قبل ثماني سنوات ، سيمون ويتاكر ، رئيس الأمن السيبراني في الاستشارات ومقرها بلفاست”https://instil.co/” الهدف=”_blank” rel=”noopener”> غرس، تجنبت بفارق ضئيل أن يحطم بابه الأمامي من قبل”https://www.computerweekly.com/news/366620980/PSNIs-ridiculous-withholding-of-evidence-in-spying-operation-delayed-court-hearings”> خدمة الشرطة في أيرلندا الشمالية (PSNI) ((انظر صورة أمر أدناه) وتم حفظها فقط من وظيفة إصلاح باهظة الثمن لأن أحد الأقارب كان في المنزل في ذلك الوقت.
كان ويتاكر هو الضحية البريئة لسوء الفهم الذي نشأ عندما قام عمله بصفته برؤوس أخصائي الأمن السيبراني مع تشريعات واردة في المملكة المتحدة”https://www.legislation.gov.uk/ukpga/1990/18/contents” الهدف=”_blank” rel=”noopener”> قانون إساءة استخدام الكمبيوتر (CMA) لعام 1990 هذا للوهلة الأولى تبدو معقولة.
“ما حدث لي هو أننا كنا نعمل مع عميل كان يعمل مع صندوق NHS ، مما يدل على بعض برامجهم” ، يوضح. “اختار برامجهم معلومات من مختلف مصادر الويب المظلمة ونشرت هذه المعلومات على Pastebin.”
تم إجراء هذا المنشور يوم الثلاثاء 9 مايو 2017 (تذكر هذا التاريخ – إنه أمر مهم) والمعلومات تحتوي على العديد من الكلمات الرئيسية ، بما في ذلك “NHS” و “Ransomware” (انظر لقطة الشاشة من صفحة Pastebin أدناه).
كان هذا الفعل العرضي كافياً لتجول أجراس الإنذار في مكان ما في أعماق جهاز ذكاء بريطانيا. تورطت الوكالة الوطنية للجريمة (NCA) ، وتراجعت رسائل البريد الإلكتروني ذهابًا وإيابًا على المحيط الأطلسي للأميركيين. دون علم ويتاكر وعائلته ، كانت الأزمة تتطور.
يقول ويتاكر: “لقد انتهى الأمر بثمانية كوب من بابنا والكثير من الناس منزعجين للغاية”. “لقد كلفنا ذلك حوالي 3000 جنيه إسترليني من الرسوم القانونية ، عندما تم نشر كل ما حدث ببضع كلمات على Pastebin.
“نتحدث عن استخدام مطرقة ثقيلة لتكسير الجوز ، لكنها دقيقة تمامًا ، حيث حددوا أصغر أدلة – لم يكن هذا دليلًا لأنه لم يحدث شيء – لكنه كان كافياً.”
و Punchline؟ يحدث فقط أن تم تحديد المنشورات يوم الجمعة 12 مايو كجزء من التحقيق في هجوم Wannacry ،”https://www.computerweekly.com/news/450418720/NHS-hospitals-hit-by-suspected-ransomware-attack” الهدف=”_blank” rel=”noopener”> التي تسببت في الفوضى عبر NHS. تم مداهمة منزل ويتاكر يوم الاثنين التالي.
“https://www.computerweekly.com/rms/computerweekly/Screenshot-Pastebin-ransomware-test-CREDIT-Simon-Whittaker-800px_half_column_mobile.jpg” srcset=”https://www.computerweekly.com/rms/computerweekly/Screenshot-Pastebin-ransomware-test-CREDIT-Simon-Whittaker-800px_half_column_mobile.jpg 960w,https://www.computerweekly.com/rms/computerweekly/Screenshot-Pastebin-ransomware-test-CREDIT-Simon-Whittaker-800px.jpg 1280w” alt=”A redacted screenshot of the PasteBin post” بيانات البيانات=”Simon Whittaker, Instil” الارتفاع=”196″ العرض=”279″> لقطة شاشة تم تنقيحها من Pastebin Post
مسرح الأمن
إذن ، ما هي CMA ، وكيف كان يهبط تقريبًا Whittaker في Nick؟ إنه سؤال كبير لا يتحدث ليس فقط عن تجربته غير السارة ، ولكن إلى القضايا الأوسع المتمثلة في التجاوز القانوني ، والقصور الذاتي الحكومي ، وفي نهاية المطاف ، قدرة اقتصاد الأمن السيبراني المزدهر في بريطانيا على العمل الكامل.
