ويتعين على الحكومات أن تجعل شركات البرمجيات مسؤولة عن تطوير رموز حاسوبية غير آمنة. هكذا تقول كاتي موسوريس، هاكر القبعة البيضاء وخبير الأمان الذي أقنع Microsoft والبنتاغون لأول مرة بتقديم مكافآت مالية للباحثين الأمنيين الذين اكتشفوا ثغرات أمنية خطيرة وأبلغوا عنها.
ومنذ ذلك الحين، انتشرت مخططات مكافأة الأخطاء وأصبحت الآن هي القاعدة بالنسبة لشركات البرمجيات، مع بعضها، مثل تفاحة، حيث تقدم جوائز بقيمة 2 مليون دولار أو أكثر لأولئك الذين يجدون ثغرات أمنية حرجة.
يشبه موسوريس ثغرة أمنية البحث عن العمل لدى أوبر، فقط بأجور أقل وأمان وظيفي أقل. المشكلة هي أن الأشخاص لا يحصلون على أموال إلا إذا كانوا أول من اكتشف الثغرة الأمنية وأبلغ عنها. أولئك الذين يبذلون جهدًا ولكنهم يحصلون على نتائج في المرتبة الثانية أو الثالثة لا يحصلون على شيء.
وتقول: “إنه في جوهره استغلال لسوق العمل. فأنت تطلب منهم القيام بأعمال مضاربة، وتحصل منهم على شيء ذي قيمة كبيرة”.
تمكن بعض قراصنة القبعة البيضاء، بدافع من مساعدة الأشخاص على حل المشكلات الأمنية، من كسب عيشهم من خلال التخصص في العثور على نقاط ضعف متوسطة الخطورة قد لا تكون مفيدة مثل الأخطاء عالية الخطورة، ولكن من الأسهل العثور عليها.
لكن معظم الباحثين في مجال الأمن يكافحون من أجل كسب لقمة عيشهم صائدي مكافآت الأخطاء.
تقول: “عدد قليل جدًا من الباحثين قادرون على العثور على نقاط الضعف على مستوى النخبة، وقليل جدًا من الباحثين القادرين يعتقدون أن الأمر يستحق وقتهم في مطاردة مكافأة الثغرات الأمنية. إنهم يفضلون الحصول على عقد جيد أو وظيفة بدوام كامل”.
القرصنة الأخلاقية تأتي مع مخاطر قانونية
ولا يقتصر الأمر على عدم وجود دخل ثابت. يواجه الباحثون الأمنيون أيضًا مخاطر قانونية من قوانين مكافحة القرصنة، مثل المملكة المتحدة قانون إساءة استخدام الكمبيوتر والوحشية الأمريكية قانون الاحتيال وإساءة استخدام الكمبيوتر.
عندما انضمت موسوريس إلى مايكروسوفت في عام 2007، أقنعت الشركة بالإعلان عن أنها لن تحاكم صائدي الجوائز إذا اكتشفوا نقاط ضعف على الإنترنت في منتجات مايكروسوفت وأبلغوا عنها بشكل مسؤول. وقد حذت شركات البرمجيات الأخرى حذوها منذ ذلك الحين.
لقد أدركت حكومة المملكة المتحدة الآن المشكلة وقامت بذلك ووعد بتقديم دفاع قانوني للباحثين في مجال الأمن السيبراني الذين يكتشفون ويتشاركون نقاط الضعف لحمايتهم من الملاحقة القضائية.
هناك مشكلة أخرى وهي أن العديد من شركات البرمجيات تصر على توقيع الباحثين الأمنيين على اتفاقية عدم الإفصاح (NDA) قبل أن تدفع لهم مقابل الكشف عن نقاط الضعف الخاصة بهم.
وهذا يتعارض مع أفضل الممارسات الإفصاحات الأمنية، والتي دافع عنها موسوريس من خلال منظمة المعايير الدولية (ISO).
