الثلاثاء, 23 يونيو، 2026

iTach Danmark – Strategic Studies Center – ITSSC

iTach Danmark – Strategic Studies Center – ITSSC

الثغرة لم تكن في NASA… بل في الإعلام غير المهني.

هيئة تحرير iTach Denmark01 mins

بقلم: المهندس مصطفى كامل الشريف
مستشار في أمن المعلومات والشبكات

المقدمة

أصبحت القضايا الرقمية جزءًا لا يتجزأ من السيادة الوطنية، وبات من الضروري التعامل مع أخبار الأمن السيبراني بمهنية عالية وتحليل دقيق، خاصة عندما تتعلق بادعاءات اكتشاف ثغرات أو اختراق مواقع تابعة لمؤسسات دولية حساسة ومرموقة.

ومؤخرًا، شهدت وسائل الإعلام المحلية العراقية وبعض منصات التواصل الاجتماعي تفاعلًا واسعًا مع خبر يفيد بأن أحد طلبة المرحلة الثانوية في العراق من مدينة الطارمية، ويدعى منتظر محمد أحمد، تمكن من اكتشاف ثغرة من نوع SQL Injection في أحد نطاقات وكالة الفضاء الأمريكية (NASA)، مستندًا في ذلك إلى صورة لشهادة شكر صادرة عن الوكالة.

غير أن ما غاب عن كثير من التغطيات الإعلامية هو أن شهادة الشكر المنشورة لا تُعد بحد ذاتها دليلًا تقنيًا على طبيعة الثغرة أو مستوى خطورتها أو حجم تأثيرها، بل هي رسالة تقدير تصدر ضمن برنامج الكشف الطوعي عن الثغرات (Vulnerability Disclosure Program – VDP) التابع لناسا. ومن خلال مقارنة عدة نماذج منشورة لباحثين أمنيين من دول مختلفة، يتبين أن الوكالة تستخدم نموذجًا موحدًا تقريبًا لهذه الرسائل، مع تغيير اسم الباحث وتاريخ الإصدار فقط.

وعليه، فإن وجود هذه الشهادة قد يدل على قبول بلاغ أو مساهمة الباحث في الإبلاغ عن مشكلة أمنية ضمن نطاق البرنامج، لكنه لا يثبت وحده وجود اختراق فعلي أو ثغرة خطيرة أو نجاح عملية هجومية على أنظمة وكالة ناسا، ما لم تُنشر تفاصيل فنية موثقة تبين طبيعة الثغرة ومستوى خطورتها ونطاق تأثيرها.

  لماذا يجب أن نتحلى بالحذر؟

أولًا: غياب الأدلة التقنية

حتى لحظة كتابة هذا المقال، لم تُنشر أي تفاصيل فنية أو تقرير تقني يوضح طبيعة الثغرة المزعومة، أو النطاق المتأثر، أو آلية الاستغلال، أو مستوى الخطورة، أو أي معلومات تسمح للمتخصصين بتقييم الادعاء بصورة مهنية ومستقلة.

ثانيًا: الخلط بين شهادة التقدير والإثبات التقني

شهادات الشكر الصادرة ضمن برامج الكشف الطوعي عن الثغرات لا تُعد تقارير فنية، ولا تتضمن عادةً وصفًا للثغرة أو درجة خطورتها أو حجم تأثيرها. لذلك فإن الاستناد إلى الشهادة وحدها لإثبات روايات إعلامية واسعة قد يؤدي إلى استنتاجات لا تدعمها الوثائق المنشورة.

ثالثًا: المبالغة الإعلامية

غالبًا ما تميل بعض وسائل الإعلام إلى تضخيم الأخبار التقنية بهدف جذب الاهتمام الجماهيري، فتتحول مساهمة بحثية أو بلاغ أمني إلى روايات تتحدث عن “اختراق وكالة فضاء” أو “هزيمة أقوى الأنظمة الأمنية في العالم”، رغم أن الوثائق المنشورة لا تتضمن ما يؤيد هذه الاستنتاجات.

رابعًا: غياب التحقق من المصادر المتخصصة

في القضايا السيبرانية الحساسة، لا يكفي الاعتماد على التصريحات أو الصور المتداولة، بل يجب الرجوع إلى التقارير الفنية والجهات المختصة والمصادر الرسمية. فالمعيار المهني لا يقوم على حجم الضجة الإعلامية، بل على الأدلة التقنية القابلة للتحقق والمراجعة.

      أهمية التأني والتحقق قبل التفاعل

    في القضايا التقنية والسيبرانية، لا ينبغي أن تتحول الرغبة في الاحتفاء بالنجاحات إلى سبب للتخلي عن قواعد التحقق والتدقيق المهني. فالتعامل مع الأخبار التقنية يختلف عن التعامل مع الأخبار العامة، لأن كثيرًا من المصطلحات والادعاءات قد تبدو مثيرة إعلاميًا، لكنها تحتاج إلى أدلة فنية قبل اعتمادها أو البناء عليها.

