تؤثر ثغرة مصدر حصان طروادة على كافة التعليمات البرمجية للكمبيوتر

[ad_1]

صورة للمقال بعنوان Pretty Much All Computer Code يمكن اختطافه من خلال استغلال

صورة فوتوغرافية: ماتيتش زورمان (جيتي إيماجيس)

أظهرت دراسة جديدة أن جميع رموز الكمبيوتر في العالم تقريبًا معرضة لنوع خفي من الاستغلال ، والذي قد يؤدي (في أسوأ السيناريوهات) إلى هجمات سلسلة التوريد على نطاق واسع.

تم الكشف عن الخلل المعني من قبل باحثين في جامعة كامبريدج في إنجلترا ، والذين اعتادوا أن يطلقوا عليه “مصدر طروادة” عالي التأثر. على وجه التحديد ، يؤثر “حصان طروادة” على ما يُعرف باسم برامج التحويل البرمجي للتشفير – وهي الأجزاء الرئيسية من البرامج التي تساعد التعليمات البرمجية المصدر المكتوبة بواسطة الإنسان في التنفيذ على الأجهزة التي يتم تشغيلها عليها.

دبليوتم تطوير برمجيات الدجاج ، يكتبها المبرمجون بلغة يمكن للبشر قراءتها – تسمى “مستوى عال” الشفرة. يتضمن ذلك أشياء مثل Java و C ++ و Python وما إلى ذلك. ومع ذلك ، لكي يتم استيعاب تعليمات البرنامج النصي وتنفيذها فعليًا بواسطة جهاز كمبيوتر ، يجب أن يتم ذلك يجب ترجمتها إلى تنسيق يمكن قراءته آليًا يتكون فقط من وحدات ثنائية – غالبًا مسمى “كود الآلة. ” هذا هو المكان الذي يأتي فيه المترجمون. فهم يعملون بشكل فعال كوسطاء بين الإنسان والآلة ، ويترجمون لغة إلى أخرى.

لسوء الحظ ، مثل الجديد دراسة يظهر ، ريمكن أيضًا أن يتم الاختطاف بسهولة إلى حد ما. وفقًا للنتائج التي توصل إليها الباحثون ، فإن جميع المترجمين تقريبًا لديهم خلل فيها ، عندما يتم استغلالهم بشكل صحيح ، يسمح لهم بالاستيلاء بشكل غير مرئي لأغراض خبيثة. مع الاستغلال ، يمكن أن يقوم الفاعل السيئ افتراضيًا بتغذية شفرة الآلات التي كانت مختلفة عما كان مقصودًا في الأصل – وهو تجاوز التعليمات الموجودة في البرنامج بشكل فعال.

على هذا النحو ، يمكن افتراضيًا استخدام “حصان طروادة” للتحريض على هجمات سلسلة التوريد واسعة النطاق. مثل هذه الهجمات – مثل الأخيرة حملة SolarWinds– تضمين النشر الصامت للبرمجة الخبيثة في منتجات البرمجيات كمتجه لتهديد أنظمة وشبكات أهداف محددة. من الناحية النظرية ، يمكن للقراصنة استخدام هذا الاستغلال لتشفير الثغرات الأمنية في أنظمة بيئية كاملة للبرامج ، مما يسمح باستخدامها في عمليات قرصنة أكثر استهدافًا. على هذا النحو ، فإن الثغرة الأمنية تشكل “تهديدًا مباشرًا” ، كما كتب الباحثون – ويمكن أن تهدد “تسوية سلسلة التوريد عبر الصناعة”.

تقترح الورقة تنفيذ العديد من إجراءات الحماية الجديدة التي تهدف تحديدًا إلى الدفاع عن المجمعين كوسيلة لتجنب هذه المشكلة الجديدة الكبيرة. مراسل الأمن السيبراني بريان كريبس تم الإبلاغ عنه أنه نتيجة للورقة ، وعدت بعض المنظمات بالفعل بإصدار تصحيحات تتعلق بـ “حصان طروادة”. ومع ذلك ، ورد أن آخرين “يجرون أقدامهم”.

“حقيقة أن ثغرة مصدر طروادة تؤثر على جميع لغات الكمبيوتر تقريبًا تجعلها فرصة نادرة لمقارنة الاستجابات عبر الأنظمة الأساسية والصحيحة بيئيًا على مستوى النظام” ، كما تنص الورقة. “نظرًا لأنه يمكن إطلاق هجمات قوية على سلسلة التوريد بسهولة باستخدام هذه التقنيات ، فمن الضروري للمؤسسات التي تشارك في سلسلة توريد البرامج تنفيذ الدفاعات.”

.

[ad_2]