ثغرة “بوودل” تعجل بنهاية الإصدار الثالث من بروتوكول التشفير SSL

كتبها · 30 November, 2014

أثناء إبحارنا عبر المواقع المتعددة على شبكة الانترنت كثيرا ما تصفحنا مواقع تحمل الرمز https:// كسابقة لاسم الموقع، وهو دائما ما يشعرنا بالأمان تجاه الموقع ويشجع الكثيرين على استخدام البيانات الشخصية داخل الموقع وتسمى بطبقة المقابس الآمنة.

طبقة المقابس الآمنة

طبقة المقابس الآمنة “SSL” هي برتوكول تشفير مصمم لتشفير البيانات المهمة بين المتصفح والمواقع المختلفة

طبقة المقابس الآمنة “SSL” هي برتوكول تشفير مصمم لتشفير البيانات المهمة بين المتصفح والمواقع المختلفة. عند تلك الطبقة يتم نقل البيانات بين المتصفح والخادم “Server”  في صورة نصية قابلة للاعتراض. يرجع تصميم تلك الطبقة لشركة “نت سكيب” الشهيرة لدعم نقل البيانات بصوره مشفرة وآمنة. وقد تم بناء الإصدار الأول مبدئيًا ولم ينشر أو يستخدم فعليًا، وتلاه الإصدار الثاني في العام ١٩٩٥، حيث احتوى على الكثير من الثغرات الأمنية التي دعت إلى إعادة تصميم الطبقة بالكامل على يد ثلاثة متخصصين في مجال تشفير البيانات، وهم “بول كوشر” و”فيل كارلتون” و”ألان فراير” الذين اتموا بناء الإصدار الثالث من تلك الطبقة في العام ١٩٩٦.

استخدم “SSL” الإصدار الثالث إلى ما يقارب ١٨ عامًا لنقل البيانات المؤمنة بين معظم التطبيقات وغالبية الخوادم التي تدعم تشفير البيانات مثل خوادم الويب والبريد الالكتروني.

ثغرة بوودل

httpsبوودل “POODLE” هو اختصار “Padding Oracle On Downgraded Legacy Encryption” وهو خلل في كيفية تعامل المتصفحات والتطبيقات مع التشفير SSL  الإصدار الثالث، فيستغل المخترقون ذلك الخلل الذي يسمح لهم بإرفاق بيانات تسمح بتسريب بعض البيانات وفك تشفير تلك البيانات، كما يسمح لهم بما يطلق عليه اختطاف الجلسات – وهو أن يدخل المخترق بصلاحيات المستخدم الأصلي ويسبب الضرر له ولحسابه. واكتشف هذا الخلل “بودو مولر”، و”ثاي دونغ”، و”كرزيستوف كوتووكز” من فريق أمن جوجل.

وبالرغم من قدم الإصدار، إلا أن العديد من الخوادم والتطبيقات تعتمد عليه مما يجعل من الصعب حصر الأثر الناجم عن الثغرة. ونظرًا لأن البروتوكول قديم جدا والخلل لا يمكن توقعه، فإنه يعجل بالضرورة بنهاية استخدام SSL الإصدار الثالث كمعيار للتشفير. وتدعم كافة التطبيقات والخوادم ثلاثة تحديثات للبروتوكول لا يوجد فيها نفس الخلل. ولإصلاح ذلك الخلل، لابد من اجبار التطبيقات على استخدام تلك التحديثات ومنع استخدام الإصدار المعيب. سنحاول في هذه التدوينة تغطية الحل المقترح للمتصفحات الأكثر استخدامًا:

متصفح  Firefox

يوفر هذا المتصفح لوحة تحكم كاملة للإعدادات الداخلية للمستخدم ولكن كنسخة مخبئه حتى لا يتم العبث بها لذا اتبع الخطوات التالية:

  • اكتب في شريط العنوان “about::config”  Screen Shot 2014-11-13 at 7.51.09 AM.
  • اضغط على”I promise I’ll be careful” لتخطي الشاشة التحذيرية.
  • في صندوق البحث، اكتب “tls.version.min.
  • قم بتغيير قيمة الناتج إلى ١ بعد الضغط مرتين عليه.
  • أعد تشغيل المتصفح، وبذلك تم حل المشكلة.

متصفح Internet Explorer

  • اضغط على ايقونة الإعدادات Screen Shot 2014-11-13 at 7.54.58 AM .
  • اخترInternet Options.
  • اختر مبوبة Advanced.
  • ابحث عنUse SSL 3.0في المجموعة Security، و قم بإلغاء علامة الاختيار من جانبها.
    Screen Shot 2014-11-13 at 7.50.59 AM
  • أعد تشغيل المتصفح، وبذلك تم حل المشكلة.

متصفح Google Chrome

لا يحتوي هذا المتصفح على أي شاشة تسمح للوصول إلى الإعدادات الداخلية للمتصفح، ولكن يمكن حل المشكلة عند فتح المتصفح:

  • اضغط بالزر الأيمن من الفأرة على أيقونة المتصفح، ثم اختر “Properties”
    Screen Shot 2014-11-13 at 7.50.31 AM
  • في  خانة Target، أضف “—ssl-version-min=tls1 ، ثم اضغط الزر “OK”
    Screen Shot 2014-11-13 at 7.50.03 AM
    • أعد تشغيل المتصفح. وبذلك تم حل المشكلة، ولكن يجب استخدام نفس الأيقونة لفتح المتصفح كل مرة.

Post By Sami El-Kady (1 Posts)

Website: → Personal Website

Connect

مصنفة ضمن أمن المعلومات, الموضوعات المميزة



التصنيفات

تعليقك