يكشف خرق الثقة في شهادة المرجع عن الضعف في التسلسلات الهرمية لثقة الإنترنت

[ware_item id=33][/ware_item]

يكشف خرق الثقة في شهادة المرجع عن الضعف في التسلسلات الهرمية لثقة الإنترنت


في أواخر مارس 2015 ، كان هناك خرق أمني كبير يتعلق بشهادات رقمية غير مصرح بها تنتحل صور Google. هذا الحادث له آثار بعيدة المدى على كيفية تحديد الأشخاص العاديين لمن يثقون به على الإنترنت.

في هذا المنشور ، سنحاول توضيح سبب أهمية ذلك للمستخدمين النهائيين مثلك.

ماذا حدث ، باختصار

اكتشفت Google عمليات تزوير عالية الجودة لشهادات SSL لنطاقات Google. كانت عمليات التزوير جيدة جدًا لدرجة أنها تمكنت من خداع معظم المتصفحات ، مما قد يسمح للمهاجم بانتحال شخصية Google وغيرها من المجالات ، مما يحتمل حتى خداع المستخدمين لكشف كلمات المرور الخاصة بهم. لحسن الحظ ، كانت عمليات التزوير موجودة فقط في بيئة اختبار مغلقة.

من المفترض أن يكون إصدار مثل هذه الشهادات الرقمية المزيفة - حتى في بيئة الاختبار - شبه مستحيل ، وذلك بفضل العمليات الصارمة المعمول بها للتحقق من هويات حاملي الشهادات. وبالتالي فإن حقيقة حدوث هذا أمر كبير للغاية ، وهذا يعني أنه يمكن أن يحدث مرة أخرى ، وأنه ربما حدث من قبل للمنظمات الأخرى ولكن لم يلاحظه أحد.

يستجيب Google من خلال تحديث متصفح Google Chrome الخاص به بحيث لم يعد يثق في سلطة الشهادة المحددة المعنية (تسمى CNNIC) ؛ إنها تزيل شهادات الجذر الخاصة بـ CNNIC من منتجاتها. لن تثق Mozilla (منشئ Firefox) في جميع شهادات CNNIC الجديدة حتى يتم إعادة تطبيق CNNIC بنجاح لإدراجها في متجرها الجذر.

تنشيطية: إليك ما يحدث عند زيارة موقع بشهادة SSL صالحة

سيساعدنا على فهم مستوى عالٍ لما يحدث عندما نذهب إلى موقع ويب باستخدام https ويظهر لنا متصفحنا علامة اختيار أو قفل أخضر يقول أن هذا الموقع آمن.

  1. يمكنك كتابة https://www.google.com في متصفح الويب الخاص بك.
  2. يصل مستعرض الويب الخاص بك إلى دليل عام يسمى DNS للبحث عن عنوان IP الذي يجب استخدامه للاتصال بـ google.com.
  3. يتصل مستعرض الويب الخاص بك بالخادم على عنوان IP الذي تلقاه من DNS.
  4. يستجيب الخادم بشهادة SSL.
  5. يستخدم مستعرض الويب لديك شهادة SSL هذه لتحقيق شيئين مهمين للغاية:
    1. ويؤكد هوية الخادم. في هذه الحالة ، تؤكد أن الخادم تديره Google فعلاً ؛ و
    2. تقوم بإعداد قناة اتصال مشفرة ، بحيث يتم تشفير البيانات المرسلة بين المتصفح والخادم. يمكن لأي شخص يستمع على الشبكة أن يرى أنك تتواصل مع Google ، لكن لا يمكنه النظر إلى محتويات اتصالك.

إذا كانت شهادة SSL صالحة ، فسوف يعرض متصفحك علامة اختيار خضراء مألوفة أو قفل على شريط العنوان.

آه ، القفل الأخضر.آه ، القفل الأخضر.

ومع ذلك ، إذا تمكن أحد المهاجمين من خداع متصفحي في الاتصال بخادم مزيف ، فسوف يلاحظ المستعرض الخاص بك أن شهادة SSL هي غير صالحة, وسوف تظهر لك تحذير أمني.

