كارثة موقع سيريانيوز تدق ناقوس الخطر للشركات السورية

إن مستوى الأمن المقبول عالميا للمعلومات الشخصية مستحيل التحقيق في سوريا ضمن السياسة الحالية لوزارة الاتصالات
يعتبر موقع سيريانيوز www.syria-news.tv أحد أهم المواقع الإخبارية السورية، وقد تعرض هذا الموقع خلال الأسبوع الماضي لكارثة حقيقية تمثلت في تمكن شخص ما من الاستيلاء على اسم النطاق الأساسي للموقع Syria-news.com، وهو الاسم الذي أنفقت سيريا نيوز مبالغ طائلة وجهودا كبيرة لإشهاره. وتحليل الحادثة يدل على أن شخصا ما تمكن من الحصول على كلمة سر لإدارة حساب تسجيل أسماء النطاقات للشركة التي تم تسجيل اسم الموقع syria-news.com عن طريقها. وقام بسحب مجموعة من النطاقات إلى مسجل نطاقات آخر بحيث انتقلت ملكيتها وإداراتها تماما إلى القرصان. بعد هذا قام القرصان بعرض الأسماء للبيع على الإنترنت بمبلغ عشرة آلاف يورو للاسم. وتدعو كارثة سيريانيوز الشركات السورية إلى التدقيق في طريقة حماية ملكية أسماء مواقعها على الإنترنت لكي لا تتعرض لابتزاز مشابه، وهناك مجموعة من النصائح التي يمكن تقديمها للشركات لتتمكن من حماية ملكيتها لأسماء مواقعها على الانترنت، ولكن من الأفضل أولا أن نطلع على الطريقة التي تتم فيها عملية حجز أسماء المواقع على الإنترنت. أهمية اسم النطاق بالنسبة للعديد من الشركات يعتبر اسم موقعها على الإنترنت أمرا بالغ الأهمية يجب الحفاظ عليه بكل الطرق الممكنة، وفي الوقت الحالي يزداد اعتماد الشركات على تقديم خدمات مخصصة لزبائنها عبر موقعها على الإنترنت، وإذا تمكنت أية جهة من الاستيلاء على اسم النطاق، فربما تصبح قادرة على التواصل مباشرة مع زبائن الشركة وتسبيب أنواع مختلفة من الضرر لهم وللشركة. فإذا تمكنت جهة ما من الاستيلاء على اسم نطاق مصرف، فربما تتمكن من معرفة معلومات مصرفية بالغة الحساسية، وإذا تمكنت جهة أخرى من الاستيلاء على موقع شركة أو هيئة ما، فقد يصبح بإمكانها أن تروج المعلومات التي ترغبها باسم الشركة أو الهيئة صاحبة الموقع. وتزداد أهمية الاسم لدى بعض الشركات التي تنشط بشكل أساسي على الإنترنت، بحيث أن تعاملها مع أغلب زبائنها يتم عبر موقع الإنترنت الرسمي لها، ففي هذه الحالة يعتبر فقدان العنوان أحد أسوأ الكوارث التي يمكن أن تحل بالشركة. كيف يتم حجز اسم نطاق؟

 

