الأمم المتحدة تعرّضت للاختراق وسرقة 400 جيجابايت من البيانات

كُتب يوم 2 فبراير، 2020 بواسطة محمد عبد الرحمن بركات

من الطبيعي أن نسمع عن عمليات اختراق كبيرة للشركات التجارية حول العالم، كما أنه من غير المستغرب أن نسمع عن عمليات اختراق متعلقة بحكومات دول ولو كانت كبيرة.

لكن أن نسمع عن عملية اختراق تخص مؤسسة كبيرة بحجم الأمم المتحدة فهذا قد لا يتكرر كثيراً نظراً لغرابته ولأن المؤسسة تضم أصلاً جميع دول العالم.

حيث أفادت مصادر بأن المخدمات التابعة للأمم المتحدة في جنيف وفيينا قد تعرّضت لعملية اختراق العام الماضي من جهة مجهولة الهوية.

وبحسب تلك المصادر فإن عملية الاختراق قد سمحت للمتسللين بسرقة 400 جيجابايت من البيانات السرية التي تحتفظ بها الأمم المتحدة.

لم تفصح الأمم المتحدة عن عملية الاختراق، فهي غير ملزمة مثل بقية الشركات أو الحكومات بقوانين الشفافية مع المستخدمين وبالإفصاح عن مثل هذه الاختراق.

وذلك لأنها ليست شركة تجارية ولديها مستخدمين أولاً، وثانياً بسبب أهميتها وحجمها الكبير الذي يضعها فوق أي قانون.

لكن العملية الأمنية لم تبقَ سرية حيث تسربت وثائق من داخل الأمم المتحدة كشفت عن حدوث عملية الاختراق في وقت ما من العام الماضي.

لم تكشف الوثائق عن الجهة المسؤولة عن تنفيذ عملية اختراق هامة بهذا الحجم ويبدو أن المسؤولين في الأمم المتحدة لم يتمكنوا من معرفة من قام بعملية التسلسل هذه.

حيث تشير الوثائق إلى أن المتسللين قد استعموا ثغرة في برنامج SharePoint من مايكروسوفت وبدعم من برمجيات متطورة غير معروفة في الوقت الحالي.

والأسوأ من ذلك فقد استطاع المتسللون حذف سجل نشاطهم ولم يتمكّن المسؤولون في الأمم المتحدة من تحديد المعلومات التي تمت سرقتها ولم يتمكنوا أيضاً من تتبع المتسللين.

هذا وقد ذكرت الوثائق المسربة احتمالية وصول القراصنة إلى السجلات والمعلومات الحساسة الخاصة بمنظمة حقوق الإنسان والتي تحتوي بيانات حول الانتهاكات المتنوعة في دول العالم.

الجدير بالذكر أن عملية الاختراق هذه ليست لمرة الأولى في تاريخ الأمم المتحدة، حيث استطاعت مجموعة من القراصنة الصينيين التسلل إلى مخدمات الأمم المتحدة في عام 2016 وسرقة بيانات تخص الموظفين هناك.

مقالات قد تعجبك:

جولة افتراضية في المرآب الذي بدأت به شركة جوجل!

الواقع الافتراضي اليوم هو البداية لما هو آت في المستقبل

فيسبوك يستخدم رقم الهاتف المحمول لاستهداف المستخدمين بالإعلانات

كيفية حذف صوت مقطع الفيديو عند نشره على إنستغرام

هل قفل الهاتف بالبصمة أو بالوجه آمن تماماً؟

اختراق أنظمة OnePlus وسرقة بيانات بعض المستخدمين

كُتب يوم 24 نوفمبر، 2019 بواسطة محمد عبد الرحمن بركات

تعرّضت الأنظمة الخاصة بشركة OnePlus الصينية إلى اختراق أمني بحسب ما كشفت عنه الشركة رسمياً والتي قالت أن مجموعات المخترقين قامت بسرقة بعض بيانات المستخدمين.

بحسب بيان الشركة فإن بيانات المستخدمين المستهدفة شملت الأسماء وعناوين البريد الإلكتروني وعناوين الشحن وأرقام الهواتف.

في حين أكّدت الشركة أن البيانات الأكثر حساسية مثل كلمات المرور أو أرقام بطاقات الدفع الإلكتروني ما زالت آمنة ولم تتعرض لأي اختراق.

