محرك بحث يكشف الأجهزة القابلة للاختراق
د. محمد أنس طويلة
من الأنباء التي تواترت مؤخرا أن والد طفل رضيع في مدينة هيوستن اكتشف أن شخصا مجهولا تمكن من الدخول إلى كاميرا المراقبة الموضوعة في غرفة الرضيع أثناء نومه، وبدأ يصرخ بألفاظ نابية لإيقاظ الطفل. وقد تبين لاحقا أن المتسلل استغل ثغرة أمنية في هذه الكاميرا ليمنح نفسه حق الدخول إليها والتحكم بوظائفها، وبأن الشركة التي أنتجت هذه الكاميرا كانت على علم مسبق بوجود هذه الثغرة وكانت قد أطلقت تحديثا لبرمجياتها لسد هذه الثغرة، لكنها لم تقم بإعلام جميع زبائنها بضرورة تحديث كاميراتهم لكي لا يقعوا ضحية لتسلل يستغل هذه الثغرة الأمنية.
مع تزايد أعداد وتنوع التجهيزات المتصلة بالإنترنت (كالتجهيزات الرياضية وأجهزة المراقبة وأدوات المطبخ) فيما بات يعرف بـ"إنترنت الأشياء" (Internet of Things)، تزداد التهديدات الأمنية التي تتعرض لها هذه التجهيزات، ففي حين يسعى مستخدمو الحواسب الشخصية والهواتف الذكية جاهدين لتأمين أجهزتهم وحمايتها من التهديدات التي قد تأتي من شبكة الإنترنت، فإنهم غالبا ما يهملون الإعدادات الأمنية للتجهيزات الأخرى ويتركونها بحسب إعداداتها الأصلية، ولا يقومون بتحديث برمجياتها في حال اكتشاف ثغرات أمنية فيها.
تفتح هذه الظاهرة الباب على مصراعيه أمام سيل من التهديدات واحتمالات الاختراق لهذه الأجهزة، وما يترافق مع ذلك من انتهاك للخصوصية أو استغلال للموارد الخاصة كما حدث مع الطفل الرضيع في مدينة هيوستن. ولإظهار حجم هذه المشكلة، قام مبرمج يدعى جون ماثيرلي (John Matherly) -يبلغ من العمر 29 عاما- ببناء موقع (سمّاه "شودان") يختص في البحث عن التجهيزات المتصلة بالإنترنت، والتي لا تتمتع بحماية أمنية ملائمة.
اكتشاف خطيرويبحث موقع "شودان" عن طيف واسع من التجهيزات تتضمن أجهزة التشبيك وكاميرات المراقبة وأجهزة المسح الضوئي والطابعات وغيرها، ويعرض نتائجه للمستخدم الذي سيتمكن من الوصول إلى هذه التجهيزات من خلال أي متصفح للإنترنت.
تمكن محرك البحث "شودان" من إيجاد جهاز لقياس دقات القلب في إحدى المستشفيات الأميركية، وثلاث محطات لتوليد الطاقة الكهربائية في فرنسا يمكن إيقافها عبر الإنترنت |
لكن الأجهزة التي تمكن محرك البحث "شودان" من اكتشافها أخطر بكثير من كاميرات مراقبة الأطفال، فقد تمكن مثلا من إيجاد جهاز لقياس دقات القلب في إحدى المستشفيات الأميركية، وثلاث محطات لتوليد الطاقة الكهربائية في فرنسا (والتي كان من الممكن إيقاف مولداتها عن العمل عبر شبكة الإنترنت)، ومضخة للمواد الكيميائية المستخدمة لتعديل مستوى حموضة المياه في إحدى برك السباحة، ومجموعة من كاميرات مراقبة مخالفات قانون السير في الولايات المتحدة.
ولمعالجة هذه المسألة يتوجب على أي مستخدم لجهاز متصل بشبكة الإنترنت أن يتأكد من تغيير الإعدادات الأساسية لهذا الجهاز (والتي تتضمن اسم المستخدم وكلمة السر) قبل توصيله بشبكة الإنترنت.
وعلى الرغم من أهمية هذه الخطوة فإنها ليست كافية لضمان أمن الجهاز المعني، إذ إن بعض الثغرات الأمنية التي يمكن استغلالها في عمليات الاختراق لا علاقة لها بكلمة السر الأساسية، ولا يمكن معالجتها إلا بعد قيام الشركة المنتجة بإطلاق تحديث لبرمجيات أجهزتها لسد هذه الثغرة ومنع المخترقين من استغلالها.
لذلك يتوجب على المستخدم أن يتجنب منتجات الشركات المغمورة وأن يشتري من شركات ذائعة الصيت تخشى على سمعتها في السوق. ويجب عليه أيضا أن يقوم بتسجيل المنتج الذي اشتراه مع الشركة المصنعة لكي يضمن حصوله على التحذيرات الأمنية التي قد ترسلها الشركة إلى زبائنها عند اكتشافها أي ثغرة في منتجها، وبالتالي لكي يتمكن من تطبيق التحديثات التي أطلقتها الشركة لمعالجة هذه الثغرات.
وفي حال تضمنت التجهيزات ميزة التحديث التلقائي لبرمجياتها، يفضل أن يتم تفعيل هذه الميزة مباشرة عند التركيب. ولعل من المناسب أيضا أن يحاول المستخدم البحث عن تجهيزاته المتصلة بشبكة الإنترنت ضمن محرك البحث "شودان"، فإذا وجدها هناك سيعلم أنها غير آمنة وبأن عليه معالجة ثغراتها الأمنية أو فصلها كليا عن الشبكة، ودرهم وقاية خير من قنطار علاج.
_______
* باحث أكاديمي وخبير في مجال أمن وأنظمة المعلومات