اختراقات البيانات

مقاول وكالة CISA يسرّب مفاتيح AWS وكلمات مرور على GitHub العام

21 مايو 20265 دقيقة قراءة

By ديفيد ناكامورا — خلفية في أدوات الأمن والتطوير full-stack development

مقاول وكالة CISA يسرّب مفاتيح AWS وكلمات مرور على GitHub العام

وكالة الأمن السيبراني وأمن البنية التحتية، المعروفة بـ CISA، هي الجهة الحكومية الأمريكية الأولى المسؤولة عن حماية البنية التحتية الرقمية. تُصدر تحذيرات أمنية، وتضع معايير للوكالات الفيدرالية، وتنبّه الجمهور بشكل منتظم بشأن سلامة بيانات الاعتماد. لذا، حين ترك أحد مقاولي الوكالة كلمات مرور نصية صريحة ومفاتيح AWS سحابية عالية الصلاحيات مكشوفةً في مستودع GitHub عام، جاء الحادث ليُلحق ضربةً موجعة بمصداقية الوكالة. وهذا الدرس الأمني المتعلق بتسريب بيانات الاعتماد الحكومية يتجاوز في أثره حدود واشنطن بكثير.

ما الذي كشفه مقاول CISA فعلياً؟

لم تكن المواد المسرَّبة بسيطةً أو هيّنة. فكلمات المرور النصية الصريحة هي، بأبسط تعريف، الصيغة الخام غير المشفّرة لبيانات الاعتماد. أي شخص يعثر على كلمة مرور نصية صريحة يستطيع استخدامها فوراً دون الحاجة إلى أي مهارة تقنية. فلا توجد تجزئة لكسرها، ولا ترميز للعكسه.

والأكثر إثارةً للقلق كانت مفاتيح AWS السحابية المكشوفة. تعمل مفاتيح الوصول إلى خدمات Amazon Web Services (AWS) بوصفها معرّفات رئيسية للبيئات السحابية. والمفاتيح عالية الصلاحيات تحديداً يمكنها أن تمنح من يحوزها القدرةَ على قراءة البيانات، وتشغيل الخوادم أو تدميرها، وتعديل الإعدادات، والتمحور أعمق داخل الأنظمة المتصلة. وعلى حساب GovCloud، الذي أشار إليه الديمقراطيون في الكونغرس في مطالبتهم بالإجابات، تكون المخاطر أعلى بكثير مقارنةً بحساب مطوّر شخصي.

كون كل هذا انتهى في مستودع GitHub عام يعني أنه كان قابلاً للاكتشاف من قِبَل أي شخص، على الأقل لفترة من الزمن. تقوم روبوتات آلية بمسح GitHub بحثاً عن هذا النوع تحديداً من المواد، وكثيراً ما تفعل ذلك في غضون دقائق من رفع الملف. ربما كانت نافذة الكشف قصيرة، لكن المخاطرة كانت حقيقية وجسيمة.

لماذا تواصل الوكالات الحكومية الإخفاق في الأساسيات؟

هذه الحادثة ليست استثناءً. فالوكالات الحكومية ومقاولوها لديهم نمط موثّق جيداً من التعثّر في ممارسات الأمان الأساسية، حتى وهم يكتبون قواعد اللعبة التي يُفترض بالجميع اتباعها. اختراق الحساب البريدي الشخصي لمدير FBI أوضح ديناميكية مشابهة: الأشخاص والمؤسسات المُعيَّنة بوصفها سلطات أمنية ليست بمنأى عن أبسط الإخفاقات.

ثمة عوامل هيكلية عدة تُسهم في هذا النمط. يعمل المقاولون على هامش رقابة الوكالة وقد لا يتلقّون التدريب الأمني ذاته الذي يحظى به الموظفون بدوام كامل. كما تفرض سير عمل المطوّرين، لا سيما حين يُسرعون في تنفيذ مشروع ما، ضغطاً للأخذ بالطرق المختصرة، وتضمين بيانات الاعتماد في الكود بشكل مباشر أو الالتزام عن طريق الخطأ بملف أسرار في مستودع عام خطأٌ شائع بشكل لافت بين المطوّرين في كل القطاعات.

