حفره امنیتی کشف شده در HTTPS امنیت یازده میلیون کاربر را به خطر انداخت
یک حفره جدیدا کشف شده میتواند امنیت مربوط به محصولات و خدمات که قبلا امن تصورمیشدند را میلیونها وبسایت را به خظر بیاندازد.
به گزارش کلیک، این اکسپلویت که حمله DROWN نامیده شده، سایتهایی را تحت تاثیر قرار میدهد که قبلا توسط اقدامات امنیتی متداول همچون HTTPS، SSL، TLS حفاظت میشدند.
یک هکر میتواند با استفاده از DROWN کدها را شکسته و مکالمات کاربر را بخواند و حساب کاربری و رمز عبور، شماره کارت اعتباری،اسرار تجاری، اطلاعات مالی وی را به سرقت ببرد. حدود ۳۳ درصد از تمام سرورهای HTTPS در مقابل DROWN آسیب پذیر هستند. طبق نظرات تیم تحقیقاتی یک گروه که شامل وبسایتها، سرورهای ایمیل، و دیگر خدمات مبتنی بر TLS میشوند، در معرض آسیب قرار دارند.
کاربر نهایی کاملا بیدفاع است
این حفره توسط یک تیم تحقیقاتی متشکل از تعدادی موسسه دانشگاهی، شرکتهای تکنولوژیک، و پروژههای منبع باز، از جمله دانشگاه تلآویو، دانشگاه پنسیلوانیا، پروژه Hashcat، دانشگاه میشیگان، گوگل، و پروژه OpenSSL کشف شد.
این تیم تحقیقاتی میگوید: "آنچه ترسناک بهنظر میرسد، کمبود گزینه کافی برای کاربر نهایی است که بتواند از خود در مقابل تهدید محافظت کند. اپراتور سرورهای در معرض خطر، باید وارد عمل شوند. چیز مفیدی در دست کاربرنهایی یا در مرورگرها وجود ندارد که بتوانند در مقابل حمله از خود محافظت کنند."
بر اساس نظر این تیم، هر سروری که همچنان از پروتکل قدیمی SSLv2 استفاده میکند، در معرض حمله DROWN قرار دارد. حتی اگر کلید خصوصی یک سرور بر روی سرور دیگری قرار دارد که از SSLv استفاده میکند، بازهم در معرض حمله قرار خواهد داشت.
یک حمله DROWN (رمزگشایی RSA با رمزگذاری منسوخ و ضعیف شده) یه هکر اجازه میدهد ارتباطات جدید TLS بین مصرف کنندگان بهروز و سرورها را رمزگشایی کند که با ارسال یک پروب به سروری که از SSLv2 پشتیبانی و از همان کلید خصوصی استفاده میکند.
چگونه از سیستم خود محافظت کنید
با استفاده از یک شکل حمله محققان توانستند زیر یک دقیقه با استفاده از تنها یک کامپیوتر، به یک سرور آسیبپذیر نفوذ کنند. این محققین گفتند: حتی یک نوع کلی از حمله هم میتواند در کمتر از هشت ساعت با هزینه کل ۴۴۰ دلار انجام شود.
برای مقابله با حمله DROWN، اپراتور سرورها باید اطمینان حاصل کنند که کلید خصوصی آنها در هیچ جایی با نرمافزار سرور مرتبط با SSLv2 قرار ندارد. این مساله شامل وب سرورها، سرور SMTP، سرورهای IMAP و POP، و هر نرمافزار دیگری میشود که از SSL/TLS پشتیبانی میکند. غیر فعال کردن SSL، مخصوصا در سرورهای چندگانه میتواند یک فرآیند پیچیده باشد.
محققان گفتند DROWN در نتیجه محدودیت رمزگذاری دولت امریکا است که برای تضعیف امنیت اینترنت در دهه ۱۹۹۰ وضع شد.
گرچه این محدودیتها آشکارا برای آسانتر کردن کار NSA (آزانس امنیت ملی) برای رمزگشایی مکالمات افراد در خارج از کشوربوده و ۲۰ سال پیش سرپوش گذاشته شد، رمز نویسی ضعیف شده در خصوصیات پروتکلها باقی و تا امروز توسط سرورها پشتیبانی میشد، آنها را دچار پیچیدگی و برای برخی از مهمترین ویژگیهای امنیت اینترنت، خرابی به بار میآورد.
طبع اداعای این تیم، دولت تعمدا سه نوع رمزگذاری اولیه را تضعیف کرده است: رمزگذاری RSA، کلید تبادل Diffie-Hellman، و رمزهای متقارن.
منبع: toptechnews