ياهو لا تستحق الثناء لتعزيز الأمن

نعم ، قامت Yahoo أخيرًا بتشغيل تشفير HTTPS لمستخدمي Mail ، ولكن لا يبدو الأمر كما لو أن الشركة بذلت أي جهد نحو القيام بذلك بطريقة آمنة ذات مغزى.

جميع اتصالات Yahoo Mail - سواء على الويب أو الويب المحمول أو تطبيقات الجوال أو حتى عبر IMAP و POP و SMTP - يتم تشفيرها الآن افتراضيًا باستخدام شهادات 2048 بت ، كتب Jeff Bonforte ، نائب رئيس منتجات الاتصالات في Yahoo مكتوب على Yahoo Mail's Tumblr هذا الأسبوع. ستعمل هذه الخطوة على حماية جميع محتويات رسائل البريد الإلكتروني والمرفقات وجهات الاتصال ومعلومات التقويم وحتى بيانات Messenger ، حيث إنها تنتقل بين متصفح المستخدم وخوادم Yahoo. حذر خبراء الأمن أنه لم يكن كافيا.

وقال تود بيردسلي ، مدير هندسة Metasploit في Rapid7: "إن إعلان Yahoo عن تمكين تشفير HTTPS لجميع مستخدمي Yahoo Mail ليس متأخراً للغاية ، ولكنه أيضًا مقلق للغاية".

الائتمان حيث الائتمان المستحق

بدأت Yahoo في تزويد المستخدمين المهتمين بالأمان بخيار تشغيل HTTPS لأنفسهم في أواخر عام 2012. ويعني التغيير الأخير أن التشفير قيد التشغيل الآن افتراضيًا ، مما يحمي الجميع ، وليس فقط الأشخاص الذين اختاروا المزيد من الأمان. بالنظر إلى أن معظم المستخدمين لا يندثرون أبدًا في الإعدادات ، فإن من الجيد تشغيل Yahoo أخيراً HTTPS افتراضيًا. لقد كان لدى Gmail HTTPS افتراضيًا منذ عام 2010 ، أطلقت Microsoft Outlook.com في يوليو 2012 مع هذه الميزة افتراضيًا ، وبدأ Facebook في طرح HTTPS افتراضيًا للمستخدمين في نوفمبر 2012.

لن يكون التأخر في الحفلة أمرًا سيئًا للغاية إذا كانت ياهو قد فكرت بالفعل في بعض قراراتها الأمنية. قال إيفان ريستيك ، مدير أبحاث أمن التطبيقات في شركة Qualys الأمنية ، لـ Security Watch ، إنه على الرغم من أن نشر التشفير بشكل افتراضي يعد "خطوة كبيرة للأمام لـ Yahoo ، فإن التكوين الجديد يترك الكثير مما هو مرغوب فيه". تتعلق المشكلة الأكبر بحقيقة أن Yahoo قررت عدم دعم "Perfect Forward Secrecy" (PFS).

وحذر ريستيك قائلاً: "بدون سرية المعلومات إلى الأمام ، فإن البيانات المشفرة معرضة للخطر من الناحية العملية بسبب التسوية بالمفاتيح الخاصة".

سريع PFS التمهيدي

مع تشفير HTTPS الأساسي ، لا يمكن للمتسللين (أو الوكلاء الحكوميين) الذين يلتقطون دفق البيانات قراءة المحتويات لأنهم لا يملكون مفتاح Yahoo الخاص. ومع ذلك ، إذا حصلوا على المفتاح في تاريخ لاحق ، فيمكنهم الرجوع وفك تشفير البيانات التي تم التقاطها مسبقًا. إذا قام الموقع بتطبيق Perfect Foward Secrecy ، فحتى لو تمكن شخص ما من الوصول إلى المفتاح في وقت لاحق ، فلن يتمكن هذا الشخص من العودة وفتح جميع الجلسات القديمة.

هناك عدة طرق يمكن بها الكشف عن المفتاح الخاص: هجوم على خوادم Yahoo لسرقة المفتاح أو اكتشاف ضعف في التشفير نفسه. قد تقوم Yahoo حتى بتسليم المفتاح ، إما طوعًا أو بسبب أمر من المحكمة.

وقال بيردسلي: "لا يمكنني التفكير في سبب مشروع لتفضيل استراتيجية التشفير الأضعف".

ليس جيدا بما فيه الكفاية

هناك مشاكل أخرى مع تطبيق Yahoo ، وفقًا لـ Ristic. تستخدم بعض خوادم البريد الإلكتروني HTTPS في Yahoo RC4 باعتبارها الشفرة المفضلة ، لكن RC4 تعتبر ضعيفة. قامت Microsoft و Cisco مؤخراً بالتخلص التدريجي من استخدام RC4. كما أنها عرضة لهجمات رفض الخدمة الموزعة لأنها تدعم إعادة التفاوض التي بدأها العميل ، وفقًا لتقرير صادر عن مختبرات SSL.

تقوم مختبرات طبقة المقابس الآمنة (SSL) بتقييم المواقع على مستوى الأمان الزائد لتطبيق طبقة المقابس الآمنة. ياهو لديها فقط تصنيف "ب".

تستخدم الخوادم الأخرى ، مثل login.yahoo.com ، AES. AES أفضل من RC4 ، لكن Yahoo لم تنفذ تدابير التخفيف الأمني ​​للهجمات المعروفة مثل BEAST ، التي تستهدف TLS 1.0 والبروتوكولات السابقة ، و CRIME ، هجوم عملي ضد كيفية استخدام TLS في المتصفحات. يدعم الموقع أيضًا "نسخ البروتوكول الأقدم فقط ، ولكن ليس أحدث TLS 1.2 وأكثرها أمانًا" ، وفقًا لتقرير صادر عن مختبرات SSL.

ربما لا تزال ياهو تعمل على حل المشاكل وسيتم تحسين الأمن على مراحل خلال الأسابيع أو الأشهر القليلة القادمة. لكن كان من الجيد أن تشرح خططها مقدمًا. ماذا عن ياهو؟ هل ستفكر في أمان المستخدم ، بدلاً من أن يسهل على فريقك القيام به؟