وبحسب OnePlus فقد تم اكتشاف الاختراق الأمني أثناء متابعة فريق السلامة في الشركة للأنظمة الخاصة مما أدى إلى اكتشاف ثغرة أمنية سمحت لأطراف خارجية بالوصول إلى بيانات الشركة.

تؤكد الشركة على أن نسبة المستخدمين المتأثرين بالاختراق الأخير لم تكن كبيرة وأن الوصول إلى البيانات كان محصوراً بالبيانات العامة.

ومع ذلك، فقد اتخذت الشركة إجراء فوري من خلال إعلام المستخدمين المتأثرين بواسطة رسائل البريد الإلكتروني وقد تضمّنت الرسائل إجرءات إضافية للتأكد من سلامة حسابات الأشخاص.

إذا كنت واحداً من عملاء الشركة، فمن المفترض أن تصلك رسالة بريد إلكتروني تشرح لك تفاصيل الاختراق الأخير وتطلب منك أية إجراءات أمنية تراها الشركة ضرورية.

أما في حال لم تصلك أي رسالة، فهذا يعني أنك لم تكن من ضمن المستخدمين المتأثرين بالاختراق الأمني الذي استهدف أنظمة الشركة.

وأكّدت OnePlus أنها معنية بسلامة وأمن المعلومات الشخصية التابعة للمستخدمين وأنها ستبذل كل ما بوسعها منعاً لحدوث أي اخترقات مشابهة.

الجدير بالذكر أن أنظمة الشركة في العام الماضي كانت قد تعرّضت لاختراق أمني أيضاً، ولكنه كان أكثر خطورة لأنه استهدف بيانات المستخدمين الحساسة.

مقالات قد تعجبك:

كيفية تحديد معلومات جهاز أندرويد لتحميل ملفات APK الصحيحة

كيف يحصل أي جهاز على عنوان IP خاص به؟

كيف يعلم أندرويد إن كانت شبكة الواي فاي سريعة أم بطيئة قبل الاتصال؟

كيف تربح قنوات اليوتيوب المال؟

كيفية منع التشغيل التلقائي للفيديوهات في كروم

اكتشاف ثغرة أمنية في معالجات كوالكوم في هواتف الأندرويد

كُتب يوم 16 نوفمبر، 2019 بواسطة محمد عبد الرحمن بركات

لا تمر أيام في عالم الأخبار التقنية دون ورود خبر جديد عن ثغرة أمنية مكتشفة في نظام ما أو شركة ما، لكن بالنسبة للثغرة التي نود الحديث عنها اليوم فهي خطرة بشكل كبير لسببين.

الأول هو أنها تتبع لشركة لا يرد عنها الكثير من أخبار الثغرات، والثاني هو العدد الهائل للأشخاص الذين يمكن أن يتأثروا بالثغرة فيما لو تم استغلالها.

في التفاصيل، تم الكشف عن ثغرة أمنية في معالجات شركة كوالكوم Qualcomm تسمح بسرقة بيانات حساسة في الأجهزة التي تتواجد فيها تلك المعالجات.

هذا يعني أن مئات الملايين من كل من الهواتف المحمولة والأجهزة اللوحية التي تعمل بنظام الأندرويد مع وجود معالج كوالكوم بداخلها هي أجهزة معرضة للخطر.

تم اكتشاف الثغرة من قبل شركة Check Point التي قالت أن الثغرة تستهدف في المقام الأول منطقة من المعالج هي الأكثر أماناً كما هو مفترض حيث يتم تجميع البيانات الحساسة الخاصة بالمستخدم.

بالطبع لا يمكن الحديث بشكل علني عن الثغرة إلا بعد أن يتم إخبار الشركة المسؤولة عن أمرها سراً من أجل إصدار الإصلاحات اللازمة قبل إمكانية استغلالها من قبل أطراف خارجية.

ويقال أن كوالكوم استجابت سريعاً لموضوع الثغرة وتم إصلاح الخلل من خلال تصحيحات الأمان التي يتم إرسالها بشكل دوري إلى الأجهزة والهواتف المحمولة.

في حين يؤكد التقرير أن كل من الشركتين الكوريتين سامسونج Samsung و LG كانتا على علم بالثغرة وتم حل المشكلة من خلال تصحيحات الأمان التي تصل للهواتف.

كما تحدّث التقرير عن أهمية المنطقة الآمنة التي استهدفتها الثغرة الأخيرة حيث يتم تجميع البيانات الحساسة الخاصة بالجهاز والغريب في الأمر أن الثغرة استهدفت تلك المنطقة بشكل مباشر.

