مجد دهيني وحسن بدران. اسمان شغلا مواقع التواصل الاجتماعي وعناوين وسائل الاعلام منذ ايام، لاكتشافهما ثغرة أمنية خطيرة في شركة Revolut إحدى أكبر شركات تكنولوجيا المال في أوروبا. مع العلم أنّ هذا الاكتشاف ليس الأول لهما، فسبق أن دخلا لوائح شرف عدد من المنصات العالمية، للسبب نفسه.
الشابان هما من أبناء الجنوب، خريجا كلية العلوم في الجامعة اللبنانية، ونموذج عن الشباب اللبناني المبدع الذي يرفع اسم وطنه عالياً في كل مناسبة، ويتقصدان اكشتاف الثغرات في الشركات من خلال انضمامهما الى ما يعرف بالـbug bounty hunting اي برامج مكافأة الباحثين الأمنيين، التي تنظمها الشركات مقترحةً على اي شخص يتمتع بمهارة في الأمن السيبراني بغض النظر عن مجال عمله أو نوع الشهادة التي في حوزته، بالانضمام اليه، للكشف عن الثغرات الأمنية الخطيرة فيها، مقابل مكافأة مادية (تصل الى نحو 400 الف دولار عن الثغرة الواحدة) أو معنوية كادخال اسمه الى لائحة الشرف الخاصة بالشركة.
إنجاز لبناني
وبعدما اكتشفا سابقاً ثغرات أمنية عدة في كبرى الشركات العالمية كـ»ميتا» و»غوغل» و»لينكد إن» وتطبيق «ميديوم» دخلا على اثرها لوائح شرفها، حققا انجازاً متقدماً هذه السنة من خلال الكشف عن ثغرة أمنية في Revolut تهدد التعاملات المالية بشكل غير مباشر لأكثر من 35 مليون عميل يستخدمون تطبيق الشركة، صنفاها بخطورة «متوسطة». وبعد ابلاغ الشركة بها قررت تصنيفها على أنها «مرتفعة الخطورة». وبعدما تأكدت الأخيرة من وجودها كافأت بدران ودهيني وأدرجت اسميهما على لائحة الشرف الخاصة بها، ليحتلّ الشابان المركز الثاني عالمياً على اللائحة، في إنجاز لبناني وعربي نادر لم يحصل في تاريخ الشركة التي لم تسمح بنشر التفاصيل التقنية للثغرة.
للتعرف أكثر على الخبيرين اللذين لمع نجمهما في مجال الأمن السيبراني، تواصلت «نداء الوطن» معهما. نبدأ مع مجد دهيني (24 عاماً). انطلق كمبتدئ في مجال الأمن السيبراني منذ 7 سنوات اي حتّى قبل التحاقه بالجامعة، وعمل على تطوير نفسه شيئاً فشيئاً حتّى أصبح خبيراً. ويقول: «قبل أنّ ينطلق bug bounty hunting، كان «الهاكرز» يضطرون الى التصرف بطريقة غير قانونية، مع غياب بيئة تحتضنهم. وبعد انتشار مفهوم هذا البرنامج اتجه كل من يمتلك مهارة نحوه. لذلك، كنت نشطاً في هذا المجال بالتحديد منذ 2017 حتى 2020، وبعدما لمست نتيجة ممتازة تمثلت بمكافأة الشركات لي ولزملائي، انطلقت في هذا العمل الذي يحتاج الى مهارات عالية خصوصاً بالنسبة للشركات الكبرى التي تهتم بأمنها جدّياً مثل «ميتا» التي لا يدخل لائحة شرفها أكثر من 200 شخص سنوياً».
مجتمع الأمن السيبراني اللبناني
أسس دهيني منذ نحو سنتين Semicolon Academy، حباً منه في نشر هذا العلم الى جميع المهتمين. اليوم، تضم هذه الأكاديمية نحو الف متدرب، جزء منهم بدأ في تحقيق الانجازات حاجزاً مكاناً له على لوائح شرف الشركات العالمية. كما ينشط في تنظيم ورش العمل المجانية في مختلف الجامعات المهمة في لبنان. ليس هذا فحسب بل تمكن من تأسيس أول مجتمع للأمن السيبراني في لبنان، مشيراً الى أنّ «Lebanese cyber security community يضم نحو 2000 شخص حالياً وهو مفتوح امام اي شخص مهتم في هذا المجال ويرغب بالانضمام اليه».
