عدم أمان أنظمة الحجز يفسح المجال لرحلات مجانية وغيرها المزيد

يناير 10, 2017

يقوم الأشخاص بنشر صور للتذاكر الخاصة بهم على الإنترنت، لماذا يتعين عليهم عدم القيام بذلك؟ إن موقع إنستغرام هو الموقع الوحيد الذي يحتوي على آلاف الصور التي تظهر حفلات موسيقية وطائرات وحتى تذاكر اليانصيب.

إذا كان الجميع يفعل ذلك، فلماذا ينبغي لك ألا تفعل ذلك؟

في الواقع، إن آخر شيء يجب أن تقوم به هو أن تنشر تذكرة أو بطاقة الصعود إلى الطائرة على الإنترنت، حيث تتضمن هذه الورقة بيانات تتيح لأي شخص سرقة تذكرتك (إننا لا نبالغ في هذا الأمر!) أو استنتاج عدد الأميال التي تقطعها جواً أو القيام بخدعة حقيرة معك. ومنذ أكثر من عام، ناقشنا نوعية الأمور التافهة والسيئة التي يمكن أن يفعلها الأشخاص بمعلومات التذكرة الخاصة بك. وفي الآونة الأخيرة، أثار الباحثان الأمنيان السيد/ كارستين نوهل ونيمانيا نيكوديجيفيتش الموضوع مرة أخرى في مؤتمر فوضى الاتصالات (33С3).

تتكاتف الخطوط الجوية ووكالات السفر والسياحة والمواقع الإلكترونية المتخصصة في مقارنة الأسعار والعديد من الخدمات الأخرى معاً من أجل توفير فرص حجز سهلة للركاب. وتتبع الشركات العاملة في هذا المجال نظام التوزيع العالمي (GDS) للتحقق من توفر الرحلة وضمان عدم تكرار حجز المقاعد وغير ذلك. تجدر الإشارة إلى أن نُظُم التوزيع العالمي تتشابك بشكل وثيق مع الخدمات الإلكترونية – وليس مع أفضل الممارسات المتعلقة بالحماية الإلكترونية. ونتيجة لذلك، تبقى تقنية “نظم التوزيع العالمي” غير صالحة للاستخدام في الوقت الحالي، من حيث الحماية، كما أنها توفر للمجرمين مجالاً لشن هجمات ضخمة.

وبالرغم من وجود ما يقرب من 20 مورداً لنظام التوزيع العالمي في الوقت الحالي، إلا أن الخبيرين الأمنيين نوهل ونيكوديجيفيتش قد ركزا على الأنظمة الثلاثة الرئيسية: سيبر (تأسس في عام 1960 وأماديوس (تأسس في عام 1987) وجاليليو (هو أحد وحدات “ترافل بورت” في الوقت الحالي). تتولى هذه الأنظمة إدارة أكثر من 90% من حجوزات الطيران، بالإضافة إلى حجوزات الفنادق والسيارات وغيرها من حجوزات السياحة والسفر.

فعلى سبيل المثال، تتعامل شركة لوفتهانزا وشركة طيران برلين “إير برلين” مع نظام “أماديوس” وأيضاً مع وكالة السفر والسياحة “إكسبيديا”. أما الخطوط الجوية الأمريكية “أمريكان إيرلاينز” والخطوط الجوية الروسية إيروفلوت فتتعامل مع نظام “سيبر”. وعلى أي حال، من الصعب أن نحدد بشكل جازم نظام التوزيع العالمي الذي يقوم بتخزين البيانات الخاصة لمسافر بعينه: فعلى سبيل المثال، إذا كنت تحجز تذكرة على طائرة تابعة للخطوط الجوية الأمريكية على “إكسبيديا”، فسيقوم نظاما “أماديوس” و”سيبر” بتسجيل المعاملة.

واستناداً إلى القواعد الخاصة بنظام الحجز، عادة ما تتضمن السجلات الخاصة بنظام التوزيع العالمي اسم الراكب ورقم هاتفه وتاريخ ميلاده وبيانات جواز السفر الخاص به، بالإضافة إلى رقم التذكرة ومنافذ المغادرة والوصول وتاريخ رحلة الطيران وموعدها. كما تتضمن أيضاً معلومات الدفع (مثل: رقم بطاقة الائتمان). أي المعلومات الحساسة إلى حد ما.

