اختراق الشبكة يطفئ الأنوار(*)نجحت ڤيروساتٌ حاسوبيةٌ في تعطيل منظوماتِ تحكُّم صناعي
معزَّزة. وقد تكون شبكةُ توليد الطاقة الكهربائية هي الهدف التالي.
<M .D. نيكول>
باختصار
تعمل الشبكة الكهربائية الحديثة – بجميع أجزائها – بتحكُّم حاسوبي، وهي تمثِّل لنا أكبر مثال لبنية أساسية مادية ترتبط بالإلكترونيات.
دلَّل الڤيروس سْـتَكسْـنِتْ Stuxnet، الذي ضرب برنامج إيران النووي، على مدى انكشاف الآلات لخطر اختراقها من ڤيروس إلكتروني محكَم الصُّنع.
للشبكة الكهربائية نصيب في كثير من الثغرات ونقاط الضعف التي كشَفها الڤيروس ستكسنِتْ؛ فإن كِبَرَ حجمها حريٌّ بأن يجعل مَواطنَ قصورها أكثر عددا.
قد يتسبب هجوم ڤيروسي معقَّد على شبكة الكهرباء الأمريكية في تدمير جزء كبير منها، ولذلك تعزَّزُ حاليّا التدابير الأمنية عليها.
في عام 2010 سَرَتْ معلومات عن ڤيروس حاسوبي تمكن من التسرب إلى داخل منشآت التخصيب النووي الإيرانية المعروفة بإجراءاتها الأمنية المشددة. وإذ إن معظم الڤيروسات تتضاعف وتنتشر من غير إحداث ضرر يذكر، فقد كان للڤيروس المسمى ستكسنت Stuxnet هدف محدد يسعى إليه – هدف لا علاقة له بالإنترنت. ذلك أن هذا الڤيروس زُرِعَ على ذراع وصلة تسلسلية عالمية(1) (USB)، سُلِّمت إلى عامل فني غافل لم تساوره أية ريبة، فقام بوصلها بأحد حواسيب منشأة مصونة. وبمجرد دخول الڤيروس بدأ بالانتشار بصمت وعلى مدى شهور، باحثا عن حاسوب موصول بآلة عادية تتمثل في متحكم منطقي قابل للبرمجة programmable logic controller، وهو مجموعة أجهزة إلكترونية ميكروية (صغرية) microelectronics مخصوصة الغرض، تتحكم عموما في مفاصل الصناعة – من صمامات وتروس ومسننات ومحركات ومفاتيح كهربائية. وما أن تَعرّف الڤيروسُ ستكسنت فريستَهُ حتى اندس فيها خلسة واستحوذ عليها.
كانت المتحكمات controllers المستهدفة مرتبطة بأجهزة الطرد المركزيcentrifuges، في صميم مطامح إيران النووية. وثمة ما يقتضي استعمال آلاف من أجهزة الطرد هذه لمعالجة خام اليورانيوم، بغية تحويله إلى يورانيوم عالي التخصيب، اللازم لإنتاج سلاح نووي. وفي شروط التشغيل المعتادة، تدور أجهزة الطرد المركزي بسرعة هائلة تدوم معها حافاتها الخارجية بما يداني سرعة الصوت. ووفقا لما ورد في تقرير لمعهد العلوم والأمن الدولي(2)، صدر في الشهر 12/2010، فإن الڤيروس ستكسنت استطاع رفع هذه السرعة إلى زهاء 1000 ميل في الساعة، فوق النقطة التي يصبح من المرجح عندها تطاير القلب الدوار rotor وتناثره. وفي الوقت نفسه بث الڤيروس إشارات كاذبة لمنظومات التحكم توحي بأن الأمور تسير سيرا طبيعيا. ومع أن جملة الخسائر التي حاقت ببرنامج إيران النووي لم تتضح أبعادها بعد، فقد أشار التقرير إلى أنه تعين على إيران استبدال نحو 1000 جهاز طرد مركزي، موجودة في منشأة ناتانز Natanz للتخصيب في أواخر عام 2009 أو مطلع عام 2010.
ويظهر الڤيروس ستكسنت مدى انكشاف الآلات الصناعية العامة على خطر وقوع هجوم إلكتروني عليها؛ فالڤيروس استهدف وأتلف ما يُفترض أنه تجهيزات حصينة، في حين ظل عصيا على الاكتشاف شهورا عديدة. وهو بذلك يقدم توصيفا متشائما لأسلوب دولة مارقة أو جماعة إرهابية في استغلال تقانة مشابهة لضرب بنية أساسية مدنية حيوية في أي مكان من العالم.
ومن سوء الطالع أن يكون السطو على شبكة توليد الطاقة الكهربائية أسهل منه على أي منشأة تخصيب نووي. إننا قد ننظر إلى الشبكة على أنها دارة واحدة عملاقة، ولكنها في الحقيقة مؤلفة من آلاف المكونات التي تتباعد مئات الأميال، وتعمل بتناسق سديد لا يتخلف. ويجب أن تكون طاقة الإمداد المتدفقة في أوصال الشبكة متوافقة في صعودها وهبوطها توافقا تاما مع الطلب عليها، وأن تقوم المولدات بتوزيع طاقتها بتناسق دقيـق مع نبضة الـ60 دورة في الثانية، التي يعمل على إيقاعها سائر الشبكة. ولئن كان تعطل أي مكون بمفرده ستترتب عليه تداعيات محدودة على هذه الدارة العملاقة، فإن هجوما سيبرانيا cyberattack (في فضاء الشبكات) منسقا يشن على نقاط متعددةmultiple points من الشبكة حري بإلحاق أذى واسع النطاق بالتجهيزات قد يعرض قدرة بلادنا على توليد الطاقة الكهربائية وتوزيعها لخطر شديد على مدى أسابيع – بل ربما شهور.
