ستساعدك المقالة التالية: توحيد حساب Google – المخاوف الأمنية العالمية الحقيقية – دراسة حالة غير طوعية
حول الأمن
نادراً ما يتم الحديث علناً عن الخروقات الأمنية والمشاكل التي حدثت أو يمكن أن تنجم عن تلك الخروقات. والسبب في ذلك بسيط، فغالبًا ما يكون من المحرج لمالك الحساب المخترق أن يعترف بالانتهاك ولمزود الحل أن يكشف عن العيوب المحتملة التي قد تؤدي إلى فقدان ثقة العملاء الحاليين أو المستقبليين في سلامة الحساب. بيانات العملاء التي تم تكليفها بمزود الخدمة.
الحقيقة هي أنه في معظم الحالات لا يوجد سبب للإحراج، إذا بذل صاحب الحساب وموفر الحلول كل ما في وسعهما لمنع الانتهاكات الأمنية إلى الحد الذي يكون مبررًا وعمليًا بالنظر إلى نوع البيانات التي تحتاج إلى الحماية والعواقب المحتملة على الأطراف المعنية في حالة حدوث خرق.
بالطبع تعتبر الخروقات بسبب تجاهل القواعد الأساسية أمرًا محرجًا ولا تستحق أن تكون موضوعًا للنقاش العام. أنا أشير إلى أشياء مثل استخدام “كلمات المرور التي يمكن تخمينها”، مثل “كلمة المرور” أو “الرئيسية” أو “الجذر” أو الاسم الأول لطفل صاحب الحساب أو حقيقة عدم تغيير كلمات المرور الافتراضية للمصنع/النظام على الرغم من أن المالك كان على علم بوجود مثل هذه الأشياء. أيضًا نشر الإجراءات الأمنية الأساسية مثل جدران الحماية ومكافحة الفيروسات وبرامج التجسس والتشفير المناسب للبيانات والتواصل بين الخادم والعملاء ونشر آخر التحديثات الأمنية للبرنامج المستخدم من أي جانب والمستخدمين و جانب مزود البرنامج.
لا يوجد شيء مثل الأمان بنسبة 100%
حتى لو فعلت أي شيء بشكل صحيح، فهذا لا يعني أنك آمن بنسبة 100% ولا تقهر ضد الهجمات الأمنية، سواء كانت مستهدفة أو غير مستهدفة. ستكون أحمقًا ومنفصلًا عن الواقع إذا كنت تصدق ذلك.
لا يوجد أمان 100%! يعتمد معظم الأمان على حقيقة أن مقدار الوقت والموارد اللازمة لخرق الأمان لا يجعل من المفيد للمهاجم أن يحاول اختراق أمان النظام أو الحساب. إذا كانت فوائد أو مكاسب اقتحام نظام أو حساب أقل قيمة مما يتطلبه القيام بذلك فعليًا، فإن معظم المهاجمين مجبرون ويمكن اعتبار نظامك آمنًا إلى حد كبير. تكمن المشكلة دائمًا في نوع المهاجمين الذين لا يريدون الحصول على أي شيء سوى استغلال واكتشاف الثغرات الأمنية في الأنظمة التي يختارون مهاجمتها. يُشار إلى هؤلاء الأشخاص عادةً باسم المتسللين الأخلاقيين أو “القبعة البيضاء”؛ لأنها تساعد الشركات على جعل أنظمتها أكثر أمانًا وتحسين تنفيذ الاحتياطات الأمنية الصحيحة.
وجود خطة إذا حدث ما هو غير محتمل
نظرًا لأنه لا يمكن لأحد ضمان الأمان بنسبة 100%، فمن الضروري أن يكون لديك خطة وعملية جاهزة للنشر في حالة حدوث خرق. أنا مندهش دائمًا (بمعنى سيء) عندما أعلم أنه حتى الشركات الكبيرة تفشل في هذا الصدد وليس لديها خطط أو إجراءات يجب اتباعها في حالة وقوع الحدث غير المحتمل ولكن المحتمل بالفعل. يبدو أن Google هي إحدى تلك الشركات التي فشلت في وضع خطة لمثل هذه الأحداث. وهذا أمر مزعج بالنسبة لي، لأن جوجل زادت جهودها لتوحيد ودمج حسابات خدماتها المختلفة في أقل عدد ممكن من الحسابات وفي النهاية في حساب رئيسي واحد يسمح بالوصول إلى كل شيء، من AdSense إلى YouTube.
مثال على العالم الحقيقي (سيء).