وقد أشار نوهل ونيكوديجيفيتش إلى أن الكثير من الأشخاص يصلون إلى هذه البيانات، بما في ذلك العاملون في الخطوط الجوية ومُنَظِّم رحلات السفر والسياحة وممثلو الفنادق وغيرهم من الوكلاء. ويشير الباحثون إلى أنه بإمكان الوكالات الحكومية الاطلاع على هذه البيانات أيضاً. وليس هذا سوى غيض من فيض.

ومن أجل الوصول إلى هذه المعلومات وتغييرها، تستخدم نُظم التوزيع العالمي اسم المسافر بوصفه اسم تسجيل الدخول ورمز الحجز المكون من 6 أرقام (يعرفه معظم المسافرين على أنه سجل أسماء الركاب “PNR”) بوصفه كلمة المرور. نعم، إنه سجل أسماء الركاب الذي يتم طباعته علناً على بطاقات الصعود إلى الطائرة وبطاقات حقائب السفر. بوصفه كلمة مرور.

صرح السيد/ نوهل في المؤتمر، قائلاً: “إذا افترضنا أن سجل أسماء الركاب كلمة مرور آمنة، حينئذٍ يجب التعامل معه على هذا الأساس”. “لكنهم لا يعتبرونه سراً: حيث يتم طباعته على كل جزء في حقيبة السفر. ويستخدم للطباعة على بطاقات الصعود إلى الطائرة إلى أن يختفي ويتم استبداله برمز شريطي”. وبالمناسبة، فإن هذا الرمز الشريطي يحتوي على سجل أسماء الركاب.

لا يتفهم معظم المسافرين طبيعة الأعمال الداخلية لصناعة الطيران؛ ولذا فإنهم يحرصون على نشر تذاكرهم على الإنترنت مع سجل أسماء الركاب، المشفر برمز شريطي. ومع ذلك، فإن الرمز الشريطي ليس لغزاً، ; حيث يكون بإمكان برنامج خاص قراءته. ومن ثم، فإنه يمكن لأي شخص يلتقط صورة لبطاقة حقيبة السفر الخاصة بك في المطار أو الذي يجد تذكرتك على الإنترنت الوصول إلى البيانات الخاصة بك. لا يشترط أن تكون قرصاناً إلكترونياً لاستغلال نقاط الضعف التي يتضمنها سجل أسماء الركاب – كل ما عليك هو أن تعرف أين تبحث. في مقطع الفيديو الموضح أدناه، يمكنك معرفة كيف قام السيد/ نوهل ونيكوديجيفيتش بفك تشفير الرمز الشريطي من على صورة لتذكرة طيران منشورة عبر موقع إنستغرام.

وعلاوة على ذلك، لا تمنع العديد من خطوط الطيران والمواقع الإلكترونية المتخصصة في تدقيق الرحلات المستخدمين الذين يقومون بإدخال رموز خاطئة مرات عديدة. ونتيجة لذلك، يمكن للقراصنة اختيار الأسماء الأخيرة المشهورة، مثل: سميث، ومن ثم يمكنهم ببساطة اختراق السجل الخاص بأسماء هؤلاء الركاب. فالأمر ليس صعباً: يتألف الرمز من ستة أرقام وغالباً ما تعاني خوارزميات إنشاء رمز من نقاط ضعف معينة. على سبيل المثال، تقوم بعضها بتكرار أول حرفين على التوالي، وتبدأ جميع سجلات أسماء الركاب التي تم إعدادها في تاريخ معين بنفس الأحرف. ومن ناحية أخرى، يستخدم مزودو خدمات آخرون رموزاً معينة لخطوط جوية معينة. هذه الممارسات تُحِد من نطاق الأرقام التي يمكن للقرصان تخمينها.

