التحقق من الهوية في المعاملات البنكية عبر الانترنت

ملخص تمهيدي

وفرت المعاملات الآمنة بدءاً من البنوك الإلكترونية إلى التسوق عبر الانترنت الحرية لإدارة الحياة والعمل من أي مكان وفي أي وقت. لكن تلك الوسيلة من وسائل الراحة لم تكن دون مقابل: لقد وفرت التقنية الحديثة الفرص لأشكال متطورة من السرقة التي تتزايد باستمرار. يحاول الخبثاء من المهاجمين الذين يتخفون تحت غطاء المواقع المشروعة الوصول إلى المعلومات الشخصية والسجلات المالية . لذلك فإن غياب الحماية ضد تلك الإختراقات يجعلها تمثل تهديداً محتملاً لتدمير علاقات العملاء وسمعة الشركات التجارية.
تعرض هذه الوثيقة الأساليب المتعددة التي يستخدمها المهاجم لسرقة معلومات الحساب البنكي للمستخدم وفي المقابل الأساليب التي تنتهجها الشركات لحماية اتصالاتها عبر الانترنت. إضافة إلى ذلك تعالج هذه الوثيقة جوانب الضعف الموجودة في أساليب الأمن والتحقق من الهوية المعتاد إتباعها لمنع هجمات الاصطياد الإلكتروني التي يجري اعتراض البيانات فيها(man-in-the-middle attacks) للإضرار بالمعاملات الالكترونية “الآمنة”.

تهديدات المعاملات البنكية عبر الانترنت

تزايد استخدام الانترنت في حياتنا اليومية حيث أصبحت العديد من الخدمات متاحة عبر الشبكة. يقدم هذا السوق الجديد العديد من الفرص لموفري الخدمات بما فيهم المؤسسات المالية. ومن المألوف أنه متى ظهر المال في مكان ظهر معه ذو النفوس الشريرة الذين يسعون لسرقته. ذلك هو الحال في أنظمة التعاملات المالية على الانترنت. لكن ما يدعو للدهشة هو التزايد والتطور الذي حدث مؤخراً في أساليب السرقة حيث شهد عام 2003 ظهور حوالي 20 حصان طروادي فقط جميعها تستهدف الخدمات المالية ومعظمها موجه للقدرات الوظيفية الأساسية. بعدها بعامين ونصف تزايد عدد هذه البرمجيات الخبيثة إلى ما يقرب من 2000 نوع مختلف.
وتأكيداً لذلك فقد صرحت شركة Panda لمكافحة الفيروسات أن العدد الإجمالي لعينات البرمجيات الخبيثة في قاعدة بياناتها وصل 40 مليون نوع مع نهاية عام 2009 وأنه من المتوقع لهذا العدد أن يزداد بحلول عام 2010 حيث أكدت الشركة استقبالها لحوالي 55000 عينه يومياً وأن هذا العدد يتزايد بشكل غير عادي. يوضح الشكل (1) رسماً بيانياً للعينات الموجودة في معامل شركة Panda لمكافحة البرمجيات الخبيثة.


Figure 1 from panda antivirus laboratory 2010

وكما يظهر في الشكل فإن الأحصنة الطروادية تستحوذ على نصيب الأسد من البرمجيات الضارة خلال الأعوام الماضية بسبب استخدامها ضد أهداف ذات صبغة مالية. كما أنه من السهل نسيباً الحصول على نسخ جديد مختلفة لتوفر تلك الأحصنة وأدوات إنشاءها على الانترنت. تركز الأحصنة الطروادية بشكل كبير على سرقة البيانات البنكية وغيرها من المعلومات حيث تعتبر طريقة سهلة وسريعة للحصول على المال في يد مجرمي الانترنت.
وتتعدد الأساليب التي يستخدمها هؤلاء المجرمين بشكل مكثف من هجمات الهندسة الاجتماعية البسيطة إلى الهجمات رفيعة المستوي باستخدام مجموعات برامج rootkits تستهدف السيطرة على قلب النظام Kernel. ولكن على اختلاف أنواعها فإن الهجمات يمكن تقسيمها إلى فئات قليلة إذ لا تزال بعضها يستخدم نفس المبادئ الأساسية. العامل الأساسي لتصنيف تلك الأساليب هو نقطة الهجوم. وللتبسيط يمكننا تصيف الهجمات إلى ثلاثة فئات رئيسية هي هجمات محلية (داخلية) وهجمات عن بعد (خارجية) وهجمات هجين. تقع الهجمات المحلية (الداخلية) على جهاز الضحية أما الهجمات العن بعد (الخارجية) فلا تغير في الجهاز بل تحاول اعتراض أو إعادة توجيه حركة البيانات أثناء فترة التعامل مع الشبكة. أما الهجمات الهجينة وهي الأكثر خطورة فتجمع بين كلا النوعين من الهجمات.

الهجمات المحلية (الداخلية)

