إعادة ابتكار المراسلة الآمنة: دراسة متعمقة مع المؤسس المشارك لجلسة كي جيفريز

س1. هل يمكنك أن تشرح لنا باختصار قصة أصل Session وما الذي حفزك على بناء شبكة مراسلة لامركزية؟

الجلسة هي إنشاء مشترك من مئات المساهمين من جميع أنحاء العالم - هذه هي جمال البرمجيات مفتوحة المصدر؛ يمكن لأي شخص كتابة والمساهمة في كود قاعدة بيانات الجلسة. ومع ذلك، فإن كل منتج لديه قصة تأسيس مركزية أكثر. بالنسبة للجلسة، أراد المؤسسون الأصليون بناء تطبيق إثبات مفهوم على شبكة لامركزية تم إنشاؤها حديثًا. اعتقدنا أن أفضل تطبيق لإثبات المفهوم هو بناء تطبيق مراسلة يخزن ويرسل الرسائل من خلال هذه الشبكة اللامركزية، لأنه بمجرد أن كان لديك مراسل أساسي، يمكنك تعميم هذا المفهوم على العديد من التطبيقات الأخرى التي غالبًا ما تتلخص في تمرير الرسائل من جهاز إلى آخر. أُطلقت الجلسة تحت اسم مختلف ونمت على الفور. أصبح من الواضح أنه ينبغي التركيز على الجلسة، وما تم تصميمه في الأصل كإثبات لمفهوم تحول إلى واحدة من أكبر تطبيقات المراسلة الخاصة المتاحة اليوم.

س2. حددت التوجيه الطارئ الأخير من CISA عيبين حرجين في TM SGNL. من وجهة نظرك، ما الذي حدث بشكل خاطئ في التصميم أو التنفيذ الذي سمح للمهاجمين بحصاد سجلات الدردشة والبيانات الوصفية؟

هذه حالة كلاسيكية من مشكلات التصميم والتنفيذ المتسلسلة التي قد لا تكون قابلة للاستغلال بمفردها، ولكن عند دمجها يمكن أن تسبب فشلاً كارثياً في أمان الشبكة.

كانت الفشل الأول في التصميم، حيث أخذت TeleMessage تطبيق Signal، وهو تطبيق رسائل آمن معروف، وأضاعت ما يعادل وجود باب خلفي متعمد في التطبيق لغرض إنشاء سجل تدقيق. كانت طريقة عمل سجل التدقيق هذا تتمثل في إرسال نسخة من كل رسالة يرسلها المستخدم، قبل أن يتم تشفيرها من طرف إلى طرف، إلى خادم مركزي واحد، ثم يقوم هذا الخادم بتخزين نسخة من جميع هذه الرسائل في حالة غير مشفرة. هذا خلق مصيدة للمتسللين لمعلومات حساسة للغاية، خزينة من معلومات الأمن القومي لا تقاوم للقراصنة.

الفشل الثاني كان بسبب إعداد غير صحيح لخدمة (Spring Boot Actuator) التي كانت تعمل على خادم أرشيف TM SGNL. هذه مشكلة إعداد أساسية جدًا حيث تُرك عنوان URL الذي يستخدمه المطورون عادة لتشخيص الأخطاء مفتوحًا لأي شخص للاستخدام دون مصادقة. وهذا سمح للمهاجمين بتفريغ ذاكرة الخادم، حيث كانت الرسائل غير المشفرة ومعلومات المصادقة للمستخدمين مرئية بنص عادي مما سمح للقراصنة باستعادة الرسائل ومعلومات الحساب.

من المهم أن نلاحظ أن كلا الفشلين كانا بحاجة إلى التعايش من أجل حدوث اختراق بهذا الحجم. وغالبًا ما يكون هذا هو الحال في خروقات الأمن السيبراني، حيث سيجد المهاجمون عيب تصميم أو تنفيذ واحد ثم يستخدمون هذا العيب للعثور على نقاط ضعف أخرى لاستغلالها.

