كُشِف الستار عن خللٍ أمنيٍّ خطيرٍ آخر يوم الثلاثاء الموافق 14 أغسطس/ آب، عُرف فيما بعد باسم ثغرة فورشادو ومن المحتمل أن يكون له توابع ممتدةٌ في عالم التكنولوجيا، بما يشمل مشاريع العملات المشفرة الساعية وراء رفع قدرة أجهزة ومعدات معينة.
بعد الكشف عن ثغرتين في وقتٍ سابقٍ من هذا العام، فإن ثغرة فورشادو تؤثر في جميع جيوب حماية البرمجيات SGX الخاصة بشركة إنتل Intel، وهي سلسلةٌ خاصة من الشرائح يُفتَرض أنها أكثر أماناً تُستَعمَل عادةً في تخزين البيانات الحساسة.
باختصارٍ، مع أن جيوب الحماية يُفتَرَض أن تكون منيعةً، فقد وجد مجموعةٌ من الباحثين طريقةً يتمكن بها المخترقون من سرقة المعلومات التي تخزنها.
وبالنسبة للكثيرين، كانت ثغرتا ميلتداون Meltdown وسبيكتر Spectre مخيفتين بما فيه الكفاية. فقد أثَّر الخلَلَان في كل شرائح إنتل عن آخرها، وهي الأجهزة التي تعمل بها معظم الحواسب في العالم. لكن نظراً لصعوبة تنفيذهما، لم تقع الكثير من الهجمات على أرض الواقع.
وربما لا تبدو ثغرة فورشادو بنفس السوء بما أنها تستهدف صنفاً معيناً من أجهزة إنتل: ألا وهو جيوب حماية البرمجيات SGX. لكن بسبب تخطيط عديدٍ من مشاريع العملات الرقمية لاستعمال هذه التكنولوجيا، قد يكون لثغرة فورشادو توابع أسوأ وأسوأ في عالم العملات المشفرة.
وربما الأجدر بالذكر هو أن موكسي مارلينسبايك، مبتكر بروتوكول سيجنال Signal، يعمل الآن على إنشاء عملةٍ جديدةٍ يُقال إنها أكثر أماناً تحت اسم الموبايل كوين MobileCoin، تتمحور حول جيوب حماية البرمجيات SGX، بل إنه يجمع 30 مليون دولار لتحقيق ذلك.
ونتيجةً لهذا، سيتحتم على هذه المشاريع إعادة بناء خططها قبل إطلاقها الفعلي.
وصرَّح فيل ديان الباحث الأمني بجامعة كورنيل لموقع كوين ديسك CoinDesk قائلاً: “بالتأكيد للنتائج المُعلَنَة اليوم أثرٌ واسعٌ على مشاريع العملات المشفرة”.
لكن الخبر الجيد هو أن الباحثين قد اتَّبَعوا “عملية النشر المسؤولة” في عالم الحماية، بالكشف عن العيوب وإنذار إنتل قبل عرضها حتى تبتكر الشركة التكنولوجية العملاقة حلاً (وقد جرى توزيعه منذ بضعة أشهر).
لكن عالم الأمن السيبراني ما زال به ضجيجٌ صاخبٌ حيال الأمر لأن هذا ربما لا يكون كافياً.
وقال ديان: “من المرجَّح أن البنية التحتية ستظل عرضةً لهذا النوع من الهجمات وقتاً طويلاً، بسبب بطء تحديث عديدٍ من هذه الأنظمة ولأن كثيراً من هذه الحلول تتطلب إما تحديثاتٍ ضمنيةً أو تحديثاتٍ في المعدات”. وأضاف: “سيكون من المفاجئ لو لم يستعمل أحد هذا الصنف من الهجمات في وقتٍ ما لسرقة العملات المشفرة”.
أخبار جيدة وأخبار سيئة
لكن هناك خبراً جيداً وآخر سيئاً.
