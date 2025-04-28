تُعد أجهزة الكمبيوتر المركزية عنصرًا حيويًا في البنية التحتية لتكنولوجيا المعلومات في العديد من المجالات، حيث تدعم معالجة المعاملات كبيرة الحجم بموثوقية فائقة وآليات أمان متعددة. تعتمد جميع البنوك وشركات الطيران والفنادق وشركات التأمين على أجهزة الكمبيوتر المركزية للتعامل مع المعاملات المرتبطة بالتحويلات المصرفية ومشتريات بطاقات الائتمان وإنشاء الحجوزات ومعالجة مطالبات التأمين.
على غرار أي نظام كمبيوتر، من الممكن حدوث أخطاء في تكوينات الكمبيوتر المركزي رغم المزايا الأمنية المتقدمة. ونظرًا إلى أهمية المعلومات التي تتعامل معها هذه الأجهزة، فمن الضروري أن يقيّم مختبرو الاختراق الأمن على أجهزة الكمبيوتر المركزية بانتظام وبعناية. كل كمبيوتر مركزي مصمم خصوصًا ليناسب حالة استخدام معينة، لذا قد يستغرق الأمر وقتًا حتى يتمكن مختبر الاختراق من فهم البيئة التي يعمل على تقييمها. بعد مرحلة الاستكشاف الأولي، سيبحث المختبر عن الثغرات والإعدادات الخاطئة في البرمجيات والتطبيقات التي تعمل على الكمبيوتر المركزي.
تتوفر العديد من أدوات اختبار الاختراق المخصصة لأجهزة الكمبيوتر المركزية، ولكنها مجرد نصوص برمجية مستقلة، وليست جزءًا من أداة متعددة الوظائف. يتعين على المختبر أن يقضي وقتًا في تحديد النصوص البرمجية المناسبة للتشغيل ومكان العثور على النصوص البرمجية التي ستعمل بشكل أفضل في بيئته. ولسد هذه الفجوة، طورت أنا وElizabeth Christensen، وكلانا متدرب في IBM X-Force Red، تقنية m-RAY، وهي تقنية مسح ضوئي آلية للثغرات على أجهزة الكمبيوتر المركزية من IBM والتي تعمل بنظام التشغيل z/OS. والهدف منها هو مساعدة مختبري الاختراق في المراحل الأولية من أداء مهمتهم من خلال تحديد أخطاء التكوينات والثغرات الشائعة. باستخدام هذه الأداة، يقلل المختبرون من الساعات التي يقضونها في تشغيل الأوامر يدويًا وإجراء الاستكشاف، ما يزيد من الوقت الذي يمكنهم قضاؤه في متابعة مسارات الهجوم المحتملة أو النقاط المحورية وتحديد المشكلات قبل أن يتمكن الخصم من اكتشافها.
صُممت m-RAY كإطار عمل سهل التوسيع يبحث عن الثغرات في تكوينات الخدمات المختلفة ويبسط عملية تشغيل النصوص البرمجية في بيئة z/OS. ونظرًا إلى الطبيعة المخصصة لأجهزة الكمبيوتر المركزية، يمكن للمختبرين تكوين المزايا التي يرغبون في استخدامها لتناسب البيئة التي يعملون فيها بأفضل شكل.
جُمعت قائمة أخطاء التكوينات التي يجب التحقق منها من دليل التنفيذ التقني لأمان RACF (STIG) على z/OS . يتضمن دليل STIG متطلبات تكوين تستخدمها وزارة الدفاع لحماية أنظمتها، وهي مبنية على توصيات من المعهد الوطني للمعايير والتكنولوجيا (NIST). وسواء كانت الشركة ملزمة بالامتثال لهذه المتطلبات أم لا، يُعد دليل STIG مصدرًا لأفضل الممارسات في المجال لمختلف منتجات البرمجيات ويشكل أساس هذه الأداة الأمنية. حدد الفريق أهم 25 خطأ في التكوينات من شأنها أن توفر أكبر قيمة للمختبرين، والتي سيكون من المهم جدًا أن يكون العملاء على دراية بها، ثم نفذوا هذه الأخطاء للتحقق من الثغرات.
