اكتشاف نقاط ضعف خطيرة في أحدث معيار عالمي لتأمين المعاملات عبر الإنترنت - الإمارات اليوم

خوارزميات قديمة داخل «ويب أوثن» تسمح للقراصنة بشنّ هجمات مؤثرة وناجحة

اكتشاف نقاط ضعف خطيرة في أحدث معيار عالمي لتأمين المعاملات عبر الإنترنت

«ويب أوثن» يُغني عن تنفيذ المصادقات الخاصة بتحديد الهوية عند إجراء أي معاملة عبر الإنترنت والمعتمدة على كلمة المرور واسم المستخدم. من المصدر

بعد مرور نحو أربعة أشهر على إطلاقه رسمياً وسط ترحيب بالغ من أوساط التقنية، باعتباره نقلة كبرى في عالم أمن المعلومات عالمياً، تعرّض «ويب أوثن» أحدث معيار عالمي لتأمين المعاملات عبر الإنترنت لانتكاسة كبيرة، بعدما تبين أن به نقاط ضعف خطيرة تسمح للمهاجمين بشن هجمات مؤثرة وناجحة على المعاملات الجارية عبر الإنترنت، بداية من تأمين إجراءات الدخول الى المواقع المؤمّنة، وانتهاء بالمعاملات المالية المعقدة، لكونه يستخدم بعض الخوارزميات والأكواد البرمجية القديمة الضعيفة التي تمكّن القراصنة من الحصول على مفاتيح المصادقة، وتحديد الهوية الخاصة بمن يقومون بإجراء معاملاتهم المختلفة عبر الإنترنت.

وكان فريق من خبراء التشفير المحترفين في مبادرة علمية تطلق على نفسها «مبادرة باراجون»، المعروفة بالخلفية القوية لأعضائها في مجال التأمين والتشفير، نشر أخيراً تقريراً فنياً في المدونة الخاصة بالمبادرة paragonie.com/‏‏blog/‏‏2018/‏‏08 شرح فيه نقاط الضعف الموجودة في معيار «ويب أوثن»، محذراً من خطورة الاعتماد على هذا المعيار على نطاق واسع بصورته الحالية، وداعياً إلى حتمية مراجعته من قبل القائمين عليه لتحسينه وتخليصه من نقاط الضعف المكتشفة.

المصادقات الخاصة

وصدر معيار أو بروتوكول «ويب أوثن»، في أبريل الماضي، بغرض الاستغناء تدريجياً عن استخدام الأسلوب الحالي في تنفيذ المصادقات الخاصة بتحديد الهوية عند اجراء أي معاملة عبر الإنترنت، والمعتمد بالأساس على كلمة المرور واسم المستخدم، ليحلّ محله أسلوب آخر يعتمد على مفتاح مصادقة أكثر تعقيداً وتأميناً يمكن للمستخدم الحصول عليه من وحدة «يو إس بي» تتصل مباشرة بالأداة أو الجهاز الذي يستخدمه، أو يعتمد على أي من معايير التأمين البيولوجية، مثل بصمة الإصبع أو قرنية العين أو التعرف الى الوجه أو غيرها.

وبحسب المعلومات المنشورة عن هذا المعيار على موقع تحالف شبكة الـ«ويب العالمية»، فإن «ويب أوثن» يمكنه العمل مع مجموعة من آليات المصادقة للمفتاح العام، بدءاً من تطبيقات البرامج البحتة إلى التطبيقات التي تستخدم بيئات أجهزة متخصصة، مثل بيئة التنفيذ الموثوق بها للمعالج أو وحدة النظام الأساسي الموثوق به أو رمز مميز خارجي للأجهزة يتم الوصول إليه عبر منفذ «يو إس بي»، أو اتصال بتقنية «بلوتوث» اللاسلكية منخفضة الطاقة، أو تقنية الاتصالات قريبة المجال (إن إف سي). كما أنه مصمم للعمل مع المعيار المعروف باسم «العميل والموثق سي تي إيه بي»، المخصص لتنفيذ التواصل مع أجهزة المصادقة، حيث إنه مع استخدام هذا المعيار يمكن للشخص أن يستخدم مفتاح المصادقة المستند لـ«ويب أوثن» من جهاز واحد لديه، مثل الهاتف المحمول أو الحاسب المحمول أو اللوحي أو المكتبي أو غيرها، ليقوم بعد ذلك بإجراء معاملاته بصورة مؤمّنة على أي من الأجهزة الاخرى التي يعمل عليها من دون اجراءات دخول وتسجيل جديدة، إذ يسمح المعيار بسحب إجراءات المصادقة والتصديق من جهاز لآخر تلقائياً، شرط أن يكون الجميع مستخدماً لمفتاح المصادقة نفسه، سواء بصمة إصبع أو قرنية عين أو غيرهما.

