مع توالي اختراقات أمن المعلومات التي تصيب حواسيبنا وأجهزتنا المتصلة بالإنترنت، يلحّ تساؤل كبير بخصوص هوية المسؤول عن إدارة هذه الشبكة، والمسؤول بالتبعية عن تأمين خصوصية اتصالنا بها واستمراريتها. ويزداد هذا التساؤل إلحاحاً وحدّة لو أدركنا أن كثيراً من برمجيات الإنترنت تتبع نهج (المصدر المفتوح) الذي يتيح لأي من الهواة والمهتمين أن يضيف أو يعدِّل على البروتوكولات الأمنية التي تحكم عمل أجهزة الملايين من البشر.
ثمة عبارة شاعرية تصدّرت عناوين الأخبار العالمية خلال الأسبوع الثاني من أبريل 2014م؛ «نزيف الفؤاد»! البعض ترجمها بـ «القلب الدامي» أو «نزيف القلب».. وأياً تكن الترجمة فإن العبارة (Heartbleed) تكررت كثيراً جداً، ليس في عيادات المشكلات العاطفية ولا مواقع أخبار الأدب، بل في برنامج حاسوبي أمني، اسمه «OpenSSL»، ينفذ بروتوكولاً تشفيرياً لحفظ خصوصية البيانات المرسلة عبر الإنترنت. وفي الواقع، فإن «OpenSSL» يشتغل على نحو ثُلثي أجهزة خوادم الإنترنت في العالم! وعليه، يمكننا أن نتصور حالة القلق التي سيطرت لا على المستخدمين الأفراد وحسب، بل وعلى الهيئات الأهلية والعامة وعلى المصارف والمستشفيات وأجهزة الدولة حين تم الإعلان عن وجود ثغرة في النصّ البرمجي الخاص ببروتوكول التشفير «OpenSSL»، تتيح للمتسللين اقتناص كلمة السر الخاصة بك، أو بأي مستخدم آخر متصل بحاسوب يشغّل «OpenSSL».
والآن، بعد بضعة أشهر من الحدث، يسعنا أن نتأمل في نتائج مهرجان القلق ذاك وأن نسأل: هل كانت القضية بتلك الخطورة فعلاً؟ وما الذي يضمن ألا يتكرر الأمر؟ خاصة وأن الاختصاصيين يقولون إن الآلية الحالية لإدارة برمجيات الإنترنت تترك المجال مفتوحاً لاختراق مماثل. أصلاً.. من يكتب ويدير برمجيات الإنترنت؟
بداية الحكاية
قبل أن ندخل في التفاصيل سنستعرض حكاية حقيقية قد تعيننا على الفهم أكثر.
ففي ليلة رأس السنة (31 ديسمبر) عام 2011م، قام طالب دكتوراة ألماني متخصص في أمن المعلومات وعلوم الحاسوب، اسمه روبن سِغلمان بإجراء بعض المراجعات والتعديلات على نسخة من كود «OpenSSL» الأمني، بهدف التحقق من توافر موارد الاتصال بين الحواسيب المرتبطة على الشبكة، بإرسال ما يشبه «النبضة» الدورية أو الـ Heartbeat في العُرف الحاسوبي.
كانت تلك المراجعات التي أجراها سِغلمان في حينه تطوعية. لم يكن سِغلمان موظفاً لدى شركة «OpenSSL».. لأنه لا توجد شركة أو مؤسسة تجارية منتجة لبرنامج «OpenSSL»، أحد أهم بروتوكولات التشفير الأمنية والجاري على أكثر من 300 ألف جهاز خادم (Server) تربط أجزاء الإنترنت ببعضها البعض. «OpenSSL» هو نتاج لنهج اقتصادي يتبع ثقافة تعاونية تحت مظلة اسمها «المصدر المفتوح» تقوم على إتاحة الفرصة لكل صاحب خبرة أو مهارة كي يسهم، تطويراً وتحسيناً، في المنتجات البرمجية التي يبتكرها الآخرون، وبدون تبعات أو مقابل مادي تقريباً. وفكرة المصدر المفتوح هي مبادرة لمقاومة الاحتكار التجاري والمبالغة في تقدير حقوق الملكية التي قد تسبب حرمان كثيرين من الإفادة من المنتج. كما تهدف مبادرة المصدر المفتوح إلى تشجيع الإبداع الحرّ. وقد نجحت هذه الفكرة عبر عقود في تقديم بعض أهم وأنجح البرمجيات إطلاقاً مثل نظام التشغيل (لينوكس – Linux).
