مقدمة
في مارس 2024، كان مهندس في Microsoft يُدعى Andres Freund يحقق في استخدام غير مفسّر لوحدة المعالجة المركزية على خادم Debian Linux عندما عثر على واحدة من أكثر هجمات سلسلة توريد البرمجيات تطوراً على الإطلاق. مساهم خبيث أمضى عامين في بناء الثقة في مشروع XZ Utils مفتوح المصدر — وهو مكتبة ضغط تستخدمها كل توزيعة Linux تقريباً — أدخل شيفرة باب خلفي (Backdoor) مخفية بعناية كانت ستمنح وصولاً بعيداً غير مأذون به إلى أي نظام يعمل بالإصدارات المخترقة.
كانت الشيفرة مخفية بإتقان، والهجوم صبوراً ومتطوراً لدرجة أن باحثي الأمن وصفوه بأنه كاد يكون كارثة على البنية التحتية للإنترنت بحجم مماثل لـ Heartbleed. فقط مجموعة غير محتملة من مهندس يقظ وخصائص أداء شاذة بشكل طفيف منعت الباب الخلفي من الشحن في التوزيعات المستقرة.
حادثة XZ Utils لم تكن معزولة. كانت المثال الأكثر دراماتيكية لاتجاه أعاد تشكيل طريقة تفكير مجتمع الأمن في ثقة البرمجيات: هجمات سلسلة التوريد (Supply Chain Attacks) — اختراق خط أنابيب تطوير وتوزيع البرمجيات بدلاً من مهاجمة المستخدمين النهائيين مباشرة — هي أكثر فئات تهديد الأمن السيبراني خطورة والأسرع نمواً.
ما هي هجمة سلسلة التوريد؟
هجمة سلسلة توريد البرمجيات تخترق الخط الذي تصل من خلاله البرمجيات إلى المستخدمين النهائيين — بدلاً من مهاجمة المستخدمين مباشرة. قد يكون الهدف:
- مستودعات الشيفرة المصدرية (إفساد الشيفرة قبل تجميعها)
- أنظمة البناء (اختراق الخوادم التي تُجمّع الشيفرة)
- سجلات الحزم (نشر حزم خبيثة تُحاكي الحزم المشروعة)
- تحديثات البرمجيات (اختراق آلية التحديث لدفع شيفرة خبيثة)
- مشرفو البرمجيات مفتوحة المصدر (اختراق الأفراد الذين يشرفون على المكتبات الواسعة الاستخدام)
- مورّدون طرف ثالث (اختراق مورّد لديه وصول موثوق إلى عملائه)
تستمد هجمات سلسلة التوريد قوتها من الثقة. عندما يكون تحديث المورّد الموثوق هو ناقل الهجوم، فإن ضوابط الأمان التقليدية — جدران الحماية المحيطية وحماية نقاط النهاية وتصفية البريد الإلكتروني — لا توفر حماية. الشيفرة الخبيثة تصل بتوقيع صالح من مصدر موثوق، عبر آلية تحديث موثوقة، وتُثبّت نفسها بإذن صريح من المستخدم.
SolarWinds: الهجمة التي غيّرت كل شيء
هجمة SolarWinds في ديسمبر 2020 وضعت النموذج لاختراق سلسلة التوريد المتطور على نطاق عالمي.
تُنتج SolarWinds برنامج مراقبة الشبكات (Orion) الذي تستخدمه حوالي 18,000 منظمة عالمياً، بما في ذلك معظم الوكالات الفيدرالية الأمريكية والمتعاقدين الدفاعيين والشركات الكبرى. اخترق قراصنة روس مدعومون من الدولة (نُسبوا إلى مجموعة Cozy Bear التابعة لـ SVR) خط بناء SolarWinds — الأنظمة التي تُجمّع الشيفرة المصدرية لـ Orion إلى برمجيات قابلة للنشر — وأدخلوا شيفرة خبيثة (أُطلق عليها SUNBURST) جُمّعت في تحديثات Orion المشروعة.
