ثقوب أكثر موجودة في بروتوكول أمان SSL على الويب

وجد باحثو الأمن بعض عيوب خطيرة في البرامج التي تستخدم بروتوكول تشفير SSL (Secure Sockets Layer) المستخدم لتأمين الاتصالات على الإنترنت.

في مؤتمر Black Hat في لاس فيغاس يوم الخميس ، كشف الباحثون عن عدد من الهجمات التي يمكن استخدامها للتنازل عن الأمان حركة المرور بين مواقع الإنترنت والمتصفحات.

هذا النوع من الهجوم يمكن أن يسمح للمهاجم بسرقة كلمات المرور ، أو خطف جلسة مصرفية عبر الإنترنت أو حتى دفع تحديث متصفح فايرفوكس الذي يحتوي على شفرة خبيثة ، كما قال الباحثون.

[مزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

تكمن المشكلات في الطريقة التي نفذت بها العديد من المتصفحات SSL ، وكذلك في نظام البنية التحتية للمفتاح العام X.509 المستخدم لإدارة الشهادات الرقمية المستخدمة بواسطة SSL لتحديد ما إذا كان موقع ويب جديرًا بالثقة أم لا.

أظهر باحث أمان يطلق على نفسه Moxie Marlinspike طريقة لاعتراض حركة مرور SSL باستخدام ما يسميه شهادة إنهاء خالية. للقيام بهجومه ، يجب أن يحصل Marlinspike أولاً على برنامجه على شبكة محلية. وبمجرد تثبيته ، فإنه يبرز حركة مرور SSL ويعرض شهادة إنهاء العقد من أجل اعتراض الاتصالات بين العميل والخادم. هذا النوع من هجوم الرجل في الوسط غير قابل للكشف ، كما قال.

هجوم مارلينسبايك مشابه بشكل ملحوظ لهجوم شائع آخر يُعرف باسم هجوم حقن SQL ، والذي يرسل بيانات معدّة خصيصًا إلى البرنامج على أمل خداعه إلى القيام بشيء لا يجب أن يفعله عادة. وجد أنه إذا أنشأ شهادات لنطاق إنترنت خاص به يتضمن أحرفًا فارغة - غالباً ما يتم تمثيلها مع 0 - فإن بعض البرامج تسيء تفسير الشهادات.

هذا لأن بعض البرامج تتوقف عن قراءة النص عندما ترى حرفًا فارغًا. إذن ، قد يتم قراءة شهادة صادرة إلى www.paypal.com 0.thoughtcrime.org على أنها تنتمي إلى www.paypal.com.

المشكلة منتشرة على نطاق واسع ، كما يقول مارلينسباكي ، مما يؤثر على برنامج Internet Explorer ، VPN (الشبكة الخاصة الظاهرية) وبرامج البريد الإلكتروني وبرامج المراسلة الفورية ، وفايرفوكس الإصدار 3.

مما زاد الطين بلة ، وذكر الباحثون دان كامينسكي ولين ساسمان أنهم اكتشفوا أن عددًا كبيرًا من برامج الويب يعتمد على شهادات صدرت باستخدام تشفير قديم التكنولوجيا تسمى MD2 ، والتي طالما اعتبرت غير آمنة. لم يتم تصدع MD2 في الواقع ، لكنه يمكن أن ينكسر في غضون أشهر من قبل مهاجم مصمّم.

استخدم خوارزمية MD2 قبل 13 سنة من قبل VeriSign في التوقيع الذاتي "واحدة من شهادات الجذر الأساسية في يقول كامنسكي: "لقد توقفت شركة VeriSign عن التوقيع على الشهادات باستخدام MD2 في مايو" ، كما قال تيم كالان ، نائب رئيس تسويق المنتجات في VeriSign.

ومع ذلك ، فإن "عددًا كبيرًا من مواقع الويب يستخدم هذا الجذر ، لذلك لا يمكن أن نقتلها في الواقع أو سنقوم بتكسير الويب "، على حد قول كامينسكي.

ولكن ، يستطيع صانعو البرامج أن يخبروا منتجاتهم بعدم الوثوق بشهادات MD2 ؛ يمكنهم أيضًا برمجة منتجاتهم بحيث لا تكون عرضة لهجوم الإنهاء الخالي. لكن حتى الآن ، فإن متصفح فايرفوكس 3.5 هو المتصفح الوحيد الذي قام بتصحيح مشكلة إنهاء الخلل ، كما قال الباحثون.

هذه هي المرة الثانية خلال نصف السنة الماضية التي تخضع فيها SSL للتدقيق. في أواخر العام الماضي ، وجد الباحثون طريقة لإنشاء سلطة شهادات مارقة ، والتي يمكنها بدورها إصدار شهادات SSL المزودة بالثقة والتي يمكن الوثوق بها من قبل أي متصفح.

Kaminsky و Sassaman يقولون أن هناك مجموعة كبيرة من المشاكل في طريقة الشهادات SSL أصدرت ذلك جعلها غير آمنة. وافق جميع الباحثين على أن نظام x.509 المستخدم لإدارة شهادات SSL قديم ولا بد من إصلاحه.