-->

إعلان بالهواتف فقط

إعلان بالحواسيب فقط

  اكتشف هاكر أخلاقي تكتيكًا مذهلاً وبسيطًا  يمكن من اختراق  آبل و  مايكروسوفت و  بايبال و Tesla وأكثر من 30 شركة في الأشهر الأخيرة.

نشر أليكس بيرسان بحثه على مدونته يوم الثلاثاء الماضي: لقد تلقى هذا الهاكر بالفعل أكثر من 130 ألف دولار  في شكل مكافآت من الشركات بسبب إبلاغه لنقاط الضعف التي اكتشفها.

في حين أن الشركات المعنية كانت قادرة بالفعل على إغلاق جميع نقاط الضعف هذه لمنع هجمات مماثلة قبل أن يكشفها بيرسان ، فقد يكون لنتائجها آثار طويلة المدى على كيفية استخدام شركات التكنولوجيا الكبيرة لمستودعات المصادر المفتوحة وتقنيات المشاركة لتقليل المخاطر ، حذر الباحثون الخبراء.

تمكن أليكس بيرسان من تصميم هجومه الإلكتروني بعد قراءة التعليمات البرمجية التي تشاركها العديد من الشركات في مستودعات مفتوحة المصدر على منصات مثل GitHub ، كما شرح هو نفسه في مدونته.

 أثناء مناقشة رمز PayPal مع باحث آخر ، أدرك بيرسان أنه يتضمن   سطور التعليمات البرمجية التي من شأنها تنشيط الشفرة العامة الموجودة في المستودع تلقائيًا  بالإضافة إلى التبعيات الخاصة التي يبدو أنها تشير إلى الرمز المخزن من النموذج الداخلي.

جعل هذا بيرسان يسأل نفسه سؤالًا كبيرًا: ماذا سيحدث إذا تم تحميل حزم التعليمات البرمجية الخبيثة إلى مستودعات عامة تحمل نفس اسم الكود المخفي في التبعيات العامة؟ بشكل فعال ، أعطى النظام الأولوية للنسخ العامة ونفذ بشكل مستقل شفرة بيرسان "الخبيثة" لمجرد أنه يحمل نفس الاسم. لم يتسبب الكود الخاص به في أي ضرر للأنظمة ، بل عمل ببساطة على جعل المخترق يدرك أن  ضحاياه  قاموا بتثبيت حزمه بشكل فعال ، والتي يمكنه أيضًا استخراج المعلومات الأساسية حول الأنظمة التي كانت تنفذ الكود المذكور.

تشبه استراتيجية بيرسان أسلوب الاختراق المطبعي ، وهو أسلوب قرصنة يمكن من خلاله لمجرمي الإنترنت تثبيت حزم ضارة في التعليمات البرمجية والانتظار حتى يخطئ المطور في تهجئة حرف واحد من سطر التعليمات البرمجية ليتم تنفيذ الاختراق. المشكلة أن ما حققه بيرسان أخطر بكثير: لم يضطر أحد إلى ارتكاب أي أخطاء لتنفيذ الشفرة الخبيثة. كان يعمل فقط من خلال طبيعة عمل النظام مع هذه المستودعات العامة.

حذر بيرسان في مدونتك من أن "استبدال الحزم الداخلية بأسمائها كان طريقة معصومة تقريبًا للوصول إلى شبكات أكبر المنصات التكنولوجية في العالم ، وبفضل ذلك يمكن تنفيذ التعليمات البرمجية عن بُعد ويمكن لمجرمي الإنترنت  تثبيت أبواب خلفية أثناء عملهم".

تمكن الهاكر الأخلاقي أليكس بيرسان من تثبيت البرامج الضارة الخاصة به في الأنظمة الداخلية لشركات مثل Microsoft أو Apple أو PayPal أو Shopify أو Netflix أو Tesla أو Yelp أو Uber. كما أوضح أن جميع الشركات كانت قادرة على تصحيح هذه الثغرة الأمنية على أنظمتها الخاصة قبل أن يكشف عن النتائج التي توصل إليها. وبالتالي ، فقد حصل  على أكثر من 130 ألف دولار من مكافآت  وفقًا لسجلات HackerOne ، وهي إحدى المنصات الرئيسية للمطالبة بهذه الجوائز.

ليست هناك تعليقات:

إرسال تعليق

جميع الحقوق محفوظة ل حوحو للمعلوميات 2024
تصميم و تكويد : بيكود