مقابلة: توقع أن تبدأ بعض الإدارات الحكومية في استكشاف الرسائل اللامركزية ، كما يقول المؤسس المشارك ل Session Kee Jefferys

دفع التحذير الأخير لمدقق نظم المعلومات المعتمد (CISA) بشأن ثغرتين أمنيتين حرجتين في TeleMessage TM SGNL - يتم استغلالهم بنشاط من قبل الجهات الفاعلة في التهديد - أصحاب المصلحة إلى الجلوس والانتباه.

حثت الوكالة الفيدرالية الأمريكية للأمن السيبراني المنظمات بشدة على التنفيذ الفوري لأي تخفيف يقدمه البائع ، مما يؤكد خطورة العيوب.

"في حالة TM SGNL ، نشأت الثغرات الأمنية من العديد من أخطاء التصميم والتنفيذ الخطيرة ، مما أدى إلى تقويض الأمان المقصود وأدى إلى ما يمكن وصفه بأنه" المسرح الأمني "، قال كي جيفريز ، المؤسس المشارك ل Session ، وهو تطبيق مراسلة مشفر مفتوح المصدر ، في محادثة مع Invezz.

إن نمو تطبيقات المراسلة اللامركزية مدفوع بتقارب العوامل: تزايد مخاوف الخصوصية ، وتزايد عدم الثقة في شركات التكنولوجيا الكبرى ، والتقدم في blockchain وبنية نظير إلى نظير ، وتغيير البيئات التنظيمية.

بينما حازت Session على الثناء لالتزامها بإخفاء الهوية ومقاومة البيانات الوصفية ، يجادل بعض المراجعين التقنيين بأن Signal - منصة مراسلة مشفرة أخرى - تحقق توازنا أكثر شيوعا من خلال الجمع بين بروتوكولات الخصوصية القوية وميزات بناء المجتمع سهلة الاستخدام.

قال جيفريز: "في حالة Session ، تم تصميمه للمستخدمين الذين يحتاجون إلى إخفاء الهوية ومقاومة البيانات الوصفية ، حتى لو كان ذلك يعني إجراء بعض المقايضات على الميزات أو تجربة المستخدم".

كما تطرق إلى الاهتمام المؤسسي المتزايد بمنصات المراسلة اللامركزية ولماذا يعتقد أن إدارات مثل الأمن القومي والخدمة الخارجية من المرجح أن تستكشف هذه التقنيات بجدية أكبر في السنوات القادمة ، خاصة بالنسبة للاتصالات الداخلية التي تنطوي على سيناريوهات حساسة أو عالية الخطورة.

مقتطفات:

على CISA الإبلاغ عن الثغرات الأمنية في TM SGNL

Invezz: يسلط توجيه CISA الضوء على نقاط الضعف في TM SGNL. ما الذي جعل هذه العيوب في رأيك خطيرة للغاية على الرغم من استخدام التشفير من طرف إلى طرف؟

يمنع التشفير من طرف إلى طرف ، عند تنفيذه بشكل صحيح ، أي شخص خارج المحادثة من الوصول إلى رسائل المستخدمين.

ومع ذلك ، في حالة TM SGNL ، نشأت الثغرات الأمنية من العديد من أخطاء التصميم والتنفيذ الجسيمة ، مما أدى إلى تقويض الأمان المقصود وأدى إلى ما يمكن وصفه على أفضل وجه بأنه "المسرح الأمني".

بدلا من عيب واحد معزول ، كانت سلسلة من قرارات التصميم السيئة التي كشفت بيانات المستخدم في النهاية.

أولا ، أنشأت TM SGNL نسخة غير مشفرة من كل رسالة يتم إرسالها في محادثة ثم قامت بتخزين هذه النسخة على خادم.

خلقت هذه الممارسة بشكل فعال مجموعة من البيانات الحساسة ، مما يجعلها جذابة للغاية للمهاجمين.

ثانيا ، كشف الخادم علنا عن عنوان URL يمكن لأي شخص من خلاله تنزيل الحالة الحالية لذاكرته.

نظرا لأن الخادم تلقى هذه الرسائل غير المشفرة ومعالجتها ، فقد قام بتخزينها في الذاكرة جنبا إلى جنب مع تفاصيل المصادقة الحساسة ، بما في ذلك كلمات المرور المجزأة بشكل ضعيف للمستخدمين.

سمحت هذه الثغرات الأمنية مجتمعة للمهاجم ، حتى لو كان لديه تطور محدود نسبيا ، بتنزيل ذاكرة الخادم بشكل روتيني ، واستخراج معلومات المصادقة ، واختراق حسابات المستخدمين ، والوصول إلى محادثات النص العادي.

يؤكد هذا السيناريو على نقطة حرجة: البروتوكولات الآمنة قوية فقط مثل جودة التعليمات البرمجية الأساسية وتنفيذ البنية التحتية.

كيف تقلل اللامركزية من المخاطر هيكليا

Invezz: لقد جادلت بأن سيطرة البائع الفردي هي التهديد الحقيقي. هل يمكنك أن ترشدنا إلى كيفية تقليل اللامركزية هيكليا من هذا الخطر؟

مطلقا. عندما تتحكم شركة واحدة في كل شيء ، بما في ذلك الكود والخوادم والتحديثات ، حتى خطأ واحد يمكن أن يعرض الجميع للخطر.

تنشر اللامركزية هذا التحكم ، مما يقلل من القدرة على استهداف أي خادم واحد لتحقيق حل وسط كامل للشبكة.

