إنجاز جديد ينضمّ إلى سلسلة الإنجازات التي يحقّقها اللبنانيون، وعلى وجه الخصوص طلّاب الجامعة اللبنانية. فقد تمکّن الباحثان اللبنانيان في الأمن السيبراني حسن بدران ومجد دهيني، وهما خريجان من الجامعة الوطنية، من اكتشاف ثغرة أمنية خطيرة في أنظمة شركة Revolut، وهي واحدة من أكبر شركات تكنولوجيا المال التي تقدّم خدمات مصرفية واسعة في أوروبا.
وبعد بحث دقيق تمكّن بدران ودهيني من اكتشاف ثغرة تهدّد التعاملات المالية بشكل غير مباشر لأكثر من 35 مليون عميل يستخدمون تطبيق الشركة. وبعد التواصل مع Revolut وتزويدها تقريراً مفصّلاً عن الثغرة، تثبتت الشركة من وجودها وعملت بالتعاون مع بدران ودهيني على إصلاحها.
ولم تسمح الشركة الأوروبية بنشر التفاصيل التقنية للثغرة التي صنّفت خطورتها بـ"العالية"، لكنّها كافأت بدران ودهيني وأدرجت اسميهما على لائحة الشرف الخاصّة بها، ليحتلّ الشابان المركز الثاني عالمياً على اللائحة، وهو إنجاز لبناني وعربي نادر لم يحصل في تاريخ الشركة.
وهذه ليست المرة الأولى التي يكتشف فيها بدران ودهيني ثُغراً أمنية، بل سبق أن اكتشفا ثغراً عدّة في كبرى الشركات العالمية كـ (Meta) و (Google) و (Linkedin)، وسبق واحتلّا مراكز متقدمة في لوائح شرف عدد من الشركات.
من لبنان إلى لوائح الشرف العالمية
في هذا الإطار قال مجد دهيني لـ"الصفا نيوز": "انني وحسن تخرّجنا في الجامعة اللبنانية- كلية العلوم، في 2020-2021، متخصصين بالـcomputer science ونحن من هواة عالم الأمن السيبراني، وحسن يعمل اليوم mobile developer team lead ، (قيادة فريق مطوري الأجهزة المحمولة) في إحدى الشركات الخاصة في ألمانيا، وأنا أعمل مهندساً للأمن السيبراني في إحدى الشركات الخاصة في لبنان، وقد عثرنا على ثغرة أمنية لشركة Revolut ، وهي واحدة من أهمّ الشركات التكنولوجية المالية في أوروبا، ومقرّها في لندن".
وأضاف: "ووقع اختيارنا على هذه الشركة لأنّها من أشهر الشركات بالدرجة الأولى، ولأنّ حسن شريكي، يعيش في أوروبا وكان أحد زُبُن هذه الشركة. وكشفنا هذا الخطأ الأمني عبر مشاركتنا في Bug Bounty Program أو برنامج مكافأة البحثيين الأمنيين، وهو برنامج يقول إنّ أيّ باحث أمني أو Cybersecurity researcher يملك المهارات المطلوبة في عالم الأمن السيبراني وقادر على اكتشاف security vulnerabilities، أو ثُغر أمنية في أيّ موقع أو application، تطبيق تابع للشركات التي تتعاون مع هذا البرنامج، يكافأ مادّياً ومعنوياً، ويُوضع اسمه على الـ hall of fame، أو لائحة الشرف الخاصة بتلك الشركات، ويُعترف بهذه اللائحة في الدول الأوروبية. وفكرة هذا البرنامج هو win win situation، تسمح للشركات بتطوير أمنها السيبراني وتتيح للـ hackers الاستفادة من تقديمهم هذه الخدمات".
وتابع دهيني: "بعد اكتشاف هذه الثغرة، صنّفناها بدرجة "متوسط" Medium إلّا أن الشركة قررت بعد الاطّلاع على الثغرة تصنيفها بمستوى High أي ثغرة عالية الخطورة وهي نقطة إضافية لنا سمحت بأن نحتلّ المركز الثاني عالمياً على لائحة الشرف الخاصّة بالبرنامج لعام 2024.
ولفت إلى أنهّا ليست المرة الأولى التي يقوم فيها بمشاركة أو contribution عبر Bug Bounty Program، إذ "قمنا في السابق بالعديد من الإنجازات التي اكتشفنا عبرها ثغراً أمنية في كبرى الشركات كـMeta وFacebook وغوغل في الأعوام 2019، 2020، 2021، وجميع هذه الإنجازات أرشفت على غوغل، وحصلنا على مكافآت أكثر من مرّة، ونحن ناشطان في هذا المجال، إلّا أنّ ما يميّز خطوتنا هذه المرّة فهو أنّ الشركة التي تمكّنا من إيجاد الثغرة الأمنية في أنظمة الحماية الخاصة بها، هي شركة جديدة، وعالمية، وعملها دقيق، واحتلّينا المركز الثاني".