أحد المفاهيم المغلوطة لدى المستخدم المنزلي هو أن المعاملات البنكية التي تدعم قناة اتصال محمية ببروتوكول SSL/TLS (الذي يشير له رمز القفل في متصفح الانترنت) سوف توفر الحماية المثالية لهم ضد أي نوع من الهجمات. لكن هذا المفهوم خطأ لأن بروتوكول طبقة المقابس الآمنة SSL مصمم لحماية قناة الاتصال بين مستخدم الحاسوب وخادم المعاملات البنكية وليس حماية الأجهزة المثبتة على النهايات الطرفية لتلك القناة. لذلك إذا أصيب جهاز المستخدم قبل الشروع في فتح قناة الاتصال مع المعاملات البنكية عبر الانترنت فإن البرنامج الخبيث قد يسرق البيانات أو يغيرها وهذا خارج نطاق وظيفة بروتوكول SSL الذي يحمي فقط قناة الاتصال.
وقد استغلت العديد من البرمجيات الخبيثة هذه الحقيقة بطرق مختلفة لشن الهجمات أبسطها برمجيات التي تسجل نقرات لوحة المفاتيح Keylogger وترسلها إلى المهاجم. وقد استخدمت تلك البرمجيات في القيام بالعديد من المعاملات البنكية غير المشروعة وسرقة الحسابات مثل واقعة رجل الأعمال الذي رفع دعوة قضائية على بنك Bank of America بسبب خسارته لـ 90000 دولار. بعض الأنواع الأخرى من البرمجيات الخبيثة تسرق ما يجري كتابة في الاستمارات الإلكترونية web forms مثل الحصان الطروادي المعروف باسم PWSteal.Bankash الذي يلتقط المعلومات المكتوبة قبل تشفيرها بواسطة بروتوكول طبقة المقابس الآمنة SSL وإرسالها إلى المؤسسات المالية. قد يحدث ذلك باستخدام عدة طرق مثل غرس أحد مكتبات الوصلات الديناميكية داخل متصفح مايكروسوفت Internet Explorer كأحد العناصر المساعدة للمتصفح (BHO) أو حقن شفرة خبيثة إلى ذاكرة المتصفح أو اصطياد أحد الوصلات البينية لبرامج التطبيق API. لذلك يستطيع هذا النوع من التهديدات اعتراض أي معلومات يجري إدخالها إلى عند زيارة أي موقع إلكتروني باستخدام متصفح الانترنت وذلك قبل تشفيرها.
أنواع أخرى من البرمجيات الخبيثة يمكنها مراقبة تعامل المستخدم مع المتصفح وبمجرد دخول المستخدم على موقع البنك المستهدف يقوم الحصان الطروادي بفتح موقع يحاكي موقع مزيف يشبه موقع البنك فوق الموقع الأصلي ثم يغلقه بعد تقديم الاستمارة الالكترونية مستولياً بذلك على البيانات الموجودة فيها. يستخدم هذا الأسلوب الحصان الطروادي المعروف باسم PWSteal.Bancos.B.


Figure 2 PWSteal.Bancos.B display this fake popup when user open “bankline” web site

و قد استخدمت بعض البنوك مؤخراً ما يعرف بتقنية لوحة المفاتيح الافتراضية virtual keyboard لحماية المستخدم من برمجيات تسجيل نقرات لوحة المفاتيح لكن ذلك مجرد تغير لوجه المشكلة دون حلها فالنوع الثاني من البرمجيات الخبيثة الذي يقوم بتشغيل سفرة خبيثة داخل متصفح الانترنت أو يظهر شاشات مزيفة للاستمارات الإلكترونية أو حتى برمجيات تسجيل نقر المفاتيح التي تخزن لقطات متتابعة من شاشة الجهاز لديها القدرة على القيام بنفس وظيفة مسجل نقرات لوحة المفاتيح العادي.
خطوة أخرى في اتجاه مستوي أفضل من الأمن هي استخدام العناصر غير الثابتة للتحقق من هوية المستخدم. لم يعد اسم المستخدم وكلمة المرور الثابتة كافية لحماية فترات التعامل مع البنوك عبر الشبكة. لذلك فرضت هيئة النقد في هونج كونج قانون ينص على أن كل التطبيقات المعاملات البنكية عبر الانترنت يجب أن تستخدم عناصر مزدوجة للتحقق من الهوية بداية من يونيو 2005. الأنواع الثلاثة الشائعة من عناصر التحقق المزدوجة التي تستخدمها البنوك في هونج كونج هي الشهادات الرقمية digital certificates وكلمات المرور التي تستخدم لمرة واحدة من خلال إرسالها عبر الرسائل النصية القصيرة SMS-based one-time passwords وأجهزة الرقم الأمني المميز security-token التي تعتمد كلمات مرور تستخدم لمرة واحدة. سوف يجري مناقشة كل منها فيما يلي من التقرير.

الهجمات عن بعد (الخارجية)

تمثل هجمات الاصطياد الالكتروني أكبر الهجمات التي تتعرض لها المعاملات البنكية عبر الانترنت حيث يرسل المهاجمون رسائل بريد الكترونية للعديد من المستخدمين ليخدعوهم بفتح موقع الكتروني مزيف للتعاملات البنكية أو موقع وهمي يقدم خدمات مفيدة حتى يقوم المستخدم بالكشف عن معلومات حسابه البنكي. يوجد العديد من الأساليب لخداع المستخدم وإنشاء صفحات الويب المزيفة بحيث لا يستطيع المستخدم التفريق بين المواقع الحقيقية والمواقع المزيفة. من هذه الأساليب استخدام نفس اسم الموقع مع تغيير حرف واحد أو إضافة أحد الرموز مثل الشرطة السفلي (_). بالإضافة إلى أساليب أخرى مثل كتابة عنوان بروتوكول الانترنت الخاص بموقع مزيف بدون النقطة (.) ثم إضافة اسم مستخدم وكلمة مرور في الموضع الخاص بالتحقق من هوية المستخدم كما يلي http://bank.com@233484731. هذا العنوان صحيح ويخدع الكثير من المستخدمين الذين يفتحونه. تصدر جميع المتصفحات حالياً رسائل إنذار حيال هذا النوع من عناوين بروتوكولات الانترنت أو تمنع كتابته من الأصل باستثناء متصفح Safari 4 الذي ما يزال لديه تلك الثغرة.
تدعم أسماء النطاقات العالمية حالياً جداول الكود الموحد Unicode والحروف غير اللاتينية وهي خاصية يمكن استغلالها لإنشاء اسم نطاق جديد وليكن http://Citibank.com للنطاق الأصلي http://Citibank.com والتغيير هو استبدال حرف الـ (a) داخل النطاق الأصلي بحرف (a) من اللغة السريالية. يعرف هذا النوع من الهجوم باسم هجوم التشابه اللفظي على أسماء النطاقات العالمية وقد استطاعت شركة Symantec من اقتناص العديد من مواقع الاصطياد الالكتروني التي تستخدم هذا الأسلوب.
نوع أخر من الهجمات الموجهة إلى النطاق ولكنه يصيب الخوادم الموجودة لدى المستخدم ما يعرف باسم المزرعة أو تسميم الذاكرة المخبأة cache memory الخاصة بنظام أسماء النطاقات DNS. يقوم المهاجم بتغيير عنوان بروتوكول الانترنت IP للموقع المستهدف ليصبح عنوان الموقع المزيف و عندما يزور المستخدم الموقع المستهدف يقوم خادم أسماء النطاقات بالإشارة إلى الموقع المزيف ويجرى توجيه المستخدم مباشرة إليه. هذا النوع من الهجمات ليس جديداً وقد اثبت نجاحه خلال العديد من السنوات الماضية.
ومن هجمات الاصطياد الالكتروني أيضاً هجمات الوقت الفعلي على بروتوكول التوثيق باعتراض البيانات أو ما يعرف بهجمات man-in-the-middle وهو مصطلح تقليدي يشير إلى المهاجم التي تعترض يتدخل بين نهايتي قناة اتصال ليقوم بتوجيه الرسائل بينهما ذهاباً وإياباًُ وقد يغيرها. تتنوع الأساليب التي يحدث بها هذا النوع من التهديد ولكن الشكل النموذجي لها عندما يقوم المهاجم بإرسال طلب يبدو في الظاهر سليم من أحد المواقع الموثقة سائلاً المستخدم الدخول إلى أحد التطبيقات المألوفة كما في الشكل (3).

