کمیته رکن چهارم – بالاخره پس از یک هفته رایزنی در مورد انتشار جزییات آسیبپذیری بسیار جدیِ در پروتکل WPA۲، متخصصان امنیت به این نتیجه رسیدند که جزییات این آسیبپذیری که با سوءاستفاده از آن، شنودِ ترافیک وایفای که بین یک رایانه (یا هر دستگاه دیگری) و مودم یا دستگاه نقطهی دسترسی (Access Point) به راحتی برای یک مهاجم امکانپذیر میشود را منتشر نمایند.
برای اثبات این آسیبپذیری یک روشِ مفهمومی به نام KRACK که مخفف عبارت Key Reinstallation Attacks یا حملات بازسازی کلید است توسط یک پژوهشگر منتشر شده است. این پژوهشگر برای هفتهها جزییات این حمله را مخفی نگه داشته بود. توصیهنامهای که توسط مرکز مدیریت حوادث رایانهای یا مرکز سِرت آمریکا منتشر شده است به شرح زیر است: «مرکز سِرت آمریکا از آسیبپذیریهای مدیریت کلید در پروتکل WPA۲ آگاه است. اثر سوءاستفاده از چنین آسیبپذیریهایی میتواند رمزگشایی، سرقت ارتباطات TCP و تزریق محتوای HTTP و سایر حملات باشد. مطابق برنامهریزی در روز ۱۶ اکتبر، جزییات این آسیبپذیریها منتشر میشود».
مطابق توضیحات ارائه شده توسط پژوهشگری که این آسیبپذیریها را شناسایی کرده است، آسیبپذیری به صورت دقیق مربوط به عملیات دستدهی ۴تایی (four-way handshake) در زمان توزیع کلید برای رمزگشایی ترافیک است. در حین مرحلهی سوم، کلید میتواند چندین بار بازنشانی شود و به این ترتیب مقدار تصادفی رمزنگاری شنایی میشود.
آسیبپذیریهای شناسایی شده با ده شناسهی CVE معرفی شدهاند. توضیح فنیتر این آسیبپذیریها در کنفرانس امنیت رایانه و ارتباطات ACM یا ACM CCS در ابتدای نوامبر ارائه میشود. پژوهشگرانی که این سخنرانی را ارائه میکنند همچنین در کنفرانس بلکهت سال جاری نیز جزییاتی را ارائه داده بودند.
مشکل اصلی در مورد این آسیبپذیریها این است که برخی از آنها در واقع مشکل طراحی هستند و به هیچ عنوان قابل وصله نیستند. به این ترتیب با ارائهی یک روش نفوذِ همگانی، امکان شنود ترافیکِ وایفای به سادگی ممکن میشود و دیگر مشکلات رمزنگاری که تصور میشد با پروتکل WPA۲ قابل دور زدن نیست، مانعی برای شنود ایجاد نمیکند.
در حال حاضر تنها توصیهای که میتوان به کاربران داشت این است که از وبگاههایی که با ترافیک HTTPS و رمزشده عرضه میشود استفاده نمایند و به هیچ عنوان در مکانهای عمومی شناسه/گذرواژهی خود را در وبگاههای ناامن (منظور از وبگاه ناامن وبگاهی است که از HTTPS پشتیبانی نمیکند) وارد نکنند
منبع: news.asis.io
