اختراق شهادات آمان Comodo

قبل عدّة أيام تعرضت شركة Comodo لاختراق أدى الى خرق خطير جدّاً لشهادات بعض المواقع الشهيرة. الشهادات يتمّ اصدارها من قبل شركات تسجيل الشهادات لتؤكد للمستخدم أن الموقع الذي يقوم بزيارته هو بالفعل الموقع الذي يريده المستخدم. في حال تم الاستيلاء على الشهادة من قبل طرف ثالث، يصبح بامكان هذا الطرف الادعاء بأنّه الموقع الأصلي ويصبح اتصال المستخدم وكأنه يتمّ بدون تشفير.

بعض المواقع التي تمّكن القرصان من اصدار شهادات لها هي:

login.live.com
mail.google.com
www.google.com
login.yahoo.com
login.skype.com
addons.mozilla.org

تمكنت شركة Comodo من اكتشاف الاختراق بسرعة والاعلان عنه، كذلك قامت مايكروسوفت باصدار ترقيع يحتوي على الشهادات الجديدة ويلغي الشهادات القديمة التي تمّ الاستيلاء عليها.

الى حدّ الآن تبدو القصة عادية. عملية اختراق مثل أي عملية اختراق أخرى. وهذا صحيح. ولكن الجديد في الأمر هو الهدف. فالهدف صعب خصوصاً عندما يتمّ الحديث عن  SSL والشهادات والثقة التي يضعها المستخدم في الشهادات وفي الشركات التي تقوم باصدار هذه الشهادات. فعندما يتمّ الاستيلاء عليها، لا يوجد مكان بعد ذلك لخصوصية المستخدم، فاتصالاته التي يعتقد أنها مشفرة ليست كذلك. ومحادثته التي يظنّ أنّها آمنة.

عندما قام القرصان (والذي تبيّن لاحقاً أنّ ايراني) بالاعلان عن اختراقه شكك الكثيرون بقدراته فقام بوضع ملف بعد عمل الهندسة العكسية له وهو ملف تستخدمه Comodo وقام هو ايضاً باستخدامه. الطريف هنا أن الملف يحتوي على اسم مستخدم وكلمة مرور تركهما المطورون في الملف واستفاد منهما القرصان. طبعاً وضع الملف لم يكن كافياً لدى البعض ولهذا قام بوضع شرح اضافي لكيفية تنفيذه للاختراق وكذلك المفتاح السّري والذي يدلّ بشكل أكيد على أنّه بالفعل هو من قام بهذا الهجوم.

عند اصدار الشهادات يقوم طالب الشهادة بعلمية انشاء طلب وهو في العادة ملف من امتداد CSR يحتوي على معلومات حول الشهادة وطالبها، وكذلك في نفس العملية يتمّ توليد المفتاح السّري. يقوم الطالب بارسال ملف CSR الى الشركة التي تقدم الشهادات (في هذه الحالة Comodo) ولكن يبقى المفتاح السّري لديه. هذا المفتاح ليس متاح لأحد سوى لطالب الشهادة. كون القرصان لديه هذا الملف فهذا يثبت أنّه تمكّن بالفعل من انشاء شهادة خاصة. الشهادة التي تنشرها هي لشركة موزيلا الراعية للمتصفح الشهير فايرفوكس.

ملاحظة: لتفاصيل أكثر حول كيفية التّأكد من أنّه بالفعل قد اصدر الشهادة يمكن الاطلاع على هذا الرّابط

قام احد خبراء أمن المعلومات والذي تابع القصة منذ بدايتها باجراء مقابلة مع القرصان والذي ذكر في أول اعلان عن هجومه أنّه قام بهذا الفعل ردّاً على الهجوم الذي تعرضت له ايران قبل بضعة شهور من قبل دودة Stuxnet.

احد الدروس التي ينبغي أن يخرج المرء بها من هذه الحوادث هو أنّه ينبغي عليه كصاحب شركة أو موظف أو خلافه أن لا يثق بإجراءات الأمان حتى لو كانت لشركة أمنية يفترض بداهة انّها تقوم بإجراءات أمنية مشددة. فالقرصان تمكن من استغلال ثغرة حقن قواعد بيانات ساعدته في رفع صلاحيّاته ومن ثمّ الدخول الى الخادم بواسطة RDP (دخول عن بعد لسطح المكتب).

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (7)

  1. seedrom193 قال:

    الله يجزيك الخير على هذا
    الموضوع المفيد
    و فعلا عالم الأمان ليس فيه شخص لا يخترق أو محصن نفسه 100%
    فحتى شركات الحماية تتعرض لهجمات

  2. بركات قال:

    هل فعلاً أنه هناك خطر يصل لمرحلة التهديد العام , إن لم أكن مخطئ أن ﻻعلاقه لها بتشفير
    البيانات المرسله. اليست وظيفة شهادات الـ SSL فقط تعريف الخادم بأنه خادم آمن؟ طبعاً
    بالاضافه الى تشويها مواقعنا وإبرازها كمواقع هجوم فقط لأننا لم ندفع $$ قيمت الشهاده p:

  3. بشار قال:

    أخي بركات، هناك عدّة أنواع من الشهادات منها ما بين الخادم والعميل ويقلّ استخدامها (على الاقل هذه الأيام) ومنها ما يثبت انّ الموقع هو بالفعل ما يدّعيه. لكن يجب الإشارة الى ان المتوقع هو أن حركة البيانات بين المستخدم والخادم تكون مشفّرة لأنها لو كانت قائمة على التعريف بالخادم فقط لكان بإمكان أن شخص أن يستمع للاتصال بين الخادم والمستخدم ويطلع على المعلومات التي يتمّ تبادلها (اسم مستخدم، كلمة مرور، معلومات مالية، الخ).

    ولهذا خطر تزوير شهادة يعني أنّه بامكان المهاجم الحصول على كافة البيانات التي يفترض أنّها سريّة (مشفّرة).

  4. حاقد قال:

    تستاهل شركة فاشلة طول حياتها

  5. M-Elmasry قال:

    السلام عليكم ورحمة الله
    موضوع قيم جدا جدا
    هل تعتقد ان نظام الشهدات SSlهيتم اعادة النظر فيه ام انهامشكلة تامين موقع فقط ؟؟؟

  6. […] الذي تعرّضت له DigiNotar يعيد إلى الإضواء الذي الإختراق الذي تعرضت له Comodo والتي تعدّ إحدى أكبر الشركات […]

  7. […] قمنا بتغطية الهجمات التي تعرض لها مُصدرا شهادات SSL كمودو و ديجناتور. شهادات كمودو أعلن عنها قرصان إيراني شكك […]

أكتب تعليق