ويحاول أعضاء الفريق الأحمر العثور على الثغرات قبل المتسللين، حيث يركز عدد كبير جدًا من المخترقين جهودهم على إيجاد الثغرات ضمن نظام التشغيل ويندوز، والذي ما يزال يتمتع بحصة سوقية تصل إلى 90 في المئة ضمن أجهزة الحاسب المحمولة وأجهزة الحاسب المكتبية في جميع أنحاء العالم، بحيث أن ظهور ثغرة ما قابلة للاستغلال بشكل سيء ضمن هذا النظام قد تهدد الملايين من أجهزة الحاسب المستخدمة في شتى المجالات.
وكان ديفيد ويستون David Weston، مدير الهندسة الامنية الرئيسية في ويندوز قد حث مايكروسوفت قبل أربع سنوات على إعادة التفكير وتجربة نهج مختلف لكيفية تعاملها مع أمن وحماية نظامها ويندوز، ويقول ويستون: “كانت الشركة تعتمد سابقًا على برامج المكافآت للعثور على ثغرات أو علاقاتها المجتمعية أو الهجمات الفعلية من أجل معرفة نقاط ضعف ويندوز، ومن ثم قضاء بعض الوقت في محاولة إصلاح ذلك، ومن الواضح أن هذه الطرق ليست مثالية عندما تكون المخاطر كبيرة جدًا”.
وأراد ويستون تغيير هذه الطرق التقليدية المتبعة من قبل مايكروسوفت عبر الاستلهام من تجربته مع المتسللين في أحداث مثل Pwn2Own، وبدلًا من الانتظار للحصول على إحصاءات قيمة حول نقاط الضعف في ويندوز، بدأ ويستون في تشكيل فريق يقوم بشكل أساسي بتنفيذ عمليات قرصنة يومية تستهدف نظام ويندوز، بحيث يضم الفريق في الوقت الحالي أعضاء مثل Jordan Rabet و Viktor Brange و Adam Zabrocki و Jasika Bawa، حيث برز اسم Jordan Rabet عبر اكتشافه ثغرة ضمن منصة الألعاب Nintendo 3DS في عام 2014.
ويركز Jordan Rabet حاليًا على أمان المتصفح، إلى جانب أنه لعب دورًا رئيسيًا في رد مايكروسوفت على ثغرات Spectre و Meltdown التي هزت صناعة الحواسيب منذ أقل من عام عبر تأثيرها على مختلف أنواع المعالجات الحديثة المستخدمة ضمن الأجهزة، في حين ساعد Viktor Brange، المقيم في السويد، في الرد على أداة القرصنة المخصصة لنظام ويندوز Eternal Blue التي تم تسريبها من قبل وكالة NSA عن طريق فحص المجموعة الكاملة للتعليمات البرمجية المصدرية المستخدمة في إنشاء النظام.
وساعدت تجربة Adam Zabrocki العميقة في نظام لينكس Linux على معالجة مشكلات النواة والمحاكاة الافتراضية، في حين تساعد Jasika Bawa في تحويل نتائج الفريق إلى تحسينات فعلية للمنتج، بحيث يقضي الفريق الأحمر جل يومه في مهاجمة ويندوز، ويقومون في كل عام بتطوير واستغلال الثغرات لاختبار قدرة نظرائهم المدافعين ضمن الفريق الأزرق.
ويتم التواصل مع هذا الفريق بشكل سريع عند حدوث حالات طوارئ مثل Spectre أو Eternal Blue، وتميل الشركات القادرة على تحمل التكلفة والتي تدرك أنها قد تكون مستهدفة إلى إنشاء فريق أحمر خاص بها، وقد امتلكت مايكروسوفت عدة فرق حمراء أخرى ركزت بشكل أكبر على المسائل التشغيلية.
وأوضح آرون لينت Aaron Lint، الذي يعمل بشكل منتظم مع الفرق الحمراء لكونه يشغل منصب كبير العلماء في شركة الحماية Arxan: “لا يزال ويندوز يمثل المستودع المركزي للبرمجيات الضارة، وتبعًا لكونه مستخدم ضمن الكثير من الأنشطة التجارية حول العالم فإن عقلية المهاجم تتجه نحو استغلال هذا النظام عبر تطوير تعليمات برمجية خبيثة قادرة على توفير عائدات مادية له، بحيث يعتبر ويندوز الهدف الأهم والأوضح”.
وحقق الفريق بعض الانتصارات المهمة التي ساعدت مايكرسوفت بشكل كبير، إذ بالإضافة إلى المساعدة في التخفيف من تأثير ثغرة Spectre وأداة EternalBlue، فقد ساهم الفريق في صد هجوم تصيد تم تنفيذه من قبل مجموعة قرصنة روسية شهيرة تدعى Fancy Bear، والتي تطلق عليها مايكروسوفت اسم سترونتيوم Strontium، مستغلًا Win32k.
ويقول ويستون: “في معظم هجمات المتصفح، تحتاج أولاً إلى اختراق ما يسمى بوضع الحماية في المتصفح، ثم تحتاج إلى طريقة للخروج من وضع الحماية هذا للقيام بما تريده مثل سرقة المعلومات أو الوصول المستمر إلى الجهاز، وقد تبين لنا أن Win32k هو المكان المثالي للقيام بذلك”، ومن خلال مهاجمة Win32k، تمكن الفريق من اكتشاف تقنيات لم يتم الكشف عنها سابقًا للاستفادة منها في الهجوم.
وتتحدد أولويات الأهداف بالنسبة للفريق بالاستناد إلى أمور مختلفة مثل التركيز على متابعة ما يحاول القراصنة استغلاله أو الميزات التي يتم اختبارها وتعتبر حساسة نسبيًا، بحيث يحتاج الفريق إلى أن يكون انتقائيًا، ويقول Adam Zabrocki: “ستظل الثغرات موجودة دائمًا، ولا يمكننا إصلاح جميع الأخطاء في العالم، وفي ظل وجود منتجات كبيرة ومعقدة ومتطورة مثل ويندوز، فمن الأفضل التركيز على الحلول الأوسع نطاقاً مثل اكتشاف الأخطاء والشذوذ في النواة، مما يساعد في منع مجموعة كاملة من المشاكل”.
ويعد فريق ويندوز الأحمر بمثابة جزء فقط من جهود مايكروسوفت لحماية نظامها التشغيلي الذي سيظل دائمًا هدفًا للقراصنة، مع الإشارة إلى أن الفريق لا يصدر تصحيحات، بحيث يتعلق هذا الأمر بالآليات الداخلية داخل الشركة، ويقول أحد أعضاء الفريق إنه يأسف أن مايكروسوفت قد تحتاج في بعض الأحيان إلى شهور لإصلاح ما يعتبره الباحثون الأمنيون الداخليون والخارجيون على حد سواء قضايا خطيرة.