لايوجد نظام اّمن حتى SSL

أخيرا لا شيء اّمن …  حتى SSL..

هناك سرين احدهما خاص بي والاّخر عام يمثل خطورة كبيرة..

السر الأصغر.. قديم منذ الصغر

السر الأول وهو خاص بي… أنا من صغري حتى الاّن معجب بكتابات الدكتور نبيل فاروق… المهم أن الدكتور نبيل فاروق  دائما يذكرنا عن طريق بطله الخيالي المستوحى من الواقع أدهم صبري أنه ” لايوجد نظام آمن لا يمكن إختراقه”. هذه العبارة قفزت إلى ذهني عندما قرأت الخبر  الخطير  عن SSL ..

السّر الأكبر. قديم ولكن  لم يكن خطيرا

كنت دائما أفترض ان SSL و VPN  هماالطرق  الوحيدة الباقية الاّمنة في هذا الزمان لإخفاء اتصالتنا سواء من المخترقين أو لتبادل معلومات لانريد لأي أحد ان يقرأها (اقصد الأخ الأكبر).

ما اكتشفته  الباحثون  مؤخرا بدهشة كبيرة أن هناك عيبا في SSL..  ربما ليس ثغرة و ربما ليس عيبا برمجيا (BUG)  وليس مخترقا ذكيا  اكتشف هجوما  جديدا  انما هو طريقة مراقبة وانعدام ثقة   من مؤسسات كبيرة.  هذه المشكلة موجودة في طريقة عمل SSL وهي معروفة منذ زمن وهي لاتتعدى بعض المحاولات الاكاديمية التي تحتاج إلى ظروف خاصة لتنفيد هجوم Man in the middle attack من أشهرها:

1- SSL MITM proxy وهو عبارة عن بروكسي يعيد تحويل البيانات المبعوثة عن طريق SSL
2- ورقة بحث منشورة (ملف PDF) من قبل SANS  تتحدث عن SSL MITM attacks
حتى الاّن كل هذه المحاولات كانت عبارة عن محاولات ولكن طريقة عمل SSL  اثيتت قدرتها على تفادي هذه الطرق اذا تم تنفيذها بطريقة صحيحة

شرح العيب:

بسبب ثقة الناس الزائدة التي أظن انها مبررة با SSL اصبح معظم متصفحات الانترنت (BROWSERS) تدعم هذا البروتوكول ومعظم المواقع التجارية (www.amazon.com)  وحتى المواقع التي تقدم خدماتها مجانا  أصبحت تقدم  خدماتها عن طريق SSL لزيادة ثقة المستخدمين واستقطابهم (  https://google.com ).   كل هذا جميل ومفهوم.  لشرح العيب أود ان أقدم موجزا عن الSSL.

نظرة على SSL

بروتوكول SSL في أغلب حالته يبدأ حينما تطبع عنوان يبدأ ب HTTPS  في متصفحك مثلا HTTPS://google.com في هذه الحالة تبدأ سلسلة من الرسائل التعريفية بين المتصفح والخادم الذي يقدم موقع الويب. بعد هذا يرسل الخادم شهادة رقمية يجب عليك قبولها. طبعا قي الحالات الطبيعة عندما نفتح المواقع التي نعرفها فنحن نقبل هذه الشهادات يدويا ولكن عندما نفتح مواقع مشهورة مثل MSN  GMail  فإن هذه الشهادات تقبل تلقائيا من قبل المتصفح .
المشكلة  تكمن أن منظمة EFF  التطوعية لحماية الحقوق الرقمية غلى النترنت اكتشفت ان عدد الجهات التي ستقبل بها المتصفحات تلقائيا عبارة  عن 600 مؤسسة ( بين حكومية وتجارية). يعنى ان هذه المنظمات تقدر ان تنشئ اي شهادة رقمية يمكن ان تقبل تلقائيا من قبل المتصفح وافتراض انك فعلا تتحدث مع الجهة المطلوبة  بامان مع ان واقع الحال انك تتحدث مع إحدى المؤسسات ال600  التي يمكنها قراءة البيانات

شركة سامر لخدمات الانترنت (مثال)

تخيل ان شركة سامر لخدمات الانترنت (ABC company)  هي إحدى هذه الجهات ال600  وتقدم خدمة الانترنت إلى بيتك. تخيل انك اردت فتح الايميل الخاص  بك  وحاولت فتح الايمل الخاص بك (HTTPS://gmail.com)  فتستقبل ABC  طلب ال HTTPs وتقوم بإعادة إرسال شهادة رقمية إليك باسم شركة ABC يقوم متصحك بالموافقة عليك تلقائيا  في هذه الحالة تستطيع شركة ABC  ان تكون Man in the middle  بينك و بين Gmail  دون ان تحس  لأنك سترى القفل على المتصفح ويطمئن قلبك لأنك تستخدم  https.  في هذه الحالة ستسمح لك الشركة بتكملة اتصالك ولكنك ستكون مراقبا !!!!!!!
وبالفعل هناك تطبيق تجاري من شركة Packet Forensic التي تبيع  منتجا لمراقبة ال  SSL   وما خفي كان أعظم

نصيحة لوجه الله تعالى

نصيحتي يا شباب استخدام PGP  مجددا  لتشفير الايميلات في حال احتوائها غلى معلومات شخصية أو صور عائلي والحذر الشديد عند استعمال ال SSL  وربما البحث عن متصفح يتأكد فعليا من الشهادة الرقمية التي تستعملها هي فعلا الشهادة الحقيقية وليست من جهة تود مراقبتك  أو ربما عن Plug in   في المتصفح توضح  الجهة المصدرة للشهادة !!
طبعا بعد قليل سينتبه المخربين إلى هذا  الإجراء غير الصحيح ويخترعون طريقة لإستغلاله !!!!!
الله يستر ويبق ال VPN  اّمنا !!!!!!