    إن التسرع في تداول أو تبني معلومات غير موثقة قد يؤدي إلى تشويش الرأي العام ونشر تصورات غير دقيقة حول طبيعة الإنجازات التقنية وحجمها الحقيقي. كما أن الاحتفاء المؤسسي أو الإعلامي بادعاءات لم تخضع للتدقيق الفني قد ينعكس سلبًا على مصداقية الجهات التي تتبناها إذا تبين لاحقًا أن الوقائع مختلفة عما تم الترويج له.

    كذلك فإن المبالغة في تضخيم الأخبار التقنية تساهم في ترسيخ ثقافة “الترند” والبحث عن العناوين المثيرة، على حساب ثقافة البحث العلمي والتخصص المهني والعمل التقني الرصين. فالمجتمعات التقنية المتقدمة لا تقيس الإنجازات بعدد المشاركات والإعجابات، بل بالأدلة الفنية القابلة للتحقق، والتقارير المهنية، والإسهامات الحقيقية في تطوير المعرفة وحماية الأنظمة.

    ومن هنا، فإن أفضل طريقة لدعم المواهب الشابة وتشجيعها لا تكون بالمبالغة في وصف الإنجازات، بل بتقديمها كما هي، والاحتفاء بها على أساس الحقائق والأدلة، لأن الإنجاز الحقيقي لا يحتاج إلى تضخيم كي يكتسب قيمته.

      التوصيات للجهات الحكومية والإعلامية:

    التوصيات للجهات الحكومية والإعلامية

    إن تنامي الاهتمام بالقضايا التقنية والأمن السيبراني يُعد مؤشرًا إيجابيًا، لكنه يفرض في الوقت نفسه مسؤولية أكبر على المؤسسات الحكومية ووسائل الإعلام في التعامل مع هذه الملفات الحساسة بمهنية ودقة.

    وفي هذا السياق، يمكن تقديم مجموعة من التوصيات العملية:

    أولًا: الاستعانة بالخبراء والمتخصصين

    ينبغي للجهات الإعلامية والمؤسسات الحكومية استشارة مختصين في الأمن السيبراني وتقنية المعلومات قبل نشر أو تبني أي ادعاء يتعلق باكتشاف ثغرات أو اختراقات أو إنجازات تقنية استثنائية، وذلك لضمان دقة المعلومات وتجنب الوقوع في التفسيرات غير المهنية.

    ثانيًا: عدم الاكتفاء بالوثائق الدعائية أو شهادات التقدير

    لا ينبغي اعتبار صور الشهادات أو رسائل الشكر أو المنشورات المتداولة دليلًا تقنيًا كافيًا لإثبات الادعاءات السيبرانية، بل يجب البحث عن الأدلة الفنية والتقارير المتخصصة التي توضح طبيعة الإنجاز ومستواه الحقيقي.

    ثالثًا: تعزيز الثقافة التقنية لدى الإعلاميين

    تحتاج المؤسسات الإعلامية إلى برامج تدريب وتوعية مستمرة في مجالات الأمن السيبراني والتحول الرقمي والتقنيات الحديثة، بما يساعد الصحفيين والإعلاميين على فهم المصطلحات التقنية وتقييم الأخبار المرتبطة بها بصورة أكثر مهنية.

    رابعًا: دعم الإنجاز الحقيقي القائم على المعرفة

    من المهم تشجيع المواهب الشابة والباحثين الجادين في المجالات التقنية، لكن ذلك يجب أن يتم على أساس الإنجازات الموثقة والنتائج القابلة للتحقق، لا على أساس الضجة الإعلامية أو الشهرة المؤقتة. فالتقدير الحقيقي للباحثين يكون بدعم مسيرتهم العلمية والمهنية، وتعزيز قدراتهم البحثية، وربطهم بالمجتمع التقني المتخصص.

    خامسًا: إنشاء آلية وطنية للتحقق من الادعاءات التقنية

    يمكن للجهات الحكومية والجامعات والنقابات المهنية تأسيس لجان أو منصات استشارية تضم خبراء مستقلين لمراجعة الادعاءات التقنية ذات الأثر الإعلامي الكبير قبل تحويلها إلى قصص إعلامية أو تكريمات رسمية، بما يضمن حماية المصداقية المؤسسية وتعزيز الثقة بالمعلومات المنشورة.

      تحليل تقني لاكتشاف ثغرة SQL Injection في موقع حساس مثل NASA

      موقع ناسا الأليكتروني ليس موقعًا ضعيف الحماية!

