27Jul
هتبس، الذي يستخدم طبقة المقابس الآمنة( سل)، يوفر التحقق من الهوية والأمان، لذلك تعرف أنك متصل بموقع الويب الصحيح ولا يمكن لأحد التنصت عليك.هذه هي النظرية، على أي حال.في الممارسة العملية، سل على شبكة الإنترنت هو نوع من الفوضى.
هذا لا يعني أن هتبس و سل التشفير لا قيمة لها، لأنها بالتأكيد أفضل بكثير من استخدام اتصالات هتب غير مشفرة.حتى في أسوأ السيناريوهات، فإن اتصال هتبس للخطر سيكون فقط غير آمنة كتوصيل هتب.
العدد الهائل من المراجع المصدقة
يحتوي متصفحك على قائمة مدمجة لسلطات الشهادات الموثوق بها.وتثق المتصفحات فقط في الشهادات الصادرة عن هيئات الشهادة هذه.إذا انتقلت إلى https://example.com، فإن خادم الويب على example.com سيقدم لك شهادة طبقة المقابس الآمنة( سل) إليك، وسيتأكد المتصفح من التأكد من إصدار شهادة طبقة المقابس الآمنة( سل) للموقع على الويب من example.com بواسطة مرجع مصدق موثوق به.إذا تم إصدار الشهادة لنطاق آخر أو إذا لم تكن مصدقة من جهة مصدقة موثوق بها، فستشاهد تحذيرا خطيرا في متصفحك.
مشكلة رئيسية واحدة هي أن هناك العديد من السلطات المصدقة، لذلك المشاكل مع سلطة شهادة واحدة يمكن أن تؤثر على الجميع.على سبيل المثال، قد تحصل على شهادة طبقة المقابس الآمنة لنطاقك من فيريسين، ولكن يمكن لشخص ما أن يعرض أو يخدع سلطة مصدقة أخرى ويحصل على شهادة لنطاقك أيضا.
السلطات المصدقة لم تستلهم دائما الثقة
وقد وجدت الدراسات أن بعض سلطات التصديق فشلت في القيام بأقل قدر من العناية الواجبة عند إصدار الشهادات.لقد أصدرت شهادات سل لأنواع العناوين التي يجب ألا تتطلب شهادة مطلقا، مثل "لوكالهوست"، والتي تمثل دائما الكمبيوتر المحلي.في عام 2011، وجدت إف أكثر من 2000 شهادات ل "لوكالهوست" صادرة عن شرعية وموثوق بها شهادات السلطات.
إذا أصدرت سلطات التصديق الموثوق بها العديد من الشهادات دون التحقق من صحة العناوين في المقام الأول، فمن الطبيعي أن نتساءل عن الأخطاء الأخرى التي ارتكبتها.ولعلهم قاموا أيضا بإصدار شهادات غير مصرح بها لمواقع إلكترونية أخرى للمهاجمين.
شهادات التحقق الموسع أو شهادات إيف، حاول حل هذه المشكلة.لقد قمنا بتغطية المشاكل مع شهادات سل وكيف تحاول شهادات إيف حلها.
قد تضطر السلطات المصدرة إلى إصدار شهادات وهمية
نظرا لوجود عدد كبير من سلطات الشهادة، فإنها في جميع أنحاء العالم، ويمكن لأي مرجع مصدق إصدار شهادة لأي موقع ويب، يمكن للحكومات إجبار هيئات الشهادة على إصدار شهادة سللموقع يريد انتحاله.
ربما حدث ذلك مؤخرا في فرنسا، حيث اكتشفت غوغل شهادة مارقة ل google.com تم إصدارها من قبل سلطة التصديق الفرنسية أنسي.وكان من شأن السلطة أن تسمح للحكومة الفرنسية أو أي شخص آخر بانتهاكها موقع غوغل الإلكتروني، مما يسهل القيام بهجمات في الوسط.وقال أنسي أن الشهادة كانت تستخدم فقط على شبكة خاصة للتلاعب على مستخدمي الشبكة الخاصة، وليس من قبل الحكومة الفرنسية.حتى لو كان هذا صحيحا، فإنه سيكون انتهاكا للسياسات أنسي الخاصة عند إصدار الشهادات.
