اعمالنا

الاحداث والمؤتمرات

امن المعلومات

العملات الرقمية

فوركس

إعلان أعلى الموضوع

بالتفصيل تفسير ما حدث للواتس اب من قبل الخبير الامني محمد باسط ....
""باك خطيرة جداً فى تطبيق المراسلة الفورى WhatsApp، علشان تفهم القصة من اولها وان دى مش مجرد ثغرة وخلاص خلونا نرجع ورا بالتاريخ الى ١٢ ديسمبر عام ٢٠١٨ لما الباحثة الامنية Natalie Silvanovich اللى بتشتغل فى مشروع Google Project Zero قامت بنشر بلوج مقسمة لأربعة اجزاء بعنوان "Adventures in Video Conferencing: What Didn't Work Out with WhatsApp" ودى كانت تدوينة بتتكلم عن ثغرة اكتشفتها فى تطبيق المراسلة واتس اب فى الوقت دا، الثغرة كان اكبر تأثير ممكن تعمله هوا انك بمجرد ما بتقوم بعمل مكالمة تليفونية على اى شخص عن طريق واتس اب بيقوم تطبيق واتس اب بيتقفل عند الشخص اللى انت بترن عليه، بيقفل دى هنا معناها ايه؟ مش معناها انه بيتقفل بالشكل العادى اللى انت بتعمله بقفلك اى تطبيق، لا، بيتقتل نتيجة ل Crash بيحصل فى التطبيق نفسه وبكدا تصنف البج دى تحت تصنيف DoS او Denial of Service او ثغرات حرمان الخدمة لأنك بشكل حرفى بتحرم الشخص اللى قدامك دا من انه يستخدم التطبيق لما بتستغل الثغرة عليه، الثغرة كانت من نوع Buffer Overflow فى SRTP او Secure Real-time Transport Protocol سمحت لمستغلى الثغرة انهم ينفذوا الامباكت السابق ذكره دا، مش هنغوص فى تفاصيل فنية كتير علشان الناس متتوهش بس اللى حابب يغوص، ياخد اى من المصطلحات المذكوره كدا كوبى بيست ويروح بيها على جوجل ويغوص مع نفسه، كل اللى اقدر اديهولك هنا هوا رابط التدوينة اللى كتبتها ناتالى: https://seekurity.com/services/goto/7j، طيب لحد هنا فين المشكلة؟ ناتالى باحثة امنية على اعلى مستوى واللى ميعرفش جوجل بروجيكت زيرو فدا مشروع جوجل عاملاه بنفسها وفيه نخبة النخبة من الباحثين الامنيين، لما بقول نخبة النخبة بعنيها هنا بالمعنى الحرفى، الناس اللى بتشتغل هناك دى اسمها لوحده CV فمحدش يشكك فى قدراتهم التقنية على قلب العالم بالكامل رأس على عقب من خلال الثغرات اللى بيكتشفوها، نكمل، مشروع Google Project Zero من المشاريع اللى بتساعد الباحثين الامنيين داخل جوجل وخارجها انهم يبلغوا الثغرات الخطيرة للشركات الكبرى امثال Microsoft و Adobe و Oracle وغيرها وبتديهم مهله ٩٠ يوم وبعدها الريبورت نفسه بيبقى عام اى حد يقدر يقراه واحيانا بيكون كود استغلال الثغرة دى موجود فى الريبورت كنوع من انواع الضغط على الشركات علشان تصلح الثغرات دى، طيب فين بردو المشكلة؟، جوجل Project Zero زيه زى باقى المشاريع اللى بتشجع الاختراق الاخلاقى او ال Ethical hacking من خلال قوانين وخلافه، فى مشاريع مشابهه على الانترنت امثال Zerodium وغيرهم بتشترى الثغرات من الباحثين الامنيين او ذوى القبعات السوداء (blackhats) بأرقام خزعبليه، بمعنى بما ان WhatsApp تطبيق مملوك من قبل شركة Facebook فإبلاغ اى ثغرات موجوده فيه بيتم من خلال Facebook Security Whitehat Program واخطر ثغرة ممكن فيسبوك يدفع مبلغ كبير عليها هى الثغرات اللى بتؤدى فى النهاية الى تنفيذ اكواد بشكل عن بعد او Remote Code Execution، علما بأن اكبر ثغرة من النوع دا دفع فيسبو ليها حوالى ٤٠ الف دولار وكانت اخطر من انها تكون فى واتس اب لانها كانت فى سيرفرات فيسبوك مباشرة، ٤٠ الف دولار مبلغ كبير ويفك ازمه صح؟، لا مش صح، الشركات اللى زى ما ذكرت بتشترى الثغرات من ذوى القبعات السوداء ممكن تشترى نفس الثغرة السابق ذكرها دى ياترى بكام؟ خمن كدا؟ ١٠٠ الف؟ لا، ٥٠٠ الف؟ لا، بتوصل اسعار الثغرات دى لمليون دولار لكشه واحده كدا، المهم الشركة السابق ذكرها دى Zerodium كانت ف يوم من الايام طالبة ثغرة فى واتس اب وهتشتريها بمليون دولار حرفيا، دا مصدر المعلومة دى من حسابهم الرسمى: https://seekurity.com/services/goto/7k، انا بس بضربلكم المثال دا علشان تشوف ثغرات زى دى بتساوى قد ايه فى السوق (بعيدا يعنى من ال Bug Bounty world او مكافأت ابلاغ الثغرات)، المهم ايه اللى حصل؟، امبارح Citizenlab اكتشفت ان شركة التجسس الاسرائيلية NSO Group المالكة لبرمجية التجسس Pegasus بتمتلك ثغرة بتقدر بيها تلوث اى تليفون نازل عليه واتساب بس بمجرد ما تعرف رقم التليفون المسجل بيه الهدف/الضحية، ازاى؟ انت معاك تليفون بيشتغل بنظام التشغيل اندرويد Android او Apple iOS وعندك واتساب اللى بطبيعة الحال بيبقى مربوط برقم التليفون بتاعك، كل اللى بتعمله NSO Group انها تقوم ترن على الرقم بتاعك وسواء رديت على المكالمة او مريديتش مش مهم تليفونك بالكامل هيتلوث بالبرمجية الخبيثة Pegasus "اللى كان حقوقيين وصحفيين مكسيكان وسعوديين واماراتيين مستهدفين بيها من قبل"، حتى انت كمستخدم عادى او حتى متقدم مش هتقدر تكتشف دا علشان البرمجية الخبيثة دى اول ما بتنزل اول شئ بتعمله انها بتمحى اثار نزولها وبعدها تشتغل عادى جدا، متخيلين الخطوره وصلت لفين؟
تفاصيل الثغرة الفنية:
- Code Name: CVE-2019-3568
- Description: A buffer overflow vulnerability in WhatsApp VOIP stack allowed remote code execution via specially crafted series of SRTCP packets sent to a target phone number.
- Affected Versions: The issue affects WhatsApp for Android prior to v2.19.134, WhatsApp Business for Android prior to v2.19.44, WhatsApp for iOS prior to v2.19.51, WhatsApp Business for iOS prior to v2.19.51, WhatsApp for Windows Phone prior to v2.18.348, and WhatsApp for Tizen prior to v2.18.15.
طب انا مستخدم عادى ومليش فى كل الدوشة اللى حاصلة دى، اعمل ايه؟
حدث تطبيق واتس اب لأخر تحديث سواء كنت بتستخدم Android او Apple iOS
بعض النقاط المهمة جدا جدا جدا:
- واتس اب اللى بتملكة شركة فيسبوك عليه مليار ونصف مستخدم نشط، طبعا دى كارثة كبيرة والشريحة المستهدفة من اكبر ما يكون مقارنة بثغرة Apple FaceTime علشان نفس السبب، الشريحة المستخدمة لتطبيق FaceTime محصورة فى نظام تشغيل ابل iOS فقط انما احنا هنا بنتكلم على مستخدمين واتس اب على المنصتين.
- واتس اب اللى بتملكة شركة فيسبوك له ما يعرف ب Bug Bounty Program او برنامج المكافأه على الثغرات المكتشفه فيه ومع ذلك تم اختراقة من خلال ثغرات ال Zero Days ودا ان دل فيدل ان السوق السودا للثغرات مازالت مشبعه بالثغرات الغير مكتشفه فى كل المنصات وانظمة التشغيل واللى اكتشفوها مبلغوش بالشكل السليم واختاروا الطريق الشمال علشان يبيعوا الثغرات دى ودا علشان طبعا اسعار الاسواق السوده اكبر ب ٢٠ مره من برامج المكافأت.
- الاخت Natalie قالت نصاً “we spent a lot of time reviewing [WhatsApp] call signalling hoping to find a remote interaction-less vuln. No such bugs...found. We’re sharing our work [to save] other researchers the time...Or maybe it will give others ideas for vulns we didn’t find” ودا بالبلدى "احنا جبنا اخرنا فى البحث الخاص بثغرة الواتس اب دى، ودا لو تعلمون خطير، دا معناه كل اعضاء Google Project Zero اللى عندهم علم بال research الخاص ب Natalie مقدروش يعملوا escalate للثغرة علشان يوصلوا لل impact اللى وصلت لة شركة التجسس الاسرائيلية NSO Group بفلوسها واشترت الثغرة اللى زى ما بيشاع انها تم اكتشافها بناء على نفس الابحاث اللى عملها اعضاء Google Project Zero.