    من المهم قبل تحليل الادعاء أن نفهم أن الحديث عن موقع تابع لوكالة مثل NASA لا يشبه الحديث عن موقع عادي أو صفحة إلكترونية بسيطة. فالمؤسسات الحكومية والبحثية الكبرى غالبًا ما تعتمد طبقات متعددة من الحماية، وبرامج إفصاح عن الثغرات، وفرقًا أمنية داخلية وخارجية، إضافة إلى أدوات مراقبة وفحص مستمرة.

    لكن هذا لا يعني أن الأنظمة الكبرى محصنة تمامًا من الثغرات؛ فحتى المؤسسات المتقدمة قد تظهر لديها مشكلات أمنية في نطاقات فرعية، أو تطبيقات قديمة، أو صفحات مهملة، أو خدمات تابعة لجهات متعاقدة، أو أنظمة لم تعد ضمن الأولوية التشغيلية. لذلك فالمسألة لا تُناقش بمنطق الاستحالة، بل بمنطق الدليل الفني والتحقق المهني.

      أولًا: ما هي ثغرة SQL Injection؟

    ثغرة SQL Injection، أو حقن أوامر SQL، هي إحدى أشهر ثغرات تطبيقات الويب. وتحدث عندما يتمكن المهاجم من إدخال أوامر أو عبارات SQL داخل حقول الإدخال أو الروابط أو النماذج، بحيث تتعامل قاعدة البيانات مع هذه المدخلات كجزء من الاستعلام البرمجي.

    خطورة هذه الثغرة تختلف بحسب طبيعة التطبيق والصلاحيات المتاحة وقوة الحماية المستخدمة. ففي بعض الحالات قد تؤدي إلى قراءة بيانات غير مصرّح بها، أو تعديل محتوى، أو تجاوز آليات تحقق، أو كشف معلومات عن بنية قاعدة البيانات. وفي حالات أخرى قد تكون محدودة الأثر ولا تتجاوز ظهور رسالة خطأ أو خلل في معالجة الإدخال.

      ثانيًا: كيف تحدث الثغرة على موقع مثل NASA؟

    رغم أن المؤسسات الكبرى تستخدم عادة إجراءات حماية متقدمة، إلا أن ظهور ثغرة من هذا النوع يمكن أن يحدث في حالات معينة، منها:

    وجود نموذج إدخال غير محمي جيدًا:
    مثل نموذج بحث، أو صفحة تسجيل، أو حقل استعلام لا يعتمد على معالجة آمنة للمدخلات.

    استخدام استعلامات غير آمنة:
    عندما يتم بناء أوامر SQL بصورة ديناميكية دون استخدام أساليب آمنة مثل Prepared Statements أو Parameterized Queries.

    وجود أنظمة فرعية قديمة أو مهملة:
    قد تكون بعض النطاقات الفرعية أو الخدمات القديمة أقل تحديثًا من الموقع الرئيسي، وهذا يجعلها أكثر عرضة للثغرات.

    الاعتماد على أطراف خارجية:
    أحيانًا تكون بعض الصفحات أو الخدمات مرتبطة بمقاولين أو أنظمة خارجية، ما يجعل مستوى الحماية متفاوتًا بين جزء وآخر من المنظومة الرقمية.

    ثالثًا: كيف يتم اكتشاف ثغرة SQLi؟

    تم اكتشاف هذا النوع من الثغرات بعدة طرق، منها:

    التحقق اليدوي:
    يقوم الباحث الأمني باختبار طريقة تعامل التطبيق مع المدخلات غير المتوقعة، مثل الرموز الخاصة أو العبارات التي قد تكشف وجود خلل في معالجة الاستعلامات.

    استخدام أدوات اختبار أمنية:
    هناك أدوات معروفة تُستخدم في بيئات الاختبار المصرح بها، مثل Burp Suite وOWASP ZAP وSQLmap، لكنها لا تُعد دليلًا بحد ذاتها على وجود ثغرة ما لم تُستخدم ضمن نطاق مصرح به، ومع تقرير فني يوضح النتيجة.

    تحليل استجابات الخادم:
    يراقب الباحث الأمني تغير سلوك الصفحة، أو ظهور رسائل خطأ، أو اختلاف النتائج، أو أي مؤشرات قد تدل على أن التطبيق يتعامل مع المدخلات بطريقة غير آمنة.