لمدة تسعة أشهر تقريباً، كل منظمة ثبّتت تحديث Orion مشروعاً وموقّعاً رقمياً كانت أيضاً تُثبّت باباً خلفياً. صُمّمت البرمجية الخبيثة لتكون خفية بشكل استثنائي: انتظرت أسبوعين بعد التثبيت قبل التفعيل، وتنكرت اتصالاتها كحركة مرور Orion مشروعة، ولم تتفعل إلا في بيئات بدت نشراً مؤسسياً حقيقياً (وليس بيئات اختبار باحثي الأمن).
اختُرقت بشكل قاطع 100 منظمة كبرى على الأقل وتسع وكالات فيدرالية أمريكية، بما في ذلك وزارة الخزانة ووزارة الخارجية والأمن الداخلي وأجزاء من البنتاغون. النطاق الكامل لجمع المعلومات الاستخباراتية الذي أتاحه هذا الوصول يبقى مصنّفاً.
أظهرت SolarWinds أنه حتى المنظمات المتطورة ذات فرق الأمن القوية — من بين الأهداف شركات الأمن السيبراني Malwarebytes وMimecast — يمكن اختراقها بشكل شامل من خلال مورّد موثوق.
حادثة XZ Utils: ثقة البرمجيات المفتوحة المصدر كسطح هجوم
كشفت حادثة XZ Utils عام 2024 عن ناقل هجوم مختلف: الهندسة الاجتماعية لمشرفي البرمجيات مفتوحة المصدر.
عمل المهاجم تحت الاسم المستعار “Jia Tan” وأمضى حوالي عامين في المساهمة في مشروع XZ Utils — تقديم تحسينات شيفرة مشروعة ومفيدة، وبناء سمعة كمساهم موثوق، وتولي مسؤوليات المشرف المشارك تدريجياً من المشرف الوحيد الأصلي للمشروع (الذي بدا مرهقاً ومُثقلاً بالعمل).
خلال هذه الفترة، شارك المهاجم أيضاً فيما بدا ضغطاً اجتماعياً منسّقاً: إنشاء حسابات ثانوية وهمية تشتكي من غياب الإصدارات وبطء استجابة المشرف، مما أضاف إلحاحاً ظاهرياً لطلبات دمج الشيفرة. منح المشرف الأصلي في النهاية Jia Tan حقوقاً واسعة على المشروع.
ثم أُدخلت الشيفرة الخبيثة من خلال سلسلة معقدة من الإيداعات جعلت الباب الخلفي صعب الكشف بشكل استثنائي — بإخفائه في ملفات بيانات اختبار ثنائية، واستخدام تلاعبات في نظام البناء، وتوظيف تقنيات تعتيم تتطلب تحليلاً تقنياً عميقاً للتعرف عليها.
استهدف الباب الخلفي مصادقة SSH على الأنظمة التي تستخدم systemd — نظام البدء المستخدم في معظم توزيعات Linux الرئيسية. لو نُشر في الإصدارات المستقرة، لكان قد منح أطرافاً غير مأذون لها القدرة على المصادقة إلى أي خادم Linux متأثر باستخدام مفتاح تشفيري محدد. حجم الأثر المحتمل — بشكل أساسي كل خادم Linux متصل بالإنترنت — كان مذهلاً.
إعلان
لماذا البرمجيات مفتوحة المصدر هي المشكلة والحل في آن واحد
البرمجيات مفتوحة المصدر تُشغّل الإنترنت. نواة Linux تعمل على كل هاتف Android، ومعظم خوادم الويب، ومعظم البنية التحتية السحابية. مكتبة OpenSSL تؤمّن اتصالات HTTPS عالمياً. Log4j (مكتبة تسجيل Java) كانت مضمّنة في آلاف التطبيقات التي تستخدمها كل المنظمات الكبرى تقريباً. تستضيف npm وPyPI وMaven ملايين الحزم التي تُشكّل أساس تطوير البرمجيات الحديثة.
المفارقة الأمنية هي أن قوة البرمجيات مفتوحة المصدر — شيفرة شفافة يراجعها المجتمع — هي أيضاً نقطة ضعفها. الشفافية تعني أن أي شخص يمكنه قراءة الشيفرة وإيجاد الثغرات؛ لكن الشيفرة التي يراجعها المجتمع غالباً ما يُشرف عليها متطوعون يعملون في أوقات فراغهم، بدون موارد لمراجعة أمنية شاملة، وعرضة لنوع الهندسة الاجتماعية التي اخترقت XZ Utils.
