كيف دخلت شركة برامج التجسس في متجر شهادات موزيلا وما الذي جاء منها

كشفت قصة المباحث حقا في الأشهر الأخيرة حول DarkMatter ، والتي تقدمت لتشمل سلطة التصديق في متجر شهادات الجذر الموثوق به لموزيلا. الحقيقة هي أن هذه ليست شركة بسيطة ، ولكن مطور برامج "برامج التجسس" من دولة الإمارات العربية المتحدة. وقد شوهدت سابقًا وهي تشتري مآثر 0day . من حيث المبدأ ، هذه ليست جريمة في حد ذاتها. تقوم العديد من الشركات ، بما في ذلك الشركات الروسية ، بتطوير أدوات قرصنة باستخدام 0day. يبيعون هذه البرامج ، على سبيل المثال ، لوكالات إنفاذ القانون لاختراق الهواتف (الخبرة الجنائية) أو التثبيت الخفي لأحصنة طروادة (المراقبة التشغيلية). لكن القواعد المقبولة بشكل عام هي أن شركات القرصنة تتعاون فقط مع الحكومات الديمقراطية ، أي أنها تقف "إلى جانب الخير".

تصاعدت المشاعر في فبراير 2019 عندما توصل تحقيق أجرته رويترز إلى أن شركة DarkMatter كانت تبيع برمجيات إلى الأنظمة القمعية في الشرق الأوسط.

تعرضت موزيلا للضغط على الفور.

يتم استخدام مخزن شهادات الجذر الموثوق به من Mozilla بواسطة بعض توزيعات Linux. كان الكثيرون يخشون أن يبدأ DarkMatter ، بمجرد وصوله إلى متجر Mozilla Root Store ، إصدار شهادات TLS ، والتي يمكن استخدامها لاعتراض حركة مرور المستخدمين على الإنترنت. مثل هذه الحالات كانت موجودة بالفعل في بلدان ذات أنظمة قمعية ، على الرغم من أن DarkMatter تدعي أنها لم تشارك مطلقًا في مثل هذه العمليات. على الرغم من أن المشكلة الآن قد تؤثر على أنظمة Linux معينة فقط ، إلا أن Linux هو الذي يعمل على خوادم موفري الخدمات السحابية ويتم نشره في مراكز البيانات. عند مناقشة الموقف على مجموعات Google ، أكد ممثلو DarkMatter أنهم لن يفعلوا أبدًا أي شيء من هذا القبيل.

في الوقت نفسه ، تم فحص شهادات DarkMatter. وسرعان ما تم اكتشاف الغرابة: بالنسبة لأرقام الشهادة التسلسلية ، تم استخدام أرقام عشوائية من مساحة 63 بت بدلاً من 64 بت ، كما ينبغي وفقًا للمواصفات. هذا ينتهك الحد الأدنى لمتطلبات الكون CA / B المنتدى (64 بت). وبالتالي ، كان لدى Mozilla أسباب رسمية لرفض "الجواسيس" ليتم تضمينها في مخزن الشهادات الموثوق.

ومع ذلك ، فقد تبين أن هذا الانتهاك لم يرتكبه DarkMatter فحسب ، بل مع عشرات مراكز التصديق ، بما في ذلك GoDaddy و Apple و Google. والسبب هو أن جميع المراجع المصدقة المتأثرة استخدمت حل EJBCA PKI مفتوح المصدر الشهير مع الإعدادات الخاطئة.

وقد بدأ استدعاء الشامل من المراكز الرائدة. استغرق الإجراء وقتًا طويلًا (حتى 30 يومًا) نظرًا للعدد الهائل من الشهادات. كان عليهم انتهاك RFC5280 ، الذي يلزم بإلغاء الشهادات غير الصالحة في غضون خمسة أيام. نتيجة لذلك ، وفقًا لبعض التقديرات ، تم استدعاء عدة ملايين قطعة.

هكذا قامت شركة التجسس DarkMatter بعمل جيد: لقد ساعدت في اكتشاف ثغرة أمنية خطيرة في التشفير. لكنها أصيبت هي نفسها. في الواقع ، لا يوجد أساس جاد في مزاعم تحقيق أجرته رويترز: ربما هذا مجرد تكهنات بصحفي. ومع ذلك ، فقد تم بالفعل رفض طلب إدراجها في وحدة تخزين Mozilla الموثوق بها ، وهذا هو سبب غضب ممثلي الشركة بشدة. والبعض يتفق معهم.

"موقف غريب. من ناحية ، فإن رفض تطبيق DarkMatter على أساس هذه المقالات في الصحافة سيشكل سابقة لرفض الضمير الواضح لأحد أعضاء الصناعة على أساس الشائعات فقط وبدون أدلة ، " يكتب نديم قبيسي ، خبير أمني مشهور. - من ناحية أخرى ، إذا قررنا التصرف بحسن نية ، بشفافية وبأدلة واقعية ، فإننا في الواقع نواجه خطر تقويض ثقة الجمهور على المدى الطويل في عملية تضمين شهادات الاعتماد.

يبدو لي حقًا أن كلا القرارين سيكونان ضارين. في الحالة الأولى ، سيبدو هذا تمييزًا (وحتى كراهية للأجانب) ... وفي الحالة الثانية ، سيكون هناك سحابة خطيرة من عدم اليقين حول أمان الدليل الجذر لـ CA ككل. وأنا لا أعرف حتى كيف يمكن لأي شخص أن يبددها على الأقل في يوم من الأيام.

بوصفي مراقبًا خارجيًا ، لا أعلم بصدق ما يجب فعله في Mozilla في الوقت الحالي ...

في الواقع ، أود أن يتم نشر دليل جاد ضد DarkMatter (إن وجد). سوف يساعدون موزيلا على اتخاذ موقف دفاعي قوي ".

وفقًا لخبراء من صناعة SSL / PKI ، فإن الإلغاء المفاجئ للشهادات يوضح أيضًا الدور المهم للأتمتة في إدارة شهادات الشركة. بعد كل شيء ، في الواقع ، قد يتم إبطال شهادة في أي وقت بسبب هذا الحدث الحاسم.

من الجيد أن تكون شهادة على خادم واحد ، ولكن المشكلة ستصبح خطيرة إذا كان لديك مئات الشهادات على أجهزة إنترنت الأشياء التي تم إلغاؤها على الفور. وإذا كان الآلاف من الأجهزة ، وعشرات الآلاف؟ لحل هذه المشكلة ، دخلت GlobalSign في اتفاقية شراكة تقنية مع Xage Security . ستطبق نظام إدارة الشهادات الأوتوماتيكي لمنصة IoT Identity Platform ، القادر على إصدار 3000 شهادة في الثانية.

---

انضم اليوم إلى المطورين والمبتكرين في مجال إنترنت الأشياء وإدارة العديد من أجهزة إنترنت الأشياء القائمة على PKI من خلال حلول GlobalSign .


بحاجة الى مزيد من المعلومات؟ يسعدنا دائمًا تقديم المشورة لك عبر الهاتف +7 499-678-2210.