الجمعة، 5 أغسطس 2016

اختراق اقوى بروتوكول حماية !!!


يعتبر بروتوكول الإنترنت الآمن (HTTPS) أكثر بروتوكولات الإنترنت شيوعا حيث تستخدمه معظم مواقع التواصل الاجتماعي، ويعد البروتوكول الأساسي للبريد الإلكتروني الآمن، وأي موقع يتعامل ببطاقات الائتمان يستخدمه كحد أدنى، لكن باحثين تمكنوا من اختراق بروتوكول https بطريقة بسيطة وغير متوقعة.

إن حروف كلمة "https" اختصار يجمع بين حروف جملة "بروتوكول نقل النص التشعبي" (http) والحرف الأخير من "TLS" اختصار لجملة "طبقة النقل الآمنة" ويعتبر بروتوكول "http" بمثابة "اللغة" التي تتخاطب بها الحواسيب بين بعضها لتبادل المعلومات وفتح مواقع الويب، أما "TLS" فهي تخلق قناة مشفرة بين حاسوبين كي يتخاطبا بالحد الأدنى من المشاكل. وتتبادل الحواسيب مفاتيح التشفير للتواصل، وبدون المفتاح لا يمكن لها مخاطبة بعضها.

ويستخدم بروتوكول https لمنع الاختراقات من نوع "Men-In-The-Middle" والتي تعني أن المخترق يعترض قناة الاتصال بين الحاسوبين بحيث تمر المخاطبة بينهما من خلاله. كما يساعد هذا البروتوكول في منع العبث بالاتصالات والتزوير، ويقدم حماية للخصوصية، على الأقل من المتسللين.

لكن باحثين من جامعة ليوفين البلجيكية تمكنوا من تطوير تقنية تدعى (HEIST) تعمل على التغلغل في أعماق الإنترنت، وبالتحديد في بروتوكول التحكم بالإرسال (TCP) الذي يحدد بشكل عام الكيفية التي تقرر بها الإنترنت إرسال الرسائل.
فقد لاحظ الباحثون أنه إذا راقب مخترق كيف يتم استخدام بروتوكول "TCP" في موقع ويب، فإنهم يتمكنون عن طريق تحميل نص شيفرة جافا البسيط إلى صفحة ما من القيام بتكهن مدروس عن أي رسائل يتم إرسالها إلى الصفحات الآمنة. ومن هناك يمكنهم استخدام ثغرات الضغط لفك تشفير حركة المرور.

ولن يلاحظ معظم زوار مواقع الويب ما يحدث، لكن إذا زرت موقع ويب غير آمن ومن ثم توجهت إلى موقع آخر حيث تدخل رقم الضمان الاجتماعي مثلا، فإن بإمكان القرصان بسهولة معرفة ذلك والبدء باستغلال بطاقات الائتمان باسمك.

المسألة الخطيرة هنا أن هذه الثغرة لا تتطلب وجود "رجل في المنتصف" وهي تلك الهجمات التي صنع بروتوكول الإنترنت الآمن HTTPS في المقام الأول لمنعها، وهذا يفتح الباب أمام اختراقات عديدة مثل كلمات المرور إلى معلومات الحساب الشخصية وأرقام بطاقات الائتمان، وأي بيانات شخصية أخرى قد يشاركها المستخدم على الإنترنت.

ولحسن الحظ فإن الحماية من هذه الثغرة الأمنية بسيط، ويتمثل بتعطيل خاصية الاحتفاظ بالملفات المؤقتة في المتصفح (الكوكيز) ورغم أنه يظل بإمكان المخترقين التكهن بأي الصفحات الآمنة تزورها لكنهم لن يكونوا قادرين على تخطي أمن الموقع.
ووفق موقع "أبروكس" المعني بشؤون التقنية، فإن الباحثين أبلغوا شركتي مايكروسوفت وغوغل بهذه المسألة حتى يعمل خبراء الأمن فيها على إيجاد حل لها.

