يوليو 8, 2025
آخر المقالات

الثغرة لم تكن في NASA… بل في الإعلام غير المهني.

admin01 mins

بقلم: المهندس مصطفى كامل الشريف
مستشار في أمن المعلومات والشبكات

المقدمة

أصبحت القضايا الرقمية جزءًا لا يتجزأ من السيادة الوطنية، بات من الضروري أن نتعامل مع أخبار الأمن السيبراني بمهنية عالية وتحليل دقيق، خاصة عندما تصدر ادعاءات باختراق مواقع حساسة أو اكتشاف ثغرات في مؤسسات دولية مرموقة.

ومؤخرًا، شهدت وسائل الإعلام المحلية العراقية وبعض منصات التواصل الاجتماعي تفاعلاً كبيرًا مع ادعاء أحد الطلبة في المرحلة الثانوية في العراق من مدينة الطارمية يدعى منتظر محمد أحمد بأنه اكتشف ثغرة من نوع SQLi في موقع وكالة الفضاء الأمريكية (NASA) ، مدعومًا بصورة لشهادة شكر منسوبة للوكالة.

لكن الحقيقة التي غابت عن أغلب التغطيات الإعلامية، هي أن هذه “الشهادة” ليست سوى رسالة شكر تلقائية (Template Letter) تُرسل لأي شخص يشارك في برنامج الكشف الطوعي عن الثغرات (VDP) الخاص بوكالات أمريكية، وهي لا تعني بالضرورة وجود ثغرة، ولا إثباتًا على اختراق فعلي.

  لماذا يجب أن نتحلى بالحذر؟

  1. غياب الأدلة التقنية: لم يُعرض أي تحليل أو تقرير يُثبت وجود الثغرة، أو يوضح طبيعة الاستغلال.
  2. سهولة التزوير أو التضليل: انتشار رسائل الشكر الجاهزة يجعل من السهل الادعاء بإنجاز غير محقق.
  3. نقص التخصص الإعلامي: الإعلام غير المتخصص تقنيًا يقع بسهولة ضحية الإثارة الصحفية.

  أهمية التأني والتحقق قبل التفاعل

التعامل مع هذه الأخبار دون تحقق يُسبب:

  • تشويش الرأي العام بمعلومات غير دقيقة.
  • فقدان المصداقية المؤسسية إذا ما تم الاحتفاء بادعاءات دون تدقيق.
  • تشجيع ثقافة “الترند” بدلاً من التخصص الحقيقي.

  التوصيات للجهات الحكومية والإعلامية:

  1. استشارة خبراء الأمن السيبراني قبل نشر أي خبر تقني.
  2. عدم الاكتفاء بصور الشهادات أو رسائل الشكر.
  3. رفع وعي الإعلاميين بمفاهيم الأمن السيبراني الأساسية.
  4. تشجيع البحث الحقيقي، وليس صيد الشهرة.

  تحليل تقني لاكتشاف ثغرة SQL Injection في موقع حساس مثل NASA

  موقع ناسا الأليكتروني ليس موقعًا ضعيف الحماية!

  أولًا: ما هي ثغرة SQL Injection؟

ثغرة SQL Injection (حقن أوامر SQL) هي واحدة من أشهر الثغرات التي تصيب تطبيقات الويب، وتحدث عندما يتمكن المهاجم من إدخال أوامر SQL خبيثة ضمن مدخلات المستخدم ليتم تنفيذها مباشرة من قبل قاعدة البيانات. هذه الثغرة تستغل غياب التحقق من المدخلات، مما يسمح للمهاجم بتنفيذ أوامر تؤدي إلى تسريب البيانات، أو تعديلها، أو حتى حذفها.

  ثانيًا: كيف تحدث الثغرة على موقع مثل NASA؟

رغم الحماية العالية لمواقع المؤسسات الحكومية والبحثية الكبرى مثل NASA، فإن إمكانية حدوث الثغرة يمكن تفسيرها بالتالي:

  1. وجود نموذج غير محمي: نموذج بحث أو إدخال بيانات لا يعتمد على فلاتر قوية أو على تقنيات مثل Prepared Statements.
  2. اتصال مباشر مع قاعدة البيانات: اعتماد استعلامات SQL ديناميكية دون طبقة حماية.
  3. أنظمة فرعية مهملة: قد تحتوي بعض الخدمات أو الواجهات القديمة على ثغرات لم يتم تحديثها أو التحقق من سلامتها.

ثالثًا: كيف يتم اكتشاف ثغرة SQLi؟

أولاً: التحقق اليدوي: إدخال رموز مثل ‘ أو — في الحقول ومحاولة تحليل استجابة الخادم.

ثانياً: من خلال أدوات فحص متقدمة مثل:

  • SQLmap
  • Burp Suite
  • OWASP ZAP

ثالثاً: تحليل الاستجابات: مراقبة التغير في محتوى الصفحة أو ظهور رسائل خطأ من قاعدة البيانات.

  رابعًا: لماذا يصعب تنفيذ SQLi على موقع مثل NASA؟

  1. استخدام جدران حماية متقدمة (WAF).
  2. وجود فرق أمنية داخلية وخارجية متخصصة.
  3. الاعتماد على طبقات متعددة من الحماية.
  4. المراقبة الدائمة للسجلات والطلبات.

 ملاحظات ختامية:

اكتشاف ثغرة SQLi على موقع مثل NASA ليس بالمهمة البسيطة، ولا يمكن تنفيذه من قبل شخص غير محترف دون أدوات متقدمة وخبرة تحليلية عميقة، أو في بعض الحالات، دعم خارجي أو وجود ثغرة في خدمة مهملة.

الخلاصة

أنا هنا لا أريد أن أقلل من حماس الشباب، بل أثمّنه وأشجّعه، لكن أرفض التعامل مع كل إدعاء على أنه إنجاز.في بيئة حساسة كالأمن الرقمي، على وسائل الأعلام أن تحقق أولاً، ثم تنشر.
لأن الثغرة الحقيقية التي يجب أن نُصلحها اليوم، هي ثغرة المهنية الإعلامية، لا أنظمة NASA.

نحن اليوم بحاجة إلى إعلام واعٍ، ومؤسسات رسمية تتعامل مع الأمن السيبراني بمنهج علمي وتحقيق موضوعي، لا بمنطق ردود الفعل الفورية.

أعرض لكم نماذج مختلفة لعدة أشخاص وصلتهم نفس الرسالة التلقائية عند التبليغ

وهذه شهادة المنتظر الذي اسمه منتظر محمد أحمد

أخبار ذات صلة