أخبار الأمن لهذا الأسبوع: اختراق الصين للبريد الإلكتروني السحابي لشركة مايكروسوفت قد يكشف عن مشاكل أعمق

كان الهجوم الإلكتروني الذي اخترق عشرات الآلاف من خوادم مايكروسوفت إكستشينج في جميع أنحاء العالم في مارس/آذار من أهم الحوادث الأمنية لهذا العام. فقد استغل القراصنة، الذين يُعتقد أنهم مرتبطون بالحكومة الصينية، أربع ثغرات لم تكن معروفة من قبل في برنامج البريد الإلكتروني الشهير للوصول إلى البيانات الحساسة وتثبيت برمجيات خبيثة على الأنظمة المتضررة.

Si bien Microsoft lanzó rápidamente parches para corregir las fallas, muchas organizaciones tardaron en aplicarlos o no eran conscientes de la urgencia. Como resultado, los atacantes tuvieron una oportunidad de comprometer tantos servidores como pudieron antes de ser detectados. Según algunas estimaciones, más de 60.000 organizaciones sólo en Estados Unidos se vieron afectadas por la infracción, incluidas pequeñas empresas, gobiernos locales, escuelas y organizaciones sin fines de lucro.

لا يزال الكشف عن تأثير الاختراق جارياً في الوقت الذي يحاول فيه الباحثون الأمنيون ووكالات إنفاذ القانون تقييم مدى الضرر وتحديد الضحايا. من المحتمل أن بعض الخوادم المخترقة لا تزال تستضيف قذائف ويب خبيثة تسمح للمخترقين بالحفاظ على الوصول عن بُعد وتنفيذ الأوامر. بالإضافة إلى ذلك، يمكن استخدام البيانات المسروقة في هجمات أخرى، مثل التصيد الاحتيالي أو سرقة الهوية أو التجسس.

يثير هذا الاختراق أيضًا تساؤلات حول أمان وموثوقية الخدمات المستندة إلى السحابة، خاصة تلك التي تقدمها شركة مايكروسوفت، التي تهيمن على سوق برمجيات المؤسسات.

في حين ادعت مايكروسوفت أن نسختها السحابية من برنامج Exchange لم تتأثر بالهجوم، إلا أن بعض الخبراء قالوا إن البنية التحتية السحابية المعقدة والمترابطة للشركة قد تشكل مخاطر ونقاط ضعف خفية غير مفهومة أو مكشوفة بشكل جيد.

على سبيل المثال، اقترح بعض الباحثين أن القراصنة ربما استخدموا تقنية تسمى «الاختراق عبر السحابة» للاستفادة من وصولهم إلى خوادم Exchange للوصول إلى خدمات Microsoft السحابية الأخرى، مثل Azure أو Office 365. ومن المحتمل أن يؤدي ذلك إلى تعريض المزيد من البيانات والأنظمة للمهاجمين، فضلاً عن صعوبة اكتشافهم وإزالة وجودهم.

ومن المخاوف الأخرى هي أن مايكروسوفت ربما كانت على علم بالثغرات الموجودة في برنامج Exchange لأشهر قبل الكشف عنها علنًا وإصدار تصحيحات لها. فوفقاً لتقرير نشرته صحيفة وول ستريت جورنال، تم إخطار مايكروسوفت بالثغرات من قبل شركة أمن تايوانية تدعى Devcore في يناير/كانون الثاني، لكنها لم تتصرف حيالها حتى مارس/آذار، عندما علمت أن القراصنة يستغلونها بنشاط.

ربما يكون هذا التأخير قد منح المهاجمين مزيداً من الوقت للاستعداد وإطلاق حملتهم وزاد من فرص اكتشاف جهات تهديد أخرى للثغرات واستغلالها. كما أنه يثير تساؤلات حول سياسة مايكروسوفت في الكشف عن الثغرات ومسؤوليتها في إبلاغ عملائها وحمايتهم.

ويُعد اختراق خوادم مايكروسوفت إكستشينج تذكيرًا بأن الخدمات المستندة إلى السحابة ليست محصنة ضد الهجمات الإلكترونية، وأنه يجب على المؤسسات اتخاذ خطوات استباقية لحماية بياناتها وأنظمتها.

