عندما تسبب تحديث برمجي سيئ من شركة الأمن CrowdStrike عن غير قصد في حدوث فوضى رقمية في جميع أنحاء العالم الشهر الماضي، كانت أولى العلامات هي ظهور شاشة الموت الزرقاء على أجهزة الكمبيوتر التي تعمل بنظام Windows. ومع تعطل مواقع الويب والخدمات ومحاولة الناس فهم ما يحدث، انتشرت معلومات متضاربة وغير دقيقة في كل مكان. وفي محاولة لفهم الأزمة، أدرك الباحث في أمن أجهزة Mac منذ فترة طويلة باتريك واردل أنه كان هناك مكان واحد يمكنه اللجوء إليه للحصول على الحقائق: تقارير الأعطال من أجهزة الكمبيوتر المتأثرة بالخلل.
“على الرغم من أنني لست باحثًا في نظام التشغيل Windows، إلا أنني كنت مهتمًا بما كان يحدث، وكان هناك نقص في المعلومات”، كما يقول واردل لمجلة WIRED. “كان الناس يقولون إنها مشكلة مايكروسوفت، لأن أنظمة Windows كانت تحتوي على شاشات زرقاء، وكان هناك الكثير من النظريات الجامحة. لكن في الواقع لم يكن الأمر له علاقة بشركة مايكروسوفت. لذلك ذهبت إلى تقارير الأعطال، والتي تحمل في نظري الحقيقة المطلقة. وإذا كنت تبحث هناك، فقد تمكنت من تحديد السبب الأساسي قبل فترة طويلة من ظهور CrowdStrike وإعلانه”.
في مؤتمر بلاك هات للأمن في لاس فيجاس يوم الخميس، زعم واردل أن تقارير الأعطال هي أداة غير مستغلة بشكل كافٍ. تمنح مثل هذه اللقطات السريعة للنظام مطوري البرامج والقائمين على صيانتها نظرة ثاقبة على المشاكل المحتملة في أكوادهم. ويؤكد واردل أنها يمكن أن تكون بشكل خاص مصدرًا للمعلومات حول الثغرات القابلة للاستغلال في البرامج – لكل من المدافعين والمهاجمين.
في حديثه، قدم واردل أمثلة متعددة للثغرات التي وجدها في البرامج عندما تعطل التطبيق وقام بفحص التقرير بحثًا عن السبب المحتمل. يمكن للمستخدمين عرض تقارير الأعطال الخاصة بهم بسهولة على أنظمة Windows وmacOS وLinux، وهي متاحة أيضًا على Android وiOS، على الرغم من أنها قد تكون أكثر صعوبة في الوصول إليها على أنظمة التشغيل المحمولة. يلاحظ واردل أنه لاستخلاص رؤى من تقارير الأعطال، فأنت بحاجة إلى فهم أساسي للتعليمات المكتوبة في الكود الآلي منخفض المستوى المعروف باسم Assembly، لكنه يؤكد أن المكافأة تستحق ذلك.
في محاضرته عن الثغرات الأمنية، عرض واردل العديد من الثغرات التي اكتشفها ببساطة من خلال فحص تقارير الأعطال على أجهزته الخاصة، بما في ذلك الأخطاء في أداة التحليل YARA وفي الإصدار الحالي من نظام التشغيل macOS من Apple. في الواقع، عندما اكتشف واردل في عام 2018 أن خطأً في نظام التشغيل iOS تسبب في تعطل التطبيقات في أي وقت تعرض فيه رمز العلم التايواني، توصل إلى حقيقة ما كان يحدث باستخدام تقارير الأعطال.
“لقد كشفنا بشكل قاطع أن شركة أبل قد وافقت على مطالب من الصين بفرض الرقابة على العلم التايواني، ولكن كود الرقابة الخاص بها كان به خلل – وهو أمر مثير للسخرية”، كما يقول. “كان صديقي الذي لاحظ هذا في البداية مثل، 'هاتفي يتعرض للاختراق من قبل الصينيين. كلما أرسلت لي رسالة نصية فإنه يتعطل. أم أنك تقوم باختراقي؟' وقلت، 'من الوقاحة، لن أقوم باختراقك. وأيضًا، من الوقاحة، إذا قمت باختراقك، فلن أعطل هاتفك. لذلك قمت بسحب تقارير الأعطال لمعرفة ما يحدث”.
ويؤكد واردل أنه إذا كان بوسعه العثور على العديد من نقاط الضعف بمجرد النظر في تقارير الأعطال من أجهزته الخاصة وأجهزة أصدقائه، فإن مطوري البرامج يحتاجون إلى البحث هناك أيضًا. ربما يحصل المجرمون المتمرسون والمتسللون المدعومون من الدولة على حد سواء على أفكار من تقارير الأعطال الخاصة بهم. على مر السنين، أشارت التقارير الإخبارية إلى أن وكالات الاستخبارات مثل وكالة الأمن القومي الأمريكية تستخرج سجلات الأعطال. يشير واردل إلى أن تقارير الأعطال هي أيضًا مصدر قيم للمعلومات للكشف عن البرامج الضارة، لأنها يمكن أن تكشف عن أنشطة شاذة ومشتبه بها محتملة. على سبيل المثال، غالبًا ما تقوم شركة التجسس سيئة السمعة NSO Group ببناء آليات في برامجها الضارة خصيصًا لحذف تقارير الأعطال فور إصابة جهاز. وحقيقة أن البرامج الضارة غالبًا ما تكون بها أخطاء تجعل الأعطال أكثر احتمالية وتقارير الأعطال قيمة للمهاجمين أيضًا لفهم الخطأ الذي حدث في الكود الخاص بهم.
يقول واردل: “فيما يتعلق بتقارير الحوادث، فإن الحقيقة موجودة هناك. أو ربما تكون موجودة هناك”.
