داخلی امنيت خبر
کد مطلب: 41659
Share/Save/Bookmark

حفره امنیتی پروتکل امنیتی در کمین 11 میلیون سایت

 
چهارشنبه ۱۲ اسفند ۱۳۹۴ ساعت ۱۴:۰۶
 
ایتنا- کارشناسان می‌گویند پشتیبانی از SSLv2 تهدیدی جدی برای سرورهای مدرن و مشتریان آنهاست و مهاجمان از این طریق قادر به رمزگشایی ارتباطات کاربران و سرورها هستند.
حفره امنیتی پروتکل امنیتی در کمین 11 میلیون سایت


میلیون‌ها وب‌سایت مبتنی بر پروتکل اینترنتی HTTPS به علت شناسایی یک حفره خطرناک در خطر هستند. حفره یاد شده موسوم به Drown امنیت 11 میلیون وب‌سایت را تهدید می‌کند.


به گزارش ایتنا از فارس، تمامی سرویس‌های مبتنی بر نظام رمزگذاری SSL و TLS هم به همین علت در معرض خطر هستند.

پروتکل‌های امنیتی یاد شده به طور گسترده برای رمزگذاری تعاملات تحت وب و ترافیک حساس اینترنتی به کار می‌روند. پروتکل HTTPS برای حفاظت از کاربران در زمان استفاده از وب‌سایت‌های عادی و جلوگیری از سرقت اطلاعات حساس آنها به طور گسترده کاربرد دارد و بسیاری از وب‌سایت‌های دولتی و بانکی و ... از آنها استفاده می‌کنند.

حفره موسوم به DROWN برای دسترسی به تمامی انواع این اطلاعات حساس قابل استفاده است و محققان می‌گویند مهاجمان با سؤاستفاده از آن می‌توانند نظام رمزگذاری را بشکنند و اطلاعات رد وبدل شده را بخوانند و حتی بدزدند. این اطلاعات می‌تواند شامل کلمات عبور، داده‌های مالی، اطلاعات کارت‌های اعتباری و .... باشد. بررسی‌های محققان نشان می‌دهد حدود 33 درصد از کل سایت‌های استفاده کننده از HTTPS در سرورهایشان در برابر حملات یاد شده آسیب پذیرند.

سوءاستفاده کنندگان از آسیب‌پذیری DROWN از پشتیبانی از یک پیکربندی قدیمی رمزگذاری مربوط به دهه 90 میلادی موسوم به SSLv2 که دارای نقص‌های فراوان است سوءاستفاده کرده‌اند و اگر در پروتکل‌های اینترنتی ایمن از SSLv2 پشتیبانی نشود مشکلی برای کاربران به وجود نمی‌آید.

کارشناسان می‌گویند پشتیبانی از SSLv2 تهدیدی جدی برای سرورهای مدرن و مشتریان آنهاست و مهاجمان از این طریق قادر به رمزگشایی ارتباطات کاربران و سرورها هستند. اطلاعات فنی دقیق‌تر در این زمینه در آدرس https://drownattack.com/drown-attack-paper.pdf قابل دسترس است.