ليست هناك تعليقات:

إرسال تعليق

أخبار

اخبار تقنية (132) اندرويد (89) تقنية (75) مسابقة أفضل تدوينة (60) ايفون (51) تطبيقات (41) فيسبوك - facebook (24) واتساب - whatsapp (23) جوجل - Google (13) حرب الالكترونية (10) سامسونغ - Samsung (9) يوتيوب - youtube (9) WiFi (7) تقارير و دراسات (7) منوعات (7) هواتف - phone (7) SS7 (6) apple (6) hacker news (6) zoom (6) VPN (5) hacker (5) instagram - أنستقرام (5) SCADA (4) 5G (3) IOS (3) Programming Language (3) android (3) android malware (3) artificial intelligence (3) iphone (3) network (3) os (3) privacy (3) أبتكارات و أختراعات (3) تعلم البرمجة (3) خصوصية (3) هواوي - huawei (3) +Apple TV (2) Android Trojan (2) COVID-19 (2) GDPR (2) LiFi (2) Twitter (2) WhatsApp Desktop (2) WhatsApp Web (2) application (2) checklist (2) coronavirus (2) dns (2) google paly (2) microsoft teams (2) news (2) php (2) scan netwok (2) الجيل الخامس (2) باركود (2) برمجة (2) تويتر (2) روبوت (2) روت - root (2) سوني - Sony (2) شبكات (2) قواعد البيانات (2) نظام التشغيل (2) واي فاي (2) AI (1) Air Force (1) AirPlay (1) Apple TV (1) Bitdefender (1) Bluetooth (1) CSSLP (1) Cambridge Analytica (1) Certified (1) Cisco (1) Comodo (1) CryptoAPI (1) Darknet (1) Defcon (1) DoH (1) E2EE (1) ECES (1) Egregor (1) FIN8 (1) Fitbit (1) Front end (1) Full HD (1) GCFA (1) GPEN (1) GandCrab (1) Google Takeout (1) HTC (1) Hidden Cobra (1) IoT (1) JavaScript (1) Kodachi (1) LG (1) Lazarus Group (1) Meta (1) MongoDB (1) Netflix (1) OSINT (1) Oneplus (1) Oneplus 8 filter (1) Operating System (1) R (1) RCM (1) RCS (1) RitaVPN (1) STEGANOGRAPHY (1) Sonos (1) StarOS (1) TCP/IP (1) TOR (1) TOR Browser (1) TV show (1) Trend Micro (1) USITC (1) Ultra HD (1) VISA (1) Vultur (1) WATSAPP DARK (1) WhatsApp hacked (1) White Rabbit (1) Yandex (1) anonymity (1) big data (1) bitcoin (1) browser (1) call (1) camera (1) certification (1) cloud computing (1) cross-site (1) dark mode (1) darkmode (1) database (1) deep learning (1) deepwep (1) faceebok Messenger (1) fitbit watch (1) google project zero (1) goolge (1) hack life - اخترق حياتك (1) hacking satellite (1) iTunes (1) intercepter-ng (1) isp (1) joker (1) lan (1) moves (1) nessus (1) nmap (1) python (1) robotics (1) robotics revolution (1) smb1 (1) ssl (1) tarcking (1) tls (1) video call (1) voip (1) wan (1) web app (1) windows (1) أكاديمة حسوب (1) التعلّم العميق (1) الويب العميق (1) الويب المظلم (1) انترنت الاشياء (1) بيتكون (1) تطبيقات الطقس (1) تطبيقات الويب (1) تقنية 5G (1) تقينة الجيل الخامس (1) خدمات سحابيه (1) خوارزمية القيصر (1) دارك نبيت (1) ستاكس نت (1) شودان (1) علم أخفاء البيانات (1) علم الحاسوب (1) كتب (1) لغات البرمجة (1) مراجعات (1) مزود الخدمة (1) نصائح تقنية (1) هندسة البرمجيات (1)