في حين من المفترض أن تكون تلك المنطقة بمثابة خط الدفاع الأخير ضد أي هجمات خارجية بهدف سرقة البينات، الأمر الذي يزيد من قلق الباحثين في المجال الأمني.

لحسن الحظ لم تُسجّل حالات استغلال للثغرة وقد تم إصلاحها بالفعل، لكن من المفيد التذكير بأن المجال التقني مليئ بالثغرات المشابهة والتي ربما لم تُكتشف حتى الآن.

مقالات قد تعجبك:

كيفية فتح لعبة مغامرة النصوص الجديدة والخفية في جوجل

ما هو النظام الثنائي؟ ولماذا يستخدمه الكمبيوتر

هل ماسحات الأشعة تحت الحمراء IR مضرّة للعين؟

كيفية تغيير إعدادات سلة المحذوفات في ويندوز 10

كيفية رسم ومعالجة الأسهم في مايكروسوفت وورد

جائزة 60 ألف دولار لباحثين اخترقا جهاز Amazon Echo

كُتب يوم 10 نوفمبر، 2019 بواسطة محمد عبد الرحمن بركات

إذا كنت تمتلك المهارة الكافية لاختراق البرمجيات والمواقع والأجهزة الإلكترونية التي تتبع لكبرى الشركات التقنية حول العالم، فربما يتوجب عليك الذهاب إلى مسابقة Pwn2Own.

تُعدّ تلك المسابقة واحدة من أضخم المسابقات التي يهتم بها كل من الباحثين الأمنيين الذين سيلعبون دور المهاجم والشركات التقنية الكبيرة التي تأمل ألا تلعب دور الضحية.

وهي مسابقة تعود بالفائدة الكبيرة على الطرفين، حيث ينال الباحثون الذين يتمكنون من اكتشاف الثغرات الأمنية جوائز مالية ضخمة تُقدّر بعشرات الآلاف من الدولارات.

في حين أن الشركات التقنية المتنافسة يتم تنبيهها إلى ثغرات ومواضع خلل في أجهزتها ومواقعها وتطبيقاتها، تلك الثغرات لم تستطع الشركة اكتشافها في وقت سابق مما يجعل منها تهديداً كامناً.

أحد أبرز الأمثلة على ما سبق هو ما حصل مع الباحثين الأمنيين Amat Cama وRichard Zhu في فريقهما الأمني المشارك في المسابقة المذكورة.

حيث استطاع الباحثان اختراق جهاز شركة أمازون Amazon المنزلي المعروف باسم Amazon Echo Show 5 وهو جهاز مساعد منزلي مزوّد بارتباط مع المساعد الشخصي للشركة أليكسا Alexa.

وفي التفاصيل، اعتمد الباحثان على ثغرة أمنية وصلا إليها من خلال كون الجهاز المذكور يستخدم إصداراً قديماً من نظام Chromium مما سمح لهما بالتحكم الكامل بالجهاز في جال كان متصلاً بشبكة واي فاي قابلة للاختراق.

ويمكن الاستفادة من الثغرة عندما يحدث خطأ تجاوز السعة عندما تحاول عملية رياضية إنشاء رقم ولكن لا يوجد به مساحة في ذاكرتها، مما يؤدي إلى تجاوز العدد خارج ذاكرتها المخصصة، ويمكن أن يكون لها آثار أمنية على الجهاز.

بالنسبة لشركة أمازون المستفيد الأكبر من عملية الاختراق فإنها رفضت الكشف عن الخطوات التي ستقوم بها من أجل حل المشكلة وسد الثغرة.

ولكنها أكّدت بأنها ستقوم بالإجراءات المطلوبة من أجل منع استغلال الثغرة في أجهزتها المنزلية وأكّدت أنها ستعمل على هذا الأمر بشكل دائم.

لم يكن جهاز أمازون المنزلي هو الجهاز الوحيد المتصل بالإنترنت الذي تم اختراقه في المسابقة، ففي وقت سابق تم اختراق جهاز فيسوك Facebook Portal.

وهي شاشة ذكية كانت شركة فيسبوك قد قدّمتها كوسيلة للاتصال بحسابات مواقع التواصل الاجتماعي، وبعد الكشف عن الثغرة الخاصة بها تم إصلاح المشكلة على الفور.