على سبيل المثال، تتحقق m-RAY مما إذا كان مستوى أذونات المستخدم متوافقة في بيئات Unix وTSO، وما إذا كان قد جرى تكوين SSH لاستخدام خوارزميات تشفير آمنة، وما إذا كانت الحسابات غير النشطة تُعطل تلقائيًا. في الوقت الحالي، توفر m-RAY معلومات حول أخطاء تكوينات الكمبيوتر المركزي في بيئة Unix System Services وفي RACF، وهو برنامج أمني يتعامل مع التحكم في وصول المستخدمين على z/OS. بعضها يقدم إجابة حاسمة حول ما إذا كان هناك خطأ في التكوين على النظام، بينما يقدم بعضها الآخر معلومات عن النظام مثل قائمة بحسابات المستخدمين التي يمكنها الوصول إلى مورد معين. ويمكن لمختبر الاختراق بعد ذلك العمل مع العميل لتحديد ما إذا كان الوصول مقيدًا بشكل صحيح أم لا.
وبالإضافة إلى فحص تكوينات النظام، يوجد هدف آخر لتقنية m-RAY يتمثل في دمج مزايا أدوات الكمبيوتر المركزي المتوفرة. غالبًا ما تُكتب أدوات التعداد هذه بلغة REXX، وهي لغة برمجة نصية خاصة بالكمبيوتر المركزي. ولاستخدام أحد هذه النصوص البرمجية في أثناء اختبار الاختراق، يجب على المختبر العثور على الأداة مفتوحة المصدر، وتحميلها على جهاز الكمبيوتر، ثم رفعها إلى الكمبيوتر المركزي وتشغيلها، ثم تفسير النتائج. ولتبسيط هذا الإجراء، تتضمن m-RAY أشهر نصين برمجيين مفتوحي المصدر بلغة REXX وتؤتمت عملية رفع النص البرمجي وتشغيله، بالإضافة إلى تنظيف البيئة بعد ذلك. يمكن للمختبرين أيضًا إضافة نصوصهم البرمجية المخصصة بلغة REXX إلى الأداة.
وبشكل عام، باستخدام m-RAY، يمكن لمختبري الاختراق أتمتة العديد من فحوصات الثغرات الأمنية التي كانوا يحتاجون إلى تنفيذها يدويًا، ويمكنهم تقليل الوقت المستغرق في الحصول على نظرة عامة أولية على النظام.
توجد عدة طرق للتفاعل مع الكمبيوتر المركزي الحديث. الطريقة التقليدية هي TSO، والتي تتيح للمستخدمين الاتصال بجلسة تفاعلية وإصدار الأوامر. وعادةً ما يتضمن ذلك استخدام محاكي طرفي متخصص يعمل عبر بروتوكول IBM 3270. تستخدم معظم أجهزة الكمبيوتر المركزية الحديثة أيضًا بروتوكول SSH، وهو بروتوكول اتصال عن بُعد يمكنه العمل عبر كافة المنصات. وذلك يوفر طريقة لإصدار كل من أوامر TSO وUNIX وأتمتة الإجراءات كجزء من نص برمجي. تعمل تقنية m-RAY عبر اتصال SSH بالكمبيوتر المركزي للاستفادة من الوظائف الإضافية التي يوفرها بروتوكول SSH ولتجنب التبعيات الخاصة بالمنصة.
