كتبت: نورا محمد
قدمت «إسيت» ESET دليل يحتوي على نظرة عامة حول المخاطر الناشئة لـ Thunderspy وكذلك سبل الحماية، وهو سلسلة من الثغرات الأمنية في تقنية Thunderbolt. من خلال Thunderspy يمكن للمهاجم تغيير – وربما إزالة – الإجراءات الأمنية لواجهة Thunderbolt على جهاز الكمبيوتر. ويمكن للمهاجم الذي لديه حق الوصول المادي إلى الكمبيوتر المستهدف سرقة البيانات منه، حتى إذا تم استخدام تشفير كامل للقرص وكان الجهاز مقفلاً بكلمة مرور أو في وضعية السكون (Sleep).
وأفاد “أرييه جوريتسكي”، الباحث المتميز في الأمن السيبراني لدى شركة «إسيت»، أن بحث “روتنبيرج” قد انتشر بسبب نجاح الهجوم الجديد، ولم يذكر الكثير حول كيفية الحماية من Thunderspy، أو حتى تحديد ما إذا كنت ضحية أم لا.
وشرح “جوريتسكي” في مقاله بعنوان”هجمات Thunderspy” ما هي ومن هم الأكثر عرضة للخطر وكيفية الحفاظ على سلامتهم”، حيث أوضح بإيجاز الخلفية التقنية لـ Thunderspy ولكنه يركز في المقام الأول على الأساليب العملية للدفاع ضدها، قائلا: “الهجمات القائمة على Thunderbolt نادرة جدًا لأنها وبحكم طبيعتها مستهدفة بشدة. و أضاف: “حقيقة أن المستخدم العادي لن يكون محط أنظار المهاجم لا يعني أن الجميع في أمان. واتباع بعض التوصيات الصارمة التي وصفناها في مقالتنا أمرًا منطقيًا للجميع”.
وقال إن هناك نوعان من الهجمات التي يعتمد عليها Thunderbolt. الأول هو استنساخ هويات أجهزة Thunderbolt الموثوق بها والتي يسمح بها الكمبيوتر. والثاني هو تعطيل أمان Thunderbolt بشكل دائم بحيث لا يمكن إعادة تمكينه، لافتاً: “إن هجوم الاستنساخ يشبه اللصوص الذين يسرقون المفتاح وينسخونه. ويمكنهم استخدام المفتاح المنسوخ بشكل متكرر لفتح القفل. الهجوم الثاني هو شكل من أشكال طوب الرقاقة. يتم تعطيل مستويات أمان Thunderbolt نهائيًا وحماية التغييرات ضد الكتابة حتى لا يمكن التراجع عنها “.
تقتضي ضرورة الهجوم على الكمبيوتر أن يكونوا الضحايا المحتملين في نطاق الأهداف عالية القيمة. رجال الأعمال والمهندسين والموظفين الإداريين أو حتى الموظفين في الخطوط الأمامية قد يكونون أهدافًا إذا كان لدى المهاجم بعض الدوافع التجارية، مثل التجسس الصناعي. في ظل الأنظمة القمعية، يعد السياسيون والمنظمات غير الحكومية والصحفيون أهدافًا محتملة للتهديدات المتقدمة مثل Thunderspy؛ لأن تنفيذ أي نوع من الهجومين لا يتم ببساطة، نظرًا لأن الوصول الفعلي إلى الكمبيوتر المستهدف مطلوب، بجانب أدوات لتفكيك الكمبيوتر، وإرفاق مبرمج منطقي، وقراءة البرامج الثابتة من رقاقة SPI flash ROM وتفكيكها وتعديل تعليماتها وإعادة كتابتها مرة أخرى إلى الشريحة. إن مثل هذه الهجمات هو نوع من “evil maid attack “.
للدفاع ضد Thunderspyمثل أي هجمات أخرى على الأجهزة تتطلب الوصول المادي إلى النظام، من المهم أن تقرر ما إذا كان هدف الدفاع هو توضيح وقوع هجوم مادي، أو الحماية منه.
يمكن تقسيم طرق الحماية ضد هجمات Thunderspy إلى فئات منفصلة. يلخصها “جوريتسكي”: “أولاً، امنع أي وصول غير مصرح به إلى جهاز الكمبيوتر الخاص بك. ثانيًا، قم بتأمين جميع الواجهات والمنافذ ذات الصلة بالكمبيوتر، مثل USB-C. وانظر إلى ما هو أبعد من الإجراءات المادية، واتخذ أيضًا خطوات لجعل البرامج الثابتة للكمبيوتر والبرمجيات أكثر أمانًا “.
وتحتوي مقالة “هجمات Thunderspy: ما هي، ومن هم الأكثر عرضة للخطر وكيفية الحفاظ على سلامتهم” ، على العديد من النصائح العملية حول تحسين الأمن ضد سرقة البيانات من قبل Thunderspy، بما في ذلك واحدة تتميز بأنها بسيطة ولكنها قوية نسبيًا.
وأوصى”جوريتسكي”: “قم بتعطيل الإسبات أو السكون أو أوضاع إيقاف التشغيل المختلطة الأخرى. أوقف تشغيل الكمبيوتر تمامًا عندما لا يكون قيد الاستخدام – القيام بذلك يمكن أن يمنع الهجمات على ذاكرة الكمبيوتر بواسطة Thunderspy”.
وبجانب جميع الإجراءات الأمنية الأخرى ، على المستخدمون تثبيت برامج أمن من مزود موثوق به يمكنه فحص برنامج UEFI الثابت للكمبيوتر، وهو أحد المواقع التي يتم تخزين معلومات أمن Thunderbolt فيه.
يذكر أنه تم اكتشاف Thunderspy في مايو 2020، بواسطة “بيورن روتنبيرج”، الباحث في أمن الكمبيوتر.