ليس الأمر كله كئيبًا وكئيبًا: عندما أعطانا الأمن السيبراني الأمل في عام 2023

تكلنوجيا

ليس الأمر كله كئيبًا وكئيبًا: عندما أعطانا الأمن السيبراني الأمل في عام 2023


مضحك – لكن الحقيقة – نكتة TechCrunch هي أن مكتب الأمن قد يُطلق عليه أيضًا اسم قسم الأخبار السيئة، لأنه، حسنًا، هل رأيت ما قمنا بتغطيته مؤخرًا؟ هناك إمداد لا ينتهي من الخروقات المدمرة والمراقبة المنتشرة والشركات الناشئة المراوغة التي تضرب الخطورة الصريحة.

في بعض الأحيان – وإن كان نادرًا – هناك بصيص من الأمل نرغب في مشاركته. لأسباب ليس أقلها أن القيام بالشيء الصحيح، حتى (وخاصة) في مواجهة الشدائد، يساعد في جعل عالم الإنترنت أكثر أمانا إلى حد ما.

شكرت بنغلاديش باحثًا أمنيًا لاكتشاف تسرب بيانات المواطنين

عندما اكتشف أحد الباحثين الأمنيين أن موقعًا إلكترونيًا تابعًا للحكومة البنغلاديشية كان يسرب المعلومات الشخصية لمواطنيها، كان من الواضح أن هناك شيئًا خاطئًا. عثر فيكتور ماركوبولوس على البيانات المكشوفة بفضل نتيجة بحث جوجل المخزنة مؤقتًا عن غير قصد، والتي كشفت عن أسماء المواطنين والعناوين وأرقام الهواتف وأرقام الهوية الوطنية من موقع الويب المتأثر. تحقق موقع TechCrunch من أن موقع الحكومة البنغلاديشية كان يسرب البيانات، ولكن الجهود المبذولة لتنبيه الإدارة الحكومية قوبلت في البداية بالصمت. وكانت البيانات حساسة للغاية، ولم يتمكن موقع TechCrunch من تحديد الإدارة الحكومية التي قامت بتسريب البيانات، لأن هذا قد يكشف البيانات بشكل أكبر.

وذلك عندما اتصل فريق الاستجابة لحوادث الكمبيوتر في البلاد، والمعروف أيضًا باسم CIRT، و أكد أنه تم إصلاح قاعدة البيانات المتسربة. وكانت البيانات تتدفق من مكتب تسجيل المواليد والوفيات والزواج في البلاد. وأكد فريق CIRT في إشعار عام أنه قام بحل مشكلة تسرب البيانات وأنها “لم تترك أي حجر دون أن تقلبه” لفهم كيفية حدوث التسرب. نادرًا ما تتعامل الحكومات مع فضائحها بشكل جيد، لكن رسالة بريد إلكتروني من الحكومة إلى الباحثين تشكرهم فيها على اكتشافهم الخلل والإبلاغ عنه تظهر رغبة الحكومة في المشاركة في مجال الأمن السيبراني بينما لا تفعل ذلك العديد من البلدان الأخرى.

أبل تلقي بالوعة المطبخ على مشكلة برامج التجسس الخاصة بها

لقد مضى أكثر من عقد من الزمان منذ ذلك الحين أسقطت شركة أبل ادعاءها السيئ السمعة الآن أن أجهزة Mac لا تصاب بفيروسات الكمبيوتر الشخصي (وهذا صحيح من الناحية الفنية، إلا أن هذه الكلمات ابتليت بها الشركة لسنوات). في هذه الأيام، التهديد الأكثر إلحاحا لأجهزة أبل هو برامج التجسس التجارية، التي طورتها شركات خاصة وبيعها للحكومات، والتي يمكن أن تحدث ثغرة في الدفاعات الأمنية لهواتفنا وتسرق بياناتنا. يتطلب الاعتراف بوجود مشكلة شجاعة، لكن شركة Apple فعلت ذلك بالضبط طرح إصلاحات الاستجابة الأمنية السريعة لإصلاح الأخطاء الأمنية التي يستغلها صانعو برامج التجسس بشكل نشط.

طرحت شركة Apple أول “إصلاح عاجل” للطوارئ في وقت سابق من هذا العام لأجهزة iPhone وiPad وMac. كانت الفكرة هي طرح تصحيحات مهمة يمكن تثبيتها دون الاضطرار دائمًا إلى إعادة تشغيل الجهاز (يمكن القول إنها نقطة الألم بالنسبة لأصحاب التفكير الأمني). لدى Apple أيضًا إعداد يسمى Lockdown Mode، والذي يحد من ميزات معينة في جهاز Apple والتي يتم استهدافها عادةً بواسطة برامج التجسس. تقول أبل ليس على علم بأي شخص يستخدم وضع التأمين والذي تم اختراقه لاحقًا. في الحقيقة، يقول باحثو الأمن أن وضع Lockdown Mode قد منع بشكل فعال الاختراقات المستهدفة المستمرة.

ولم تفعل حكومة تايوان ذلك رمش قبل التدخل بعد تسرب بيانات الشركة

عندما أخبر أحد الباحثين الأمنيين موقع TechCrunch أن خدمة مشاركة الرحلات التي تسمى iRent – التي تديرها شركة السيارات التايوانية العملاقة Hotai Motors – كانت تقوم بنقل بيانات العملاء المحدثة في الوقت الفعلي إلى الإنترنت، بدا الأمر وكأنه حل بسيط. ولكن بعد أسبوع من مراسلة الشركة عبر البريد الإلكتروني لحل تسرب البيانات المستمر – والذي تضمن أسماء العملاء وأرقام الهواتف المحمولة وعناوين البريد الإلكتروني وفحص تراخيص العملاء – لم تسمع TechCrunch أي رد. لم يكن حتى اتصلنا بالحكومة التايوانية للمساعدة في الكشف عن الحادث أننا حصلنا على رد في الحال.