تعاني المنظمات الكبيرة أيضاً من ظاهرة تشتّت الأسرار: عشرات الأنظمة، وعشرات بيانات الاعتماد، ولا نقطة مساءلة واحدة تضمن تخزين كل منها وتدويرها وإلغاؤها بشكل صحيح. وحين تكون تلك المنظمة مقاولاً حكومياً، يمتد التشتّت عبر الوكالات والعقود والمقاولين من الباطن، مما يُضاعف مساحة السطح المعرّضة لهذا النوع تحديداً من الأخطاء.

ما الذي يعنيه هذا للمستخدمين العاديين الذين يثقون بالمؤسسات؟

الاستنتاج المزعج هنا واضح: لا يمكن الوثوق بأي مؤسسة، مهما كانت ذات سلطة، بوصفها ملاذاً آمناً لبياناتك أو بيانات اعتمادك. تضع CISA المعيارَ للتوجيهات الأمنية الفيدرالية. فإذا كان بمقدور مقاول يعمل لصالح تلك الوكالة ارتكابَ خطأ جوهري كهذا، فلا يوجد سبب للافتراض بأن أي منظمة أخرى تتعامل مع معلوماتك محصّنةٌ من مثل هذا.

وهذا مهم لأن معظم الناس يستندون إلى افتراض ضمني مفاده أن الوكالات الحكومية والشركات الكبرى تتولّى الأمر بشكل سليم. لا يفكّرون مرتين قبل إعادة استخدام كلمة مرور عبر خدمات متعددة، أو تخطّي المصادقة الثنائية، لأنهم يثقون بالمنصات والمؤسسات الموجودة في الطرف الآخر. ينبغي لأحداث كتسريب مقاول CISA هذا أن تُزعزع ذلك الافتراض. الاختراقات التي تطال الهيئات الحكومية الكبرى باتت روتينية لدرجة أن السؤال لم يعد عن إمكانية إخفاق المؤسسات، بل عن توقيت ذلك الإخفاق.

وضعُك الأمني الشخصي لا يمكن أن يعتمد على وضعها.

قائمة التحقق من الأمان متعدد الطبقات: ما الذي تستطيع التحكم فيه فعلاً؟

تُعدّ حادثة CISA حافزاً مفيداً لمراجعة ممارساتك الخاصة المتعلقة ببيانات الاعتماد. يعني الأمان متعدد الطبقات ألّا تكون هناك نقطة فشل واحدة قادرة على اختراق كل ما تهتم به. إليك من أين تبدأ:

مديرو كلمات المرور. إذا كانت كلمات مرورك مخزّنة في جدول بيانات، أو تطبيق ملاحظات، أو ذاكرتك، فهي إما ضعيفة أو مُعادة الاستخدام أو كلاهما. يُنشئ مدير كلمات المرور كلمات مرور معقدة وفريدة لكل حساب ويخزّنها. إذا تعرّضت خدمة ما للاختراق، يظل الضرر محدوداً.

المصادقة الثنائية (2FA). حتى لو كُشفت كلمة مرور بصيغة نصية صريحة، لن يتمكّن المهاجم الذي لا يملك وصولاً إلى عاملك الثاني من تسجيل الدخول. استخدم تطبيق مصادقة بدلاً من الرسائل النصية حيثما أمكن، إذ يمكن اعتراض الرسائل النصية عبر هجمات مبادلة شريحة SIM.

التشفير للبيانات الحساسة. يجب تشفير الملفات التي تحتوي على بيانات اعتماد أو سجلات مالية أو معلومات شخصية في حالة السكون. التخزين السحابي مريح، لكن الراحة والأمان ليسا الشيء ذاته.

عمليات تدقيق منتظمة لبيانات الاعتماد. تحقّق مما إذا كانت عناوين بريدك الإلكتروني أو كلمات مرورك قد ظهرت في قواعد بيانات الاختراقات المعروفة. تتيح لك خدمات مثل Have I Been Pwned البحثَ دون أن تُلزمك بتسليم بيانات أكثر مما هو ضروري.

دور الشبكات الافتراضية الخاصة (VPN). تحمي الشبكة الافتراضية الخاصة البيانات أثناء نقلها، لا سيما على الشبكات العامة أو غير الموثوقة، وذلك بتشفير الاتصال بين جهازك والإنترنت. وهي طبقة مفيدة واحدة ضمن منظومة أمان أشمل، وإن كانت لا تحمي من سرقة بيانات الاعتماد أو التصيّد الاحتيالي أو النوع من الكشف الذي حدث هنا. فكّر فيها بوصفها أداةً واحدة من بين عدة أدوات، لا حلاً شاملاً.