نوعا البرمجيات المختلفان
عليه، ينبغي أن نفرِّق بين نوعين رئيسين من البرمجيات التي هي محور حياتنا الرقمية اليوم:
1 – برمجيات محمية (أو مغلقة) المصدر. بمعنى أن الكود الخاص بهذه البرمجيات محمي، ولا يمكن الاطلاع عليه ولا تعديله، إلا من قبل موظفين رسميين في الشركة المنتجة للبرنامج الذي يتم تقديمه للمستهلك كوحدة مغلقة في وجه التلاعب، مثل برامج شركة مايكروسوفت التجارية.
2 – برمجيات مفتوحة المصدر: بمعنى أن الكود الخاص بهذه البرمجيات متاح للعامة. ولتقريب الصورة فلو تخيلنا أن برنامج مايكروسوفت أوفيس كان مفتوح المصدر، فإنك كمبرمج سيسعك أن تعدل طريقة عمل البرنامج ونوعية الملفات التي ينتجها وكأنك أحد أعضاء فريق التطوير. البرمجيات مفتوحة المصدر يقوم على تطويرها غالباً فريق من المتطوعين الذين يمتلكون المهارة ووقت الفراغ لكنهم لا يسعون بالضرورة خلف المادة.
لنعد الآن إلى روبن سِغلمان الذي كان أحد أولئك المتطوعين، أو الجنود المجهولين، الذين ينفذون عمليات تعديل ومراجعة كود بروتوكول التشفير ذي المصدر المفتوح والمستخدم من قبل %66 من خوادم الإنترنت في العالم: «OpenSSL». تقول القصة إنه في تلك الليلة قبل عامين ونصف العام، قام سِغلمان بالطقطقة على لوحة مفاتيحه ليُدخل تعديلاً دورياً على أداء عملية (نبضة القلب) في البروتوكول المذكور. لكنه ارتكب غلطة برمجية بسيطة جداً تسمح بقراءة قيم مخزنة في الذاكرة لا يفترض أن تنكشف عادة. لم ينتبه سِغلمان لتلك الغلطة في حينه. لابد أنه أحس وقتها بأنه يقدِّم خدمة عظيمة للبشرية لأنه يسهر مراجعاً ومتطوعاً وبدون مقابل برنامجاً حاسوبياً، في حين يصخب العالم محتفلاً بالعام الجديد. المهم أن سِغلمان أرسل تعديلاته على كود (نبضة القلب) لعضو آخر في فريق مشروع «OpenSSL» هو د. ستيفن هنسون، والذي فاتته كذلك غلطة سِغلمان فاعتمدها في النسخة الرسمية للبروتوكول.
هكذا سرى البرنامج بعيبه الخطير عبر شبكة الإنترنت، كما يسري الدم الملوث في العروق، إلى أجهزة 28 مليون مستخدم حول العالم. بل بقي هذا العيب مستوراً ومتوارثاً عبر كل التعديلات التي أجريت على البروتوكول منذ ذلك التاريخ. ولم ينكشف الأمر للعموم حتى السابع من أبريل 2014م حين تم الإعلان عن وجود ثغرة تقنية خطيرة تتيح للمتسللين ومخترقي النظم قراءة محتويات الذواكر الخاصة بالأجهزة التي تشغّل البروتوكول المعيوب، بحيث يمكن لأولئك المتسللين الاطلاع على مفاتيح التشفير التي تحمي البيانات المتناقلة عبر قنوات الإنترنت، ما يعني أن المتسلل الذي ينجح في الاستفادة من هذه الثغرة سيسعه –نظرياً- أن يتجسس على بريدك الإلكتروني ويقرأ بياناتك من قرصك الصلب أو هاتفك المحمول بل وينتحل شخصيتك عبر حسابك المصرفي أو الحكومي.