بالفعل،”https://www.cyberupcampaign.com/” الهدف=”_blank” rel=”noopener”> حملة cyberup بالنسبة إلى إصلاح CMA ، تقدر شركات الأمن في المملكة المتحدة مليارات الدولارات كل عام لأن CMA يربطهم بشكل فعال.
باختصار ، يحدد جريمة واسعة من الوصول غير المصرح به إلى الكمبيوتر. بالقيمة الاسمية ، من الصعب المجادلة لأنه يبدو أنه يجعل الجريمة الإلكترونية غير قانونية.
ومع ذلك ، في تطبيقها الواسع ، ما تفعله الجريمة في الواقع هو جعل كل القرصنة غير قانوني. على هذا النحو ، أصبح من المعتاد الآن بشكل محزن لأنه فشل تمامًا في حساب حقيقة أنه من وقت لآخر ، يجب على محترفي الأمن الشرعيين والمتسللين الأخلاقيين الوصول إلى جهاز كمبيوتر دون إذن إذا أرادوا القيام بوظائفهم.
يقول ويتاكر: “إنه أمر محبط للغاية ، فكرة وجود تشريع كان موجودًا لفترة طويلة تم إحضاره في الأصل لأنهم لم يكن لديهم أي تشريع”.
“اقتحم شخص ما حساب البريد الإلكتروني للأمير فيليب ، وحساب BT ، ولم يكن لديهم أي تشريع للقيام به ، لذلك حصلوا عليها بموجب قانون التزوير والتزوير.”
يشير Whittaker إلى حادثة عام 1985 حيث الكاتب والمعلم الأمني روبرت شيفرين”https://www.theregister.com/2015/03/26/prestel_hack_anniversary_prince_philip_computer_misuse/” الهدف=”_blank” rel=”noopener”> اخترق خدمة BT Prestel – سلائف البريد الإلكتروني المبكرة – وصلت إلى صندوق بريد دوق إدنبرة.
أرشيف شيفرين ، المحفوظة في”https://www.tnmoc.org/” الهدف=”_blank” rel=”noopener”> المتحف الوطني للحوسبة، يكشف كيف اخترق Prestel لرفع الوعي بموظفات الضعف المحتملة في مثل هذه الأنظمة. في مقابلة عام 2016 ،”https://arstechnica.com/tech-policy/2016/05/prince-philip_bt-prestel-hack-preserved-computing-museum/” الهدف=”_blank” rel=”noopener”> قال شيفرين ARS Technica لقد انتظر حتى بعد الساعة 6 مساءً في يوم الاختراق للتأكد من أن فريق تكنولوجيا المعلومات قد عاد إلى المنزل للمساء ولم يتمكن من التدخل. حتى أنه حاول إخبار BT بما كان يفعله.
كانت CMA هي استجابة حكومة تاتشر على هذا ، و 35 عامًا ، أصبحت جريمة الوصول غير المصرح بها إلى جهاز كمبيوتر الآن في صميم حملة مدتها خمس سنوات بقيادة مجموعة Cyberup ويدعمها البرلمان من بين آخرين ، من بين آخرين ،”https://www.computerweekly.com/opinion/The-Data-Bill-Its-time-to-cyber-up” الهدف=”_blank” rel=”noopener”> اللورد كريس هولمز.
يقول ويتاكر إنه من الواضح جدًا أنه في عام 1990 ، كان من المستحيل التنبؤ بأن يندرج البحث في مجال أمن المعلومات.
“لا أحد يتوقع أن يكون هناك أشخاص منفتحون على مكافآت الحشرات أو إجراء البحث والتحقيق في تكنولوجيا المعلومات. لا أعتقد أن أي شخص في ذلك الوقت أدرك أن هذا سيكون شيئًا – وإذا نظرت إلى الرسالة الأساسية لـ CMA ، وهي” لا تلمس أشياء الآخرين “، فهناك بعض المعنى لذلك” ، كما يقول.
“لكن ما لا يفعله CMA هو وضع أي نوع من البدلات للبحث أو فهم أن هناك محترفين إلكترونيين هناك هم وظيفتهم هي محاولة كسر الأشياء ، ومحاولة الحفاظ على أمان الأمة والمنظمات” ، ويضيف.
