تقارير أعطال الكمبيوتر هي منجم ذهب غير مستغل للهاكر
عندما تسبب تحديث برنامج سيء من شركة الأمن CrowdStrike عن غير قصد في حدوث فوضى رقمية في جميع أنحاء العالم الشهر الماضي، كانت العلامات الأولى هي ظهور شاشة الموت الزرقاء على أجهزة الكمبيوتر التي تعمل بنظام Windows. ومع تعطل مواقع الويب والخدمات وتدافع الناس لفهم ما كان يحدث، كانت المعلومات المتضاربة وغير الدقيقة في كل مكان. في عجلة من أمره لفهم الأزمة، عرف باتريك واردل، الباحث الأمني القديم في أجهزة Mac، أن هناك مكانًا واحدًا يمكنه البحث فيه للحصول على الحقائق: تقارير الأعطال من أجهزة الكمبيوتر المتأثرة بالخلل.
يقول واردل لمجلة WIRED: “على الرغم من أنني لست باحثًا في نظام Windows، إلا أنني كنت مفتونًا بما يحدث وكانت هناك ندرة في المعلومات”. “كان الناس يقولون إنها مشكلة مايكروسوفت، لأن أنظمة ويندوز كانت ذات شاشة زرقاء، وكان هناك الكثير من النظريات الجامحة. ولكن في الواقع لا علاقة له بمايكروسوفت. لذلك ذهبت إلى تقارير الأعطال، والتي بالنسبة لي تحمل الحقيقة المطلقة. وإذا كنت تبحث هناك، فقد تمكنت من تحديد السبب الأساسي قبل وقت طويل من ظهور CrowdStrike وقوله.”
في مؤتمر Black Hat الأمني الذي عقد في لاس فيغاس يوم الخميس، أوضح واردل أن تقارير الأعطال هي أداة غير مستغلة بشكل كافٍ. تمنح لقطات النظام هذه مطوري البرامج والمشرفين نظرة ثاقبة للمشكلات المحتملة في التعليمات البرمجية الخاصة بهم. ويؤكد واردل أنها يمكن أن تكون على وجه الخصوص مصدرًا للمعلومات حول نقاط الضعف التي يحتمل أن تكون قابلة للاستغلال في البرامج، لكل من المدافعين والمهاجمين.
في حديثه، قدم واردل أمثلة متعددة لنقاط الضعف التي اكتشفها في البرنامج عندما تعطل التطبيق وقام بتمشيط التقرير بحثًا عن السبب المحتمل. يمكن للمستخدمين بسهولة عرض تقارير الأعطال الخاصة بهم على أنظمة التشغيل Windows وmacOS وLinux، وهي متاحة أيضًا على أنظمة Android وiOS، على الرغم من أن الوصول إليها قد يكون أكثر صعوبة على أنظمة تشغيل الأجهزة المحمولة. ويشير واردل إلى أنه للحصول على رؤى من تقارير الأعطال، فإنك تحتاج إلى فهم أساسي للتعليمات المكتوبة في كود الجهاز منخفض المستوى المعروف باسم التجميع، لكنه يؤكد على أن المردود يستحق ذلك.
في حديثه عن Black Hat، عرض واردل العديد من نقاط الضعف التي اكتشفها ببساطة من خلال فحص تقارير الأعطال على أجهزته الخاصة، بما في ذلك الأخطاء الموجودة في أداة التحليل YARA وفي الإصدار الحالي من نظام التشغيل macOS من Apple. في الواقع، عندما اكتشف واردل في عام 2018 أن خطأً في نظام التشغيل iOS تسبب في تعطل التطبيقات في أي وقت تعرض فيه الرموز التعبيرية للعلم التايواني، وصل إلى حقيقة ما كان يحدث باستخدام تقارير الأعطال.
ويقول: “لقد كشفنا بشكل قاطع أن شركة أبل قد استجابت لمطالب الصين بفرض رقابة على العلم التايواني، لكن قانون الرقابة الخاص بها كان به خطأ – وهو أمر مثير للسخرية”. “صديقي الذي لاحظ هذا في البداية كان يقول: “لقد اخترق الصينيون هاتفي”. كلما راسلتني فإنه يتعطل. أم أنك تخترقني؟ فقلت: “وقحًا، لن أخترقك”. وأيضًا وقحة إذا قمت باختراقك؛ لن أحطم هاتفك. لذلك قمت بسحب تقارير الأعطال لمعرفة ما يحدث.
ويؤكد واردل أنه إذا تمكن من العثور على الكثير من الثغرات الأمنية بمجرد النظر في تقارير الأعطال من أجهزته الخاصة وأجهزته الخاصة بأصدقائه، فيجب على مطوري البرامج البحث هناك أيضًا. ربما تكون الجهات الفاعلة الإجرامية المتطورة والمتسللين المدعومين من الدولة الممولين جيدًا على حد سواء قد حصلوا بالفعل على أفكار من تقارير الأعطال الخاصة بهم. على مر السنين، أشارت التقارير الإخبارية إلى أن وكالات الاستخبارات مثل وكالة الأمن القومي الأمريكية تقوم بسجلات الأعطال المتعلقة بالألغام. ويشير واردل إلى أن تقارير الأعطال تعد أيضًا مصدرًا قيمًا للمعلومات لاكتشاف البرامج الضارة، حيث يمكنها الكشف عن الأنشطة الشاذة والمريبة. على سبيل المثال، يقوم وسيط برامج التجسس سيئ السمعة NSO Group، على سبيل المثال، ببناء آليات في برامجهم الضارة خصيصًا لحذف تقارير الأعطال فور إصابة الجهاز. وحقيقة أن البرامج الضارة غالبًا ما تكون بها عربات التي تجرها الدواب، تزيد احتمالية حدوث الأعطال، كما أن تقارير الأعطال ذات قيمة للمهاجمين أيضًا لفهم الأخطاء التي حدثت في التعليمات البرمجية الخاصة بهم.
يقول واردل: “مع تقارير الأعطال، تظهر الحقيقة”. “أو، على ما أعتقد، هناك.”