[خط زمني]
هجمات رقمية مقابل أضرار مادية(**)
مع تنامي نزعة الآلات الصناعية نحو الارتباط المباشر بالإنترنت، تتزايد احتمالات حدوث الخراب. وتُظهِر الاختراقاتُ، على مدى سنوات العقد الماضي، أن الشبكة ليست موطنَ الضعف الوحيد – بل إن أيَّ جهاز مزوَّد بشيپَّة ميكروية (صغرية) microchip يمثِّل هدفا محتملا.
(1) الشهر 4/2000
موظفٌ ناقم، كان يعمل سابقا في مؤسسة لمعالجة المياه، يَستعمل أجهزة لاسلكية مسروقة لإصدار أوامر مغلوطة لتجهيزات الصرف الصحي في كوينزلاند/أستراليا، مما سبَّبَ انسكاب أكثر من 000 200 گالون من مياه الصرف غير المعالَجة في حدائق عامة وأنهار محلّية.
(2) الشهر 1/2003
الدودة سلامر Slammer تخترق جُدُرَ حماية متعدِّدة، لتضرب مركزَ العمليات في منشأة ديڤيز-بيس النووية. تنتشر الدودةُ انطلاقا من حاسوب أحد المقاولين، لتدخل إلى قلب شبكة العمل، حيث تتواثب منتقلة إلى حواسيب التحكم في العمليات الجارية بالمنشأة، ومدمِّرة منظومات السلامة المضاعفة. يشار إلى أن المنشأة كانت مفصولة عن الشبكة في ذلك الوقت.
(3) الشهر 3/2007
شخصياتٌ حكومية تحاكي هجوما سيبرانيا على مولِّدات كهرباء في مختبر آيداهو الوطني. تتسرب فيما بعد صور ڤيديوية للاختبار، المسمّى أورورا، إلى شبكة الأخبار CNN.
(4) الشهر 1/2008
شخصيةٌ مرموقة في وكالة الاستخبارات المركزية الأمريكية (CIA) تكشف عن اختراقات عديدة قام بها القراصنةُ لمنشآت كهربائية خارج الولايات المتحدة، وكانت لهم مطالب ابتزازية. وفي حادثة واحدة على الأقل، تمكَّن المخترقون من حجب إمدادات الطاقة الكهربائية عن عدة مدن (لم تُذكر أسماؤها).
(5) الشهر 4/2009
صحيفة وول ستريت جورنال تقول إن متجسِّسين سيبرانيين من «الصين وروسيا ودول أخرى» قد نفذوا إلى شبكة توليد الطاقة الكهربائية الأمريكية، وتركوا وراءهم برمجيات كان من الممكن استعمالها لتقويض المنظومة.
(6) الشهر 10/2010
شخصيات أمنية في إيران وإندونيسيا وغيرهما يعلنون اكتشاف ڤيروس ستكسنت، وهو برمجيةٌ خبيثة مصمَّمة خصيصا لعرقلة نُظُم تحكم صناعيّ من إنتاج شركة سيمنز.
وبالنظر إلى حجم الشبكة وتعقيدها، فإن شن اعتداءٍ منسق عليها غالبا ما يستلزم زمنا وجهدا. ولربما كان ستكسنت أعقد ڤيروس حاسوبي عرف على الإطلاق، وهذا يحمل على الظن بأنه من صنع وكالة الاستخبارات الإسرائيلية أو الأمريكية، أو كلتيهما. على أن كود code هذا الڤيروس متاح حاليا على شبكة الإنترنت، مما قد يزيد من احتمال إقدام مجموعة شريرة على إنتاجه وفق مواصفات معينة، واستعماله في هجوم على هدف جديد. وإذا كان بعض التنظيمات الأقل تطورا تقانيا – كتنظيم القاعدة – لا يمتلك في الغالب الخبرة الكافية لإلحاق أذى بالغ بالشبكة في الوقت الحاضر، فإن تنظيم قراصنة القبعات السوداء المرتزقة في الصين قد يمتلك تلك الخبرة. لقد فاتنا الوقت لتحصين مصادر إمداد البلاد بالطاقة.
السطو(***)
في عام 2010 شاركت شخصيا في تدريب اختباري ركز على هجوم سيبراني مفترض على الشبكة. وكان من بين المشاركين مندوبون عن شركات من مرافق خدمية، ووكالات حكومية أمريكية، إضافة إلى الجيش. (يذكر أن القواعد العسكرية تعتمد على الطاقة التي تستجرها من الشبكة التجارية، وهذه حقيقة تنبه إليها الپنتاغون الأمريكي.) وفي سياق المشهد الاختباري اخترق عملاء من ذوي النوايا الخبيثة عددا من محطات نقل التيار الفرعية transmissionsubstations، وتمكنوا من تعطيل التجهيزات الخاصة، الباهظة الثمن، التي ترصد الڤلطية(3) وتتحقق من اطرادها في أثناء تدفق التيار الكهربائي عبر الخطوط الطويلة لنقل الطاقة العالية. ومع انتهاء الاختبار كانت ست تجهيزات قد تعطلت، فقطعت التيار الكهربائي عن ولاية بكاملها في الغرب الأمريكي لعدة أسابيع.