      رابعًا: لماذا يصعب تنفيذ SQLi على موقع مثل NASA؟

    في الحالات المهنية، لا يكفي القول إن هناك ثغرة SQL Injection، بل يجب توضيح عناصر أساسية، منها:

    • ما هو النطاق أو الرابط المتأثر؟
    • هل كان الاختبار ضمن نطاق برنامج الإفصاح الرسمي؟
    • هل تم قبول البلاغ باعتباره ثغرة صحيحة؟
    • ما مستوى الخطورة؟
    • هل كانت الثغرة قابلة للاستغلال فعليًا؟
    • هل أدت إلى كشف بيانات أو تعديلها؟
    • هل كانت في موقع رئيسي أم نطاق فرعي أو خدمة مهملة؟
    • هل توجد درجة CVSS أو وصف فني بعد المعالجة؟

    من دون هذه التفاصيل، تبقى الشهادة أو رسالة الشكر مؤشرًا على وجود تواصل أو بلاغ ضمن البرنامج، لكنها لا تكفي وحدها لإثبات الرواية الإعلامية التي تتحدث عن اختراق خطير أو اكتشاف استثنائي.

    خامسًا: لماذا يصعب تنفيذ SQL Injection على موقع حساس مثل NASA؟

    تنفيذ ثغرة SQL Injection على نطاق حساس تابع لمؤسسة كبرى ليس أمرًا بسيطًا، لأن مثل هذه المؤسسات تعتمد عادة على:

    • جدران حماية لتطبيقات الويب WAF.
    • مراجعات أمنية دورية.
    • برامج كشف طوعي عن الثغرات VDP.
    • فرق مراقبة واستجابة للحوادث.
    • سجلات وتحليلات لحركة الطلبات.
    • تحديثات أمنية مستمرة.
    • طبقات حماية متعددة بين التطبيق وقاعدة البيانات.

    ومع ذلك، تبقى إمكانية وجود ثغرة واردة في بعض الأنظمة الفرعية أو القديمة أو محدودة النطاق. لذلك فإن النقاش المهني لا يقوم على نفي الاحتمال بالكامل، ولا على تصديق الادعاء بالكامل، بل على طلب الأدلة الفنية التي تحدد طبيعة الثغرة وحجمها الحقيقي.

    ملاحظات ختامية

    اكتشاف ثغرة SQL Injection في نطاق تابع لمؤسسة مثل NASA، إن ثبت فنيًا، يُعد أمرًا مهمًا يستحق التقدير. لكن إثبات ذلك لا يكون من خلال صورة شهادة شكر فقط، بل من خلال تقرير فني أو اعتراف رسمي يوضح نوع الثغرة ومستوى خطورتها ونطاق تأثيرها، ولو بصورة مختصرة لا تكشف تفاصيل استغلالية حساسة.

    وهنا يجب التمييز بين ثلاثة أمور مختلفة:

    الأول: أن يكون الشخص قد أرسل بلاغًا أمنيًا ضمن برنامج الإفصاح عن الثغرات.

    الثاني: أن يتم قبول البلاغ وتوجيه رسالة شكر له.

    الثالث: أن تكون الثغرة خطيرة فعلًا وتمس نظامًا حساسًا أو بيانات مهمة.

    هذه المراحل ليست شيئًا واحدًا، والخلط بينها هو ما يؤدي إلى التضخيم الإعلامي وسوء الفهم.

    الخلاصة

    أنا هنا لا أقلل من حماس الشباب، بل أثمّنه وأشجّعه، وأرى أن دخول الطلبة والشباب إلى مجال الأمن السيبراني أمر مهم وضروري. لكن في الوقت نفسه، لا يصح أن نتعامل مع كل ادعاء على أنه إنجاز كبير قبل التحقق من تفاصيله.

    في بيئة حساسة مثل الأمن الرقمي، يجب على وسائل الإعلام أن تتحقق أولًا ثم تنشر، وأن تستشير المختصين قبل تحويل الأخبار التقنية إلى عناوين مثيرة.

    فالثغرة الحقيقية التي يجب أن نصلحها اليوم ليست بالضرورة في أنظمة NASA، بل في طريقة تعامل بعض وسائل الإعلام مع الأخبار التقنية دون تدقيق أو فهم كافٍ.

    نحن بحاجة إلى إعلام واعٍ، ومؤسسات رسمية تتعامل مع الأمن السيبراني بمنهج علمي وتحقيق موضوعي، لا بمنطق ردود الفعل الفورية أو البحث عن الترند.

    وفي هذا السياق، يمكن عرض نماذج مختلفة لرسائل شكر تلقاها باحثون من دول متعددة ضمن برامج الإفصاح عن الثغرات، لإيضاح أن هذه الرسائل غالبًا ما تكون بصيغة موحدة، وأن قيمتها تكمن في كونها رسالة تقدير، لا تقريرًا فنيًا يثبت وحده طبيعة الثغرة أو خطورتها.

    وهذه شهادة المنتظر الذي اسمه منتظر محمد أحمد

    أخبار ذات صلة