تم إصلاح العيب فور اكتشافه وبمساعدة من سِغلمان نفسه الذي صار الآن دكتور سِغلمان. لكن ذلك الإصلاح تحقق متأخراً جداً وبعد سنوات من نزف البيانات. ولأن الخطأ حصل في كود عملية (نبضة القلب).. فقد نال العيب المكتشف تسمية (نزيف القلب).
من الملام.. الشخص أم النظام؟
أحد أهم الأسئلة التي تبلورت خلال الساعات الأولى للأزمة كان بخصوص مجتمع الإنترنت: كيف يسمح هذا المجتمع لنفسه أن يعرّضنا لهذا الاختراق الشنيع وعلى مدى سنتين على الأقل؟ ومن هو المسؤول الذي تنبغي معاقبته على خسارة فادحة بات من المستحيل تداركها؟!
في الواقع، إن التأمل في التفاصيل يوضح لنا الأزمة الحقيقية التي يعانيها مجتمع الإنترنت، وآلية عمله التي قد تُعد هي المذنب الحقيقي عوضاً عن الأفراد.
فالإنترنت ككيان افتراضي هي امتداد لثقافة المصدر المفتوح التي شرحناها آنفاً والتي تتمرد على القيمة المؤسساتية وتحاول أن تطلق العنان للإبداع المشترك. ومع اعتماد كثير من المؤسسات الربحية الكبرى على برمجيات المصدر المفتوح، فإن هناك كيانات أخرى تعارض سياسة هذا المصدر بشدة، وتمارس دورة الإنتاج والتسويق والتطوير بشكل مغلق داخل أسوار الشركة، دون أن تسمح لحفنة من الهواة بالتعديل على قرار مجلس الإدارة. من هذه الكيانات (مايكروسوفت) و(آبل) التي كان تأثر منتجاتها بأزمة (نزيف القلب) هامشياً وغير ذي أثر حقيقي.
لكن برمجيات المصدر المفتوح تبقى ذات أهمية قصوى قد تزيد على أهمية برمجيات المصادر المحمية. بل إن الإنترنت لم تكن لتصير كما نعرفها اليوم لولا نهج المصدر المفتوح. فكما أسلفنا، إن بروتوكولاً مثل «OpenSSL» يتم تطبيقه على %66 من خوادم الإنترنت، التي تشغلها نظم تشغيل مفتوحة المصدر هي الأخرى، مثل نظم «أباتشي» و«نجينكس».
لماذا لا تشغل غالبية خوادم الإنترنت نظام تشغيل ويندوز مثلاً؟ الجواب: لأن سعر ويندوز مرتفع. إن شركة الإنترنت الناشئة لا تملك مئات الآلاف من الدولارات لتنفقها على منتجات مايكروسوفت، في حين يسعها أن تحصل على برمجيات مصدر مفتوح ذات كفاءة عالية وبأسعار أقل، تساعدها على النمو الأسرع على المدى الطويل. بفضل نموذج الأعمال هذا ازدهرت أسماء مثل «غوغل» و«الفيسبوك».
لكن ومن جهة أخرى، فإن تطوير برمجيات المصدر المفتوح يقوم على جهود متطوعين بنظام الدوام الجزئي. ويجادل البعض أن هذه القيمة التطوعية النبيلة تحمل بذرة الدمار لكل الجهود المبنية عليها. إن بروتوكول «OpenSSL» مثلاً، على أهميته الكبرى في عالم الإنترنت، يتم تطويره من قبل فريق من أربعة أشخاص، بالإضافة إلى ستة آخرين أقل تطوعاً من الأربعة الأولين! والمشروع بأسره تموّله تبرعات لا تتجاوز الألفي دولار سنوياً!