وتتولى الحواسيبُ التحكّم في التجهيزات الميكانيكية للشبكة عند جميع المستويات، بدءا من تغذية مولدات ضخمة بضروب الوقود الأحفوري أو باليورانيوم، وانتهاء بخطوط نقل التيار في الشوارع. وأغلب هذه الحواسيب يستعمل نظم تشغيل عامة معروفة، مثل: ويندوز Windows و لينكس Linux، من شأنها أن تجعل الحواسيب عرضة لخطر برمجيات خبيثة مخربة كتعرض حاسوبك الشخصي المكتبي لخطرها. ويعزى نجاح كود هجومي attack codeكڤيروس ستكسنت إلى ثلاثة أسباب رئيسية: إن نظم التشغيل هذه تثق ثقة عمياء بصدقية البرمجيات المستعملة؛ وإنها كثيرا ما تعاني نقاط ضعف تسمح بالنفاذ إليها عبر برنامج خبيث؛ وإن البيئات الصناعية لا تسمح غالبا باستعمال دفاعات قريبة المأخذ.
وحتى لو كان مهندس نظم التحكم العادي مدركا لكل ذلك، فلا بد من أن يكون قد تسرع ذات مرة في استبعاد الاحتمال المتمثل بأن برمجيات خبيثة تُطلَق من بعد يمكن أن تقترب من المتحكمات الأساسية، محتجا بأن المنظومة ليست مرتبطة بالإنترنت ارتباطا مباشرا. ولكن ڤيروس ستكسنت أظهر فيما بعد أن شبكات التحكم غير المرتبطة ارتباطا دائما بأي شيء آخر ما زالت مكشوفة للخطر؛ إذ تستطيع البرمجيات الخبيثة أن تمتطي ذراع الوصلة USB التي يربطها التقنيون بنظم التحكم مثلا. أما عندما يتعلق الأمر بدارات إلكترونية أساسية، فإن أصغر باب خلفي ربما يكون منفذا لولوج عابث مغامر.
لندرس حالة محطة فرعية لنقل الطاقة، وهي تمثل نقطة وسيطة(4) على خط رحلة الكهرباء من محطة توليد الطاقة إلى منزلك. تستقبل المحطات الفرعية الكهرباء العالية الڤلطية الواردة من محطة أو أكثر لتوليد الطاقة، وتقوم بتخفيض الڤلطية وتقسيم الطاقة إلى خطوط خرج متعددة للتوزيع المحلي. تراقب قاطعة دارات circuit breaker كلا من هذه الخطوط، بحيث تكون جاهزة لقطع التيار الكهربائي في حالة حدوث أي عطل. فإذا ما تحررت قاطعة أحد خطوط الخرج، تدفقت الطاقة – التي يفترض أن تنتقل عبر ذلك الخط – كلها إلى الخطوط الباقية. وإذا كانت جميع الخطوط تنقل طاقة تقارب سعتها، فليس صعبا عندئذ ملاحظة أن هجوما سيبرانيا، يعطل نصف خطوط الخرج ويُبْقِي خطوط النصف الآخر ضمن الدارة، ربما يفرط في تحميلها بأكثر من طاقتها.
ويجري التحكم في قواطع الدارات – تقليديا – بوساطة تجهيزات موصولة إلى مودمات modems هاتفية تمكن التقنيين من طلب الرقم للدخول. وليس من الصعوبة الحصول على تلك الأرقام؛ فقد ابتدع القراصنة منذ 300 عاما برامج لطلب جميع الأرقام ضمن مقسم هاتفي، وتدوين الأرقام التي تستجيب المودمات لها. وغالبا ما تكون للمودمات في المحطات الفرعية رسالة فريدة في استجابتها للرقم المطلوب تفصح عن وظيفتها. ولما كانت المودمات مقرونة بوسائل ضعيفة للتثبت من الهوية (مثل كلمات مرور شائعة، أو عدم وجود كلمات مرور على الإطلاق)، يستطيع مهاجم استعمال هذه المودمات للنفاذ إلى شبكة محطة فرعية. ومن هناك قد يصبح بالإمكان تغيير تشكيلة التجهيزاتdevice configurations تغييرا يتم معه تجاهل حالة خطر كان من شأنها، في أحوال أخرى، أن تفتح قاطعة دارة لحماية المعدات.
وليست المنظومات الجديدة بالضرورة أكثر أمانا من المودمات؛ فثمة اليوم استعمال متزايد لتجهيزات جديدة تنشر في المحطات الفرعية، بإمكانها التواصل فيما بينها عبر جهاز راديو خفيض القدرة، لا يتوقف عند حدود المحطة الفرعية. فيستطيع مهاجم الوصول إلى الشبكة بالاختباء بين شجيرات حديقة مجاورة ومعه حاسوبه. وفي حين أن الشبكات(5) Wi-Fi المعماة encryptedهي أكثر أمانا، إلا أن بإمكان مهاجم متمرس أن يكسر تعميتها باستعمال أدوات برمجية متاحة. وانطلاقا من هذه النقطة يستطيع تنفيذ هجوم شخص في الوسط(6) يجعل الاتصالات الجارية بين تجهيزتين مشروعتين تمر بكاملها عبر حاسوبه، أو تحتال على تجهيزات أخرى لقبول حاسوبه على أنه حاسوب مشروع. وفي إمكان المهاجم أن يبتدع رسائل تحكم خبيثة تسطو على قواطع الدارات – فتحرر عددا منها تختاره بعناية، ربما لتحميل الخطوط الأخرى أكثر من طاقتها، أو للتثبت من أنها لا تتحرر في الحالات الطارئة.