عندما تدفع شركات البرمجيات مكافأة لأول شخص يكتشف ثغرة أمنية في مقابل التوقيع على اتفاقية عدم الإفشاء، فإن هذا يخلق حافزاً لأولئك الذين يجدون نفس الثغرة الأمنية للكشف عنها علناً، مما يزيد من خطر قيام جهة فاعلة سيئة باستغلالها لأغراض إجرامية.
والأسوأ من ذلك أن بعض الشركات تستخدم اتفاقيات عدم الإفشاء لإخفاء الثغرات الأمنية، لكنها لا تتخذ خطوات لإصلاحها، كما يقول موسوريس، الذي تدير شركته Luta Security برامج مكافآت الأخطاء والكشف عن الثغرات الأمنية وتقدم المشورة بشأنها.
وتقول: “كثيرًا ما نرى كومة كبيرة من الأخطاء التي لم يتم إصلاحها”. “وبعض هذه البرامج يتم تمويلها بشكل جيد من قبل شركات مساهمة عامة لديها الكثير من موظفي الأمن السيبراني ومهندسي أمن التطبيقات والتمويل.”
يبدو أن بعض الشركات تنظر إلى مكافآت الأخطاء كبديل للتشفير الآمن والاستثمار المناسب في اختبار البرمجيات.
وتضيف: “نحن نستخدم مكافآت الأخطاء كحل مؤقت، وكوسيلة للتحكم المحتمل في الكشف العلني عن الأخطاء، ولا نستخدمها لتحديد الأعراض التي يمكن أن تشخص افتقارنا العميق إلى الضوابط الأمنية”.
في نهاية المطاف، يقول موسوريس، سيتعين على الحكومات التدخل وتغيير القوانين لجعل شركات البرمجيات مسؤولة عن الأخطاء في برامجها، بنفس الطريقة التي تتحمل بها شركات صناعة السيارات المسؤولية عن عيوب السلامة في سياراتها.
وتقول: “لقد امتنعت جميع الحكومات إلى حد كبير عن تحميل شركات البرمجيات المسؤولية القانونية، لأنها أرادت تشجيع نمو صناعتها”. “لكن هذا يجب أن يتغير عند نقطة معينة، حيث لم تكن السيارات تخضع لقواعد تنظيمية عالية، ومن ثم أصبح ربط أحزمة الأمان مطلوبًا بموجب القانون”.
الذكاء الاصطناعي يمكن أن يؤدي إلى تعليمات برمجية أقل أمانًا
قد يؤدي ظهور الذكاء الاصطناعي (AI) إلى جعل قراصنة القبعة البيضاء زائدين عن الحاجة تمامًا، ولكن ربما ليس بطريقة تؤدي إلى تحسين أمان البرامج.
تستخدم جميع منصات مكافآت الأخطاء الرئيسية في الولايات المتحدة الذكاء الاصطناعي للمساعدة في فرز نقاط الضعف وتعزيزها. اختبار الاختراق.
منصة اختبار الاختراق التي تعمل بالذكاء الاصطناعي، اكس بو، تصدرت مؤخرًا قائمة مكافآت الأخطاء باستخدام الذكاء الاصطناعي للتركيز على الثغرات الأمنية التي يسهل العثور عليها نسبيًا واختبار المرشحين المحتملين بطريقة منهجية لحصد الأخطاء الأمنية.
“بمجرد أن نبتكر الأدوات اللازمة لتدريب الذكاء الاصطناعي لجعله يبدو جيدًا، أو أفضل في كثير من الحالات، من البشر، فإنك تسحب البساط من السوق. ومن أين سنحصل بعد ذلك على خبير مكافآت الأخطاء التالي؟” تسأل.
إن الجيل الحالي من الخبراء الذين يتمتعون بالمهارات اللازمة لاكتشاف الحالات التي تفتقد فيها أنظمة الذكاء الاصطناعي شيئًا مهمًا، معرضون لخطر الانقراض.
وتقول: “تتجه منصات مكافآت اكتشاف الأخطاء نحو إصدار آلي بدون سائق لمكافآت اكتشاف الأخطاء، حيث سيحل عملاء الذكاء الاصطناعي محل صائدي الأخطاء البشرية”.
