ما هو الباب الخلفي؟
بالتعريف: "Backdoor هي ميزة أو خلل في نظام الكمبيوتر الذي يسمح بالوصول غير المصرح به إلى البيانات بشكل غير مصرح به ،" إما أن يكون الباب الخلفي في خوارزمية التشفير أو الخادم أو في التنفيذ ، ولا يهم ما إذا كان قد سبق استخدامه أو ليس.
بالأمس ، نشرنا قصة مبنية على النتائج التي ذكرها الباحث الأمني توبياس بويلتر والتي تشير إلى أن واتسآب لديه باب خلفي "يمكن أن يسمح" للمهاجم ، وبالطبع الشركة نفسها ، باعتراض اتصالاتك المشفرة.
أصبحت القصة التي تضم أكبر منصة مراسلة آمنة في العالم والتي لديها أكثر من مليار مستخدم في جميع أنحاء العالم سريعة الانتشار في ساعات قليلة ، مما اجتذب ردود أفعال خبراء الأمن وفريق WhatsApp و Open Whisper Systems الذين عقدوا شراكة مع Facebook لتنفيذ التشفير من النهاية إلى النهاية في WhatsApp .
ملاحظة: أود أن أطلب من القراء قراءة المقالة كاملة قبل الوصول إلى استنتاج. وأيضا ، يتم دائمًا دعوة الاقتراحات والآراء :)
ما هي المشكلة:
تعتمد الثغرة الأمنية على الطريقة التي يتصرف بها WhatsApp عند تغيير مفتاح تشفير المستخدم النهائي.
يثق WhatsApp افتراضيًا بمفتاح التشفير الجديد الذي تبثه جهة اتصال ويستخدمه في إعادة تشفير الرسائل غير المسلمة وإرسالها دون إعلام مرسل التغيير.
في مقالتي السابقة ، قمت بتوضيح هذه الثغرة مع مثال سهل ، لذلك يمكنك متابعة قراءة هذه المقالة لفهمها بشكل أفضل.
اعترف موقع Facebook نفسه بهذه المشكلة في WhatsApp التي أبلغ عنها Boelter ، قائلاً " كنا على علم مسبق بالمشكلة وقد نغيرها في المستقبل ، ولكن في الوقت الحالي لا نعتمد على التغيير " .
ما جادل الخبراء:
وفقا لبعض الخبراء الأمنيين - "إنه ليس مستترًا ، بل هو ميزة لتجنب إعادة التحقق بدون داع من مفاتيح التشفير عند التجديد التلقائي".
تقول Whisper Systems المفتوحة - "لا يوجد بوابة خلفية على ال WhatsApp" ، "إنها طريقة عمل التشفير" ، كما أن هجوم MITM "متوطن في تشفير المفتاح العام ، وليس فقط WhatsApp".
يقول المتحدث باسم WhatsApp ، الذي حصل عليه موقع Facebook في عام 2014 بمبلغ 16 مليار دولار ، "إن قصة الجارديان على باب مستتر في WhatsApp غير صحيحة. إن WhatsApp لا يمنح الحكومات سطحًا خلفيًا لأنظمتها. سيحارب WhatsApp أي طلب حكومي لإنشاء باب خلفي". ".
ما هي حقيقة:
والجدير بالذكر أن أياً من خبراء الأمن أو الشركة لم ينكر حقيقة أنه ، إذا لزم الأمر ، فإن WhatsApp ، بناءً على طلب الحكومة ، أو المتسللين المدعومين من الدولة يمكنهم اعتراض الدردشات.
كل ما يجب عليهم قوله هو أن WhatsApp مصمم ليكون بسيطًا ، ويجب ألا يفقد المستخدمون إمكانية الوصول إلى الرسائل المرسلة إليهم عند تغيير مفتاح التشفير الخاص بهم.
ماذا؟ "... بروتوكول التشفير من المفترض" backdoored من قبل WhatsApp ... " NO!
لم يقل أحد أنه "باب خلفي للتشفير" بدلاً من ذلك ، يكمن هذا الباب الخلفي في الطريقة التي تم بها تنفيذ التشفير من طرف إلى طرف بواسطة WhatsApp ، والذي يسمح في النهاية باعتراض الرسائل دون كسر التشفير.
كما ذكرت في قصتي السابقة ، هذا الباب الخلفي لا علاقة له بأمن بروتوكول تشفير الإشارة الذي أنشأته Open Whisper Systems . إنه أحد بروتوكولات التشفير الأكثر أمانًا إذا تم تنفيذه بشكل صحيح.
