اسأل الخبير: “يورنت فاندر فيل” يتحدث عن التشفير

“يورنت فاندر فيل” كبير خبراء فيروسات الفدية لدى فريق الأبحاث والتحليل العالمي الخاص بنا – فريق “GreAT”. كما أنه يملك معرفة عميقة بالتشفير. عرضنا على قرَّائنا فرصة طرح أسئلتهم على

“يورنت فاندر فيل” كبير خبراء فيروسات الفدية لدى فريق الأبحاث والتحليل العالمي الخاص بنا – فريق “GreAT”. كما أنه يملك معرفة عميقة بالتشفير. عرضنا على قرَّائنا فرصة طرح أسئلتهم على “يورنت”، فيما يتعلق بهذين الموضوعين، وتلقينا عدداً كبيراً جداً من الأسئلة لدرجة أنه وجب علينا تقسيم الأسئلة والأجوبة إلى منشورين منفصلين.

في المنشور الأول، أجاب “يورنت” عن الأسئلة المتعلقة بفيروسات الفدية. وحان الوقت الآن لنتحدث عن التشفير وموضوعات أخرى ذات صلة.

كنت أتساءل عن الغرض من أمن تقنية المعلومات. هل الغرض منه توفير الحرية؟ أم الخصوصية؟ أم حماية الأمن القومي؟ أعلم أن الإجابة عن هذا السؤال ليست يسيرة، ولكنني أود سماع رأيك بوصفك خبيراً.

بالنسبة لي، أرى أن غرض أمن تقنية المعلومات هو حماية الحياة اليومية للأشخاص. تذكَّر أن اختراع الأتمتة، وبعد ذلك تقنية المعلومات، كان يهدف في الأساس إلى جعل حياة الأشخاص أكثر سهولة بأتمتة ما كان يجب على البشر القيام به بأيديهم، ولسوء الحظ، لم يؤخذ الأمن في الاعتبار عند تصميم العديد من أنظمة تقنية المعلومات وهذا أدى إلى الوضع الذي نعيشه الآن. إذا لم تتمتع تقنية المعلومات بالحماية، فسوف تصبح الحياة اليومية فوضى.

 

تخيَّل أنك تهرع مسرعاً إلى غرفة الطوارئ، لتكتشف بعد ذلك أنهم لا يستطيعون مساعدتك؛ لأن نظامهم قد تعرض لاختراق. أو أنك تعيش في منطقة تحت مستوى سطح البحر، وفجأة غمرت المياه منزلك؛ لأن بوابة خروج الماء في أحد السدود تعرضت لاختراق. تلك عينات من سيناريوهات محتملة الحدوث.

لا يقتصر الأمر فقط على تلك السيناريوهات الكبرى، فالأشياء الصغيرة في الحياة اليومية مهمة أيضاً للناس. فكِّر في شخص فقد صور أباه المتوفى حديثاً لأن حاسبه أصيب بفيروس الفدية. يؤثر هذا النوع من الخسارة والفقدان تأثيراً كبيراً في حياة الناس – وهذا هو الغرض من أمن تقنية المعلومات: حماية الأشياء ذات الأهمية القصوى عند الأشخاص.

 

كيف تساعد الأشخاص العاديين، الذين لا يملكون معرفة عميقة بالحواسب، في فهم أهمية التشفير في حياتهم اليومية؟

أعتقد أن تقديم أمثلة لما قد يحدث إن لم يكن هناك تشفير واحد من أفضل الطرق لفعل ذلك. في كثير من الأحيان، يفقد الأشخاص حواسبهم المحمولة و/أو ذاكرة تخزين يو إس بي، التي تحتوي على بيانات حساسة، أو تُسرق منهم. فإن لم تكن بياناتهم مشفرة، ربما يرى ملفاتهم الشخصية وبياناتهم أي شخص يستطيع الدخول إلى الحاسب المحمول أو ذاكرة اليو إس بي الخاصة بهم. يمكنك التفكير أيضاً في المدفوعات عبر الإنترنت، وكيف يمكن التلاعب بحركة المرور إن لم يكن هناك تشفير. وهكذا إلى ما لا نهاية. إن الأمثلة المأخوذة من الحياة الواقعية هي التفسير الأفضل.

