RSS

خواطر حول أمان تطبيقات الويب

26 سبتمبر

أكتب هذه التدوينة للتعليق على اللغط الحاصل بخصوص أمان التطبيقات الحرة المفتوحة المصدر وجدارة الاعتماد عليها في المشاريع الجديّة المتوسطة والكبيرة الحجم في بلدي سوريا خصوصا بعد جملة عمليات الاختراق لمجموعة من المواقع السورية ومنها بعض المواقع الحكومية خلال الأشهر القليلة الماضية، والذي ترافق مع تعالي بعض الأصوات التي تدّعي أن السبب وراء ذلك هو اعتماد أغلبها على البرمجيات “المجانية” المفتوحة المصدر والتي تنتشر ثغراتها أكثر من البرمجيات غير المفتوحة المصدر، حتى أن البعض أفاد في بعض وسائل الإعلام أنه “لا يوجد أي موقع من المواقع الأولى على العالم يستخدم برمجية مفتوحة المصدر”.


لذا دعوني أبدأ الرد من حيث انتهيت في الفقرة السابقة، ولن أتطرق هنا إلى تفاصيل المقارنة ما بين أمان نظام لينكس Linux للتشغيل و الويندوز Windows، أو المقارنة فيما بين أمان مستعرض ثعلب النار Firefox ومستعرض Internet Explorer أو بين مخدم Apache ومخدم IIS، وغيرها الكثير من الأمثلة، بل سأحصر النقاش في نقطة مواقع الويب تحديدا. حسنا، هل كون البرمجية حرة مفتوحة المصدر يعني أنها غير آمنة ولا يمكن الاعتماد عليها؟ ماذا عن موقع Wikipedia.org الموسوعة العالمية الحرة والتي صنفها موقع Alexa.com على أنها سابع أعلى موقع زيارة على مستوى العالم، والتي تعد شيفرتها المصدرية بدورها حرة ومفتوحة للجميع. ماذا عن مدونة WordPress والتي تعد واحدة من أكثر البرمجيات المستخدمة من قبل المدونين حول العالم وهي أيضا تصنف بالمرتبة العشرين عالميا على مستوى أكثر المواقع زيارة بحسب ذات المصدر السابق، فهي أيضا حرة مفتوحة المصدر. لنزيد التحدي هنا قليلا، ما رأيكم بالوقع الرسمي للبيت الأبيض، لا بد أنه واحد من المواقع الأكثر عرضة لمحاولات الإختراق، هل تعلم عزيزي القارئ أنه يستخدم نظام Drupal لإدارة المحتوى، وهو كما تخمّن نظام حر مفتوح المصدر http://www.tech-wd.com/wd/tag/drupal، بالمقابل ليس الطرف الآخر المتمثل بالبرمجيات المغلقة المصدر منزّها عن مثل تلك الثغرات الأمنية، فنحن نسمع بين الحين والآخر في وسائل الإعلام عن اختراق مواقع لبنوك وسرقة معلومات بطاقات الإئتمان أو اختراق لصناديق البريد الإلكتروني أو حتى وكالات حكومية أمريكية لم تسلم منها حتى وزارة الدفاع الأمريكية ذاتها (البنتاغون)، وهي بمعظمها لا تستخدم البرمجيات الحرة المفتوحة المصدر في مواقعها على شبكة الويب.

في نهاية المطاف يجب أن تعي عزيزي القارئ أن مسألة أمان تطبيق ما (أو الأمان بشكل عام) ليست مسألة مطلقة تصطبغ باللون الأبيض أو الأسود، إنما هي دوما مسألة نسبية فزيادة الأمان تترافق دوما مع زيادة التكاليف (بحكم الحاجة إلى كادر أكثر خبرة) والوقت (الذي سيصرف على اختبار ومعالجة المشاكل التي تتعلق بالنواحي الأمنية)، وهي ترتبط بطبيعة الحال بمدى أهمية وحيوية المعلومات التي تتضمنها، فقد تكتفي في بناء ما على سبيل المثال بوضع الأقفال على الأبواب، أو تحتاج إلى إضافة الأبواب والقضبان الحديدية على كل المنافذ، أو تزيد في أمان الموقع بإضافة كاميرات المراقبة وأجهزة الإنذار، أو ترفع من معايير الأمان تلك إلى مستوى أعلى باستخدام حراس مدربين في الموقع، أو تتمادى لتطالب بقاعدة صواريخ أرض جو قرب الموقع للحماية من الغارات الجوية.

