للكاتبة هديل كرنيب صحيفة النهار
في وقت تكثر فيه الثُغر الأمنية في المواقع الإلكترونية ومواقع التواصل الاجتماعي وفي التطبيقات والبرامج على حد سواء، هناك دائماً المتصيدون الذين هم في المرصاد لاكتشاف هذه الثغر والتحذير منها والعمل على حلّها.
ويُعرف صائدو الثغر بأنهم الأشخاص الذين يبحثون عن الثُغر الأمنية لاختراق الشركات بطريقة أخلاقية بعد سماح الشركات لهم بذلك رسمياً، وذلك بهدف الكشف عن نقاط الضعف الأمنية تمهيداً لمعالجتها.
في المقابل، تُكافئ الشركات صائدي الثغرات بمكافآت مادية ومعنوية، ويُعرف هذا المبدأ باسم “الاختراق الأخلاقي – Ethical Hacking”، وفي حال سمحت له الشركات بذلك، ينشر الباحث الأمني تقريراً تقنياً للعلن يشرح فيه كيفية إيجاده للثغر وكيفية تمكّنه من اختراق الموقع أو الخدمة التابعة للشركة، وذلك بعد قيام الشركة بمعالجة الثغر طبعاً.
انطلقت في #لبنان أخيراً منصة Bugreader وهي اول منصة مِهنية واجتماعية خاصة بالباحثين الأمنيين، وصائدي الثغر والمُتخصصين في مجال الأمن الإلكتروني في العالم.
يقول مدير شركة Simicolon Programming and Security فياض عطوي، التي أسست منصة Bugreader، لـ “النهار” إن منصّة Bugreader هي الأولى من نوعها عالمياً، حيث لا وجود لمنصّة تُقدّم هذه الخدمات ولا وجود لمنصّة تشكّل مجتمعاً افتراضياً كاملاً للباحثين الأمنيين. “هناك بعض المواقع التي تُقدّم خاصية نشر التقارير فقط، لكن حتّى على هذا الصعيد تميّز Bugreader بنظام التبليغ المتقدّم Advanced Reporting System الذي يقدّم نموذجاً مفصّلاً لكتابة التقرير بصيغة علمية: نوع الثغرة، أخطارها، خطوات استغلالها بالتفصيل، الصور ومقاطع الفيديو التي توضح كيفية الاستغلال، خط زمني يُبيّن تعامل الشركة مع الباحث والرسائل المتبادلة بينهما حول الثغرة”.
وبحسب عطوي، فالفكرة بدأت في العام 2017 بعد ملاحظتهم صعوبة إيجاد التقارير الأمنية والاطلاع عليها، وعدم وجود منصّة خاصة تجمع كل التقارير التي ينشرها الباحثون يومياً، حيث كان الباحثون ينشرون تقاريرهم في أماكن مختلفة لتصل إلى أكبر قدر ممكن من الباحثين الآخرين المهتمين كالمدوّنات الشخصية، او مجموعات فايسبوك. ويحتاج الباحثون الأمنيون إلى الاطلاع على هذه التقارير من أجل اكتساب المزيد من الخبرات، حيث لكل باحث أمني طريقة تفكير خاصة وطريقة تنفيذ خاصة، بمعنى آخر: يُمكن إيجاد الثغرة الأمنية الواحدة بعدّة طرق مختلفة، وكذلك استغلالها.
ويتابع عطوي، “من هنا بدأنا العمل على تأسيس منصة هدفها جمع كل التقارير في مكان واحد لتسهيل الوصول اليها وإيصالها إلى أكبر عدد ممكن من المهتمين، وتالياً إيجاد مجتمع رقمي خاص بالباحثين الأمنيين، يعرضون فيه تقاريرهم وإنجازاتهم”.
تأسيس المنصة تطلب السنتين حيث خصّصت الشركة سنة كاملة للتخطيط وجمع المتطلبات واستشارة الباحثين الأمنيين العاملين مع كبرى الشركات العالمية لدراسة ما يحتاجه الباحث الأمني، وخُصصت سنة أخرى للتنفيذ التقني والاختبار، وأطلقت المنصة على عدة مراحل:
- نسخة Beta: وجّهت للباحثين الأمنيين المشتركين في تطوير المنصّة.
- نسخة Alpha: وجّهت لعدد محدد من الباحثين الأمنيين غير المشتركين في تطوير المنصّة.
- النسخة الرسمية التي أعلن عنها في شهر أيّار 2019 والتي وجّهت لجميع الباحثين.
كيفية عمل المنصة
يتألّف فريق Bugreader من باحثين أمنيين محترفين من 5 دول عربية وأجنبية، وبإمكان أي باحث راغب بالإنضمام الى فريق العمل. وتعمل المنصة على الشكل الآتي:
- يقوم الباحث الأمني بالاشتراك ونشر تقريره.
- يقوم فريق Bugreader بالتحقق من صحّة ما ورد في التقرير بعدّة طرق، منها مراجعة التقرير علمياً أو التواصل مع الباحث الأمني أو التواصل مع الشركة المذكورة في التقرير.
- بعد التأكّد من صحته، يُصبح التقرير متاحاً لجميع المشتركين في المنصّة. وبإمكان الباحث الأمني نشر تقارير عن جميع الثغر الأمنية التي يكتشفها بغض النظر عن نوعها أو مستوى خطورتها.
أما الخدمات التي تقدمها المنصة فهي الى جانب نشر التقرير الأمني وإيصاله إلى كل الباحثين الأمنيين المشتركين في المنصّة:
- توليد نوعين من الروابط للتقرير (بحسب ما يريده الباحث الأمني): الروابط العامة Public Link التي تُنشر للعلن خارج المنصّة، والروابط الخاصة Private Link التي تُرسل للشركات العالمية من أجل التبليغ عن الثغر فيها.
- نظام البحث العميق Deep search الذي يسمح للباحث بالوصول إلى التقارير الأمنية والثغر ذات الخصائص المحدّدة.
- متابعة الباحثين لبعضهم البعض داخل المنصّة.
- عرض الباحث الأمني لخبراته وإنجازاته ووسائل التواصل معه.
- تحويل التقرير إلى PDF ذات طابع علمي.
- توليد سيرة ذاتية مُحترفة للباحث الأمني، بناءً على إنجازاته وتقاريره الأمنية التي تم التأكد من صحّتها.
تجدر الإشارة هنا إلى ان الإشتراك في المنصّة مجّاني بالكامل، وكذلك الاستفادة من خدماتها. والمنصة ليست موجّهة فقط للباحثين الأمنيين، بل لكل المهتمين بهذا المجال أوالراغبين بالدخول حديثاً إلى عالم الأمن الإلكتروني.
ماذا عن التحديات التي تواجهها Bugreader!
بحسب عطوي، فالتحدي الوحيد الذي تواجهه المنصّة هو استمرارية التطوير والتحديث لتقديم كل ما هو مفيد للباحث الأمني، لهذا تولي إدارة شركة Semicolon أولوية قصوى لمنصّة Bugreader من خلال توفير التمويل الكافي للتشغيل والتطوير والتحديث والاستشارة والتسويق، والذي يُشجّعهم على ذلك ردّة فعل الباحثين الأمنيين الذين رحّبوا بالمنصّة منذ انطلاقها وسارعوا إلى الاشتراك ونشر تقاريرهم بكثافة كانت غير متوقّعة.
أما الطموح فهو تحويل Bugreader إلى المرجع الأكبر والأغنى للباحثين الأمنيين، وتعزيز عالم الأمن الإلكتروني والاختراق الأخلاقي، وتشجيع البحث العلمي المتخصّص في هذا المجال.
