داغ ترین ها

ورود / عضویت

Diginaco

عضویت در سایت

فراموشی رمز عبور

یک گروه سه تایی از مهندسان گوگل از یک باگ امنیتی در تکنولوژی کد گذاری در وب SSL پرده برداشتند آنها ثابت کردند که این پروتکل امنیتی قابل دور زدن است Poodle مخفف Padding Oracle On Downgraded Legacy Encryption یک حفره ی امنیتی تازه در Secure Socket Layer (SSL) 3.0 است که استفاده ایمن از این پروتکل امنیتی ۱۵ ساله را تقریباً غیر ممکن می کند. این حرف توسط بودو مولر، کریستوفر کتوویچ، تای دوانگ، در گزارشی که در سه شنبه منتشر شد زده شده است.

این رخنه امنیتی اجازه ی افشا شدن اطلاعاتی که به ظاهر کد شده و امن هستند را به نفوذگری که به شبکه دسترسی داشته باشد را خواهد داد. خبر خوب این است که در حال حاضر بخش کمتری از وب به SSL 3.0 وابسته است. تحقیقی که در دانشگاه میشیگان صورت گرفته نشان می دهد سایت های اندکی به ssl 3.0 برای انجام امور خود نیاز دارند.در حال حاضر کمتر از ۰.۳ درصد از ارتباطات بین سایتها و سرور ها به SSL 3.0 وابسته است و این در حالیست که ۰.۴۲ درصد از بیش از یک میلیون دامنه ثبت شده در الکسا از آن به صورت جزیی استفاده می کنند. دلیلی که پودل یک مشکل محسوب می شود این است که نفوذگران می توانند مرورگر شما را مجبور به استفاده از SSL 3.0 کنند. اگر بروزر یا سرور هرکدام در ارتباط با TLS با مشکل مواجه شود سایت و مرورگر هر دو در اغلب موارد به SSL 3.0 باز میگردند. مشکل اینجاست که هکر ها می توانند ارتباط از طریق TLS را با شکست مواجه سازند تا سایت وادار به استفاده از SSL 3.0 شود که این امر آنرا در برابر هکرها آسیب پذیر می کند.

به این دلیل که غیرفعال کردن SSL 3.0 آشکارا باعث بروز مشکلات سازش پذیری بین سایتها و سرور ها خواهد شد، مولر توصیه کرده است که ادمین ها برای هر دوی آنها پشتیبانی از TLS_FALLBACK_SCSV را اضافه نمایند. یک پروتکل که مانع از فریب دادن مرورگرها برای دانگرید شدن به نه فقط SSL 3.0 بلکه TLS 1.0 , 1.1  توسط هکرها خواهد شد. و می تواند باعث پیشگیری از حملات آینده شود.مولر همچنین بیان کرد که گوگل کروم و سرور های گوگل از ماه فوریه این راه حل را پشتیبانی می کنند. که ثابت می کند که راه حل مذکور می تواند بدون نگرانی از مشکلات مربوط به سازش پذیری مورد استفاده قرار گیرد.

علاوه براین پشتیبانی از SSL 3.0 در کلیه محصولات گوگل در ماه های آینده متوقف خواهد شد. در حال حاضز پچی برای کروم در دسترس قرار گرفته است که قابلیت بازگشت به SSL 3.0 را در آن غیرفعال می کند.

بنا بر گزارش ها موزیلا نیز قصد دارد تا SSL 3.0 را به صورت پیشفرض در فایرفاکس نسخه ی ۳۴ که در ۲۵ نوامبر عرضه خواهد شد از کار بیندازد . البته هم اکنون افزونه ای به همین منظور به نام SSL Version Control عرضه شده است.

توییتر نیز به کاربران خود اعلام کرده که پشتیبانی از SSL 3.0 را غیرفعال کرده است که ممکن است باعث بروز مشکلاتی در اجرای توییتر بر روی مرورگرهای قدیمی شود.

باگ Poodle

متخصصان امنیتی بازگو کردند باگی که در روز سه شنبه افشا شده، قادر است به هکرها امکان سرقت کوکی های مرورگرهای اینترنتی را بدهد ولی به دلیل شرایط خاصی که برای این حمله لازم است مانند باگ قبلی یعنی “خونریزی فلبی” جدی نیست.