احمِ نفسك، ولا تنتظر أن تفعل المؤسسات ذلك نيابةً عنك

تسريب مقاول CISA محرج للوكالة، لكنه بالنسبة لكل الآخرين تذكير ملموس بأن النظافة في التعامل مع بيانات الاعتماد مسؤولية شخصية. لا يستطيع أي صاحب عمل أو هيئة حكومية أو منصة ضمان التعامل الصحيح مع بياناتك من طرفهم. ما تستطيع التحكم فيه هو كيفية إدارتك لبيانات اعتمادك الخاصة، ومدى الضرر الذي يمكن أن تُحدثه نقطة فشل واحدة فعلاً.

راجع كلمات مرورك هذا الأسبوع. فعّل المصادقة الثنائية على كل حساب يدعمها. وتعامل مع هذه القصة، إلى جانب اختراق البريد الإلكتروني لمدير FBI، بوصفها دليلاً على أن أهم قرارات الأمان التي تتخذها هي تلك التي تحدث على أجهزتك أنت، لا في سحابة شخص آخر.

// الأسئلة الشائعة

ما الذي جرى تسريبه تحديداً في حادثة GitHub الخاصة بمقاول CISA؟

كشف المقاول عن كلمات مرور نصية صريحة ومفاتيح AWS سحابية عالية الصلاحيات في مستودع GitHub عام. لا تتطلب كلمات المرور النصية الصريحة أي مهارة تقنية لاستخدامها، كما أن مفاتيح AWS عالية الصلاحيات يمكنها أن تمنح أي شخص القدرةَ على قراءة البيانات، وتشغيل الخوادم أو تدميرها، وتعديل الإعدادات السحابية.

لماذا تُعدّ مفاتيح AWS عالية الصلاحيات خطيرةً بشكل خاص؟

يمكن أن تمنح مفاتيح AWS عالية الصلاحيات من يحوزها القدرةَ على قراءة البيانات، وتدمير الخوادم، وتعديل الإعدادات، والتمحور أعمق داخل الأنظمة المتصلة. كان الكشف خطيراً بشكل خاص لأن الحساب المعني كان وفق التقارير حساب GovCloud، الذي ينطوي على مخاطر أعلى مقارنةً بحساب مطوّر شخصي.

كم كان يمكن أن يستغرق اكتشاف بيانات الاعتماد المكشوفة من قِبَل الآخرين؟

تقوم روبوتات آلية بمسح GitHub بحثاً عن بيانات الاعتماد المكشوفة، وكثيراً ما تفعل ذلك في غضون دقائق من رفع الملف. وبينما ربما كانت نافذة الكشف قصيرة، اعتُبرت المخاطرة حقيقية وجسيمة.

لماذا تُخفق الوكالات الحكومية مراراً في ممارسات الأمان الأساسية؟

تُسهم في ذلك عوامل عدة، منها: عمل المقاولين على هامش رقابة الوكالة دون التدريب الأمني ذاته الذي يحظى به الموظفون بدوام كامل، وضغط المطوّرين للتحرك بسرعة مما يدفع إلى أخذ طرق مختصرة، فضلاً عن تشتّت الأسرار عبر المنظمات الكبيرة دون نقطة مساءلة واحدة لإدارة بيانات الاعتماد.

هل هذا النوع من الحوادث غير مألوف بالنسبة للوكالات الحكومية؟

لا، تُلاحظ المقالة أن الوكالات الحكومية ومقاوليها لديهم نمط موثّق جيداً من الإخفاق في ممارسات الأمان الأساسية، حتى في حين يكتبون قواعد الأمان التي يتعيّن على الآخرين اتباعها. وتستشهد المقالة باختراق الحساب البريدي الشخصي لمدير FBI مثالاً آخر على ديناميكية مشابهة.

مقاول وكالة CISA يسرّب مفاتيح AWS وكلمات مرور على GitHub العام

ما الذي كشفه مقاول CISA فعلياً؟

لماذا تواصل الوكالات الحكومية الإخفاق في الأساسيات؟

ما الذي يعنيه هذا للمستخدمين العاديين الذين يثقون بالمؤسسات؟

قائمة التحقق من الأمان متعدد الطبقات: ما الذي تستطيع التحكم فيه فعلاً؟

احمِ نفسك، ولا تنتظر أن تفعل المؤسسات ذلك نيابةً عنك

// الأسئلة الشائعة

// ذات صلة