التحقق متعدد العوامل: الحاجز أمام الاختراقات الكبرى وكيفية تحصينه

التحقق متعدد العوامل: الحاجز أمام الاختراقات الكبرى وكيفية تحصينه
أستمع الى المقال

ازدادت في الفترة الأخيرة حدة الاختراقات التي تمت ضد الكثير من الشركات التقنية العملاقة مثل مايكروسوفت ونيفيديا و سامسونج أيضًا، وذلك رغم استخدامهم لمجموعة من أحدث التقنيات الأمنية واعتمادهم على التحقق متعدد العوامل بالتأكيد، ويطرح هذا سؤالًا هامًا، كيف تمكن المخترقون من تخطي “التحقق متعدد العوامل” التي تتبناه معظم هذه الشركات؟ 

يرى الكثير من المستخدمين بأن التحقق متعدد العوامل هو أقصى درجات الأمان، ولكن الحقيقة تتبعد عن ذلك بعض الشيء، إذ رغم استخدام سامسونج للتحقق متعدد العوامل، فإن هذا لم يحميها من الاختراق الذي تم عن بعد وتسبب في تسريب أكثر من 200 غيغابايت من البيانات السرية والحساسة بخصوص مشاريع سامسونج القادمة. 

ثغرة سهلة الاستخدام من قبل العصابات المحترفة 

تسبب الاختراقات التي حدثت مؤخرًا للشركات التقنية العملاقة بالكثير من الضرر لهذه الشركات، إذ تم تسريب الرمز المصدري لمجموعة من معالجات كوالكوم التي تنوي سامسونج استخدامها في هواتفها القادمة، بالإضافة إلى تسريب مجموعة كبيرة من البيانات المتعلقة ببطاقات نفيديا الرسومية السابقة، وتعد مايكروسوفت الأقل ضررًا من هذه الاختراقات بفضل الفريق الأمني الموجود لديها، إذ استطاع السيطرة على الموقف قبل وصول المخترقين إلى أي بيانات هامة.

وجاءت كل عمليات الاختراق هذه من مجموعة “Lapsus$”، وقد ظهرت هذه المجموعة على الساحة مؤخرًا، لذلك تعتبر من عصابات سرقة البيانات الصغيرة والتي لا تمتلك الكثير من الخبرة، و رغم ذلك تمكنوا من اختراق الاحتياطيات الأمنية لمايكروسوفت ومجموعة كبيرة من الشركات. 

وتمكنت مجموعة Lapsus$ من سرقة ما يقدر حجمه بتيرابايت من البيانات المختلفة من شركة نفيديا، وتشمل هذه البيانات معلومات هامة عن تصميم البطاقات الرسومية للشركة، بالإضافة إلى الرمز المصدري لجميع تطبيقات نفيديا، بالإضافة إلى بيانات حساسة عن معالج الذكاء الصنعي الخاص بنفيديا وبيانات أكثر من 71 ألف موظف في الشركة. 

ولم تتوقف المجموعة عند ذلك، إذ اخترقت أيضًا قاعدة بيانات “Ubisoft”  وهي شركة مرموقة في صناعة الألعاب، وأعلنت الشركة الاختراق ولم تكشف عن بيانات تم سرقتها، ويعد هذا أمرًا مزعجًا لأن الكثير من اللاعبين يدخلون بيانات بطاقاتهم البنكية مباشرةً في قاعدة بيانات الشركة. 

وطالبت المجموعة نفيديا بازالة الحاجز الذي وضعته على بطاقتها الرسومية من أجل تقليل معدل التعدين الخاص بها، وذلك حتى لا يتم بيع هذه البطاقات لصالح المعدنين ومزارع التعدين وحتى لا يستفيدوا منها، ولكن رفضت نفيديا مطالب المجموعة وهو ما أدى لتسريب هذه البيانات عبر الإنترنت.    

قد يهمك أيضًا: قد تكون ضحيتها.. مايكروسوفت تحذر من حملة قرصنة روسية ضخمة تستهدف آلاف الشبكات

ولا يتوقف استخدام هذه الثغرة عند العصابات الصغيرة أو المبتدأة، إذ تستطيع العصابات الكبيرة والمحترفة الوصول إليها أيضًا، وقد استخدمتها عصابة Cozy Bear التابعة للمخابرات الروسية في إجراء هجوم SolarWinds الشرس الذي ضرب خطوط إمداد المحروقات على طول الساحل الشرقي للولايات المتحدة مطلع العام الماضي عبر إصابة نظام Solarwinds لإدارة هذه الخطوط.