في شبكات مثل Session ، لا يوجد خادم مركزي للهجوم ، ولا أي كيان واحد يحتفظ بجميع الرسائل.

بدلا من ذلك ، تتكون الشبكة من عقد تعمل بشكل مستقل موزعة في جميع أنحاء العالم ، وتكون شفرة المصدر متاحة بشكل مفتوح لأي شخص لفحصها.

نتيجة لذلك ، بدلا من الاعتماد على مصداقية بائع واحد ، لديك نظام مصمم خصيصا للعمل دون الحاجة إلى الثقة على الإطلاق.

الفرق بين الجلسة والإشارة

Invezz: غالبا ما يوصف Session بأنه رسول لامركزي بالكامل ومقاوم للبيانات الوصفية. كيف تختلف البنية التحتية الخاصة بك بشكل أساسي عن Signal أو التطبيقات المشفرة الأخرى؟

لا يزال معظم برامج المراسلة يعتمدون على البنية التحتية المركزية ، والجلسة مختلفة.

تعمل Session على شبكة توجيه بصل لامركزية مستوحاة من Tor ، مصممة خصيصا للمراسلة.

بدلا من الاعتماد على الخوادم المركزية ، تقوم Session بتوجيه الرسائل عبر سلسلة من العقد التي يديرها المجتمع ، مما يخفي بشكل فعال عناوين IP للمستخدمين من أي عقدة تخزن رسائلهم.

بالإضافة إلى ذلك، لا تتطلب الجلسة رقم هاتف أو بريد إلكتروني أو أي معرف آخر في العالم الحقيقي لإنشاء حساب.

يتم تشفير جميع الرسائل من طرف إلى طرف ، وعلى عكس TM SGNL التقليدي ، لا ترسل Session أبدا سجل تدقيق غير مشفر لاتصالات المستخدمين إلى خادم مركزي.

حالة استخدام الجلسة والجهود المستمرة لتحسين قابلية الاستخدام

Invezz: قال بعض المراجعين التقنيين إنه بينما تقدم Session مستوى من الخصوصية وهو أمر رائع لأغراض الأمان ، فإن Signal يمزج بين سياسات الخصوصية القوية وميزات بناء المجتمع المفيدة ، مما يجعلها جذابة لجمهور أوسع. ما هي أفكارك حول هذا؟

هذه تجربة عادلة. قامت Signal بعمل رائع في جعل الرسائل الخاصة تبدو سلسة ، خاصة للأشخاص الذين ليسوا خبراء في الخصوصية.

في حالة Session ، تم تصميمه للمستخدمين الذين يحتاجون إلى إخفاء الهوية ومقاومة البيانات الوصفية ، حتى لو كان ذلك يعني إجراء بعض المقايضات على الميزات أو تجربة المستخدم.

لكن Session بالتأكيد لا يتجاهل قابلية الاستخدام ، فقد عمل المساهمون في Session بجد على تحسين تجربة المستخدم ، من خلال تبسيط المصطلحات الفنية وتسهيل القفز وبدء المراسلة دون الحاجة إلى القلق بشأن التفاصيل الفنية.

حول الطلب المؤسسي على الرسائل اللامركزية

Invezz: هل ترى أن الطلب المؤسسي أو المؤسسي على الرسائل اللامركزية يتزايد؟ إذا كان الأمر كذلك ، فما هي القطاعات التي تظهر قوة جر مبكرة؟

مطلقا. تشهد الجلسة اهتماما متزايدا من الصحفيين والمنظمات غير الحكومية والمبلغين عن المخالفات والمهنيين القانونيين ، وبشكل أساسي أي شخص يتعامل مع معلومات حساسة أو يحتاج إلى الحفاظ على خصوصية الاتصالات.

بدأت بعض المنظمات اللامركزية المستقلة والشركات الناشئة التي تركز على الخصوصية في استكشاف الرسائل اللامركزية أيضا.

لا يزال الوقت مبكرا ، لكن القاسم المشترك هو أنهم جميعا يريدون خصوصية قوية وبنية تحتية لا تحتوي على نقطة فشل أو تحكم واحدة.

مع تشديد اللوائح وتراكم خروقات البيانات ، بدأت اللامركزية تبدو أقل شبها بمكانة وأكثر شبها بضرورة.

من المرجح أن تستكشف فروع الحكومة مثل الأمن القومي / الخدمة الخارجية الرسائل اللامركزية

Invezz: هل تعتقد أن الحكومات ستتبنى بجدية بروتوكولات المراسلة اللامركزية ، أم أنها ستظل تعتمد على البائعين الذين يمكنهم الإشراف عليهم؟

هذا صعب. تفضل الحكومات بطبيعة الحال التحكم والتدقيق ، مما يقودها غالبا نحو أنظمة الملكية أو التي يديرها البائع.

ومع ذلك ، كما يوضح حادث TM SGNL بوضوح ، فإن هذا النهج المركزي ينطوي على مخاطر متأصلة.

أتوقع أن تستكشف بعض فروع الحكومة ، وخاصة تلك التي تتعامل مع الأمن القومي أو الخدمة الخارجية ، بشكل متزايد حلولا لامركزية للاتصالات الداخلية الحساسة أو السيناريوهات عالية الخطورة.

ربما لن نرى تبنيا فوريا وواسع النطاق بين عشية وضحاها ، لكن التكلفة المتصاعدة وتأثير الخروقات الأمنية مقنعة بما يكفي لجعل المؤسسات التي تتجنب المخاطرة تقليديا تعيد النظر في نهجها.