الثغرة الأمنية «FREAK» تكشف التلاعب الأمريكي في أنظمة التشفير
أثارت الثغرة الأمنية "FREAK " أو ( Factoring RSA-EXPORT Keys) التي تم اكتشافها مؤخرًا من خلال بحث أجراه المعهد الفرنسي لأبحاث علوم الحاسب الآلي والأتمتة ( INRIA) بالتعاون مع شركة مايكروسوفت - ضجة عالمية واسعة لما تمثله من تهديد لخصوصية بيانات مستخدمي الانترنت، حيث تكمن خطورتها - مقارنة بالثغرات الأخرى – في احتمالية تأثيرها على برمجيات جوجل وأبل، فهى تسمح للمتسللين بالوصول إلى أي محتوى يتم إرساله عبر شبكة الانترنت، ومن الناحية النظرية يمكن للمتسللين خداع أجهزة الكمبيوتر في استخدام تشفير ضعيف، ثم انتزاع البيانات وفك تشفيرها باستخدام آلات قوية، وهذا يعني أن ملايين المستخدمين قد يكونون عرضة للخطر.
وتؤثر ثغرة FREAK على بروتوكولات SSL/TLS المستخدمة في تشفير البيانات المرسلة عبر شبكة الانترنت(والتي كانت عُرضة أيضا لثغرة Heartbleed أو القلب النازف)، وبالتالي فإن أي بيانات يتم إرسالها عبر الشبكة، مثل تفاصيل بطاقات الائتمان أو الرسائل الخاصة أو المعلومات الطبية، تكون عرضة أيضا للتهديد، وبالتالي حدوث ضعف في مستوى التشفير بين المتصفح وموقع HTTPS.
ولكن في الوقت نفسه، قد لا يتأثر متصفح جوجل كروم أو متصفحات ويندوز الحالية أو فايرفوكس بهذا الخلل الأمني، في حين تظل أنظمة التشغيل أندرويد، iOS أو OS X عرضة لخطر الاختراق، لذا ينصح باستخدام تلك المتصفحات في الوقت الحالي، لحين إصدار التحديثات الأمنية لكافة المتصفحات الأخرى. أيضا تكمن خطورة ثغرة FREAK في أنها قد تؤدي إلى اعتراض الاتصالات المًشفرة أثناء زيارة مئات الآلاف من المواقع (حوالي ثلث المواقع المُشفرة-بمعدل 5آلاف موقع من إجمالي 14ألف موقع مُشفر حول العالم)، بما في ذلك مواقع البيت الأبيض، ووكالة الأمن القومي الأمريكي، ومكتب التحقيقات الفيدرالي، ووكالات الأنباء العالمية، ومواقع الخدمات المالية (مثل أمريكان إكسبريس) وغيرها، كما أنه من المحتمل أن يتعرض 12 % من متصفحي مواقع معينة بشكل منتظم إلى خطر الاختراق.
مايكروسوفت ويندوز عرضة لثغرة Freak:
كان يعتقد في السابق أن تلك الثغرة تقتصر على متصفح الويب "سفاري" التابع لشركة أبل، ومتصفح أندرويد التابع لشركة جوجل فقط، حيث أن هذا الخلل الأمني يجعل الاتصالات بين المستخدمين المتضررين والمواقع، مُعرضة للاختراق، ولكن ثبت مؤخرًا أن أجهزة الكمبيوتر التي تعمل بنظام مايكروسوفت ويندوز تكون عرضة أيضا للثغرة الأمنية Freak، " التي يعود تاريخها إلى عام 1990 عندما تعمدت الحكومة الأمريكية إجبار شركات التكنولوجيا علي إضعاف مفاتيح التشفير (مفتاح 512 بايت-الحد الأقصى المسموح به)، وذلك بهدف الحد من التجارة في التكنولوجيا العسكرية خلال عصر ما يسمى بـ "حروب التشفير" التي نتجت عن المعارك السياسية الضارية حول خوارزميات التشفير.
والسؤال، هل بالفعل استخدم القراصنة ثغرة Freak ؟ لا يوجد دليل على الإطلاق يؤكد أن هذا الخلل الأمني قد تم استغلاله بشكل همجي من قبل القراصنة، فعموما نجد أن مسألة التجسس على مستخدمي الإنترنت سواء من قبل بعض الحكومات أو مجرمي الانترنت، ليست في انتظار تلك الثغرة لتمكنها من التجسس، وهذا راجع إلى اعتياد الحكومة الأمريكية على استخدام قوانين من شأنها منع المطورين من استخدام التشفير القوي في البرامج التي يتم شحنها للعملاء في الدول الأخرى، وبالتالي تمكين وكالة الأمن القومي الأمريكي NSA من التنصت على اتصالات ورسائل المستخدمين حول العالم.
كيف تعمل ثغرة Freak ؟ عند زيارة موقع ما عبر شبكة الانترنت، يقوم جهاز الكمبيوتر بالتفاوض مع الخادم (Server) في الطرف الأخر حول أفضل السبل التي تحمي البيانات عند إرسالها ذهابا وإيابا. ويمكن خداع بعض البرامج مثل Apple’s Secure Transport في قبول التشفير الضعيف (مفتاح 512بايت-الحد الأقصى المسموح به بموجب القيود الأمريكية) الذي أتاحته الحكومة الأمريكية لتقييد المستخدمين، وبالطبع هذا الأمر يسهل من عملية انقضاض المتسللين، وجمع البيانات الشخصية ومحاولة كسر التشفير. وللتغلب على مشكلة التشفير الضعيف، تقدم أمازون خدمة EC2التي تستأجر مجموعة من الآلات الكبيرة أو الصغيرة (كما يريد المستخدم) بشروط مرنة، فهذا التعاقد قد يكون كافيا لتجاوز (مفتاح 512بايت) في غضون ساعات قليلة، وبتكلفة بسيطة (104دولارات) فقط.
وتتدافع حاليا شركات التكنولوجيا من أجل إصلاح هذا الخلل الأمني الكبير، وقد أعلنت شركة "ترودي ميلر" التابعة لأبل عزمها إعداد التحديثات الأمنية اللازمة لإصلاح هذا الخلل، لحماية أجهزة الكمبيوتر والهواتف الذكية الخاصة بشركة أبل، بالإضافة إلى تقديم العون "للشركاء"، وهنا المقصود الشركات التي تصنع أجهزة أندرويد، على أن يكون الأمر متروكا لتلك الشركات فيما يتعلق بنشر التحديثات، ولكن يحذر الخبراء من أن تلك التحديثات قد تستغرق شهورا أو لم تصل نهائيا، خاصة أن جوجل لا تسيطر على عملية تسليمها للأجهزة العاملة بنظام التشغيل أندرويد.
المصدر : ستار تايمز