الهجمات الهجينة

في الهجمات الهجينة يمزج المهاجم بين أساليب الهجمات المحلية (الداخلية) والهجمات عن بعد (الخارجية) ليكسب هجمته المزيد من القوة. أبسط أشكال هذه الهجمات هو إصابة جهاز المستخدم بحصان طروادي يبدل بعض عناوين الصفحات الالكترونية المحفوظة في سجل الصفحات المفضلة إلى عناوين مواقع مزيفة. لكن هناك بعض الهجمات الأكثر قوة حيث تغير ملف المستضيف الموجود في نظام التشغيل وإضافة عنوان بروتوكول الانترنت IP الخاص بموقع المعاملات البنكية المستهدف إلى الموقع المزيف بحيث يظهر الموقع المزيف عندما يبعث المستخدم طلب بفتح الموقع الحقيقي للبنك. العديد من البرمجيات الضارة لديها القدرة على القيام بهذا النوع من الهجمات مثل الحصان الطروادي المعروف باسم Trojan.Qhost الذي يضيف سطر بروجي في ملف المضيف لتحويل كافة المعلومات المتدفقة إلى موقع البنك المستهدف إلى موقع خبيث.

حلول التحقق من الهوية

تبنت البنوك حول العالم تقنيات الانترنت والهاتف البنكي للقيام بعملها سواء مع المؤسسات أو الشركات الصغيرة مما سمح لها بخفض التكاليف وخدمة العملاء بطريقة أفضل. لكن الهجمات على مواقع المعاملات البنكية تكاثرت وأصبح لها الآن أسلوب إجرامي معروف. وكما سبق فإن هذه الهجمات تضم الاصطياد الالكتروني وأسلوب المزرعة والأحصنة الطروادية والهجمات على بروتوكول التوثيق باعتراض البيانات المعروفة باسم “الرجل في المنتصف” (الاصطياد الالكتروني في الوقت الفعلي لحركة البيانات). وقد جرى الاتفاق على ضرورة الاستثمار في تحسين التحقق من هوية العميل لمنع هذه الهجمات والاحتفاظ بثقة العملاء.
إن التحقق من هوية المستخدم هو الأساس الذي تقوم عليه المعاملات الإلكترونية لأنها تقيم الثقة من خلال التأكد أن هويات المُرسِل والمُستقبِل هي بالفعل هوياتهم الحقيقية. أكثر أنواع التحقق من الهوية شيوعاً هو كلمات المرور حيث تمثل الحد الأدنى من أشكال التحقق من الهوية لكنها عرضة للتخمين بسهولة وتكرار نسيانها وخطورة الاحتفاظ بها. كما أن كلمات المرور تتسم بالثبات وطول فترات استخدامها وعادة ما يُعاد استخدامها في أكثر من تطبيق مما يجعلها على وجه الخصوص هدفاً ثميناً لاصطياده. كلمات المرور عرضة لهجمات الاصطياد الالكتروني حيث يمكن الاحتيال على المستخدم لإدخال كلمة المرور في موقع أو تطبيق مخادع بعدها يستطيع المهاجمون بالاصطياد الالكتروني جمع المعلومات واستخدامها في التزوير والسرقة. لذلك فإن القدرة على التحقق من الهوية بقوة ضرورة لحماية المعاملات والعملاء من هجمات الاصطياد الالكتروني.
يوفر التحقق المعتمد على عنصرين للتحقق من الهوية وسيلة حماية متطورة إلى حد كبير لأن المستخدمون يُدخلون شيء معروف لديهم مثل رقم الهوية الشخصية وشيء أخر يمتلكونه مثل الشفرة المتغيرة على جهاز للتوثيق في حجم سلسلة مفاتيح. لذلك فإن التحقق القوي من الهوية باستخدام عنصرين حل مؤكد للأمن داخل المؤسسة لكنه مصمم لتوثيق المستخدم لدى التطبيق وليس من الضرورة توثيق التطبيق لدى المستخدم. ترفع أساليب التحقق من الهوية باستخدام عنصرين من العراقيل أمام المهاجم بشكل أعلى وتوفر الحماية ضد الهجمات الحالية لسرقة كلمات المرور دون الاتصال بالشبكة لكنها لا تستطيع التعامل مع الأنواع الأخرى من الهجمات مثل الهجمات على بروتوكول التوثيق باعتراض البيانات أو هجمات الأحصنة الطروادية.