تدار عملية حجز النطاقات حاليا من قبل هيئة عالمية تسمى هيئة الإنترنت للأسماء والأرقام المخصصة (الآيكان) وهي الهيئة المسؤولة عن عدة خدمات تتعلق بالبنية التحتية للإنترنت منها مثلا تخصيص أسماء المواقع العليا (ومثال ذلك .com, .info, وغيرها). تعطي الآيكان ترخيصا للشركات لإدارة عمليات حجز الأسماء من الرتب العليا، وهناك شركات تقوم بحجز النطاقات مثل com و net و org وتضع على مواقعها شعار ICANN Accredited Registrar أي أن الشركة مرخصة من الآيكان لتسجيل الأسماء. تتعاون الشركات المرخصة من الآيكان مع مزودي خدمة الإنترنت وشركات التصميم والاستضافة لتقديم خدمة تسجيل الأسماء للعموم، وتعتبر طريقة التعاون هذه خيارا خاصا بالشركة، وتتعلق الخدمات التي تقدم مع اسم النطاق بالعقد بين الزبون والشركة، فبعض الشركات مثلا تقدم خدمة حماية معلومات مالك النطاق، وبعض الشركات تقدم خدمات استضافة مدمجة مع تسجيل الاسم. ومن وجهة نظر الزبون، تقوم شركة الاستضافة بحجز الاسم عن طريق مزود الخدمة وتتولى إدارته بنفسها، أو تعطيه حق الإدارة، وتتم الإدارة عبر الإنترنت باستخدام موقع مخصص لإدارة اسم النطاق. معلومات اسم النطاق تضم معلومات اسم النطاق معلومتين هامتين للغاية هما: 1- عناوين الجهة التي تملك الاسم 2- أسماء مخدمات ربط الاسم مع مخدم الاستضافة (أي مخدمات DNS) ومهما تكن المعلومات المسجلة في حقل اسم مالك النطاق، فإن أهم معلومة على الاطلاق هي عنوان البريد الالكتروني للمالك، فإلى هذا العنوان ترسل كل المراسلات المتعلقة بالاسم مثل التنبيه إلى تجديد حجز الاسم أو طلبات نقل الاسم إلى مسجل نطاقات جديد. ولذلك يجب الانتباه تماما إلى ربط النطاق مع بريد الكتروني يفتح من قبل شخص موثوق على حاسب آمن وحماية هذا البريد بكلمة سر قوية. في العادة يستطيع مالك النطاق تغيير معلومات نطاقه عبر موقع إنترنت محمي بكلمة سر، ولكل نطاق كلمة سر خاصة يستطيع المالك تغييرها عبر نفس الموقع، وإذا تمكن شخص ما من معرفة كلمة سر إدارة النطاق، فهو يستطيع تغيير كل معلومات المالك، بما فيها عنوان البريد الالكتروني لإدارة النطاق. ولذلك تعتبر هذه الكلمة بالغة السرية ويجب عدم إطلاع الأشخاص غير المخولين عليها لأي سبب كان. وإضافة إلى كلمة السر هذه، يقدم بعض مسجلي النطاقات المرخصين حساب موزع لمزودي الخدمة المحليين ليمكنهم من تخديم زبائنهم وإدارة نطاقاتهم كلها من نفس المكان، وعادة ما يكون هذا الحساب بالغ السرية ولا يسمح بالوصول إليه إلا لشخص أو اثنين على الاكثر. وتعتبر معلومات هذا الحساب بالغة السرية لأنها تمكن من إدارة كل النطاقات التي يحويها وتغيير البريد الالكتروني لمالكها مما قد يمكن من الاستيلاء عليها من قبل جهة أخرى. ولذلك تتبع شركات الاستضافة طرقا متعددة لحماية حساب تسجيل النطاقات منها مثلا توزيع الأسماء على أكثر من حساب، وعدم الدخول إلى الحساب عبر وصلة غير آمنة. نقطة الضعف الدائمة: العامل البشري مهما كانت إجراءات الحماية التي تتخذها المؤسسات، ومهما كان تدريب طواقمها عاليا، فإن نقطة الضعف الأساسية في أمن معلوماتها هو العامل البشري. وفي أغلب عمليات القرصنة المعقدة التي تم تنفيذها عالميا، كان العامل البشري هو نقطة الضعف القاتلة التي يستغلها القراصنة لإنجاح العملية. وعندما يرغب قرصان ما بسرقة اسم نطاق، فإن كل ما يحتاج إليه هو كلمة سر لإدارة النطاق، وهنا قد يكون أمامه خياران: - كلمة سر مالك النطاق. - كلمة سر مزود الخدمة التي تمكن من إدارة كل نطاقاته. وللحصول على أي منهما يكفي الوصول إلى أرشيف صاحب كلمة السر، أو التجسس على مراسلاته المهمة، أو زرع برنامج تجسس على حاسبه يتمكن من قراءة بريده الالكتروني الوارد أو يراقب كلمات السر التي يكتبها، أو دفعه للدخول إلى حسابه عبر حاسب يحوي برامج تجسس. وقد يكون الأمر أبسط كثيرا، فالكثير من الناس يستخدمون كلمات سر يمكن لشخص يعرفهم أن يحزرها. وإضافة إلى ذلك، فإن أمن المعلومات على الإنترنت أمرشبه مستحيل التحقيق في سوريا، لأن كل عمليات الإنترنت تمر عبر وكيل Proxy مزود الاتصال بالإنترنت، ويتمكن الوكيل من مراقبة كل ما يدخل ويخرج عبره، بما في ذلك المعلومات فائقة الحساسية لأصحابها مثل كلمات السر. ومن الطبيعي أن مزودي الخدمة لا يمكن أن يضمنوا أن موظفيهم لا يستخلصون أية معلومات من سجلات حركة الإنترنت لديهم ثم يبيعونها إلى جهات أخرى تدفع الثمن المناسب، ولذلك فمهما كانت إجراءات الأمن المتبعة في الشركة قوية، هناك أشخاص مجهولون وغير موثوقين يستطيعون معرفة كلمات السر بالغة الحساسية والتي قد تؤثر بشكل حاسم عند إساءة استخدامها. كيف تحمي أسماء نطاقاتك: - اربط نطاقاتك مع حساب بريد الكتروني خاص غير الحساب الذي تفتحه بشكل يومي، ولا تفتح هذا الحساب إلا عبر وصلة آمنة، وتأكد من وجود https وليس http في شريط العنوان إذا كنت تفتح البريد عبر المتصفح، أما إذا كنت تستخدم برنامجا خاصا للبريد الالكتروني مثل Outlook أو Thunderbird فتأكد أن وصلتك مع المخدم تستخدم تشفير SSL. - احمل مسؤولية إدارة أسماء نطاقاتك بنفسك، فهذه المسؤولية بالغة الأهمية ولا يسمح بأي أخطاء فيها، وربما يضطرك ذلك إلى امتلاك حساب موزع لدى أحد مسجلي النطاقات المعتمدين إذا كنت تملك بعض الأسماء بالغة الأهمية. - لا تدخل إلى حساب إدارة النطاق إذا لم تكن مضطرا، وتذكر أنك تستطيع أن تعرف تاريخ تجديد النطاق عبر خدمة whois التي تقدمها العديد من الشركات على الإنترنت. - اشترك بخدمة إخفاء مالك النطاق لدى مسجل النطاقات، فهذا سيجعل من الصعب جدا على القراصنة معرفة بريدك الالكتروني الذي تستخدمه لإدارة النطاق، مما يحول استهداف هذا البريد إلى عمل بالغ الصعوبة. - استخدم كلمات سر صعبة الكسر، خصوصا على أقرب المقربين منك، ولا تعط كلمة السر لأحد، وانتبه جيدا إلى أمن الحاسب الذي تعمل عليه، ووصلته مع الإنترنت، وتذكر تفقد أمن هذا الحاسب قبل أن تكتب كلمة السر عليه في كل مرة. - تذكر تغيير أية كلمة سر يتم تبادلها عبر البريد الالكتروني، فهناك دائما فرصة أن يكون أحد ما قد اطلع على الرسالة أثناء انتقالها عبر الإنترنت، يجب أن تقوم بتبديل كل كلمة سر يرسلها إليك أي موقع فور وصولها إليك، واحتفظ بنسخة من كلمة السر مطبوعة في خزنتك مع الوثائق الهامة، وليس في ملف على حاسبك. يمكن اختصار هذه التوصيات بقاعدة سهلة الحفظ: "اربط اسم النطاق مع بريد الكتروني آمن وحافظ على أمن كلمة سر إدارته" دور وزارة الاتصالات والتقانة صحيح أن الأمن المطلق غير موجود في الحقيقة، ولكن لابد من الانتباه إلى أن مستوى الأمن المقبول عالميا للمعلومات الشخصية مستحيل التحقيق في سوريا ضمن السياسة الحالية لوزارة الاتصالات. ولذلك فالسوريون جميعا معرضون لاختراق أمن معلوماتهم مهما بذلوا من جهود لحمايتها ما دامت كل تعاملاتهم الالكترونية تمر عبر الوكيل Proxy الذي تفرض وزارة الاتصالات استخدامه على كل مزودي خدمة الوصول للإنترنت. ولعل أسوأ نتيجة لهذه السياسة الحكومية تتجلى في إهمال أمن المعلومات الشخصية من قبل الأفراد في بلدنا، فما الفائدة من كل هذه الإجراءات إذا كان بعض موظفي شركات الإنترنت يستطيعون الوصول إلى كل كلمات سرنا شئنا أم أبينا؟ نشر مؤخرا تقرير يقول أن بعض المخدمات التي تستضيف مواقع سورية تعرضت بشكل مستمر إلى أكثر من 50 هجوما كل يوم خلال فترة الاعتداء الإسرائيلي على لبنان، وقد عانى أشهر المواقع السورية مثل سيريانيوز وشام برس وجدار وزمان الوصل وغيرها من محاولات أذى متفاوتة في ضررها خلال العام الماضي، ويمكن أن تعاني جميع المواقع السورية مشاكل مشابهة إذا لم تتم معالجة مشكلة إهمال أمن المعلومات من أساسها. وهنا يأتي دور الحكومة للمساعدة في معالجة هذه المشكلة العامة على مستوى بلدنا، وأول ما يمكنها أن تفعله هو إلغاء القيود التي تفرض على الوصول الحر للإنترنت، كما يمكنها أن تساهم في حملات لتوعية المواطنين حول حقوق الخصوصية وحماية المعلومات الشخصية بشكل عام، وعلى الإنترنت بشكل خاص. وإلى ذلك الوقت، علينا أن نبذل كل جهدنا كأفراد لحماية أنفسنا ومواقعنا على الإنترنت، وأن نأمل أن لا يتخلى القدر عنا، فنجد نفسنا فجأة في وسط كارثة غير محسوبة لا يمكن توقع نتائجها. الأيهم صالح alayham@alayham.com جريدة بورصات وأسواق، الأحد 20 آب 2006

- اربط نطاقاتك مع حساب بريد الكتروني خاص غير الحساب الذي تفتحه بشكل يومي، ولا تفتح هذا الحساب إلا عبر وصلة آمنة، وتأكد من وجود https وليس http في شريط العنوان إذا كنت تفتح البريد عبر المتصفح، أما إذا كنت تستخدم برنامجا خاصا للبريد الالكتروني مثل Outlook أو Thunderbird فتأكد أن وصلتك مع المخدم تستخدم تشفير SSL.
بالمناسبة، حتى استخدام HTTPS عند التصفح لا يضمن أن يكون الاتصال آمنا، فقد يستخدم مزود الخدمة SSL Proxy يقوم بدور وسيط بين المستخدم و الموقع الهدف (ما يعرف بـMan in the middle)، يقوم هذا النوع من الـproxy بفك تشفير المعلومات المرسلة، تطبيق سياسة الرقابة عليها، ثم تشفيرها و إعادة إرسالها: http://en.wikipedia.org/wiki/Proxy_server#SSL_proxies يتمكن هذا النوع من الـproxy من فك تشفير بيانات المستخدم لأنه يرسل مفتاحه العام للمستخدم و يحتفظ بالمفتاح العام للموقع الهدف لنفسه. على كل يبقى HTTPS أكثر أمنا من HTTP بمراحل، فالخطر الوحيد المحتمل على البيانات هو عند مزود الخدمة. شكرا على النصائح :)