كيف لى أن أعرف ذلك؟ حسنًا، لقد اختبرت هذا الحدث غير المحتمل بنفسي شخصيًا YouTube الحساب، والذي لم أربطه بأي من حساباتي في Google حتى الآن، باستثناء الاتصال أحادي الاتجاه بحسابي في Google AdSense. الحساب ليس بالغ الأهمية بالنسبة لي (الحمد لله) كما أنه لا يعرض الكثير من الوصول إلى البيانات الشخصية بسبب طريقة استخدامي للحساب وحقيقة أنني لم أربطه بحساب Google مما يمكّن المهاجم من الوصول البيانات التي تعتبر بالغة الأهمية بالنسبة لي.
كيف حدث الاختراق لا يزال غير مؤكد. لم أكشف أبدًا عن بيانات اعتماد المستخدم الخاصة بي في أي مكان، ولم يكن من الممكن تخمين كلمة المرور الخاصة بي، وأقوم بتشغيل برامج مكافحة برامج التجسس ومكافحة الفيروسات وأبقيها محدثة. تم تثبيت كافة التحديثات الأمنية الأخيرة لنظام التشغيل والمتصفحات المستخدمة. هل يستبعد هذا احتمال أن يكون المهاجم قادرًا على استغلال الثغرة الأمنية من جهتي ليتمكن من اقتحام حسابي على YouTube؟ لا، ليس كذلك.
قام المهاجم بإغلاق حسابي عن طريق تغيير كلمة المرور إلى شيء آخر وتغيير عنوان البريد الإلكتروني الموجود خلف الحساب إلى Yahoo! بريد إلكتروني. لا يبدو أنه هجوم مستهدف، بمعنى أن شخصًا ما أراد الوصول إلى حسابي على وجه الخصوص. ما يريده المهاجم من حسابي ليس واضحًا أيضًا. لقد قام بتسجيل الدخول إلى الحساب مرتين فقط حتى الآن ولم يتغير سوى القليل نسبيًا في حسابي.
علمت بوجود مشكلة في الحساب في 3 يناير 2008، وتم الاتصال بي YouTube الدعم في 4 يناير 2008 وأدركت بعد الرد الأولي في وقت لاحق في 5 يناير 2008 أن حسابي قد تم اختراقه.
لقد استجابت على الفور لجعل YouTube على علم بهذه الحقيقة بالإضافة إلى تقديم أكبر قدر ممكن من المعلومات من أجل أ) إثبات أنني المالك الشرعي للحساب، ب) تفاصيل الاتصال للتحقق من ادعاءاتي بشكل أكبر وللحصول على شيء ما في أيديهم ضدي، إذا كنت أرغب في ذلك كن مجرد مخادع يقدم ادعاءات خاطئة. واقترحت أيضًا حظر الوصول إلى الحساب لمنع أي ضرر إضافي للمحتوى والسماح بمزيد من استغلال الوصول غير القانوني إلى الحساب. وأردت أيضًا التأكد من أن أي إساءة استخدام للحساب قد تؤدي إلى حدوث مشكلة لي أو لـ Google، مثل استخدام الحساب لنشر محتوى غير قانوني.
لم يتم حظر الحساب. لقد لاحظت أن تسجيل الدخول إلى الحساب قد حدث مرة أخرى بعد 4 أيام في 9 يناير 2008. لقد أرسلت بريدًا إلكترونيًا آخر إلى YouTube دون الحصول على رد. أصبح هذا نمطًا مزعجًا، نظرًا لانخفاض استجابة الدعم منذ أن رفعت المستوى من خلال الادعاء بوجود خرق أمني.
كنت سأذهب إلى حد تقديم طلب دعم آخر عبر نموذج الويب الخاص بهم للحصول على رقم تذكرة جديد. لقد أشرت إلى رقم التذكرة الموجود في هذا الطلب. لقد استخدمت أيضًا نموذج “رسم خلفية التقرير” لزيادة الوعي بالمشكلة.
لقد استخدمت رقم الهاتف المباشر الوحيد الذي أملكه في دعم Google، وهو رقم خدمة Google Apps، حيث أنا عميل يدفع مقابل الحصول على شخص ما وتعزيز مطالباتي، بالإضافة إلى تقديم معلومات تعريف إضافية حول الهوية. وبعد تلك المكالمة الهاتفية، تلقيت بريدًا إلكترونيًا من فريق دعم Google Apps يطلب تفاصيل إضافية كتابيًا لدعم قصتي. لقد استجبت بالمعلومات المطلوبة وتوقفت مرة أخرى عن سماع أي رد من أي شخص. كان ذلك في 9 يناير 2008.