مقالات قد تعجبك:

كيفية ترتيب أيقونات سطح المكتب والمحافظة على تنظيمها

ما هي ميزة حماية المجلدات في ون درايف OneDrive؟ وكيف يمكن تفعيلها؟

كيفية إصلاح مشكلة العين الحمراء في الصور باستخدام الفوتوشوب

هل يمكن إنشاء مخدم ويب Web Server على الشبكة المنزليّة ؟

لم وكيف تؤذي الماء الأجهزة الإلكترونية؟

جوجل ضاعفت المكافآت المالية لمكتشفي الثغرات والأخطاء

كُتب يوم 22 يوليو، 2019 بواسطة محمد عبد الرحمن بركات

تلجأ العديد من الشركات الكبيرة إلى دفع المستخدمين والخبراء في مجال الأمن المعلوماتي إلى اكتشاف الثغرات والأخطاء التي من الممكن أن تتواجد في منتجاتها.

تفيد هذه العملية بتنبيه الشركة حول الثغرة الموجودة لتعمل على إصلاحها قبل أن تتسبب بكارثة لها، ولتشجيع المستخدمين على القيام بذلك فإن هذه الشركات تعمل على عرض مكافآت نقدية مغرية.

لكن بالنسبة إلى شركة جوجل Google فإنه وعلى ما يبدو فقد استفادت الشركة بشكل كبير من برنامج المكافآت الذي تم الإعلان عنه سابقاً من أجل اكتشاف الثغرات في التطبيقات والمنتجات الخاصة بالشركة.

وبهدف دفع العديد من المستخدمين لاكتشاف هذه الثغرات، عملت الشركة على مضاعفة المكافآت المالية التي تم تخصيصها سابقاً، والأرقام الجديدة قد تبدو مغرية بالفعل من أجل البحث عن ثغرات ممكنة.

البداية من متصفح الشركة الشهير جوجل كروم Google Chrome، والذي تم إنشاء برنامج مكافآت مخصص له منذ عام 2010.

تقول الشركة أن البرنامج ساهم في الحصول على أكثر من 8500 تقرير حول ثغرات وأخطاء محتملة، وقد أنفقت الشركة أكثر من 5 مليون دولار كهدايا مالية لمكتشفي تلك الثغرات.

بدأت الشركة بمنح 5000 دولار كحد أعظمي للثغرات المكتشفة في المتصفح، وفي وقت سابق زادت الشركة هذا الرقم ليصل إلى 15000 دولار، أما اليوم فقد تمت مضاعفته مرة جديدة ليصل إلى 30 ألف دولار.

هنالك مكافآت مالية أصغر لمكتشفي بعض الأخطاء والثغرات البرمجية في الأكواد المخصصة للمتصفح، وقد زادت الشركة قيمة تلك المكافآت الصغيرة لتصل إلى 1000 دولار عن كل خطأ مكتشف.

أما إذا كنت تبحث عن مكافآت مالية ضخمة، فربما عليك البحث وراء جوجل عن أخطاء لها في نظام التشغيل Chrome OS، حيث خصصت الشركة مبلغ 150 ألف دولار لكل ثغرة خطيرة يمكن أن تؤذي أجهزة Chromebook أو Chromebox في وضع الضيف Guest Mode.

متجر التطبيقات الخاص بالشركة والمعروف باسم Google Play حصل هو الآخر على زيادة مغرية في المكافآت المخصصة لاكتشاف الثغرات والأخطاء البرمجية فيه.

حيث زادت الجوائز المالية الخاصة باكتشاف أخطاء تنفيذ التعليمات البرمجية عن بُعد من 5000 إلى 20 ألف دولار، وسرقة البيانات الخاصة غير الآمنة من 1000 دولار إلى 3000 دولار.

مقالات قد تعجبك:

ما هي حواسيب كروم بوك Chromebook المحمولة من جوجل؟ وما ميزاتها؟

كيفية مسح سجل التصفح في كروم وسفاري وفايرفوكس وإيدج وإكسبلورر

كيفية تغيير كلمة مرور حساب جوجل Google وبريد جيميل Gmail

كيفية تفعيل الوضع الليلي في ويندوز 10 يدوياً أو تلقائياً

كيفية حفظ رسائل الإيميل والمواعيد وجهات الاتصال كملفات في Outlook

جوجل خزّنت كلمات مرور بعض حسابات G Suite دون تشفير

كُتب يوم 22 مايو، 2019 بواسطة محمد عبد الرحمن بركات

في منشور جديد على مدونتها، اعترفت شركة جوجل Google مؤخراً بأنها خزّنت كلمات المرور الخاصة ببعض حسابات G Suite بشكل غير مشفّر نتيجة ثغرة أمنية في أنظمة الشركة.

