اختراق شهادات آمان Comodo

قبل عدّة أيام تعرضت شركة Comodo لاختراق أدى الى خرق خطير جدّاً لشهادات بعض المواقع الشهيرة. الشهادات يتمّ اصدارها من قبل شركات تسجيل الشهادات لتؤكد للمستخدم أن الموقع الذي يقوم بزيارته هو بالفعل الموقع الذي يريده المستخدم. في حال تم الاستيلاء على الشهادة من قبل طرف ثالث، يصبح بامكان هذا الطرف الادعاء بأنّه الموقع الأصلي ويصبح اتصال المستخدم وكأنه يتمّ بدون تشفير.

بعض المواقع التي تمّكن القرصان من اصدار شهادات لها هي:

login.live.com
mail.google.com
www.google.com
login.yahoo.com
login.skype.com
addons.mozilla.org

تمكنت شركة Comodo من اكتشاف الاختراق بسرعة والاعلان عنه، كذلك قامت مايكروسوفت باصدار ترقيع يحتوي على الشهادات الجديدة ويلغي الشهادات القديمة التي تمّ الاستيلاء عليها.

الى حدّ الآن تبدو القصة عادية. عملية اختراق مثل أي عملية اختراق أخرى. وهذا صحيح. ولكن الجديد في الأمر هو الهدف. فالهدف صعب خصوصاً عندما يتمّ الحديث عن  SSL والشهادات والثقة التي يضعها المستخدم في الشهادات وفي الشركات التي تقوم باصدار هذه الشهادات. فعندما يتمّ الاستيلاء عليها، لا يوجد مكان بعد ذلك لخصوصية المستخدم، فاتصالاته التي يعتقد أنها مشفرة ليست كذلك. ومحادثته التي يظنّ أنّها آمنة.

عندما قام القرصان (والذي تبيّن لاحقاً أنّ ايراني) بالاعلان عن اختراقه شكك الكثيرون بقدراته فقام بوضع ملف بعد عمل الهندسة العكسية له وهو ملف تستخدمه Comodo وقام هو ايضاً باستخدامه. الطريف هنا أن الملف يحتوي على اسم مستخدم وكلمة مرور تركهما المطورون في الملف واستفاد منهما القرصان. طبعاً وضع الملف لم يكن كافياً لدى البعض ولهذا قام بوضع شرح اضافي لكيفية تنفيذه للاختراق وكذلك المفتاح السّري والذي يدلّ بشكل أكيد على أنّه بالفعل هو من قام بهذا الهجوم.

عند اصدار الشهادات يقوم طالب الشهادة بعلمية انشاء طلب وهو في العادة ملف من امتداد CSR يحتوي على معلومات حول الشهادة وطالبها، وكذلك في نفس العملية يتمّ توليد المفتاح السّري. يقوم الطالب بارسال ملف CSR الى الشركة التي تقدم الشهادات (في هذه الحالة Comodo) ولكن يبقى المفتاح السّري لديه. هذا المفتاح ليس متاح لأحد سوى لطالب الشهادة. كون القرصان لديه هذا الملف فهذا يثبت أنّه تمكّن بالفعل من انشاء شهادة خاصة. الشهادة التي تنشرها هي لشركة موزيلا الراعية للمتصفح الشهير فايرفوكس.

ملاحظة: لتفاصيل أكثر حول كيفية التّأكد من أنّه بالفعل قد اصدر الشهادة يمكن الاطلاع على هذا الرّابط

قام احد خبراء أمن المعلومات والذي تابع القصة منذ بدايتها باجراء مقابلة مع القرصان والذي ذكر في أول اعلان عن هجومه أنّه قام بهذا الفعل ردّاً على الهجوم الذي تعرضت له ايران قبل بضعة شهور من قبل دودة Stuxnet.

احد الدروس التي ينبغي أن يخرج المرء بها من هذه الحوادث هو أنّه ينبغي عليه كصاحب شركة أو موظف أو خلافه أن لا يثق بإجراءات الأمان حتى لو كانت لشركة أمنية يفترض بداهة انّها تقوم بإجراءات أمنية مشددة. فالقرصان تمكن من استغلال ثغرة حقن قواعد بيانات ساعدته في رفع صلاحيّاته ومن ثمّ الدخول الى الخادم بواسطة RDP (دخول عن بعد لسطح المكتب).