من ناحيةٍ، لا يبدو أن أياً من مشاريع جيوب الحماية رفيعة المستوى يُستَخدَم حتى الآن لتأمين الأموال الحقيقية. إذ جاء في تصريحات ديان: “حسب علمي، ليس هناك إنتاجٌ ولا استخدامٌ واسع النطاق لمشاريع جيوب الحماية في المجال اليوم”.
أما الخبر السيئ فهو أن هناك كثيراً من المشاريع التي تريد أن تستخدم جيوب الحماية، وربما أيضاً لديها خططٌ لتنفيذ ذلك قريباً. وأفكارها رائعةٌ جداً.
قد تكون عملة الموبايل كوين MobileCoin هي العملة الأعلى طموحاً نظراً لرغبة المطوِّرين في أن تحل جيوب الحماية محل المُعَدِّنين، وهم جزءٌ أساسيٌّ في تأمين أي عملةٍ مشفرةٍ، بغرض بناء عملةٍ مشفَّرَةٍ أكثر كفاءة في استخدام الطاقة.
لكن هناك كثيرون آخرون يرغبون في استخدام جيوب الحماية SGX لأجل مميزاتها من ناحية الأمن والخصوصية.
إذ تستعملها شركة إنيغما Enigma في محاولة فريدة من نوعها لتعزيز الخصوصية في العقود الذكية، بينما شركة ليدجر Ledger لمعدات المحافظ وصلت إلى حدِّ أنها عقدت شراكةً مع عملاقة التكنولوجيا إنتل لدراسة استعمال جيوب الحماية في تخزين المفاتيح الخاصة. والقائمة تطول.
لكن شركة إنيغما تجادل بأن البعض يبالغ في تأثير هذه الثغرة.
وقال غاي زسكيند، الرئيس التنفيذي للشركة وأحد مؤسسيها، في بيانٍ له “مثل أي برمجية أو معدات، فإن اكتشاف الثغرات المحتملة جزءٌ طبيعي ومتوقع من عملية التطوير. ولقد سدَّت شركة إنتل هذه الثغرة وهي لا تقلل بأي حال من إمكانات تقنية جيوب الحماية”.
وأضاف زسكيند أن شركة إنيغما “فخورة” بتعاونها مع إنتل، وتؤمن بأن استعمالها جيوب الحماية أمرٌ ضروري لمستقبل العملات المشفرة، إذ أنها تصنع “حلولًا قوية للخصوصية ستسمح أخيراً بعمل التطبيقات اللامركزية وتبنيها على نطاقٍ واسع”.
لكن هذه المنافع الكبيرة لم تمنع بعض الباحثين من القلق بشأن تبعات ثغرة فورشادو.
فقد قال باتريك ماكوري، الأستاذ المساعد في كلية الملك في لندن، في تصريحٍ لموقع كوين ديسك CoinDesk: “إن الهجوم على جيوب الحماية SGX لأمر فتَّاك”، مضيفاً أن الجماعات البحثية تناقش منذ وقتٍ طويلٍ كيفية توزيعها بحيث تضفي مزيداً من الحماية للبيانات.
واستطرد قائلاً: “من الممكن أن تقضي على سلامة وخصوصية أي تطبيقٍ يعتمد على معدات موثوقة. إذ تعتمد كثيرٌ من الشركات في مجال العملات المشفرة على جيوب الحماية لدعم البروتوكولات متعددة الأطراف، لكن هذا الهجوم يسمح لأي مشاركٍ بالاحتيال”.
وقال ديان: “في رأيي، ينبغي للأبحاث الجيدة وأنظمة جيوب الحماية SGX افتراض الإمكانية الدائمة لتدمير المعدات بتكلفةٍ ما، وحريٌّ بها، كما جرت العادة، أن تضع تصميماتٍ دفاعيةً وتستخدم حمايةً متعددة الطبقات”.
ثم أعطى نصيحته للشركات التي تعتزم الانطلاق قريباً.
