تخطي إلى المحتوى الرئيسي
إي ميل

ثغرة أمنية في أنظمة تشفير البريد الإلكتروني تثير الذعر والجدل

سمعي
نايلة الصليبي - efail.de

تنقل نايلة الصليبي في "إي ميل" مونت كارلو الدولي عن كشف خبراء أمن معلومات لثغرة أمنية في أنظمة تشفير البريد الإلكتروني تثير الذعر لدى المستخدمين.ما هي هذه الثغرات وهل هي فعلا خطيرة ؟

إعلان
منذ أيام والجدل قائم حول خطورة ثغرات أمنية كشفت في أدوات تشفير البريد الإلكتروني openPGP وS/MIME. وهي أنظمة تعتمد خوارزميات التشفير أو التعمية المتماثل symetric والتشفير أو التعمّية غير المتناظر Asymetric لتأمين حماية الخصوصية بمعياري التشفير AES: Advanced Encryption StandardAES وRSA بين المُرسِل والمُتلقي.

نظام التشّفير أو التعمّية openPGP ، هو النظام الأكثر شيوعا واستخداما من قبل الجمهور لتشّفير أو تعمّية البريد الإلكتروني. متوفر في أغلب برامج إدارة البريد الإلكتروني. إذ يكفي أن يثبت المستخدم Plug IN لبرنامج إدارة البريد الإلكتروني أو من خلال إضافة :

- Apple Mail with GPGTools - Outlook with Gpg4winThunderbird with Enigmail

أو Mailvelope ... ، كذلك هنالك مجموعة من مزودي خدمة البريد الإلكتروني المشفر كـProtonmail و GMXCaramail الذين يقترحون خدمة التشفير والتعمّية.

أما تقنية التشفير الـS/MIME فهي تستخدم بشكل كبير في الشركات والمؤسسات، لما تحتاجه من بنى تحتية هامة ومكلفة لتوزيع شهادات مفاتيح التشفير للمستخدمين.

الثغرة الأمنية التي كشف عنهاSebastian Schnizel وزملاؤه ،أطلقوا عليها اسم Efail ، يبدو أنها من الثغرات المعروفة في أنظمة التشفير منذ عام 2000 وهي في كيفية تطبيق أنظمة التشفير وادماجها في برامج إدارة البريد الإلكتروني و ليست في البروتوكول بحد ذاته . غير أن أسلوب الهجمات التي كشفها Schnizel وزملاؤه، هي التي اثارت ذعر الكثيرين. إذ بإمكان المهاجم اعتراض أي بريد الكتروني مشّفر والقيام بإدماج وسوم من لغة ترميز النص التشعبي HTML المستخدم لإنشاء صفحات ويب. والتي تتيحها اليوم برامج إدارة البريد الإلكتروني لتنسيق النصوص ووضع الروابط في البريد الإلكتروني.

أي يقوم المهاجم باعتراض البريد المشفّر وحقنه بعلامات أو وسوم لغة ترميز النص التشعبي، ومن ثم يعيد ارساله للمرسَل إليه. فيقوم هذا الأخير بفك تشّفير بريده الإلكتروني في برنامجه لإدارة البريد الإلكتروني. النص الذي تم فكّ تشّفيره، يرسل بشكل خفي للمهاجم بواسطة تلك العلامات او الوسوم التي تم ادماجها في شيفرة البريد الإلكتروني المشفّر.

حسب خبراء الأمن الذين كشفوا هذه الثغرة فإن أسلوب استخراج البيانات المشفرة يتم بطريقتين:

الطريقة الأولى: يقوم المهاجم بتغليف النص المشفر بوسم صورة. وعند فكّ تشّفير النص فإن برنامج إدارة البريد الإلكتروني سيفسر مجموعة الوسوم على أنها طلب صورة HTML، ويرسل للمهاجم المحتوى دون تشّفير.

ومن أصل 47 برنامج إدارة بريد الكتروني تمت تجربة أسلوب الاختراق هذا عليهم،17 منها معرضة لهذا النوع من الاختراق منها:

Apple Mail – Mail App –ThunderBird- Postbox- MailMate

الطريقة الثانية: مشابهة للطريقة الأولى لكنها أكثر تعقيدا إذ يقوم المهاجم بحقّن وسوم HTML مباشرة في النص المشّفر مستغلا هشاشة أمنية موجودة في بعض أنظمة التشّفير المستخدمة في PGP/GPG وS/MIME ، بحيث أن وسوم HTML لا تظهر عند فك تشفير نص البريد الإلكتروني . ومن خلال هذا الأسلوب ينشئ قناة لاستخراج النص غير المشّفر. من مجموع 35 برنامج إدارة بريد الكتروني تمت تجربة أسلوب الاختراق هذا عليهم، 23 منها معرضة لهذا النوع من الاختراق عبر نظام التشفير S/MIME و10 من خلال نظام التشّفير PGP/GPG .

بانتظار طرح الترقيعات لسّد هذه الثغرات، فإن الجدل والبلبلة حول خطورة أو عدم خطورة هذه الهفوات مستمرة بين خبراء الأمن والشركات المزودة لخدمة البريد الإلكتروني المشفر وأيضا بين المتخصصين في التشفير ;و أشهرهم ـBruce Schneier الذي أعتبر ان "استخدام هذا الأسلوب في اختراق البريد الإلكتروني المشفر ليس بمتناول الهاجم أو القرصان العادي وإنما من قدرات مؤسسات كوكالة الأمن القومي الأمريكية".

أضاف Schneier أن هذا" الاكتشاف لا يعني أن تشفير البريد الإلكتروني أصبح مستحيلا بل هي هفوة بشرية، والهفوات البرمجية موجودة في كل البرامج المعلوماتية. الذين يستخدمون هذه الأدوات و الأنظمة لتشفير البريد الإلكتروني يمكنهم تعطيلها بانتظار صدور الترقيعات واستخدام تطبيقات التراسل  سيغنال و تيليغرام بدلا عنها".

يمكنكم التواصل معي عبر صفحة برنامج "إي ميل" مونت كارلو الدولية على فيسبوك، غوغل بلاس و تويتر
@salibi
وعبر موقع
مونت كارلو الدولية مع تحيات نايلة الصليبي
هذه الصفحة غير متوفرة

يبدو أن خطأ قد وقع من قبلنا يمنع الوصول إلى الصفحة. نعمل على حل هذه المشكلة في أقرب وقت ممكن