السرية الأمامية الآمنة لا يتم استخدامها في كل مكان
العديد من المواقع لا تستخدم "السرية الامامية المثالية"، وهي تقنية من شأنها أن تجعل التشفير أكثر صعوبة في الكراك.دون سرية إلى الأمام الكمال، يمكن للمهاجم التقاط كمية كبيرة من البيانات المشفرة وفك تشفير كل ذلك مع مفتاح سري واحد.ونحن نعلم أن وكالة الأمن القومي وغيرها من وكالات أمن الدولة في جميع أنحاء العالم التقاط هذه البيانات.إذا اكتشفوا مفتاح التشفير الذي يستخدمه موقع ويب بعد سنوات، يمكنهم استخدامه لفك تشفير جميع البيانات المشفرة التي جمعوها بين هذا الموقع وكل من يتصل به.
تساعد السرية الآمنة المثالية في الحماية من ذلك من خلال توليد مفتاح فريد لكل جلسة.وبعبارة أخرى، يتم تشفير كل دورة مع مفتاح سري مختلف، لذلك لا يمكن أن تكون جميع مقفلة مع مفتاح واحد.وهذا يمنع شخص ما من فك تشفير كمية كبيرة من البيانات المشفرة في كل مرة.ونظرا لأن مواقع الويب القليلة جدا تستخدم ميزة الأمان هذه، فمن المرجح أن تقوم أجهزة أمن الدولة بفك تشفير كل هذه البيانات في المستقبل.
رجل في الهجمات الوسطى وأحرف ونيكود
للأسف، لا تزال هجمات الرجل في الوسط ممكنة مع سل.ومن الناحية النظرية، يجب أن تكون آمنة للاتصال بشبكة واي-في عامة والوصول إلى موقع المصرف الذي تتعامل معه.أنت تعرف أن الاتصال آمن لأنه عبر هتبس، كما يساعدك اتصال هتبس في التحقق من أنك متصل فعلا بالمصرف الذي تتعامل معه.
من الناحية العملية، قد يكون من الخطورة الاتصال بموقع البنك الذي تتعامل معه على شبكة واي-في عامة.هناك حلول الجاهزة التي يمكن أن يكون نقطة ساخنة الخبيثة تنفيذ الهجمات في منتصف الوسط على الناس الذين يتصلون به.على سبيل المثال، قد تتصل نقطة اتصال واي-في بالبنك نيابة عنك، وإرسال البيانات ذهابا وإيابا والجلوس في الوسط.يمكن أن يعيد توجيهك إلى صفحة هتب والاتصال بالبنك باستخدام هتبس نيابة عنك.
ويمكن أيضا استخدام "هتبس مماثلة عنوان هتبس". هذا هو العنوان الذي يبدو متطابقة إلى البنك الذي تتعامل معه على الشاشة، ولكن الذي يستخدم في الواقع أحرف ونيكود خاصة حتى انها مختلفة.ويعرف هذا الأخير والأكثر رعبا من نوع الهجوم باسم اسم النطاق الدولي هجوم هوجراف.فحص مجموعة الأحرف ونيكود وستجد الأحرف التي تبدو متطابقة أساسا إلى 26 حرفا المستخدمة في الأبجدية اللاتينية.ربما س في google.com كنت متصلا ليست في الواقع س، ولكن هي أحرف أخرى.
غطينا هذا بمزيد من التفصيل عندما نظرنا في مخاطر استخدام نقطة ساخنة واي فاي العامة .
بالطبع، هتبس يعمل بشكل جيد أكثر من مرة.فمن غير المرجح أن تواجه مثل هذا الهجوم رجل ذكي في منتصف عند زيارة مقهى والاتصال واي فاي.النقطة الحقيقية هي أن هتبس لديه بعض المشاكل الخطيرة.معظم الناس يثقون به و ليسوا على بينة من هذه المشاكل، لكنه لا مكان قريب من الكمال.
صورة الائتمان: سارة جوي