الكاتب: سامر مقدادي | يوم: 04 سبتمبر, 2010 | التعليقات: 10 | القراءات: - عدد المشاهدات 14٬764
أخيرا لا شيء اّمن … حتى SSL..
هناك سرين احدهما خاص بي والاّخر عام يمثل خطورة كبيرة..
السر الأصغر.. قديم منذ الصغر
السر الأول وهو خاص بي… أنا من صغري حتى الاّن معجب بكتابات الدكتور
نبيل فاروق… المهم أن الدكتور نبيل فاروق دائما يذكرنا عن طريق بطله الخيالي المستوحى من الواقع
أدهم صبري أنه ” لايوجد نظام آمن لا يمكن إختراقه”. هذه العبارة قفزت إلى ذهني عندما قرأت الخبر الخطير عن SSL ..
السّر الأكبر. قديم ولكن لم يكن خطيرا
كنت دائما أفترض ان SSL و VPN هماالطرق الوحيدة الباقية الاّمنة في هذا الزمان لإخفاء اتصالتنا سواء من المخترقين أو لتبادل معلومات لانريد لأي أحد ان يقرأها (اقصد الأخ الأكبر).
ما اكتشفته الباحثون مؤخرا بدهشة كبيرة أن هناك عيبا في SSL.. ربما ليس ثغرة و ربما ليس عيبا برمجيا (BUG) وليس مخترقا ذكيا اكتشف هجوما جديدا انما هو طريقة مراقبة وانعدام ثقة من مؤسسات كبيرة. هذه المشكلة موجودة في طريقة عمل SSL وهي معروفة منذ زمن وهي لاتتعدى بعض المحاولات الاكاديمية التي تحتاج إلى ظروف خاصة لتنفيد هجوم Man in the middle attack من أشهرها:
1-
SSL MITM proxy وهو عبارة عن بروكسي يعيد تحويل البيانات المبعوثة عن طريق SSL
حتى الاّن كل هذه المحاولات كانت عبارة عن محاولات ولكن طريقة عمل SSL اثيتت قدرتها على تفادي هذه الطرق اذا تم تنفيذها بطريقة صحيحة
شرح العيب:
بسبب ثقة الناس الزائدة التي أظن انها مبررة با
SSL اصبح معظم متصفحات الانترنت (BROWSERS) تدعم هذا البروتوكول ومعظم المواقع التجارية (
www.amazon.com) وحتى المواقع التي تقدم خدماتها مجانا أصبحت تقدم خدماتها عن طريق SSL لزيادة ثقة المستخدمين واستقطابهم (
https://google.com ). كل هذا جميل ومفهوم. لشرح العيب أود ان أقدم موجزا عن الSSL.
نظرة على SSL
بروتوكول SSL في أغلب حالته يبدأ حينما تطبع عنوان يبدأ ب HTTPS في متصفحك مثلا
HTTPS://google.com في هذه الحالة تبدأ سلسلة من الرسائل التعريفية بين المتصفح والخادم الذي يقدم موقع الويب. بعد هذا يرسل الخادم شهادة رقمية يجب عليك قبولها. طبعا قي الحالات الطبيعة عندما نفتح المواقع التي نعرفها فنحن نقبل هذه الشهادات يدويا ولكن عندما نفتح مواقع مشهورة مثل MSN GMail فإن هذه الشهادات تقبل تلقائيا من قبل المتصفح .
المشكلة تكمن أن منظمة EFF التطوعية لحماية الحقوق الرقمية غلى النترنت اكتشفت ان عدد الجهات التي ستقبل بها المتصفحات تلقائيا عبارة عن 600 مؤسسة ( بين حكومية وتجارية). يعنى ان هذه المنظمات تقدر ان تنشئ اي شهادة رقمية يمكن ان تقبل تلقائيا من قبل المتصفح وافتراض انك فعلا تتحدث مع الجهة المطلوبة بامان مع ان واقع الحال انك تتحدث مع إحدى المؤسسات ال600 التي يمكنها قراءة البيانات
شركة سامر لخدمات الانترنت (مثال)
تخيل ان شركة سامر لخدمات الانترنت (ABC company) هي إحدى هذه الجهات ال600 وتقدم خدمة الانترنت إلى بيتك. تخيل انك اردت فتح الايميل الخاص بك وحاولت فتح الايمل الخاص بك (
HTTPS://gmail.com) فتستقبل ABC طلب ال HTTPs وتقوم بإعادة إرسال شهادة رقمية إليك باسم شركة ABC يقوم متصحك بالموافقة عليك تلقائيا في هذه الحالة تستطيع شركة ABC ان تكون Man in the middle بينك و بين Gmail دون ان تحس لأنك سترى القفل على المتصفح ويطمئن قلبك لأنك تستخدم https. في هذه الحالة ستسمح لك الشركة بتكملة اتصالك ولكنك ستكون مراقبا !!!!!!!