 

التحقق من الهوية ثنائي العناصر باستخدام رسائل نصية قصيرة تحمل كلمات مرور فورية

في هذا السيناريو يرغب المستخدم في الدخول على موقع البنك من خلال كتابة اسم المستخدم الخاص به وكلمة مروره ثم يُرسل البنك كلمة مرور مؤقتة فورية لهاتف المستخدم المحمول بحيث يمكنه استخدامها لاستكمال الدخول إلى الموقع. يعمل التحقق من الهوية باستخدام عنصرين بكفاءة ويلاءم الكثير حيث أن أحد أهم مميزاته هو امتلاك معظم المستخدمين لهواتف محمولة مما ينفي الحاجة لشراء المزيد من أجهزة الرقم المميز وتركبيها ودعمها.
أسوء الحالات التي لا يستطيع هذا النوع من التحقق مواجهتها هي الهجمات على بروتوكول التوثيق باعتراض البيانات حيث يجري توجيه المستخدم إلى موقع مزيف. وبمجرد إدخال البيانات الخاصة بحسابه في الموقع المزيف يستخدم المهاجم بيانات اسم المستخدم في الدخول على الموقع الحقيقي للخدمة وينشئ طلب بالحصول على كلمات مرور مؤقتة فورية من خلال الرسائل النصية القصيرة. يستقبل المستخدم الشفرة على هاتفه المحمول ويقوم بإدخالها في الموقع المزيف معتقداً أنه ما يزال يتعامل مع الموقع الحقيقي. بعدها يستخدم المهاجم هذه الشفرة لتوثيق نفسه لدى الخدمة الحقيقية. وللتغلب على هجمات سرقة كلمات المرور أثناء عدم الاتصال بالشبكة جعلت البنوك تضع مطلباً هو التحقق من كل معاملة بكلمة مرور تُستخدم لمرة واحدة. تُستخرج كلمات المرور بنفس طريقة استخراجها عند عملية الدخول الأولى, ولهذه الحالة يقوم المهاجم بالإبقاء على فترة تعامل مزيفة منتظراً حتى يقوم المستخدم بإنشاء المعاملة الإلكترونية. يعمل المهاجم كجهاز وكيل بين البنك الإلكتروني الحقيقي والمستخدم النهائي ليقوم بتصفية المعلومات غير المرغوبة والتحذيرات. يظل الهجوم مستمر طالما المطلوب من المستخدم هو الرد باستخدام شفرة التحقق المرسلة عبر الرسالة النصية القصيرة بدلا من إدخالها عبر الموقع الالكتروني حيث يعتقد المستخدم أنه يوثق نفسه معاملته الالكترونية. الشكل (4) يوضح عمل هذا الهجوم.


Figure 4 show MITM against SMS-OTP 2FA

هناك حل أفضل لتقليل هجمات الاصطياد الالكتروني أو هجمات اعتراض البيانات وهو التحقق من المعاملات الالكترونية نفسها بمعنى أنه يجب على البنك ضم تفاصيل المعاملة في الرسالة النصية القصيرة. بهذه الطريقة يعلم المستخدمون أي معاملة يقومون بها ويستطيعون إدراك ما إذا كان هناك اعتراض للبيانات قام بإضافة أي شيء للمعاملة الالكترونية. الشكل الذي سوف تظهر به الرسالة النصية القصيرة يوضحه الشكل (5)


Figure 5 show SMS that Authenticate the Transaction

لكن يوجد مشكلة أخرى في الأنظمة المعتمدة على الرسائل النصية القصيرة لإرسال كلمة المرور الفورية هي استخدام شبكات اتصالات الهواتف المحمولة GSM التي تعرضت للهجوم مؤخراً واستطاع المهاجمون التقاط كافة الرسائل النصية القصيرة وفك تشفيرها. تستخدم شبكات الهواتف المحمولة العديد من خوارزميات التشفير لتحقيق الأمن مثل خوارزميات التشفير A5/1 و A5/2 المُستخدمة للتأكد من سرية الموجات الصوتية المنقولة عبر الأثير وقد أعلن عن عدد من الهجمات التي تستهدف هاتين الخوارزميتين. بعض الخوارزميات تتطلب فترة معالجة تحضيرية طويلة بعدها يمكن مهاجمة تشفيرها و فكه في ثوان معدودة. يوجد على الأقل أربع أدوات تجارية تسمح بفك تشفير اتصالات شبكات الهواتف المحمولة. يتراوح سعر هذه الأدوات بين 100000 دولار و250000 دولار حسب السرعة التي تريد أن يعمل بها البرنامج.
حتى وقت قريب كانت نقاط الضعف تستغل من خلال الهجمات السالبة passive attacks باستخدام افتراض النص غير المشفر المعروف. شهد عام 2003 جوانب ضعف أكثر خطورة يمكن استغلالها في حالات النصوص المشفرة أو بواسطة مهاجم نشط. في عام 2006 قدم إلياد باركان وإلي بيهام وناثان كيلر عرضاً لهجمات على خوارزميات التشفير A5/1 و A5/3 و حتى شبكات اتصال الهواتف المحمولة سمحت للمهاجمين التصنت على محادثات الهاتف المحمول وفك تشفيرها إما في وقتها الفعلي أو في وقت لاحق.
في عام 2008 قامت مجموعة من المخترقين تدعى The Hackers Choice بإطلاق مشروع لتطوير هجوم عملي على خوارزمية A5/1. تتطلب الهجوم إقامة جدول بحث كبير يبلغ حجمه ما يقارب 3 تيرابايت. بالاتحاد مع إمكانيات الفحص التي جرى تطويرها كمشورع فرعي توقعت المجموعة أن تكون قادرة على تسجيل أي مكالمة تحدث عبر شبكات اتصال الهواتف المحمولة أو الرسائل النصية القصيرة المشفرة باستخدام A5/1 وفي خلال 3 إلى 5 دقائق تمكنت المجموعة من سحب مفتاح التشفير وبالتالي الاستماع إلى المكالمات وقراءة الرسائل النصية القصيرة بوضوح. لكن الجداول المستخدمة في هذا الاختراق لم يجري نشرها.