ایوان رستیک (Ivan Ristic) که خود یکی از متخصصان SSL  است. اینطور بیان کرد که “این موضوع کمی پیچیده است ، مهاجم باید برای این نفوذ دارای  دسترسی های ویژه ای در شبکه باشد. “

 جف ماس (Jeff Moss) بنیانگذار کنفراس هک و امنیت Def Con و به عنوان مشاور دپارتمان هوم لند سکیوریتی ایالات متحده نیز اظهار داشت که نفوذگران موفق می توانند با بهر برداری از این باگ و ربودن کوکی های ورود به اکانت های کاربری در مرورگرها ، کنترل حسابهای کاربری را در مورد ارائه کنندگان سرویس های ایمیل، شبکه های اجتماعی و بانک هایی که از این تکنولوژی استفاده می کنند به دست گیرند. البته برای انجام این حمله آنها نیاز به استفاده از شیوه ای موسوم به “man-in-the-middle” دارند. که آنها را بین قربانی و وبسایتهایی که در حال بازدید از آن هست قرار می دهد. یکی از روش های معمول ایجاد یک وای فای هات اسپات جعلی در مکانهایی مانند کافی نت است.

پس در حال حاضر به عنوان یک کاربر یکی از آسانترین شیوه ها برای در امان بودن از این باگ تازه معرفی شده خودداری از استفاده از وای فای ارائه شده در مکان های عمومی و یا غیر فعال کردن SSL 3.0 با اعمال تنظیمات مخصوص بر روی بروررهای اینترنتی است که برای اطلاع بیشتر در این مورد می توانید به منبع این مقاله در Cnet مراجعه کنید.

منبع: cnetthenextweb

ادامه مطلب

چت روم های زیرزمینی مبادله عکس، در هفته های اخیر پر شده بودند از این موضوع که یک سوپرایز بسیار بزرگ در حال رخ دادن است. پنجشنبه شب بالاخره این اتفاق افتاد. یک کلاینت اپ یا وبسایت جانبی مربوط به اسنپ چت که مشغول جمع آوری تک تک فایلهای ویدیویی و عکس هایی بوده است که در طی سالها از طریق آن رد و بدل می شد، امکان دسترسی هکرها به دیتابیسی ۱۳ گیگابایتی از اطلاعات کاربران اسنپ چت و انتشار آن در فضای وب را مهیا ساخت.

شایعه شده است که بعضی از کاربران فروم بدنام ۴chan این تصاویر را دانلود و به ساخت یک دیتابیس قابل جستجو پرداخته اند که به کاربران امکان دسترسی به عکس های سرقت شده را از طریق وارد کردن نام کاربری فرد موردنظر میدهد.

snappening-1

همچنین طبق شایعات گفته شده است که این دیتابیس در وبسایتی تقلبی و سودجو به نام viralpop.com که سعی داشت با نصب یکسری بدافزار بر روی کامپیوتر کاربرانش از این موضوع سهمی ببرد، میزبانی می شد. این وبسایت هم اکنون شناسایی و از انتشار خارج شده است اما با این حال به نظر می رسد هزاران نفر تاکنون توانسته باشند این مجموعه تصاویر و ویدیو ها را دانلود کنند.

ما به شما توصیه میکنیم فکر دستیابی به این دیتابیس و یا تصاویر آن را از سر خود بیرون کنید تا قربانی سوءاستفاده های بعدی نگردید علاوه بر این از لحاظ اخلاقی هم این کار درست نیست. در اینجا می توانید نمایی از ایندکس این مجموعه تصاویر و ویدیو ها را مشاهده کنید.

480x

در ابتدا دو مضنون برای این قضیه وجود داشت:

اولی یک اپ اندرویدی مشهور به نام snapsave بود که به کاربران اجازه می داد تا تصاویر و ویدیو های اسنپ چت را که به صورت اتوماتیک پس از مشاهده از طریق خود اپلیکیشن رسمی پاک میشدند ، نگهداری کنند. و دومی وبسایتی به نام snapsaved.

