كيف ساهم الفلسطيني خليل شريتح في تغيير سياسة فيسبوك

كيف ساهم الفلسطيني خليل شريتح في تغيير سياسة فيسبوك
0

«عزيزي مارك زوكربيرج، آسف لكسر خصوصيتك، لم يكن لدي خيار آخر بعد إرسالي لعدة تقارير لفيسبوك بثغرة في نظامكم».

في عام 2013 ظهر منشور غير اعتيادي على صفحة مؤسس والمدير التنفيذي لشركة فيسبوك مارك زوكربيرج، كتب المنشور الفلسطيني خليل شريتح.

ويعمل خليل الفلسطيني الجنسية كباحث في مجال الأمن والحماية السيبرانية، وكان قد اكتشف الباحث الفلسطيني ثغرةً في الشبكة الاجتماعية تسمح لأي شخص بالنشر مباشرةً على أي حائط يريده. وبعد أن أبلغ عن الخطأ البرمجي عدة مرات إلى فيس بوك وتجاهلته الشركة تماماً، سلك خليل طريقاً آخر ليظهر الثغرة البرمجية، ويُجبر الفيس بوك على إصلاحها، فقام بقرصنة صفحة مؤسس الشركة، والمالك الأكبر لأسهمها مارك زوكربيرج. أظهرت هذه الإشكالية صعوبة رفع التقارير الأمنية إلى فيسبوك، ومنذ ذاك الحين وضعت الشركة معايير جديدة لـ«مكافأة لمكتشفي الثغرات البرمجية» تساعد الباحثين في رفع تقارير عن الثغرات البرمجية، لتصبح إحدى الشركات الرائدة في هذا المجال.

«مكافأة لمكتشفي الثغرات البرمجية» هو عبارة عن برنامج يدفع لقراصنة القبعات البيضاء جوائز مالية، وعينية للإبلاغ عن أي ثغرة يجدونها في أنظمة الشركة.

وعلى الرغم من التحفظات الكبيرة على ما يدعى «قراصنة القبعات البيضاء» إلّا أنّ هذه أفضل وسيلة لمكافأة الباحثين المستقلين، ومراجعة أبحاثهم والتعامل مع المشاكل التي تواجه النظام بأمان. يتزايد إدراك الشركات أنّ خير وسيلة للدفاع عن أنظمتهم ضد القراصنة هي التفكير مثلهم، أو حتى تعيينهم لحمايتهم، والكثير من الشركات أرسلت دعوات للقراصنة لاختبار أنظمتهم.

«مكافأة مكتشفي الثغرات البرمجية» نظام قديم جداً وليس مستحدثاً وقد يكون بعمر الإنترنت نفسه، ويمكن لنا أن نعود إلى العام 1995 حيث اقترح المهندسون في محرك البحث Netscape تقديم مكافأة لعملاء البرنامج لتشجيعهم على نشر الثغرات علناً، وتوصيات لإصلاح مشاكل المتصفح التي تواجههم.

ولكن فقط في الآونة الأخيرة بدأ عمالقة التكنولوجيا بوضع ملايين الدولارات كميزانية للدفع لقراصنة القبعات البيضاء، وقد تلقى فيسبوك 12،000 ثغرةً من الباحثين في عام 2017، دفع 880،000 $ (640،000 £)، وقد دفعت الشركة إلى الآن ما مجموعه 6.3 $ مليون للقراصنة منذ أن بدأت برنامجها في العام 2011.

متوسط ​​المكافآت ارتفع أيضاً ليصل إلى 9001 دولاراً من 6751 دولاراً. في حين أنّ هذا المبلغ لا يمثل الشيء الكبير للشركة، إلّا أنّه ليس بالقليل للباحثين المستقلين، ومَكّن الشركة من تجنب الأخطاء المحرجة التي قد يغفل عنها فريقهم.

وحتى جوجل وسّعت من برنامج مكافآت الأخطاء الخاص بها بشكل ملحوظ. وتنتهج جوجل وفيسبوك سياسةً منفتحةً على عمل مجتمع القراصنة بشكل غير مماثل في نظائرها من شركات التكنولوجيا، حيث تعلن الشركتان عن أي خطأ أو ثغرة برمجية على الفور.

