BTC
$0.00
0.00%
لم أكن أعتقد أبدًا أن أمسية عادية يمكن أن تتحول إلى قصة تجسس ستصبح معروفة في جميع أنحاء العالم. قصة غريبة جدًا، ولكنها في الوقت نفسه بسيطة جدًا، اضطررت إلى سردها أولاً لموظفي خدمة الأمن في الشركة، والآن لكم.
بالإضافة إلى ذلك، ليس من الصعب تخيل ما كان سيحدث لو أن برنامجي، بعد اجتيازه عملية المصادقة، حصل فجأة على حق الوصول إلى مفاتيح محافظ العملات المشفرة في جميع أنحاء العالم - تمامًا مثل الروبوتات المكنسة الكهربائية. لم أكن لأتمكن فقط من رؤية البيانات، بل وأيضًا من التحكم في أموال الغرباء التي تخص أشخاصًا مجهولين في جميع أنحاء العالم. لكن سأخبركم بكل شيء بالترتيب.
كنت جالسًا في غرفتي أحاول إتقان التحكم في مكنستي الكهربائية الجديدة DJI Romo، التي تجمع بين تقنيات الطائرات بدون طيار (LiDAR، الرؤية الثنائية) ووظيفة المراقبة بالفيديو. ببساطة: كنت أرغب في اللعب قليلاً، وليس في التنظيف. وعندما شغلت المكنسة الكهربائية، ظهرت أمامي بيانات جهاز آخر. ثم جهاز آخر، وآخر. وبعد بضع دقائق، كنت أرى 6700 روبوت من جميع أنحاء العالم، لكل منها رقمه التسلسلي وعنوان IP وحالة البطارية وحتى خريطة للمكان. أي أنني في الوقت نفسه، كان لدي وصول إلى آلاف المنازل الغريبة وكاميراتها.
في لحظة رائعة، أصبحت مراقبًا غير مرئي في مئات الشقق في آسيا وأوروبا وأمريكا الشمالية وغيرها.
على الرغم من أنني لم أخترق هذه الروبوتات عن قصد – إلا أن مفتاحي للتحقق من الهوية تم قبوله من قبل خادم DJI كمفتاح عالمي. والآن تخيلوا أنه بدلاً من روبوتات المكنسة الكهربائية، كان هناك حسابات ومحافظ رقمية في هذا النظام – كل منها يحتوي على مئات أو مئات الآلاف من الدولارات بعملات رقمية مختلفة!
لقد شعرت بالرعب عندما تخيلت القليل من الوقت اللازم لسحب مئات الملايين في اتجاه مجهول – فالمتسللون يمكنهم بسرعة إرسال الإيثيريوم أو البيتكوين أو غيرها من العملات الرقمية إلى عناوين خارجية. لكن لحسن الحظ، كان هذا مجرد سيناريو افتراضي لتطور الأحداث. في الواقع، واجهت ملايين الصور للديكورات الداخلية للمنازل وطرق تحريك المكانس الكهربائية، وليس مفاتيح حسابات العملات المشفرة.
قمت على الفور بإيقاف تشغيل تطبيقي، وأعدت حقوق الوصول إلى DJI وكتبت إلى الشركة عن الثغرة الأمنية. كادوا أن يصفوني بالمجرم، على الرغم من أنني في الواقع كنت أحاول فقط تنظيف الغرفة باستخدام الجهاز.
ومع ذلك، يبدو أن الشركة قد تعلمت الدرس – ففيما يتعلق بالبيانات الخاصة أو الأصول الرقمية، يمكن أن تكلفك غلطة واحدة أكثر مما تتخيل!
بعد قصة Romo، اعتقدت أنني وضعت نقطة نهاية لهذه القصة الغريبة. نعم، هذه هي القصة الشهيرة التي حاولت فيها إتقان التحكم في روبوتي الجديد DJI Romo، الذي يجمع بين تقنيات الطائرات بدون طيار ووظيفة المراقبة بالفيديو، لكنني قمت باختراق الأجهزة الروبوتية في جميع أنحاء العالم. لكن الإثارة الحقيقية بدأت لاحقًا، عندما اتصل بي محلل أعرفه من Chainalysis وسألني إن كنت متأكدًا من أن حالتي كانت مجرد مصادفة. أود أن أشير إلى أننا التقينا سابقًا في مؤتمرات حول الأمن الرقمي في سان فرانسيسكو ولاس فيغاس، حيث تحدثنا عن التصيد الاحتيالي وطرق وأساليب الاختراق والمحافظ الرقمية المخترقة بالفعل.
أخبرني أن أنظمتهم سجلت نشاطًا غريبًا: محاولات متزامنة للوصول إلى عدة آلاف من محافظ العملات المشفرة، والتي كان يجمعها شيء واحد — استخدام خدمات خارجية ذات مصادقة مركزية. علاوة على ذلك، لم تكن هناك أي آثار واضحة للاختراق المباشر. فقط حلقة ضعيفة بين المستخدم والخادم. وافقت على إخباره بكل ما أعرفه عن هذا الموضوع، والقصة المعروفة بالفعل عن كيفية اختراقي 6700 جهازًا عن طريق الصدفة.
التقينا وجهًا لوجه. كان هناك جهاز كمبيوتر محمول على الطاولة يحتوي على قوائم المعاملات والعلامات الزمنية ومجموعات عناوين IP. كانت بعض المسارات تؤدي إلى البنية التحتية التي كانت مرتبطة سابقًا بمجموعة Lazarus Group — وهي مجموعة معروفة بهجماتها على بورصات العملات المشفرة ومشاريع DeFi. لم تكن هناك أدلة مباشرة. لكن الصدف كانت مثيرة للاهتمام للغاية.
أدركت أنه لو كانت ثغرة Romo تتعلق بمحافظ العملات المشفرة وليس بروبوتات المكنسة الكهربائية، لكان السيناريو كارثياً: كانت النظام سيتتبع حركة الأموال. في حين أن المفاتيح الخاصة كانت ستفقد إلى الأبد. من الجدير بالذكر أن المستخدمين كانوا سيتهمون البورصات ومصنعي ومطوري البرامج. لكن السبب الحقيقي هو أخطاء في بنية الوصول.
لم نعلن عن إجراءاتنا اللاحقة. بدلاً من ذلك، قمت بنقل الاستنتاجات الفنية إلى فريق الأمن، وفي غضون أيام قليلة ظهر التصحيح. أبلغوني في رسالة أن المتخصصين يختبرون بالفعل نظام أمان جديد لمنع ظهور ظاهرة تسمى ”المفتاح العالمي“.
في العالم الرقمي، نادرًا ما تبدأ الجريمة بالاختراق. غالبًا ما تبدأ بحل واحد مناسب يعمل ”بشكل جيد جدًا لجميع الأقفال“. وأحيانًا قد يبدأ كل شيء بتشغيل وحدة التحكم في مكنسة كهربائية عادية. هذا بالضبط ما حدث لي مؤخرًا.