إعذروني أعزائي القراء، فلن أطيل هذه الفقرة أكثر من ذلك بطرح المزيد من الأمثلة، حيث أظن أن الفكرة الآن باتت جلية واضحة، لذا سأنتقل إلى الأسباب الحقيقية (من وجهة نظري على الأقل) وكيفية تلافيها مستقبلا، وهو هدفي أساسا من طرح هذ الموضوع. ولتوضيح ذلك دعوني أعرض السيناريو الأكثر شيوعا لعمليات الاختراق (وهو بذات الوقت الأسهل والأقل احترافا)، فكما هي حال دورة حياة أي برمجية تتعاقب الإصدارات التي تتضمن تحسينات ووظائف جديدة من جهة كما تتضمن إصلاحا للأخطاء وسدا للثغرات الأمنية المكتشفة من جهة أخرى، وبطبيعة الحال يتم الإشارة إلى تلك التفاصيل ضمن سجل التغييرات الذي يرفق عادة مع الإصدارات الجديدة، هذا عدى عن أن الرقعات الأمنية عادة ما يتم الإعلان عنها ومطالبة مستخدمي البرمجية بتثبيتها والترقية إليها منعا لاستغلال مثل تلك الثغرات من قبل المتطفلين، فلماذا نداوم على ترقية وتحديث أنظمة مكافحة الفيروسات على أجهزتنا ونعي أهمية ذلك، فيما نعامل مواقعنا الإلكترونية على أنها كيان جامد بمجرد تسلّمه من الجهة المطورة سواء كانت داخل المؤسسة ذاتها أم خارجها، فلا ترقيات أو ترقيعات أمنية ليصبح الموقع مع مرور الزمن أكثر عرضة للاختراق. وسأضرب مثالا على ذلك هذا الخبر حول اكتشاف ثغرة أمنية خطيرة في برمجية المنتديات الذائعة الصيت vBulletin http://www.it-scoop.com/2010/07/vbulletin-386-vulnerability، عند إطلاعك على تفاصيل ذلك الخبر سترى مدى سهولة تنفيذ مثل هذا الاختراق (على سبيل المثال) إن لم تكن الجهة صاحبة المنتدى قد قامت بسد تلك الثغرة الأمنية بعد، وذلك من خلال إضافة الترقيعة الأمنية المنشورة.

ترى هل البرمجيات المغلقة المصدر في هذه الحال أكثر أمانا؟ لا أعتقد أن حقيقة كون المصدر محجوبا تعني بالضرورة أنه حصين ضد الثغرات الأمنية، ففي حالة البرمجيات المغلقة المصدر أنت تعتمد على الثقة بالمطور الذي قد يضيف أيضا بعض الخدمات لكي يتجسس على طريقة استخدامك للبرنامج (وقصة تصفح الإنترنت والمحادثة ورسائل البريد الإلكتروني عن طريق هواتف بلاك بيري لا تزال في الأذهان)، كما أنك في حالة البرمجيات المغلقة المصدر تبقى تحت رحمة الشركات صاحبة البرمجية والتي قد تتباطئ في تزويدك بمثل تلك الترقيعات الأمنية أو قد تطالب ببدل مادي لقاء ذلك، وأنت لا حول لك ولا قوة تجاه ذلك، كونك لا تملك الشيفرة المصدرية حتى تستطيع أنت أو طرف ثالث تحصين تطبيقك تجاه الثغرة الأمنية المعلن عنها موضوع النقاش.

أكيد أن هذا الموضوع طويل ذو شجون، لكنها خاطرة آثرت نشرها على أن أبقيها حبيسة صدري ريثما تنضج أكثر وتتوسع، حيث أعتقد أن فتح باب النقاش حول هذا الموضوع هنا في هذه المدونة هو خطوة أجدى لإغناء الأفكار وتبادل مقترحات الحلول والتوصيات وصولا إلى نصائح محددة وواضحة تجلي الحقيقة وتوضح المخاطر المرافقة لها.

 

الأوسمة:

3 responses to “خواطر حول أمان تطبيقات الويب

  1. djug

    26 سبتمبر 2010 at 11:01 صباحًا

    أمر آخر يحسب لصالح البرمجيات الحرة و هو أن الكل يعرف الشيفرة جيدا (يعني الحامي و الحرامي) و بالتالي فإن الوصول إلى اكتشاف ثغرة جديدة أمر في غاية الصعوبة، كما أن كون البرمجيات الحرة يقف وراءها مجتمعات منتشرة عبر مختلف بقاع العالم فنادرا ما نسمع عن ثغرة بقيت لمدة طويلة دون أن ترقع عكس البرمجيات التجارية و التي لا ترقع إلا إذا تعالت الأصوات المطالبة بذلك

    شكرا جزيلا على المقال

     
  2. linuxscout

    26 سبتمبر 2010 at 11:47 صباحًا

    بالنسبة لحماية المواقع، فقد يكتسي الموضوع أهمية أخرى، فاختراق موقع حكومي أمريكي يعني الوصول إلى بيانات ومعلومات، لسرقتها أو إفسادها.
    أما في مواقعنا العربية، والحكومية بالخصوص، فالدافع إلى اختراقها استعراضي وتهويل إعلامي فقط، لغياب أي معلومات أو بيانات تثير الشهية، ويكفي استعادة قاعدة بيانات الموقع.
    لذا تكون المقارنة بين كيفيات حماية كشك في السوق (مواقع حكومية عربية) أو محل مجوهرات (مواقع حكومية أجنبية).
    ونجد في كثير من الأحيان استعراضا للقوة التطويرية والتسويقية لحلول باهظة الثمن مثل أوراكل، لبناء تطبيق بسيط جدا يكفي لإنشائه برنامج الأكسس المتوفر، وهذه الحيلة يلجأ إليها المطورون لاستعراض عضلاتهم وابتزاز المستهلك وإبهاره. بينما ينبغي التفريق بين مستويات التطبيقات.
    هذا هو رأيي.

     
  3. خالد

    26 سبتمبر 2010 at 6:16 مساءً

    حديث ممتع وشيق وكثر اللغط حوله كثيراً في الآونة الأخيرة من فئة تدعي المعرفة وهم أبعد مايكون إليها حيث أنهم يجدونها فرصة سانحة للضرب (وقع الجمل وكثروا ذباحينه).

     

أضف تعليقاً

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s

 
%d مدونون معجبون بهذه: