إنها نهاية العام. وهذا يعني أن الوقت قد حان بالنسبة لنا للاحتفال بأفضل قصص الأمن السيبراني لم نفعل ذلك نشر. منذ عام 2023، ألقت TechCrunch نظرة على أفضل القصص في جميع المجالات خلال العام في مجال الأمن السيبراني.
إذا لم تكن على دراية، والفكرة بسيطة. يوجد الآن العشرات من الصحفيين الذين يغطون الأمن السيبراني باللغة الإنجليزية. هناك الكثير من القصص حول الأمن السيبراني والخصوصية والمراقبة التي يتم نشرها كل أسبوع. والكثير منها رائعة، ويجب عليك قراءتها. نحن هنا للتوصية بالأشياء التي أعجبتنا أكثر، لذا ضع في اعتبارك أنها قائمة ذاتية للغاية، وفي نهاية المطاف، قائمة غير كاملة.
على أية حال، دعونا ندخل في ذلك. — لورينزو فرانشيسكي-بيتشيراي.
بين الحين والآخر، هناك قصة قرصنة بمجرد أن تبدأ في قراءتها، تعتقد أنها يمكن أن تكون فيلمًا أو برنامجًا تلفزيونيًا. هذا هو الحال مع قصة شين هاريس الشخصية للغاية عن مراسلاته التي استمرت لعدة أشهر مع أحد كبار القراصنة الإيرانيين.
في عام 2016، أجرى صحفي في مجلة The Atlantic اتصالات مع شخص يدعي أنه يعمل كهاكر للمخابرات الإيرانية، حيث ادعى أنه عمل في عمليات كبرى، مثل إسقاط طائرة أمريكية بدون طيار والاختراق الشهير الآن ضد شركة النفط العملاقة أرامكو السعودية، حيث قام قراصنة إيرانيون بمسح أجهزة الكمبيوتر الخاصة بالشركة. كان هاريس متشككًا بحق، ولكن مع استمراره في التحدث إلى المتسلل، الذي كشف له في النهاية عن اسمه الحقيقي، بدأ هاريس في تصديقه. عندما توفي الهاكر، تمكن هاريس من تجميع القصة الحقيقية، والتي تبين بطريقة ما أنها أكثر روعة مما دفع الهاكر هاريس إلى تصديقه.
تعد القصة الجذابة أيضًا نظرة رائعة من وراء الكواليس على التحديات التي يواجهها مراسلو الأمن السيبراني عند التعامل مع المصادر التي تدعي أن لديها قصصًا رائعة لمشاركتها.
في شهر يناير، أصدرت حكومة المملكة المتحدة سرًا أمرًا قضائيًا لشركة Apple يطالب الشركة ببناء باب خلفي حتى تتمكن الشرطة من الوصول إلى بيانات iCloud الخاصة بأي عميل في العالم. بسبب أمر حظر النشر في جميع أنحاء العالم، علمنا بوجود الأمر في البداية فقط بسبب نشر صحيفة واشنطن بوست الأخبار. كان هذا الطلب هو الأول من نوعه، وإذا نجح سيكون بمثابة هزيمة كبيرة لعمالقة التكنولوجيا الذين أمضوا العقد الماضي في عزل أنفسهم عن بيانات مستخدميهم الخاصة حتى لا يضطروا إلى تقديمها للحكومات.
توقفت شركة Apple بعد ذلك عن تقديم خدمة التخزين السحابي المشفرة الشاملة لعملائها في المملكة المتحدة استجابة للطلب. ولكن من خلال نشر الأخبار، تم تسليط الضوء على الأمر السري أمام أعين الجمهور وسمح لكل من شركة Apple والنقاد بفحص صلاحيات المراقبة في المملكة المتحدة بطريقة لم يتم اختبارها علنًا من قبل. أثارت القصة خلافًا دبلوماسيًا دام أشهرًا بين المملكة المتحدة والولايات المتحدة، مما دفع داونينج ستريت إلى إسقاط الطلب، ثم حاول مرة أخرى بعد عدة أشهر.
كانت هذه القصة بمثابة نوع من الوصول السريع الذي يحلم به بعض المراسلين، لكن رئيس تحرير مجلة The Atlantic كان عليه أن ينشر أحداثه في الوقت الفعلي بعد أن تمت إضافته عن غير قصد إلى مجموعة Signal المكونة من كبار المسؤولين الحكوميين الأمريكيين. بواسطة مسؤول كبير في الحكومة الأمريكية يناقش خطط الحرب من هواتفهم المحمولة.
إن قراءة المناقشة حول المكان الذي ينبغي للقوات العسكرية الأمريكية أن تسقط فيه القنابل – ومن ثم رؤية التقارير الإخبارية عن سقوط صواريخ على الأرض على الجانب الآخر من العالم – كانت بمثابة تأكيد على أن جيفري غولدبرغ كان بحاجة إلى معرفة أنه، كما كان يشتبه، في محادثة حقيقية مع مسؤولين حقيقيين في إدارة ترامب، وكان كل هذا مسجلاً ويمكن الإبلاغ عنه.
وهذا ما فعله، مما مهد الطريق لتحقيق (ونقد) لمدة أشهر للممارسات الأمنية العملياتية للحكومة، فيما أطلق عليه أكبر خطأ أمني حكومي في التاريخ. كشف تفكك الوضع في نهاية المطاف عن ثغرات أمنية تنطوي على استخدام نسخة مقلدة من الإشارة مما أدى إلى زيادة تعرض اتصالات الحكومة الآمنة ظاهريًا للخطر.
يعد بريان كريبس واحدًا من أكثر مراسلي الأمن السيبراني المخضرمين هناك، وقد تخصص لسنوات في متابعة مسارات التنقل عبر الإنترنت التي تؤدي به إلى الكشف عن هوية مجرمي الإنترنت سيئي السمعة. في هذه الحالة، تمكن كريبس من العثور على الهوية الحقيقية وراء عنوان المتسلل عبر الإنترنت راي، الذي يعد جزءًا من مجموعة الجرائم الإلكترونية سيئة السمعة للمراهقين المتقدمين والمستمرين والتي تطلق على نفسها اسم Scattered LAPSUS$ Hunters.
كان مسعى كريبس ناجحًا للغاية لدرجة أنه تمكن من التحدث إلى شخص قريب جدًا من المتسلل – لن نفسد المقال بأكمله هنا – ثم المتسلل نفسه، الذي اعترف بجرائمه وادعى أنه كان يحاول الهروب من حياة المجرم الإلكتروني.
لقد حققت وسائل الإعلام المستقلة 404 Media صحافة مؤثرة هذا العام أكثر من معظم وسائل الإعلام الرئيسية بموارد أكبر بكثير. كان أحد أكبر انتصاراتها هو كشف وإغلاق نظام ضخم لمراقبة السفر الجوي تستغله الوكالات الفيدرالية ويعمل على مرأى من الجميع.
ذكرت 404 وسائل الإعلام أن وسيط بيانات غير معروف أنشأته صناعة الطيران يُدعى Airlines Reporting Corporation كان يبيع إمكانية الوصول إلى خمسة مليارات تذكرة طائرة ومسارات سفر، بما في ذلك الأسماء والتفاصيل المالية للأمريكيين العاديين، مما يسمح للوكالات الحكومية مثل ICE، ووزارة الخارجية، ومصلحة الضرائب بتتبع الأشخاص دون أمر قضائي.
وقالت شركة ARC، المملوكة لشركة United، American، Delta، Southwest، JetBlue، وشركات طيران أخرى، إنها ستغلق برنامج البيانات بدون إذن قضائي بعد تقارير 404 Media التي استمرت أشهرًا وضغط مكثف من المشرعين.
كان مقتل الرئيس التنفيذي لشركة UnitedHealthcare بريان طومسون في ديسمبر 2024 أحد أكبر القصص لهذا العام. تم القبض على لويجي مانجيوني، المشتبه به الرئيسي في جريمة القتل، بعد فترة وجيزة ووجهت إليه اتهامات باستخدام “بندقية شبح”، وهو سلاح ناري مطبوع ثلاثي الأبعاد ليس له أرقام تسلسلية وتم تصنيعه بشكل خاص دون فحص الخلفية – وهو في الواقع مسدس ليس لدى الحكومة أي فكرة عن وجوده.
سعت شركة Wired، باستخدام خبرتها السابقة في إعداد التقارير حول الأسلحة المطبوعة ثلاثية الأبعاد، إلى اختبار مدى سهولة صنع سلاح مطبوع ثلاثي الأبعاد، مع التنقل في المشهد القانوني (والأخلاقي) المرقعة. لقد تم سرد عملية إعداد التقارير بشكل رائع، وكان الفيديو المصاحب للقصة ممتازًا ومخيفًا.
كانت DOGE، أو إدارة الكفاءة الحكومية، واحدة من أكبر القصص الجارية لهذا العام، حيث اخترقت عصابة من أتباع إيلون موسك الحكومة الفيدرالية، ودمرت البروتوكولات الأمنية والروتين، كجزء من الاستيلاء الجماعي على بيانات المواطنين. كان لدى NPR بعضًا من أفضل التقارير الاستقصائية التي تكشف عن حركة المقاومة للموظفين الفيدراليين الذين يحاولون منع سرقة البيانات الحكومية الأكثر حساسية.
في إحدى القصص التي توضح بالتفصيل الإفصاح الرسمي للمبلغ عن المخالفات كما تمت مشاركته مع أعضاء الكونجرس، أخبر أحد كبار موظفي تكنولوجيا المعلومات في المجلس الوطني لعلاقات العمل المشرعين أنه بينما كان يسعى للحصول على مساعدة في التحقيق في نشاط DOGE، “وجد رسالة مطبوعة في مظروف مسجل على بابه، والتي تضمنت لغة تهديد ومعلومات شخصية حساسة وصورًا علوية له وهو يمشي كلبه، وفقًا لخطاب الغلاف المرفق بإفصاحه الرسمي”.
أي قصة تبدأ بقول أحد الصحفيين إنهم وجدوا شيئًا جعلهم “يشعرون بالرغبة في التبول في سروالي”، فأنت تعلم أنها ستكون قراءة ممتعة. عثر غابرييل جيجر على مجموعة بيانات من شركة مراقبة غامضة تدعى First Wap، والتي تحتوي على سجلات لآلاف الأشخاص من جميع أنحاء العالم الذين تم تتبع مواقع هواتفهم.
وسمحت مجموعة البيانات، التي تمتد من عام 2007 حتى عام 2015، لجيجر بالتعرف على العشرات من الأشخاص البارزين الذين تم تعقب هواتفهم، بما في ذلك السيدة الأولى السورية السابقة، ورئيس مقاول عسكري خاص، وممثل في هوليوود، وعدو للفاتيكان. استكشفت هذه القصة العالم الغامض لمراقبة الهاتف من خلال استغلال نظام الإشارة رقم 7، أو SS7، وهو بروتوكول غامض معروف منذ فترة طويلة بأنه يسمح بالتتبع الضار.
لقد كان الضرب مشكلة لسنوات. ما بدأ كمزحة سيئة أصبح تهديدًا حقيقيًا، مما أدى إلى وفاة شخص واحد على الأقل. الضرب هو نوع من الخدعة حيث يتصل شخص ما – غالبًا ما يكون متسللًا – بخدمات الطوارئ ويخدع السلطات لإرسال فريق SWAT مسلح إلى منزل هدف المخادع، وغالبًا ما يتظاهر بأنه الهدف نفسه، ويتظاهر بأنه على وشك ارتكاب جريمة عنيفة.
في هذه الميزة، وضع آندي جرينبيرج من Wired وجهًا للعديد من الشخصيات التي تشكل جزءًا من هذه القصص مثل مشغلي المكالمات الذين يتعين عليهم التعامل مع هذه المشكلة. كما قدم أيضًا لمحة عن منشة غزير الإنتاج، المعروف باسم Torswats، الذي عذب المشغلين والمدارس في جميع أنحاء البلاد لعدة أشهر بتهديدات مزيفة – ولكن يمكن تصديقها للغاية – بالعنف، بالإضافة إلى متسلل أخذ على عاتقه تعقب Torswats.
