أمن المعلومات .. القضية الخاسرة

سأحدثكم اليوم عن امر بعيد قليلا عن السياسة وفي صميم تخصصي الاصلي علوم الحاسب الآلي .. الا وهو امن المعلومات .. وسأبدأ حديثي بمصارحتكم بالسر الذي يعرفه كل متخصصي تقنية المعلومات ويخفونه عنكم .. بياناتكم في خطر ياسادة .. نحن نعيش في غابة مخيفة بدون اي امن حقيقي .. فطرق واساليب حماية الانظمة الالكترونية فيها عيوب بنيوية تجعل اساسها منخورا وبناءها مهدد بالانهيار في اي لحظة .. وهذا الوضع ليس بجديد .. بل كان دوما هكذا .. انتم فقط لاتعلمون ذلك .. وربما لم تكونوا تهتمون لان اعتمادنا على الانترنت ازداد بمعدلات كبيرة جدا خلال السنوات القليلة الماضية فقط.

سأشرح القصة باستخدام طريقتي المفضلة .. التشبيه .. عندما تبني بيتا .. وتريد تأمينة .. ماذا تفعل ؟؟ تبدأ اولا بشراء افضل الاقفال للابواب والنوافذ .. ثم تتعاقد مع فنيين مؤهلين لتركيبها بطريقة جيدة وصحيحة .. واخيرا تتمسك بمفاتيحك جيدا حتى لايصل اليها او ينسخها اي عابث او متلصص.

لكن الحقيقة ان اقفالك معيوبة .. ولم تركب بطريقة جيدة .. ومفتاحك الاحتياطي موضوع تحت صخرة مريبة المنظر بجانب بابك الامامي .. هناك احصائيات سنوية لاستطلاعات تجريها جهات متخصصه تثبت ان الثقة ضعيفة داخل المنظمات في قدرة محترفيها على تنصيب واعداد الحلول الامنية (خصوصا الجدران النارية firewalls) بطريقة صحيحة .. وهذا يثبت ان القفل غير مركب بشكل سليم.

اما المفتاح الاحتياطي فيكفي اجراء بحث صغير في الانترنت حول الممارسات الامنية الافضل لترى انك انت اولا .. وبالتالي الاغلبية معك .. تضعون مفاتيحكم دائما تحت الصخرة المريبة امام الباب .. بل ربما تلقونها بكل اهمال ظاهرة للعيان.

لكن هذه الجزئيات ليست ما اريد شرحه فعلا في هذا المقال .. ما اريد الحديث عنه هو القفل نفسه .. وكيف انه ملئ بالعيوب التصنيعية في كل مكوناته واجزاءة .. كيف ولماذا حدث ذلك؟

السبب راجع للطريقة التي تم ويتم بها تطوير برامج الكمبيوتر .. هل توقفت عزيزي القارئ في يوم من الايام وسألت نفسك .. كم يصدر من برنامج يوميا ؟؟ كم حجم هذه البرامج ؟؟ العدد مهول جدا .. والسؤال هو كيف يحدث ذلك ؟؟

اذا اخذنا مثال البيت نفسه بطريقة اخرى لنشرح كيف تبنى البرامج سيصبح من الاسهل ان نعرف سبب هذه الثورة .. ونتائجها .. عندما تريد بناء بيت فانت تقوم اولا ببناء الاساس .. ثم تصب العظم .. ثم تبدأ ببناء الجدران .. تنفيذ تمديدات الكهرباء والسباكة .. التشطيب .. الخ.

انت لا تخترع شيئا جديدا عند بناء البيت .. تستخدم المعرفة المتراكمة .. نفس الامر ينطبق على غالبية اجزاء عملية تصنيع سيارة او تلفزيون او اي شئ آخر.

لكن الوضع مع برامج الحاسب الآلي مختلف قليلا .. عندما يقوم المطور ببناء برنامجه فهو لا يكتفي باستخدام المعرفة المتراكمه .. بل يستخدم قطع البناء نفسها مرارا وتكرارا .. يتم ذلك باستخدام اساليب الاستيراد important والنسخ واللصق copy and paste.

لنفرض اني اريد ان ابني بيت تكون احد غرفة ذات سقف زجاجي .. ولكن باستخدام تقنيات تطوير البرامج .. سأقوم بنسخ ولصق القواعد .. وتحميل مكتبة عظم جاهزة استوردها مضيفا فقط ابعاد وعدد الغرف والممرات .. سأنفذ نفس الامر مع كل شئ في البيت .. ماعدا سقف الغرفة الزجاجي.

انا فعليا اعدت استخدام جهود من سبقوني في كل اجزاء المنزل لم انفذ اي شئ بيدي تقريبا .. ماعدا السقف الزجاجي الذي صممته ونفذته .. ولو جاء شخص بعدي واراد بناء منزل كل سقفه بالكامل زجاجي فهو لن يفعل اي شئ عدا اعادة لصق او استيراد سقفي الزجاجي لكل غرفه.

هذه الطريقة فعالة جدا في البناء .. انا ورثت كامل جهود من سبقوني بدون ان اكلفهم في الحقيقة اي شئ .. ومن يأتي بعدي سيرث جهدي .. لذلك تتوالد وتكبر البرامج بسرعة صاروخية كل يوم ولذلك تصبح الكثير من المهمات المستحيلة او المعقده اليوم روتينية موجوده في كل مكان غدا .. هذا هو سر ثورة البرامج .. امر رائع جدا يجعل الحياة اسهل كثيرا.