إليك ما يحدث عندما تكون شهادة طبقة المقابس الآمنة عبارة عن تزوير عالي الجودة (تلميح: متصفحك لن يلاحظ)

إليك سبب أهمية الإعلان من Google: تمكنت MCI Holdings من إنشاء شهادات SSL مزيفة لـ Google والتي كانت واقعية إلى حد أنه يمكن أن يخدع معظم متصفحات الويب إلى الاعتقاد بأن موقع الويب على خادم مزيف هو في الواقع Google. هذا يجب أن يحدث بشكل مثالي أبدا. ولكن عندما يحدث ذلك ، هذا ما سيبدو عليه:

  1. يمكنك كتابة https://www.google.com في متصفحك.
  2. يقوم مهاجم بخداع خادم DNS الخاص بك لإعطائك عنوان IP غير الصحيح لـ google.com. يمكنهم القيام بذلك عن طريق استغلال الأخطاء في جهاز التوجيه المنزلي أو أجهزة التوجيه الأخرى في الشبكة أو الأخطاء الموجودة في خادم DNS نفسه (عادة ما يتم تشغيلها بواسطة ISP) أو بطرق أخرى مختلفة.
  3. يتصل مستعرض الويب الخاص بك بالخادم المزيف.
  4. يستجيب الخادم المزيف بشهادة SSL وهمية. ومع ذلك ، فإن الشهادة مزيفة عالية الجودة بحيث يعتقد المستعرض أنها صالحة.
  5. سيعرض المتصفح علامة اختيار خضراء أو قفلًا في شريط العناوين.
    1. عندما تكون شهادة طبقة المقابس الآمنة (SSL) عبارة عن تزوير عالي الجودة لا يمكن اكتشافه ، فستعتقد أنك ومتصفحك أنه في الواقع GMail ...عندما تكون شهادة طبقة المقابس الآمنة (SSL) عبارة عن تزوير عالي الجودة لا يمكن اكتشافه ، فستعتقد أنك ومتصفحك أنه في الواقع بريد إلكتروني ...
  6. يمكنك كتابة اسم مستخدم Google وكلمة المرور الخاصة بك في نسخة عالية الجودة من GMail ، وبالتالي إرسالها إلى المهاجم ، الذي يتحكم الآن في جميع بيانات Google بما في ذلك البريد الإلكتروني والمستندات والصور وجهات الاتصال وأي شيء آخر مرتبط بحسابك في Google.

كيف تقرر متصفحات الويب ما إذا كانت شهادة SSL صالحة ، على أي حال?

يأتي كل نظام تشغيل وهاتف ذكي ومتصفح ويب مثبتًا مسبقًا بقائمة من بضع عشرات من الشركات أو الحكومات التي ستثق بها تواقيعها الرقمية تلقائيًا ، ما لم يتم تكوينها بخلاف ذلك (المزيد حول هذا لاحقًا). تسمى هذه الشركات الموثوق بها "المراجع المصدقة" أو "المراجع المصدقة" ، ويجب أن تفي بالمعايير التفصيلية لتكون جزءًا من تلك القائمة.

سلسلة المفاتيح الوصول إلى النظاميمكنك الوصول إلى هذا عن طريق الذهاب إلى Spotlight > وصول المفاتيح > جذور النظام.

إذا قدم موقع ويب شهادة موقعة من قبل أي من هذه الجهات المصدقة للشهادات الموثوق بها ، فسوف تفسر متصفحات الويب ذلك على أنه "أرى توقيع مرجع الشهادة هذا الذي أعددته مسبقًا ليثق به. لقد وقعت على شهادة هذا الخادم. هذا يعني أنه قد تحقق من الأشخاص الذين يقفون وراء هذا الخادم وأكد أنهم حقًا من يدعون أنهم. لذلك ، أنا أثق في هذه الشهادة أيضًا ، وأعرض علامة الاختيار الخضراء أو أقفال المستخدم ".

إنه يساعد على اعتبار هيئات الشهادات مماثلة للهيئات الموثوقة المركزية التي تصدر وثائق الهوية مثل جوازات السفر. عندما تتقدم بطلب للحصول على جواز سفر ، فأنت بحاجة إلى إحضار المستندات الداعمة مثل شهادة ميلادك ورخصة القيادة الخاصة بك وصورة فوتوغرافية ، وربما يتعين عليك القيام بذلك شخصيًا حتى يتمكنوا من التحقق من أنك الشخص الموجود في صورتك. عند السفر ، تستخدم جواز سفرك كوثيقة هوية. تثق الحكومات والفنادق وشركات الطيران في أنك الشخص الذي يؤكد لك جواز سفرك.