نقاط الضعف الهيكلية الرئيسية:
مشكلة “left-pad”: مطوّر واحد يُشرف على حزمة واسعة الاستخدام يمكن أن يصبح نقطة فشل وحيدة للمنظومة بأكملها. عندما سُحبت حزمة left-pad من npm في 2016، تعطلت آلاف عمليات بناء البرمجيات عالمياً — ليس بسبب أي فشل أمني، بل ببساطة لأن شخصاً واحداً اتخذ قراراً واحداً.
إرهاق المشرفين: بنية تحتية كبيرة مفتوحة المصدر يُشرف عليها أفراد مُرهقون، يتقاضون أجراً منخفضاً (إن تقاضوا أصلاً)، ويتعرضون لضغط اجتماعي من مجتمعات مستخدمين مُتطلبة. هذا يُنشئ ظروفاً يتخذ فيها المشرفون قرارات أمنية سيئة أو يصبحون عرضة للهندسة الاجتماعية (كما في XZ Utils) أو يكون لديهم دافع لإدخال شيفرة خبيثة بأنفسهم.
سلاسل التبعيات: تستخدم تطبيقات البرمجيات الحديثة مئات أو آلاف المكتبات الخارجية، كل منها بتبعياتها الخاصة. ثغرة أو اختراق في أي مكتبة على أي مستوى من سلسلة التبعيات ينتشر إلى كل تطبيق يعتمد عليها مباشرة أو بشكل عابر.
وراثة الثقة: الشيفرة المقبولة في سجل حزم ذي سمعة أو مشروع مفتوح المصدر ترث ثقة تلك المنصة. حزمة npm خبيثة تُحاكي حزمة مشروعة شائعة (انتحال الأسماء — Typosquatting) يمكن أن يُثبّتها مطورون يرتكبون أخطاء مطبعية في عبارات الاستيراد.
خلط التبعيات وانتحال الأسماء: الهجوم المستمر
بينما تمثل SolarWinds وXZ Utils هجمات متطورة وصبورة، تستغل هجمات سلسلة التوريد عالية الحجم آليات أبسط:
خلط التبعيات (Dependency Confusion): تحتفظ كثير من المنظمات بسجلات حزم داخلية خاصة لمكونات برمجياتها الخاصة. المهاجمون الذين يكتشفون أسماء الحزم الخاصة يمكنهم نشر حزم خبيثة بنفس الأسماء في السجلات العامة. إذا كانت بيئات التطوير مُهيّأة للتحقق من السجلات العامة قبل الخاصة، تُثبّت الحزمة العامة الخبيثة بدلاً من الحزمة الخاصة المشروعة. أثبت الباحث الأمني Alex Birsan هذا الهجوم ضد Apple وMicrosoft وPayPal في 2021 — ثبّتت الشركات الثلاث حزم إثبات المفهوم الخاصة به.
انتحال الأسماء (Typosquatting): نشر حزم خبيثة بأسماء مشابهة جداً لحزم مشروعة شائعة. “reqeusts” بدلاً من “requests” (Python)، “lodahs” بدلاً من “lodash” (JavaScript). مع ملايين الحزم المتاحة، المطورون الذين يرتكبون أخطاء مطبعية في عبارات الاستيراد يُثبّتون شيفرة خبيثة.
تحديثات الحزم الخبيثة: حزم مشروعة تُباع أو تُنقل إلى جهات خبيثة تدفع تحديثات خبيثة. وقعت عدة حوادث حيث غيّرت حزم شائعة أيديها وتضمنت التحديثات اللاحقة شيفرة سرقة بيانات.
