الجمعة، 24 يناير 2014

هاكرز أخلاقيون: مكافآت “فيسبوك” عادلة و”السوق السوداء” يحكم قيمتها


اتفقت مجموعة من أعضاء قائمة شرف “فيسبوك” للهاكرز الأخلاقيين على أن المكافأة التي منحتها الشركة الأمريكية لمهندس حاسبات برازيلي، والتي صنفت على أنها الأكبر في تاريخ برنامج المكافآت لدى موقع التواصل الاجتماعي، على أنها عادلة.
وكان مهندس الحاسبات “ريجنالدو سيلفا” قد أكتشف ثغرة أمنية، وصفت بأنها إحدى أسوأ الثغرات التي تم إكتشافها في “فيسبوك”، لذا تم مكافآته بمبلغ 33500 دولار أمريكي.
وأكد الهاكر الأخلاقي المصري، محمد عبد الباسط، أن خطورة الثغرة تكمن في قدرة المخترق على تنفيذ أكواد مباشرة على خوادم “فيسبوك”، كما أنها تتيح الوصول إلى بعض الملفات والمعلومات الخاصة بنواة برمجة موقع التواصل الاجتماعي غير مصرح بالوصول إليها.
وأضاف عبد الباسط، في تصريح للبوابة العربية للأخبار التقنية، أن الثغرة من نوع Remote code execution والمعروفة اختصاراً باسم (RCE)، وهي من أنواع الثغرات الخطيرة للغاية على أي خوادم أو مواقع إلكترونية.
وتضع “جوجل” الثغرات من نوع Remote code execution على رأس قائمة برنامج المكافآت خاصتها، حيث يحصل الهاكرز الأخلاقيين الذين يبلغون عن ثغرة من هذا النوع في إحدى خدمات الشركة الأمريكية على مكافأة قدرها 20 ألف دولار أمريكي وهو أعلى مبلغ تدفعه “جوجل” ببرنامجها للتبليغ عن الثغرات.

ومن جانبه، اعتبر الهاكر الأخلاقي المصري، محمد فايز البنا، المبلغ الذي حددته “فيسبوك” نظير الثغرة التي أكتشفها “سيلفا” عادلا وذلك للتأثير السلبي الكبير للثغرة، وهو ما اتفق عليه كل من الهاكر الأخلاقي المغربي “أمين الشراعي”، والخبير الأمني المصري والهاكر الأخلاقي “محمد رمضان”.
وقال محمد رمضان، الذي تواجد بقائمة شرف “فيسبوك” للهاكرز الأخلاقيين خلال العاميين الماضيين، في تصريح “للبوابة العربية للأخبار التقنية”: “من المفترض منح سيلفا 100 ألف دولار ولكن يبقى القرار عائد لفيسبوك في تحديد أسعار الثغرات، واعتقد أن قرار منح البرازيلي مبلغ 33500 دولار أمريكي نظير ما أكتشفه عادل إذا تمت المقارنة مع مكافآت الثغرات ببقية المواقع”.
وأشار رمضان إلى أن اختلاف تحديد سعر الثغرة ضمن برنامج مكافآت “فيسبوك” يعود لعدم وضعهم لأسعار محددة للثغرات، وهو الأمر الذي يتبعه “جوجل”، حيث حددت الشركة نظير كل صفقة يتم إكتشافها بخدماتها.
وفي المقابل، أوضح محمد عبد الباسط أن خبراء “فيسبوك” عند تقييم الثغرة وتحديد مبلغ المكافأة يأخذون في الإعتبار ما مدى كمية الضرر التي تخلفها تلك الثغرة إذا ما تم بيعها في السوق السوداء قبل اكتشافها من الفريق الأمني لدى موقع التواصل الاجتماعي.
وتابع عبد الباسط “فجوة الوقت مابين استغلال الثغرة للهجوم على الموقع والإصلاح الذي يقوم به فريق فيسبوك الأمني تحدد مقدار المال الذى يأخذه مكتشف الثغرة”.

ويرى الهاكر الأخلاقيون أن برنامج مكافآت “فيسبوك” واقعي، حيث أكد من جانبه الخبير الأمني المغربي “أمين الشراعي” أن هذا البرنامج هو أفضل برنامج مكافآت نظير اكتشاف الثغرات الأمنية على الإنترنت.
ويشار إلى أن الشراعي قد أكد أن الثغرة التي اكتشفها “سيلفا”، والتي تكمن بالشيفرة المستخدمة في ما يُعرف باسم “المُعرِّف المفتوح” (OpenID)، قديمة، حيث اكتشفها البرازيلي وأبلغ عنها من قبل في 2012 بنظام إدارة المحتوى “دروبال”.
الجدير بالذكر أن محمد عبد الباسط، ومحمد رمضان، ومحمد فايز البنا، وأمين الشراعي، كانوا ضمن مجموعةالأسماء العربية بقائمة شرف “فيسبوك” للهاكرز الأخلاقيين خلال عام 2013، وهي القائمة التي ضمت اسم نحو 222 هاكرز أخلاقي.