والغريب في الأمر أن هذه الثغرة كانت متواجدة منذ عام 2005 أي منذ 14 عاماً، وعلى الرغم من ذلك فإن الشركة لم تجد دليلاً على أن هنالك إساءة استخدام لكلمات المرور غير المشفّرة.

ويبدو أن تلك الثغرة قد حدثت نتيجة وجود ميزة تمنح مسؤول الشركة الذي يستعمل حزمة G Suite إمكانية تعديل كلمات مرور المستخدمين يدوياً، الأمر الذي تسبب بقيام وحدة تحكم المشرف بتخزين كلمات المرور الجديدة على شكل نص عادي غير مشفّر.

لحسن الحظ فإن تخزين كلمات المرور بشكل غير مشفّر قد جرى خلال هذه المدة الطويلة على خوادم الشركة الداخلية، وبالتالي فإن تلك المعلومات كانت غير قابلة للوصول من خارج الشركة على الإنترنت.

ومع ذلك، فقد واجهت الشركة خلال تلك السنوات مخاطرة كبيرة بتسريب هذه الكلمات من داخل الخوادم أو حدوث هجوم أمني كبير يؤدي إلى الوصول لتلك الكلمات بشكلها غير المشفّر.

ولم تكن جوجل الشركة الوحيدة التي عانت من مشكلة تخزين كلمات المرور بشكل غير مشفر نتيجة حدوث خطأ أو ثغرة، فقد نصحت شبكة تويتر Twitter في آذار العام الماضي جميع مستخدميها البالغ عددهم 330 مليون بتغيير كلمات المرور.

وكان السبب في ذلك هو ثغرة أمنية سبّبت تخزين كلمات المرور المستخدمين بشكل غير مشفر، لتعود نفس المشكلة للظهور بعد عام كامل في فيسبوك Facebook عندما تبيّن أن كلمات مرور المستخدمين تم تخزينها دون تشفير.

وبعد أسابيع قليلة من فضيحة فيسبوك، تبيّن أن شبكة إنستغرام Instagram قد تأثرت بما حدث مع فيسبوك، وكانت كلمات مرور مستخدميها تعاني من نفس المشكلة.

من جانبها، لم تحدد جوجل عدد المستخدمين الذين ربما تأثروا بهذا الخطأ إلى جانب تأكيد الشركة بأن التأثير كان على مجموعة فرعية من عملاء G Suite، لكن هذه المجموعة قد تضمّ أي مستخدم للحزمة منذ عام 2005.

تم إصلاح المشكلة في الوقت الحالي وقدّمت جوجل اعتذارها في بيانها الأخير، حيث قالت:

نحن نأخذ أمن عملائنا في المؤسسة على محمل الجد، ونفخر بتقديم أفضل الممارسات في هذا المجال لأمن الحساب، لكن هنا لم نلتزم بمعاييرنا الخاصة ولا بمعايير عملائنا، نعتذر لمستخدمينا وسوف نفعل ما هو أفضل.

مقالات قد تعجبك:

ما هو Sketchup؟ وكيف يتم استخدامه؟

كيفية تضمين فيديو يوتيوب في العرض التقديمي بور بوينت

ما هي تقنية بلوتوث 5.1 الجديدة ؟ و ما ميزاتها ؟

ما هي ميزة التخزين المحسّن في أجهزة ماك؟و كيف يمكن الاستفادة منها ؟

كيفية وصل سماعات AirPods مع كمبيوتر ويندوز أو ماك أو مع هواتف أندرويد أو آيفون

ثغرة في إنترنت إكسبلورر سمحت بسرقة ملفات المستخدمين

كُتب يوم 15 أبريل، 2019 بواسطة محمد عبد الرحمن بركات

من الواضح أن متصفح الإنترنت الشهير إنترنت إكسبلورر Internet Explorer لا يتمتع بشعبية واسعة حول العالم، بل أنه أصبح في الفترة الأخيرة واحداً من المتصفحات الأقل استخداماً عالمياً.

لكن هذه المرة فإن الأمر لا يتعلق بشعبية المتصفح أو بتفضيل المستخدمين، بل أن الأمر أخطر من ذلك إذ تم الكشف عن ثغرة أمنية خطيرة في المتصفح من قبل أحد الباحثين الأمنيين.

