داغ ترین ها

ورود / عضویت

Diginaco

عضویت در سایت

فراموشی رمز عبور

یک گروه سه تایی از مهندسان گوگل از یک باگ امنیتی در تکنولوژی کد گذاری در وب SSL پرده برداشتند آنها ثابت کردند که این پروتکل امنیتی قابل دور زدن است Poodle مخفف Padding Oracle On Downgraded Legacy Encryption یک حفره ی امنیتی تازه در Secure Socket Layer (SSL) 3.0 است که استفاده ایمن از این پروتکل امنیتی ۱۵ ساله را تقریباً غیر ممکن می کند. این حرف توسط بودو مولر، کریستوفر کتوویچ، تای دوانگ، در گزارشی که در سه شنبه منتشر شد زده شده است.

این رخنه امنیتی اجازه ی افشا شدن اطلاعاتی که به ظاهر کد شده و امن هستند را به نفوذگری که به شبکه دسترسی داشته باشد را خواهد داد. خبر خوب این است که در حال حاضر بخش کمتری از وب به SSL 3.0 وابسته است. تحقیقی که در دانشگاه میشیگان صورت گرفته نشان می دهد سایت های اندکی به ssl 3.0 برای انجام امور خود نیاز دارند.در حال حاضر کمتر از ۰.۳ درصد از ارتباطات بین سایتها و سرور ها به SSL 3.0 وابسته است و این در حالیست که ۰.۴۲ درصد از بیش از یک میلیون دامنه ثبت شده در الکسا از آن به صورت جزیی استفاده می کنند. دلیلی که پودل یک مشکل محسوب می شود این است که نفوذگران می توانند مرورگر شما را مجبور به استفاده از SSL 3.0 کنند. اگر بروزر یا سرور هرکدام در ارتباط با TLS با مشکل مواجه شود سایت و مرورگر هر دو در اغلب موارد به SSL 3.0 باز میگردند. مشکل اینجاست که هکر ها می توانند ارتباط از طریق TLS را با شکست مواجه سازند تا سایت وادار به استفاده از SSL 3.0 شود که این امر آنرا در برابر هکرها آسیب پذیر می کند.

به این دلیل که غیرفعال کردن SSL 3.0 آشکارا باعث بروز مشکلات سازش پذیری بین سایتها و سرور ها خواهد شد، مولر توصیه کرده است که ادمین ها برای هر دوی آنها پشتیبانی از TLS_FALLBACK_SCSV را اضافه نمایند. یک پروتکل که مانع از فریب دادن مرورگرها برای دانگرید شدن به نه فقط SSL 3.0 بلکه TLS 1.0 , 1.1  توسط هکرها خواهد شد. و می تواند باعث پیشگیری از حملات آینده شود.مولر همچنین بیان کرد که گوگل کروم و سرور های گوگل از ماه فوریه این راه حل را پشتیبانی می کنند. که ثابت می کند که راه حل مذکور می تواند بدون نگرانی از مشکلات مربوط به سازش پذیری مورد استفاده قرار گیرد.

علاوه براین پشتیبانی از SSL 3.0 در کلیه محصولات گوگل در ماه های آینده متوقف خواهد شد. در حال حاضز پچی برای کروم در دسترس قرار گرفته است که قابلیت بازگشت به SSL 3.0 را در آن غیرفعال می کند.

بنا بر گزارش ها موزیلا نیز قصد دارد تا SSL 3.0 را به صورت پیشفرض در فایرفاکس نسخه ی ۳۴ که در ۲۵ نوامبر عرضه خواهد شد از کار بیندازد . البته هم اکنون افزونه ای به همین منظور به نام SSL Version Control عرضه شده است.

توییتر نیز به کاربران خود اعلام کرده که پشتیبانی از SSL 3.0 را غیرفعال کرده است که ممکن است باعث بروز مشکلاتی در اجرای توییتر بر روی مرورگرهای قدیمی شود.

باگ Poodle

متخصصان امنیتی بازگو کردند باگی که در روز سه شنبه افشا شده، قادر است به هکرها امکان سرقت کوکی های مرورگرهای اینترنتی را بدهد ولی به دلیل شرایط خاصی که برای این حمله لازم است مانند باگ قبلی یعنی “خونریزی فلبی” جدی نیست.

ایوان رستیک (Ivan Ristic) که خود یکی از متخصصان SSL  است. اینطور بیان کرد که “این موضوع کمی پیچیده است ، مهاجم باید برای این نفوذ دارای  دسترسی های ویژه ای در شبکه باشد. “

 جف ماس (Jeff Moss) بنیانگذار کنفراس هک و امنیت Def Con و به عنوان مشاور دپارتمان هوم لند سکیوریتی ایالات متحده نیز اظهار داشت که نفوذگران موفق می توانند با بهر برداری از این باگ و ربودن کوکی های ورود به اکانت های کاربری در مرورگرها ، کنترل حسابهای کاربری را در مورد ارائه کنندگان سرویس های ایمیل، شبکه های اجتماعی و بانک هایی که از این تکنولوژی استفاده می کنند به دست گیرند. البته برای انجام این حمله آنها نیاز به استفاده از شیوه ای موسوم به “man-in-the-middle” دارند. که آنها را بین قربانی و وبسایتهایی که در حال بازدید از آن هست قرار می دهد. یکی از روش های معمول ایجاد یک وای فای هات اسپات جعلی در مکانهایی مانند کافی نت است.

پس در حال حاضر به عنوان یک کاربر یکی از آسانترین شیوه ها برای در امان بودن از این باگ تازه معرفی شده خودداری از استفاده از وای فای ارائه شده در مکان های عمومی و یا غیر فعال کردن SSL 3.0 با اعمال تنظیمات مخصوص بر روی بروررهای اینترنتی است که برای اطلاع بیشتر در این مورد می توانید به منبع این مقاله در Cnet مراجعه کنید.

منبع: cnetthenextweb

parham

پرهام برای پست هاش وقت زیادی صرف می کنه ، چون کاربران دیجی ناکو و علاقه مندان به فناوری رو زیادی دوست داره :)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *