ثغرة أمنية تهدد كل مواقع الإنترنت السورية

فيما يلي نص رسالة أرسلتها بالبريد المسجل إلى كل من السيدين وزير المواصلات ورئيس الجمعية العلمية السورية للمعلوماتية منذ حوالي ثمانيةأشهر.
للأسف موضوع هذه الرسالة مازال قائما، والثغرة الأمنية التي تنبه إليها لم تزل موجودة حتى الآن.
آمل أن ينتبه كل من السيدين إلى الخطر الذي يهدد مواقع الإنترنت السورية، ويبادرا بتنفيذ الحل الذي يرد ذكره في المقالة.

 

السيد الدكتور وزير المواصلات
السيد الدكتور رئيس الجمعية العلمية السورية للمعلوماتية
تبيه عن ثغرة أمنية تهدد كل المواقع السورية على الإنترنت

قد يبدو هذا العنوان خطرا، ولكنه عنوان جديّ، ومن يقرأ الخبر الذي نشرته جريدة تشرين يوم 2/11/2002 عن هجوم تعرضت له مخدمات DNS الرئيسية لشبكة الإنترنت بهدف تعطيل الشبكة كلها يدرك مدى الأخطار التي يمكن أن تتعرض لها شبكة مفتوحة مثل الإنترنت. والتغرة الأمنية التي سأوضحها تهدد كل المواقع السورية على الإنترنت، بل يمكن اعتبارها خطرا على الأمن القومي يهدد وجود سورية على الإنترنت، بحيث أن من يستغل هذه الثغرة يمكن أن يمحو كل وجود سوري على الإنترنت.
تتم إدارة المواقع على الإنترنت عبر مجموعة بروتوكولات من عائلة TCP/IP، وبعض هذه البروتوكولات تعتبر آمنة لنقل المعلومات السرية على الشبكة، والبعض الآخر غير آمن. يعتبر البروتوكول آمنا إذا تم تشفير المعلومات التي يتم تبادلها بين المخدم والزبون، ومن البروتوكولات الآمنة بروتوكول ssh و بروتوكول https، ومن البروتوكولات غير الآمنة telnet و http، وهما النسخة العادية غير المشفرة من بروتوكولات ssh و https.
يستخدم مدراء المخدمات والمواقع في العالم برامج تعمل على بروتوكول ssh لتسجيل الدخول إلى المخدم عن بعد، وإدارة فعاليات مواقعهم، ولكن عندما لا يكون ssh متاحا كما هي الحال في سورية، فلابد من حل آخر. الحل البديل الآمن هو تصميم برنامج مخصص لإدارة الموقع يعمل على بروتوكول https. المشكلة هنا هي أن https يستخدم أيضا لتقديم خدمة التصفح الآمن لزوار الموقع، مثلا تأمين الحركات النقدية في مواقع التجارة الالكترونية، وهي خدمة ضرورية لا يمكن الاستغناء عنها. وحل المشكلة هو تشغيل برنامج إدارة الموقع على منفذ غير المنفذ المعياري لبروتوكول https (المنفذ 443). وهو ما يسمى تقنيا بـ (https on non-standard ports). ولكن للأسف يقوم مزودو خدمة الإنترنت في سوريا (مؤسسة الاتصالات والجمعية العلمية السورية للمعلوماتية) بحجب خدمتي ssh و ( https على المنافذ غير المعيارية) ولهذا السبب لا يستطيع مدراء المواقع السورية إدارة مواقعهم بشكل آمن. ويلجأ مقدمو خدمة الإستضافة إلى اختراع حلول تعمل بشكل غير آمن على بروتوكول http غير الآمن.
وإذا علمنا أن كل التخاطب بين مدراء كل المواقع السورية ومواقعهم يتم بدون تشفير، ويمر عبر عدد كبير من الحواسب عبر الشبكة، وأن كل حاسب تمر عبره رزم البيانات يستطيع التجسس عليها، يمكننا أن نستنتج وجود إمكانية لكشف كل كلمات السر التي تستخدم لإدارة كل المواقع السورية على الشبكة.
