كشفت شركات Google وAmazon وMicrosoft وCloudflare هذا الأسبوع أنها شنت هجمات ضخمة ومحطمة للأرقام القياسية لرفض الخدمة الموزعة ضد البنية التحتية السحابية الخاصة بها في شهري أغسطس وسبتمبر. تعد هجمات DDoS بمثابة تهديد كلاسيكي عبر الإنترنت حيث يحاول المهاجمون إغراق الخدمة بحركة المرور غير المرغوب فيها، مما يؤدي إلى الزحف إليها، ويقوم المتسللون دائمًا بتطوير أساليب جديدة لجعلها أكبر أو أكثر فعالية.
ومع ذلك، فإن الهجوم الأخير جدير بالملاحظة بشكل خاص لأن المتسللين استغلوا ثغرة أمنية في بروتوكول الشبكة الأساسي. وهذا يعني أنه على الرغم من أن جهود التصحيح جارية على قدم وساق، إلا أن التصحيحات ستحتاج إلى تغطية كل خادم شبكة في العالم بشكل أساسي قبل أن يتم القضاء على هذه الهجمات تمامًا.
لا يمكن استخدام الثغرة الأمنية، المعروفة باسم "HTTP/2 Fast Reset"، إلا لرفض الخدمة، ولا يمكن للمهاجمين الاستيلاء على الخادم عن بعد أو سرقة البيانات. لكن ليس من الضروري أن تكون الهجمات خيالية حتى تسبب مشاكل كبيرة - فالتوفر أمر بالغ الأهمية للوصول إلى أي خدمة رقمية، بدءًا من البنية التحتية الحيوية وحتى المعلومات المهمة.
كتب إميل كينر وتيم أبريل من Google Cloud هذا الأسبوع: "يمكن أن يكون لهجمات DDoS تأثيرات واسعة النطاق على المؤسسات الضحية، بما في ذلك خسائر الأعمال وعدم توفر التطبيقات ذات المهام الحرجة. يمكن أن يتجاوز وقت التعافي من هجوم DDoS بكثير الوقت الذي ينتهي فيه الهجوم."
جانب آخر من الوضع هو مصدر الضعف. RapidReset غير موجود في برنامج معين، ولكن في مواصفات بروتوكول الشبكة HTTP/2 المستخدم لتحميل صفحات الويب. يعد HTTP/2، الذي طوره فريق عمل هندسة الإنترنت (IETF) وهو موجود منذ حوالي ثماني سنوات، هو الوريث الأسرع والأكثر كفاءة لبروتوكول الإنترنت التقليدي HTTP. يعمل HTTP/2 بشكل أفضل على الأجهزة المحمولة ويستخدم نطاقًا تردديًا أقل، لذلك يتم اعتماده على نطاق واسع. يقوم IETF حاليًا بتطوير HTTP/3.
كتب Lucas Pardue وJulien Desgats من Cloudflare هذا الأسبوع: نظرًا لأن هذا الهجوم يستغل نقطة ضعف محتملة في بروتوكول HTTP/2، فإننا نعتقد أن أي مزود ينفذ HTTP/2 سيكون عرضة للخطر. وبينما يبدو أن هناك عددًا قليلًا من التطبيقات التي لم تتأثر بـ RapidReset، أكد باردو وديسجاتس على أن المشكلة ذات صلة على نطاق واسع بـ "كل خادم ويب حديث".
على عكس ثغرة Windows التي تم تصحيحها بواسطة Microsoft أو ثغرة Safari التي تم تصحيحها بواسطة Apple، من غير المرجح أن يتم إصلاح العيوب في البروتوكول بواسطة كيان مركزي لأن كل موقع ويب ينفذ المعيار بطريقته الخاصة. عندما تقوم الخدمات السحابية الكبرى ومقدمو خدمات دفاع DDoS بإنشاء إصلاحات لخدماتهم، فإنهم يقطعون شوطًا طويلاً في حماية كل من يستخدم البنية التحتية الخاصة بهم. لكن المنظمات والأفراد الذين يديرون خوادم الويب الخاصة بهم يحتاجون إلى تطوير إجراءات الحماية الخاصة بهم.
أشار دان لورينك، الرئيس التنفيذي لشركة ChainGuard، وهي شركة أمن سلسلة توريد البرمجيات التي شاركت منذ فترة طويلة في البرمجيات مفتوحة المصدر، إلى هذا الموقف كمثال على مدى ميزة توفر المصدر المفتوح وانتشار إعادة استخدام التعليمات البرمجية (بدلاً من بناء كل شيء من الصفر دائمًا)، لأن العديد من خوادم الويب ربما نسخت تطبيق HTTP/2 من مكان آخر، بدلاً من إعادة اختراع العجلة. إذا تمت المحافظة على هذه المشاريع، فسوف تقوم بتطوير إصلاحات إعادة تعيين سريعة ونشرها للمستخدمين.
سيظل الاعتماد الكامل لهذه التصحيحات على بعد سنوات، وستظل هناك بعض الخدمات التي تنفذ HTTP/2 الخاصة بها من البداية والتي لن تتوفر بها تصحيحات في أي مكان آخر.
وقال لورينك: "من المهم أن نلاحظ أنه عندما تكتشف شركات التكنولوجيا الكبرى هذه المشكلة، يتم استغلالها بنشاط". "يمكن استخدامه لشل الخدمات، مثل التكنولوجيا التشغيلية أو الضوابط الصناعية. إنه أمر مخيف."
في حين أن الموجة الأخيرة من هجمات DDoS ضد Google وCloudflare وMicrosoft وAmazon أثارت إنذارات بسبب حجمها الهائل، فقد خففت الشركات في نهاية المطاف من الهجمات دون التسبب في أضرار دائمة. ومع ذلك، من خلال تنفيذ الهجوم، كشف المتسللون عن وجود ثغرة أمنية في البروتوكول وكيفية استغلالها - وهي علاقة السبب والنتيجة المعروفة في مجتمع الأمن باسم "يوم الصفر المحروق". على الرغم من أن عملية التصحيح ستستغرق وقتًا، وستظل بعض خوادم الويب معرضة للخطر لفترة طويلة، إلا أن الإنترنت أصبح الآن أكثر أمانًا مما كان سيكون عليه لو لم يُظهر المهاجمون بطاقاتهم من خلال استغلال الثغرة الأمنية.
وقال لورينك: "من غير المعتاد أن تظهر ثغرة كهذه في أحد المعايير، فهي ثغرة جديدة واكتشاف قيم لمن اكتشفها أولاً. كان من الممكن أن يحتفظوا بها أو ربما يبيعوها ويجمعوا ثروة. لقد كان لدي فضول دائمًا لمعرفة سبب قرار شخص ما بـ "حرق" هذه الثغرة الأمنية."