فريق اعتبرها فكرة مبدعة لحماية المستخدمين.. وآخر اعتبرها تصرفاً «أخرق» يموّل مجرمي الإنترنت

خبراء أمن المعلومات ينقسمون تجاه شراء «فيس بوك» كلمات مرور مسـروقة

«فيس بوك» تهدف إلى مقارنة الكلمات المسروقة بتلك التي يعتمد عليها مستخدمو الشبكة، وتنبيه المشتركين في حال حدوث تطابق. أرشيفية

المصدر:

القاهرة ـــ الإمارات اليوم

التاريخ: 24 نوفمبر 2016

أثار شراء شركة «فيس بوك» الأميركية، مئات الآلاف من كلمات المرور وأسماء المستخدمين المسروقة قبل عرضها للبيع في «الإنترنت السوداء»، جدلاً كبيراً بين خبراء أمن المعلومات خلال الأيام الماضية، إذ انقسم الخبراء إلى فريق يرى في ما حدث سابقة خطيرة يتعين مساءلة «فيس بوك» عليها، لكونها أقدمت على تصرف «أخرق» لا يؤدى إلى شيء سوى صب الأموال في جيوب المجرمين، وفريق آخر يرى تحيتها على هذا التصرف، لكونه فكرة مبدعة تتبنى النهج الاستباقي الإيجابي في حماية بيانات المستخدمين.

حماية المشتركين

كانت «فيس بوك» أقرت منذ أيام، على لسان مدير الحماية الإلكترونية لديها، أليكس ستاموس، في كلمته أمام قمة الـ«ويب» بمدينة لشبونة البرتغالية، بأنها اشترت من السوق السوداء الآلاف من كلمات المرور المسروقة، بهدف توفير مزيد من الأمان لمستخدمي الموقع وحماية المشتركين الذين يعتمدون كلمات مرور متشابهة على أكثر من موقع إلكتروني.

وقال ستاموس إن الهدف هو مقارنة الكلمات المسروقة بتلك التي يعتمد عليها مستخدمو «فيس بوك»، وعند حدوث تطابق بين أي كلمة مرور مسروقة مع أخرى مسجلة على الموقع، يتم تنبيه المشتركين الذين يعتمدون على كلمات مرور ضعيفة أو غير آمنة لزيادة حماية حساباتهم.

وقد أثار هذا التصريح دهشة العديد من خبراء أمن المعلومات، إذ إنه ليس الأول من نوعه، فطبقاً لما قاله مسؤولون في شركة «ناكيد» لأمن المعلومات، تعد هذه ثاني مرة تقدم فيها «فيس بوك» على مثل هذا التصرف، وكانت المرة الأولى عام 2013 حينما حدثت عملية اختراق كبرى لشركة «أدوبي» للبرمجيات، وحدث تسريب لآلاف من كلمات المرور وأسماء المستخدمين لديها، وساعتها اشترت «فيس بوك» كلمات المرور المسربة، وقارنتها بما لدى مشتركيها لمعرفة الأشخاص الذين يستخدمون كلمة المرور ذاتها في أكثر من موقع، ثم منعت المستخدمين الذين يعتمدون كلمة المرور ذاتها في أكثر من مكان من الدخول إلى الموقع، إلا من خلال استخدام كلمة مرور أكثر تعقيداً.

تصرف أخرق

إلا أن هذا التبرير من جانب «فيس بوك» لم يشفع لها عند العديد من خبراء أمن المعلومات، وطبقاً لتقرير نشره موقع «سي إس أو أونلاين» csoonline.com المتخصص في متابعة قضايا أمن المعلومات انقسم الرأي بين مؤيد ومعارض ومن يدعو للانتظار الحذر.

فالمعترضون على هذه الخطوة رأوا أنها تصرف «أخرق»، لا يحقق شيئاً سوى تمويل جيوب المجرمين والمخترقين. وقال بهذا الرأي المؤسس والرئيس التقني لشركة «أمبيرفا» لأمن المعلومات في كليفلاند، عميشاى شولمان الذي رأى أن الدفع في كلمات مرور مسروقة يعزز ويقوي نموذج العمل الإجرامي، ويعطي مزيداً من التشجيع للمخترقين لسرقة المزيد من كلمات المرور.

وفي السياق نفسه، قال خبير أمن المعلومات في شركة «آلين فولت» لأمن المعلومات، جافاد مالك، إن الدفع للمخترقين له تداعيات أخرى، لأن أحداً لا يعلم أين ستذهب هذه الأموال، والأغلب ـ إن لم يكن من المؤكد ـ أنها ستذهب لتمويل مزيد من الأنشطة الإجرامية. وقال إن الدفع للمجرمين لن يخرجهم من الأسواق بأي حال، ولن يجعلهم يكفون عن المحاولة مرة أخرى، فضلاً عنه أنه لا يوجد شيء يوقفهم عن إعادة بيعها مرة أخرى، فأنت تشتري نسخة.