وعن رأيه في تطور هذا المجال على الساحة المحلية، أوضح «أن سوق العمل في الأمن السيبراني العالمي واسع جداً، ونتوقع أن يتوسع تدريجاً محلياً»، مضيفاً أنّ: «فرص العمل المحلية ما زالت خجولة مع غياب الوعي اللازم في هذا الاطار، رغم أنّ كل شركة كبيرة كانت أو متوسطة أو صغيرة الحجم، بحاجة ماسة الى الأمن السيبراني لحماية معلوماتها أو «الداتا» لديها من الخرق «اونلاين»، مشجعاً من يرغب بعدم التردد في الدخول الى هذا المجال لانه عاجلاً أم آجلاً سيتحول الى حاجة لا مفرّ منها.
أمّا بالنسبة لوضع البلد الذي يحبط الشباب، فقال: «أحاول الا اربط كل شيء بالظروف الراهنة. نحن فعلياً لا ننتظر دعم الدولة او وضع البلد، فالموارد في مجالنا متوافرة «اونلاين» وبالتالي يمكن الحصول على المعلومات أو قراءة الكتب بسهولة... فالعمل على تطوير انفسنا لا يرتبط بأي ظرف»، متوجهاً الى الشباب بالقول: «تأكدوا من تجربتنا ان لا شيء مستحيل. فعندما نشارك مثلاً في برنامج «ميتا» للكشف عن الثغرات، نتنافس مع الآلاف حول العالم وفي النهاية ينجح مئة فحسب، وهذا لا يحبطنا انما يعزز ارادتنا على المضي قدماً والمحاولة باستمرار... وصولاً الى هدفنا».
اجتمع مجد مع حسن بدران (26 عاماً) في كلية العلوم في حرم الجامعة اللبنانية وجمعهما شغفهما في الأمن السيبراني. ورغم أنّ لكل منهما عمله المنفصل عن الآخر الّا أنهما يعملان سوياً من فترة الى أخرى، على الكشف عن الثغرات الأمنية. حسن المتواجد حالياً في ألمانيا، في رصيده 6 سنوات من الخبرة في الأمن السيبراني، وهو متمرس في مجال تطبيقات الهواتف والـbug bounty hunting، الذي يدفعه شغفه في هذا البرنامج الى البحث عن ثغرات الشركات منذ سنوات كتحدٍ له في الوصول الى المراتب العالية ولتطوير نفسه أكثر و»جعل العالم مكاناً أأمن»، على حدّ قوله.
أنواع الثغرات
نسأله عن نوع الثغرات التي تكتشف عادةً، فيجيب: «أشكل مع مجد فريق عمل نتعاون في هذا المجال منذ سنوات، ونكتشف سنوياً ثغرات متنوعة في مختلف الشركات منها متوسط الخطورة ومنها ذو خطورة عالية، ولعلّ أبرزها الحصول على صلاحيات لا يجب الوصول حتّى اليها، جمع «داتا» لا يجب أن تكون في متناول ايدينا ومنع وصول بعض المستخدمين الى تطبيق الشركة...».
على الصعيد الفردي، قام حسن بمبادرة خلال فترة جنون ارتفاع الصرف في لبنان، وعمل على منع استغلال وضع بلده من قبل بعض الأشخاص الذين كانوا السبب في خلق تطبيقات «سعر الصرف»، ويقول: «وجدنا حينها من كان وراء هذا التطبيق وسلمنا كل المعلومات الى الدولة. كذلك، خلال فترة «كورونا» صممت مع فريق من الجامعة اللبنانية روبوتاً يمكن التحكم به عن بعد من خلال الموبايل وأطلقناه في «مستشفى رفيق حريري» وكنّا نسعى الى تطويره ليعمل من تلقاء نفسه لاحقاً».
يؤمن حسن في وطنه لبنان، ويضع في صلب أولوياته العودة اليه بانجازات كثيرة تخدمه، متسائلاً: «اذا لم نتمكن، نحن الشباب، من تحسين بلدنا، فمن سيفعل؟»، مضيفاً: «هذه مسؤوليتنا، لا يجب أن نلوم ظروف بلدنا، بل أن نسعى لتغييرها نحو الأفضل، وأن نعود من الخارج، نحن المغتربين، وفي يدنا التطور والعلم والحداثة لخدمته»، خاتماً بكلمة للشباب اللبناني: «هذا عصر التكنولوجيا، كل شيء مفتوح امامكم من دون اي عائق للتطور من خلال صفوف الاونلاين المتاحة مجانياً، لذلك اشجع المهتمين بالأمن السيبراني على عدم التردد للتعرف عليه».