بر طبق بیانیه ای از ان گجت ، توسعه دهنده ی اپلیکیشن snapsave  “جورج کیسی” در حالی که سرزنش اپ خود در این مورد را نادرست می دانست اظهار داشت:

“برنامه ی ما با این قضیه هیچ ارتباطی ندارد و ما هرگز هیچ یوزر و پسوردی را ثبت نکردیم.” وی همچنین موضوع ذخیره آنلاین تصاویر توسط snapsave را انکار کرد که این بدان معنا بود که کلاینت هک شده ی اسنپ چت به احتمال زیاد باید یک ویسایت باشد تا یک اپ.

screen shot

 

بعدها یک معامله گر ناشناس عکسها فاش کرد که وبسایت مورد تهاجم وبسایتی با آدرس snapsaved.com بود. سرویسی که به عنوان بک وب کلاینت برای اسنپ چت عمل می کرد و به کاربران اجاره دریافت ، ارسال و ذخیره ی آنلاین تصاویر را میداد. اما کاربران بی خبر از همه جا از این موضوع اطلاع نداشتند که این سایت خیلی بی سروصدا هر چیزی که از طریق آن به اشتراک کذاشته می شود را جمع آوری و اسنپ هایی که روز به روز به تعداد آنها افزوده می شود را به همراه نام کاربری فرستنده بر روی وب سرور خود ذخیره می کند.

در اینجا می توانید نمایی از وبسایت snapsave را در اکتیر ۲۰۱۳ مشاهده کنید :

1380185_478732192241187_708042077_n

snapsaved چند ماه پیش به یکباره ناپدید شد و در حال حاضر URL آن شما را به یک فروشگاه لوازم الکترونیکی دانمارکی هدایت می کند که به فروش وسایلی از قبیل ستاپ باکس و آنتن تلویزیون می پردازد.باید به این نکته هم اشاره کرد که بیشتر عکس های اسنپ چت که به صورت آنلاین منتشر شدند با پیغام هایی به زبان دانمارکی بر روی آنها تزیین شده بودند.

بعضی از کاربران ۴chan در کامنت های خود مدعی شدند که منبع این عکس ها بدون شک snapsaved است:

snappening27

بر طبق بیانیه ای رسمی اسنپ چت تایید کرد که تصاویر از وبسایت های جانبی (third-party) منشا می گیرند. و در حالی که نفوذ به سرورهای اسنپ چت به وسیله ی هکرها را رد می کرد اینطور اظهار داشت:

“ما می توانیم تایید کنیم که سرورهای اسنپ چت هرگز مورد نفوذ قرار نگرفته اند و منبع لو رفتن تصاویر نیستیم. اسنپ چتر ها به خاطر استفاده خودشان از برنامه های جانبی برای ارسال و دریافت اسنپ ها قربانی این مسئله شدند. عملی که ما صریحاً آنرا در شرایط استفاده از اسنپ چت به طور دقیق ممنوع کرده ایم چرا که آنها امنیت کاربران ما را در معرض خطر قرار می دهند. ما هوشیارانه نظاره گر اپ استور و گوگل یلی برای اپ های جانبی غیرمجاز هستیم و موفق شده ایم تعداد بسیار زیادی از آنها را حذف کنیم.”

به گفته کاربران ۴chan این مجموعه عکس ها دارای تعداد بسیار زیادی از تصاویر غیراخلاقی مربوط به کودکان می شود، این مجموعه هم چنین شامل تعداد بسیار زیادی ویدیو ست که بین نوجوانانی که باور داشتند این فایل ها به صورت آنی بعد از مشاهده پاک خواهند شد رد و بدل می شد. اشاره به این نکته که نیمی از کاربران اسنپ چت نوجوانانی بین ۱۳ تا ۱۷ سال می باشند ضروریست.

البته خود اسنپ چت هم دارای سابقه ی ضعیفی در بحث امنیت اطلاعات کاربران است. در سال ۲۰۱۳ ، محققان امنیتی آشکار ساختند که پیدا کردن شماره تلفن هر کاربری از اسنپ چت از طریق خود اپ ممکن است. کمپانی بعد از اینکه ۴.۶ میلیون نام کاربری و شماره تلفن در روز سال جدید به صورت آنلاین منتشر شدند مجبور به عذر خواهی شد. هکرها از اسنپ چت برای فرستادن تصاویر اسموتی میوه ای به هزاران نفر استفاده کردند.

اگر مایلید مطالب بیشتری در این مورد بخوانید پست بعدی را از دست ندهید.

ادامه مطلب

ارسال آخرین مطالب سایت به روزانه در ایمیل شما!