وفي غضون ساعة من الاتصال بالحكومة، أخبرت وزيرة الشؤون الرقمية التايوانية أودري تانغ موقع TechCrunch عبر البريد الإلكتروني أنه تم وضع علامة على قاعدة البيانات المكشوفة مع فريق الاستجابة لحوادث الكمبيوتر التايوانية، TWCERT، وتم سحبها دون اتصال بالإنترنت. وكانت السرعة التي استجابت بها الحكومة التايوانية سريعة بشكل مذهل، لكن ذلك لم يكن نهاية الأمر. تايوان بعد ذلك، فرضت غرامة على شركة Hotai Motors لفشلها في حماية البيانات لأكثر من 400 ألف عميل، وأمرت بتحسين الأمن السيبراني. وفي أعقاب ذلك، قال نائب رئيس الوزراء التايواني تشينغ وين تسان إن الغرامة البالغة حوالي 6600 دولار كانت “خفيفة للغاية” واقترح تغييرًا في القانون من شأنه أن يزيد غرامات خرق البيانات بمقدار عشرة أضعاف.

أثارت أنظمة السجلات القضائية المتسربة في الولايات المتحدة النوع الصحيح من الإنذار

يقع نظام سجلات المحكمة في قلب أي نظام قضائي، وهو مجموعة التكنولوجيا المستخدمة لتقديم وتخزين المستندات القانونية الحساسة لقضايا المحكمة. غالبًا ما تكون هذه الأنظمة متاحة على الإنترنت وقابلة للبحث، مع تقييد الوصول إلى الملفات التي يمكن أن تعرض الإجراءات الجارية للخطر. ولكن عندما وجد الباحث الأمني ​​جيسون باركر تحتوي العديد من أنظمة سجلات المحكمة على أخطاء بسيطة للغاية يمكن استغلالها باستخدام متصفح الويب فقطعرف باركر أنه يتعين عليهم التأكد من إصلاح هذه الأخطاء.

اكتشف باركر وكشف عن ثماني نقاط ضعف أمنية في أنظمة سجلات المحكمة المستخدمة في خمس ولايات أمريكية – وكان ذلك مجرد في الكشف عن الدفعة الأولى. وقد تم إصلاح بعض العيوب وبعضها لا يزال قائما، وكانت ردود الدول متباينة. اتخذت مقاطعة لي في فلوريدا موقفًا صارمًا (وامتلاكًا لذاتها) بتهديد الباحث الأمني ​​بقوانين مكافحة القرصنة في فلوريدا. لكن هذه الإفصاحات أرسلت أيضًا النوع الصحيح من الإنذار. ورأى العديد من مسؤولي تكنولوجيا المعلومات والمسؤولين المسؤولين عن أنظمة سجلات المحكمة في جميع أنحاء الولايات المتحدة أن هذا الكشف يمثل فرصة لتفقد أنظمة سجلات المحكمة الخاصة بهم بحثًا عن نقاط الضعف. إن التكنولوجيا الحكومية معطلة (وهي تعاني من نقص شديد في الخدمات)، ولكن لديها باحثون مثل باركر العثور على العيوب التي يجب تصحيحها والكشف عنها يجعل الإنترنت أكثر أمانًا – والنظام القضائي أكثر عدالة – للجميع.

لقد أوقفت Google أوامر السياج الجغرافي، حتى لو كان ذلك متأخرًا أفضل من ألا يأتي أبدًا

لقد كان جشع Google مدفوعًا بالإعلانات والنمو الدائم هو الذي مهد الطريق لأوامر السياج الجغرافي. وتسمح ما يسمى بمذكرات التفتيش “العكسية” للشرطة والوكالات الحكومية بالتعمق في مخازن جوجل الضخمة لبيانات موقع المستخدمين لمعرفة ما إذا كان أي شخص موجودًا في المنطقة المجاورة وقت ارتكاب الجريمة. لكن ال وقد تم التشكيك في دستورية (ودقة) هذه الأوامر العكسية وقد دعا النقاد جوجل إلى وضع حد لممارسة المراقبة التي أنشأتها إلى حد كبير في البداية. وبعد ذلك، قبل موسم العطلات مباشرة، جاءت هدية الخصوصية: قالت جوجل إنها ستبدأ في تخزين بيانات الموقع على أجهزة المستخدمين وليس بشكل مركزي وفعال. إنهاء قدرة الشرطة على الحصول على الموقع في الوقت الحقيقي من خوادمها.

إن هذا التحرك الذي اتخذته جوجل ليس حلاً سحريًا، ولا يزيل سنوات من الضرر (أو يمنع الشرطة من مداهمة البيانات التاريخية المخزنة بواسطة جوجل). ولكنه قد يدفع الشركات الأخرى الخاضعة أيضًا لهذه الأنواع من أوامر البحث العكسي – مرحبًا Microsoft وSnap وUber وYahoo (الشركة الأم لـ TechCrunch) – إلى أن تحذو حذوها وتتوقف عن تخزين بيانات المستخدمين الحساسة بطريقة تجعلها في متناول الحكومة. حفز.



Source link

Back To Top