دبي – entrepreneuralarabiya.com
بقلم سامر الزين، مدير لدى إسيت ESET
تخيَلوا هذا السيناريو: في صباح أحد الأيام الباردة والمتجمدة أقوم باستخدام تطبيق السيارة على هاتفي الذكي لتشغيل سيارتي عن بعد وأنا جالس في المطبخ بكل راحة ولكن السيارة لا تستجيب، عوضاً عن ذلك أتلقى رسالة مفادها أنه ينبغي عليَ أن أدفع مبلغاً من المال بالعملة الالكترونية مقابل فك القفل؛ باختصار، هذا ما تبدو عليه برمجيات ’جاكوير‘ من وجه نظر الضحيَة. ولكنني أؤكد لكم ولحسن الحظ بأن برمجيات ’جاكوير‘ لا تزال أمراً نظرياً ولم “تنتشر على أرض الواقع” حتى الآن.
إن الحيلولة دون تطوير وتطبيق برمجيات ’جاكوير‘ ليس بالمهمة السهلة، خاصةً مع النظر إلى الأمثلة المذكورة سابقاً والأخطاء التصنيعية التي يمكن أن تحدث؛ حيث شهدنا بالفعل أن شركات السيارات يمكن أن تطرح بالأسواق أكثر من مليون سيارة تنطوي على نقاط ضعف يمكن استغلالها من قبل برمجيات ’جاكوير‘؛ مثل المشاكل في سيارة جيب التي طرحتها شركة ’فيات كرايسلر‘ والتي انتشرت في كافة وسائل الإعلام عام 2015.
كما يعتبر الافتقار الواضح إلى التخطيط في’ هيئة الرقابة المالية‘ لتصحيح نقاط الضعف في عملية تصميم السيارة من المشاكل التي تعتبر على ذات القدر من الخطورة. فمن الطبيعي أن تقوم جهة ما بإطلاق منتجات رقمية تحتوي على ’ثغرات‘ يتم اكتشافها لاحقاً- وهذا في الواقع أمر لا مفر منه- ولكن الأمر يصبح أكثر خطورة عند إطلاق هذه المنتجات دون الأخذ بعين الاعتبار اعتماد وسائل سريعة وآمنة كفيلة بتصحيح هذه الثغرات.IoT
في حين تتمحور معظم نقاشات وأبحاث “اختراق السيارات” حول المشاكل الفنية داخل السيارة، من المهم أن ندرك بأن الكثير من تقنيات ’انترنت الأشياء‘ تعتمد على نظام دعم يمتد إلى شبكة أخرى غير الجهاز المتصل نفسه. شهدنا في العام 2005 المشاكل التي واجهتها شركة ألعاب الأطفال VTech، إحدى الجهات الفاعلة في قطاع ’انترنت الأشياء للأطفال‘ (IoCT)؛ حيث أن الحالة الأمنية الضعيفة على الموقع الالكتروني للشركة أدى إلى كشف البيانات الشخصية للأطفال، وهذا ما ذكَر الجميع بالاحتمالات الواسعة للاختراقات والثغرات المترافقة مع ’انترنت الأشياء‘. Raspberry Pi
كما شهدنا في العام 2016 قضية مماثلة في البنية التحتية عندما واجهت بعض حسابات شركة ’فيت بيت‘ مشاكل تقنية (لتوخي الدقة أجهزة الشركة نفسها لم يتم اختراقها، ويبدو أن الشركة تأخذ مسألة حماية الخصوصية على محمل الجد). كما شهدنا خلال هذا العام اكتشاف بعض الأخطاء في تطبيق الويب الخاص بشركة ’بي إم دبليو‘BMW ConnectedDrive، والذي يقوم بوصل سيارات الشركة بإنترنت الأشياء؛ حيث يمكن استخدامه للتحكم بدرجة الحرارة أو الإضاءة أو نظام الإنذار في المنزل أثناء التواجد داخل السيارة.
يمكننا القول أن احتمال اختراق المنصة التي يمكن من خلالها إدارة الميزات والإعدادات للنظام الداخلي للسيارة عن بعد هو أمر مقلق على أقل تقدير. كما أن انخفاض مستوى الأمن الرقمي في المركبات ما زالت مشكلة قائمة، مثل المشاكل في سيارات ميتسوبيشي المتصلة بالواي فاي، واختراق الأجهزة اللاسلكية لسرقة سيارات ’بي إم دبليو‘ و’أودي‘ و’تويوتا‘.
وفي حين اعتقدت في البداية أن برمجيات ’جاكوير‘ هي عبارة عن مرحلة متطورة من الشيفرات الخبيثة التي تستهدف السيارات، ولكن بعد وقت قصير أصبح من الواضح أن هذا التوجه يمكن أن يتجسد على نطاق أوسع- مثل “برمجيات الفدية الخبيثة ضمن الأشياء”. أود أن أذكركم بقصة بعيدة كل البعد عن الإنسانية حدثت في إحدى مدن فلندا وتعبر عن مدى خطورة هذه البرمجيات (هجمات حجب الخدمة الموزعة توقف التدفئة في فصل الشتاء). لم تشر التقارير إلى طلب أية فدية، ولكن منطقياً يمكننا أن نتوقع بأن هذه هي الخطوة التالية: إذا ما أردتم أن نوقف هجمات حجب الخدمة الموزعة على نظام التدفئة عليكم أن تدفعوا الأموال!
التصدي لـ’برمجيات الفدية الخبيثة في سياق انترنت الأشياء‘
للحيلولة دون أن تصبح ’انترنت الأشياء‘ موطناً لـ’برمجيات الفدية الخبيثة في سياق انترنت الأشياء‘ ينبغي إجراء بعض التغييرات ضمن اثنين من مجالات نشاطنا. يتمثل الأول بالمجال الفني، حيث يتوجب علينا التغلب على التحدي الكبير المتمثل بتطبيق المعايير الأمنية على منصات المركبات. يمكن للإجراءات الأمنية التقليدية مثل الترشيح والتشفير والتوثيق أن تستهلك الكثير من طاقة المعالجة والنطاق الترددي، فضلاً عن النفقات الإجمالية للأنظمة والتي يحتاج بعضها للعمل وفق زمن استجابة منخفض جداً. بينما يمكن للإجراءات الأمنية مثل الفجوات الهوائية أو تكرار البيانات أن تساهم بشكل كبير في زيادة تكاليف المركبات، وهذا أمر غير عملي لأن ضبط تكاليف الانتاج يعتبر من الجوانب الأساسية بالنسبة للشركات المصنعَة.
أما المجال الثاني الذي يجب أن يشهد تغييراً وإجراءات تحول دون انتشار ’برمجيات الفدية الخبيثة في سياق انترنت الأشياء‘ هو قطاع السياسة والسياسات المطبقة. لقد شهدنا فشلاً دولياً جماعياً في منع تطوَر وازدهار البنية التحتية للجرائم في الفضاء الرقمي؛ الأمر الذي يشكل تهديداً قائماً لأي ابتكار في مجال التكنولوجيا الرقمية، من السيارات ذاتية القيادة إلى الطائرات بدون طيار، ومن البيانات الضحمة إلى التطبيب عن بعد. فعلى سبيل المثال، أشار تقرير ’التحديات والآثار المترتبة على تشريعات الأمن الرقمي‘ إلى فشل الساسة المعنيين خلال عام 2016 بتمرير هذه التشريعات التي كان بمقدورها أن تساعد في تأمين الشبكة الذكية، على الرغم من دعم الحزبين الرئيسيين لهاIoT solutions
ولأكون أكثر وضوحاً، أؤكد لكم بأن الهدف من طرح مصطلحات مثل ’برمجيات الفدية الخبيثة في سياق “إنترنت الأشياء” IoT.انترنت الأشياء‘ وبرمجيات ’جاكوير‘ ليس لإثارة الهلع والقلق، ولكن الإشارة إلى ما يمكن أن يحصل في حال لم نبذل جهداً كافياً خلال عام 2017 للحيلولة دون أن تصبح حقيقة على أرض الواقع.