ما زال موقع مطار بيروت على شبكة الإنترنت، حتى كتابة هذه السطور، متوقّفاً عن العمل. وهو التوصيف الدقيق لحالته. لا لكونه معطّلاً. بل لأنّه مسرح جريمة. هي جريمة القرصنة التي تعرّض لها المطار في 7 كانون الثاني الجاري.
وكما كلّ مسرح جريمة، يُمنعُ الوصول إليه أو مسُّ أيّ تفصيل فيه.
هي جريمة. وتقتضي تحقيقاً جنائياً فعليّاً. والمعلومات عن التحقيق والمسرح والجريمة، كثيرة ودقيقة وتكشف أكثر من رأس خيط.
******************************
ماذا حصل في مطار بيروت ذاك النهار؟
ببساطة، يشرح خبراء في الأمن السيبراني أنّ أحدهم دسّ صورة لنصٍّ مكتوب، ضمن ملفّ معين في أحد أجهزة كومبيوتر المطار، أو أحد خوادمه. وفي لحظة محدّدة، بادر إلى تعطيل العمل الطبيعي للخوادم، وطلب منها بدلاً من ذلك، قراءة هذا الملفّ وهذه الصورة. فتوقّف كلّ شيء في المطار، وظهر نصُّ الصورة – القرصنة على الشاشات.
هذا بتبسيط كلّي. لكن كيف حصل ذلك ومتى ومن قام به؟ هنا تبدأ خفايا الجريمة.
بداية يروي الخبراء أنّ هناك نوعين أساسيَّين من القرصنة المعلوماتية: ما يقوم به هواة. وما يقوم به محترفون.
وطبعاً النوع الثاني هو الأكثر خطورة. تحديداً ما يسمّيه علم الأمن السيبراني اليوم "التهديد المتطوّر المتواصل" أو المستمرّ أو المثابر. وهي ترجمة مفهوم APT أو Advanced Persistent Threat.
دول وخاطفون بفدية وأعداء...
خصائص هذا النوع الخطير معروفة:
1- إنّ من خلفها هم إمّا دول. وإمّا جهات إرهابية. وإمّا مجموعات محترفة متخصّصة في القرصنة، وتعمل لمن يستأجر خدماتها من دول أو إرهابيين.
2- المدّة الزمنية التي يستغرقها هذا النوع من القرصنة السيبرانية. فهو يستمرّ طويلاً. لأشهر أو حتى لسنوات في بعض حالات معروفة. بحيث تتمّ القرصنة بشكل كامن وغير مرئي. بالتسلّل إلى الهدف وتنفيذ المهمّة المطلوبة بصمت. ولا تظهر القرصنة إلا إذا افتُضحت فجأة، بخطأ من فاعليها، أو بجهد دفاعي أو حمائي من الهدف المقرصَن. أو أحياناً بعد إنجاز مهمّة القرصنة وإنهائها. عندها يترك السارق بصمة من نوع "التمريك"، بمعنى أنّنا كنّا هنا ومررنا بموقعك وأخذنا ما نريد ورحلنا!
3- وظيفة هذا النوع هي غالباً سرقة معلومات، أو تبديل معلومات أو تعطيل أجهزة أو التشويش على عملها. وأخيراً برزت ظاهرة الابتزاز التجاري والماليّ، حيث تقوم مجموعات قرصنة بمهاجمة مواقع وسرقة معلوماتها أو تعطيلها، ثمّ الاتصال بأصحابها وطلب فدية منهم مقابل إعادة المسروق أو السماح بعودة الأجهزة المقرصنة إلى عملها الطبيعي. وغالباً ما تكون الفدية المطلوبة بالعملات المشفّرة وبمبالغ هائلة أحياناً. وهو ما يجعل من المستحيل أيضاً تعقّب من يقبضها، وبالتالي الجهة المقرصنة أو "الخاطفة".
4- أهداف هذه القرصنة تكون مؤسّسات كبرى: دولاً أو شركات عالمية أو مؤسّسات دولية.
5- تقنيات هذه القرصنة معقّدة، بتجهيزاتها ومعدّاتها، كما بتقنيّاتها وأساليبها المعلوماتية. وهو ما لا مجال للخوض فيه هنا. لكنّ المهمّ في هذا النوع من القرصنة أنّه يعمل باحتراف كامل لجهة طرق التسلّل دخولاً وخروجاً وإزالة آثاره. وذلك عبر استخدام سلسلة من "الشبكات الخاصة الافتراضية" (VPN). علماً أنّ استعمال شبكة واحدة منها كافٍ لتضليل مصدر القرصنة. بحيث حتى عند اكتشافها، نجد أنّنا نكتشف نتائج عمل القرصنة فقط، لا هويّة المقرصِن. فهو يكون قد أتقن محو بصماته وأخفى معالم الطريق التي سلكها للدخول والخروج وتهريب ما أخذه سرّاً. تاركاً لنا فقط فراغ ما سرقه لنعرف أنّ شيئاً ما قد سُرق.
لذلك يعتبر الخبراء هذا النوع من القرصنة صعب الكشف والتقصّي ويكاد يكون مستحيل الوصول إلى حقيقته كاملة. ولذلك التركيز العالمي اليوم هو على التحصين المسبق، عبر آليّات الدفاع السيبراني.