لكن .. مثل كل شئ جميل في الحياة .. يوجد له جوانب مظلمة .. الحقيقه انني عندما لصقت او استوردت عمل المبرمج الذي سبقني .. ورثت كل اخطاءه كما ورثت عملة .. واصبحت اخطاؤه هو عيوب فيما بنيته انا.

لكن ذلك قد يكون ثمنا بسيطا للثورة المهولة التي نعيشها اليوم .. خصوصا اذا كانت النتيجة الاخطر انهيار المتصفح الذي تقرأ بواسطته مقالي هذا وبالتالي اضطرارك لاعادة فتح الصفحة من جديد والبحث عن اين وصلت .. او حتى لو كان الثمن ضياع جهد بضعة ساعات من العمل .. لكن الحقيقه ان انظمة امن المعلومات تبنى بنفس الطريقة .. وترث نفس الاخطاء .. كثير من هذه الاخطاء موجود في انظمة تشغيلها نفسها .. فمابالك ببرامجها التي .. في كثير من الحالات .. تسلق سلقا .. النتيجة ان اقفال ابوابك ونوافذك تصبح معيوبه.

كمية الاخطاء bugs والثغرات الموجوده في الحلول الامنية نفسها مخيفة جدا .. كثير من هذه الانظمة تباع والبائع والمشتري يعلمون بذلك .. لكن لا احد يستطيع ان يفعل شيئا .. وربما لا احد يهتم.(١)

السبب الرئيسي في ذلك يعود في اعتقادي الشخصي الى المسؤولية القانونية .. عندما تشتري سيارة فيها عيب تصنيعي فان المصنع يتحمل كلفة الاصلاح فورا .. ولو نتجت خسائر مادية او لاسمح الله بشرية عن هذه الاخطاء يدفع تعويضات كبيرة قد تبلغ حد التجريم الجنائي .. يحدث هذا في الدول المتقدمه على الاقل .. ونفس الامر يشمل جميع المنتجات الاخرى.

لكن البرامج مهما كان نوعها ومجال استخدامها تباع بدون اي ضمانات .. ولايوجد اي مسؤولية قانونية على شركات انتاج البرامج مهما كان حجم الاخطاء والعيوب الموجودة فيها ومهما كانت نتائج هذه العيوب .. حتى في الدول المتقدمه!

قد تظن ان سمعة الشركة ثمن قاسي في بعض الاحيان .. لكنك ساذج ان صدقت ذلك .. ارتكاب مايكروسوفت لخطأ جعل من الممكن فتح عشرات الآلاف من صناديق بريد الهوتميل بدون حتى كلمة مرور لم يدمر سمعة مايكروسوفت .. ولم يوقف نمو الهوتميل .. ولم يستدع من الشركة حتى اعتذار من نصف سطر .. هل تعتقد ان اختراق نصف مليار حساب في ياهوو كافي لافلاس الشركة؟؟ الحقيقه انه لم يوقف حتى مشاورات الاستحواذ عليها .. والامر نفسه ينطبق على جميع الشركات الكبرى بلا استثناء .. فمابالك بالشركات الصغيرة.

هل تشائمت عزيزي القارئ ؟؟ ام احسست بالرعب ؟؟ هذا طبيعي .. وهذا هو الاحساس الذي كان يجب ان يحس به كل شخص منذ سنوات طويلة .. ربما لو حدث ذلك مبكرا لبنيت القوانين بطريقة مختلفه تحمل شركات انتاج البرامج مسؤولية قانونية حقيقية عن افعالهم .. وربما عبثهم في بعض الاحيان.

لكن الضوء موجود في آخر النفق .. وربما ننجو قبل ان يتم سرقة كل شئ منا  .. وتيرة الحرب الالكترونية تصاعدت في الاعوام الاخيرة .. وبدأت حمى سعيرها تظهر على السطح حتى بلغت ذروتها اثناء الانتخابات الامريكية الماضية .. الروس يهاجمون .. الامريكان يهددون .. واحيانا يسربون انهم يعملون على او استطاعوا فعلا الوصول لطرق لتعطيل انظمة عسكرية عتيدة كالانظمة الروسية او الكورية الشمالية.

الامر اصبح سلاحا دوليا للحرب اليوم .. لذلك لن تسمح القوى العظمى للامر ان يستمر بنفس الطريقة .. فهو قد اصبح مسألة امن وطني .. ان يحدث مامعدله ١٠٠ اختراق ناجح يوميا لانظمة وزارة الدفاع الامريكية خلال عام ٢٠١٥ امر لايمكن السكوت عنه او النظر له باستخفاف مهما هونت الاجهزة الرسمية من اخطاره.(٢)

وكما هي العادة مع كل الانظمة التي تبدأ عسكرية .. ستتحول اساليب البناء الجديدة لانظمة امن المعلومات في القريب العاجل الى استخدام القطاع الخاص والافراد .. عشرات الانظمة التي نستخدمها اليوم بدون تفكير هي في اصلها انظمة عسكرية مثل الانترنت وال GPS وغيرها .. لذا يحق لنا ان نتفائل قليلا بالمستقبل .. علنا نستطيع النوم بعد ان عرفنا الى حد نحن فعليا مكشوفين.

احمد الحنطي
هيوستن .. تكساس
٤ ابريل ٢٠١٧

المصادر

1 – Schneier, Bruce. Secrets and Lies. n.d.
2 – DoD. memorandum. Sep 2015. <https://www.defense.gov/Portals/1/Documents/pubs/OSD011517-15-RES-Final.pdf>.