؤلف من الباحثين Richard Zhu و Amat Cam اختراق المتصفح.

الجائزة التي حددتها الشركة في بداية المسابقة كانت ثمينة جداً، حيث قالت الشركة أن مَن يستطيع اختراق السيارة سيعود بها إلى بيته، وهو ما حدث بالفعل حيث تم منح السيارة كهدية إلى الباحثين الأمنيين.

شركة تيسلا كانت سعيدة باكتشاف الثغرة، حيث قالت في بيان خاص أنها دخلت المسابقة من أجل الانخراط مع الأعضاء الأكثر موهبةً في مجتمع الأمن المعلوماتي.

وقالت الشركة أن سيارتها الفخمة تحتوي على العديد من طبقات الأمان التي لم يستطع أحد اختراقها، في حين لم يكن مستوى الحماية بالشكل المطلوب بالنسبة لمتصفح السيارة الذي مكّن الباحثين الأمنيين من الفوز بالسيارة.

شكرت شركة تيسلا الباحثين المكتشفين للثغرة ووعدت بإصدار تحديث عاجل لإغلاق الثغرة خلال الأيام المقبلة ومنحت السيارة بالإضافة إلى مجموعة من الجوائز المالية للفريق الفائز.

الجدير بالذكر أن مسابقة Pwn2Own كانت تضم أربع فئات لاكتشاف الثغرات في السنوات الماضية والتي تنوعت بين متصفحات الويب وبرامج المحاكاة الافتراضية وتطبيقات المؤسسات وبرامج الخادم.

لكن المميز في نسخة المسابقة من هذا العام هو احتوائها على فئة خامسة وهي فئة السيارات التي شاركت فيها شركة تيسلا.

خلال مسابقة Pwn2Own تم منح ما يزيد عن نصف مليون دولار من الجوائز المالية لمكتشفي ثغرات أمنية في متصفح آبل Safari ومتصفح مايكروسوفت Edge ونظام ويندوز ومتصفح Firefox و VMware Workstation.

مقالات قد تعجبك:

كيفية إنشاء مخطط بياني بسهولة على أي جهاز دون برامج
ما هي ملفات النظام الخاصة بويندوز؟ وأين توجد؟
كيفية استعادة حساب واتساب عند نسيان PIN رمز التحقق بخطوتين
كيفية إصلاح التطبيقات والميزات غير المرغوبة في هواتف سامسونج
ما هو نظام التشغيل ؟

سويسرا دعت القراصنة لاختراق نظامها الإلكتروني للتصويت

دعت الحكومة السويسرية وبصفة رسمية الشركات والباحثين الأمنيين والقراصنة من حول العالم من أجل محاولة اختراق نظامها الإلكتروني للتصويت وذلك بعد أن يتم تحويله إلى نظام مفتوح أمام الجميع قريباً.

وقالت الحكومة في بيان صحفي:

نرحب بالقراصنة المهتمين من جميع أنحاء العالم لمهاجمة النظام، من خلال القيام بذلك فسوف تساهمون في تحسين أمن النظام الخاص بنا.

سيتم إجراء اختبار الاختراق العام (PIT) بين 25 من شهر شباط الحالي و 2 آذار القادم، وستتوفر مكافآت نقدية تتراوح من 100 دولار إلى 30 ألف دولار بحسب الثغرات المكتشفة ودرجة خطورتها.

ومن المقرر إجراء جلسة تصويت إلكتروني وهمية في اليوم الأخير من فترة الاختبار في 24 آذار، ولكن يمكن للمشاركين مهاجمة نظام التصويت الإلكتروني قبل ذلك أيضاً.

للمشاركة في هذا الاختبار، يتعين على الشركات والباحثين في مجال الأمن الاشتراك مسبقاً قبل بدء جلسة اختبار الاختراق الرسمية.

حيث سيمنح التسجيل للمشاركين الإذن القانوني لمهاجمة النظام الحكومي، وسيضمن أن المكافآت النقدية ستصل لأولئك الذين يقدمون تقريراً عن الثغرات المكتشفة لأول مرة، مع فرض مجموعة من القواعد والقيود على المشاركين.

على سبيل المثال، بعض الأشياء التي لا يسمح للمشاركين في نظام اختبار الاختراق القيام بها هي تنفيذ الهجمات التي قد تضر الجهاز الشخصي للناخبين أو مهاجمة أنظمة غير ذات صلة تابعة للبريد السويسري وهو صانع نظام التصويت الإلكتروني.

سيساعد البريد السويسري في إجراء الاختبار عن طريق تعطيل بعض أنظمة الحماية الأمنية التي عادةً ما تحمي نظام التصويت الإلكتروني، وذلك لتمكين المشاركين من التركيز بشكل كامل على مهاجمة النظام الأساسي.

بالإضافة إلى ذلك، سيسمح البريد السويسري للمشاركين في الاختبار بطلب أكبر عدد ممكن من بطاقات الاقتراع الإلكترونية التي يحتاجونها لإجراء اختباراتهم، مع جعل شيفرة المصدر الخاصة بنظام التصويت الإلكتروني متوفرة للمشاركين في GitLab.