"التواقيع المحتملة"... للمنفّذين
لكنّ الخبراء يضيفون أنّه على الرغم من استحالة التأكّد من هويّات المقرصنين، إلا أنّ متابعة جرائمهم على مدى سنوات طويلة سمحت لأهل الاختصاص والخبرة في هذا المجال الجنائي بتكوين لائحة معروفة بما يسمّونه "التواقيع المحتملة" لكلّ من هؤلاء:
- مثلاً، القرصنة بتوقيع روسي غالباً ما يرافقها ابتزازٌ ماليّ. لأنّ الجهات الروسية لا تعمل مباشرة بمواردها البشرية أو التقنية الخاصة. بل تلجأ عادة إلى "استئجار" مقرصنين محترفين. فيعمد هؤلاء إلى إضافة مكسب ماليّ خاصّ إلى المهمّة المطلوبة منهم من قبل مشغّليهم.
- بينما القرصنة بتوقيع صيني تتمثّل غالباً في تعطيل الهدف وإطفائه، عبر تقنية "إنكار الخدمة" Denial-of-Service (DoS). وذلك لسهولة تنفيذ ذلك صينياً، بوجود ملايين الأجهزة لدى المقرصنين الصينيين. وهو ما يسمح لهم بإغراق الهدف وتعطيله.
- وهكذا تتوالى تواقيع المقرصنين: توقيع القرصنة الإيرانية معروف بإدخال فيروس بتقنية معلوماتية بات متكرّراً، يسمح بسرقة المعلومات.
- وتوقيع القرصنة الكورية الشمالية مشابه للتوقيع الإيراني لكن بهدف التخريب.
- فيما القرصنة الإسرائيلية هي الأكثر تعقيداً وتطوّراً.
حتى إنّ خبراء الأمن السيبراني عالمياً باتوا يحدّدون هذه التواقيع معلوماتياً بشكل دقيق ورقمي. على سبيل المثال:
هذا توقيع قرصنة صينية: G0018 .admin@338.
وهذا توقيع قرصنة إيرانية: G0130 .Ajax Security Team.
وهذا توقيعٌ روسيّ: G1000 ALLANITE.
من دون أن يسمح لهم ذلك بتأكيد الاتّهام. ولا طبعاً القيام بأيّ ملاحقة جزائية دولية. بل هو مجرّد تثبيتٍ للشبهة، وبالتالي تمهيد للعمل على مواجهة الخطر. وأحياناً للردّ عليه بالمثل، حين تكون القرصنة جزءاً من حرب مندلعة بين جهتين أو دولتين.
التقصير في التحقيق داخل المطار
لماذا كلّ هذه التفاصيل؟
للقول إنّه في ضوء التطوّر الحاصل في هذا المجال، لا يمكن القول بعد 12 يوماً إنّ ما حصل في مطار بيروت مجهول بالكامل أو يستحيل كشفه ومعرفته.
فبحسب الخبراء، يمكن بادئ ذي بدء حسم مصدر القرصنة. إن كان خارجياً أو داخلياً. وهذا سهل نسبياً. يكفي لكشفه إخضاع الأجهزة والخوادم وذاكراتها لمسح مختصّ. وهو ما يتمّ بواسطة أجهزة تقنية مخصّصة لذلك. ويؤكّد الخبراء أنّ مثل هذه الأجهزة موجودة في لبنان لدى أكثر من شركة خاصة تعمل في مجال الأمن السيبراني. كما هي موجودة على الأرجح لدى أكثر من جهاز أمني رسمي.
علماً أنّ كلفة مهمّة كهذه معقولة جداً. حتى إنّ بعض الشركات اللبنانية المتخصّصة يمكن أن تؤدّيها بكلفة رمزية. لمجرّد أن يضيف هذه المهمّة إلى رصيده المهني.
بعد هذه المرحلة، وإذا ما تبيّن أنّ المصدر خارجي، عندها يقتضي على المعنيين اتّخاذ القرار: هل نلجأ إلى ملاحقة المصدر وكشفه؟ أم نكتفي بحصر الضرر وتحصين المطار لصدّ هجمات مماثلة لاحقة؟
علماً أنّه في حالة القرصنة الخارجية، تكون كلفة الملاحقة أعلى. وقد تصل إلى مئات آلاف الدولارات. وهو ما يدفع "الضحايا" عادة إلى إسقاط فكرة الملاحقة، والاكتفاء برفع مستوى الدفاعات.
لكنّ الأهمّ، بحسب الخبراء، أنّ ظاهر ما جرى في المطار لا يحمل أيّ توقيع إرهابي أو دولي خطير. ولم يحقّق أيّ قرصنة جسيمة. لا سرقة معلومات. ولا تخريب داتا. ولا حتى تعطيل أو إغراق. بل مجرّد تشويش. وهو ما يدفع للاعتقاد بأنّ المسألة محلّية. بل "بلدية" حتى. ويمكن كشفها بسهولة نسبية، وبكلفة أقلّ من رمزية.
حتى إنّ أحد الخبراء يهمس همساً، وانطلاقاً من مجرّد حدس، لا من معطيات أو معلومات، بأنّ ثمّة كلمة واحدة في النصّ الذي وضع على الشاشات المقرصنة تشي بأنّ المسألة محلّية. أو حتى داخلية.
لكنّنا في لبنان. في بلدٍ اختفت في مرفئه 2,750 طناً من النيترات المتفجّرة. واختفت بين حكّامه ومصارفه مئة مليار دولار من مدّخرات أهله. واختفت في كهربائه ملايين أطنان الفيول المتحوّل فِيَلة طائرة. واختفى من شعبه أكثر من مليون مهجّر مستبدل بملايين آخرين جاهزين...
فهل من يسأل عن صورةٍ في ملفٍّ في جهازٍ في خادم، في كومةٍ من قشِّ مطاره؟!