شكرا على المقال. تعليقا على تعليق السيد أيمن، كما أعرف فانه عندما يقوم البروكسي باعتراض وصلة آمنه، فهذا ليس أمرا شفافا. و بالتالي فإن مشاهدة الشهادة يسمح بالتأكد من كونها شهادة الموقع المقصود أو كونها شهادة من بروكسي مزود الخدمة، و عندما تكون الشهادة هي شهادة الموقع المقصود فلا يمكن للبروكسي أن يفك التشفير على حد علمي، و ينبغي التأكد من عدم وجود شهادة موثوقة من مزود الخدمة في اعدادات المتصفح يمكن استخدامها في الوصلة، و الموافقة على وجود هذه الشهادة لا يحدث الا من خلال موافقة المستخدم. و طبعا فمشاهدة الشهادة ليس بالامر الصعب، اذ تكفي نقرة واحدة على الايقونة في شريط الحالة في اسفل الانترنت اكسبلورر ، أو على الايقونة في شريط العنوان في الفاير فوكس، و يصبح بالتالي من الممكن التأكد من أمان وصلة الانترنت. اليس كذلك؟ و شكرا.

In reply to by ابن مكرم

أهلا شادي، في الواقع هناك برامج قادرة على توليد شهادات قريبة جدا من الأصل بشكل ديناميكي، لتظهر و كأنها من الموقع المقصود فعلا، (باستثناء حقل سلطة الشهادات المصدر Cert Authority). بالنسبة لغالبية الناس، فإن شهادة ذات معلومات صحيحة عن الموقع المقصود (خاصة الـhost name) كافية للموافقة عليها. بامكانك الاطلاع على برنامج Ettercap للمزيد عن هذه الامكانية: http://ettercap.sourceforge.net/

In reply to by Ayman

شكرا جزيلا، تفحصت البرنامج ووجدت التالي:
this should decrypt ssl packets and give u a way to c the username and password in clear text - this pretty much is a basic concept on how ssl can be degraded but the draw back here is that you wont recive anything if the client user declines the certification when this attack is used, so to fix this u can click never accept new certificates.
منتديات الدعم يعني أن العامل البشري، و عدم الانتباه الى تزوير الشهادة هو الطريق لاختراق الوصلات الآمنة. و ما دمنا فيها، و باعتبار أن مقال الايهم أوصى باستخدام وصلة آمنة لتصفح البريد الالكتروني، فأحب أن أضيف أنه من الممكن اجبار الجي ميل على استخدام وصلة آمنه من خلال فاير فوكس مع جريس مونكي، و باستخدام هذا النص البرمجي مع هذا.

In reply to by ابن مكرم

أتفق معك أن الخطأ البشري لازال مطلوبا، بالطبع البرنامج لا يستطيع تزوير نسخة طبق الأصل عن الشهادة، فهو لا يملك المفتاح الخاص لسلطة الشهادات و بالتالي لا يستطيع تزوير هذه الحقل، ولكن تزوير باقي الحقول ممكن باستخدام مفتاح خاص آخر، ما يحدث هو أن المستخدم يتلقى رسالة تنبيه عن شهادة خاصة بنفس الموقع الذي يزوره (أي حقل الـhost) مطابق، ولكن سلطة الشهادات مجهولة، معظم الناس ستفترض بأن الشهادة صحيحة بما أن عنوان الموقع صحيح. أو أنها لن تملك خيار رفض الشهادة إذا كان مزور الخدمة يسخدم SSL Proxy، إذ أن الرفض يعني عدم الدخول للموقع. القصد من مشاركتي أن مجرد وجود HTTPS أو قفل قرب العنوان لا يعني أن الاتصال آمن بالضرورة. التالي من ملفات دعم البرنامج:
While performing the SSL mitm attack, ettercap substitutes the real ssl certificate with its own. The fake certificate is created on the fly and all the fields are filled according to the real cert presented by the server. Only the issuer is modified and signed with the private key contained in the 'etter.sll.crt' file. If you want to use a different private key you have to regenerate this file.
بالمناسبة أنا استخدم Customize Google لضما استخدام HTTPS مع Gmail و هي تعمل بشكل جيد.