تسمح هذه الثغرة في حال تم استغلالها بشكل صحيح من قبل المهاجم بسرقة ملفات المستخدمين من أجهزتهم التي تعمل بنظام التشغيل ويندوز.

وتعتمد آلية عمل استغلال الثغرة على طريقة معالجة المتصفح لملفات MHT وهو الامتداد الخاص بملفات أرشيف صفحات الويب حيث يعد المعيار الافتراضي الذي تقوم من خلاله جميع متصفحات إنترنت إكسبلورر بحفظ صفحات الويب عندما يطلب المستخدم ذلك.

لا تقوم المستعرضات الحديثة بحفظ صفحات الويب بتنسيق MHT، وبدلاً منه فهي تستخدم تنسيق HTML القياسي، ومع ذلك لا يزال العديد من المستعرضات الحديثة تدعم معالجة التنسيق.

بحسب الباحث الأمني John Page فإن استغلال الثغرة يمكن عندما يقوم المستخدم بفتح ملف MHT حيث يستطيع المهاجم التسلل والوصول إلى الملفات المحلية واستطلاعها.

ولا يحتاج استغلال الثغرة إلى الكثير من الجهد نظراً إلى أن ويندوز يقوم افتراضياً بتشغيل ملفات MHT من خلال المتصفح إنترنت إكسبلورر، وبالتالي يحتاج المستخدم فقط للنقر المزدوج على ملف من هذا النوع يمكن أن يتم تلقيه عبر بريد إلكتروني على سبيل المثال.

الأخطر من ذلك أنه يمكن للمهاجم تعطيل نظام التنبيه الأمني الخاص بالمتصفح المذكور، حيث يحصل المستخدمون عادةً على شريط تحذير أمان في المتصفح ويطلب منهم تنشيط المحتوى المحظور، لكن في هذه الحالة فإن التنبيه لن يظهر أبداً.

قال الباحث الأمني أنه استطاع اختبار الثغرة على أحدث إصدار من المتصفح ومع كافة تحديثات الأمان الأخيرة على أنظمة ويندوز 7 و ويندوز 10 و Windows Server 2012 R2.

من الجيد أن حصة المتصفح عالمياً هي أقل من 7.4% في سوق متصفحات الإنترنت حول العالم، لكن نظراً إلى أن متصفح إنترنت إكسبلورر تم تعيينه كتطبيق افتراضي من أجل فتح ملفات MHT فإن ذلك يمثّل خطراً على كل مستخدم ما زال يحتفظ بالمتصفح على جهازه.

الغريب في الأمر أن شركة مايكروسوفت Microsoft رفضت النظر في الثغرة على أنها أمر عاجل يستدعي إرسال تحديث فوري لحل المشكلة، وقالت أن إصلاح المشكلة سيتم النظر فيه من خلال التحديثات المستقبلية!

مقالات قد تعجبك:

ماهي خدمات جوجل بلاي Google Play Services ولماذا تستنزف البطارية في الأندرويد؟

ما هي كاميرات المراقبة اللاسلكية؟ وهل هي آمنة؟

ما هو جهاز ستيم لينك؟ وكيف يستخدم لربط شاشة غرفة الجلوس بألعاب الكمبيوتر عن بعد؟

كيفية حفظ مستند مايكروسوفت وورد كصفحة ويب

كيفية حفظ رسائل الإيميل والمواعيد وجهات الاتصال كملفات في Outlook

باحثان أمنيان اخترقا سيارة Tesla Model 3 وفازا بها

كُتب يوم 25 مارس، 2019 بواسطة محمد عبد الرحمن بركات

هل سمعت سابقاً بمسابقة Pwn2Own السنوية المختصة باكتشاف الثغرات الأمنية وإعطاء المكافآت للباحثين الأمنيين الذين يستطيعون كشف هذه الأخطاء والثغرات الخطيرة؟

هذا العام لم تكن تلك المسابقة السنوية اعتيادية، والسبب هو مشاركة شركة تيسلا Tesla والتي تحدّت المشتركين في المسابقة من أجل كشف أي ثغرة أمنية خطيرة في سيارة Model 3 وهو ما ذكرناه في مقالة سابقة حول تحدّي الشركة.

خسرت الشركة التحدي، وكسبت معرفة ثغرة أمنية موجودة في متصفح السيارة، حيث استطاع الفريق Fluoroacetate المؤلف من الباحثين Richard Zhu و Amat Cam اختراق المتصفح.