وفي جهد مماثل عام 2009 جرى الإعلان عن مشروع كسر خوارزمية A5/1 في مؤتمر Black Hat للأمن بواسطة المُشفِّر كارستن نوهل الذي استخدم بطاقة رسوميات من شركة nVidia للقيام بعملية الحوسبة العامة على وحدات معالجة الرسوميات من خلال هيكلية حوسبة موزعة تعتمد مبدأ الند للند peer-to-peer distributed computing architecture .منذ بداية المشروع في سبتمبر عامم 2009 قام المشروع بتشغيل ما يعادل 12 بطاقة رسوميات من نوع nVidia GeForce GTX 260. وحسب المؤلفين فإن هذا الاسلوب يمكن استخدامه على أي نوع من أنواع التشفير ذات المفتاح 64 بت.
في ديسمبر 2009 أعلن كل من كريس لجيت وكارستن نوهل عن جداول الهجوم الخاصة بمشروع كسر خوارزمية A5/1. استخدمت الجداول خليط من أساليب الضغط بما فيها جداول التنقيب في الذاكرة بحثاً عن النصوص غير المشفرة لكلمات المرور وسلاسل نقاط مميزة. وقد امتدت فترة حسابها لثلاثة شهور باستخدام 40 نقطة في هيكلية من أجهزة الحوسبة الموزعة CUDA. جرى نشر الجداول عبر خوادم مشاركة الملفات المعروفة باسم BitTorrent.
ومع توالي ظهور الهجمات وجوانب الضعف الجديدة في شبكات اتصال الهواتف المحمولة صرح خبير التشفير نوهل بأنه يجب على تلك الشبكات الا تُستخدم لأنظمة الأمن خاصة الجديدة منها.
التحقق من الهوية ثنائي العناصر باستخدام جهاز الرقم المميز لكلمة المرور الفورية المؤقتة
جهاز الرقم المميز هو جهاز ملموس يتسلمه المستخدم لمساعدته في عملية التوثيق لذلك يشار له أيضاً بجهاز التوثيق أو جهاز الشفرة. تأتي الأرقام المميزة على شكل جهاز أو برنامج. في حالة الجهاز تكون على شكل قطع صغيرة سهلة الحمل. بعض هذه القطع يخزن مفاتيح تشفير أو بيانات قياس حيوي بينما البعض الأخر يعرض رقم تعريف شخصي يجري تغيره بمرور الوقت. وعندما يرغب المستخدم في الدخول إلى النظام بمعنى توثيق نفسه لدى النظام يستخدم رقم التعريف الشخصي المعروض في الجهاز بالإضافة إلى كلمة مروره العادية. أما في حالة البرنامج فإن برامج الرقم المميز تعمل على الحواسيب لتولد رقم تعريف شخصي يتغير بمرور الوقت. تطبق هذه بالبرامج خوارزمية كلمة المرور التي تُستخدم مرة واحدة فقط المعروفة باسم OTP. هذا النوع من الخوارزميات يمثل خطورة للأنظمة التي تستخدمه طالما أنه لا يجب أن يمتلك المستخدمين غير المصرح لهم القدرة على تخمين كلمة المرور التالية. تستخدم أجهزة SecurID التي تنتجها شركة RSA أرقام مميزة (يمكن أن تكون على أجهزة أو برامج) حيث يجري مزامنة ساعتها الداخلية مع الخادم الرئيسي. لكل جهاز منشأ فريد يستخدم في توليد رقم عشوائي وهمي. يجري تحميل هذا المنشأ للخادم عند شراء الجهاز واستعماله في التعرف على المستخدم. يولد الجهاز كلمة مرور تستخدم مرة واحدة كل 60 ثانية يستعملها المستخدم مع رقم التعريف الشخصي الذي لا يعرفه أحد غيره لتوثيق نفسه والتحقق من صحة هويته لدى الخادم. في حال مطابقة كلمة المرور التي تستخدم مرة واحدة و رقم التعريف الشخصي مع البيانات الموجودة في الخادم يجري توثيق المستخدم.
يستلزم استخدام أجهزة الرمز المميز عدة خطوات تشمل تسجيل المستخدمين وانتاج الجهاز وتوزيعه ثم توثيق الجهاز و المستخدم وأخيراً إلغاء الجهاز والمستخدم. لذلك فإن أجهزة الرمز المميز بالغة التكلفة للمنظمات. على سبيل المثال فإن البنط الذي لديه مليون عميل

سوف يشتري ويعمل على تركيب وصيانة مليون جهاز من اجهزة الرمز المميز. بالإضافة إلي أن البنك عليه أن يوفر دعم مستمر لتدريب العملاء على كيفية استخدام ذلك النوع من الأجهزة. ويجب على البنك أيضاً الاستعداد لاستبدال أي جهاز في حال كسره أو سرقته. وللعلم فإن تكلفة استبدال جهاز من أجهزة الرمز المميز اكبر بكثير من تكلفة استبدال بطاقة الصراف الآلي أو إعادة تخصيص كلمة مرور. من وجهة نظر العميل فإن امتلاك حساب في أكثر م بنك يعني الحاجة لحمل والاحتفاظ بعدة أجهزة للرمز المميز مما يمثل إزعاجاً كبيراً وقد يؤدي إلى فقد أحد تلك الأجهزة أو سرقتها أو كسرها. وفي أغلب الحالات يدفع العميل تكلفة كل منها.
لسوء الحظ هذه الأساليب لا تحتمل الهجوم على بروتوكول التوثيق باعتراض البيانات حيث يستطيع المهاجم سرقة كلمة المرور بعد استخراج المستخدم لها من جهاز الرمز المميز وكتابتها في الموقع المزيف.