إذن لماذا Signal أكثر أمانا من WhatsApp؟
قد تتساءل عن سبب كون رسول الرسائل الخاصة أكثر أمانًا من واتس اب ، بينما يستخدم كلاهما بروتوكول التشفير المتكامل نفسه ، بل ويوصي به نفس فريق خبراء الأمن الذين يتجادلون - "إن WhatsApp ليس له باب خلفي".
لأنه يوجد دائمًا مجال للتحسين.
ويسمح تطبيق إشارات الرسائل ، بشكل افتراضي ، للمرسل بالتحقق من مفتاح جديد قبل استخدامه. وحيث إن WhatsApp ، بشكل افتراضي ، يثق تلقائيًا بالمفتاح الجديد للمستلم بدون أي إخطار إلى المرسل.
وحتى في حالة تشغيل المرسل لإشعارات الأمان ، فإن التطبيق يُعلم مرسل التغيير فقط بعد تسليم الرسالة.
لذا ، اختار WhatsApp هنا قابلية الاستخدام على الأمان والخصوصية.
لا يتعلق الأمر بـ "هل نثق في WhatsApp / Facebook؟":
يقول WhatsApp أنه لا يعطي الحكومات "خلفية" في أنظمتها.
لا شك في أن الشركة ستحارب بالتأكيد الحكومة إذا تلقت أوامر المحكمة هذه وفي الوقت الحالي تبذل قصارى جهدها لحماية خصوصية مستخدميها البالغ عددهم مليار شخص.
ولكن ماذا عن المتسللين برعاية الدولة؟ لأنه ، من الناحية الفنية ، لا يوجد مثل هذا الباب الخلفي 'المحجوز' الذي يمكن للشركة فقط الوصول إليه.
لماذا ميزة "التحقق من المفاتيح" لا يمكن أن تحميك؟
يوفر WhatsApp أيضًا طبقة أمان ثالثة يمكنك من خلالها التحقق من مفاتيح المستخدمين الآخرين الذين تتصل بهم ، إما عن طريق مسح رمز الاستجابة السريعة أو بمقارنة رقم مكون من 60 رقمًا.
ولكن إليك
الميزة: تضمن هذه الميزة عدم اعتراض أحد على رسائلك أو مكالماتك في الوقت الذي تتحقق فيه من المفاتيح ، ولكنه لا يضمن عدم اعتراض أي شخص ، أو اعتراضه في المستقبل ، أو في المستقبل على اتصالاتك المشفرة ، لا توجد وسيلة ، في الوقت الحالي ، من شأنها أن تساعدك على تحديد هذا.
WhatsApp الوقاية من مثل هذه الهجمات MITM غير مكتملة
يقدم WhatsApp بالفعل ميزة "إشعارات الأمان" التي تبلغ المستخدمين كلما تغير رمز الحماية الخاص بجهة الاتصال ، والذي تحتاج إلى تشغيله يدويًا من إعدادات التطبيق.
لكن هذه الميزة لا تكفي لحماية اتصالاتك دون استخدام أداة نهائية أخرى ، وهي "الحس المشترك" .
هل تلقيت إشعارًا يشير إلى تغيير رمز الحماية الخاص بجهة الاتصال؟
بدلاً من تقديم "Security by Design" ، يريد WhatsApp من مستخدميه استخدام الحس السليم بعدم التواصل مع جهة الاتصال التي تم تغيير مفتاح الأمان الخاص بها مؤخرًا دون التحقق من المفتاح يدويًا.
حقيقة أن تطبيق WhatsApp يقوم تلقائيًا بتغيير مفتاح الأمان الخاص بك بشكل متكرر (لأسباب معينة) بحيث يبدأ تجاهل هذه الإشعارات ، مما يجعل من المستحيل عمليا على المستخدمين النظر بنشاط في كل مرة للتحقق من صحة مفاتيح الجلسات.
ما ينبغي أن يفعله واتسآب؟
دون إثارة الذعر لدى جميع المستخدمين البالغ عددهم مليار شخص ، يمكن لـ WhatsApp ، على الأقل:
- توقف عن تجديد مفاتيح تشفير المستخدمين بشكل متكرر (من الواضح أنني لا أعرف سبب قيام الشركة بذلك).
- حدد خيارًا في إعدادات الأشخاص المهتمين بالخصوصية ، والتي إذا تم تشغيلها ، فلن يثقوا تلقائيًا بمفتاح التشفير الجديد ويرسلون الرسائل حتى يتم قبولها أو التحقق منها يدويًا من قبل المستخدمين.
... لأنه تمامًا مثل الآخرين ، أكره أيضًا استخدام تطبيقين للتواصل مع أصدقائي وزملائي في العمل ، أي الإشارة إلى الخصوصية و WhatsApp نظرًا لأن الجميع يستخدمونها.