هل يوجد أحد في العالم يمكن أن يخطط لضرب بلدنا من هذه الناحية، ربما، وبما أن هناك أشخاصا حاولوا تعطيل الإنترنت كلها، فكيف نستبعد وجود أناس يستهدفوننا. وإذا حاول أحدهم تركيب برنامج تجسس Sniffer على الحواسب التي تتصل بها سورية، فيمكنه ببساطة أن يسيطر على كل المواقع السورية، ويفعل بها ما يريد.
السبب الوحيد للمشكلة هو حجب بروتوكولات الإدارة الآمنة، وهي ssh و (https على المنافذ غير المعيارية) من قبل مزودي الخدمة منذ بدايات تقديم خدمة الإنترنت في سورية، ويتم هذا بخيار وحيد checkbox في برنامج البروكسي المستخدم لدى مزودي الخدمة في مؤسسة الاتصالات والجمعية العلمية السورية للمعلوماتية. لقد أدى حجب هذه الخدمة إلى اعتماد بروتوكول http لإدارة المخدمات التي تستضيف مواقع سورية، وأنا فعلا لا أدري لماذا تم حجب هذه الخدمة، وهل أدرك من اتخذ هذا القرار الخطر الذي يسببه على بلدنا.
قد يناقش البعض أن الأمن المطلق غير موجود في الحقيقة، ومهما حاولنا لا بد من وجود ثغرات أمنية، ولكن هذا ليس سببا لنخلق ثغرة أمنية بنفسنا، وليس مانعا من رفع سوية أمننا. وقد يقول آخرون أن هناك إشاعات عن أن https بحد ذاته غير آمن فعليا، ويمكن كسر تشفيره، ولكنه أول خط دفاع عن النفس، وأسهل طريقة للحماية، واستخدامه أفضل من إرسال كلمات السر دون تشفير على الإطلاق. وقد يعتقد البعض أن خطة مؤسسة الاتصالات في تأمين الاستضافة محليا يمكن أن تحل المشكلة، ولكن تركيز كل المواقع السورية في مركز بيانات واحد يعتبر خطرا آخر على وجود سورية على الإنترنت، وقد أثبتت الخبرات والتجارب أن التوزيع الجغرافي أضمن وسيلة للاستمرار على الإنترنت.
حل المشكلة ليس بسيطا، فلا يكفي تفعيل خيار السماح بخدمة ssh ولخيار Allow https on non-standard ports في برنامج البروكسي لدى مزودي خدمة الإنترنت لأن هناك أكثر من ألف موقع إنترنت سوري تدار حاليا عبر http غير الآمن، وتركيب برامج إدارة جديدة على مخدماتها تعمل بشكل آمن يستغرق وقتا، وقد يضطر شركات الاستضافة السورية إلى إعادة تهيئة مخدماتها من جديد، وتحميل كل المواقع من البداية، أي تعطيل المخدمات السورية على الإنترنت لبضعة ساعات. ولكن من الضروري البدء بهذا من الآن قبل أن يزداد عدد المواقع السورية، ويصبح الأمر أصعب.
بصفتي عاملا في مجال إدارة المخدمات والمواقع ألفت انتباهكم إلى الوضع الذي تسببه سياستكم في حجب خدمات الإدارة الآمنة للمواقع والمخدمات على الإنترنت، وأعرب لكم عن استعدادي لوضع كل خبرتي تحت تصرفكم لإزالة الخطر الذي يتهدد بلدنا، كما أحملكم المسؤولية القانونية والجزائية عن أي اختراق يتعرض له أي موقع إنترنت سوري بسبب سياستكم في منع مدراء المواقع من إدارة مواقعهم بشكل آمن.
الأيهم صالح
alayham@marjah.net