المصادر:

نبذة عن الكاتب

يعمل حالياً كمهندس نظم. مهتم بأمن الأنظمة و أنظمة و عمليات الحماية و إدارة أمن المعلومات. حاصل على الماجستير في إدارة النظم الهندسية و بكالوريوس في هندسة الحاسب الاّلي من الجامعة الامريكية في الشارقة

التعليقات:

اترك تعليقاً | عدد التعليقات: (10)

  1. مقال جميل اخي سامر.

    دمت بود ..

  2. يقول بشار:

    هجمات قرد المنتصف الموجّهة ضد SSL قديمة. هناك العديد من البرامج التي يمكنها تسهيل العملية سواء داخل الشبكة الدّاخليّة لشركة ما، أو على مستوى موزّع الخدمة.

    لكن الطّريقة المذكورة هنا هي الأكثر خطورة من بين جميع الطرق التي سمعت بها. وهي تجعل SSL نظاماً غير آمن.

    بارك الله فيك أخي سامر على هذا الخبر

  3. مشكور اخي سامر مقال رائع جداً … ونصيحة ممتازة لجميع القراء …
    فعلا إننا في عصر لم يعد هناك أي شيء آمن فيه ! هذا على فرض كان في السابق شيء من الآمان 🙁

    مجرد إضافة لا اعلم إن كانت تناسب هذا الموضوع ام لا، ولكن هل تعلمون بإنه حتى نوعية الشهادة باتت اليوم محل تدقيق وإهتمام المدققين؟ خاصة حين تريد تحقيق سياسات معينة مثل PCI … وأكتشفت هذا الشيء بصراحة حين قمت بتغيير المدقق، في السابق كنت أتعامل مع شركة McAfee واليوم مع شركة Qualys … وبصراحة الفرق شاسع بين الأثنين في الكثير من الأمور … ربما احتاج الى موضوع خاص بها !

    تحياتي للجميع … وشكراً مرة اخرى أخي سامر …

    • يقول GNOM:

      والله يابو محمد هذا البحث لازم افهمه بالتفصيل الممل

      ننتظرك بعد عيد الفطر وكل عام وانت بخير استاذي الغالي

  4. يقول XxRa3eDxX:

    السلام عليكم

    بالفعل عندما جربت لاول مرة فكرة تخطي ال ssl كانت في البدايه المشكلة في المتصفح الذي يكشف الشهاده المزوره

    وبعد ذلك ظهرت الطرق والافكار لتخطي هذه المشكلة

    واصبح اسهل حتى من جلب المعلومات العادية ..

    فستجد ان جميع كلمات المرور حتى غير مشفرة باي نوع وواضحه تماما

    الله يستر فعلا ^_^

  5. يقول GNOM:

    انا لما أكون على شبكة vpn اتسلى بالعالم على نفس الشبكة وقت الفراغ 🙂

    ما اتوقعت بصراحة انه أقدر اخترق أجهزة على شبكات vpn

    والأكثر من ذلك كشف روترات vpn الشبكة المخدمة لشركة الاتصالات

    لذلك حتى VPN لسيت بذلك الأمان وما عاد لي ثقه فيه

  6. يقول GNOM:

    طبعا الاختراقات اللي نفذتها كانت على سيرفرات witopia.net

  7. يقول أحمد حسن:

    شكرا سامر موضوع رائع بصراحة 🙂

    بالفعل هي مشكلة خطيرة جدا بل هي أفضل من keylogger لمراقبة الإتصال و معرفه كل ما تقوم بعملة عن طريق متابعة Traffic المرسل خلال SSL و عمل decoding له يمكن من معرفة كل ما يقوم المستخدم بعمله .

    لكن في اعتقادي لو تكلمنا عن شركة مثل Etisalat او اي مزود خدمة انترنت ISP هو في الأصل لدية القدرة على عمل ذلك دون الحاجة لمتابعة المستخدمين عن طريق fake ssl connection و إرسال CA Cert لخداع بها المتصفح .

    و ايضا في رأي الموضوع لا يمكن ان يحدث من خلال الـ 600 مؤسسة الا اذا استطاعت ان يكون لديها امكانية لفعل ذلك والا اصلا كيف سوف تقوم بعملية إرسال fake ca cert مثلا اذا حاولت ان اقوم بزيارة https://gmail.com و هي لا تستيطع ان تصل لعملية sniffing او fake proxy للترافيك الخاص بالإتصال 🙂

    و انا دائما في عملي افضل بأستخدام Self-Signed Certs و اقبل التحذير من المتصفح افضل من استخدام Signed CA certs و الموثق عليها من الشركات مثل verisign , comodo و غيرها .

    فمثل هذه الشركات تستيطع التعاون مع مؤسسات أخرى و تصل إلى مراقبتك ايضا و هي لديها CA Cert و تستطيع عمل Decoding SSL و مراقبة كل ما تقوم بعملة .

  8. يقول خلاصات:

    إشاعة : عيون مايكروسوفت على شركة Symantec…

    I found your entry interesting thus I’ve added a Trackback to it on my weblog :)…

  9. شكرا أخي سامر على المقال الجميل فعلا موضوع في غاية الأهمية وفعلا أدهم صبري كان دائما محق 🙂 لايوجد جهاز أمني خالي من الثغرات
    ولكن المشكلة الاكبر برائي ليست في الأيميلات أو الصور بل في كلمات السر وأرصدة البنوك

أكتب تعليق