وحالما يتسلل شخص دخيل أو برنامج خبيث عبر الباب الخلفي، فإن أول خطوة ينفذها عادة هي الانتشار على أوسع نطاق ممكن. ويمثل ڤيروس ستكسنت بعض الاستراتيجيات الشائعة، وقد انتشر باستعمال آلية نظام تشغيل تدعى أوتوإكسك autoexec. فالحواسيب التي تعمل بنظام التشغيل ويندوز Windows تقرأ وتنفذ الملف المسمى AUTOEXEC.BAT في كل مرة يطلب فيها مستخدم جديد الدخول. ويحدد البرنامج عادة موضع سواقات الطابعات(7)، أو يجري مسحا للڤيروسات، أو يؤدي وظائف أخرى أساسية. ومع ذلك، يفترض نظام ويندوز أن أي برنامج يحمل الاسم الصحيح هو كود موثوق به حكما. ومن هنا يتحرى المخترقون طرائق لتغيير الملف AUTOEXEC.BAT بحيث يُشغل كود المهاجمين.
[آلية العمل]
ثغرات في الشبكة(****)
تستلزم الشبكةُ الكهربائية الحديثة وجودَ توازن معقَّد بين كمية الطاقة اللازمة لاستهلاك المجتمع وكمية الطاقة المتولِّدة في وحدات توليد الطاقة. وتحتوي على عشرات المكوِّنات التي تنسِّق تدفُّقَ الإلكترونات عبر مسافات تمتد مئات الأميال، وتنظِّم التياراتِ الكهربائيةَ المتناوبة، للتحقُّق من أن مكوِّنا واحدا لم يمتدَّ متجاوزا حدودَه. وقد يكون أيٌّ من هذه المكوِّنات عرضة لعمليات خبيثة. وفيما يلي بعضُ نقاط الاختناق الصعبة، والوسائل الممكنة لتسويتها.
(1) محطة توليد
لا يهمّ نوع الوقود المستعمل، سواء أكان فحما أم يورانيوم أم حتى زيت سولار – المهم أن الكهرباء التي تدخل الشبكة الأمريكية لتوليد الطاقة يجب أن تتردَّد تناوبيّا بسرعة 60 دورة في الثانية، وأن تدخل بإيقاع متوافق تماما مع سائر أجزاء الشبكة. قد يقوم مهاجم بإرسال تعليمات إلى مولِّد يتخلَّص من خرجه بنصف خطوة half-step، وهي المكافئ الكهربائي لتحويل ناقل الحركة في سيارتك إلى وضعية الحركة العكسية وهي مندفعة إلى الأمام على الطريق الرئيسية بسرعة 50 ميلا في الساعة. وسينتهي الأمر بالمولِّد – شأن آلية نقل الحركة في سيارتك – إلى ركام ينبعث منه الدخان.
(2) محطة نقل فرعية
تخرج الكهرباء من محطات التوليد بڤلطية عالية جدّا – وهذا أفضل لتجنُّب الفقد loss الناجم عن المقاومة الكهربائية في أثناء الانتقال. وتكون محطات النقل الفرعية هي الخطوة الأولى لخفض هذه الڤلطية. إن كثيرا من المحطات القديمة مجهَّزة بمودِمات هاتفية dial-up modemsتمكِّن الفنِّيِّين من الدخول لإجراء عمليات الصيانة. وبإمكان المخترقين استعمال هذه الأدوات للنفاذ إلى مواقع حيوية وتغييرها.
(3) محطة تحكُّم
تتولى محطات التحكُّم – وهي العصب المركزي للشبكة – رصد مراحل سير العمل بكامله. وفيها أيضا يتلاقى العرض والطلب؛ فإذا ارتفعت وتيرة الطلب ارتفعت الأسعار تبعا لذلك، وربما عمدت إحدى المرافق الخِدمية إلى تفعيل مزيد من السعة الكهربائية لتوفير إمدادات إضافية. ومع أن مركز العمليات في محطة التحكم لا يُفتَرض أن يكون موصولا بالإنترنت، فإن المركز الفاعل فيه لا بدَّ من أن يكون موصولا بها بالضرورة. وقد يدلف المخترِقُ إلى هذا الجانب مستعملا وصلات linksإلى قلب العمليات بقصد إصابة نُظُم تحكُّم أساسية وإفسادها.
(4) محطة توزيع فرعية
لما كانت محطات التوزيع الفرعية هي المرحلة الأخيرة قبل وصول الكهرباء إلى المنازل أو المؤسسات، فإنها تدمج الطاقة الواردة من بضع محطات توليد مختلفة، ثم ترسلها عبر عشرات أو مئات من خطوط أصغر. وقد تزوَّد المحطات الحديثة بأجهزة اتصالات لاسلكية – إما على شكل إشارات راديوية وإما على شكل تردُّدات Wi-Fi. ويستطيع دخيل مستخْف خارج جدران المحطة اعتراضَ حركة المرور ومحاكاةَ تعليمات مشروعة.
(5) وصلات معلومات
يتعيَّن أن تكون محطة التحكُّم مزوَّدة بأحدث المعلومات (على مستوى الثانية) المتعلقة بتفاصيل ما يجري في كل مرحلة من العملية، لتمكين الخبراء الفنّيين من اتخاذ قرارات دقيقة بشأن ما ينبغي عليهم فعله بعد. يستطيع مخترقون ممَّن يمتلكون وسائل النفاذ إلى آلاف الحواسيب العادية – أو ما تسمى بوتْنِت botnet – توجيه هذه الحواسيب بطريقة تحملها على إصدار رسائل تعرقل تدفُّق حركة المرور المعتادة في الشبكة. إن هجوما لرفض الخدمة من هذا النوع ربما يعني أن يتَّخذ الخبراء القائمون على التحكُّم قراراتهم اعتمادا على معلومات قديمة – وهذا يشبه قيادتَك سيارة اعتمادا على معلومات تلقَّيتَها قبل عشر ثوان.