وأوضح مالك أن هناك خيارات أخرى، مثل البحث عن «مقالب البيانات» التي يضع فيها المخترقون المعلومات المسروقة، وتدميرها، لافتاً إلى أن اصطياد المنتديات السفلية ومقالب البيانات على الشبكة أمر معقد ويتطلب عمالة كثيفة، لكنه نهج أكثر صحة وأخلاقية.

وتابع: «كان على (فيس بوك) استثمار الأموال المدفوعة للمجرمين، في تعزيز الإجراءات الأمنية لديها، والبحث عما يمكن للشركة القيام به لفرض عادات أمن معلومات جيدة على مستخدميها».

نهج عملي مبدع

بدورهم، دافع المؤيدون لقرار «فيس بوك»، باعتباره خطوة عملية ومبدعة تستحق التحية، وقال مدير ادارة المنتجات في شركة «هواثرون» للتقنية، براد بوسيه، إن النهج الذي اتبعته «فيس بوك» يعتبر مقبولاً، لكونه يحقق شيئاً عملياً سريعاً لمصلحة المستخدمين، على الأقل لدى «فيس بوك».

وتابع: «من خلال شراء كلمات المرور المسروقة، ومقارنتها بما هو موجود، تصبح (فيس بوك) في موقف المبادرة والاستباقية بدلاً من موقف رد الفعل، وإذا كان شراء كلمات المرور من الإنترنت السوداء ليس هو السيناريو المثالي والأخلاقي في نظر البعض، لكونه يغذي جيوب المخترقين والمجرمين، فلابد أن نتذكر أن المعلومات أكثر قيمة من الأموال التي يتم إنفاقها، وعلينا أن نحيي تفكير الأمن الاستباقي من قادة (فيس بوك)».

وقد انضم نائب الرئيس لاستراتيجية المنتجات في شركة «ليبرمان» للبرمجيات في لوس أنجلوس، جوناثان ساندر، لهذا الرأي، ودافع عن قرار «فيس بوك» قائلاً إن الأكثر أهمية أن شركات مثل «فيس بوك» لها تأثير كبير، وقاعدة مستخدمين فائقة الضخامة، وبالتالي، فإن النهج الذي لجأت إليه، وما أعلنت من خلاله أنها ستتواصل مع مستخدميها لتنبيههم إلى عدم استخدام كلمة المرور الواحدة في أكثر من موقع، وفرض استخدام كلمات مرور معقدة، كل هذا في حقيقته عملية «تعليم وتدريب» لنطاق واسع من الجمهور، ترفع من الوعي بأمن المعلومات، وتعلم استخدام عمليات التحقق متعددة العناصر، ولذلك فهذه فكرة مبدعة للمساعدة في التعامل مع هذه المشكلة.

كما دعمت المديرة التنفيذية في شركة «سيل بوينت» للتقنية بمدينة «أوستن»، جيوليت رزق الله، هذا الرأي قائلة إن هناك عاملاً آخر لابد أن يؤخذ في الاعتبار، هو أن تسرب البيانات يمكن أن يكون له تأثير الدومينو عبر مؤسسات متعددة، وعبر قطاع التقنية كله، لذلك فهذه خطوة ذكية ومبدعة من جانب «فيس بوك».

العبرة بالنتائج

وبين مؤيد ومعارض، ظهر فريق ثالث من الخبراء تبنى النظرة الحذرة، والتعامل المشروط مع الخطوة التي أقدمت عليها «فيس بوك»، وربط قبولها بالنتيجة التي ستحققها، وعبر عن هذا التوجه المدير التقني لشركة «باندا» الإسبانية لأمن المعلومات، لويس كورونس، بقوله إن الأخلاقيات غالباً تكون محكومة بالسؤال عن النوايا والتوجهات، وبالطبع فإن نوايا «فيس بوك» وغيرها ممن يشترون الكلمات المسروقة هي نوايا جيدة، وهنا يصبح السؤال الجوهري والحقيقي: هل سيحقق التعامل بهذه الطريقة مع المجرمين نجاحات آنية ومستقبلية على صعيد حماية المستخدمين؟ وإذا كانت النتيجة ايجابية، فإنها ـ أي النتيجة ـ ستوازن المقاييس الأخلاقية المتعلقة بمبدأ تمويل التعامل مع المجرمين، بعبارة أخرى العبرة بالنتيجة.

تويتر