يستخدم SSH على الكمبيوتر المركزي ميزة Unix System Services، وهي ميزة في z/OS تتيح له تشغيل البرامج المكتوبة لأنظمة Unix. وباستخدام هذا البروتوكول، تعمل m-RAY على إعداد اتصال بالكمبيوتر المركزي وتشغيل الأوامر لجمع المعلومات بهدف إجراء فحوصات أخطاء التكوينات. يُستخدم SCP لنسخ النصوص البرمجية المكتوبة بلغة REXX بشكل آمن إلى الكمبيوتر المركزي. يمكن إجراء المصادقة باستخدام كلمة مرور أو زوج من المفاتيح للتوافق مع تكوينات الأنظمة المختلفة.
يوفر التطبيق الرئيسي واجهة مستخدم لسطر الأوامر، ويُنشئ الاتصالات ويبدأ في البحث عن الثغرات الأمنية. يُدخل مختبر الاختراق عنوان IP الخاص بالكمبيوتر المركزي، ويختار أنواع أخطاء التكوينات التي يجب التحقق منها، ثم يكتب مجموعة من بيانات الاعتماد منخفضة المستوى. وعندئذٍ، يبدأ الاتصال بين m-RAY والكمبيوتر المركزي، ما يضمن إمكانية إرسال الأوامر واستقبال النتائج من النظام.
تنقسم فحوصات الثغرات إلى ثلاث فئات: فحوصات Unix System Services، وفحوصات عبر TSO، والاستكشاف العام. بعد اختيار إحدى هذه الفئات، يمكن للمختبر إجراء جميع الفحوصات أو تحديد الفحوصات التي يرغب في تشغيلها. وبعد جمع نتائج الفحص، يُصدر m-RAY تقريرًا بالنتائج وبعض معلومات النظام التي يمكن أن ترشد مختبر الاختراق في أثناء استكمال مهمته. تشغيل النص البرمجي المكتوب بلغة REXX يتم بهذه الطريقة نفسها. بعد تحديد خيار النصوص البرمجية، يمكن للمختبر تحديد النصوص البرمجية التي يرغب في تنفيذها.
الجزء الأكثر أهمية في تصميم هذا التطبيق هو نمطيته. في ظل تطور أفضل الممارسات الأمنية بمرور الوقت، سيكون من الضروري إضافة فحوصات لأخطاء التكوينات الجديدة وتعديل الفحوصات الحالية. يمكن إضافة فحوصات ونصوص برمجية جديدة عن طريق تعديل قالب مضمن، وذلك لا يتطلب سوى معرفة الأوامر التي يجب تشغيلها لجمع المعلومات ذات الصلة. إذا أراد مختبر الاختراق إضافة فحص جديد يتضمن تشغيل أمر TSO، فلن يحتاج إلى معرفة كيفية إنشاء اتصال بالكمبيوتر المركزي، بل يحتاج فقط إلى معرفة أمر TSO، واختياريًا، معرفة النتيجة المنشودة من هذا الأمر. من المتوقع أن تستغرق عملية إضافة فحص جديد أقل من 10 دقائق. من الممكن أيضًا إضافة بروتوكولات اتصال جديدة. استخدمت m-RAY بروتوكول SSH لأنه الأكثر ملاءمة للوظيفة الحالية، ولكن جرى تبسيط عملية إضافة بروتوكول اتصال آخر من خلال فئات الاتصال التي تنفذ واجهة قياسية.
m-RAY هي أداة مفتوحة المصدر يمكن العثور عليها هنا.
الأمل من هذا المشروع هو أن يستمر في التوسع من خلال إضافة فحوصات جديدة لأخطاء التكوينات والثغرات الأمنية غير تلك المطبقة حاليًا والبالغ عددها 25 فحصًا. مجموعة الاختبارات الحالية مختارة بعناية لتوفير أكبر قيمة لكل من مختبري الاختراق والعملاء الذين يقيمون أنظمتهم. وهذا، إلى جانب وظائف الأدوات مفتوحة المصدر الحالية، ينتج عنه أكثر أداة اختبار اختراق شاملة ومتاحة للكمبيوتر المركزي.
