"تكتيكات بسيطة بشكل مدهش": كيف تم اختراق مايكروسوفت وأبل

الصفحة الرئيسية

 

باحث في أمن المعلومات اخترق الأنظمة الداخلية لشركة Microsoft و Apple و Tesla




تمكن المخترق "الأبيض" أليكس بيرسان من الوصول إلى أنظمة الكمبيوتر لحوالي 30 شركة ، بما في ذلك Apple و Microsoft و PayPal و Tesla و Netflix وعدة شركات أخرى. كيف تمكن الباحث من تنفيذ هجومه وماذا ستكون عواقبه إذا كان مكانه مجرم إنترنت حقيقي



على مدار الشهرين الماضيين ، تمكن المخترق "الأبيض" ، أو الأخلاقي ، أليكس بيرسان ، من اقتحام عشرات الشركات الكبيرة. أعلن ذلك الباحث في أمن المعلومات في مدونته على المنصة Medium.


وكان "ضحايا" بيرسان هم Apple و Microsoft و PayPal و Tesla و Yelp و Uber وغيرها من العلامات التجارية في وادي السيليكون. أطلق الهاكر على هجومه "Dependency Confusion".



لاحظ بيرسان أن العديد من شركات التكنولوجيا تستخدم مستودعات مفتوحة المصدر مثل PyPI و npm و RubyGems.

 ثم قام بتحميل حزمة بها بعض البرامج ، وتزوير أسمائها بحيث تتزامن مع اسم البرنامج المستخدم من قبل عمالقة تكنولوجيا المعلومات. في الوقت نفسه ، أشار إلى إصدار "أحدث" من البرنامج حتى يقرر النظام إصدار تحديث وتنزيله تلقائيًا. هذا ممكن بسبب الارتباك في تبعية ملفات المستودع.

لا يتطلب هذا الهجوم استخدام أساليب الهندسة الاجتماعية أو تدخل المهاجم ، باستثناء لحظة تنزيل برنامج مزيف. إذا تم استغلال هذه الثغرة الأمنية من قبل مجرم حقيقي ، فيمكنه تنزيل الفيروس في الأنظمة الداخلية لعشرات الشركات في نفس الوقت ، ثم استخدام البرامج الضارة لأغراضه الخاصة. وصف موقع Business Insider هذا الأمر بأنه "تكتيك بسيط بشكل مدهش".

بعد أن أبلغ بيرسان الشركات التي اخترقها عن نقاط الضعف التي اكتشفها ، تلقى ما مجموعه 130 ألف دولار من خلال برنامج باغ باونتي. في الوقت الحالي ، تم إصلاح جميع الثغرات الأمنية.

قال مارتن كرون ، كبير الباحثين الأمنيين في Avast ،  إن عواقب هذا الهجوم ، إذا نفذها مجرم ، يمكن أن تكون خطيرة للغاية ، لأن الشركة المتضررة تستورد بشكل أساسي إلى نظامها الشفرة المارقة من مستودع يسيطر عليه المهاجم.

وبحسب كرون ، فإن مشكلة "Dependency Confusion" يمكن أن تؤدي إلى هجوم على سلسلة التوريد أو سرقة البيانات ، وبالتالي فهي خطيرة للغاية.


ويدعم ذلك حقيقة أن معظم الشركات المتضررة دفعت أقصى مدفوعات لبيرسان عن الأخطاء التي تم تحديدها.


"هذا الاستغلال ، أو بالأحرى خطأ ، من السهل جدًا إساءة استخدامه ، كما أثبت الباحث المذكور. الشرط الوحيد هو معرفة أسماء التجميع التي تستخدمها الشركة المستهدفة. يمكن العثور على هذا بسهولة إلى حد ما باستخدام المعلومات المتاحة للجمهور أو عن طريق تغيير المنتج نفسه. الباقي بسيط حقًا ، نظرًا لأن العديد من هذه المستودعات العامة لا تجري أي فحوصات أمنية: يمكن لأي شخص ببساطة إرسال بناء جديد والتحقق منه ".

في وقت سابق ، أصبح معروفًا أنه تم اكتشاف ثلاث ثغرات أمنية في متصفح Google Chrome الشهير في وقت واحد ، ويمكن لمجرمي الإنترنت استخدام كل منها لمهاجمة المستخدمين.






google-playkhamsatmostaqltradent