عمل "جورج جمال بيروتي" (طالب في الأكاديمية العربية للعلوم والتكنولوجيا والنقل البحري قسم هندسة الحاسوب) على تطوير فكرة حماية البيوت الافتراضية، من خلال مشروع شارك فيه بمعرض كلية "الهمك" بجامعة تشرين، مستخدماً أداة تجنب وقوع ثغرات حقن "الأكواد" البرمجية.

مدونة وطن "eSyria" التقت بتاريخ 10 كانون الأول 2015، الطالب "جورج جمالي بيروتي"؛ الذي أشار إلى أن مشروعه يهدف إلى تأمين طريقة آلية للتأكد من كون الموقع الإلكتروني -أي موقع كان- محمياً، عبر الإجابة عن سؤال: هل موقعك قابل للاختراق؟ ويقول: «فكرة المشروع تطوير أداة تقوم بمسح المحتويات البرمجية للموقع للتأكد من تجنب وجود ثغرات حقن الأكواد البرمجية (Scripts Injection)، هذه الثغرات تتيح لأي مخترق (هاكر) حقن الموقع بها عند نقطة برمجية معينة؛ وهو ما يؤدي إلى توقف أو تعطل عمل الموقع أو إظهاره لمحتوى لا يريده صاحب الموقع بالأساس، أو حتى تدمير الموقع عبر العبث بقاعدة بياناته الأساسية مهما كان بناؤها متقناً».

فكرة المشروع تطوير أداة تقوم بمسح المحتويات البرمجية للموقع للتأكد من تجنب وجود ثغرات حقن الأكواد البرمجية (Scripts Injection)، هذه الثغرات تتيح لأي مخترق (هاكر) حقن الموقع بها عند نقطة برمجية معينة؛ وهو ما يؤدي إلى توقف أو تعطل عمل الموقع أو إظهاره لمحتوى لا يريده صاحب الموقع بالأساس، أو حتى تدمير الموقع عبر العبث بقاعدة بياناته الأساسية مهما كان بناؤها متقناً

تم تطوير أداة لكشف ثغرات نوع محدد من هذه "الأكواد"؛ الثغرات الأكثر انتشاراً (Reflected XSS)، ويضيف: «تم تطوير أداة برمجية بنيت على لغة البرمجة PHP ولغات مدمجة أخرى تقوم بمسح محتويات الموقع البرمجية للتأكد من وجود تلك الثغرات التي تحدثنا عنها، يمكن للأداة معرفة المواقع التي حقنت فيها بتلك الأكواد؛ سواء أكان ذلك في الواجهة الأمامية للموقع أم في الوجهة الخلفية وعبر مختلف أنواع المصادر التي تتم عبرها برمجة المواقع، فائدة الأداة أنه يمكن للمبتدئين الاستفادة منها كالمختصين، حيث يقوم كل صاحب موقع بإجراء اختبار باستخدامها والتأكد من قابلية موقعه للاختراق؛ وبالتالي عندما يعرف هذه النقاط المهمة يتاح له البحث عن حلول لها والتخلص منها».

عملية فحص الموقع

لا يوجد موقع غير قابل للاختراق مئة بالمئة، خاصة أن البرمجة علم غير نهائي ومفتوح على عشرات الاحتمالات، لكن الوقاية هنا باستخدام هذه الأداة التي تخفف من الوقوع في الخطأ عن طريق الخطأ البرمجي التقليدي، ويقول: «بالتأكيد لا يوجد موقع محصن ضد الاختراق تماماً، فحتى المواقع الكبرى تدفع تأميناً يقدر بملايين الدولارات للتقليل من فرص الاختراق وليس لإيقافه كلية، حيث تبلغ تكلفة تأمين المواقع عبر شهادات SSL ما لا يقل عن مليون دولار سنوياً، وتساهم الأداة التي طورتها في التخفيف من التكلفة وزيادة الانتباه إلى قضايا برمجية قد لا يكون صاحب الموقع على دراية بها وغير مهتم بها من الأساس لكونه غير اختصاصي».

ما نحتاج إليه لإطلاق مثل هذه التقنيات في السوق المحلية هو حضانة مؤسساتية لهذه الأفكار، وهو الأمر الذي سبق لكثيرين ممن التقيناهم أن قاموا بالتأكيد عليه، وفي حديث مع الدكتور "يوسف ياخور" عميد الكلية يقول تعليقاً: «على الرغم من الظروف التي نمر بها؛ فإن هناك من يبدع وينتج من أجل بلاده، علينا أن نثبت للعالم أننا نعرف ماذا نفعل، مشروع الحماية هذا يساهم في توطين معرفتنا بتكنولوجيا البرمجيات لجهة عنصر مهم من عناصرها؛ وهو الأمان الذي نحتاج إليه كلنا كمؤسسات وأفراد في علاقتنا اليومية مع شبكة الإنترنت.

أثناء لقاء د.يوسف ياخور

العمل على تعزيز ثقافة الأمان باستخدام تقنيات محلية يجب أن يكون هاجساً لدينا؛ مخافة تعرضنا عبر استخدام أدوات غير منتجة محلياً للاختراق نفسه، هنا نعرف أننا أمام منتج آمن يستحق أن ندفع نقوداً من أجله».

يشار إلى أن هذه الفكرة يمكن تطبيقها على مختلف أنواع المواقع لاكتشاف ذلك النوع من الثغرات؛ الذي تذخر به المنتديات والمنصات الجاهزة التي يتم تناقلها من دون التثبت من قوتها البرمجية.

هل موقعك قابل الاختراق؟