 


هل من السهل إنشاء خوارزميات تشفير؟ وكم يستغرق إنشاؤها؟

يستغرق إنشاء خوارزمية تشفير موثوقة -واحدة آمنة من الناحية الرياضية- أعواماً من البحث ناهيك عن التعليم الرياضي، ولكن إن أردت إنشاء شيء بسيطً -أي خوارزمية يمكن اختراقها خلال ثوانٍ- فلن تستغرق وقتاً طويلاً.

 

كيف يعمل التشفير فعلياً؟



يجب علينا التفريق بين أنواع مختلفة من التشفير: التشفير المتقاطر، والتشفير المتماثل، والتشفير غير المتماثل (يُعرف الأخير أيضاً بـ “التشفير بالمفتاح العمومي”).

بالنسبة لفك التشفير المتقاطر، فالأمر بسيط للغاية؛ بناءً على المفتاح المتقاطر الخاص بك، يتولد تدفق لا نهاية له من البيانات العشوائية، التي تصنع لها بوابة إكس أو XOR مرة أخرى باستخدام نص التشفير الخاص بك (إذا طبعت كلتا المجموعتين من البيانات، يمكنك ببساطة مطابقة مجموعة على المجموعة الأخرى)، والنتيجة ظهور النص العادي الأصلي.

أما في التشفير المتماثل، فيجب عليك عكس ترتيب عملية التشفير. على سبيل المثال، لكي تُشفِّر البيانات، يجب عليك تنفيذ الخطوة (أ) ثم الخطوة (ب) ثم الخطوة (ج). وبعد ذلك لفك التشفير، يجب عليك تنفيذ الخطوة (ج) ثم الخطوة (ب) ثم الخطوة (أ).

وبالنسبة لفك لتشفير غير المتماثل، فهنا يكون “السحر الخالص” لأنه يعتمد أيضاً على نوع التشفير غير المتماثل (خوارزمية التشفير باستخدام المنحنى البيضاوي “ECC” وخوارزمية التشفير آر إس أيه “RSA” تعملان بشكلين مختلفين تماماً)، ولكنني ذكرت كلمة “السحر” بسبب الخصائص الرياضية الموجودة في هذا النوع من التشفير. فمعرفة كيفية فك التشفير يختلف عن الفهم الحقيقي للعملية الرياضية التي تتم وراء عملية فك التشفير.

 

ما هي خوارزمية التشفير الأكثر موثوقية؟

هناك عدد كبير من خوارزميات التشفير، التي يمكن استخدامها لأغراض مختلفة. وعموماً، أميل إلى اختيار الخوارزميات التي فازت في مسابقة المعهد الوطني للمعايير والتقنية (AES/Rijndael وSHA-3/KECCAK.) وهذا يعتمد أيضاً اعتماداً كبيراً على كيفية استخدام الخوارزمية وفي أي نوع من الأنظمة. على سبيل المثال، إذا كان لديك سعة تخزين محدودة، يمكنك استخدام خوارزمية ECC، التي تستخدم مفاتيح أصغر سعة من خوارزمية آر أيه “RSA”.

 

ما طرق التشفير المقاومة لهجوم القوة العمياء من حاسب كميquantum computer؟

يا إلهي، كان عليَّ قراءة الكثير لمعرفة الإجابة عن هذا السؤال (ابتسامات). إليك ما توصلت إليه. أولاً، يختلف الحاسب العادي عن الحاسب الكمي في أن الثاني يعمل وفقاً لما يُطلق عليه “الكيوبت” بدلاً من البتات العادية. والكيوبت الواحد يحمل باتين . واختصاراً لأمور طويلة ومعقدة للغاية، ستؤدي مضاعفة حجم المفتاح في التشفير التماثلي إلى تقليل مزايا امتلاك حاسب كمي لأغراض فك التشفير باستخدام القوة العمياء.

