کمیته رکن چهارم – بسیاری از ما با مشاهدهی علامت قفل سبز در کنار آدرس وبسایتها، احساس امنیت میکنیم؛ اما یافتههای جدید از وجود آسیبپذیریهایی در پروتکل امنیتی HTTPS حکایت میکنند.
استفادهی گسترده از پروتکل امنیتی HTTPS موجب شده قفلهای سبزرنگ را در بسیاری از وبسایتها در سرتاسر جهان شاهد باشیم. بسیاری از وبسایتهای پربازدیدی که روزانه به آنها سر میزنید، از پروتکلی بهنام پروتکل امنیتی لایهی انتقال (Transport Layer Security) یا بهاختصار TLS بهره میبرند. این پروتکل دادههای مبادله شده میان مرورگر و سِرور را رمزنگاری میکند تا از دید افراد دیگر مخفی بماند؛ اما جدیدترین یافتههای محققان دانشگاه کافوسکاری ونیز در ایتالیا و دانشگاه تکنیکال وین در اتریش نشان داده که تعداد درخورتوجهی از وبسایتهای رمزنگاریشده همچنان در معرض خطر هستند.
در تحلیل ۱۰,۰۰۰ وبسایت اول بهرهمند از این پروتکل بر اساس شرکت تحلیل الکسا که به آمازون تعلق دارد، ۵۵۰ وبسایت (۵.۵ درصد) آسیبپذیریهای جدی مربوط به TLS داشتند. این مشکلات ناشی از نحوهی اجرای TLS و باگهای شناختهشدهی این پروتکل و نسل قبل آن (Secure Socket Layer (SSL است. باوجوداین، بدترین قسمت ماجرا آن است که در این وبسایتها همچنان قفل سبزرنگ نمایان میشود.
ریکاردو فوکاردی، محقق امنیت شبکه و رمزنگاری در دانشگاه کافوسکاری ونیز میگوید:
ما چیزهایی یافتهایم که مرورگر نیز شناسایی نمیکند. ما به دنبال مشکلاتی از TLS هستیم که تاکنون به آنها اشارهای نشده است.
این محققان تکنیکی برای تحلیل TLS توسعه دادهاند که میتواند با بررسی وبسایتها مشکلات TLS آنها را گزارش دهد. محققان نفوذپذیریهای کشفشده را در سه دسته طبقهبندی کردند. نتایج کامل تحقیقات این محققان در بخش امنیت و حریم شخصی سمپوزیم IEEE ارائه خواهد شد که ماه بعد در سانفرانسیسکو برگزار میشود.
همانطور که گفته شد، محققان آسیبپذیریها را به سه دسته تقسیم کردند. دستهی اول نقیصههایی هستند که خطرهایی به همراه دارند؛ اما بهتنهایی مهاجمان نمیتوانند از آن استفاده کنند. اطلاعات بهدستآمده از طریق این آسیبپذیریها بسیار اندک است و مهاجم باید جستار (Query) را چندین بار اجرا کند تا قطعات بهدستآمده را کنار هم بگذارد و به اطلاعات دست یابد. برای مثال، این نفوذپذیریها ممکن است به مهاجم امکان دسترسی به کوکی را بدهد؛ اما دسترسی به کوکی بهتنهایی برای به دست آوردن اطلاعات مهم، مانند رمز عبور، چندان کارا نیست.
مشکلات در دو دستهی دیگر بسیار جدیتر هستند. دستهی دوم میتواند به دسترسی مهاجم به تمام اطلاعات و رمزگشایی تمام ترافیک میان مرورگر و سِرور منجر شود. بدتر از همه، وضعیت دستهی سوم است که به مهاجم نهتنها اجازهی رمزگشایی تمام ترافیک، بلکه اجازهی تغییر آن را نیز میدهد. نکتهی طعنهآمیز اینجا است که پروتکل HTTPS از ابتدا برای مقابله با این نوع حملات طراحی شده که به «حملات مرد میانی» (Man-in-the-Middle) موسوماند.
این آسیبپذیریها در عمل شاید چندان هم بحرانی نباشند؛ زیرا بسیاری از آنها زحمت و زمان بیشتری در مقایسه با سایر روشها و نفوذپذیریها میطلبند؛ اما مشکلات امنیتی TLS همچنان موضوع مهمی است. امروزه، امنیت و حریم شخصی در فضای مجازی اهمیتی دوچندان پیدا کرده و باید از امنیت کامل پروتکلهای پرکاربرد و پایهای مطمئن شد.
محققان میگویند یکی از فرضیات آنان دراینزمینه آن است که مشکلات ریز امنیتی TLS در صفحهی وب میتواند بسیاری از صفحات دیگر را نیز تهدید کند. برای مثال، فرض کنید صفحهی اصلی Example.com بدون مشکل و TLS داشته باشد؛ اما mail.example.com آسیبپذیریهای TLS داشته باشد. با توجه به ارتباط این دو، تمامی ارتباطات مطمئن این دو هم تضعیف میشود؛ بدین ترتیب، آسیبپذیری کوچکی بهواسطهی لینکها و ارتباطها تقویت میشود.
در فضای امروزی وب، بسیاری از وبسایتها به یکدیگر وابسته هستند و ارتباطات میان وبسایتها و وبسرویسها بسیار زیاد است. برای درک این موضوع کافی است بدانید در آن جمعیت ۵.۵ درصدی از ۱۰,۰۰۰ وبسایت برتر که آسیبپذیر تشخیص داده شدند، ۲۹۲ وبسایت تحت تأثیر مستقیم باگ TLS و ۵,۲۸۲ در معرض آسیبپذیری ناشی از سایر وبسایتها قرار داشتند. از این تعداد، بیش از ۴,۸۰۰ وبسایت در دستهی سوم (خطرناکترین) و ۷۳۳ وبسایت در دستهی دوم و ۹۱۲ وبسایت در دستهی اول (کمترین خطر) قرار میگیرند.
این موضوع بدین معنا است که وبسایت شما بهاندازهی ضعیفترین لینک آن امنیت دارد. محققان فوسکاری مشغول ساخت ابزاری مبتنی بر تحقیقاتشان هستند که توانایی تشخیص آسیبپذیریهای TLS را دارد.
با توجه به گستردگی استفادهی TLS و SSL در سرتاسر وب و تبدیلشدن آن به استانداردی امنیتی، هرگونه آسیبپذیری آن باید جدی تلقی شود. علاوه بر آن، بسیاری از گواهینامههای TLS و SSL به همراه بیمهی ضد هک فروخته میشوند؛ بیمهای که از چند ده هزار یورو آغاز میشود و به یکمیلیون یورو هم میرسد. این آسیبپذیریها به دلیل پروندههای حقوقی احتمالی و ادعاهای دریافت بیمه میتواند زنگ خطری برای صادرکنندگان (Issuer) این گواهینامهها تلقی شود.