That's a wrap! Congrats to @fluoroacetate on winning Master of Pwn. There total was $375,000 (plus a vehicle) for the week. Superb work from this great duo. pic.twitter.com/Q7Fd7vuEoJ
— TrendAI Zero Day Initiative (@thezdi) March 22, 2019

الجائزة التي حددتها الشركة في بداية المسابقة كانت ثمينة جداً، حيث قالت الشركة أن مَن يستطيع اختراق السيارة سيعود بها إلى بيته، وهو ما حدث بالفعل حيث تم منح السيارة كهدية إلى الباحثين الأمنيين.

شركة تيسلا كانت سعيدة باكتشاف الثغرة، حيث قالت في بيان خاص أنها دخلت المسابقة من أجل الانخراط مع الأعضاء الأكثر موهبةً في مجتمع الأمن المعلوماتي.

وقالت الشركة أن سيارتها الفخمة تحتوي على العديد من طبقات الأمان التي لم يستطع أحد اختراقها، في حين لم يكن مستوى الحماية بالشكل المطلوب بالنسبة لمتصفح السيارة الذي مكّن الباحثين الأمنيين من الفوز بالسيارة.

شكرت شركة تيسلا الباحثين المكتشفين للثغرة ووعدت بإصدار تحديث عاجل لإغلاق الثغرة خلال الأيام المقبلة ومنحت السيارة بالإضافة إلى مجموعة من الجوائز المالية للفريق الفائز.

الجدير بالذكر أن مسابقة Pwn2Own كانت تضم أربع فئات لاكتشاف الثغرات في السنوات الماضية والتي تنوعت بين متصفحات الويب وبرامج المحاكاة الافتراضية وتطبيقات المؤسسات وبرامج الخادم.

لكن المميز في نسخة المسابقة من هذا العام هو احتوائها على فئة خامسة وهي فئة السيارات التي شاركت فيها شركة تيسلا.

خلال مسابقة Pwn2Own تم منح ما يزيد عن نصف مليون دولار من الجوائز المالية لمكتشفي ثغرات أمنية في متصفح آبل Safari ومتصفح مايكروسوفت Edge ونظام ويندوز ومتصفح Firefox و VMware Workstation.

مقالات قد تعجبك:

كيفية إنشاء مخطط بياني بسهولة على أي جهاز دون برامج

ما هي ملفات النظام الخاصة بويندوز؟ وأين توجد؟

كيفية استعادة حساب واتساب عند نسيان PIN رمز التحقق بخطوتين

كيفية إصلاح التطبيقات والميزات غير المرغوبة في هواتف سامسونج

ما هو نظام التشغيل ؟

فيسبوك اعترفت بحفظ كلمات مرور المستخدمين بشكل غير مشفر

كُتب يوم 22 مارس، 2019 بواسطة محمد عبد الرحمن بركات

قامت شبكة ومنصة فيسبوك Facebook للتواصل الاجتماعي بتخزين كلمات المرور الخاصة بمئات الملايين من المستخدمين على شكل نص غير مشفّر نتيجة حدوث خلل برمجي.

حيث عادةً ما يتم تخزين كلمات المرور والمعلومات الحساسة بطريقة تشفير تدعى Hashing ولكن سلسلة من الأخطاء البرمجية في تطبيقات فيسبوك تركت مئات ملايين كلمات المرور غير مشفّرة.

لحسن الحظ فإن كلمات المرور هذه كانت غير قابلة للوصول من خارج الشركة، ولكن في نفس الوقت كانت متاحة لآلاف الموظفين المتواجدين في فيسبوك، الأمر الذي عرّضها لخطر التسريب.

ويُعتقد أن ما بين 200 مليون و 600 مليون مستخدم على فيسبوك قد تأثروا بالخلل الأخير، حيث اعترفت فيسبوك بوجود المشكلة في منشور على مدونتها بعنوان الحفاظ على كلمات المرور آمنة.

وقالت الشركة أن إدارة فيسبوك استطاعت كشف المشكلة في شهر كانون الثاني الماضي أثناء قيامها بمراجعة أمنية، كما أكّدت فيسبوك أن المشكلة تم إصلاحها وسيتم إعلام المستخدمين المتأثرين.

وفقاً لفيسبوك، لا يوجد دليل على أن كلمات مرور المخزّنة دون تشفير قد تم كشفها خارج الشركة أو أنها تعرضت لإساءة الاستخدام داخلياً.