 

أما بالنسبة للتشفير غير التناظري، فالأمر مختلف بعض الشيء. اخترع بيتر شور -رياضي معروف للغاية- خوارزمية شورShor’s algorithm، التي يمكن استخدامها في تحليل العدد الصحيح إلى عوامل في الوقت المتعدد الحدود. بلغة أكثر بساطة ووضوحاً، تُعد مشكلة تحليل الرقم الصحيح إلى عوامل إحدى المشكلات التي تعتمد عليها خوارزميات المفتاح المعلن اعتماداً هائلاً. فكونك قادراً على تحليل الأرقام الصحيحة إلى عوامل في الوقت المتعدد الحدود (في هذه الحالة، سجل n) يقلل ذلك فاعلية أمن هذه الخوارزميات إلى الصفر.

 

كيف يمكن للمرء وضع خوارزمية تشفير في أحد برامجه؟

يمكن فعل هذا ببساطة من خلال تحميل مكتبة تشفير للغة البرمجة الخاصة بك، واستخدام واجهة برمجة التطبيقات “API”. بعد ذلك، يمكنك استدعاء وظائف التشفير من هذه المكتبة، واستخدامها في رمز التشفير الخاص بك.

 

هل تستخدم كل المنظمات خوارزميات تشفير “قوية”؟ أم تفضل أخذ رمز التشفير من المصادر العامة ثم تعديلها قليلاً؟

هل تقصد شركات تطوير البرمجيات؟ أتمنى بالتأكيد أنهم لا يُعدلون الرمز من مصادر عامة. فقد شهدنا في الماضي أن لهذا عواقب وخيمة. يمكنك -على سبيل المثال- إلقاء نظرة على الرابط: random number generator bug in Debian Linux. جوهرياً، قاموا بتعديل الرمز، وجعلوه أضعف بدلاً من جعله أقوى. ولكن ما نشهده عملياً هو كثرة استخدام مجموعة أدوات تطوير البرمجيات “SDKs”، التي تأتي مع حزمة البرمجيات (على سبيل المثال، نقطة بيع طرفية)، أو المتاحة للعامة. هذا أيضاً يفسر لماذا تتسبب الأخطاء البرمجية في مكتبة أوبن إس إس إل “OpenSSL” في العديد من المشكلات للكثير من البائعين.

 

في المستقبل، هل سيصبح التشفير عتيقاً أم مهدداً بالاختفاء، عندما تحاول وكالات حكومية (مثل مقر الاتصالات الحكومية البريطاني) وضع أبواب خلفية لجمع البيانات، مما يعني أن التشفير سيصبح عتيقاً؟

لا أعتقد أن التشفير سيصبح أمراً بالياً – وآمل بالتأكيد ألا يصبح كذلك أبداً. على سبيل المثال، تم اختراع معيار تشفير البيانات “DES” منذ فترة طويلة، وما زلنا نراه بكثرة في الأجهزة. يمكنك إذاً تخيُّل أن التوقف عن استخدام الأجهزة والأجهزة الأحدث، المزودة بمعيار التشفير المُطَور “AES”، توقفاً تاماً سيستغرق وقتاً طويلاً للغاية. هناك أيضاً بعض البلدان -مثل البلدان التي أعيش فيها- اتخذت حديثاً موقفاً صارماً ضد الأبواب الخلفية في البرمجيات، وأكدت أن التشفير أمر جيد. يتلقى تطبيق مكتبة أوبن إس إس إل “OpenSSL” تبرعات بالأموال (إذا كنت أتذكر بشكل صحيح) من أجل تطويره، ومن ثم، لا أعتقد أن التشفير سيصبح بالياً.