التحقق من الهوية ثنائي العناصر ببرنامج الرمز المميز على الهاتف المحمول – كلمة مرور تستخدم مرة واحدة

في هذه الحالة يجري استخراج كلمة مرور تستخدم مرة واحدة من خلال جهاز الهاتف المحمول مباشرة دون استخدام أي أجهزة رمز مميز أو انتظار موقع إلكتروني يرسل بكلمة المرور. يوجد في هذا الأسلوب برنامج مثبت على الهاتف المحمول حيث يستقبل اسم المستخدم ورقم التعريف الشخصي من المستخدم ثم يقوم بعدها باستخراج كلمة المرور التي تستخدم مرة واحدة دون الحاجة إلى تخزين اسم المستخدم ورقم تعريفه الشخصي. لذلك لا توجد أي خطورة في حال سرقة الهاتف المحمول أو تعطله. عند مقارنته بأسلوب التحقق من الهوية باستخدام الرسائل النصية القصيرة فإن أحد مميزات هذا الأسلوب هي رخص التكلفة وسهولة الاستخدام وعدم تقيده بالمكان مثل مشكلة التجوال في أنظمة كلمة المرور التي تستخدم مرة واحدة عبر الرسائل النصية القصيرة.
تعتمد خوارزميات توليد كلمة المرور التي تستخدم لمرة واحدة على عامل معين هو أن خادم الموقع الالكتروني قادر على استخراج نفس كلمة المرور عندما يريد المستخدم الدخول بمعنى أن الخادم على معرفة بمدى صحة كلمة المرور المستخدمة. ولتأمين النظام فإن كلمة المرور المستخرجة يجب أن تكون صعبة في تخمينها أو استرجعها أو تتبعها بواسطة المخترقين. لذلك من الممهم جداً تطوير خوارزمية آمنة لتوليد كلمات المرور التي تستخدم مرة واحدة.
النظام المقترح هنا يستلزم استخدام هاتف محمول وبرنامج رمز مميز لتوليد كلمة المرور التي تستخدم مرة واحدة التي تكون صالحة لمدة قصيرة يحددها المستخدم إضافة إلى أنها تستخرج باستخدام عناصر فريدة لكل من المستخدم وجهاز الهاتف المحمول نفسه. يبين المخطط التالي خطوات برنامج الهاتف المحمول لاستخراج كلمة المرور التي تستخدم لمرة واحدة.

عند مقارنة هذه الطريقة بأسلوب الرسائل النصية القصيرة لكلمات المرور التي تستخدم مرة واحدة الذي تطبقه بعض المصارف فإن طريقة البرنامج المثبت على الهاتف المحمول تؤدي نفس الخدمة مع تحمل البنك تكلفة أقل كما أنها أسهل في التعامل من جانب المستخدم وتحل مشكلة التجوال الموجودة في نظام الرسائل النصية القصيرة.
لسوء الحظ هذه الأساليب لا تحتمل الهجوم على بروتوكول التوثيق باعتراض البيانات حيث يستطيع المهاجم سرقة كلمة المرور بعد استخراج المستخدم لها من جهاز الرمز المميز وكتابتها في الموقع المزيف (كما في كل أنظمة كلمة المرور التي تستخدم لمرة واحدة التي عند استعمالها لمتصفح الويب للتعامل مع المواقع المزيفة).

كلمات مرور النطاق المختزلة

كما هو لاحظنا في الأجزاء السابقة فإن كلمات المرور التي تستخدم مرة واحدة قد تتصدى لهجمات الاصطياد الالكتروني أثناء عدم الاتصال بالشبكة لكنها تفتقر للقدرة على حماية المستهلك والمعاملات البنكية من حالات الهجوم على بروتوكول التوثيق باعتراض البيانات المعروفة باسم هجمات “الرجل في المنتصف”
• كلمات المرور الساكنة
• كلمات المرور التي تستخدم لمرة واحدة اعتماداً على الوقت أو الحدث
• التوثيق باستخدام إجابة على سؤال حيث يُدخل المستخدم قيمة معينة في جهاز رقم مميز

إذا كان لدى المستخدم ثقة في التطبيق – على سبيل المثال لمعرفة المستخدم بالعنوان الإلكتروني وكتابته بطريقة صحيحة أو لأنه فتح الموقع من أيقونة موثقة – فإنه من الأمن للمستخدم أن يرسل كلمة المرور عبر قناة اتصال مؤمنة إلى هذا التطبيق. لأنه في هذه الحالة توفر قناة الاتصال نفسها الحماية ضد التصنت كما تمنع الشهادات الرقمية للخادم المواقع المزيفة. لكن ما أن تُكسر هذه الثقة – على سبيل المثال بنقر المستخدم لرابط موقع إلكتروني غير موثوق – حتى تتحول إلى اصطياد إلكتروني بالهجوم على بروتوكول التوثيق باعتراض البيانات – لذلك هناك حاجة لبعض الحماية الإضافية لكلمات المرور.
أحد الحلول لتوفير تلك الحماية الإضافية اختزال كلمة المرور التي تستخدم مرة واحدة بمُعرِّف تطبيق ثم إدخال نتيجة الاختزال ككلمة مرور. قد يكون مُعرِّف التطبيق مبنياً على عنوان بروتوكول انترنت أو عنوان صفحة ويب أو اسم نطاق أو مفتاح عام أو غيره. يجب أن تُجرى عملية الاختزال في مكان أخر مثل برنامج في جهاز (يطلق مباشرة عند ضغط المستخدم على مفاتيح اختصار وظيفية معينة) أو في الهاتف المحمول (في حال استعمال الهاتف المحمول لاستخراج كلمة مرور تستخدم مرة واحدة) أو عبر موقع موثوق للقيام بهذه الخدمة مثل موقع PwdHash التابع لجامعة ستانفورد الذي يمكن الوصول له من خلال موقعه الرسمي على الرابط http://pwdhash.com أو بتثبيت الأداة الخدمية الخاص بـموقع PwdHash في متصفح الانترنت حيث تقوم بعملية الاختزال آلياً عند ضغط المستخدم على زر F2 قبل كتابة اسمه أو عندما يدخل المستخدم @@ قبل كلمة مروره. يوضح الشكل (5) أحد النوافذ في موقع PwdHash التي يجري تشغيلها على جهاز المستخدم دون أن ُتخزن أي كلمة مرور أو موقع ألكتروني.