ونتيجةً لذلك، لن يُطلب من المستخدمين إعادة تعيين كلمات المرور الخاصة بهم، حيث أثرت المشكلة على مئات الملايين من مستخدمي تطبيق Facebook Lite، وعشرات الملايين من مستخدمي تطبيق فيسبوك الأساسي، وعشرات الآلاف من مستخدمي تطبيق إنستغرام.

وللأسف فإن الخلل الجديد يأتي ليضيف حلقة جديدة من مسلسل الأخطاء والثغرات الأمنية والتسريبات الخطيرة التي بدأت تعاني منها المنصة منذ فترة من الزمن، الأمر الذي عرّضها للكثير من الانتقاد.

مقالات قد تعجبك:

كيفية التحكم بالإعدادات المختلفة في كاميرات كانون Canon

كيفية تصفير عداد استخدام البيانات في ويندوز 10

كيفية استخدام أداة لقطة الشاشة في مايكروسوفت وورد

كيفية ترقيم الصفحات في مايكروسوفت وورد

كيفية تفعيل خطة الأداء الأمثل في ويندوز 10

جوجل طلبت من المستخدمين تحديث متصفح كروم بشكل عاجل

كُتب يوم 9 مارس، 2019 بواسطة محمد عبد الرحمن بركات

أثبتت تقارير حديثة أن لدى شركة مايكروسوفت Microsoft ثغرة أمنية خطيرة في نسخة نظامها ويندوز 7 حيث تم إطلاق اسم يوم الصفر أو Zero Day على هذه الثغرة.

أحد أبرز الجهات التي كشفت عن الثغرة قبل مايكروسوفت نفسها هي شركة جوجل Google، وسبب اهتمام جوجل للأمر هو أن الثغرة يمكن استغلالها من خلال متصفحها الشهير كروم Chrome.

بحسب جوجل فإن الثغرة يمكن أن تغير من السماحيات والصلاحيات على مستوى النظام لتنفيذ تعليمات برمجية ضارة، الأمر الذي يمكن استغلاله من خلال متصفح كروم.

وقالت جوجل أنها وبحسب دراساتها للثغرة الحديثة فإنها لم تجد لها أثراً إلا على أنظمة Windows 7 32-bit، لكن هذا يعني أن الإصدارات القديمة من النظام قبل ويندوز 7 هي أيضاً معرّضة للخطر.

قامت جوجل بإبلاغ مايكروسوفت بالمشكلة، حيث ردّت مايكروسوفت بأنها على علم بالثغرة وأنها ستعمل على حلها بأسرع وقت.

مضت عشرة أيام ولم تعمل مايكروسوفت على حل المشكلة، وعلى ما يبدو فإن جوجل قد نفذ صبرها لذلك أرسلت تحديث عاجل لحل المشكلة على متصفحها كروم.

في بيان رسمي حول الحادثة، قالت مايكروسوفت أن لديها التزام بالتحقيق في المشكلات الأمنية التي تم الإبلاغ عنها والتحديث بشكل استباقي في أقرب وقت ممكن.

وذكّرت مايكروسوفت في بيانها أنه أصبح الوقت مناسباً الآن بالنسبة لمستخدمي Windows 7 32-bit للنظر في الترقية إلى Windows 10، حيث أن الإصدارات الأحدث لديها المزيد من الحماية في مكانها.

نجحت جوجل في إغلاق الثغرة في الجزء المتعلق بمتصفح كروم، وطالبت مستخدمي المتصفح وخاصةً الذين يستخدمون نظام Windows 7 بتحديث متصفحهم إلى النسخة الأخيرة ذات الرقم 72.0.3626.121.

عادةً ما يتم تحديث المتصفح بشكل تلقائي أثناء تشغيله والاتصال بشبكة الإنترنت، لكن للتأكد من أنك تعمل على النسخة الأحدث، اتبع الطريقة التالية:

من القائمة المتواجدة على زاوية المتصفح، اضغط عيها واختر Help أو مساعدة، بعد ذلك انتقل إلى الخيار الفرعي About Google Chrome أو حول جوجل كروم.

سيتم فتح صفحة تعرض النسخة الحالية للمتصفح، في حال كانت بالرقم Version 72.0.3626.121 فهذا يعني أن التحديث الأخير قد تم تثبيته تلقائياً على متصفحك.

في حال لم يكن متصفحك مُحدّث إلى هذه النسخة فسيعرض كروم خيار التحديث بشكل تلقائي، لذلك يجب قبول التحديث والبدء بتحميله بأسرع وقت.