أوضح كل من السيد/ نوهل والسيد/ نيكوديجيفيتش في مؤتمر فوضى الاتصالات أن عملية اختراق سجل أسماء الركاب تستغرق دقائق معدودة فقط، وستجد شرحاً تفصيلياً عن طبيعة هذا العمل إلى جانب عرض حقيقي للعملية كاملة في نفس الفيديو لمدة تتراوح بين 30 و45 دقيقة.

والنتيجة هي أن المجرمين يمكنهم الاحتيال على نظم التوزيع العالمي لمعرفة البيانات المهمة للركاب واستخدامها للقيام بعملية اصطياد متقدمة، يرجى النظر بعين الاعتبار إلى هذا السيناريو: يقوم السيد/ سميث بحجز رحلة طيران إلى برلين وبعد مرور 10 دقائق يتسلم رسالة بريد إلكتروني من الخط الجوي التابع له يطالبه بالتأكيد على معلومات بطاقة الائتمان الخاصة به. وتتضمن الرسالة اسمه الأول والأخير وميناء الوصول وغير ذلك من التفاصيل الدقيقة المرتبطة بالحجز. هل يبدو الأمر معقولاً وقابلاً للتصديق؟ بالتأكيد! حيث من المحتمل بشكل كبير أن السيد/ سميث قد قام بالنقر فوق الرابط الموجود في رسالة البريد الإلكتروني وقدم معلومات بطاقة الائتمان الخاصة به، علماً بأنه موقع إلكتروني مزيف.

 

ومن ناحية أخرى، ربما يستطيع القراصنة الإلكترونيون تغيير بيانات التذكرة باستخدام سجل أسماء الركاب والبحث عن بعض البيانات الشخصية الأخرى. وربما يقومون أيضاً بإلغاء التذكرة واسترداد الأموال إلى الحساب الخاص بهم. وبطريقة أخرى، قد يقومون بتغيير اسم صاحب التذكرة ولقبه ورقم جواز سفره، ومن ثم يمكن لشخص آخر الحصول على الرحلة (ومن المدهش والعجيب أن هناك خدمات معينة تسمح بذلك). وبمنتهى البساطة، يمكن للمجرم الأكثر حذراً أو إبداعاً تغيير بيانات المسافر الدائم والحصول على عدد الأميال التي كان قد حصل عليها صاحب التذكرة الأصلي. وفي النهاية، تقدم نظم التوزيع العالمي بصفة أساسية رحلات طيران مجانية وأميالاً غير محدودة وأموالاً كذلك للقراصنة الإلكترونيين عن طريق استخدام سجلات أسماء الركاب بوصفها كلمات مرور.

هناك حقيقة مخيبة للآمال بالفعل: بالرغم من قيام الخبراء ووسائل الإعلام بطرح هذا السؤال مرات عديدة في السنوات الأخيرة، إلا أن الشركات العاملة بنظام التوزيع العالمي لا تزال ترفض تسجيل عمليات الوصول باستخدام سجل أسماء الركاب. وهذا هو السبب وراء عدم تمكُّن أي شخص من تتبع معظم حالات الانتهاك. ولم يكن معروفاً سوى عدد قليل من الحوادث – على سبيل المثال، عند قيام المجرمين بسرقة التذاكر من المسافرين وقيام الضحايا بتقديم شكاوى. وفيما يتعلق بعمليات الاحتيال وسرقة البيانات الأكثر ذكاءً، لا يتمكن المتخصصون من تقييم نطاق المشكلة.

ويؤكد نوهل ونيكوديجيفيتش أن العملاء لا يمكنهم توقع حدوث تغييرات جوهرية في أي وقت قريب؛ ولذا لا بد من إعادة صياغة الاحتياجات الخاصة بنظام الحجز بالكامل، وللأسف فإن الشيء الوحيد الذي يجعل خطوط الطيران تعكف على هذا الأمر هو ارتفاع حالات الاحتيال لسجل أسماء الركاب.

وإننا نوصي في الوقت الراهن باتباع إجراءين بسيطين: أخذ الحيطة والحذر وعدم نشر بطاقات الصعود إلى الطائرة عبر الإنترنت أبداً. فحتى التذكرة القديمة تُفشي الكثير من معلوماتك الشخصية.