ويستطيع المهاجمون أيضا استعمال طرائق ذكية تستغل اقتصادات صناعة الطاقة. وبسبب سياسة رفع القيود deregulation، فإن المرافق الخدمية المتنافسة تتحمل قسطا من مسؤولية تشغيل الشبكة. فالطاقة تولد وتنقل وتوزع بموجب عقود تبرم في مزادات علنية على الشبكة، وتعمل هذه الأسواق وفقا لمقاييس زمنية متعددة multiple timescales – فقد تقايض إحدى الأسواق الطاقة مقابل التسليم الفوري مثلا، على حين تقايضها سوق أخرى مقابل احتياجات مستقبلية. ولا بد، في سبيل تجارة ناجحة، من أن يكون ثمة تدفق ثابت لمعلومات الزمن الفعلي من وحدة العمليات في المرفق الخدمي إلى وحدة الأعمال التجارية فيه. (والعكس بالعكس: فلا بد من معرفة مقدار الطاقة التي تحتاج العمليات إلى إنتاجها لتلبية طلبات وحدة الأعمال.) وهنا مكمن الانكشاف للخطر؛ إذ من الممكن أن يقتحم مخترق مغامر شبكة الأعمال، ويجوس خلالها باحثا عن أسماء المستخدمين وكلمات مرورهم، ويستعمل هذه المعلومات الخاصة المختلسة للنفاذ إلى شبكة العمليات.
وقد تنتشر هجمات أخرى عن طريق استغلال البرامج الصغيرة المسماة إخطاطات(8) scripts، التي ترد مدسوسة ضمن ملفات. ولئن كانت هذه الإخطاطات عميمة الانتشار (على سبيل المثال، تضم الملفات PDF عادة إخطاطات تساعد على عرض الملفات)، فإنها مبعث خطر محتمل أيضا. وقدّرت إحدى شركات الأمن الحاسوبي، إلى عهد قريب، أن أكثر من 60 في المئة من مجموع الهجمات المستهدفة تستعمل إخطاطات تدس في الملفات PDF. إن مجرد قراءة ملف فاسد قد يسمح بدخول مخترق إلى حاسوبك.
تأمَّل الآن حالة افتراضية ينفذ فيها مهاجم عتيد أولا إلى موقع الوب الخاص ببائع برمجيات، فيستبدل بكتيب التعليمات على الشبكة كتيبا آخر خبيثا يبدو في ظاهره كأنه مطابق للأول تماما. ومن ثم فإن المهاجم السيبراني يرسل إلى مهندس يعمل في محطة توليد الطاقة رسالة إلكترونية مزيفة تغري هذا المهندس باستحضار الكتيب المفخخ وفتحه. حتى إذا ذهب إلى الشبكة ليحملdownload كتيبا لبرمجيات محدثة، كان هذا المهندس الغافل قد فتح بوابات محطته لحصان طروادة(9). وبدخوله يبدأ الهجوم.
ابحث ودمّر(*****)
إن بإمكان أي دخيل على شبكة تحكم أن يصدر أوامر ذات عواقب قد تكون مدمرة. ففي سنة 2007 عرضت إدارة الأمن الوطني كود هجوم سيبري، سُمِّي أورورا Aurora، في مختبر آيداهو الوطني. وفي أثناء التمرين، شق باحث ينتحل شخصية مخترق خبيث طريقه إلى داخل شبكة موصولة بمولد للطاقة متوسط الحجم، ينتج – شأن جميع المولدات – تيارا متناوبا يعمل بتردد 60 دورة في الثانية. وفي كل دورة يبدأ تدفق الإلكترونات متحركا في اتجاه واحد، ثم يعكس مساره، ليعود بعد ذلك إلى حالته الأصلية. ويتعين على المولد أن يدفع الإلكترونات في الاتجاه نفسه والتوقيت نفسه تماما كما سائر الشبكة.
وفي أثناء الهجوم أورورا، أصدر مخترقنا سلسلة متلاحقة من أوامر الفتح والإغلاق on/off commands إلى قواطع دارات مولد اختبار موجود في المختبر. فأحدث ذلك اختلالا في اطراد ذبذباته مع ذبذبات شبكة توليد الطاقة، فانحرفت الشبكة في اتجاه، وانحرف المولد في اتجاه آخر. وواقع الأمر أن عطالة المولد الميكانيكية قاومت عطالة الشبكة الكهربائية، فكان المولد هو الخاسر. وتظهر مشاهد ڤيديوية رفعت عنها الحصانة السرية الآلة الفولاذية الضخمة وهي تهتز وتضطرب، وكأن قطارا قد صدم المبنى فزعزعه. وبعد ثوان ينتشر بخار ودخان يملآن الغرفة.
كذلك قد تتعرض المنظومات الصناعية للانهيار إذا أرهقت بأكثر من حدود استطاعتها – فأجهزة الطرد المركزي تتفكك وتتداعى إذا أمعنت في الدوران بسرعة مفرطة. وبالمثل، فإن بإمكان مهاجم أن يَحْمِل مولدا كهربائيا على إنتاج فيض من الطاقة تتجـاوز حـدود احتمـال الخطوط الناقــــلة لها. وعندئذ لا بد للطاقة الفائضة من التسرب على شكل حرارة. على أن تراكم الفائض على المدى الطويل يفضي إلى ارتخاء الخط وترهله، ومن ثم انصهاره في النهاية. فإذا اتفق أن مس الشريط المترهل جسما ما – كشجرة أو لوحة إعلانات أو منزل – فقد يؤدي ذلك إلى حدوث عطب كهربائي هائل بفعل دارة القصر short circuit.
