كُل ما تريد أن تعرفه عن صيد الثغرات الإلكترونية ومُكافئتها

عالمٌ كبير واسع، ما تعرفه عنه ماهو إلا مجرد قشور بسيطة، عالمٌ تُسيطر فيه المعلومات والبيانات ولُغات البرمجة، عالمٌ رقمي لا حدود له، وكأي عالم من العوالم يحتوي عالم الإنترنت على الجيد والسيء، هناك السييء كالمُخترقين والفيروسات الخطيرة  والثغرات الإلكترونية، هناك الجيد وهُناك من يُكرس كل وقته ومجهودة للتصدي لتلك الهجمات السيئة على المواقع والشبكات..

وفي موضوعنا اليوم سنتحدث عن صائدي الثغرات، وماهى فكرة مُكافأة صيد الثغرات الإلكترونية أو الـ (Bug bounty).

 مُصطلح الـ (Bug bounty):

يُعرف مُصطلح الـ (bug bounty) باللغة العربية بمكافأة الثغرة، وهي عبارة عن صفقة يعرضها الكثير من الشركات الكُبرى المُطورة والمالكة للبرامج الحاسوبية ليحصل من خلالها الأفراد على مكافآت وتقديرات لتبليغهم عن العلل أو الثغرات البرمجية.

وتمكن هذه الصفقات المطورين من اكتشاف وحل الثغرات قبل معرفة الشركة بها، مما يساعد في تجنب إساءة استغلالها، وعلى رأس تلك الشركات هم فيسبوك وجوجل وأبل.

بدايات.. 

كانت أول شركات التقنية التي تقدم مكافآت مقابل الثغرات الأمنية التي يتم اكتشافها في أنظمتها هي شركات مُطوري متصفحات الويب، حيث أعلنت عن تقديم مكافآت مالية ومعنوية لأولئك المُبرمجين الذين يجدون نقاط ضعف في كود البرمجة، والبداية كانت من شركة Netscape في عام 1995 وفعلت موزيلا نفس الشيء في عام 2004

الأمن السيبراني

قبل أن ندخُل في تعريف صائدي الثغرات، دعونا نُقدم إليكم العلم الذي يقوم على أساسه صيد الثغرات الإلكترونية، ألا وهو الأمن السيبراني أو أمن الحاسوب وهو فرع من فروع التكنولوجيا المعروفة باسم أمن المعلومات، والهدف منه هو حماية المعلومات والممتلكات من السرقة والفساد، أو الحوادث.

من هُم صائدي الثغرات؟

يُعرف بالهاكر الأخلاقي، أو أو المخترق ذو القبعة البيضاء، ويمارس ما يعرف بـ«الـقرصنة الأخلاقية» هو مصطلح يُطلق في عالم تقنية المعلومات على شخص تعارض قِيَمه انتهاك أنظمة الحواسيب الأخرى.

يركز الهاكر الأخلاقي على حماية الأنظمة، على عكس القرصان ذو القبعة السوداء الذي يحاول إختراقها، كما إنه شخص مصرّح له بإستخدام الوسائل الممنوعة لمعالجة أخطار أمن الحواسيب والشبكات.

أنواع اكتشاف الثغرات

ينقسم اكتشاف الثغرات  إلى جزأين، الأول يكون عبر برامج ومسابقات سنوية تطلقها الشركات نفسها، والجزء الآخر يكون من مستخدمين عاديين يقومون بهذا الأمر فى أى وقت.

ولكن فى الحالة الثانية يجب معرفة القانون وما عقوبة أى أمر ستقوم به، ففى المملكة المتحدة، بموجب قانون إساءة استخدام الحاسوب، الوصول غير المصرح به هو جريمة جنائية حتى لو كان الباب مفتوح على مصراعيه، لذا فعلى الهاكرز والموهوبين فى هذا المجال فهم القانون وإلى أى مدى يمكن المخاطرة.

أرقام كبيرة للـ Bug bounty

في أبريل من العام 2018، قامت الشركة المعروفة باسم Oath Inc بتقديم مبلغ 400,000 دولار إلى 40 مشاركًا في حدث H1-415 الذي نظمته مؤسسة HackerOne وقامت شركةOath/Verizon Media، التي تمتلك شركتي Yahoo وAOL، بتخصيص 400 ألف دولار أخرى في حدث منفصل في نوفمبر 2018 للمُبرمجين الذين حددوا 159 نقطة ضعف أمنية حرجة.

بعد نجاح فعاليات هذا الحدث، أنشأت الشركة برنامج مكافآت الأخطاء، ومن خلالها تم دفع 5 ملايين دولار في عام 2018 للقراصنة والباحثين الذين وجدوا أخطاء من مستويات التهديد المختلفة عبر منصات متعددة.

أبرز الشركات

تُقدم الكثير من الشركات حول العالم أحداث لاكتشاف الثغرات الأمنية في أنظمتها، فعلى سبيل المثال مايكروسوفت بلغت المكافآت المالية التي تم تقديمها مقابل إكتشاف الثغرات الأمنية مليوني دولار عام 2018.

وجوجل يُعد برنامج مكافآت إكتشاف الثغرات الأمنية الخاص بها إلى عام 2010، فمنذ ذلك الحين تم دفع أكثر من 15 مليون دولار، منها 3.4 مليون دولار تم منحها في عام 2018 (1.7 مليون دولار منها تركز على إكتشاف الأخطاء في نظام التشغيل اندرويد والمتصفح كروم).

وفيس بوك حيث دفع برنامج مكافأة الأخطاء على الشبكة الاجتماعية مبلغ 7.5 مليون دولار منذ إنشائه في عام 2011.

وأخيرا  شركة تسلا حيث تحدت الشركة المُبرمجين وصائدي الثغرات في أن من يقوم باختراق سياراتها الكهربائية سيحصل على سيارة ومليون دولار لمن يخترق سيارتها.

كيف تُصبح صائد ثغرات؟

لكي تكون صائد ثغرات عليك أن تقوم بتعلم مجموعة من المهارات الأساسية عليك أن تعرفها وتتعامل معها قبل البدء فى تعلم الاختراق، وكذلك مهارات كمبيوتر أساسية، والمفاهيم والتقنيات الأمنية، تحتاج أيضا لفهم أساسيات الشبكات ومن ثم أن تأخذ دورة إما الهاكر الأخلاقي أو الأمن السيبراني، وكلاهما متاحًا في مراكز نيوهورايزن.

أبرز صائدي الثغرات العرب

الخبير الأمني المصري محمد رمضان، وهو واحد من قائمة الشرف لأبرز الهاكرز الأخلاقيين الذين اكتشفوا أخطاء برمجية أو ثغرات شركة فيسبوك، وكذلك المغربي أمين الشراعي، والمصري محمد عبد الباسط النوبي، وأخيرًا والمبرمج الفلسطيني خليل شريتح، الذي اضطر للكتابة على حائط مارك زوكربيرج مؤسس “فيسبوك”، ليثبت لإدارة الموقع وجود ثغرة أمنية تمكّن من اكتشافها تتيح لأي مستخدم للشبكة الاجتماعية إمكانية الكتابة على حائط أي مستخدم أخر دون موافقته.