 

هل من الممكن معرفة موثوقية برنامج مثل تروكريبت؟ هل هناك بدائل عملية يمكن استخدامها – ربما الحوسبة السحابية، مثل تطبيق دروبوكس؟

خضع برنامج تروكريبت لعملية فحص وتدقيق بحثاً عن أبواب خلفية وأخطاء تنفيذية، ولم يتم العثور على أي شيء. وبعد ذلك بفترة قصيرة، نُشِرت الشفرة المصدرية لبرنامج تروكريبت، حتى يتسنى للناس فحصها بأنفسهم، إذا أرادوا. تم العثور على بعض نقاط الضعف، ولكن لم يكن هناك أي أبواب خلفية. ولاحقاً، أصبحت برامج أخرى مبنية على شفرة برنامج تروكريبت مفتوحة المصدر، مما يعني إمكانية فحص وتدقيق هذه البرامج، وهذا ما يجري بالفعل. باختصار، نعم، الموثوقية معلومة؛ لأن هذه البرامج قد خضعت للفحص والتدقيق. وتمتاز البرامج المشابهة لبرنامج تروكريبت عن تطبيق دروبوكس بأنها تجعلك تحمل مفاتيح التشفير معك. فبالرغم من أن تطبيق دروبوكس يُشفِّر ملفاتك عندما تخزنها على خوادمه، يظل مفتاح التشفير معه، مما يعني أن التطبيق يملك إمكانية الوصول إلى بياناتك. ومن ناحية أخرى، يمتاز تطبيق دروبوكس عن برنامج تروكريبت بتحمل مسؤولية النسخ الاحتياطية، ولكن نصيحتي لك أن تُشفِّر ملفاتك محلياً، وبعد ذلك يمكنك تخزينها في أي مكان تريده، طالما أن مفتاح التشفير معك.

 

هل تُشفِّر الألعاب البيانات التي تنقلها من عميل ما إلى خادمها والعكس؟ وإذا كانت الإجابة لا، فهل يستطيع المستخدمون فعل شيء لحماية وتأمين البيانات المنقولة من السارقين الإلكترونيين؟



آمل حقاً أن يكون الاتصال بين الألعاب والخادم اتصالاً مشفراً. فالفشل في فعل هذا يفتح الطريق أمام الغش. فإذا لم يكن مشفراً، فلا يوجد شيء يمكنك فعله بوصفك لاعباً. إن مجرد إعداد اتصال طبقة مقابس آمنة “SSL” بالخادم لن يجدي نفعاً،؛ لأن الخادم لن يفهم طبقة المقابس الآمنة “SSL”. هناك ملحوظة صغيرة أود قولها هي: إذا كان الاتصال بين الخادم والعميل غير مشفر، وحدث أن استضفت كلاً من الخادم والعميل، يمكنك ببساطة بناء أنفاق طبقة المقابس الآمنة “SSL” بين العميل والخادم، ومن ثم جعل الاتصالات مشفرة.

 

كيف يمكن توفير حماية موثوقة لألعاب الحاسب؟

إذا أردت حقاً حماية موثوقة، يجب عليك الانتقال إلى استخدام حلول مادية، وليس برمجية، حلول لا تحتوي على أبواب خلفية. إليك مقطع فيديو ممتعاً عن هذه النقطة:

إذا أردت استخدام حلول برمجية محضة، ألقِ نظرة على كيف يحمي دينوفو ألعاب الحاسب (بالرغم من تعرضها هي أيضاً للاختراق). يمكنك الحصول على بعض الأفكار الممتازة حول كيفية عملها، وما الذي يمكن فعله هنا.

هكذا وصلنا إلى نهاية جلستنا من سل الخبير مع “يورنت”فان دير فيل، خبير فيروسات الفدية والتشفير لدينا. نأمل أن نكون قد قدمنا لكم الإجابات عن أسئلتكم. شكراً لكل من شارك في هذا المنشور!

الابتزاز الجنسي الإلكتروني: تهديد للجميع، خاصة المراهقين

الابتزاز جريمة قديمة قدم الزمان وقد ساعد على تفشيها الأدوات التي قدمتها التقنية الحديثة لها. لا يطلب مجرمو التقنيات الحديثة أموالاً من ضحاياهم، لكنهم يستبدلونها بمئات الخيارات الشريرة الأخرى. تتصيد

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!