امنیت

فناوری اطلاعات

March 4, 2015
17:09 چهارشنبه، 13ام اسفندماه 1393
کد خبر: 68039

حفره امنیتی ۲۰ ساله ناشی از توطئه آژانس امنیت ملی آمریکا شناسایی شد

شناسایی یک حفره امنیتی که از دهه ۹۰ میلادی تا به حال ناشناخته باقی مانده بود، باعث شده آسیب‌پذیری بسیاری از وب‌سایت‌ها در برابر حملات هکری آشکار شود.
 
این مشکل ناشی از استانداردهای عمدا ضعیف رمزگذاری اینترنت در آمریکا در دهه 1990 است.
آسیب پذیری مذکور که FREAK نام گرفته، هزاران وب سایت را دچار مشکل کرده و به گفته محققان فرانسوی و آمریکایی باید هر چه زودتر وصله ای برای حل این مشکل عرضه شود.
 
حفره یاد شده اولین بار توسط گروهی از محققان به رهبری Karthikeyan Bhargavan در موسسه INRIA در پاریس شناسایی شد و سپس  Matthew Green رمزنگار دانشگاه جان هاپکینز اطلاعات بیشتری در این مورد ارائه کرد.
 
در یک مقاله تحقیقی که در این مورد منتشر شده تصریح گردیده که آسیب پذیری مذکور حاصل مجموعه ای از ضعف های رمزگذاری است. این ضعف ها به علت فشار نهادهای دولتی آمریکا به وجود آمده که می خواستند تضمین شود که آژانس امنیت ملی آمریکا قادر به رمزگشایی تمامی ارتباطات رمزگذاری شده خارجی است.
 
البته این رویه غلط نهادهای جاسوسی آمریکایی باعث شده برخی سایت های وابسته به خود آنها و از جمله تعدادی از سایت های متعلق به آژانس امنیت ملی و اف بی آی نیز آسیب پذیر باشند.
 
محققان امنیتی، آژانس امنیت ملی آمریکا را به علت تحمیل این استانداردهای سطح پایین به باد انتقاد گرفته و می گویند اگر چه این کار نصب بدافزارهای مدنظر آنها را بر روی رایانه های متعلق به کشورهای متخاصم تسهیل کرده، اما برای خودشان هم دردسر ساز شده است.
 
نکته جالب اینکه پس از قانونی شدن و اجباری گردیدن استفاده از استانداردهای رمزگذاری قدرتمند، کاربرد این استاندارد ضعیف و امکان ارسال آن برای مجموعه های ثالث متوقف نشد. زیرا برخی نرم افزارهای مهم بر مبنای همین استاندارد طراحی شده و کنار گذاشتن آنها ممکن  نبود.
 
کارشناسان هشدار می دهند که این مشکل قدیمی باید بسیار جدی گرفته شود و نشان می دهد که چگونه اتخاذ یک سیاست غلط از سوی دولت ها می تواند برای سالها نگرانی ها و ضعف های جدی به همراه آورد و کل اینترنت را با مشکل امنیتی مواجه کند.
 
بررسی ها نشان می دهد که حتی سایت فیس بوک هم با این مشکل مواجه بوده، اما به تازگی وصله ای برای رفع آسیب پذیری یاد شده عرضه کرده است. برخی سایت های ظاهرا ایمن دیگر از جمله سایت کاخ سفید هم با همین مشکل مواجه بوده اند.
 
مرورگرهای همراه هم در معرض خطرند
 
مشکل یاد شده محدود به افرادی که از طریق رایانه شخصی به اینترنت متصل می شوند، نیست و افرادی که با مرورگرهای همراه بر روی گوشی های اندرویدی و آیفون به اینترنت متصل می شوند نیز به همین اندازه در معرض خطر هستند. لذا می توان گفت میلیاردها نفر به طور بالقوه در برابر آسیب پذیری FREAK قادر به دفاع از خود نیستند.
 
هم اکنون شواهدی وجود ندارد که ثابت کند هکرها از این ضعف سواستفاده کرده باشند و شرکت های فناوری در تلاش برای رفع مشکل و نصب وصله های ضروری هستند.
 
کارشناسان می گویند دولت آمریکا به علت مجبور کردن شرکت های نرم افزاری این کشور به استفاده از برنامه های رمزگذاری ضعیف باید مورد مواخذه قرار بگیرد. کاخ سفید مدعی است می خواهد از این طریق به اصطلاح نگرانی هایش در حوزه امنیت ملی را برطرف کرده و ابزار لازم برای نفوذ به سیستم های مختلف را داشته باشد، اما خود نیز قربانی این مشکل شده است.
 
هنوز مشخص نیست این سیستم های رمزگذاری ضعیف در چه برنامه هایی به کار گرفته شده و به چه کشورهایی صادر شده و در آنها مورد استفاده هستند. علاوه بر این اطلاعاتی در مورد این نوع نرم افزارها که بر روی مرورگرها در حال نصب و به کارگیری هستند نیز منتشر نشده است.
 
در مجموع یک سوم سایت های ظاهرا رمزگذاری کننده اطلاعات به همین علت آسیب پذیر هستند که از جمله آنها می توان به American Express، Groupon, Kohl’s، Marriott، برخی وب سایت های وابسته به دولت آمریکا و … اشاره کرد.
 
گفتنی است بررسی ها نشان می دهد مرورگرهای جدیدتر مانند کروم گوگل و فایرفاکس موزیلا دارای چنین مشکلی نیستند. اپل و گوگل هر دو اعلام کرده اند که با به روزرسانی نرم افزاری مشکل حملات FREAK را حل می کنند. البته وصله اپل هفته آینده عرضه می شود.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.