«مـــوزيلا»: 90.6% مـن مـواقـع الإنترنت مصابة بثغرات ونقاط ضعف أمـنية
صدمت شركة «موزيلا»، المتخصصة في تقنيات الـ«ويب» وصاحبة المتصفح الشهير «فايرفوكس»، متابعيها ومتخصصي أمن المعلومات بالإعلان، أخيراً، عن اكتشافها أن 90.6% من مواقع الإنترنت تحتوي على ثغرات ونقاط ضعف أمنية، إضافة إلى أخطاء في تركيب أدوات تأمين المواقع المختلفة وتشغيلها.
وجاءت هذه الصدمة مع إطلاق «موزيلا» مرصداً مجانياً للفحص والتدقيق في سلامة إجراءات التأمين المتبعة بمواقع الـ«ويب» المختلفة.
| مرصد «موزيلا» أفادت شركة «موزيلا» بأن المرصد المجاني الذي أطلقته، أخيراً، لفحص المواقع، متاح على موقعها observatory.mozilla.org، ويعرض نتائجه في شكل سهل الاستخدام، مع رابط يعود بالمستخدم إلى موقع «موزيلا» لإرشادات التأمين، الذي يعرض توصيفات ونماذج تطبيقية، تسمح لمديري المواقع أن يفهموا بطريقة أسهل طبيعة المشكلات التي جرى كشفها خلال الفحص ووضع أولويات لحلّها. من المواقع التي رسبت في اختبارات مرصد «موزيلا» الجديد، موقع «موزيلا» للإضافات الذي يُعد ثاني أكبر موقع للشركة. المرصد مبني على كود مفتوح المصدر، وله طريقة برمجة متاحة لمديري النظم الذين يحتاجون إلى فحص المواقع دورياً. تقرير «سينزيك» بيّن أن 25% من نقاط الضعف، هي ثغرات من نمط «إكس إس إس» التي تسمح بحدوث «الهجمات الصامتة». 1.3 مليون موقع فحصتها «موزيلا» مع تشغيل مرصدها الجديد للتدقيق في تأمين المواقع. |
وأوضحت الشركة أنه مع التشغيل الأولي للمرصد، تم فحص 1.3 مليون موقع حول العالم، فوجد أن مليوناً و178 ألفاً و16 موقعاً منها مصابة بثغرات أمنية، وبالتالي رسبت في الاختبارات والفحوص، بينما نجح 121 ألفاً و984 موقعاً في الاختبارات، أي أن 9.4% فقط من إجمالي عدد المواقع التي تم فحصها ثبت خلوها من الثغرات ونقاط الضعف الأمنية.
أرقام أكثر تشاؤماً
وتزامن إعلان «موزيلا» عن هذه النتائج، مع تقرير أصدرته شركة «سينزيك» المتخصصة في أمن المعلومات، وتضمن أرقاماً أكثر تشاؤماً، إذ ذكر أن نسبة مواقع الإنترنت التي تعاني ثغرات ونقاط ضعف أمنية تصل إلى 96% من المواقع على الـ«ويب».
وبين التقرير نوعيات نقاط الضعف الأمنية حسب معدلات انتشار كل منها، موضحاً أن 25% منها عبارة عن ثغرات أمنية من نمط «إكس إس إس» التي تسمح بحدوث ما يعرف بـ«الهجمات الصامتة» من قبل «الهاكرز»، فيما كانت 23% منها نقاط ضعف تتعلق بتسريب المعلومات، إضافة إلى 15% نقاط ضعف خاصة بالتحقق من الهوية، و13% نقاط ضعف خاصة بإدارة الجلسات أو الزيارات على الموقع، فضلاً عن 4% تتعلق بمشكلات في قاعدة بيانات المواقع، و6% نقاط ضعف من نمط «سي إس آر إف» التي تسمح للمهاجم بإجبار المستخدم النهائي على تنفيذ أشياء غير مطلوبة في تطبيق يعمل على الـ«ويب»، علاوة على 14% نقاط ضعف أخرى متفرقة.
سببا المشكلة
وأرجعت شركتا «موزيلا» و«سينزيك» هذا الوضع الذي وصفتاه بـ«الخطير» إلى سببين، الأول، يتمثل في أن أصحاب المواقع يهتمون بشدة بالتصميم وطريقة عرض المحتوى، والتوافق مع محركات البحث، إلى جانب كفاءة الموقع وسرعته في الاستجابة، وتضمين العديد من الخدمات عليه، وبالمقابل لا يهتمون بالقدر نفسه بأدوات التأمين اللازمة والضرورية، بحيث إما يجعلون منها أمراً هامشياً ثانوياً، أو لا يعيرون الأمر اهتماماً على الإطلاق.
