FREAK, هر چه که باید درباره آن بدانید

۱کمیته رکن چهارم – این روزها صحبت هایی درباره یک ضعف امنیتی جدید به نام FREAK می شود. این چیست؟

به گزارش کمیته رکن چهارم،FRAEK مخفف Factoring Attack on RSA-EXPORT Keys است. این ضعف امنیتی دارای شناسه CVE-2015-0204 در فهرست نقاط ضعف شناخته شده در جهان است و به تازگی در فناوری SSL/TLS کشف شده است.
FREAK چه تهدیدی ایجاد می کند؟
اگر رمزگذاری اطلاعات رد و بدل شده از طریق پودمان امن HTTPS بین کاربر و سایت اینترنتی، ضعف داشته باشد، نفوذگران قادر به شنود این اطلاعات خواهند بود. بدین ترتیب، می توانند رمزهای عبور و پیام های خصوصی کاربر را به دست آورند.
دلیل به وجود آمدن ضعف امنیتی FREAK چیست ؟
در دهه ۱۹۹۰، دولت آمریکا سعی داشت تا از فروش محصولاتی که از فناوری های پیشرفته رمزگذاری استفاده می کنند، جلوگیری نماید. از طرف دیگر، تولیدکنندگان چنین محصولاتی مایل بودند تا به بازارهای جهانی وارد شوند. برای همین قانونی وضع شد که میزان پیچیدگی رمزگذاری را برای محصولات صادراتی تعیین می کرد. به این میزان اصطلاحاً Export-Grade گفته می شد. طبیعی بود که Export-Grade برای رمزگذاری در محصولات صادراتی باید پایین تر و ضعیف تر از روش رمزگذاری محصولاتی باشد که در داخل خاک آمریکا مصرف می شد.
دلیل این محدودیت برای صادرات از آمریکا چه بود ؟
واضح است! دولت آمریکا می خواست راحت تر و آسان تر عملیات جاسوسی و شنود علیه مردم و دولتهای بیگانه انجام دهد. همچنین از این بیم داشت که فناوری های پیچیده رمزگذاری به دست دولت هایی که آنان را دشمن می دانست، بیفتد. در حقیقت، این نوع فناوری های رمزگذاری نوعی سلاح جنگی تلقی می شدند و مشمول قوانین این نوع ادوات می شدند.
آیا هنوز هم چنین محدودیتی وجود دارد ؟
خوشبختانه خیر. دولت آمریکا متوجه شد که این محدودیت صادراتی می تواند به شرکتهای IT و رشد اقتصادی کشور صدمه بزند. در نتیجه این محدودیت عمومی را لغو کرد و در عوض تحریم هایی را فقط علیه کشورهایی که مایل نبود فناوری های پیچیده رمزگذاری به آنها صادر شود، وضع کرد؛ از جمله کشور ایران.
فناوری های رمزگذاری در محصولات صادراتی آمریکا چقدر ضعیف بود ؟
فناوری های رمزگذاری که بر اساس قوانین Export-Grade مورد استفاده قرار می گرفت را امروزه می توان در کمتر از هفت ساعت و با قدرت پردازش ۷۵ کامپیوتر شخصی، شکست و به زانو در اورد.
قوانین استفاده از رمزگذاری ضعیف که در دهه ۱۹۹۰ وجود داشت و بعدا متوقف شد، چه ارتباطی به زمان حال دارد ؟
در دهه ۱۹۹۰، به خاطر قانون Export-Grade بسیاری از تولیدکنندگان نرم افزار اقدام به افزودن گزینه ای در محصولات خود کردند تا بتوانند نسخه های وطنی و صادراتی از تولیدات خود داشته باشند. پس از لغو این قانون، این گزینه از محصولات نرم افزاری حذف نشد و تنها غیرفعال باقی ماند. از جمله این نرم افزارها، برنامه “متن آزاد” OpenSSL و برنامه Schannel مایکروسافت است. همچنین TLS Libraryها هم می توانند این مشکل را داشته باشند.
اگر گزینه استفاده از رمزگذاری ضعیف در نرم افزارها غیرفعال است، پس مشکل چیست ؟
اخیراً کارشناسانی کشف کرده اند که می توان برخی مرورگرها را وادار کرد تا از روش رمزگذاری ضعیف برای ارتباطات امن اینترنتی استفاده کنند و پس از آن بتوانند ظرف چند ساعت این اطلاعات رمزگذاری شده را رمزگشایی نمایند.
آیا ضعف امنیتی FREAK من را هم تحت تاثیر قرار می دهد ؟
اگر گوشی iPhone یا Android دارید و یا از کامپیوترهای Apple Mac استفاده می کنید، بله شما هم تحت تاثیر خطرات ضعف امنیتی FREAK قرار می گیرید. همچنین برآورد شده که حدود ۱۲ درصد از سایت های اینترنتی نیز نسبت به ضعف امنیتی FREAK آسیب پذیر هستند و همچنان ایجاد ارتباط بر اساس فناوری های رمزگذاری ضعیف قدیمی را می پذیرند.
همجنین هر نرم افزار کاربردی که از برنامه Open SSL نسخه ۱٫۰٫۱k و یا قدیمی تر استفاده می کند، به این ضعف امنیتی آسیب پذیر است.
حالا چکار باید کرد ؟
شرکت Apple اعلام کرده که نسخه به روز شده و جدیدی از مرورگر Safari خود منتشر خواهد کرد. شرکت Google هم برای به روز رسانی سیستم عامل Android دست بکار شده است.
بر روی گوشی های Android از مرورگر استاندارد سیستم عامل استفاده نکنید و مرورگر دیگری را نصب کرده و بکار گیرید.
برای اطمینان می توانید به سایت freakattack.com بروید و کنترل کنید که آیا مرورگر شما نسبت به ضعف FREAK آسیب پذیر است یا خیر. در صورتیکه مرورگر شما در برابر FREAK در امان باشد، پیام Good News! Your browser appears to be safe را بر روی یک نوار آبی رنگ مشاهده خواهید کرد.
برای سایت های اینترنتی که دارم چکار باید بکنم ؟
بر روی سرورهای تحت وب باید گزینه های RSA_EXPORT cipher suites را غیرفعال کرد. برای اطلاعات بیشتر نیز مطالعه این راهنما توصیه می شود.
ضعف های امنیتی دیگری هم در فناوری SSL/TLS کشف شده ؟
متاسفانه امسال چندین ضعف امنیتی مهم و فراگیر در فناوری SSL/TLS نظیر Heartbleed و POODLE کشف و شناسایی شده است.

منبع : رسانه خبری امنیت اطلاعات

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.