تستضيف نايلة الصليبي في "النشرة الرقمية" راغب غندور، خبير الأمن السيبراني، الذي يتطرق إلى أسباب عطل أنظمة "مايكروسوفت" التي شلت قطاعات حيوية مختلفة في مختلف القارات حيث الشركات والمؤسسات والمطارات شركات الطيران والمصارف والبورصات التي تعتمد أنظمة تشغيل "ويندوز" من "مايكروسوفت".كما شرح لماذا لا يمكن تفادي هذا النوع من الهفوات، وشرح كيف يمكن للذكاء الاصطناعي أن يكون مسؤولًا عن هذا الخلل!
ضربت فوضى عالمية العالم ليل الخميس ويوم الجمعة 19 يوليو 2024، إثر خلل تقني في تحديث من شركة الأمن السيبراني Crowd Strike التي تتعاقد معها شركة مايكروسوفت لحماية أنظمتها.
شل هذا الخلل التقني عمل قطاعات مختلفة في مختلف القارات، التي تعتمد فيها الشركات والمؤسسات أنظمة تشغيل مايكروسوفت. ولم تتأثر الأنظمة الأخرى من أبل و لينيكس.
فقد شلت حركة الطيران في العديد من المطارات الرئيسية في العالم التي واجهت صعوبات مع التأخيرات، الإلغاءات، والركاب العالقين في وقت العطل الصيفية المزدحمة بالسفر. وأثر الخلل التقني على عمليات البنوك والبورصات والمؤسسات الإعلامية و قنوات التلفزة وشلّ مفاصل العالم. ما أثارالبلبلة والذعر.و قد وصف بالتأثير غيرالمسبوق، إذ أكثر من 8.5 مليون جهاز كمبيوتر قد تأثروا في لحظة واحدة.
السبب المعلن خطأ في سطر برمجة تحديث أمني من شركة "Crowd Strike" في أنظمة تشغيل ويندوزمن مايكروسوفت و بالتحديد في برنامج EDR Endpoint detection and response.
مهما كانت أسباب هذا الخلل التقني في برنامج "كراود سترايك فالكون" الذي يحمي أنظمة تشغيل ويندوز، والتي أصيبت بشاشة الموت الزرقاء- BSOD Blue Screen Of Death ، تبقى العبرة، هل على الشركات والمؤسسات في العالم أن تبقى تحت سيطرة شركات محتكرة واحدة. وهل العالم مستعد لمواجهة هجمات سيبرانية تشل حركة مؤسساته الحيوية وتضرب الاقتصاد؟ الإجابة عن هذه الأسئلة نتركها للمستقبل.
قامت كل من مايكروسوفت و كراود سترايك بنشر أدوات وتحديثات لمساعدة مسؤولي أمن المعلومات في أنظمة الشركات التي تعرضت للعطل التقني.
مايكروسوفت تلوم الاتحاد الأوروبي
متحدثًا باسم شركة مايكروسوفت صرح في مقال نشرته صحيفة وول ستريت جورنال، "أنه يجب إلقاء اللوم على المفوضية الأوروبية". إذ في عام 2009، وبعد تقديم شكوى ضد مايكروسوفت، توصلت شركة مايكروسوفت إلى اتفاق مع الاتحاد الأوروبي على منح مصنعي برامج الأمان نفس مستوى الوصول الذي تتمتع به مايكروسوفت لأنظمتها لتوفير مستوى أمان أكثر تعمقًا و فعالية، و يضيف المتحدث باسم مايكروسوفت "أن هؤلاء في نفس الوقت، يشتركون في القدرة على تدمير أجهزة الكمبيوتر. وأن ما حدث مع شركة Crowdstrike. ووفقًا لهذا الاتفاق مع المفوضية الأوروبية، لا يمكن لمايكروسوفت أن تغلق نظام التشغيل لتعزيز أمن أجهزتها." ولكن يبدو أن السيد المتحدث باسم مايكروسوفت، نسي الهفوات التي كانت تشل نظام التشغيل ويندوز قبل هذا الاتفاق.
خطأ تقني في نشر تحديث أمني مهم
يبقى السؤال المحيّر، كيف يمكن حدوث خطأ تقني في نشر تحديث أمني مهم، خاصة و أن أي عملية تحديث بشركة من حجم كراود سترايك المتخصصة بالأمن السيبراني، تعبر عدة مراحل لتجربة التحديث على الأنظمة المختلفة، والتحقق من خلال الQuality Assurance لفريق المطورين .