وقد تسبب هجوم SolarWinds في إصابة أكثر من 33 ألف مستخدم لأنظمة الشركة من ضمنهم شركات من مجموعة  “Fortune 500” وهيئات حكومية أمريكية تشمل أجزاءً من البنتاجون والإدارات الأمنية المختلفة في البلاد.  

وقال “توم بوسيرت” أحد مستشاري الأمن الداخلي للرئيس الأمريكي الأسبق “دونالد ترامب” بأن عملية التعافي من هذا الهجوم قد تستغرق سنوات طويلة، وأن هذا الهجوم يمثل صيحة استيقاظ لجميع الهيئات الفيدرالية من أجل الاهتمام بالأمن الرقمي، ويشمل ذلك هيئة الحماية الرقمية التي تحصل على ملايين الدولارات سنويًا كدعم من الحكومة، ورغم ذلك لم تتمكن من اكتشاف الاختراق. 

ولم يتوقف هذا الأمر عند العصابات الدولية فقط، بل امتد ليصل إلى عصابة سرقة بيانات محليّة في مصر، وكانت هذه العصابة تستخدم طريقةً مشابهة من أجل التغلب على التوثيق متعدد العوامل مع الحسابات البنكية للضحايا وسرقتهم مباشرةً، وقد تمكنت الحكومة المصرية من القبض على هذا التشكيل العصابي والسيطرة عليه مؤخرًا. 

ولكن تمكن هذا التشكيل العصابي من سرقة أكثر من 2 مليون جنيه مصري ” 128 ألف دولار أمريكي” من حسابات المستخدمين في مصر، ودفع ذلك الحكومة المصرية بالتعاون مع البنوك من أجل الوصول إلى هذا التشكيل، كما بدأت جميع البنوك المصرية في حملة دعائية توعوية بأهمية حماية بيانات الحسابات البنكية وحفظها بعيدًا عن المتطفلين.

واستخدمت جميع هذه الفرق ثغرةً يسهل الوصول إليها من قبل الجميع حتى تتمكن من الحصول على تأكيد نظام التحقق متعدد العوامل لتصل إلى البيانات مباشرةً أو عبر إدخال جهاز جديد في قائمة الأجهزة الموثوق منها لتتمكن من الوصول إلى نظام التحقق ذاته بشكل أسهل. 

كيف بدأ التحقق متعدد العوامل؟ 

لم تظهر تقنية التحقق متعدد العوامل بشكلها الحالي مباشرةً، بل بدأت كتقنية تحقق ثنائي العوامل، يمكنك استخدامه للوصول إلى حساباتك الهامة بسهولة عبر رمز خاص يتم توليده وإرساله إليك من النظام الذي تستخدمه أو عبر تطبيق خاص مثبت في هاتفك.

وقد بدأ استخدام هذه التقنية في عام 2005 بشكل كبير، وذلك رغم ادعاء شركة AT&T للاتصالات أنها اخترعتها في عام 1990. 

قد يهمك أيضًا: مجموعة القراصنة الصينية LightBasin تتجسس على المكالمات في جميع أنحاء العالم

ولم تنتشر التقنية بشكل كبير ويصبح استخدامها شائعًا بين جميع المستخدمين حتى ظهور الهواتف المحمولة الذكية بشكلها الحالي وانتشارها، إذ بدأت بعد ذلك جميع الشركات تعتمد على هذه التقنية بشكل واسع، وذلك لأن الهواتف المحمولة كانت توفر طريقة سهلة وأقل تكلفة للوصول إلى مفاتيح التوثيق متعدد العوامل المختلفة. 

مستخدم يفتح هاتفه ببصمة الاصبع-مصدر الصورة  Pixabay

ويعد عام 2016 هو العام الذي انتشرت فيه تقنيات التحقق متعدد العوامل بكثرة، إذ تبنت الحكومة الأمريكية حملة بعنوان #turnon2fa لزيادة الوعي المجتمعي بأهمية التحقق متعدد العوامل، وقدم الرئيس الأمريكي أوباما مقالة كبيرة إلى جريدة وال ستريت لتوعية المستخدمين بأهمية تفعيل التحقق متعدد العوامل. 