يقول ويتاكر: “كانت CMA تشريعًا كان واسعًا للغاية ، وفكرة أنه لا يزال موجودًا بعد هذا الوقت ، ولم يتم تكييفه وفقًا للتغييرات التي رأيناها على مدار العشرين عامًا الماضية أو 25 عامًا التي كنت فيها في الصناعة ، أمر غريب للغاية”.
“لم يتغير التشريع حول القتل منذ عام 1861 في”https://www.legislation.gov.uk/ukpga/Vict/24-25/100/contents” الهدف=”_blank” rel=”noopener”> جرائم ضد قانون الشخص. ليس الأمر مثل جريمة القتل قد تغيرت بشكل كبير منذ عام 1861 ، في حين تغير عالم الحوسبة بشكل كبير منذ عام 1990. “
يد واحدة مقيدة خلف ظهورنا
عند قطعها إلى صميم المشكلة ، فإن ما تفعله CMA في الممارسة العملية هو إجبار أخصائيي الأمن في المملكة المتحدة على العمل بعين واحدة على خطاب القانون ويد واحدة مرتبطة خلف ظهورهم.
يروي ويتاكر قصة أخرى من أرشيفات غرس. “لقد ألقينا نظرة على شودان ، وحددنا أنه كان هناك”https://www.techtarget.com/searchsecurity/news/252505403/FBI-watchlist-exposed-by-misconfigured-Elasticsearch-cluster” الهدف=”_blank” rel=”noopener”> فتح دلو Elasticsearch كان ذلك هو إسقاط بيانات الاعتماد لهاتف محمول كبير جدًا ومزود خط ثابت في إسبانيا.
يقول: “في كل مرة يأتي فيها طلب جديد ، قام بإسقاط بياناتهم في هذا الدلو ، والذي قدم بعد ذلك الأسماء والعناوين وأرقام الهواتف وتفاصيل البنوك والكثير من الأشياء المثيرة للاهتمام حقًا”.
“كنا قلقين للغاية بشأن الإبلاغ عن هذا. لأننا وجدنا ذلك ، كنا قلقين من أنه كان من الممكن أن يرتبطنا بالولاية معنا. لماذا كنت تبحث؟ ماذا كنت تفعل؟ ماذا كان يحدث هنا؟
“لقد فعلنا ذلك على انفراد – لم نتحدث عن ذلك أبدًا لأي شخص ، لكننا تحدثنا مع المنظمة وكانوا في نهاية المطاف ممتنين للغاية. كان CISO يفهمون للغاية ، لكنه لا يزال يكلفنا حوالي اثنين من الرسوم القانونية لتكون قادرة على القيام بذلك.”
يمكن لـ Whittaker إعادة سرد العديد من القصص الأخرى عن كيفية قيام الأشخاص الذين يحاولون فقط إجراء بعض الأبحاث العامة في القضايا المماثلة إلى التوقف وعدم القيام بذلك ، أو السفر إلى ولاية قضائية أخرى للقيام بذلك ، بسبب CMA.
اختبار الاختراق ضمن حدود القانون
لفهم بشكل أعمق كيف أن CMA في أوتار الركبة في المملكة المتحدة ، دعنا نعود في الوقت المناسب ، هذه المرة إلى أوائل العقد الأول من القرن العشرين ، عندما اشتعلت Whittaker ، ثم العمل في تطوير البرمجيات ، حشرة الإنترنت بعد أن نقلته الوظيفة إلى روسيا بعد عملية الاستحواذ.