وإذا كانت مُرحِّلات الحماية protection relays تحول عادة دون حدوث دارات القصر تلك، فإن هجوما سيبرانيا من شأنه أن يشوش على عمل المرحلات، وهذا يعني وقوع ضرر محقق. يضاف إلى ذلك أن هجوما كهذا قد يحرف مضمون المعلومات المتوجهة إلى محطة التحكم. فيمنع فنـيي التشغيل من التنبه إلى أن ثمة شيئا يسير على نحو خاطئ. وأغلب الظن أنه ما من أحد منا إلا وشاهد تلك الأفلام التي يبعث فيها محتالون ملقما ڤيديويا زائفا إلى أحد الحراس.
وليست محطات التحكم بمنأى هي الأخرى عن خطر الهجوم عليها؛ فهي غرف توجيه وتحكم، مزودة بشاشات عرض ضخمة تحاكي غرفة العمليات الحربية في الفيلم Dr. Strangelove. ويستعمل مشغلو محطات التحكم الشاشات لرصد البيانات التي جمعت من المحطات الفرعية، ومن ثم إصدار أوامر لتغيير إعدادات التحكم في المحطات الفرعية. وغالبا ما تكون هذه المحطات مسؤولة عن رصد مئات المحطات الفرعية المنتشرة في معظم أرجاء دولة أو ولاية.
هذا وتستعمل في تبادل البيانات بين محطة التحكم والمحطات الفرعية پروتوكولات متخصصة قد تحمل في حد ذاتها ثغرات ضعف. فإذا نجح دخيل في إطلاق «هجوم للشخص الذي في الوسط»، تمكن ذلك الدخيل من إدراج رسالة في مقسم الهــاتــف (أو تحريــف رسالــة موجــودة) تُعطِّل أحد الحاسوبين أو كليهما عند أي من الطرفين. وبإمكان المهاجم أيضا إقحام رسالة محكمة النسق (الإصاغة)، خارجة عن السياق تمثل مفارقة رقمية لا تلبث أن تقوض الآلة.
ويستطيع المهاجمون كذلك، وببساطة، العمل على تأخير الرسائل المنتقلة بين محطات التحكم والمحطات الفرعية، علما أن فترة التخلف lag time، بين قياس محطة فرعية لتدفق الكهرباء واستعمال محطة التحكم للبيانات بغية ضبط الدفقات، هو زمن قصير – وإلا لكان الأمر أشبه بك تقود سيارة وترى فقط أين كنت قبل عشر ثوان. (هذا النوع من الشعور بفقدان الإدراك أو بالضياع في ظرف معين كان من العوامل التي أسهمت في حدوث «التعتيم في الشمال الشرقي عام 2003».)(10)
وكثير من هذه الهجمات لا يتطلب تنفيذها برمجيات خاصة معقدة، بل صندوق أدوات المخترق المعتادة لا أكثر. فعلى سبيل المثال، كثيرا ما يتمكن المخترقون من السيطرة على شبكات تضم آلاف بل ملايين الحواسيب الشخصية المعروفة (ما يسمى بوتْنِت(11))، ثم يزودونها بالتعليمات لتنفيذ أوامرهم. وأبسط نوع من هجمات البوتنت يتمثل بإغراق موقع وب عادي برسائل زائفة تعوق أو تبطئ التدفق الطبيعي للمعلومات. إن مثل هذه الهجمات، القائمة على «رفض الخدمة»، يمكن أن تستعمل أيضا للإبطاء بحركة المرور بين محطة التحكم والمحطات الفرعية.
وقد تضرب شبكات البوتنت جذورها أيضا في حواسيب المحطات الفرعية نفسها؛ ففي مرحلة معينة من عام 2009 اندس البوتنت المسمى كونفيكرConficker في 10 ملايين حاسوب. وكان بإمكان الأشخاص الذين يتحكمون فيه – وهم مجهولون حتى الآن – أن يأمروه بمحو السواقات الصلبة لجميع حواسيب الشبكة. وبإمكان بوتنت من قبيل كونفيكر أن يرسخ وجوده داخل المحطات الفرعية، ومن ثم يطلب إلى معالج التحكم فيه توجيهها في آن واحد لتنفيذ أي أمر في أي وقت. وطبقا لدراسة أجراها عام 2004 باحثون في جامعة پنسلڤانيا والمختبر الوطني للطاقة المتجددة(12) في گولدن بولاية كولورادو، وجد أن هجوما نجح في تعطيل أقلية مختارة بعناية من مجموع المحطات الفرعية لنقل الطاقة (نحو 2 في المئة منها، أو ما مجموعه 200 محطة) يمكن أن يعطل 60 في المئة من الشبكة. ومن ثم فإن خسارة نسبة 8 في المئة حَرِيَّةٌ بإحداث تعتيم في جميع أنحاء البلاد.
ماذا علينا أن نفعل(******)
كلما علمت شركة مايكروسوفت بأن ثمة التزاما أمنيا محتملا يترتب على برمجياتها الخاصة بنظام ويندوز، بادرت عادة إلى إصدار رقعة برمجية(13). ويقوم المستخدمون أفرادا وإدارات تقانة المعلومات حول العالم بتحميل الرقعة وتحديث برمجياتهم وحماية أنفسهم من التهديد. ومن المؤسف أن الأمور ليست بهذه البساطة على الشبكة.