يمكنك أن تفكر في المرجع المصدق على أنه يشبه مكتب إصدار جواز السفر ، ويمكنك أن تفكر في الشهادة الرقمية كنوع من جواز السفر ، أو مستند الهوية ، لموقع ويب. جواز السفر (مثالي) يصعب تزويره ، وله تواريخ انتهاء الصلاحية. بالطريقة نفسها ، يجب أن تكون الشهادات الرقمية (من الناحية المثالية) صعبة التزوير ، وكذلك تواريخ انتهاء الصلاحية. بعد تاريخ انتهاء الصلاحية ، أصبحت جوازات السفر والشهادات الرقمية غير صالحة.

لا يمكننا اعتبار من تثق به متصفحاتنا وأجهزة الكمبيوتر أمرا مفروغا منه

قد تكون على دراية ببعض المراجع المصدقة التي تم تكوينها مسبقًا لجهاز الكمبيوتر الخاص بك تلقائيًا للثقة ، مثل Symantec و GoDaddy. ولكن هل تعلم أن نظام التشغيل أو المستعرض الخاص بك ربما يتضمن شهادات الجذر للمؤسسات البعيدة مثل مكتب بريد هونج كونج ، وهي منظمة من هولندا تدعى Staat der Nederlanden Root CA ، والعديد من الحكومات في جميع أنحاء العالم؟ (إذا كنت فضوليًا ، فإليك قائمة بالمنظمات الموثوقة من قِبل Firefox).

المخاطرة هي ما يحدث عندما توقع إحدى سلطات الشهادة تلك مزور شهادة من منتحل من خلال الإهمال (وهو ما يبدو أنه حدث مع كارثة CNNIC / MCS Holdings / Google) ، أو حتى من خلال الخبث.

هل حان الوقت لإعادة النظر في من نثق به على الإنترنت?

تتدفق الثقة على الإنترنت بشكل عابر. نحن نثق في مطوري أنظمة التشغيل ومتصفحات الويب لدينا ؛ نحن نثق في شركات مثل Google التي تتعامل مع بياناتنا على الإنترنت ؛ ونحن نثق في العديد من جهات إصدار الشهادات للتحقق بعناية من هوية مواقع الويب المختلفة وإصدار شهادات طبقة المقابس الآمنة لمالكيها الشرعيين فقط.

تبرز حالة شهادات Google المزورة أهمية مراجعة أي من شهادات الشهادات التي نحتاج حقًا إلى المتصفحات الخاصة بنا لتثق بها. بناءً على مواقع الويب التي تزورها عادةً ، قد تكون مجموعة المراجع المصدقة التي تعتمد عليها بالفعل أصغر بكثير من المجموعة الموثوقة مسبقًا على جهاز الكمبيوتر الخاص بك.

إليك ما يمكنك القيام به حيال هذا:

  1. ضع في اعتبارك تعطيل بعض شهادات الجذر التي تمت تهيئتها مسبقًا على جهاز الكمبيوتر الخاص بك. على سبيل المثال ، إذا كنت لا تتصفح مواقع الويب في هولندا ، فمن المحتمل أن تقوم بتعطيل السلطة المسماة "حكومة هولندا ، PKIoverheid" التي ربما يكون متصفحك مضبوطًا عليها حاليًا. نقترح أيضًا تعطيل شهادة الجذر لـ CNNIC.
  2. فكر في جعل Chrome المتصفح الافتراضي ، نظرًا لأن لدى Google سجل حافل من اليقظة والاستجابة السريعة للثقة في الخروقات.
  3. اتبع مشاريع مثل مشروع شفافية شهادات Google ، الذي يقوم بإنشاء حل تقني لإشعار الشهادات المزورة بشكل أسرع. على مدار الأشهر والسنوات القادمة ، ستنشئ مثل هذه المشروعات مكونات إضافية وتحسينات للمتصفحات وأنظمة التشغيل لحل بعض هذه المشكلات ، لكن هذه الحلول غير متوفرة بشكل كامل اليوم.
  4. في غضون ذلك ، تذكر استخدام VPN. يحميك من بعض الطرق الممكنة التي قد يحاول بها المهاجم استخدام شهادة SSL مزورة عليك. على سبيل المثال ، تجعل VPN من الصعب على المهاجم التلاعب بنتائج DNS الخاصة بك.

قراءة متعمقة:

ما هي شهادات المراجع & الثقة التسلسل الهرمي؟ | GlobalSign
مشروع شفافية شهادات Google

يكشف خرق الثقة في شهادة المرجع عن الضعف في التسلسلات الهرمية لثقة الإنترنت
admin Author
Sorry! The Author has not filled his profile.