“أحد الأشياء الأولى التي طلبنا منا الروس هي ،” هل سبق لك أن خضعت للاختبار الأمن أو القلم؟ ” قلنا ، “لا ، لكن لا تقلق ، نحن جيدون حقًا في هذه الأشياء” ، وفي غضون 20 ثانية ، قاموا بتمزيقنا إلى أجزاء وكسرونا بطرق مختلفة. كنت أشاهد الاختبار وقلت ، “هذا رائع للغاية ، كيف يمكنني العمل على كيفية القيام بذلك؟”
إذا جاء التعديل ، فسيمكننا من أن نكون قادرين على التنافس وحماية أنفسنا ومواطنينا بطريقة أفضل بكثير سيمون ويتاكر ، غرس
على بعد حوالي 20 عامًا من الخط ، تأسست شركة Whittaker ، على أنها هيكل رأسي ، ولكنها تندمج الآن في غرس”https://instil.co/”> – هو”https://www.crest-approved.org/” الهدف=”_blank” rel=”noopener”> اختبار الاختراق المعتمدومعتمد من قبل المركز الوطني للأمن السيبراني (NCSC) باعتباره أ”https://www.ncsc.gov.uk/cyberessentials/overview” الهدف=”_blank” rel=”noopener”> Cyber Essentials تصديق هيئة ومزود خدمة مضمون لبرنامج Cyber Essentials.
“نحن نعلم الناس كيفية كسر الأشياء. نحن نعلم الناس كيفية اقتحام أنظمتهم الخاصة. نعلم الناس كيفية اقتحام البنية التحتية السحابية الخاصة بهم ، وكيفية القيام بعمليات نمذجة التهديد ، حتى يتمكنوا من البدء في فهم كيفية التفكير في التهديدات”.
ولكن في الممارسة العملية ، هذا يعني أن ويتاكر وفريقه يعلمون الناس أن يفعلوا أشياء يمكن للمحكمة أن تجادلها ضد CMA بطريقة أو بأخرى أو شكلها ، لذا ، بالإضافة إلى الحذر الشديد لتعليم عملائه كل شيء عن القانون وكيفية العمل في حدوده عند الفرشاة ضد الحدود الصلبة.
يقول ويتاكر: “يجب توقيع قطع الورق ، يجب الاتفاق على النطاق”. “عندما نقوم بتدريس الصغار ، ربما نقضي نصف يوم في مرور CMA وتفاصيل لهم بالضبط مدى توترهم حول هذه الأشياء ، مع التأكد من أنهم على دراية بها.
“إنه بالتأكيد في طليعة عقولنا. وإذا كان هناك خرق في النطاق ، فأنت تتوقف. أنت تتصل بالعميل وتقول:” اسمع ، لقد قمنا بمسح الكثير من IPS ، لقد فعلنا ذلك ، لقد فعلنا ذلك “. أنت تتحدث إلى العميل بانتظام حول التأكد من عدم حدوث ذلك.
يقول ويتاكر: “في جميع اعتباراتنا ، نفضل التراجع عن المشروع بدلاً من المخاطرة بضرب طرف ثالث عندما نختبر القلم”.
إنه ، ربما ، ربما بحزن قليلاً ، إلى عمل الباحثين الأمنيين في المنظمات الأمنية في الولايات المتحدة أو الإسرائيلية الكبرى التي لديها مهلة صغيرة في مثل هذه الأشياء ، أو إلى عمل أولئك الذين في ولايات أكثر تساهلاً ، مثل البلطيق ، حيث غالبًا ما تتفوق على الأجنحة السيبرانية في مجال الأبحاث الإلكترونية.
يقول: “تسمع ، على سبيل المثال ، قصصًا عن مزود النطاق العريض X الذي أرسل هذا المربع الذي هو في القمامة ويمكن الوصول إليه عن بُعد. يمكنني اختراق كل هذه الأشياء ، لكن لا يمكنني الذهاب والقيام بالبحث بطريقة رسمية مسؤولة ، لأنه إذا قمت بذلك ، فإنني أواجه خطر القبض عليه أو مقاضاته”.
“إنه أمر محبط حقًا بالنسبة للمؤسسات الأصغر مثل أنفسنا. نريد أن نكون قادرين على إجراء هذا البحث. نريد أن نكون قادرين على المساعدة. نريد أن نكون قادرين على تقديم هذه المعلومات. لكنها معقدة للغاية.”
ماذا يعني إصلاح CMA؟
يعد قانون إساءة استخدام الكمبيوتر حاليًا للإصلاح كجزء من مراجعة وزارة الداخلية على نطاق أوسع للقانون ، لكن التقدم كان هشًا و”https://www.computerweekly.com/news/252500572/Government-to-reform-Computer-Misuse-Act” الهدف=”_blank” rel=”noopener”> توقفت عدة مرات بفضل جائحة Covid-19 والانهيارات المتتالية لـ Boris Johnson و”https://www.computerweekly.com/news/252524622/Campaigners-call-on-Truss-to-change-UKs-archaic-hacking-laws” الهدف=”_blank” rel=”noopener”> ليز تروس الحكومات.