ففي حين تستعمل شبكة الطاقة الكهربائية النوع نفسه من العتاديات والبرمجيات الجاهزة المستعملة في العالم، ليس بإمكان مديري تقانة المعلومات في محطات توليد الطاقة القيام – ببساطة – برتق البرمجيات المصابة إذا ما ظهرت فيها عثرات غير متوقعة. وكذلك يتعذر على منظومات التحكم في الشبكةِ التوقفُ عن العمل ثلاث ساعات أسبوعيا لأغراض الصيانة الدورية، إذ لا بد من تواصل عمل المنظومات بلا انقطاع. يضاف إلى ذلك أن لدى مشغلي الشبكة نزعة مؤسساتية متأصلة في الحفاظ على ما هو قائم دون تغيير، لاسيما وأن شبكات التحكم قد مضى على وجودها في مواضعها زمن طويل، فألفها العاملون ودرجوا على أسلوب عملها، وأصبحوا أميل إلى تحاشي كل ما من شأنه أن يهدد توفر الخدمة أو يعرقل سير العمليات المعتادة.
وحيال خطر ماثل وواضح، ابتكرت مؤسسة أمريكا الشمالية للوثوقية الكهربائية(14) (NERC ، اختصارا)، وهي هيئة راعية تنتظم مشغلي الشبكة الكهربائية، مجموعة من المعايير لحماية البنية الأساسية الحيوية. وقد بات المطلوب من المرافق الخدمية اليوم تحديد أصولها assets الأساسية والتدليل للجنة من المدققين، المكلفين من المؤسسة NERC، على قدرتها على حماية تلك الأصول من النفاذ إليها بصورة غير مرخصة.
ومع ذلك، فإن عمليات التدقيق الأمني، شأن عمليات التدقيق المالي، لا يمكن أن تكون شاملة تماما. فإذا حدث أن تناول بيان تدقيق التفاصيل التقنية، فإنه يفعل ذلك على نحو انتقائي فقط، لأن المدقق يضع نصب عينيه التزام جانب الانقياد في المقام الأول.
وأكثر استراتيجيات الحماية شيوعا استعمال محيط أمني إلكتروني، يمكن تشبيهه بـ«خط ماجينو(15)» للأمن السيبراني. ويتمثل خط الدفاع الأول بتوفير ما يسمى جدار الحماية(16)، وهو تجهيزة يمر عبرها جميع الرسائل الإلكترونية، بحيث يكون لكل رسالة عنوان يشير إلى مصدرها ووجهتها والپروتوكول المستعمل لتفسير الرسالة. واعتمادا على طبيعة هذه المعلومات يسمح جدار الحماية بمرور بعض الرسائل ويوقف بعضها الآخر. ويتجلى دور المدقق هنا – جزئيا – في التثبت من أن جدر الحماية في مرفق خدمي قد شكلت بحيث لا تسمح لحركة مرور غير مرغوب فيها بالدخول أو بالخروج. وفي العادة يقتصر عمل المدققين على تحديد عدد قليل من الأصول، والتحكم في ملفات تشكيلة جدر الحماية، ومحاولة الاستقصاء – يدويا – عن مختلف الطرائق التي قد تمكن متسللا من اختراق الجدار.
على أن جدر الحماية على درجة من التعقيد يصعب معها على المدقق تحليل جميع الاحتمالات التي لا تحصى. ولعل من المفيد هنا استعمال أدوات البرمجيات المؤتمتة؛ فقد ابتكر فريق عملنا بجامعة إيلينوي في أوربانا شامپين ما سميناه أداة سياسة النفاذ إلى الشبكة Network Access Policy Tool، التي شرعت في استعمالها المرافق الخدمية ومجموعات التقويم. ولا تحتاج البرمجيات إلى أكثر من ملفات تشكيل جدار الحماية الخاصة بالمرفق – بل لا داعي حتى إلى وصلها بالشبكة. وقد وجدت هذه البرمجيات لها عددا من السبل كانت مجهولة أو منسية منذ زمن بعيد، ربما استغلها المهاجمون.
وخرجت وزارة البيئة بخطة عمل ترسم استراتيجية لتعزيز أمن الشبكة بحلول عام 2015. (وبموجب مراجعة ينتظر إعلانها هذا العام (2011) سيمدد الموعد إلى عام 2020.) وتركز خطة العمل على استحداث منظومة قادرة على تعرف أية محاولة للاختراق، ومقاومتها آليا. ومن شأن ذلك أن يحجب ڤيروسا مثل ستكسنت حالما يقفز من ذراع الوصلة USB. ولكن كيف يستطيع نظام تشغيل أن يميز البرامج التي يجب الوثوق بها؟
ومن الحلول المقترحة استعمال دالة الفرم الأحادية الاتجاه(17)، وهي تقنية تعتمد على التعمية. وبمقتضاها تأخذ دالة الفرم عددا من الأعداد الكبيرة جدا – وليكن مثلا جملة ملايين الأرقام الاثنينية (الآحاد والأصفار) لبرنامج حاسوبي، معبرا عنها بشكل عددي – وتحوله إلى عدد أصغر بكثير يؤدي عمل البصمةsignature. وبالنظر إلى ضخامة حجم البرامج، فمن غير المرجح أن يخلص برنامجان مختلفان إلى قيمة واحدة للبصمة. تخيل أن كل برنامج يزمع العمل على نظام ما يجب أولا أن يعرض على دالة الفرم، ثم يجري التحقق من بصمته في مقابل لائحة رئيسة مرجعية، فإذا وجد أن ليس ثمة تطابق، توقف الهجوم عند هذا الحد.