الاستجابة التنظيمية: قوائم SBOM ومتطلبات البرمجيات الآمنة
تلاقت استجابات الحكومات والصناعة لتهديد هجمات سلسلة التوريد على عدة مقاربات تنظيمية ومبنية على المعايير:
قائمة مواد البرمجيات (SBOM — Software Bill of Materials): قائمة SBOM هي جرد رسمي قابل للقراءة الآلية لجميع المكونات — مكتبات مفتوحة المصدر ومكونات تجارية وتبعياتها — التي تُشكّل جزءاً من برمجية. فرض الأمر التنفيذي الأمريكي لتحسين الأمن السيبراني (مايو 2021) قوائم SBOM لجميع البرمجيات المباعة للحكومة الفيدرالية. المنطق: لا يمكنك إدارة مخاطر سلسلة التوريد لمكونات لا تعرف أنك تملكها.
نما تبني SBOM بسرعة عبر المشتريات الحكومية الأمريكية ويتتالى إلى الصناعات المنظمة. يتضمن قانون المرونة السيبرانية للاتحاد الأوروبي (Cyber Resilience Act)، الذي أُقر في 2024، متطلبات SBOM للمنتجات ذات العناصر الرقمية المباعة في السوق الأوروبية.
أُطر تطوير البرمجيات الآمنة: يوفر إطار تطوير البرمجيات الآمن من NIST (SSDF, SP 800-218) وإرشادات CISA حول أمن سلسلة توريد البرمجيات ممارسات لتأمين خط أنابيب التطوير: المصادقة متعددة العوامل لمستودعات الشيفرة، وتوقيع الشيفرة، ومراجعة التبعيات، وعزل بيئة البناء، وتحليل تكوين البرمجيات.
Sigstore: مشروع تابع لـ Linux Foundation يوفر بنية تحتية مجانية لتوقيع الشيفرة والشفافية — مما يُسهّل على مشرفي البرمجيات مفتوحة المصدر التوقيع التشفيري لإصداراتهم وعلى المستخدمين التحقق من أن الحزم المُثبّتة تتطابق مع ما نُشر. تبنّت PyPI (Python) مشروع Sigstore ويجري تبنيه من قبل npm (JavaScript) وسجلات أخرى.
ما يجب على المنظمات فعله
تحليل تكوين البرمجيات (SCA): نشر أدوات SCA (مثل Snyk وMend وFOSSA وBlack Duck) التي تفحص باستمرار قاعدة الشيفرة وتبعياتها بحثاً عن ثغرات معروفة ومشكلات ترخيص. يجب دمج SCA في خطوط أنابيب CI/CD لالتقاط المكونات المعرضة قبل وصولها إلى الإنتاج.
توليد وصيانة قوائم SBOM: تطبيق توليد SBOM لجميع البرمجيات التي تُنتجها. صيانة قوائم SBOM للبرمجيات التي تستهلكها (من المورّدين). عند اكتشاف ثغرة جديدة في مكوّن (مثل Log4Shell في 2021)، المنظمات ذات قوائم SBOM الكاملة يمكنها تحديد أي من تطبيقاتها متأثرة فوراً؛ أما التي بدونها فتواجه أسابيع من التحقيق اليدوي.
تقييم سلسلة التوريد: بالنسبة للبرمجيات الحيوية من أطراف ثالثة، تقييم ممارسات المورّد الأمنية. هل يوقّعون إصداراتهم؟ هل ينشرون قوائم SBOM؟ هل لديهم إجراءات استجابة للحوادث الأمنية؟ كان يمكن اكتشاف هجمة SolarWinds مبكراً لو كان لدى المنظمات رؤية أكبر لكيفية إدارة SolarWinds لخط البناء الخاص بها.
تثبيت التبعيات ومراجعتها: قفل التبعيات على إصدارات محددة معروفة بالجودة بدلاً من قبول أحدث إصدار تلقائياً. مراجعة تغييرات التبعيات المقترحة (مراجعات طلبات السحب لتحديثات التبعيات) بنفس عناية مراجعة شيفرتك الخاصة.
التحكم في السجل الخاص: استضافة مرآة داخلية لسجلات الحزم، مع تنسيق دقيق للحزم المتاحة، بدلاً من السماح للمطورين بتثبيت أي حزمة من السجلات العامة.