ويعتمد “التحقق متعدد العوامل” على مبدأ بسيط، إذ يجب أن تمتلك طريقة ثانوية لتأكيد هويتك في كل مرة تخطط فيها للدخول إلى حسابك واستخدامه، وتختلف هذه الطريقة بناءً على إصدار “التحقق متعدد العوامل” الذي تستخدمه، إذ توفر بعض الإصدارات الحديثة استخدام مستشعرات الأمان الحيوي الموجودة في الهواتف المحمولة، بينما توفر مجموعة أخرى التطبيقات إمكانية إرسال رمز متغير إلى هاتفك أو أي جهاز تستخدمه بكثرة وتمتلك وصولًا سريعًا إليه، وذلك حتى تتمكن تأكيد هويتك بناءً على استخدامك لهذا الجهاز. 

وساعد تطور المستشعرات الحيوية الموجودة في الهواتف المحمولة مثل مستشعر بصمة الإصبع أو الوجه في زيادة أمان معايير التحقق متعدد العوامل، إذ أصبحت قادرًا على استخدام هذه المستشعرات كجزء من عملية التحقق متعدد العوامل. 

وتختلف تقنية التحقق متعدد العوامل عن التحقق ثنائي العوامل في المعايير التي يمكنك أن تستخدمها للتحقق من هويتك، إذ يسمح لك التحقق متعدد العوامل بإستخدام ثلاثة معايير أو أكثر، وتكون هذه المعايير في العادة إجابة عن السؤال السري، ويكون المعيار الثاني الرمز السري المولد من التطبيق، وتعد بصمة الوجه أو بصمة الإصبع هي المعيار الثالث. 

قد يهمك أيضًا : آبل تلاحق ثغرات “يوم الصفر” الأمنية على قدم وساق

كما يمكنك الاعتماد على مفاتيح التحقق الخارجية، وتعد هذه المفاتيح أجهزة فيزيائية أو مفاتيح خارجية يتم توصيلها بالحاسوب من أجل التحقق من هوية المستخدم وتأكيدها دون الحاجة لاستخدام معايير التحقق متعدد العوامل المعتادة، وتستخدم هذه الطريقة بكثرة في الأماكن  الحساسة وهي تعتبر الأكثر أمنًا. 

وقد عملت مجموعة من الشركات الأمنية الكبيرة معًا لتطوير معيار جديد يعد أكثر أمنًا في التحقق متعدد العوامل وهو معيار FIDO2، إذ يسمح هذا المعيار بإستخدام أكثر من جهاز من أجل التحقق من الهوية، بالإضافة إلى استخدام المستشعرات الحيوية. 

ثغرة صغيرة لا تحتاج إلى عبقري لاستغلالها 

تستخدم فرق الاختراق المختلفة ثغرةً سهلة للغاية ولا تحتاج إلى عبقري لاكتشاف هذه الثغرة أو محاولة استخدامها، ولكن تحتاج إلى مجهود كبير لتتمكن من إغلاقها. 

وتساعد هذه الثغرة فرق الاختراق على الوصول إلى أكواد التحقق متعدد العوامل، ليصبح بعد ذلك الوصول إلى الحسابات أمرًا سهلًا، كما قد يقوم المخترق بإضافة أجهزته وحساباته الخاصة إلى تطبيق التحقق متعدد العوامل ليتمكن من الوصول إلى هذه الحسابات لاحقًا وبسهولة. 

 ويعمل المخترق على استخدام تقنية تدعى MFA Prompt Bombing، وتعتمد هذه الطريقة بشكل كبير على تطبيقات التحقق متعدد العوامل التي ترسل تنبيهًا على الهاتف تطلب منك تأكيد تسجيل الدخول الجديد مثل فيسبوك وغيرها من التطبيقات الأخرى. 

الأمن الرقمي – مصدر الصورة pixabay

وتعتمد هذه الطريقة على إرسال الكثير من الطلبات لإزعاج المستخدم ومالك الجهاز المرتبط بنظام ” التحقق متعدد العوامل”، ويتم إرسال هذه الطلبات عادة في أوقات غير مناسبة أو في الليل، وذلك من أجل أن يوافق المستخدم عليها دون النظر إليها بشكل مباشر أو التدقيق فيها. وبالتالي يصل المخترق إلى الحساب مباشرةً. 

