محققان موفق به شناسایی یک حفره امنیتی بیست ساله ناشی از توطئه آژانس امنیت ملی آمریکا شدند که تاکنون باعث آسیب پذیری بسیاری از وب سایتها شده است.
به گزارش پایگاه اطلاع رسانی پایداری ملی، شناسایی یک حفره امنیتی که از دهه ۹۰ میلادی تا به حال ناشناخته باقی مانده بود، باعث شده آسیبپذیری بسیاری از وبسایتها در برابر حملات هکری آشکار شود.
این مشکل ناشی از استانداردهای عمداً ضعیف رمزگذاری اینترنت در آمریکا در دهه ۱۹۹۰ است. آسیب پذیری مذکور که FREAK نام گرفته، هزاران وب سایت را دچار مشکل کرده و به گفته محققان فرانسوی و آمریکایی باید هر چه زودتر وصلهای برای حل این مشکل عرضه شود.
حفره یادشده اولینبار توسط گروهی از محققان به رهبری Karthikeyan Bhargavan در مؤسسه INRIA در پاریس شناسایی شد و سپس Matthew Green رمزنگار دانشگاه جان هاپکینز اطلاعات بیشتری در این مورد ارائه کرد.
در یک مقاله تحقیقی در این مورد تصریح شده که آسیب پذیری مذکور حاصل مجموعهای از ضعفهای رمزگذاری است. این ضعفها به علت فشار نهادهای دولتی آمریکا به وجود آمده تا تضمین کننده این باشد که آژانس امنیت ملی آمریکا قادر به رمزگشایی تمامی ارتباطات رمزگذاری شده خارجی است؛ البته این رویه غلط نهادهای جاسوسی آمریکایی باعث شده برخی سایتهای وابسته به خود آنها و از جمله تعدادی از سایتهای متعلق به آژانس امنیت ملی و اف بی آی نیز آسیب پذیر باشند.
محققان امنیتی، آژانس امنیت ملی آمریکا را به علت تحمیل این استانداردهای سطح پایین به باد انتقاد گرفته و میگویند اگرچه این کار نصب بدافزارهای مدنظر آنها را بر روی رایانههای متعلق به کشورهای متخاصم تسهیل کرده اما برای خودشان هم دردسرساز شده است.
نکته جالب اینکه پس از قانونی و اجباری شدن استفاده از استانداردهای رمزگذاری قدرتمند، کاربرد این استاندارد ضعیف و امکان ارسال آن برای مجموعههای ثالث متوقف نشد؛ زیرا برخی نرم افزارهای مهم بر مبنای همین استاندارد طراحی شده و کنار گذاشتن آنها ممکن نبود.
کارشناسان هشدار میدهند که این مشکل قدیمی باید بسیار جدی گرفته شود و این نشان میدهد که چگونه اتخاذ یک سیاست غلط از سوی دولتها میتواند برای سالها نگرانی و ضعفهای جدی به همراه آورد و تمام اینترنت را با مشکل امنیتی مواجه کند.
بررسیها نشان میدهد که حتی سایت فیس بوک هم با این مشکل مواجه بوده اما بهتازگی وصلهای برای رفع آسیب پذیری یادشده عرضه کرده است. برخی سایتهای ظاهراً ایمن دیگر از جمله سایت کاخ سفید هم با همین مشکل مواجه بودهاند.
مشکل یادشده تنها محدود به افرادی که از طریق رایانه شخصی به اینترنت متصل میشوند، نبوده و افرادی که با مرورگرهای همراه بر روی گوشیهای اندرویدی و آیفون به اینترنت متصل میشوند نیز به همین اندازه در معرض خطر هستند و لذا میتوان گفت میلیاردها نفر بهطور بالقوه در برابر آسیب پذیری FREAK قادر به دفاع از خود نیستند.
هماکنون شواهدی وجود ندارد که ثابت کند هکرها از این ضعف سوءاستفاده کرده باشند و شرکتهای فناوری در تلاش برای رفع مشکل و نصب وصلههای ضروری هستند.
کارشناسان میگویند که دولت آمریکا بهعلت مجبور کردن شرکتهای نرم افزاری این کشور به استفاده از برنامههای رمزگذاری ضعیف باید مورد مواخذه قرار بگیرد. کاخ سفید مدعی است میخواهد از این طریق به اصطلاح نگرانیهایش در حوزه امنیت ملی را برطرف کرده و ابزار لازم برای نفوذ به سیستمهای مختلف را داشته باشد اما خود نیز قربانی این مشکل شده است.
هنوز مشخص نیست که این سیستمهای رمزگذاری ضعیف در چه برنامه هایی به کار گرفته شده و به چه کشورهایی صادر شده و در آنها مورد استفاده هستند. علاوه بر این اطلاعاتی در مورد این نوع نرم افزارها که بر روی مرورگرها در حال نصب و بهکارگیری هستند نیز منتشر نشده است.
در مجموع یک سوم سایتهای ظاهراً رمزگذاری کننده اطلاعات به همین علت آسیب پذیر هستند که از جمله آنها میتوان به American Express، Groupon, Kohl’s، Marriott، برخی وب سایتهای وابسته به دولت آمریکا و ... اشاره کرد.
بر اساس تحقیقات انجام شده مرورگرهای جدیدتر مانند کروم گوگل و فایرفاکس موزیلا دارای چنین مشکلی نیستند. اپل و گوگل هر دو اعلام کردهاند که با به روزرسانی نرم افزاری مشکل حملات FREAK را حل میکنند. وصله اپل هفته آینده عرضه میشود.