خلال دقائق,, عرض 2500 رقم بطاقة ائتمان تخزنها سبعة مواقع للتجارة الإلكترونية

في مسلسل الثغرات الأمنية وسرقة البيانات على شبكة الإنترنت

استطاعت شبكة MSNBC، خلال بضع دقائق، عرض ما يقرب من 2500 رقم بطاقة ائتمان، تخزنها سبعة مواقع للتجارة الالكترونية، صغيرة الحجم، وباستخدام تعليمات أولية زودتها بها إحدى الجهات, وفي كل الحالات وصلت هذه المواقع قوائم عملائها وبياناتهم الشخصية، بالشبكة, وكانت هذه القوائم إما غير محمية بكلمات مرور، او كانت كلمات المرور الموجودة في الموقع مكشوفة.
قفزت الشهر الماضي، مسألة سرقة بيانات بطاقات الائتمان، وهي احدى المشاكل المرتبطة بالتجارة عبر إنترنت، الى واجهة الاحداث التي تهم المستخدمين، حين تمكن احد المتطفلين، والذي اطلق على نفسه اسم (ماكسس)، من اقتحام قاعدة بيانات بطاقات ائتمان المستخدمين التابعة لشركة CD Universe, وما زالت التكهنات تحيط بالطريقة التي تمكن بها من القيام بذلك.
ولعل ماكسس لم يكن بحاجة لبذل جهد كبير لتحقيق ذلك,, فقد تمكنت شبكة MSNBC، وهي شبكة إخبارية تملكها كل من مايكروسوفت وشبكة NBC، من عرض ما يقارب 2500 رقم بطاقة ائتمان، وبيانات اخرى، بمجرد تصفح مواقع للتجارة الالكترونية على شبكة ويب، باستخدام ادوات قواعد بيانات متوفرة تجاريا، بدلا من استخدام متصفح للشبكة, وكانت تلك المواقع تخزن بطاقات الائتمان على شكل نص عادي، في قاعدة بيانات متصلة بالشبكة، وتستخدم اسماء العملاء الافتراضية بدون كلمة مرور أحيانا.
واكتشفت هذه الثغرات الأمنية شركة Strategy LLC الروسية للبرمجيات, ويقول اناتولي بروكوروف، كبير مديريها التنفيذيين، انه ابلغ تلك المعلومات لشبكة MSNBC، وانه حاول في البداية الاتصال مع شركات اخرى، الا انها لم تستجب له!
ويقول يروكوروف: يدل هذا الأمر في رأينا، على درجة عالية من عدم الاحتراف، وليس له ما يبرره وتكتب شركة Strategy LLC برامج تساعد المستخدمين على مقارنة الأسعار عبر مواقع تجارة الكترونية متعددة، واعتاد لذلك، المطورون العاملون فيها، على بنية البيانات الموجودة في مئات المواقع التي تتعامل بالتجارة الالكترونية, ولم يكن المطورون العاملون يبحثون عن الثغرات الأمنية على وجه التحديد، إلا أنهم عثروا عليها عن طريق الصدفة, ووصف بروكوروف الوضع بأنه (باب مفتوح، دهشنا لوجوده)!
لكن خبراء الأمن لم يدهشوا! فمع السرعة اللازمة للنجاح في اقتصاد إنترنت ذي الأهمية المتزايدة، اصبحت الشركات على عجلة من امرها لنشر مواقع عمل لها على الشبكة، وهو ما يجعلها تهمل المسائل المتعلقة بالأمن.
عاقبة التسرع يقول إلياس ليفي، صاحب موقع Security Focus. com يعتبر ما وجده صديقنا بروكوروف تصغيرا لما هو قائم بالفعل, وليس بإمكاننا الا ان نتخيل ما كان سيجده المتطفلون لو كانت أغراضهم سيئة,, فالمشكلة التي نحن بصددها مترامية الأطراف, وكان موقع Secutity Focus. com هو أول من أبلغ عن اختراق قاعدة بيانات شركة CD Universe.
وليست الثغرات الأمنية التي اكتشفها بروكوروف، مجرد وسيلة سهلة لسرقة بطاقات الائتمان، إذ تضمنت المواقع السبعة، التي تمكنت MSNBC من عرضها، كماً كبيرا من المعلومات الشخصية للمستخدمين، والتي تشمل: عناوين إرسال الفواتير، وأرقام الهواتف، وأرقام الضمان الاجتماعي للموظفين، أحياناً.
وأرسل بروكوروف لشبكة MSNBC قائمة بعشرين موقعاً على الشبكة، وبتعلميات أولية للدخول إليها لمشاهدة أرقام بطاقات الائتمان, ولم توفر هذه المواقع، التي كانت كلها، تشغل برنامج SQL Server من مايكروسوفت، حماية بكلمات المرور لمزودات قواعد بياناتها، فيما وفر بعضها كلمة مرور، لكن اكتشافها كان سهلا وكانت عملية الدخول الى تلك المواقع سهلة، إذ لم تتطلب اكثر من تشغيل مزود SQL Server وفتح اتصال مع الموقع على شبكة ويب,وهذه المواقع هي:
Softwarecloseouts. com
sharelogic. net
directmicro. com
epcdeals. com
computerparts. com
(اسقطنا من القائمة أسماء مواقع اخرى لم تتضمن معلومات المستخدمين الشخصية), وقد تم الاتصال بالمواقع السابقة، وتنبيهها الى ضرورة سد الثغرة الأمنية.