ولكن إذا كان تطبيق التحقق متعدد العوامل يطلب رمز تسجيل الدخول الخاص، فإن المخترق يحتاج إلى التواصل مباشرةً مع الضحية، وذلك أملًا في إقناعه بإعطائه هذا الرمز عبر الكذب عليه أو استخدام طرق الهندسة النفسية المختلفة. 

إذ يدعي المخترق بأنه أحد أعضاء الفريق الأمني أو التقني للمؤسسة التي يعمل بها الهدف، ويطلب منه بتزويده بالرقم الذي وصله عبر هاتفه الآن من أجل التحقق من هويته وتحديث البيانات عبر الهاتف.

كما يقوم بعض المخترقين باختراق هاتف الضحية، وبعد ذلك تثبيت تطبيق خبيث يقوم بمراقبة الهاتف حتى تصل الأكواد ليقوم بسرقتها مباشرةً دون الاتصال بالضحية أو التواصل معه مباشرةً، وهو ما يسهل عمل المخترق.

قد يهمك أيضًا: ارتفاع عدد مستخدمي آبل الذين يتركون التطبيقات تجمع المعلومات عنهم

ويعتمد بعض المخترقين على نظم استعادة كلمات المرور أو رموز الوصول إلى “التحقق متعدد العوامل” من أجل تثبيته على هواتفهم واستخدامه بسهولة دون العودة إلى الضحية، وقد صرح “مايك غروفر” بذلك عبر حديث له مع موقع Arstechinca

ولا تعد هذه الطرق جديدة أو مبتكرة، إذ تستخدمها الكثير من الفرق الأمنية الموجودة في الشركات الكبيرة، ولكن توجد مجموعة بها مجموعة من الثغرات المختلفة، وذلك عبر التعاقدات الخارجية لهذه الشركات أو الموظفين المؤقتين الذين يحصلون على صلاحيات الدخول إلى خوادم الشركة، وهو ما استخدمته مجموعة Laspus$ أثناء اختراق حسابات مايكروسوفت وسامسونج. 

ولابد أن تعمل الشركات الأمنية معًا من أجل الوصول إلى طريقة مبتكرة لحماية حسابات موظفيهم وبالتالي بياناتهم من الاختراق عبر استخدام أدوات التحقق متعدد العوامل المختلفة، ولكن يصبح هذا الأمر أصعب كلما زاد عدد الموظفين، إذ قد تجد البعض يعمل من منزلهم أو البعض يحتاج إلى الوصول لحسابه من خارج البلاد، لذلك لا تستطيع الشركات منع الحسابات الغير موجودة داخل منطقة بعينها من الوصول إلى بيناتها. 

رغم الثغرات إلا أنه يظل الأكثر أمنًا

رغم أننا تحدثنا كثيرًا عن اختراق التحقق متعدد العوامل، وكيف أن اختراقه سهل، إلا أن هذا لا يعني أنك لا يجب أن تستخدمه، وذلك لأنه يوفر حمايةً أقوى كثيرًا من طرق الحماية المعتادة التي لا تستخدمه.

ولكن يجب عليك كمستخدم أن تكون أكثر وعيًا بأمنك الرقمي وحمايته، لذلك لا يجب أن تترك هاتفك في يد أي شخص مهما كان، كما لا يجب أن تعطي كلماتك السرية وحساباتك السرية لأي مستخدم مهما كان هذا المستخدم ومهما كانت ثقتك في هذا المستخدم، وذلك لأنك لا تدري مالذي قد يحدث منه أو من يستمع إليكم، ويمكن بسهولة للمخترقين الوصول إلى الرسائل النصية أو الحسابات الشخصية وغيرها من الطرق لسرقة أي كلمة مرور أو رمز قمت بإرساله لأحدهم. 

ويفضل دائمًا أن تستخدم التحقق المتعدد عبر المؤشرات الحيوية مثل بصمة الإصبع أو الوجه، وذلك لأن هذه الطرق لا يمكن اختراقها بسهولة، ولا يجب عليك أن توافق على أي طلب لتسجيل الدخول يصلك من مكان لا تعرفه، ولا تخف من إغلاق حساباتك أو فقدان الوصول إليها، فإن علاج هذا الأمر أسهل كثيرًا من سرقة الحساب. 

هل أعجبك المحتوى وتريد المزيد منه يصل إلى صندوق بريدك الإلكتروني بشكلٍ دوري؟
انضم إلى قائمة من يقدّرون محتوى إكسڤار واشترك بنشرتنا البريدية.