لسوء الحظ، من الأسهل بكثير على الذكاء الاصطناعي العثور على الأخطاء البرمجية بدلاً من استخدام الذكاء الاصطناعي لإصلاحها. ولا تستثمر الشركات بالقدر الذي ينبغي لها في استخدام الذكاء الاصطناعي للتخفيف من المخاطر الأمنية.
وتقول: “علينا أن نكتشف كيفية تغيير هذه المعادلة بسرعة كبيرة. فمن الأسهل العثور على خطأ والإبلاغ عنه بدلاً من قيام الذكاء الاصطناعي بكتابة التصحيح واختباره”.
لقد فشلت مكافآت الأخطاء
موسوريس، وهو مناصر متحمس ومتحمس لخطط مكافآت اكتشاف الأخطاء البرمجية، هو أول من اعترف بأن مخططات مكافآت اكتشاف الأخطاء البرمجية قد فشلت، إلى حد ما.
لقد تحسنت بعض الأشياء. لقد تحول مطورو البرامج إلى لغات وأطر برمجة أفضل تجعل من الصعب تقديم فئات معينة من الثغرات الأمنية، مثل أخطاء البرمجة النصية عبر المواقع.
لكنها تشير إلى أن هناك الكثير من المسرح الأمني. لا تزال الشركات تعالج الأخطاء لأنها مرئية، ولكنها تمتنع عن إصلاح الأشياء التي لا يستطيع الجمهور رؤيتها، أو تستخدم اتفاقيات عدم الإفصاح لشراء الصمت من الباحثين لإبعاد نقاط الضعف عن الجمهور.
ويعتقد موسوريس أن الذكاء الاصطناعي سيحل محل الباحثين في مجال الأخطاء البشرية في نهاية المطاف، لكنه يقول إن فقدان الخبرة سيضر بالأمن.
إن العالم على حافة ثورة صناعية أخرى، لكنها ستكون أكبر وأسرع من الثورة الصناعية الأخيرة. في القرن التاسع عشر، ترك الناس الزراعة للعمل لساعات طويلة في المصانع، غالبًا في ظروف خطيرة مقابل أجور زهيدة.
ويتوقع موسوريس أنه مع تولي الذكاء الاصطناعي المزيد من المهام التي يقوم بها الناس حاليًا، سترتفع معدلات البطالة وستنخفض الدخول وتواجه الاقتصادات خطر الركود.
وتعتقد أن الحل الوحيد هو أن تقوم الحكومات بفرض ضرائب على شركات الذكاء الاصطناعي واستخدام العائدات لتزويد السكان بدخل أساسي عالمي (UBI). وتقول: “أعتقد أنه لا بد من ذلك، وإلا لن تكون هناك طريقة حرفيًا لبقاء الرأسمالية”. “الخبر السار هو أن براعة الهندسة البشرية لا تزال سليمة في الوقت الحالي. وما زلت أؤمن بقدرتنا على الخروج من هذه المشكلة”.
تزايد التوترات بين الحكومات وصائدي مكافآت الأخطاء
كما تأثر عمل صائدي الثغرات الأمنية بالتحركات التي تطلب من شركات تكنولوجيا البرمجيات الإبلاغ عن نقاط الضعف إلى الحكومات قبل إصلاحها.
بدأ الأمر مع الصين في عام 2021، حيث طلبت من شركات التكنولوجيا الكشف عن نقاط الضعف الجديدة في غضون 48 ساعة من اكتشافها.
يقول موسوريس: “كان من الواضح جدًا أنهم سيقيمون ما إذا كانوا سيستخدمون نقاط الضعف لأغراض هجومية أم لا”.
في عام 2020، قدم الاتحاد الأوروبي قانون المرونة السيبرانية (CRA)، الذي قدم التزامات كشف مماثلة، ظاهريا للسماح للحكومة الأوروبية بإعداد دفاعاتها السيبرانية.