كما واستأجرت السلطات السويسرية أيضاً شركة SCRT SA السويسرية كطرف ثالث مستقل سيتحقق من تقارير الثغرات التي يقدمها المشاركون.

وقررت الحكومة السويسرية إجراء اختبارات اختراق عامة لنظام التصويت الإلكتروني لديها لتعزيز الثقة بأن هذه الأنظمة آمنة، وقالت الحكومة إن نظام التصويت الإلكتروني اجتاز بالفعل أكثر من 300 جلسة اختبار خاصة.

في حين قال المسؤولون أن التصويت الإلكتروني سيسهل على المواطنين السويسريين الذين يعيشون في الخارج المشاركة في عمليات التصويت التي يتم إجراؤها داخل البلاد.

مقالات قد تعجبك:

ما هي أجهزة كشف و إنذار الدخان والحرائق
إزالة الأشخاص من الصور بسهولة باستخدام برنامج الفوتوشوب
كيفيّة استرجاع كلمة مرور حساب Steam في حالة نسيانها
ما هو خطأ 503 Service Unavailable؟ وكيف يمكن إصلاحه؟
كيفيّة التقاط صور أفضل باستخدام وضع التتابع Burst Mode

مبرمج استغل ثغرة في نظام بنك صيني وسرق مليون دولار

هل شاهدت يوماً ما مشهداً سينمائياً لأحد المبرمجين المحترفين وهو يجبر الصرافات الآلية على ضخ آلاف الدولارات بعد عملية اختراق ناجحة؟

حسناً، يبدو أن هذا المشهد تحوّل إلى حقيقة في الصين بحسب ما ذكرت كل من صحيفة The South China Morning Post وصحيفة Daily Economic News المحلية في البلاد.

حيث استطاع Qin Qisheng وهو مبرمج صيني محترف يبلغ من العمر 43 عاماً من سحب ما يزيد عن مليون دولار أمريكي من بنك Huaxia الذي يعمل فيه مستغلاً وجود ثغرة في نظام السحب النقدي.

ووفقاً للتقارير، فإن الثغرة الموجودة في النظام منعت عمليات تسجيل سحب الأموال التي يتم القيام بها في منتصف الليل تقريباً.

حيث كان من المفترض أن تؤدي عمليات السحب إلى إرسال تنبيه عاجل بأن عملية السحب قد فشلت، لكن بسبب وجود الثغرة في نظام عمل البنك فقد تمكن المبرمج من سحب مبالغ نقدية مختلفة دون أن يعلم أحد.

بدأ المبرمج السارق بسحب الأموال منذ شهر تشرين الثاني من عام 2016 على شكل مبالغ نقدية مختلفة القيمة في كل مرة، وعند اكتشاف أمره مؤخراً اعترف بسرقة ما يزيد عن مليون دولار أمريكي.

ولعل الجزء الأكثر إثارة للدهشة في هذه القصة هو أن البنك الصيني لم يرغب بالاستمرار في محاكمة المبرمج السارق والموظف لديه، حيث طالب الشرطة بإسقاط القضية.

من المحتمل أن إدارة البنك كانت قلقة بشأن تضخم القضية والتسبب بدعاية سيئة لأعمال البنك وأمن نظامه، وقالت الإدارة بأنها قبلت واقتنعت بتبرير المبرمج الصيني.

حيث برّر المبرمج سرقته أثناء التحقيق بأن ما كان يقوم به هو مجرد اختبار لأنظمة الأمان في البنك، وأنه يعتزم إعادة كافة الأموال التي سحبها.

في الحقيقة يبدو هذا التبرير غير مقنعاً أبداً نظراً لأن الأموال المسحوبة كانت تُحوّل إلى حساب المبرمج الصيني الخاص وليس إلى خزينة البنك، كما قام المبرمج باستثمار جزء من هذه الأموال في سوق الأسهم أيضاً.

رفضت المحكمة طلب البنك بإسقاط القضية، ووجهت حكم نهائي على المبرمج الصيني بالسجن لمدة 10 سنوات ونصف بعد أن خسر استئنافه.

مقالات قد تعجبك:

كيفية استعادة المبالغ المدفوعة باستخدام البطاقة الائتمانية
كيفية استعادة الملفات المحذوفة على نظام ماك macOS
كيفية إضافة منافذ USB-C إلى حواسيب ويندوز
كيفية إصلاح صوت الكمبيوتر إذا قام تحديث ويندوز بتعطيله
طرق العمل المشترك المتوفرة بين ويندوز 10 وبين هواتف أندرويد أو آيفون

جوجل تغضب مايكروسوفت للمرة الثانية بكشفها عن ثغرة في ويندوز

في بداية هذا الأسبوع، قامت شركة جوجل Google بالكشف عن ثغرة أمنية في متصفح شركة مايكروسوفت Microsoft المعروف بإسم Microsoft Edge وذلك قبل أن تتمكن مايكروسوفت من إيجاد حل لإغلاق الثغرة.