وعلى الرغم من ان وجود الثغرات الأمنية امر مؤكد، الا ان تعيين السبب الحقيقي قد لا يكون هيناً, فالمخاوف تزداد من تعرض الشركات الصغيرة، خاصة للاختراقات الأمنية، لأن معظمها لا تشغل خبراء في الكمبيوتر، بين صفوفها ويلجأ بعض اصحاب الشركات، احيانا، لقبول عروض انشاء مواقع منخفضة التكلفة، من مطورين يعدون بتوفير الامن على الموقع، الا انهم يخفقون في ذلك لاسباب مختلفة ويضاف الى ذلك الظهور المستمر للمشاكل الامنية في البرمجيات والتي تساعد على وقوع الاختراقات الامنية.
يمكن، في بعض الحالات، الاطلاع على الشيفرة الموجودة في الكمبيوتر المزود والمتضمنة في صفحة ويب، اذا ادخل المستخدم عبارة )DATA$::( مباشرة، بعد كتابة عنوان الموقع ضمن مستطيل العنوان في المتصفح، هذا اذا كان العنوان ينتهي بالامتداد )asp.( ويمكن ان يؤدي ذلك الى الكشف عن اسماء المستخدمين، أو كلمات المرور، أو اي معلومات اخرى عن الكمبيوترات المرتبطة بالمزود, وعلى الرغم من اكتشاف هذه الثغرة قبل سنتين، وتصحيحها منذ ذلك الوقت، الا ان MSNBC وجدت أربعة من المواقع المعرضة للاختراق، والتي يستضيفها مزود ويب واحد، لم تعمل على سد تلك الثغرة، بعد!!
ولم يكن ليصعب على اي متطفل الدخول الى قواعد البيانات تلك حتى إن لم يكن اسلوب الدخول معروفا, فقد كان اسم المستخدم اللازم لدخول قاعدة البيانات هو )sa(، التي ترمز لمدير النظام system administrator فيما كانت كلمة المرور، هي اسم الشركة، في أربعة من تلك المواقع، وكان اسم المستخدم في المواقع الثلاثة الاخرى )sa( بدون ان توجد كلمة مرور!
وقال متحدث باسم هذه المواقع (استعنا بخدمات احد المطورين لإنشاء الموقع، الا انه لم يعر تلك الثغرة الاهتمام الكافي! وكان يمكن للثغرة ان تكون داخل البرمجيات، وكان على المطور ان يأخذ ذلك بالحسبان، ايضا, وقصرنا في جانب آخر ايضا، وهو عدم استعانتنا بشركة متخصصة بشؤون الأمن، لاختبار موقعنا على الشبكة).
وقال روس كوبر، خبير الأمن الذي يدير قائمة البريد NTBug Traq انه يفضل الحصول على اكثر من رأي، عند بناء موقع للتجارة الإلكترونية.
وأوصى كوبر بوضع شرط في عقد بناء الموقع، ينص على وجوب اجتياز الموقع الاختبارات الأمنية التي يجريها طرف ثالث, وقال ان المشكلة الاساسية هي عدم مسئولية المطورين عن الثغرات التي يتركونها بعد بناء مواقع التجارة الالكترونية, وعلى الرغم من ان التجار مسئولون عن دفع تكلفة اي بضائع مسروقة، الا ان معظم عقود المطورين تنص على انهم غير مسؤولين عما يحدث للمواقع التي يبنونها، وينتهي لذلك الأمر بحصول كثير من الشركات، على موقع يعمل,, لكنه غير آمن!!
وليس لدى المستخدم العادي وسيلة لمعرفة مدى حماية معلوماته الشخصية بعد تسليمها لموقع معين على شبكة ويب, وقال ليفي: (يقع اللوم على اكثر من شخص, فلا يمكنك التعجل في بناء موقع للتجارة الالكترونية، بصرف النظر عن الأموال التي يخطط لجنيها, فالكثير من الأشخاص لا يأبهون بمسائل الأمن).
ومن الأخطاء الأساسية في كافة المواقع السابقة، وفي عدد آخر من المواقع، تخزين معلومات العملاء الخاصة، بنص عادي، على الرغم من توفر اساليب التشفير التي تضمن عدم القدرة على قراءة هذه المعلومات, ويقر الخبراء ان هذا التصرف غير مقبول وقال ويزلي وايلهيلم، مستشار منع الاحتيال في مجلس Internet Fraud Prevention Advisory Council نصيحتي هي، إبقاء المعلومات الخاصة بالمستخدمين بمنأى عن الوصول اليها عن طريق الشبكة، إن لم يكن ضمان امنها ممكنا.
اما المستهلكون فليس لديهم ما يفعلونه للتأكد من الطريقة التي يحمي بها موقع ويب بياناتهم الشخصية.
ويقترح بعض الخبراء استخدام بطاقة ائتمان واحدة للتسوق عبر انترنت، والاستمرار في التدقيق في فواتير البطاقة التي يتلقونها، لضمان عدم استخدامها من قِبل آخرين.