إذ قال: “على المشاريع التي تنوي الانطلاق قريباً وتعتمد على جيوب الحماية أن تقيِّم نقاط الضعف وأي تحديثاتٍ من إنتل متوخيةً الحذر من أي شيء قد يطول أمان أنظمتها، ويجدر بها نشر هذه التحقيقات مع أكوادها”.
لكن الخبر السيئ الآخر هو أن المخترقين من الممكن لهم العثور على تنويعةٍ جديدةٍ للخلل، مما يؤثر على نحوٍ مشابهٍ في جميع شرائح جيوب الحماية.
ونوَّه ماكوري قائلاً: “كما تبين فورشادو، فإن جودة الهجمات مستمرةٌ في الارتفاع”.
أن تكون محقاً
وقد أشهر اكتشاف الثغرة بعض المطوِّرين بأن وجهة نظرهم كانت صحيحة.
فبما أن إنتل تملك باباً خلفياً لجميع أجهزة جيوب الحماية SGX، لطالما أثارت هذه التقنية الجدل بين مشاريع العملات المشفرة، إذ غالباً ما يجادل المناصرون بأن استعمال هذه التكنولوجيا يضع قدراً مفرطاً من النفوذ والثقة في يد شركةٍ واحدةٍ.
ببساطةٍ، في رأيهم، ثغرة فورشادو هي مثالٌ واضحٌ على ضرورة عدم ارتكاز مشاريع العملات المشفرة على جيوب الحماية SGX.
وفي تغريدة، كتب صاحب الاسم المستعار “غروبلز”، وهو من أنصار البتكوين: “من الجيد أننا لم ندعم حل أزمة سعة البتكوين الذي اقترحه أحد الأساتذة ويعتمد على جيوب الحماية”.
وردَّ عليه فلاديمير فان دير لان، المشرف على البتكوين، قائلاً: “حتى ولو كان الحل مثالياً بطريقةٍ ما، فلم تكن قط فكرةً حسنةً أن نبني حماية البتكوين حصرياً على تكنولوجيا سريةٍ تابعةٍ لأحد الشركات المنتجة الشرائح”.
لكن مجدداً، ما زالت معظم المشاريع المستخدمة لشرائح جيوب الحماية لم يبدأ إنتاجها بعدُ.
وقد بلغ الأمر ببعض الباحثين أن جادلوا بأن معظم مشاريع العملات المشفرة التي تدرس استعمال جيوب الحماية SGX لم تستخدمها بالفعل على الأموال الحقيقية بسبب سوء سمعة إنتل. هناك تجاربٌ لهذه التقنية في قطاع العملات المشفرة، لكن القطاع حذِرٌ من استخدامها في مشاريعه على أرض الواقع.
وينصح بعض باحثي الحماية بالاستمرار على نهج عدم استعمال جيوب الحماية SGX.
لكن باحثين آخرين متفائلون بأن جيوب الحماية أو تقنية شبيهة لها قد تلعب يوماً ما دوراً كبيراً في العملات المشفرة، ويرون فورشادو مؤشراً إيجابياً على أن المعدات الموثوقة يجري اختبارها للوصول به إلى أعلى جودة.
وقال ديان: “سيتعيَّن اختبار جيوب الحماية وتمحيصها مراراً وتكراراً من جانب الباحثين حتى تصل إلى درجةٍ قويةٍ من الحماية، وسيتطلَّب هذا سنواتٍ”. ثم أضاف أنه يؤمن بأن المعدات الموثوقة على شاكلة شرائح جيوب الحماية قد تلعب يوماً ما دوراً كبيراً (وإيجابياً) في مجال العملات المشفرة.
باختصار، يجادل ديان بأن هذا قد يستغرق هذا بعض الوقت فحسب، قائلاً: “أدرك أن تكنولوجيا كهذه لها مستقبلٌ واعدٌ بالتأكيد لتقليل الاعتماد على الثقة وحماية الخصوصية المتوسعة في العملات المشفرة وما عداها”.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.