Figure 5 show Hashing using PwdHash website and the application identifier is domain name

تستطيع المنظمات توفير حماية جيدة لكلمات المرور الساكنة أو لكلمات المرور التي تستخدم مرة واحدة بواسطة اختزالها قبل نقلها. هذا الأسلوب يضاهي الفرق بين الدفع نقدا و الدفع بشيكات حيث يستطيع السارق صرف النقود في أي مكان ولكنه إذا حاول صرف شيك سوف يقابل أكثر من مرحلة تدقيق تجعله لا يستطيع صرف شيك مخصص لشخص أخر بسهولة. يعمل الاختزال على إضافة المزيد من النصوص حول فترة التعامل مع الشبكة لزيادة مستويات الحماية وتقليل احتمالات الهجوم.
ولكن بينما يحمي الاختزال كلمة المرور من سوء الاستخدام فإنه لا يضمن للمستخدم الثقة في التطبيق. على سبيل المثال قد ينتحل الصياد الالكتروني المستخدم المعتمد ثم يطلب معلومات حساسة أخرى. لذلك فإن التوثيق المتبادل ضروري لتوفير هذه الثقة. وطبقاً لأسلوب تم تقييمه في معامل الأمن لشركة RSA فإن كلمات المرور يجري اختزالها بواسطة التطبيق الموجود على خادم موقع الانترنت بطريقة مختلفة لتوفير شفرة التأكيد للتطبيق الموجود لدى المستخدم. شفرة التأكيد هي قيمة اختزال ثانية يجري الحصول عليها من نفس الاختزال الأساسي لكلمة المرور ومُعرِّف التطبيق. التطبيق على جهاز المستخدم يقوم بالتحقق من صحة شفرة التأكيد ويُظهر للمستخدم أن التطبيق يعرف بالفعل كلمة مرور المستخدم. يُنتج هذا توثيق متبادل بما أن المستخدم جرى توثيقه لدى التطبيق وبالمقابل جرى توثيق التطبيق لدى المستخدم.

البرامج المعتمدة على البنية التحتية للمفتاح العام

مع الاستخدام المكثف للتشفير وبنية تحتية جيدة التصميم للمفتاح العام قد يكون من الممكن ليس فقط توثيق الخادم لدى المستخدم والعكس صحيح أيضاً. هذا التوثيق المتبادل يمنع الهجمات على بروتوكول التوثيق باعتراض البيانات MITM. يمكن لشهادات العميل الرقمية توفير هذا التوثيق لكن التوزيع الآمن لشهادات العميل الرقمية وإدارتها على نطاق واسع قد يكون أكثر صعوبة. برنامج WiKID هو أحد برامج المصادر المفتوحة التي تعتمد التوثيق تنائى العناصر باستخدام تشفير غير متناظر حيث يقوم عميل برنامج WiKID مبدئياً باستخراج زوج من المفاتيح أحدهما خاص والأخر عام ثم يتبادل المفتاح العام مع الخادم الرئيسي, يجري التحقق من صحة هذا التبادل باستخدام قناة اتصال مؤمنة مثل الهاتف. بعدها يختار المستخدم رقم سري للتعريف الشخصي يكون مشفر باستخدام المفتاح العام للخادم بغرض النقل والتخزين عليه. عند احتياج المستخدم لتوثيق خدما ما يقوم عميل برنامج WiKID الموجود على جهازه باستخدام رقم تعريفه الشخصي. باستعمال هوية المستخدم سوف يٌشفَر رقم التعريف الشخصي ويُرسل باستخدام المفتاح العام للخادم للتأكد من أن الخادم هو وحده القادر على فك تشفير وقراءة الرقم السري للتعريف الشخصي, بعدها يستطيع الخادم التحقق من صحة مطابقة رقم التعريف الشخصي مع الرقم المخزن لديه. في حالة التطابق يقوم الخادم باستخراج رمز مرور مؤقت يستخدم لمرة واحدة يجري تشفيره وإرساله للمستخدم الذي طلب التوثيق.
وحيث أن العميل هو الذي لديه المفتاح الخاص المطلوب لفك تشفير الرسالة فإن هذا يؤكد على أن من يعترض البيانات لن يكون قادر على الاستفادة من كلمة المرور. وحيث أن الحل كله قائم على استخدام برنامج WiKID فإن لديه ميزة التكلفة القليلة عند توزيعه والمرونة في استخدامه لعدم الحاجة لمزيد من الأجهزة. إن تخزين الشهادات الرقمية للعميل أو زوج المفاتيح كما في المثال السابق في ملف كلمة مرور خاضع للحماية على القرص الصلب الخاص بالمستخدم لم يتلافى مشكلة سرقة كلمة المرور في حالة عدم الاتصال بالشبكة, يمكن لأحد الأحصنة الطروادية اعتراض رقم التعريف الشخصي للعميل ثم يقوم بنقله مع الشهادة الرقمية أو زوج المفاتيح إلى المهاجم الذي يستطيع طلب العديد من كلمات المرور حسب حاجته بمجرد حصوله على المفتاح الخاص رمز رقم التعريف الشخصي, و للأسف ليس من الممكن ضمان خلو جهاز العميل من الأحصنة الطروادية باستخدام الحلول البرمجية فمكافحات البرمجيات الضارة لا تزال متأخرة بخطوة عن من يجري تطويره من البرمجيات الضارة الجديدة. أحد الحلول للتخلص من وجود أجهزة عميل مصابة قد يكون استخدام اسطوانة مدمجة لتحميل نظام التشغيل مثل إصدار Knoppix Linux. إن التحميل من نسخة نظام تشغيل نظيفة ومخصصة للقراءة فقط ينفى احتمالية تشغيل الأحصنة الطروادية خلال هذه الفترة من التعامل مع النظام إلا إذا تمكنت البرمجيات الضارة من استغلال ثغرة في نظام العميل أثناء فترة التعامل. لذلك فإن وجود برنامج مثبت سابقاً مثل WiKID قد يستخدم في توثيق المستخدم, لكن جانب الضعف هنا هو أن المستخدم لا يستطيع التفاعل مع نظامه أثناء فترة التعامل المباشر وأنه سوف يحتاج للاحتفاظ باسطوانة التحميل المدمجة دائماً لتصبح بعد ذلك أحد أشكال الأجهزة المحمولة. لكن لا يزال ذلك بديل آمن وقليل التكلفة للأجهزة المعتمدة على حلول البنية التحتية للمفتاح العام. عرضت شركة Sentry Bay حلاً مشابه هو قرص مدمج صغير يحتوي على هوية فريدة وبرنامج مخصص لاستخدامهم في إنشاء الاتصال مع البنك. إن استخدام برنامج مضاد للاصطياد يضمن عدم قيام برامج تسجيل نقرات لوحة المفاتيح من سرقة كلمات المرور. أحد إصدارات متصفح الانترنت Firefox المعدلة تتحقق من صحة الشهادة الرقمية لبروتوكول طبقة المقابس الآمنة الخاصة بالبنك ويغلقها إذا لم تتطابق مع الشفرة المحمية. ولكن لا يزال هناك حاجة لإثبات عدم إمكانية تشغيل برامج ضارة في لب النظام لتغيير ذاكرة هذا الحل حيث أنه من الممكن للبرمجيات الضارة تغيير بيانات المعاملة دون ملاحظة المستخدم.