س3. ما مدى شيوع وجود مثل هذه الثغرات في عملاء E2EE - حتى تلك المتوافقة مع Signal - ولماذا لا يتم اكتشافها في وقت مبكر؟

تتمتع تطبيقات المراسلة الشائعة من الدرجة الاستهلاكية مثل واتساب وسيجنال وتيليجرام عادةً بأمان أفضل بكثير حول خوادمها مقارنةً بخوادم TeleMessage. ومع ذلك، عندما يتعلق الأمر بتطبيقات المراسلة التي تم تطويرها وتعديلها بشكل صريح لإنشاء سجل تدقيق للتحويلات، من الشائع أكثر أن نرى هذه الأنواع من التكوينات الخاطئة. خاصة عندما تحتوي تلك التطبيقات على شفرة مصدر مغلقة، لا يمتلك باحثو الأمن المجتمعي نفس القدرة على تحليل الكود للكشف عن نقاط الضعف، لذلك يمكن أن تظل التكوينات الخاطئة الشائعة غير مكتشفة لفترة طويلة أو يتم إبقاؤها سرية من قبل المتسللين على مستوى الدولة للحفاظ على ثغرات في الأنظمة التي لم يتم إصلاحها.

س4. لقد جادلت أنه طالما أن بائعًا واحدًا يتحكم في الأجزاء الرئيسية من الحزمة، فهناك خطر جوهري. كيف تترجم مركزية البائع إلى فشل حقيقي في الخصوصية؟

تركيز البائعين عادة ما يقترن برمز مغلق المصدر وخوادم مركزية. عندما يخزن خدمة الرسائل جميع رسائل المستخدمين في مكان مركزي واحد، فإنها تخلق فخًا للمهاجمين، حيث يعرفون أنه من خلال اختراق خادم واحد، يحصلون على الوصول إلى جميع الرسائل المرسلة عبر الخدمة. وعندما يقترن ذلك برمز مغلق المصدر الذي لا يمكن مراجعته من قبل باحثي الأمن ومراجعي الحسابات مفتوحة المصدر، تزداد الحوافز للمهاجمين، وتظل الأخطاء التي كان من الممكن اكتشافها غير ملحوظة من قبل جميع المهاجمين باستثناء الأكثر تعقيدًا الذين يحتفظون بهذه الأخطاء بشكل خاص حتى يتمكنوا من الحفاظ على الوصول الخلفي الخاص بهم، مما يترك جميع مستخدمي الخدمة معرضين للخطر.

Q5. هل يمكنك مشاركة مثال ( خارج TM SGNL) حيث أضعفت ثغرة من جانب البائع ضمانات التشفير من النهاية إلى النهاية؟

تسبب استخدام Signal لـ Twilio في التحقق من SMS في اختراق حسابات بعض مستخدمي Signal عندما تم اختراق Twilio. نظرًا لأن التحقق عبر SMS هو أحد الطرق التي يمكن لمستخدمي Signal من خلالها استعادة حساباتهم، عندما تم اختراق Twilio، تمكن المهاجمون من خداع خوادم Signal للاعتقاد بأنهم يمتلكون رقم هاتف أحد مستخدمي Signal واستعادة حسابهم، باستخدام هذا الوصول لإرسال رسائل غير مصرح بها من حسابات هؤلاء المستخدمين.

س6. لماذا تعتقد أن اللامركزية هي الطريقة الوحيدة للتخفيف بالكامل من مخاطر البائع الواحد؟

اللامركزية هي الطريقة الوحيدة للتخفيف تمامًا من مخاطر البائع الواحد لأنها تزيل نقطة الفشل الوحيدة الموجودة في أي نظام مركزي. عندما تتحكم كيان واحد في الأجزاء الرئيسية من النظام - بدءًا من هويات المستخدمين إلى توجيه الرسائل والتخزين - تصبح هدفًا لا يقاوم للمهاجمين، ويمكن أن تكون عيوب تصميمها أو تنفيذها لها عواقب كارثية، كما هو الحال مع TM SGNL.