- واتس اب زى ما عليه مستخدمين عاديين زيك انت وزي ابن عمك وناس كتير، عليه كمان مستخدمين ليهم علاقه بالبزنس ودا تطبيق تانى مختلف اسمه WhatsApp Business ودا مصاب بنفس الثغرة بردو لأن ال Core او قلب التكنولوجيا المستخدم واحد.
- الثغرات من نوع Zero Days هى سرطان الانترنت بعد هجمات حجب الخدمة الموزعه DDoS وبإمكان النوع دا من الثغرات انه حرفيا ينسف كوكب الارض (حرفيا بالمعنى الحرفى ولو عايز تعرف ليه اسأل فى الكومنتس)
- لو حد رن عليك برقم غريب متعرفهوش خالص ولقيت بعدها تليفونك ابتدى يعمل حاجات غريبة ابعتلنا ايميل على [email protected] كجزء منا لمساعدة Citizenlab انهم يحصروا المصابين ولو ان دا مستبعد جدا لان هجمات NSO Group مستهدفة وبتستهدف high profiles مش اشخاص عاديين!
- الاساتذه اللى ماسكين WhatsApp مهانش عليهم يكتبوا فى ملخص التحديث على Google Play او حتى على Apple Appstore اى وصف او اى خبر حتى ان فى ثغرة فى واتس اب (اسباب تجارية بحتة فشخ) ودا بيفسر ليه الناس ولا بتحدث ولا بيهمها حتى ال notes الخاصة بالتحديثات. (الاسكرين شوت فى الكومنتس)
- مشكورة Citizenlab قدرت تعرف اسماء نطاقات "دومينات" "Domains" بتستخدمها NSO Group علشان تخدع الضحايا، هتلاقوا اسماء النطاقات دى فى الكومنتس علشان محدش ينخدع ويضغط على روابط شبيهه بالروابط الاصلية لخدمات وجهات مشهورة.
- تشفير محادثات الواتس اب من الطرفين اللى بيعملها التطبيق End to End Encryption او E2EE ملهاش اى علاقة بالموضوع لا من قريب ولا من بعيد.
- الثغرة بتشتغل سواء رديت على المكالمة او لم ترد، رد المكالمة ملهوش علاقة الحالتين سواء.
- فيسبوك صلحت الثغرة امبارح (على حسب مانت بتقرا البوست دا امتى) وتم تحديث واتس اب وتم الاعتراف بالثغرة من قبل فيسبوك واعطائها المسمى الكودى CVE-2019-3568 باقى التفاصيل من فيسبوك مباشرة هنا: https://seekurity.com/services/goto/7l
- بكل اسف، فى المثال اللى حصل دا، ال Blackhats واحد - ال Whtehats صفر
كلمة اخيرة:
الجزء دا مش مفيد خالص وجايز يضيع وقتك، تويتر اصبح تقريباً هو الشبكة الاجتماعية الاساسية بالنسبالى بالنسبة للأخبار المتعلقة بمجال شغلى، فلو انت هنا علشان تتباع الاخبار "اول ما تحصل" وحط تحت اول ما تحصل دى مليون خط لأنى تقريبا ببقى شبه بايت على تويتر وبستخدمه حتى وانا نايم فتويتر هو الافضل فى الحالة دى، تابعنى من هنا:https://seekurity.com/services/goto/6w، فرق ايه بقى تويتر عن فيسبوك؟ فيسبوك لما الخبر بيكون فعلا تقيل ومؤثر بقوم ناقل النقاش هنا ونفضل بقى نحلل ونفصص فيه زى ماحنا عايزين على عكس تويتر، حاجه تانى، حساب انستاجرام مثلا بستخدمه علشان انزل عليه الصور اللى بتكون بالنسبالى Inspiring او ملهمة، واحيانا بتكون صور لمنتجات اشتريتها او مشاريع شغال عليها واحيانا بتكون حاجات حصريه بس على انستاجرام يعنى مش هتلاقيها فى اى سوشيال نيتوورك بستخدمها تانى غيرها، تابعونى على انستاجرام من هنا:https://seekurity.com/services/goto/6v اما بقى لو حد بيسأل: هوا انت ليه مش بتحط اللينكات الاصلية للاماكن دى وكل اللينكات رايحه Seekurity.com فحابب اقوله دا statistics system احنا حاطينه علشان يدينا احصائيات عن اى لينك احنا محتاجين نعرف معلومات عنه!

ليست هناك تعليقات:

إرسال تعليق

اسعار العملات

إعلان أسفل الموضوع