موسوريس هو مؤلف مشارك في ISO معيار الكشف عن نقاط الضعف. أحد مبادئها هو قصر المعرفة بالأخطاء الأمنية على أقل عدد من الأشخاص قبل إصلاحها.
ويزعم الاتحاد الأوروبي أن نهجه سيكون آمنا لأنه لا يطلب تفسيرا فنيا عميقا لنقاط الضعف، ولا يطلب كود إثبات المفهوم لإظهار كيف يمكن استغلال نقاط الضعف.
لكن هذا يخطئ الهدف، كما يقول موسوريس. إن توسيع مجموعة الأشخاص الذين لديهم إمكانية الوصول إلى المعلومات حول نقاط الضعف سيؤدي إلى زيادة احتمالية التسريبات ويزيد من خطر قيام المتسللين الإجراميين أو الدول القومية المعادية باستغلالهم في الجريمة أو التجسس.
خطر من الدول المعادية
لا يشك موسوريس في أن الدول المعادية سوف تستغل أضعف الحلقات في مخططات الإخطار الحكومية لتعلم الثغرات الأمنية الجديدة. إذا كانوا يستخدمون بالفعل نقاط الضعف هذه للقرصنة الهجومية، فسيكونون قادرين على تغطية مساراتهم.
وتقول: “أتوقع أن يكون هناك اضطراب في مشهد استخبارات التهديدات لأن خصومنا يعرفون تمامًا أن هذا القانون سيدخل حيز التنفيذ. ومن المؤكد أنهم يهيئون أنفسهم للتعرف على هذه الأشياء من خلال الطرف الأكثر تسريبًا الذي يتم إخطاره”.
وتضيف: “إما أن يبدأوا في استهداف هذا البرنامج بعينه، إذا لم يكونوا قد فعلوا ذلك بالفعل، أو البدء في سحب عملياتهم أو إخفاء آثارهم إذا كانوا هم من يستخدمونه. وهذا يؤدي إلى نتائج عكسية”.
يشعر موسوريس بالقلق من أن الولايات المتحدة ستتبع على الأرجح الاتحاد الأوروبي من خلال تقديم نظام الإبلاغ عن الأخطاء الخاص بها. “أنا فقط أحبس أنفاسي، أتوقع أن تحذو الولايات المتحدة حذوها، لكنني كنت أحذرهم من ذلك”.
برنامج الأسهم في المملكة المتحدة
في المملكة المتحدة، ينظم GCHQ استخدام الحكومة لنقاط الضعف الأمنية للتجسس من خلال عملية تعرف باسم مخطط الأسهم.
يتضمن ذلك خبراء أمنيين يدرسون ما إذا كانت المملكة المتحدة ستعرض أنظمتها الحيوية للخطر إذا فشلت في إخطار موردي البرامج بالثغرات المحتملة مقابل القيمة المحتملة للاستغلال لجمع المعلومات الاستخبارية.
وتتمتع هذه العملية بقشرة من العقلانية، لكنها تنهار لأن الخبراء الحكوميين، في الممارسة العملية، ليس لديهم أي فكرة عن مدى انتشار نقاط الضعف في البنية التحتية الوطنية الحيوية. حتى كبار الموردين مثل Microsoft يواجهون مشكلة في تتبع مكان استخدام منتجاتهم.
وتقول: “عندما كنت أعمل في مايكروسوفت، كان من الواضح جدًا أنه على الرغم من أن مايكروسوفت لديها قدر كبير من الرؤية لما تم نشره في العالم، إلا أن هناك الكثير من الأشياء التي لم يكونوا يعرفون عنها إلا بعد استغلالها”.
وتضيف: “حقيقة أن مايكروسوفت، مع كل قدرتها على القياس عن بعد لمعرفة مكان عملائها، كافحت يعني أنه لا توجد طريقة على الإطلاق لقياس مدى ضعفنا بطريقة موثوقة”.
تحدثت كيت موسوريس إلى مجلة Computer Weekly في قمة SANS للتهديد السيبراني.