دفعت جوجل مبلغ 12 مليون دولار كمكافآت للقراصنة منذ عام 2010، منها 2.7 مليون دولار في عام 2017 فقط. وكانت أكبر مكافأة لها في عام 2017 هي 112،500 دولار لشخص وجد ثغرةً في هاتفها الذكي بيكسل بعد أخطاء “سبيكتر أند ملتدون” الأخيرة في رقائِقها. وحتى إنتل أيضاً رفعت سقف مكافأتها إلى 250،000 $.

«لقد استفادت المنظمات التي لديها برامج مكافأة لمكتشفي الثغرات البرمجية. “لكن القضايا الملتبسة لا تزال حول المكافأة نفسها وحول توقيت الإعلان عن الثغرة»
جيروم سيغورا، المحلل الرئيسي في «Malware Bytes»

النظام لا يخلو من عيوبه، كما هو مبين من الاختراق الشخصي لزوكربيرج، وقد انتُقدت العديد من الشركات بسبب مكافآتها الضعيفة مقارنةً بحجم بعض الثغرات البرمجية ومدى خطرها، والبعض الآخر لردودها البطيئة، أو عدم الإجابة إطلاقاً. في إحدى الحالات نشر قراصنة القبعة البيضاء لعبةً وهميةً أسموها «شاهد الطلاء يجف»، في الصفحة الأولى من سوق ألعاب الفيديو « Steam » بعد أن تجاهل فريق الأمن في السوق تحذيرات القراصنة حول إحدى الأخطاء البرمجية.

أمّا آبل أطلقت برنامج المكافآت في عام 2016. ولكن يبدو أنّ الأخطاء البرمجية في أنظمتها ذات الحماية العالية قيمة جداً، وكما العديد من الشركات السرية أو ذات الأنظمة المغلقة، تقدم آبل ما يصل إلى 1.5 $ مليون دولار للثغرات التي على مستوى عال، إلّا أنّ البعض في مجتمع القراصنة قد قال إنّ المدفوعات الخاصة بآبل التي تتراوح ما بين 25،000 $ إلى 200،000 $ للثغرات المتوسطة ببساطة ليست عاليةً بما فيه الكفاية.

واجهت أوبر مشاكل مع قراصنة القبعات البيضاء بعد تسريب على الإنترنت كُشفت فيه تفاصيل 57 مليون عميل. وقد اكتشف الثغرة أحد القراصنة، وحاول مدراء الشركة دفع 100،000 $ لشراء سكوت القرصان وإخفاء الأمر على المساهمين، إلّا أنّ ذلك لم يفلح.

نما مجال المكافآت مقابل الثغرات في السنوات الخمس الأخيرة بوتيرة غير مسبوقة، لدرجة أنّ الكثير من المشاريع الناشئة حديثاً تركز على المكافآت هذه لدعم المشروع بأكمله مثل: شركة « HackerOne»، و« BugCrowd »، وقد حصلوا على عشرات الملايين كتمويلات خارجية لمشاريعهم.

إنّها سوق صغيرة حالياً، ولكن مع بضع من الشركات المبتدئة تتنافس لتسخير مجتمع القراصنة، فإنّه من غير المرجح أن يبقى على هذا النحو، وفقًا لمارتن ميكوس، الرئيس التنفيذي لشركة «HackerOne». يقول ميكوس: «يظل المجالُ صغيراً نسبياً مقارنةً بغيره. ولكن نظراً للفوائد العالية من القرصنة الأخلاقية، من المرجح أن يستمر النمو في السوق، ونحن نعتقد أنّ السبيل الوحيد لوقف القرصنة الإجرامية هو القرصنة الأخلاقية».

هل تظن أنّ المجال هذا قد يساعد في حماية بياناتك؟ وهل تعرف أحد قراصنة القبعة البيضاء العرب؟

0

شاركنا رأيك حول "كيف ساهم الفلسطيني خليل شريتح في تغيير سياسة فيسبوك"