وعلى ما يبدو أن هنالك ثغرة أخرى، فقد قام فريق Project Zero التابع لجوجل والذي يضم عدة باحثين في مجال الأمن بالكشف عن خلل أمني آخر في نظام Windows 10 والذي فشلت شركة مايكروسوفت بإيجاد حل له قبل انتهاء مدة الـ90 يوم التي تمنحها جوجل للشركة صاحبة الخلل وذلك قبل الإعلان عن الثغرة أو الخلل للعامة، حيث قامت جوجل بإرسال تقرير خاص لمايكروسوفت من أجل إعلامها بالثغرتين المكتشفتين منذ شهر تشرين الثاني، لكن الشركة حددت واحدة فقط في تصحيح الأخطاء الأخير المعلن عنه يوم الثلاثاء.

الثغرة الأخيرة المكتشفة والتي لم تتم معالجتها تتعلق بما يسمى رفع الامتيازات، أي أن المستخدم العادي يمكن أن يحصل على الامتيازات التي تكون عادةً للمسؤول فقط ضمن النظام، حيث قالت شركة مايكروسوفت أن هذا الخلل يمكن تصنيفه بالهام ولكن لا يمكن أن يُصنّف بالحرج نظراً لعدم إمكانية استغلاله عن بعد.

ولكن سيبقى هذا الخلل مصدر خطورة خاصة إذا قام المهاجم بالجمع بين هذه الثغرة من جهة وكود برمجي منفصل عن بعد من جهة أخرى بهدف الوصول إلى صلاحيات المسؤول، وحتى لو كانت فرصة حدوث مثل هذا السيناريو ضعيفة إلا أنه من الواجب على الشركة إصلاح الخلل في أقرب وقت ممكن.

من غير الواضح متى ستقوم الشركة بإيجاد حل لهذه الثغرة الجديدة، خاصة مع وجود ثغرة سابقة في متصفح Microsoft Edge تنتظر هي الأخرى حلاً لها، وتأتي هذه الثغرات الجديدة في وقت تتصاعد فيه الخلافات بين شركتي جوجل ومايكروسوفت حول سياسة الأولى بالكشف عن الثغرات الأمنية والإعلان عنها حتى قبل إيجاد الحل المناسب، حيث قامت شركة مايكروسوفت باتباع هذه السياسة العام الماضي عندما تم الكشف عن خلل أمني في متصفح Chrome، لكن الوقت كان كافياً لدى جوجل حتى تقوم بإصلاح المشكلة.

سياسة جوجل التي تنص على ضرورة الكشف عن الثغرات الأمنية المكتشفة بعد انتهاء مدة الـ90 يوم كانت موضوع للنقاش خلال الفترة الأخيرة، خاصة أنها تعرضت للانتقاد بنفس القدر الذي تعرضت فيه للإشادة، لكن الموضوع يبدو مختلفاً مع شركة مايكروسوفت، فنظام Windows وبحسب الكثير من الأدلة كان يعاني من وجود عدة ثغرات أمنية، حيث كافحت مايكروسوفت دائماً من أجل إغلاق الثغرات المكتشفة والحد من تأثيرها، ويمكن القول أن سياسة جوجل بالكشف عن الثغرات وممارسة الضغط على مايكروسوفت من أجل إصلاح الأخطاء بأقرب وقت هو أمر جيد بالمجمل ويهدف إلى إبقاء صناعة البرمجيات آمنة إلى حد كبير، لكن في نفس الوقت لا بد من الاعتراف بصرامة فريق Project Zero في موضوع الكشف عن الثغرات، حيث تلعب المصالح التجارية التنافسية بين الشركات دوراً كبيراً في ذلك.

الجدير بالذكر أن لدى جوجل بعض الاستثناءات الخاصة بسياستها المتبعة بالكشف عن الثغرات، فقد تعطي فترات أطول من المدة المعروفة، ولكنها قد تلجأ إلى الكشف المبكر عن الثغرات في حال تم استغلالها أمنياً، كما حصل عام 2016 عندما اضطرت شركة جوجل للكشف عن ثغرة أمنية كبيرة في Windows بعد 10 أيام فقط من إعلام شركة مايكروسوفت بهذه الثغرة، كما كشفت عن ثغرة zero-day قبل أن يتم إيجاد حل مناسب لإغلاق الثغرة.

 

مقالات قد تعجبك:
جوجل أغضبت مايكروسوفت بكشفها عن ثغرة في متصفحها Edge
آبل ترسل تحديث iOS لإصلاح ثغرة الحرف الهندي
فيسبوك يعترف بأن مشكلة رسائل الـSMS سببها ثغرة برمجية
اكتشاف ثغرة جديدة في iOS وآبل وعدت بإصلاحها
كيفية تنصيب ويندوز 10