في شبكة لامركزية، لا يوجد خادم مركزي يمكن اختراقه، ولا شركة واحدة يمكن الضغط عليها لإدخال أبواب خلفية، ولا قاعدة بيانات واحدة يمكن استهدافها لجمع البيانات الوصفية. غالبًا ما تكون هوية المستخدمين مفاتيح تشفيرية، وليست معرفات مرتبطة بسلطة مركزية في العالم الحقيقي. يتم توجيه الرسائل وتخزينها عبر شبكة موزعة من العقد المستقلة، مما يعني أن أي عقدة واحدة لا ترى عناوين IP لكل من المرسل والمستقبل، ولا يمكن لأي كيان واحد جمع سجل شامل للاتصالات.

إن توزيع السلطة والبيانات يجعل النظام بطبيعته أكثر مرونة ضد الهجمات والرقابة واستغلال البيانات لأنه لا يوجد نقطة اختناق واحدة للاستغلال. الأمان لا يعتمد على موثوقية شركة واحدة، بل على النزاهة الجماعية والتصميم التشفيري القوي للشبكة الموزعة.

س7. تستخدم الجلسة شبكة من عقد الخدمة. كيف تضمن هذه البنية أنه لا يمكن لأي طرف أن يهدد بيانات المستخدم؟

على عكس تطبيقات المراسلة التقليدية، لا يعتمد Session على خادم مركزي واحد يخزن جميع بيانات المستخدم. بدلاً من ذلك، يتم توجيه الرسائل من خلال شبكة موزعة تتكون من آلاف من عقد Session المستقلة التي تديرها المجتمعات. هذا يلغي تأثير "فخ العسل" لقاعدة بيانات مركزية واحدة، مما يجعل من الصعب للغاية على أي كيان واحد جمع الرسائل المشفرة الشاملة والبيانات الوصفية. تقوم عقد Session بتخزين الرسائل مؤقتًا للمستلمين غير المتصلين. ومع ذلك، فإن هذه الرسائل مشفرة من النهاية إلى النهاية، مما يعني أن العقد نفسها لا يمكنها قراءة المحتوى. علاوة على ذلك، يتم تخزين الرسائل فقط لفترة محدودة (Time-To-Live) ويمكن حذفها بمجرد قراءتها، مما يمنع الاحتفاظ بها لفترة طويلة على شبكة العقد.

بالإضافة إلى ذلك، تستخدم Session تقنية توجيه البصل المعدلة، مشابهة لـ Tor. عندما ترسل رسالة، يتم تشفيرها في طبقات، وتتم إزالة كل طبقة بواسطة عقد Session المتعاقبة. من المهم أن نلاحظ أنه لا يعرف أي عقدة واحدة عنوان IP الخاص بالمرسل والمستلم. وهذا يعني أنه حتى إذا تم اختراق عقدة، فلن تتمكن من ربط الرسالة بمصدرها أو وجهتها.

تُنشأ حسابات الجلسة بشكل تشفيري دون الحاجة إلى أي معلومات شخصية مثل أرقام الهواتف أو عناوين البريد الإلكتروني. وهذا يعني أنه لا توجد هوية حقيقية مرتبطة بمعرّف حساب الجلسة الخاص بك، مما يعزز الخصوصية ويجعل من الصعب اختراق هوية المستخدم من خلال خروقات البيانات الخارجية.

تضمن هذه المقاربة متعددة الطبقات، التي لا تحتوي على نقطة تحكم مركزية، والتخزين المؤقت، والتشفير من النهاية إلى النهاية، والتوجيه المجهول، أنه حتى إذا تم اختراق عدد صغير من عقد الجلسة، ستظل سلامة الشبكة وخصوصيتها الكلية سليمة.

