غوغل ضحيّة هجوم جديد على شهادات SSL

قبل عدّة أيام ذكر مستخدموا بريد غوغل في إيران عن ظهور رسائل حول شهادات مواقع مثل بريد غوغل، ليتبيّن في ما بعد أن أحد مُصدر (DigiNotar) شهادات SSL قدّ تمّ اختراقه ومن ثمّ استخدامه في إصدار شهادات لغوغل بالإضافة الى مئات المواقع من بينها مواقع تابعةللحكومة الهولنديّة.

الشهادة التي تمّ اصدارها من خلال DigiNotar - مصدر الصورة http://pastebin.com/ff7Yg663

كما يظهر في الصورة الشهادة تمّ اصدارها في 10 يوليو (آذار) -هذا لا يعني أنّ الاختراق تمّ في نفس اليوم – والكشف عنه تمّ بعد حوالي أكثر من شهر تقريباً. هذا الاختراق ليس الأول في تاريخ الشّركة فقد وثّقت مدوّنة f-secure حوادث اختراق يعود تاريخها إلى مايو (آيار) 2009.

ملف تركه مخترقوا DigiNotar على أحد خوادمها - المصدر مدوّنة f-secure

وهذه صورة أخرى

ملف آخر تركه المخترقون - المصدر مدوّنة f-secure

ما يجعل الأمر محرجاً أكثر للشّركة هو أنّ هذه الملفات حتى وقت قصير كانت لا تزال على خوادم الشّركة، وهو ما يجعل الأمر أكثر إحراجاً للشّركة.

الاختراق الذي تعرّضت له DigiNotar يعيد إلى الإضواء الذي الإختراق الذي تعرضت له Comodo والتي تعدّ إحدى أكبر الشركات المُصدرة لشهادات SSL. وهو ما يطرح مرّة إخرى أمر مراجعة شهادات SSL والثقة التي يبنيها المستخدمون عليها. فSSL قد بدأ في عام 1995 في مختبرات Netscape في وقت كانت هجمات رجل المنتصف غير ممكنة لعدّة أسباب من ضمنها عدم وجود الأدوات التي تساعد في هذا الهجوم هذا بالإضافة لوجود مُصدر واحد أو مُصدرين لهذه الشهادات في حين اليوم لدينا أكثر من 650 مُصدر شهادات. هذا العدد الكبير من المصدرين والذين يمكنهم اصدار أي شهادة لأي موقع، بالإضافة إلى الإجراءات الأمنيّة التي تتبعها هذه الشركات يضع شهادات SSL تحت المجهر. فقد رأينا مُصدرين للشهادات وقد تمّ اختراقهما لإصدار شهادات لمواقع لم تطلب اصدار هذه الشهادات، فماذا الذي يجعل غوغل تذهب الى شركة صغيرة في هولندا لكي تصدر شهادة عامة شاملة لمواقعها؟ وما هي عملية التدقيق التي تقوم بها الشركات؟ فكيف لم يتنبه القائمون على شركة DigiNotar على أنّه تمّ اصدار شهادات لغوغل من خلالهم؟

هذا بالإضافة الى المتصفحات التي يستخدمها زوّار المواقع والتي تحتوي على العديد العديد من مُصدري الشهادات، فمثل تحتوي بعض المتصفحات على مصدرين مثل الحكومة الصينية والأمريكية والبرازيلية وهو ما يجعل أمر إصدار شهادات باسماء مواقع مثل غوغل هوتميل ممكناً.

في الحالة الإيرانية أمرٌ مشابه لنا عربيّاً من حيث قيام الحكومة بمراقبة مستخدمي الانترنت لديها عبر التعاون مع مزوّدي خدمة الانترنت للاطلاع على عادات التصفح لديهم بالاضافة الى معلومات الدخول الى حساباتهم.

كل هذا طرح بشكل جدّي إيجاد حلٍّ بديل أو على الأقل التقليل من آثار هذه الهجمات عبر التّحكم بالثقة. أحد هذه الحلول هو convergence والذي قام عليه مطور أداة SSLStrip المستخدمة في هجمات رجل المنتصف ضد SSL.

وفق موقع المشروع (والذي لا زال في المرحلة التطويريّة) يمكن للمستخدمين 1- تحميل إضافة فايرفوكس 2- اختيار من تثق به 3- التصفح بشكل آمن. سنحاول إن شاء الله في تدوينات قادمة شرح آلية عمل convergence.

تحديث 1-

قائمة ببعض النطاقات التي تمّ اصدار شهادات لها

*.*.com
*.*.org
*.10million.org
*.android.com
*.aol.com
*.azadegi.com
*.balatarin.com
*.comodo.com
*.digicert.com
*.globalsign.com
*.google.com
*.JanamFadayeRahbar.com
*.logmein.com
*.microsoft.com
*.mossad.gov.il
*.mozilla.org
*.RamzShekaneBozorg.com
*.SahebeDonyayeDigital.com
*.skype.com
*.startssl.com
*.thawte.com
*.torproject.org
*.walla.co.il
*.windowsupdate.com
*.wordpress.com
addons.mozilla.org
azadegi.com
friends.walla.co.il
login.live.com
login.yahoo.com
my.screenname.aol.com
secure.logmein.com
twitter.com
wordpress.com
www.10million.org
www.balatarin.com
www.cia.gov
www.cybertrust.com
www.Equifax.com
www.facebook.com
www.globalsign.com
www.google.com
www.hamdami.com
www.mossad.gov.il
www.sis.gov.uk
www.update.microsoft.com