في محاولة لفهم ما حدث تستضيف نايلة الصليبي في النشرة الرقمية، خبير الأمن السيبراني راغب غندور لشرح ما هذا العطل بالتحديد؟
- هل كان بالإمكان تفادي المشكلة أم أن هنالك عملية تخريب داخلية مقصودة علما ان المؤسس والمدير التنفيذي لشركة كراود سترايك كرر أن الأمر "لا يعد حادثًا أمنيًا أو هجومًا سيبراني"!
- شرح ما هو Endpoint detection and response - EDR و ما أهميته لحماية ألأنظمة المعلوماتية؟
- كيف يمكن استعادة عمل الكمبيوتر بعد ظهور شاشة الموت الزرقاء BSOD؟
- وهل ممكن أن يكون استخدام الذكاء الاصطناعي وأتمتة عملية التحديث الأمني هو السبب في دفع نشر تحديث غير موثوق وغير محقق في موافقته لنظام ويندوز؟
نص اللقاء مع راغب غندور، خبير الأمن السيبراني :
نعرف أن سبب حدوث الشاشات الزرقاء أو ما يعرف بالـBlue Screen Of Death و التي أحدثت انقطاعا واسع النطاق في 19 من يوليو 2024 وكان لها تأثير على عدد كبير من الشركات حول العالم. مما أدى إلى تعطل عمليات وأضرار مالية كبيرة وحتى تعطل بعض المطارات هو تحديث لبرمجة كراود سترايك فالكون على أنظمة ويندوز.
أصدرت شركة كراود سترايك تحديثا سريعا لإصلاح الخلل، كما نشرت إرشادات حول كيفية استعادة الأنظمة المتأثرة.
حدث هذا الخلل عن طريق خطأ برمجي، على الرغم من عمليات اختبار الجودة الصارمة المتبعة في الشركات الكبرى، خصوصا بحجم كراود سترايك .
فإن الأخطاء البرمجية المعقدة قد تتسلل أحيانا دون أن يتم اكتشافها. هنالك العديد من الأسباب، منها على سبيل المثال: من الممكن أن يكون خلل المنطق Logic Error الذي يؤدي إلى سلوك غير متوقع في البرنامج، مثل حلقة لا نهائية تستهلك موارد النظام وتؤدي إلى تعطلها، أو تعارض غير متوقع مع برنامج أو مكون أخر في النظام، مما يؤدي إلى فشل النظام . أو وجود ثغرة أمنية تستغل من قبل جهة خارجية لبث الخلل في البرنامج. هنالك العديد من النظريات الممكن البحث فيها.
تشير المعلومات الأولية، إلى خلل منطقي Logic Error ، وهذا النوع من الأخطاء حدوثه ليس بالأمر النادر ،حتى في كبريات الشركات التكنولوجية . تبذل هذه الشركات جهودا كبيرة لمنع حدوثها، لكن من المستحيل ضمان خلو أي برنامج من الأخطاء بشكل كامل. تهدف عمليات اختبار الجودة فقط إلى تقليل مخاطر حدوث هذه الأخطاء قدر الإمكان، لكن لا يمكنها ضمان اكتشافها جميعا.
هذه الأمور يمكن أن تحدث، ومن المهم أيضا للعبرة أن يتم دائما تحديث البرامج بانتظام، لكن يجب أيضا توخي الحذر عند تثبيت أي تحديثات جديدة، خاصة إذا كانت كبيرة أو من مصدر غير موثوق.
- هل كان بالإمكان تفادي المشكلة أم أن هنالك عملية تخريب داخلية مقصودة علما ان المؤسس والمدير التنفيذي لشركة كراود سترايك كرر أن الأمر "لا يعد حادثاً أمنياً أو هجوماً سيبرانياً"!
هل كان بالإمكان تفادي العطل. سؤال صعب. يمكن الإجابة. بنعم ولا. واحدة من المعلومات الأساسية التي يجب أخذها بعين الاعتبار هي تأكيد جورج كروتز، المؤسس والمدير التنفيذي لشركة CrowStrike ، "أن العطل لا يعد حدثا أمنيا أو هجوما سيبرانيا" . وهنالك تحليل لاحتمالات حدوث خلل برمجي.
أما بالنسبة لإمكانية تفادي العطل، كان بالإمكان تفادي العطل لو تم اكتشافه من خلال مراحل اختبار الجودة.
تتضمن عمليات اختبار الجودة عادة خطوات صارمة لاكتشاف الأخطاء البرمجية قبل إصدار التحديثات. لكن حتى مع أفضل ممارسات اختبار الجودة، لا يمكننا أن نكشف أخطاء أي برنامج بشكل كامل. وهنالك عوامل أخرى مثل تعقيد البرامج وصعوبة اختبار جميع السيناريوهات المحتملة. ووجود أخطاء تتفاعل مع عوامل خارجية، كلها تساهم في إمكانية حدوث ثغرات غير متوقعة.
