في بداية عام 2018، رأينا بالفعل أكبر قصة للتكنولوجيا في العام. إذ قد حدد الباحثون وجود خلل أمني في المعالجات الحاسوبية التي قام بها ثلاثة من أكبر مصممي الرقائق في العالم، وهم إنتل، وأيه إم دي، وإيه آر إم، وعيب آخر في رقائق إنتل. وهذا يعني تقريبا أن كل هاتف ذكي، وجهاز لوحي، وحاسوب محمول، وحاسوب تجاري في العالم يمكن أن يكون عرضة لسرقة البيانات الحساسة الموجودة عليه بما في ذلك كلمات السر. كما أن الخوادم السحابية التي تخزن مواقع الويب وبيانات الإنترنت الأخرى معرضة للخطر أيضا.

    

إنه واحد من أكبر الثغرات الأمنية السيبرانية التي رأيناها في أي وقت مضى من حيث التأثير المحتمل على نظم الحاسوب الشخصية، والتجارية، بالإضافة إلى أنظمة الحواسيب الأساسية. ويكمن السر في جعل هذا الخطر يبدو أكبر من غيره في أن هذه المشكلة توجد في مثل هذا الجزء الأساسي من الحاسوب، ناهيك بأنه ليس هناك طريقة لمعرفة ما إذا كان الجهاز تم استهدافه أم لا، وما البيانات التي قد تم الوصول إليها بالفعل.

 

وقد تم إنشاء كل من الخلل الرئيسي (سبيكتر)، والخلل الآخر الخاص بإنتل وحدها والمسمى (ميلت داون أو الانهيار) من خلال تقنية تصميم تهدف إلى تعزيز أداء رقائق الحاسوب المعروفة باسم "speculative execution". المشكلة تعني أن المتسللين يستطيعون الوصول إلى أجزاء من ذاكرة الحاسوب التي يجب أن لا يتمكن أحد من الوصول إليها، مما يجعل البيانات الحساسة بما في ذلك كلمات السر والبريد الإلكتروني والوثائق والصور كلها عُرضة للخطر.

     

  

تتمحور معظم الهجمات السيبرانية حول العثور على خلل في برنامج الحاسوب الذي يسمح للقراصنة بالوصول إلى ذاكرة الجهاز أو نظام التشغيل. على سبيل المثال، في عام 2017 في الهجوم الذي عُرف باسم "واناكراي أو أريد أن أبكي" استغلّ المهاجمون العيب الموجود في الإصدارات القديمة من ويندوز. وقد أثر ذلك على نحو 300،000 جهاز حاسوب في 150 بلدا، وكان له أثر مدمر على الشركات والمنظمات بما في ذلك خدمة الصحة الوطنية في المملكة المتحدة (إن إتش إس NHS).

  

لكن خلل سبيكتر وخلل ميلت داون قد يسمحان للقراصنة باجتياز جميع طبقات البرمجيات لمهاجمة قلب جهاز الحاسوب، وهو رقاقة المعالج التي تعمل على أداء الوظائف الأساسية. ولأن التصاميم المستخدمة من قبل جميع شركات صناعة الرقائق الإلكترونية الكبرى متماثلة، فإن كل جهاز حاسوب في العالم تقريبا عُرضة للخطر، من أجهزة آيفون لشركة آبل وأجهزة أندرويد، إلى أجهزة ماك بوك، وأجهزة الحاسوب المكتبية الكبيرة وخوادم الإنترنت.

 

تتم العملية أيضا بصورة أساسية بحيث إنها لا تخلق أي سجل للعمليات، وهذا يعني أنه لا يوجد سجل ما إذا كان قد تم اختراق رقاقة معينة أم لا، مما يجعل من الصعب اكتشاف الهجمات السيبرانية في مرحلة مبكرة من أجل منع حدوثها مرة أخرى، أو التحقق من البيانات التي من المرجح أنه قد تم الوصول إليها أو سرقتها.

  

ولحسن الحظ، بدأت شركات التكنولوجيا بالفعل بإطلاق برامج صغيرة للتصحيح (باتش) والتي يقولون إنها سوف تحل المشاكل دون تأثير كبير على الأداء. ولكن البعض قد ادعى أن أي إصلاح يمكن أن يبطئ من سرعة معالج الحاسوب بشكل كبير. وسيكون علينا أن ننتظر لنرى الأثر على المدى الطويل.

    

    

تثير القصة أيضا مسألة مهمة تتعلق بمسؤولية الإفصاح عن تلك العيوب الأمنية الخطيرة. وتقول التقارير إن العاملين بهذه الصناعة قد اكتشفوا المشكلة منذ أشهر بالفعل ولكنهم لم يكشفوا سوى عن تفاصيل محدودة حتى الآن. هل يمكن القول بأن المستهلكين لديهم الحق في معرفة مثل هذه العيوب بمجرد اكتشافها حتى يتمكنوا من محاولة حماية البيانات الخاصة بهم. وبطبيعة الحال، فإن مسألة الكشف عن تلك المشكلة وهذه العيوب يمكن أن تقود في نهاية المطاف إلى مزيد من الهجمات السيبرانية من خلال إعلام القراصنة بهذا الخلل.

  

أجبرت هذه المناقشة شركات التكنولوجيا في الماضي على استخدام القانون لمنع الباحثين من الكشف عن المشاكل الأمنية. على سبيل المثال، واجه علماء من جامعة برمنغهام حكما قضائيا من خلال القضية التي رفعتها الشركة المصنعة للسيارات فولكس فاجن يأمرهم بالتوقف عن نشر تفاصيل العيوب في أنظمة دخول السيارات بدون مفتاح.

      

   

والطريق المفضل هو "الكشف المسؤول". عندما يكتشف الباحثون مشكلة، يخبرون عددا صغيرا من الأشخاص ذوي الصلة الذين يمكنهم بعد ذلك العمل على إيجاد حل لتلك المشكلة. ويمكن للشركة المصنعة بعد ذلك أن تكشف عن المشكلة للجمهور بمجرد أن يكون الحلّ جاهزا، مما يقلل من احتمال القرصنة والأضرار التي يمكن أن تلحق بسعر أسهم الشركة.

  

في هذه الحالة، يبدو أن الباحث في جوجل الذي وجد هذه العيوب قد نبه شركة إنتل في شهر يونيو/حزيران من عام 2017، وكانت الشركتان تخططان للإعلان عن طريقة لإصلاح هذا الخلل. ولكن تفاصيل هذا الخلل تم نشرها من قبل موقع التكنولوجيا على شبكة الإنترنت المعروف باسم "ذا ريجستر" (The Register)، مما اضطر الشركات للكشف عن ما كانوا يعرفون في وقت سابق من الميعاد المخطط له، مما ضرب سعر أسهم إنتل أيضا. وفي حين أن هذا النوع من الكشف يقوض عملية الكشف المسؤول، فإن الحجة المضادة المستخدمة عادة هي أنه يجبر الشركات المصنعة على إصلاح المشكلة بشكل أسرع.

   

——————-

ترجمة (فريق الترجمة)

هذا التقرير مترجم عن: The Conversation ولا يعبر بالضرورة عن موقع ميدان