وذكرت الشركتان أن السبب الثاني يتعلق بأدوات التأمين نفسها، التي تتسم بالتعدد والتنوع والتشرذم والصعوبة في فهم التشغيل والتنفيذ.
وفي هذا الصدد، قالت مهندسة أمن المعلومات في «موزيلا» وأشرفت على بناء المرصد الجديد، أبريل كينغ، إنه في بعض الحالات يكون بناء موقع مؤمّن، باستخدام جميع التقنيات المتاحة التي جرى تطويرها في السنوات الأخيرة من قبل مصنّعي المتصفحات، أصعب من العثور على نقاط الضعف في الأكواد وعلاجها، مشيرة إلى أن تقنيات التأمين تنتشر عبر أعداد كبيرة من المعايير والوثائق والمقالات التقنية التي تتحدث عنها، ولا يوجد مكان واحد يمكن لمشغلي المواقع الذهاب إليه لتعلم ما الذي تفعله كل تقنية، وكيف يمكن تنفيذها وتشغيلها، ومدى أهمية مثل هذه الأشياء.
وأضافت كينغ أن هذه الصعوبات في العثور على موارد يسهل فهمها حول خواص ووظائف تأمين المواقع، أسهمت في خفض معدل الاعتماد عليها وتطبيقها.
مرصد متكامل
وفي ما يتعلق بالمرصد الجديد، أوضحت «موزيلا»، أنه يفحص ما إذا كانت الحاسبات الخادمة للمواقع تتضمن أفضل وضعية تحقق أمن المعلومات أم لا، وذلك من خلال التحقق من وجود طيف واسع من أدوات ومعايير التأمين داخل الموقع من عدمه، ثم فحص حالة هذه الأدوات، وهل تم تركيبها وتهيئتها وتشغيلها بصورة صحيحة أم لا، مثل معيار «إس إس إل»، أو طبقة المنافذ المؤمّنة، وهو تقنية تأمين معيارية لبناء قناة توصيل مشفرة بين الحاسب الخادم الذي يشغل الموقع وبرنامج التصفح الذي يستخدمه زوار الموقع، إضافة إلى معيار «تي إل إس»، وهو بروتوكول تأمين طبقة النقل، الذي يحقق الخصوصية وسلامة وأمن البيانات المنقولة أو المتبادلة بين أي تطبيقين على الشبكة، سواء المتصفحات وأي تطبيقات أخرى تتطلب أن يتم تبادل البيانات في ما بينها، هذا فضلاً عن العديد من أدوات التأمين الأخرى مثل علامات التأمين لـ«الكوكيز»، وسياسة تأمين المحتوى، والمفتاح العام لتأمين بروتوكول «إتش تي تي بي»، وغيرها.
نظام للتقييم
وأضافت «موزيلا» أن المرصد مبني على كود مفتوح المصدر، وله واجهة تطبيق وطريقة برمجة متاحة لمديري النظم الذين يحتاجون إلى فحص عدد كبير من المواقع بصفة دورية، أو تنفيذ هذه الفحوص داخلياً، مبينة أن المرصد يستخدم نظاماً للتقييم يمنح النقاط من صفر إلى 100، مع احتمالية نقاط أخرى كعلاوة إضافية، تترجم إلى مستويات من الدرجة (إف)، وهي الأدنى في التقييم، إلى الدرجة (إيه +) الأعلى.
وأفادت «موزيلا»، بأن من بين المواقع التي رسبت في اختبارات المرصد بعد تشغيله، مواقع مملوكة لـ«موزيلا» نفسها، مثل موقع «موزيلا» للإضافات، الذي يعد ثاني أكبر موقع للشركة، مشيرة إلى أنه حقق الدرجة (إف) فقط، وعلى الفور تم علاج الوضع وجعل الموقع يحصل على الدرجة (إيه+).
أدوات أخرى
يذكر أن هناك عشرات الأدوات الأخرى المدفوعة والمجانية المستخدمة في إجراء الفحوص على المواقع، وكشف ما فيها من أخطاء وعثرات برمجية ونقاط ضعف أمنية، إذ إن العديد من الشركات والمواقع المتخصصة تهتم بتقييم وعرض مثل هذه الأدوات، مثل قائمة أفضل 12 أداة التي أعدها موقع geekflare.com، والتي تضمنت «سكان ماي سيرفر»، و«سيوكوري»، واختبار معامل «كواليس»، و«كيوتيرا»، و«ديفيكتفاي»، و«سايت جارد»، و«ويب انسبكتر»، و«إكيونتكس»، و«أسافاويب»، و«نيت سباركز»، و«آب جارد ويب سكان»، و«تين فويل».
وتتنوع قدرات وخصائص هذه الأدوات في مجال الفحص والكشف عن الثغرات الأمنية، وتوصيف العلاجات المناسبة للتعامل معها.