قد تبدو هذه الأرقام صادمة، نظراً للدور المحوري لمنتجات المصدر المفتوح في اقتصاديات الإنترنت التي تقدّر بالمليارات سنوياً. إن أحدنا قد يقرر على ضوء ما سلف أن المصدر المفتوح هو نموذج فاشل ينبغي أن يتم هجره فوراً. لكننا قبلاً يجب أن نتذكر أمرين:
1 – إن برمجيات المصادر المحمية كذلك تتعرض للاختراق والفشل بغض النظر عن الملايين التي تصرف لتطويرها وتسويقها. بل إن بعض الشركات التجارية الكبرى قد غدت أسماؤها رديفة لإحباط المستخدمين، مقارنة بالاعتمادية العالية على كثير من برامج المصادر المفتوحة.
2 – إن برمجيات المصادر المفتوحة، بالرغم من الفقر الذي تعانيه مشاريع تطويرها مادياً، قد رسخت وجودها عبر العقود الماضية. كما وأن نجاحها لم يكن وفق مغامرة غير محسوبة العواقب، بل تم التقعيد له عبر ما يعرف بـ «قانون لينوس».
ينص قانون لينوس -نسبة إلى (لينوس تورڤالد) الأب الروحي لنظام التشغيل مفتوح المصدر «لينوكس»- على أنه بوجود العدد الكافي من «الأعين»، فإن كل الثغرات قابلة للكشف. بكلام آخر، إن إتاحة برنامج المصدر المفتوح للمراجعة والتعديل لكل من هبّ ودبّ كفيل بأن يوفِّر حلولاً لكل إشكاليات البرمجة التي قد يعجز فريق احترافي عن حلها. ويجادل مناصرو المصدر المفتوح بأن هذه الفلسفة قد كفلت استمرارية نهجهم طيلة السنين، بل وجعلت نظام تشغيلهم الأقوى على الساحة بشهادة الجميع. لكن أزمة «نزيف القلب» شكلت صدمة كبرى لهذه القناعة. لأن عدد «الأعين» التي راقبت «OpenSSL» بكل أهميته ومكانته، كان –بعد كلٍّ- قليلاً جداً وغير فعّال كما اتضح.. حتى مع حقيقة كون الثغرة قد اكتشفت من قبل زوج آخر من الأعين يمتلكه نيل ميتا الباحث لدى شركة «غوغل».
ما الحل؟
من المدهش أن أزمة «نزيف القلب» لم تسفر عن أية دعاوى جادة لنقض فكرة المصدر المفتوح. بل إن المراقبين يكادون يجمعون على أن المشكلة التي يعاني منها مجتمع المصدر المفتوح، هي في المقام الأول مشكلة نقص في التمويل. إضافة إلى تعزيز آلية الإشراف على مشاريع المصادر المفتوحة والتي لا يُعقل أن تترك مهمة إدارتها لحفنة من الأعين المتطوعة بدوام جزئي فيما بعض تلك المنتجات مسؤول عن تسيير مصالح مؤسسات ومجتمعات بأسرها.
لكن التمويل السخيّ ليس حلاً سحرياً وله تبعاته السلبية. لأن من سيدفع سيطالب بنفوذ، وربما بأرباح من المنتج النهائي، وهذا ما يناقض أساس فكرة المصدر المفتوح وينحرف به عن مساره.
بعض ملامح الحل المنتظر تكمن في مبادرة اسمها «Core Infrastructure» أطلقتها في شهر مايو 2014م مجموعة من شركات التقنية الكبرى بقيادة «لينوكس» لدعم مشاريع البرمجيات مفتوحة المصدر، المستخدمة على نطاق واسع والتي تعاني نقصاً في التمويل، وذلك بتوفير مائة ألف دولار أمريكي على الأقل سنوياً، لمدة لا تقل عن سنوات ثلاث. إن قائمة الشركات المنضمة إلى هذه المبادرة غير الربحية تشمل غوغل وإنتل ومايكروسوفت والفيسبوك وسيسكو وآي بي إم وفوجيتسو وأمازون وسواها. وهي في مجملها شركات متعددة النشاطات تقنياً، لا تعتمد جميعها فلسفة المصدر المفتوح في منتجاتها.. لكن القائمين عليها متفقون على تقدير الأهمية القصوى لفكرة المصدر المفتوح في نمو الإنترنت وتأمين استمرارية وخصوصية اتصالنا بها.