كلمات مرور

أما موقع تحالف «فايدو»، المكون من شركات تقنية عالمية، فيذكر أن معيار «ويب أوثن» هو محاولة لإضفاء الطابع الرسمي على التفاعل بين مواقع الـ«ويب» وبين المكون الخاص بكلمات المرور في برامج التصفح التي تخزن مجموعات اسم المستخدم وكلمة المرور أو بيانات اعتماد أخرى «متحدة»، مثل الرموز المميزة للمصادقة التي تم إنشاؤها بواسطة إشارة فردية على الخدمات. أو بعبارة أخرى هو أسلوب للتأمين يعتمد على مصادقة وتحديد للهوية استناداً الى عوامل متعددة، وليس اسم وكلمة مرور فقط، وهذه العوامل ربما تتضمن الإيماءات والبصمات وغيرها، بدلاً من الاكتفاء بمطالبة المستخدمين بكتابة سلاسل طويلة ومعقدة من الحروف.

نظرة فاحصة

وفي نهاية الشهر الماضي، قام فريق الباحثين الأمنيين في مبادرة «باراجون» بإلقاء نظرة فاحصة على هذا «البروتوكول» الجديد، بعدما بدأت برامج التصفح الرئيسة، مثل «كروم» و«فايرفوكس» و«إيدج»، تعمل به، حيث انتهت عملية الفحص بتحديد مشكلات مختلفة مع الخوارزميات المستخدمة لإنشاء مفاتيح التصديق (التوقيعات).

وأوضح الفريق أن أول هذه المشكلات تتمثل في أن «ويب أوثن» يستخدم اثنتين من الخوارزميات القديمة، هما خوارزمية «إي سي»، وخوارزمية «دي إيه إيه»، المعروفة ايضاً باسم «آر إس إيه إس إس في 1 – 5»، وهي أكواد برمجية ونماذج رياضية مستخدمة في تأمين استخدام كلمات المرور واسم المستخدم عبر الإنترنت.

وذكر الفريق قائمة طويلة من المشكلات التي تحدث مع الخوارزميتين في تقرير فني، خلاصته أن «ويب أوثن» عرضة لعدد غير قليل من هجمات التشفير المعروفة. ولمزيد من التوضيح شبّه فريق الباحثين ما تفعله الخوارزمية الثانية بمن يقوم بتقنين تعاطي وتداول المخدرات، وجعله أمراً مشروعاً، أو بعبارة أخرى فإن المهاجمين والمخترقين يمكنهم استغلال نقاط الضعف الموجودة في هاتين الخوارزميتين لسرقة مفاتيح التشفير والمصادقة الجديدة، وجعل انتحالهم لشخصية أصحابها الأصليين أمراً يبدو مشروعاً وقانونياً أمام إجراءات التأمين المتبعة.

تحرّك

وعقب نشر النتائج التي توصل إليها فريق تشفير مبادرة «باراجون»، تحرك تحالف «فايدو»، حيث قال المدير التنفيذي للتحالف، بريت ماكدويل، إن «التحالف تواصل مع الفريق، انطلاقاً من أهمية الارتباط والتواصل بين التحالف ومجتمع البحوث الأمنية والإفصاح المسؤول عن نقاط الضعف المحتملة في المعايير والبروتوكولات الأمنية الصادرة عن التحالف، وهذه ليست المرة الأولى التي يراجع فيها خبراء تشفير خارجيون ومستقلون المعايير الأمنية الجديدة».

وأضاف ماكدويل أنه «بعد قراءة قريبة لمقالة المدونة، يقر اتحاد (فايدو) النقاط الصحيحة التي أثيرت حول نقاط الضعف المحتملة، التي يمكن أن يقدمها المنفذون، إذا لم يتم اتّباع أفضل الممارسات عند استخدام المعيار الجديد».

«ويب أوثن»

يُعد «ويب أوثن» معياراً أو بروتوكولاً فنياً صدر عن كل من تحالف شبكة الـ«ويب» العالمية، الذي يعتبر أكبر كيان عالمي غير هادف للربح مسؤول عن شبكة الـ«ويب»، يضم هيئات أكاديمية ورسمية ومنظمات أهلية وشركات قطاع خاص وخبراء مستقلين، وغيرها، بالتعاون مع تحالف «فايدو»، وهو كيان يتكون من 260 شركة عاملة في مجال الإنترنت حول العالم، من التخصصات المختلفة، أبرزها «غوغل» و«أمازون» و«علي بابا» و«فيس بوك» و«مايكروسوفت» و«إنتل»، وغيرها من الشركات الكبرى.

- فريق من خبراء التشفير

في مبادرة «باراجون»

حذر من خطورة

الاعتماد على «ويب

أوثن» بصورته الحالية.

طباعة