وتوصي وزارة البيئة كذلك باتخاذ تدابير أمنية أخرى، كوسائل التحقق الأمني المادي في محطات عمل المشغلين (مثلا: شيپات راديوية radio chipsحساسة تدس في علامات التعرف identification badges). وتبرز الوزارة أيضا مدى الحاجة إلى تشديد إجراءات ضبط الاتصالات فيما بين مختلف التجهيزات ضمن الشبكة. يذكر أن عرض أورورا عام 2007 قد اشتمل على تجهيزة احتيال يمكن أن تحمل شبكة مولد على قبول الأوامر التي يصدرها على أنها مرخصة. وقد أدت تلك الأوامر في نهاية المطاف إلى تدمير المولّد.
ولا شك في أن إنجاز هذه الخطوات المهمة فعلا يتطلب زمنا ومالا وجهدا. فإذا حزمنا أمرنا لتحقيق خطة عمل وزارة البيئة، الرامية إلى شبكة أكثر أمانا في العقد القادم، وجب علينا أن نحث الخُطى. ويحدونا الأمل بأن يتاح لنا الوقت الكافي لإنجاز ذلك.
المؤلف
David M. Nicol
مدير معهد اتحاد المصالح المعلوماتية، وأستاذ في قسم الهندسة الكهربائية والحاسوبية بجامعة إيلينوي. عملَ مستشارا في إدارة الأمن الوطني الأمريكي وفي وزارة الطاقة.
(1) مختصر لـuniversal serial bus: مجموعة خطوط عتادية (نواقل/موصلات) تسلسلية بعرض حزمة 1.5 ميگا بايت/ثا، تُستعمل لتوصيل الطرفيات إلى حاسوب شخصي. (التحرير)
(2) Institute for Science and International Security
(3) voltage : الجهد الكهربائي.
(4) waypoint: نقطة إسنادية محدَّدة الإحداثيات، تقع على خط المسار بين نقطة الانطلاق ونقطة المقصد.
(5) Wi-Fi (البث اللاسلكي الفائق الدقة والسرعة): شبكات لاسلكية محليَّة تستعمل التردُّدات الراديوية العالية لنقل بيانات رقمية ضمن مسافات لا تتجاوز بضع مئات من الأمتار.
(6) man-in-the-middle attack: شكل من أشكال التنصُّت الفاعل، ينشئ فيه المهاجِم ارتباطات مستقلة مع ضحاياه، فيرحِّل الرسائلَ فيما بينهم بصورة تحملهم على الاعتقاد بأنهم يتخاطبون مباشرة عبر رابط خاص، في حين تكون المحاورة في الواقع خاضعة لتحكُّمه هو. (التحرير)
(7) printer drivers: برنامج حاسوبي مصمَّم لتمكين برامج أخرى من العمل مع طابعة معيَّنة، من دون أن تتدخَّل في الخصوصيات العتادية. توفِّر واجهات المستخدِم البيانية سواقات الطابعات الخاصة بها. (التحرير)
(8) scripts: جمع إخطاطة؛ برنامج يتألف من مجموعة تعليمات موجَّهة إلى تطبيق أو إلى برنامج مرفقي utility.
(9) Trojan horse: برنامج تخريب يُخفى على شكل لعبة أو تطبيق، ويسبِّب عند تشغيله أذى للنظام الحاسوبي في الوقت الذي يبدو فيه مفيدا ومأمون الجانب. (التحرير)
(10) the Northeast Blackout of 2003: بتاريخ 14/8/2003 حصل انقطاع للتيار الكهربائي، وشمل أجزاء من شمال شرق الولايات المتحدة وجنوب شرق كندا، وتأثر من جرّائه نحو 10 ملايين من سكان مقاطعة أونتاريو الكندية، ونحو 45 مليونا في ثماني ولايات أمريكية. يُحتمل أن يكون عملا تخريبيا من فعل مخترقين صينيِّين.
(11) botnet: عدد من الحواسيب الموصولة بالإنترنت، تُستغَلُّ – بسبب تهاون أصحابها في اتِّخاذ أسباب الحيطة وإجراءات الحماية اللازمة – لنقل رسائل (تشمل السپام spam والڤيروسات) إلى حواسيب أخرى في الشبكة. يُطلق على كل حاسوب كهذا اسم زومبي zombie، وهو إنسالة robot (أو بوتنت botent) – إنسالة نحت من إنسان-آلة – حاسوبية تلبي تلقائيا رغبات المنشئ الأساسي للڤيروس أو السپام. ويُعتقَد أن البوتنِتْ – وليس السپام أو الڤيروسات أو الديدان – باتت تمثل اليوم الخطر الأكبر على الإنترنت.
(13) software patch: تصحيح مؤقَّت لخلل في برنامج حاسوبي.
(14) the North American Electric Reliability Corporation
(15) Maginot Line
(16) firewall: نظام أمني لحماية شبكة مؤسسة ما من الأخطار الخارجية، كخطر المخترقين النافذين من شبكات أخرى كالإنترنت.
(17) one-way hash function: خوارزمية تختزِل الرسائل أو النصوص إلى أرقام (أعداد صحيحة عادة) لأغراض أمنية غالبا. وهي هنا «وحيدة الاتجاه» لتعذُّر استنباط النص الأصلي من الأرقام. تُستعمل هذه الدالة لإحداث بصمات رقمية تقوم بدورها بالتثبُّت من هوية المرسِل والرسالة. (التحرير)