لقد كتبت بريدًا إلكترونيًا طويلًا وسيئًا (بدون القسم، أعدك بذلك) إلى عدة عناوين بريد إلكتروني في Google و YouTube، مشتمل YouTube ودعم جوجل، YouTube وGoogle Security وGoogle Feedback في 11 كانون الثاني (يناير) 2008. ولم يتم ارتداد سوى البريد الإلكتروني الموجه إلى دعم Google. لقد تلقيت بريدًا إلكترونيًا في اليوم التالي، يطلب مني تقديم 5 أشياء لتحديد ملكيتي الشرعية للحساب. لقد قمت بذلك بالفعل بشكل مباشر أو غير مباشر قبل ذلك، لكنني لم أشتكي وقدمت الأشياء المطلوبة بالترتيب والشكل الذي يريدونه. كان ذلك في 13 يناير 2008.
لقد أرسلت بريدًا إلكترونيًا للدعم مرة أخرى اليوم، أسأل فيه عن الحالة. تلقيت بريدًا إلكترونيًا بعد أربع ساعات ونصف يُقر بأن حسابي قد تم اختراقه بالإضافة إلى كلمة المرور الجديدة للحساب. واقترحوا أيضًا أن أقوم بتحديث عنوان البريد الإلكتروني مرة أخرى إلى حساب تحت سيطرتي. هذه عملية متعددة الخطوات حيث يتم منح المهاجم الفرصة للسيطرة على الحساب مرة أخرى. إذا حاول المهاجم تسجيل الدخول إلى حسابي مرة أخرى ولاحظ أن كلمة المرور التي قام بتعيينها لم تعد تعمل، فيمكنه ببساطة استخدام نموذج “نسيت كلمة المرور” لاستعادة كلمة المرور الجديدة ثم تغييرها مرة أخرى.
ولحسن الحظ أن هذا لم يحدث وتمكنت من السيطرة على حسابي مرة أخرى، بعد 12 يومًا من حدوث الاختراق وبعد 11 يومًا YouTube تم إخطاره بالانتهاك.
خاتمة
الصبي، أنا سعيد لأنني لم ربط بلدي YouTube حسابي في جوجل حتى الآن وأنا أيضًا لا أخطط للقيام بذلك، حتى اطمأننت إلى أن سبب الاختراق قد تم تحديده وأن الثغرة أُغلقت.
عرضت مساعدتي على YouTube/ فريق جوجل للتحقيق في الحادثة وتحديد مكان وكيفية حدوث الانتهاك. آمل أيضًا أن يؤدي هذا الحادث وكيفية التعامل معه إلى مراجعة أو وضع الإجراءات التي تتعامل مع هذا النوع من المشكلات. يصبح هذا أكثر أهمية عندما يتعلق الأمر بالانتهاكات الأمنية لحسابات Google الخاصة بالمستخدمين، حيث يمكن أن يكون للانتهاك عواقب أكبر وأشد خطورة. إن حجم الضرر المحتمل، إذا تم الاستيلاء على حساب Google الخاص بك وإذا كنت تستخدم العديد من خدمات Google ضمن هذا الحساب، يكون أكبر بشكل كبير من الضرر المحتمل، إذا تم عزل الاختراق إلى خدمة واحدة فقط من خدمات Google.
يسلب والدرس الذي يجب تعلمه
يعد هذا الحادث أيضًا بمثابة مثال للشركات الأخرى حول كيفية عدم التعامل مع مثل هذه الأشياء وتذكيرًا بالتحقق مرة أخرى للتأكد من نوع الإجراء الذي قمت به في حالة حدوث ما هو غير محتمل. وهذا يخاطب بشكل خاص أولئك منكم المسؤولين عن تلك الأشياء بطريقة أو بأخرى وليسوا على علم بمثل هذه الإجراءات. ويشمل ذلك الموظفين على المستوى التنفيذي وغيرهم ممن لديهم حصة في الشركة والذين لا يشاركون بشكل مباشر في أمن خدمات شركاتهم. ولا يضر أن نسأل ما هي الخطة إذا تم الإبلاغ عن الانتهاك.
إذا لم تكن لديك خطط، فمن الأفضل أن تبدأ العمل عليها، عاجلاً وليس آجلاً، قبل فوات الأوان.
كارستن كومبروفسكي
مسوق إنترنت ورجل أعمال، مالك ومحرر بوابة موارد التسويق عبر الإنترنت في Cumbrowski.com