الشهادة الرقمية لـبرنامج Superfish الخاص بأجهزة Lenovo

في اليومين الماضية كانت أكثر الأخبار في عالم أمن المعلومات هو الشهادة الرقمية لبرنامج Superfish لأجهزة لينوفو(Lenovo) دعني أحاول شرح الموضوع بصورة أدق نوعا ما لكن في البداية دعني أوضح بعض المفاهيم التي ستكون متواجدة في حديثنا :

رجل في المنتصف (Man In The Middle Attack) : في التشفير أو في أمن المعلومات هذا نوع من الاختراق ويتعين في تسلل شخص بين متحاورين داخل الشبكة فمثلا أحمد يخاطب محمد عبر الشبكة في برنامج اتصال ما.. يأتي شخص ثالث في المنتصف لنطلق عليه خالد ويحاول التنصت على المحادثة كاملة وفي بعض الحالات  خالد سيحاول محادثة محمد على هيئة أحمد أو يحاول مخاطبة أحمد على هيئة محمد ..فيظن احمد أنه يخاطب محمد والعكس لكن الحقيقة أن جميع المعلومات تذهب إلى شخص ثالث من غير علم أي أحد على الشبكة ويمكنك مشاهدة الصورة التالية لتحاول تصور الموضوع :

man-in-the-middle

الشهادة الرقمية (Certificate) : في عالم الانترنت توجد هناك شهادات لتثبت أن هذا البرنامج موثوق من جهة معتمدة أو مثلا في عالم الويب عند استخدام موقع لبرتوكول( Https ) هذا يعني أن الموقع موثوق و شرعي وليس به أي تلاعب لكن السؤال هو كيف تعتمد هذه الشهادة أو ماهي المعلومات بداخلها : الجواب هو هذه الشهادة تصدرها شركة متخصصة في اصدار الشهادات ويطلق عليهم Certificate) Authority) أو اختصارا (CA) لكن ماذا تحتوي هذه الشهادة ؟ هذه الشهادة تحتوي على مفاتيح التشفير (المفتاح السري , المفتاح العام)
ويمكنك مراجعة هذه التدوينة لمعرفة فائدة مفاتيح التشفير وتحتوي هذه الشهادة أيضا على وقت اصدارها ووقت انتهائها والجهة المصدرة للشهادة ومعلومات أخرى .. كيف تعمل هذه الشهادة ؟ مثلا تريد الدخول إلى موقع ما لديه شهادة رقمية . لحظة دخولك متصفحك يقرأ أن هذا الموقع لديه شهادة رقمية فيذهب إلى الشركة المصدرة لها ويتأكد من مصداقية هذه الشهادة وأنها فعلا شرعية عبر التوقيع الالكتروني لها (Digital Signature) ..وتحفظ هذه الشهادة في المتصفح ويمكنك مشاهدة جميع الشهادات لديك في متصفحك في متصفح موزيلا مثلا يمكنك الذهاب إلى:  الاعدادات- متقدم- الشهادة الرقمية أو Options- Advanced – Certificates  . بعض الشركات المصدرة للشهادة الرقمية VeriSign  ..Thawte .. Microsoft

أعتذر على المقدمة الطويلة لكن هناك بعض المصطلحات يجب عليك معرفتها قبل قرئة المقال لتتمكن من فهم الأمور بسلاسة

شركة لينوفو أخطأت باضافة برنامج superfish  في نظامها وهو برنامج  مثبت من قبلهم ويعمل على اضافة اعلانات غير مرغوبة للمستخدم وهو في جميع الاجهزة المحمولة المباعة في فترة سبتمبر 2014 الى يناير 2015  وهناك خطأ أمني في اضافة الشهادة الرقمية لجميع الاجهزة ومسجلة  بنفس المفتاح والمشكلة أن الشهادة لها صلاحية كبيرة تجعل نفس البرنامج أو أي برنامج آخر بعمل اختراق من نوع (Man In the Middle)  وفي الحقيقة لايجب لأي برنامج مثبت مسبقا على النظام أن يضيف شهادة لبرنامجه الا مايكروسوفت او بعض شركات الحماية أما برنامج للاعلانات المتوقع أن لايضيف أي شهادة لبرنامجه ومشكلة أمنية أخرى أن مفتاح التشفير السري كان محفوظ بداخل البرنامج و أصبح مكشوف لجميع الأشخاص يمكنك مشاهدة هنا   ولكن الشركة بررت أنها عملت هذا البرنامج لادارة الاعلانات فقط ويمكنك مشاهدة اعتذراهم

lenovo1

وبعدها نشرت تغريدات آخرى بطريقة الغاء البرنامج من الجهاز

lenovo2

لينوفو حاولت أن تتدارك الخطأ فجعلت البرنامج الذي يحذف برنامج Superfish  مفتوح المصدر ويمكنك مشاهدة الشفرة البرمجية للبرنامج هنا

من وجهة نظري أرى أن هذه خطأ امني فادح حتى اذا كانت لينوفو تريد وضع الشهادة فكيف تجعل لها مفتاح واحد لكل الشهادات هذا خطأ واضح وبسيط وخصوصا من شركة كبيرة لكن الامر الاكبر هو أن  لينوفو بدأت تفقد مصداقية عملائها لها

بالنسبة لي (اذا كنت من ستخدمي لينوفو)  ساقوم بتنزيل النظام مرة أخرى على جهازي ولن أستخدم أي برنامج لازالته ولسبب بسيط أنه يوجد احتمال لحذف البرنامج لكن الشهادة ستبقى لكن لينوفو قالت بأنه سيحذف جميع الملفات لكن لا أتوقع أني سأعتمد على هذه المعلومات بعد الان

 

 

أضف تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

يمكنك استخدام أكواد HTML والخصائص التالية: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>