خاتمة
أمن سلسلة توريد البرمجيات هو التحدي الأمني الحاسم لصناعة يعتمد ناتجها بالكامل — البرمجيات التي تُشغّل البنوك والمستشفيات والحكومات وكل جهاز متصل — على سلسلة ثقة معقدة وموزعة عالمياً. عندما تُخترق تلك السلسلة، تتتالى العواقب إلى كل نظام تابع.
كانت حادثة XZ Utils تحذيراً. وكانت هجمة SolarWinds عرضاً عملياً. منظومة البرمجيات مفتوحة المصدر التي تُشغّل الإنترنت مرنة بشكل استثنائي ومعرضة هيكلياً في آن واحد. بناء الأمن في سلسلة التوريد — من خلال قوائم SBOM والإصدارات الموقّعة وممارسات التطوير الآمن والاستثمار المستدام في أمن البرمجيات مفتوحة المصدر — ليس خياراً للمنظمات الجادة في إدارة مخاطرها السيبرانية.
إعلان
رادار القرار (عدسة جزائرية)
| البُعد | التقييم |
|---|---|
| الأهمية بالنسبة للجزائر | عالية — تعتمد البنية التحتية لتقنية المعلومات في الجزائر بشكل كبير على مكدسات مفتوحة المصدر (خوادم Linux، أُطر Python/JS، أنظمة Java المؤسسية). تعتمد Sonatrach وSonelgaz والبنوك والمنصات الحكومية الرقمية جميعها على سلاسل تبعيات خارجية معقدة معرضة لاختراق سلسلة التوريد. |
| جاهزية البنية التحتية؟ | لا — تفتقر معظم المنظمات الجزائرية إلى ممارسات قائمة مواد البرمجيات (SBOM)، وأدوات تحليل تكوين البرمجيات، أو مرايا سجلات حزم داخلية. نادراً ما تتضمن خطوط أنابيب CI/CD في المنظومة المطوّرة المتنامية فحصاً أمنياً للتبعيات. |
| المهارات المتاحة؟ | جزئياً — تمتلك الجزائر مجتمع مطوّرين متنامٍ نشط على npm وPyPI وMaven، لكن الوعي بأمن سلسلة التوريد لا يزال منخفضاً. خبرة DevSecOps نادرة، وقليل من المنظمات لديها فرق أمن تطبيقات مخصصة قادرة على تقييم مخاطر التبعيات. |
| الجدول الزمني للعمل | 6-12 شهراً — يجب أن تبدأ المنظمات بتبني SBOM وتدقيق التبعيات الآن، خاصة في القطاعات الحيوية (الطاقة، البنوك، الحكومة). سيستغرق إطار وطني وقتاً أطول، لكن المنظمات الفردية يمكنها التحرك فوراً بأدوات SCA مفتوحة المصدر المتاحة. |
| أصحاب المصلحة الرئيسيون | ANSSI (الوكالة الوطنية للأمن السيبراني)، CERIST، مسؤولو أمن المعلومات في Sonatrach/Sonelgaz/البنوك الكبرى، وزارة الاقتصاد الرقمي والمقاولات الناشئة، شركات تطوير البرمجيات، أقسام علوم الحاسوب في الجامعات التي تُدرّب الجيل القادم من المطوّرين. |
| نوع القرار | استراتيجي — يتطلب استثماراً مؤسسياً في الأدوات والعمليات، وتطوير سياسات على المستوى الوطني لمعايير المشتريات البرمجية الآمنة. |
خلاصة سريعة: يجعل اعتماد الجزائر المتزايد على البرمجيات مفتوحة المصدر وحلول المورّدين الخارجيين هجمات سلسلة التوريد خطراً مباشراً ومُستهاناً به. لا يوجد بعد تفويض وطني لـ SBOM أو إطار تطوير آمن، لكن ANSSI وCERIST في وضع جيد لقيادة مثل هذه المبادرات. لا يجب على المنظمات في القطاعات الحيوية انتظار التنظيم — فنشر أدوات تحليل تكوين البرمجيات وتأسيس ممارسات مراجعة التبعيات هي خطوات فورية عالية الأثر تتوافق مع المعايير العالمية الناشئة مثل قانون المرونة السيبرانية للاتحاد الأوروبي.
إعلان