أما بالنسبة لاحتمالية التخريب الداخلي، نفت شركة كراود سترايك صراحة أي تورط في عملية تخريب داخلية. مع ذلك، لا يمكن استبعاد هذا الاحتمال بشكل قاطع ممكن أن تكون الدوافع وراء التخريب الداخلي مختلفة، مثل السعي وراء مكاسب شخصية، أو الانتقام من الشركة، أو التعبير عن أيديولوجية معينة. لكن من المهم ملاحظته أن مثل هذه الادعاءات خطيرة وتتطلب أدلة قوية قبل تأكيدها في ظل نقص المعلومات المتاحة والموثوقة. من المستحيل تحديد ما إذا كان بالإمكان تفادي العطل بشكل قاطع أو إذا كان ناتج عمل تخريبي داخلي. في الخلاصة التزمت شركة كراود سترايك بالشفافية من خلال شرح سبب العطل وطرق حله. يبقى احتمال حدوث خلل برمجي غير مقصود هو الأكثر ترجيحا إلى الآن. لكن لا يمكن استبعاد التخريب الداخلي بشكل قاطع قبل حدوث أي تحقيق داخلي. تعد مثل هذه الحوادث فرصة للشركات لتحسين عملياتها ومنع تكرارها في المستقبل.
- ما هو Endpoint detection and response - EDR و ما أهميته لحماية الأنظمة المعلوماتية ؟
برمجية EDR أو Endpoint detection and response - ،هي حل أمان شامل لحماية نقاط النهاية مثل أجهزة الكمبيوتر المحمولة والأجهزة الهاتفية الذكية والخوادم من التهديدات الإلكترونية. يعمل EDR على مراقبة نقاط النهاية أو ما يعرف بالـEndpoint بشكل مستمر بحثا عن سلوكيات مشبوهة. على سبيل المثال أن يكتشف ويحلل الهجمات الإلكترونية في مراحلها المبكرة، ويساعد على الاستجابة لها بسرعة وكفاءة.
تعمل برمجيات EDR على جمع البيانات من نقاط النهاية، بما في ذلك سجلات الأحداث، وسجلات الشبكة وملفات التسجيل. يقوم EDR بتحليل البيانات باستخدام تقنيات مثل التعلم الآلي والذكاء الصناعي للكشف عن الأنماط والسلوكيات المشبوهة.
أما بالنسبة للكشف عن التهديدات، عندما يكتشف تهديد ما، تنبه EDR فريق الأمن لاتخاذ الإجراءات اللازمة والاستجابة لها تلقائيا. ممكن أن تكون تهديدات تم اكتشافها سابقا أو جديدة يتم دراستها والتعمق فيها. تعتبر برمجية EDR واحد من أهم البرمجيات للدفاع السيبراني للحماية من التهديدات المتطورة، لأن القراصنة أو الهاكرز أصبحوا أكثر ذكاء وتطورا من خلال إمكانياتهم، ويمكنهم استخدام تقنيات خفية لتجاوز حلول الأمان التقليدية. توفر برمجية EDR حماية أفضل ضد هذه التهديدات المتطورة من خلال قدرتها على الكشف والتحليل المتقدمة. وتوفر أيضا استجابة سريعة لاكتشاف الهجمات الإلكترونية في مراحلها المبكرة، وتساعد أيضا في التحقيق في الحوادث بعد حدوثها، من خلال المعلومات التي تجمعها، فيمكن أن تساعد على تحديد مصدر الهجوم، وفهمه ومنع تكراره وتحليله. توفر أيضا برمجية EDR الحماية المستمرة لنقاط النهاية أو حتى عند غياب المستخدمون. وعادة تلجأ الشركات الكبرى لهذه البرمجيات لحمايتها لأنها توفر حزمة شاملة من الدفاع السيبراني وتوفر حماية للبيانات الحساسة.
تحتاج الشركات التي تمتلك بيانات حساسة مثل البيانات المالية، أو الجوية، أو السفريات، أو مراكز الرعاية الصحية، إلى حماية قوية للأنشطة التي تستخدمها وحتى الشركات أو المؤسسات الحكومية، وتحتاج إلى هذه الأنواع من الحلول الأمنية.
تعد برمجية EDR حلا أمنيا ضروريا للشركات في عصر التهديدات الإلكترونية المتزايدة، وتوفر حماية أفضل ضد التهديدات المتطورة وتسمح باستجابة سريعة وفعالة من خلال حماية البيانات والمعلومات الحساسة.