إنه أمر محبط للمنظمات الأصغر مثل أنفسنا. نريد أن نكون قادرين على إجراء هذا البحث. نريد أن نكون قادرين على المساعدة. نريد أن نكون قادرين على تقديم هذه المعلومات. لكن [the law makes it] معقد للغاية سيمون ويتاكر ، غرس
خفض إلى عام 2024 وحكومة حزبية جديدة ، ويبدو أن الأمور تتحرك مرة أخرى. ولكن في ديسمبر 2024 ، محاولات اللورد هولمز وأقران آخرين الحصول على”https://www.computerweekly.com/opinion/Security-and-verification-concerns-dog-debate-over-Data-Use-Access-Bill”> فاتورة (الوصول والاستخدام) تم تعديله لتقديم دفاع قانوني للمحترفين الإلكترونية”https://www.computerweekly.com/news/366617109/Latest-attempt-to-override-UKs-outdated-hacking-law-stalls” الهدف=”_blank” rel=”noopener”> رفضت من قبل الحكومة، مع قيام وزارة الدولة في وزارة العلوم والابتكار والتكنولوجيا (DSIT) البارونة مارغريت جونز بأن الإصلاح كان قضية معقدة.
تدرس الحكومة تحسين الدفاعات من خلال التواصل مع مجتمع الأمن ، لكن جونز يدعي أنه حتى الآن ، لا يوجد إجماع على كيفية القيام بذلك في الصناعة ، وهو ما يعيق الأمور.
في الآونة الأخيرة ، وزير العلوم باتريك فالانس”https://www.computerweekly.com/news/366618521/Vallance-rejects-latest-charge-to-reform-UK-hacking-laws” الهدف=”_blank” rel=”noopener”> وزنه بعد أن سلطت الشرطة الضوء على مخاوفهم من أن السماح بالوصول غير المصرح به إلى الأنظمة بحجة تحديد نقاط الضعف يمكن استغلالها من قبل مجرمي الإنترنت.
وقال: “إن إدخال هذه التعديلات المحددة يمكن أن يشكل مخاطر أكبر على الأمن السيبراني في المملكة المتحدة ، ليس أقلها عن طريق إنشاء ثغرة عن غير قصد للمجرمين على الإنترنت للاستغلال للدفاع عن أنفسهم ضد الادعاء”.
ولكن بعد سنوات عديدة ومشاركة متكررة مع الحكومة ، فإن الناشطين ، مع الحفاظ على الأشياء المدنية ، يشعرون بالإحباط بوضوح – ومن المفهوم ذلك. يريدون أن تتحرك الأشياء بشكل أسرع.
يقول ويتاكر إن الإصلاح سيكون الفرق بين الليل والنهار لممارسته الأمنية.
“سيتيح لنا ذلك أن نكون أكثر أمانًا في بحثنا. أحب أن أكون قادرًا على النظر إلى الأشياء بمزيد من التفصيل ومساعدة الناس على تأمين أنفسهم. سيتيح لنا التركيز على وظائفنا بدلاً من أن نكون قلقين من أن نخرق شيئًا أو أن هناك شيئًا آخر سيسوء. سيكون بمثابة تغيير خطوة مما نراه حاليًا – تلك القدرة على الأداء بطريقة مفيدة” ، كما يقول.
“كل ما نحاول القيام به هو إعطاء فرقنا ، هؤلاء الخبراء الذين لدينا هنا في بلفاست وفي جميع أنحاء البلاد ، والقدرة على التنافس على نطاق عالمي. إذا جاء التعديل ، فسيمكننا من أن نكون قادرين على التجميع وحماية أنفسنا ومواطنينا بطريقة أفضل بكثير ،” يختتم.
وعندما يتم قول كل شيء وفعله ، لا تبقي المملكة المتحدة آمنة في مشهد التهديد المتغير باستمرار ومتسع باستمرار من فرض تعريف شامل للقرصنة كعمل غير قانوني عندما يعرف مجرمو الإنترنت في جميع أنحاء العالم جيدًا أنهم يكسرون القانون وببساطة لا يعطون لعنة؟