س8. نظرًا لنشر TM SGNL في الوكالات الفيدرالية، هل ترى الحكومات تتجه نحو الرسائل اللامركزية حقًا؟ ما الحواجز الموجودة أمام هذا التحول؟

هذه مسألة صعبة. عادةً ما تتطلب الوكالات الحكومية إنشاء سجلات تدقيق وتخزينها بطريقة يمكن مراجعتها من قبل مدقق، مما يخلق ثغرة أمان متأصلة، تم تصميم التشفير من النهاية إلى النهاية بحيث يجب أن يرى المشاركون في المحادثة فقط محتويات الاتصالات. يتطلب شرط التدقيق إدخال باب خلفي متعمد في التشفير من النهاية إلى النهاية، وهو ما يصعب تنفيذه بطريقة آمنة.

ومع ذلك، هناك طرق يمكن من خلالها إدارة هذا بشكل أفضل، على سبيل المثال يجب دائمًا تخزين سجل التدقيق مشفرًا في حالة السكون ويجب أن تكون هناك حماية قوية حول المستخدمين الذين يمكنهم الوصول إلى سجل التدقيق هذا. يجب على الحكومات استخدام أدوات مفتوحة المصدر يمكن تدقيقها بسهولة والتفكير بعناية شديدة حول كيفية تخزين سجلات التدقيق وعلى أي خوادم يتم تخزينها.

إذا تم تحديث التنظيم، فقد يوفر وسيلة للاستفادة بشكل أفضل من الحلول اللامركزية في الاتصالات الحكومية

س9. كيف ستقنع منظمة واعية للأمان بالانتقال من عميل خاص متوافق مع Signal إلى Session؟

أعتقد أن اختراق TM SGNL يوفر الحافز الأكثر وضوحًا حتى الآن للمستخدمين للابتعاد عن الحلول التقنية الملكية إلى أدوات مفتوحة المصدر مثل Session، التي تقدم ميزات أمان وخصوصية محسنة للغاية. قد يكون من الممكن في المستقبل أن تأخذ المنظمات أدوات مفتوحة المصدر مثل Session وتطور أدوات تدقيق خاصة بها تتصل بهذه الأدوات. ومع ذلك، يجب أن تكون حلول التدقيق هذه مفتوحة المصدر وقابلة للتدقيق لضمان عدم ظهور نفس المشكلات كما حدث مع TM SGNL مرة أخرى.

س10. ما هي الميزات أو التحسينات الرئيسية التي يتم التخطيط لها في خريطة طريق Session للـ 12 إلى 18 شهرًا القادمة؟ في النهاية، ما هي رؤيتك طويلة الأمد لـ Session وللتراسل الآمن والخاص بشكل عام؟

التركيز الحالي لجلسة هو الوصول إلى المزيد من المستخدمين. تمتلك جلسة بالفعل أكثر من مليون مستخدم نشط شهريًا، ولكننا نريد رؤية المزيد من المستخدمين الذين يختارون الحلول التي تدمج الخصوصية والأمان القويين في جوهر تصميم التطبيق. يعمل المساهمون في جلسة حاليًا على مجموعة متميزة من الميزات لمستخدمي جلسة المحترفين، مما يمكّن التمويل المستدام لنظام جلسة البيئي. ويشمل ذلك ميزات مثل المجموعات الأكبر، وزيادة تخصيص الملف الشخصي، وزيادة أحجام الملفات، جميع الميزات التي تزيد من فائدة جلسة.

بشكل أوسع، أرى أن Session هو التطبيق الوحيد الذي يقدم خصوصية المحتوى والبيانات الوصفية في تجربة سهلة الاستخدام وقابلة للاستهلاك بشكل كبير، وأعتقد أنه مع استمرار تسريبات البيانات في التأثير على المستخدمين، ستشهد Session نمواً مستمراً على مدار 12-18 شهراً القادمة.

DEEP5.86%
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • تعليق
  • مشاركة
تعليق
0/400
لا توجد تعليقات
  • تثبيت