- كيف يمكن استعادة عمل الكمبيوتر بعد ظهور شاشة الموت الزرقاء BSOD؟
يمكن إعادة تشغيل أو استعادة عمل الكمبيوتر بعد شاشة الموت الزرقاء. وقد نشرت شركة
كراود سترايك أسلوب إعادة الكمبيوتر من خلال حذف ملف القناة Channel Files. عند ظهور الشاشة الزرقاء ننصح تشغيل الكمبيوتر بوضعية الأمن Safe Mode، تعد طريقة إعادة إطلاق نظام التشغيل
ويندوز بوضعية الأمن مفيدة لتشخيص المشكلات وحلها. بواسطة وضعية الأمن يحمل ويندوز الحد الأدنى من البرامج والخدمات، مما قد يساعد في تحديد ما إذا كان سبب المشكلة هو برنامج أو خدمة محددة. وفي حالة تم استخدام هذه الطريقة من أجل حذف ملف القناة Channel Files ، يتم إعادة تشغيل الجهاز ويعمل بشكل سليم لأن التحديث الجديد من
كراود سترايك سوف يعمل على حل هذه المشكلة.
الفت الانتباه أنه بغض النظر عن مشكلة مايكروسوفت، يجب دائما أن يكون هناك نسخ احتياطية للبيانات المهمة، في حال حدوث مثل هذه الأمور.
- هل ممكن أن يكون استخدام الذكاء الاصطناعي وأتمتة عملية التحديث الأمني هو السبب في دفع نشر تحديث غير موثوق وغير محقق في موافقته لنظام ويندوز؟
من الممكن بالفعل أن يكون استخدام الذكاء الصناعي قد أدى إلى نشر تحديثات غير موثوقة، وذلك لعدة أسباب: منها ثغرات في أنظمة الذكاء الصناعي قد تحتوي على ثغرات أو أخطاء برمجية تسمح للمتسللين باستغلالها لنشر التحديثات الضارة. يعرف ذلك بالـ Prompt engineering. هنالك مجال اسمه AI pen testing الذي يبحث عن ثغرات في أنظمة الذكاء الاصطناعي.
نعم، يمكن اختراق هذه الأنظمة واستخدامها لنشر برامج ضارة أو سرقة بيانات أو تعطيل أنظمة.
. هنالك صعوبة في التحقق أيضا من صحة التحديثات التي ينشئها الذكاء الصناعي، خاصة إذا كانت معقدة أو غير تقليدية. وقد لا تتمكن أنظمة الأمان التقليدية من اكتشاف هذه التحديثات الضارة، مما يجعلها أكثر خطورة. وهناك أيضا نقص في الشفافية في أنظمة الذكاء الاصطناعي غالبا ما تكون صناديق سوداء، مما يجعل من الصعب فهم كيفية عملها واتخاذ قرارات مستنيرة بشأن موثوقية منتجاتها. وقد يؤدي ذلك إلى صعوبة تحديد ما إذا كان التحديث الذي تم إنشاؤه بواسطة الذكاء الاصطناعي موثوقا أم لا.
هنالك أيضا مشكلة التحيز في أنظمة الذكاء الصناعي لذا الأفضل الابتعاد عنها واللجوء للتحقق البشري.
هناك أيضا تحيز في أنظمة الذكاء الاصطناعي بحد ذاتها، فقد تكون متحيزة، بما أنها مبنية على معلومات تم تغذيتها بواسطة أشخاص، فممكن أن تؤدي إلى إنشاء تخطيطات غير عادلة أو تمييزية، ولكن أيضا في نفس الوقت، استخدام الذكاء الاصطناعي يسهل المهام، يساعد في تحسين عملية تحديث البرامج إن كانت مبنية بشكل موثوق لتحديد البرمجيات الضارة، وأيضا تتحقق من صحة التوقيعات الرقمية للتأكد من صحة التحديثات، ومراقبة سلوك النظام بعد التحديث بحثا عن أي نشاط ضار .
بشكل عام، من الضروري استخدام الذكاء الاصطناعي بشكل مسؤول مع الأخذ بعين الاعتبار المخاطر المحتملة، وأن الذكاء الصناعي ليس بحل جذري، بل هو تسهيل وتضييق الوقت لإنتاج معلومات أو معرفة جديدة.
يمكن الاستماع لـ "بودكاست النشرة الرقمية" على مختلف منصات البودكاست. الرابط للبودكاست على منصة أبل
للتواصل مع نايلة الصليبي عبر صفحة برنامَج"النشرة الرقمية"من مونت كارلو الدولية على لينكد إن وعلى تويتر salibi@ وعلى ماستودون وبلوسكاي عبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي
