ایتنا- شناسایی حفره امنیتی باعث شد،اسیبپذیری بسیاری از وبسایتها در برابر حملات هکری آشکار شود.
حفره امنیتی ۲۰ ساله ناشی از توطئه آژانس امنیت ملی آمریکا شناسایی شد
خبرگزاری فارس , 13 اسفند 1393 ساعت 10:58
ایتنا- شناسایی حفره امنیتی باعث شد،اسیبپذیری بسیاری از وبسایتها در برابر حملات هکری آشکار شود.
شناسایی یک حفره امنیتی که از دهه ۹۰ میلادی تا به حال ناشناخته باقی مانده بود، باعث شده آسیبپذیری بسیاری از وبسایتها در برابر حملات هکری آشکار شود.
به گزارش ایتنا از فارس، این مشکل ناشی از استانداردهای عمدا ضعیف رمزگذاری اینترنت در آمریکا در دهه ۱۹۹۰ است.
آسیب پذیری مذکور که FREAK نام گرفته، هزاران وب سایت را دچار مشکل کرده و به گفته محققان فرانسوی و آمریکایی باید هر چه زودتر وصله ای برای حل این مشکل عرضه شود.
حفره یاد شده اولین بار توسط گروهی از محققان به رهبری Karthikeyan Bhargavan در مؤسسه INRIA در پاریس شناسایی شد و سپس Matthew Green رمزنگار دانشگاه جان هاپکینز اطلاعات بیشتری در این مورد ارائه کرد.
در یک مقاله تحقیقی که در این مورد منتشر شده تصریح گردیده که آسیب پذیری مذکور حاصل مجموعهای از ضعفهای رمزگذاری است. این ضعفها به علت فشار نهادهای دولتی آمریکا به وجود آمده که میخواستند تضمین شود که آژانس امنیت ملی آمریکا قادر به رمزگشایی تمامی ارتباطات رمزگذاری شده خارجی است.
البته این رویه غلط نهادهای جاسوسی آمریکایی باعث شده برخی سایتهای وابسته به خود آنها و از جمله تعدادی از سایتهای متعلق به آژانس امنیت ملی و افبیآی نیز آسیبپذیر باشند.
محققان امنیتی، آژانس امنیت ملی آمریکا را به علت تحمیل این استانداردهای سطح پایین به باد انتقاد گرفته و میگویند اگر چه این کار نصب بدافزارهای مدنظر آنها را بر روی رایانههای متعلق به کشورهای متخاصم تسهیل کرده، اما برای خودشان هم دردسرساز شده است.
نکته جالب اینکه پس از قانونی شدن و اجباری گردیدن استفاده از استانداردهای رمزگذاری قدرتمند، کاربرد این استاندارد ضعیف و امکان ارسال آن برای مجموعههای ثالث متوقف نشد.
زیرا برخی نرمافزارهای مهم بر مبنای همین استاندارد طراحی شده و کنار گذاشتن آنها ممکن نبود.
کارشناسان هشدار میدهند که این مشکل قدیمی باید بسیار جدی گرفته شود و نشان میدهد که چگونه اتخاذ یک سیاست غلط از سوی دولتها میتواند برای سالها نگرانیها و ضعفهای جدی به همراه آورد و کل اینترنت را با مشکل امنیتی مواجه کند.
بررسیها نشان میدهد که حتی سایت فیسبوک هم با این مشکل مواجه بوده، اما به تازگی وصلهای برای رفع آسیبپذیری یاد شده عرضه کرده است. برخی سایتهای ظاهرا ایمن دیگر از جمله سایت کاخ سفید هم با همین مشکل مواجه بودهاند.
مرورگرهای همراه هم در معرض خطرند
مشکل یاد شده محدود به افرادی که از طریق رایانه شخصی به اینترنت متصل میشوند، نیست و افرادی که با مرورگرهای همراه بر روی گوشیهای اندرویدی و آیفون به اینترنت متصل میشوند نیز به همین اندازه در معرض خطر هستند.
لذا میتوان گفت میلیاردها نفر به طور بالقوه در برابر آسیبپذیری FREAK قادر به دفاع از خود نیستند.
هم اکنون شواهدی وجود ندارد که ثابت کند هکرها از این ضعف سواستفاده کرده باشند و شرکتهای فناوری در تلاش برای رفع مشکل و نصب وصلههای ضروری هستند.
کارشناسان میگویند دولت آمریکا به علت مجبور کردن شرکتهای نرمافزاری این کشور به استفاده از برنامههای رمزگذاری ضعیف باید مورد مواخذه قرار بگیرد.
کاخ سفید مدعی است میخواهد از این طریق به اصطلاح نگرانیهایش در حوزه امنیت ملی را برطرف کرده و ابزار لازم برای نفوذ به سیستمهای مختلف را داشته باشد، اما خود نیز قربانی این مشکل شده است.
هنوز مشخص نیست این سیستمهای رمزگذاری ضعیف در چه برنامههایی به کار گرفته شده و به چه کشورهایی صادر شده و در آنها مورد استفاده هستند.
علاوه بر این اطلاعاتی در مورد این نوع نرمافزارها که بر روی مرورگرها در حال نصب و به کارگیری هستند نیز منتشر نشده است.
در مجموع یک سوم سایتهای ظاهرا رمزگذاری کننده اطلاعات به همین علت آسیبپذیر هستند که از جمله آنها میتوان به American Express، Groupon, Kohl’s، Marriott، برخی وب سایتهای وابسته به دولت آمریکا و ... اشاره کرد.
گفتنی است بررسیها نشان میدهد مرورگرهای جدیدتر مانند کروم گوگل و فایرفاکس موزیلا دارای چنین مشکلی نیستند.
اپل و گوگل هر دو اعلام کردهاند که با به روزرسانی نرمافزاری مشکل حملات FREAK را حل میکنند. البته وصله اپل هفته آینده عرضه میشود.
کد مطلب: 35005
آدرس مطلب: https://www.itna.ir/news/35005/حفره-امنیتی-۲۰-ساله-ناشی-توطئه-آژانس-امنیت-ملی-آمریکا-شناسایی