ثابروا ولا تستسلموا فلا شيء مستحيلاً
وكشف دهيني عن تأسيسه وحسن لـ cybersecurity academy "أي أكاديمية لتعليم كل ّما يتعلق بالأمن السيبراني، خصوصاً أنّ فرص هذا الاختصاص ترتفع مع الوقت وتزداد في سوق العمل، مع سيطرة العالم الرقمي على عمل جميع الشركات التي أصبحت بحاجة إلى مواقع الكترونية وتطبيقات الكترونية، ومن غير المجدي أن تعمل الشركات في عالم رقمي من دون التحقّق من قوة أمنها السيبراني. لذلك ارتفعت الحاجة إلى مهندسي أمن سيبراني cybersecurity engineers وإلى متخصّصين في هذا المجال، وهذه الأكاديمية أسّسناها قبل أن نحقّق كلّ ما انجزناه في عالم الأمن السيبراني".
واعتبر أنّ "الجامعة اللبنانية أثبتت من خلال طلّابها وخريجيها نجاحاً في العديد من المجالات، ونحن نفتخر أنّنا من خرّيجي هذه الجامعة. وشجّع الشباب على الانخراط في تخصص الأمن السيبراني لكون الطلب على هذه التخصّصات مرتفعاً وسيرتفع أكثر في سوق العمل، فكلّما تقدّمنا في عالم التكنولوجيا ارتفعت الحاجة إلى هذا التخصص".
ودعا دهيني الشباب إلى "التخلّص من فكرة أنّ هناك شيئاً مستحيلاً، والابتعاد عن اليأس والاستسلام والعمل دائماً على تطوير مهاراتهم وصقلها. فأنا وحسن كنّا نعلم أنّه من الصعب جداً إيجاد ثغُر في فايسبوك وميتا ووضع اسمنا على لوائح الشرف الخاصّة بهذه الشركة، علماً بأنه من آلاف الباحثين السيبرانيين ينجح مئتان في إيجاد أخطاء ودخول هذه اللائحة، إلّا أننا، بعد عمل دام 3 سنوات نجحنا في اكتشاف الخلل، وهذا ما يؤكّد فرضية أن لا شيء مستحيلاً وبالمثابرة يمكن تحقيق أي شيء".
وعن صعوبة التنافس في هذ العالم أجاب: "لا شك في أنّ المنافسة كبيرة، خصوصاً أنّ هذا العالم لا يتطلّب من المرء الحصول على شهادة جامعية للنجاح فيه، بل يكفي أن يملك "لابتوب"، والمهارات المفترضة ليتمكّن من مباشرة العمل. والشركات الكبرى غالباً ما تكون قد وظّفت عدداً من المحترفين لحماية أمنها السيبراني، وعليه تكون عملية اكتشاف الخروق أصعب، وقد يبقى الشخص يعمل على إيحاد الخرق سنوات، وفي النهاية يعجز عن إيجاد نقاط ضعف، لذا لن يحصل على أية مكافأة".
عن أهمية الأمن السيبراني ووجوب الاستثمار فيه
يقول الخبير التكنولوجي رامز القارا لـ"الصفا نيوز" إنّ "الأمن السيبراني في لبنان وعلى الرّغم من عدم الاهتمام به من قبل القطاعين العام والخاص، أصبح من الأساسيات والمواضيع البالغة الأهمية". ويضيف "وإن لم نسمع بعمليات قرصنة فذلك لا يعني أنّها غير موجودة أو لا تحدث، فقد يكون هناك الكثير من عمليات الاختراق التي لم يعلن عنها، وما سمعنا عنه من اختراق في مطار بيروت لم يحصل لأن المعنيين كشفوا الاختراق بل لأنّ المخترق أراد الإعلان عنه، مما يعني أنّ المطار أصبح مخروقاً وكان بإمكان من اخترقه عدم الإفصاح عن ذلك، فلن يعلم أحد بما حصل. ويمكن أن يكون الاختراق قد حصل قبل أكثر من سنة او سنتين. إلّا أنّ المخترق قرّر اليوم أن يظهر!".
وخطورة ما يحصل تكمن في غياب الوعي بأهمّية الأمن السيبراني، بحسب القارا، عدا أنّ "الدولة لا تملك ميزانية لهذا الموضوع، على الرّغم من أنّ الأمن السيبراني أصبح يتمتع بالأهمية نفسها التي تتمتع بها أنواع الحماية الأمنية الأخرى، ومن هذا المنطلق تأتي أهمية الجامعة اللبنانية وغيرها من الجامعات بتخريج متخصّصين بمجال الأمن السيبراني يكتسبون خبرات مهمّة يمكن توظيفها في القطاعين العام والخاص في لبنان. ونحن نفتخر بالشابين حسن بدران ومجد دهيني اللذين احتلّا مناصب على لوائح الشرف في أهمّ المؤسسات والشركات الدولية. فعلى الرغم من كلّ الإهمال الذي تعانيه الجامعة اللبنانية لا يزال مستواها التعليمي في المراتب الأولى في المنطقة وينافس الجامعات الخاصة. وهنا تأتي أهمية عقد بعض الشراكات بين الطلاب الخريجين والجامعة، وتسخير قدرات هؤلاء الطلاب لمصلحة الدولة اللبنانية عبر تخصيص مشاريع التخصّص الجامعية خدمة لتطوير أحد مرافق الدولة على سبيل المثل".