جهاز الرمز المميز القائم على البنية التحتية للمفتاح العام

كما سبق فإن الأحصنة الطروادية يمكنها سرقة المفتاح الخاص ورقم التعريف الشخصي الخاص ببرنامج جهاز الرقم المميز القائم على البنية التحتية للمفتاح العام. لذلك يجب استخدام أسلوب قوي لتخزين المفتاح لضمان مستوى عالي من الأمن. أوضح الحلول هو استخدام البطاقات الذكية التي لها قارئ خارجي حيث يتطلب تطبيق البطاقات الذكية المعتمد على البنية التحتية للمفتاح العام مرحلتين. زوج من المفاتيح السابق استخراجها وشهادات رقمية يجرى تخزينهم على بطاقة ذكية محمية. باستخدام سفرة رقم التعريف الشخصي على لوحة مفاتيح الجهاز الخارجي لغلق مفتاح البطاقة الذكية. لذلك لا تستطيع برامج تسجيل نقرات لوحة المفاتيح سرقة رقم التعريف الشخصي. برنامج صغير مصمم بلغة الجافا Java Applet وموثق يجري تحميله من موقع البنك يقوم بالاتصال بالبطاقة الذكية على أحد الجوانب وبالبنك على الجانب الأخر. يقوم هذا البرنامج بتوثيق نفسه في مقابل قارئ البطاقة الذكية ثم يستطيع تأسيس قناة متبادلة موثقة من خلال بروتوكول المقابس الآمنة مع خادم البنك ليوقع على تلك الفترة من التعامل مع النظام مما يمحو الهجوم على بروتوكول التوثيق باعتراض البيانات. وبما أن البطاقة الذكية تخزن المفتاح الخاص تخزيناً آمناً فإنها تستطيع ضمان التوثيق السليم ومنع هجمات انتحال شخصية المستخدم. الهدف العملي الوحيد الباقي للمهاجم هو استغلال نافذة متصفح المستخدم ليعرض معلومات مزيفة. يمكن للمهاجم أن يحاول استبدال حساب المستخدم بحساب يخصه واستغلال وظيفة إعادة تشكيل نافذة المتصفح ليظل قادر على استغلال رقم الحساب القديم. ولضمان الأمن يجب عرض تفاصيل كل معاملة على شاشة قارئ البطاقات الذكية ثم التوقيع بواسطة البطاقة الذكية. يمنع ذلك الهجمات التي تعتمد على الاستغلال أو الاستبدال من خلال الأحصنة الطروادية. بالرغم من أن هذا الأسلوب من التوثيق يتطلب بنية تحتية أكثر تكلفة من الأساليب الأخرى المقترحة فإنه يوفر مستوى أعلى من الأمن لفترة التعامل مع النظام.

 

خاتمة

تعرض هذه الورقة البحثية المشكلات التي تواجه المعاملات البنكية على الانترنت وكيفية حدوث هذه المشكلات والهجمات. بالإضافة إلى عرض حلول لهذه الهجمات تستخدمها العديد من المصارف حول العالم.
أكثر الأنظمة أماناً حسب هذه الورقة البحثية هو النظام الذي يستخدم بطاقات ذكية تعتمد على البنية التحتية للمفتاح العام أو أجهزة الرمز المميز التي يمكن توصيلها عبر منفذ الـ USB. ولكن لسوء الحظ فإن هذه الأنظمة عادة عالية التكلفة وقد تكون غير مناسبة للمستخدمين بنفس درجة كلمات المرور العادية. لكن إذا أرادت أحد الخدمات المقدمة عبر الانترنت توفير مستوى عالي من الأمن لعملائها فإنها تحتاج لأسلوب متطور يتميز بالعمق. وبعيدا عن العواطف فإن احتمالية وقوع أسوء السيناريوهات السابق وصفها قد تكون ضئيلة الحدوث حالياً لكنها موجودة وبالتأكيد تتزايد بسرعة.
الجدول التالي يعرض مقارنة بين أساليب الحماية التي جرت مناقشتها في هذه الورقة البحثية:

  تقبل المستخدم تكلفة التطبيق

 

إمكانية النقل الحماية ضد الاصطياد الالكتروني الحماية ضد الهجمات على بروتوكول التوثيق باعتراض البيانات
كلمة المرور التقليدية عالي منخفض عالي غير موجودة غير موجودة
كلمة المرور الفورية عن طريق الرسائل النصية القصيرة متوسط متوسط متوسط نسبية نسبية
كلمة المرور الفورية المحفوظة على جهاز الرمز المميز منخفض عالي منخفض موجودة موجودة
كلمة المرور الفورية عبر الهاتف المحمول متوسط منخفض متوسط موجودة غير موجودة
كلمات مرور النطاق المختزلة منخفض منخفض متوسط موجودة نسبية
البرامج المعتمدة على البنية التحتية للمفتاح العام متوسط منخفض منخفض موجودة نسبية
أجهزة معتمدة على البنية التحتية للمفتاح العام منخفض عالي منخفض موجودة موجودة

الكاتب ayman

ayman

مواضيع متعلقة

اترك رداً