وبالفعل هناك تطبيق تجاري من شركة
Packet Forensic التي تبيع منتجا لمراقبة ال SSL وما خفي كان أعظم
نصيحة لوجه الله تعالى
نصيحتي يا شباب استخدام PGP مجددا لتشفير الايميلات في حال احتوائها غلى معلومات شخصية أو صور عائلي والحذر الشديد عند استعمال ال SSL وربما البحث عن متصفح يتأكد فعليا من الشهادة الرقمية التي تستعملها هي فعلا الشهادة الحقيقية وليست من جهة تود مراقبتك أو ربما عن Plug in في المتصفح توضح الجهة المصدرة للشهادة !!
طبعا بعد قليل سينتبه المخربين إلى هذا الإجراء غير الصحيح ويخترعون طريقة لإستغلاله !!!!!
الله يستر ويبق ال VPN اّمنا !!!!!!
المصادر:
مقال جميل اخي سامر.
دمت بود ..
هجمات قرد المنتصف الموجّهة ضد SSL قديمة. هناك العديد من البرامج التي يمكنها تسهيل العملية سواء داخل الشبكة الدّاخليّة لشركة ما، أو على مستوى موزّع الخدمة.
لكن الطّريقة المذكورة هنا هي الأكثر خطورة من بين جميع الطرق التي سمعت بها. وهي تجعل SSL نظاماً غير آمن.
بارك الله فيك أخي سامر على هذا الخبر
مشكور اخي سامر مقال رائع جداً … ونصيحة ممتازة لجميع القراء …
فعلا إننا في عصر لم يعد هناك أي شيء آمن فيه ! هذا على فرض كان في السابق شيء من الآمان 🙁
مجرد إضافة لا اعلم إن كانت تناسب هذا الموضوع ام لا، ولكن هل تعلمون بإنه حتى نوعية الشهادة باتت اليوم محل تدقيق وإهتمام المدققين؟ خاصة حين تريد تحقيق سياسات معينة مثل PCI … وأكتشفت هذا الشيء بصراحة حين قمت بتغيير المدقق، في السابق كنت أتعامل مع شركة McAfee واليوم مع شركة Qualys … وبصراحة الفرق شاسع بين الأثنين في الكثير من الأمور … ربما احتاج الى موضوع خاص بها !
تحياتي للجميع … وشكراً مرة اخرى أخي سامر …
والله يابو محمد هذا البحث لازم افهمه بالتفصيل الممل
ننتظرك بعد عيد الفطر وكل عام وانت بخير استاذي الغالي
السلام عليكم
بالفعل عندما جربت لاول مرة فكرة تخطي ال ssl كانت في البدايه المشكلة في المتصفح الذي يكشف الشهاده المزوره
وبعد ذلك ظهرت الطرق والافكار لتخطي هذه المشكلة
واصبح اسهل حتى من جلب المعلومات العادية ..
فستجد ان جميع كلمات المرور حتى غير مشفرة باي نوع وواضحه تماما
الله يستر فعلا ^_^
انا لما أكون على شبكة vpn اتسلى بالعالم على نفس الشبكة وقت الفراغ 🙂
ما اتوقعت بصراحة انه أقدر اخترق أجهزة على شبكات vpn
والأكثر من ذلك كشف روترات vpn الشبكة المخدمة لشركة الاتصالات
لذلك حتى VPN لسيت بذلك الأمان وما عاد لي ثقه فيه
طبعا الاختراقات اللي نفذتها كانت على سيرفرات witopia.net
شكرا سامر موضوع رائع بصراحة 🙂
بالفعل هي مشكلة خطيرة جدا بل هي أفضل من keylogger لمراقبة الإتصال و معرفه كل ما تقوم بعملة عن طريق متابعة Traffic المرسل خلال SSL و عمل decoding له يمكن من معرفة كل ما يقوم المستخدم بعمله .
لكن في اعتقادي لو تكلمنا عن شركة مثل Etisalat او اي مزود خدمة انترنت ISP هو في الأصل لدية القدرة على عمل ذلك دون الحاجة لمتابعة المستخدمين عن طريق fake ssl connection و إرسال CA Cert لخداع بها المتصفح .
و ايضا في رأي الموضوع لا يمكن ان يحدث من خلال الـ 600 مؤسسة الا اذا استطاعت ان يكون لديها امكانية لفعل ذلك والا اصلا كيف سوف تقوم بعملية إرسال fake ca cert مثلا اذا حاولت ان اقوم بزيارة https://gmail.com و هي لا تستيطع ان تصل لعملية sniffing او fake proxy للترافيك الخاص بالإتصال 🙂
و انا دائما في عملي افضل بأستخدام Self-Signed Certs و اقبل التحذير من المتصفح افضل من استخدام Signed CA certs و الموثق عليها من الشركات مثل verisign , comodo و غيرها .
فمثل هذه الشركات تستيطع التعاون مع مؤسسات أخرى و تصل إلى مراقبتك ايضا و هي لديها CA Cert و تستطيع عمل Decoding SSL و مراقبة كل ما تقوم بعملة .
إشاعة : عيون مايكروسوفت على شركة Symantec…
I found your entry interesting thus I’ve added a Trackback to it on my weblog :)…
شكرا أخي سامر على المقال الجميل فعلا موضوع في غاية الأهمية وفعلا أدهم صبري كان دائما محق 🙂 لايوجد جهاز أمني خالي من الثغرات
ولكن المشكلة الاكبر برائي ليست في الأيميلات أو الصور بل في كلمات السر وأرصدة البنوك