ويشمل ذلك التصحيح السريع، ومراقبة نشاط الشبكة، وتنفيذ خطط النسخ الاحتياطي والاستعادة، وتثقيف المستخدمين حول النظافة الإلكترونية. ويعني ذلك أيضاً المطالبة بمزيد من الشفافية والمساءلة من مقدمي الخدمات السحابية، مثل مايكروسوفت، بشأن ممارساتهم وسياساتهم الأمنية.

إذا كنت مهتمًا بآخر التطورات في مجال الحقوق المدنية والأمن السيبراني والمراقبة، فقد ترغب في قراءة هذه التدوينة. فهو يغطي ثلاث قصص مهمة ظهرت مؤخراً ويشرح سبب أهميتها لمجتمعنا.

تدور القصة الأولى حول تسوية تاريخية لدعوى قضائية جماعية ضد إدارة شرطة نيويورك (NYPD) بسبب تعاملها العنيف وغير القانوني مع المتظاهرين في عام 2020. اتُهمت إدارة شرطة نيويورك باستخدام القوة المفرطة والقيام باعتقالات زائفة وانتهاك القانون الدستوري. تم رفع الدعوى القضائية من قبل آلاف الأشخاص الذين خرجوا إلى الشوارع بعد مقتل جورج فلويد على يد ضابط شرطة في مينيابوليس. كانت الدعوى القضائية مدعومة بأداة قوية قامت بتحليل كميات هائلة من أدلة الفيديو من مجموعة متنوعة من المصادر، بما في ذلك كاميرات جسم الشرطة وطائرات الهليكوبتر ووسائل التواصل الاجتماعي.

تمكّنت الأداة، التي أنشأتها وكالة SITU Research، وهي وكالة تصميم متخصصة في قضايا الحريات المدنية، من تحديد الأنماط والاتجاهات في سلوك الشرطة وتقديم أدلة ملموسة على الانتهاكات المنهجية. وتعد هذه التسوية، التي تصل قيمتها إلى أكثر من 13 مليون دولار أمريكي لـ 1380 مدعٍ، واحدة من أكبر التسويات في تاريخ الولايات المتحدة لقضية تتعلق بالاحتجاج.

أما القصة الثانية فتتعلق بورقة بحثية جديدة تكشف عن نقاط ضعف مقلقة في الأقمار الصناعية التي تدور في المدار. ويكشف المقال، الذي كتبه باحثون في جامعة بوخوم في ألمانيا، أن ثلاثة نماذج مختلفة من الأقمار الصناعية تعاني من عيوب خطيرة متعددة يمكن أن تسمح للقراصنة بالسيطرة عليها، أو تعطيل عملياتها أو حتى اصطدامها بأقمار صناعية أخرى أو بالأرض.

وقد اختبر الباحثون الأقمار الصناعية باستخدام المعلومات والأدوات المتاحة للجمهور، ووجدوا أنها تفتقر إلى تدابير الأمان الأساسية مثل التشفير والمصادقة والتحقق من السلامة. وتسلط الورقة البحثية الضوء على الحاجة الملحة لتحسين الأمن السيبراني للأقمار الصناعية، والتي تعتبر ضرورية للعديد من جوانب حياتنا الحديثة، مثل الاتصالات والملاحة والتنبؤ بالطقس والاستخبارات العسكرية.

القصة الثالثة تدور حول مشروع قانون من الحزبين الجمهوري والديمقراطي يهدف إلى منع وكالات الاستخبارات الأمريكية ووكالات إنفاذ القانون من شراء البيانات الشخصية للأمريكيين من وسطاء خارجيين دون أمر قضائي. مشروع القانون، المسمى قانون التعديل الرابع ليس للبيع، قدمه عضوا مجلس الشيوخ رون وايدن وراند بول، المعروفان بمعارضتهما القوية لتجاوزات المراقبة.

سوف يغلق مشروع القانون ثغرة تسمح للوكالات الفيدرالية بالتحايل على حماية التعديل الرابع من خلال شراء البيانات من الشركات التي تجمعها من مجموعة متنوعة من المصادر، مثل التطبيقات أو المواقع الإلكترونية أو الأجهزة. كما سيمنع مشروع القانون الوكالات من شراء البيانات التي تم الحصول عليها بشكل غير قانوني أو بدون موافقة من حكومات أجنبية أو قراصنة أجانب. وقد حظي مشروع القانون بدعم كل من الديمقراطيين والجمهوريين، بالإضافة إلى جماعات الحريات المدنية وشركات التكنولوجيا.