کشف یک حفره امنیتی 20 ساله

به گزارش پایگاه اطلاع رسانی پایداری ملی، شناسایی یک حفره امنیتی که از دهه ۹۰ میلادی تا به حال ناشناخته باقی مانده بود، باعث شده آسیب‌پذیری بسیاری از وب‌سایت‌ها در برابر حملات هکری آشکار شود. 

این مشکل ناشی از استانداردهای عمداً ضعیف رمزگذاری اینترنت در آمریکا در دهه ۱۹۹۰ است. آسیب پذیری مذکور که FREAK نام گرفته، هزاران وب سایت را دچار مشکل کرده و به گفته محققان فرانسوی و آمریکایی باید هر چه زودتر وصله‌ای برای حل این مشکل عرضه شود. 

حفره یادشده اولین‌بار توسط گروهی از محققان به رهبری Karthikeyan Bhargavan در مؤسسه INRIA در پاریس شناسایی شد و سپس Matthew Green رمزنگار دانشگاه جان هاپکینز اطلاعات بیشتری در این مورد ارائه کرد. 

در یک مقاله تحقیقی در این مورد تصریح شده که آسیب پذیری مذکور حاصل مجموعه‌ای از ضعف‌های رمزگذاری است. این ضعف‌ها به علت فشار نهادهای دولتی آمریکا به وجود آمده تا تضمین کننده این باشد که آژانس امنیت ملی آمریکا قادر به رمزگشایی تمامی ارتباطات رمزگذاری شده خارجی است؛ البته این رویه غلط نهادهای جاسوسی آمریکایی باعث شده برخی سایت‌های وابسته به خود آنها و از جمله تعدادی از سایت‌های متعلق به آژانس امنیت ملی و اف بی آی نیز آسیب پذیر باشند. 

محققان امنیتی، آژانس امنیت ملی آمریکا را به علت تحمیل این استانداردهای سطح پایین به باد انتقاد گرفته و می‌گویند اگرچه این کار نصب بدافزارهای مدنظر آنها را بر روی رایانه‌های متعلق به کشورهای متخاصم تسهیل کرده اما برای خودشان هم دردسرساز شده است. 

نکته جالب اینکه پس از قانونی  و اجباری شدن استفاده از استانداردهای رمزگذاری قدرتمند، کاربرد این استاندارد ضعیف و امکان ارسال آن برای مجموعه‌های ثالث متوقف نشد؛ زیرا برخی نرم افزارهای مهم بر مبنای همین استاندارد طراحی شده و کنار گذاشتن آنها ممکن نبود. 

کارشناسان هشدار می‌دهند که این مشکل قدیمی باید بسیار جدی گرفته شود و این نشان می‌دهد که چگونه اتخاذ یک سیاست غلط از سوی دولت‌ها می‌تواند برای سال‌ها نگرانی و ضعف‌های جدی به همراه آورد و تمام اینترنت را با مشکل امنیتی مواجه کند. 

بررسی‌ها نشان می‌دهد که حتی سایت فیس بوک هم با این مشکل مواجه بوده اما به‌تازگی وصله‌ای برای رفع آسیب پذیری یادشده عرضه کرده است. برخی سایت‌های ظاهراً ایمن دیگر از جمله سایت کاخ سفید هم با همین مشکل مواجه بوده‌اند. 

مشکل یادشده تنها محدود به افرادی که از طریق رایانه شخصی به اینترنت متصل می‌شوند، نبوده و افرادی که با مرورگرهای همراه بر روی گوشی‌های اندرویدی و آیفون به اینترنت متصل می‌شوند نیز به همین اندازه در معرض خطر هستند و لذا می‌توان گفت میلیاردها نفر به‌طور بالقوه در برابر آسیب پذیری FREAK قادر به دفاع از خود نیستند. 

هم‌اکنون شواهدی وجود ندارد که ثابت کند هکرها از این ضعف سوءاستفاده کرده باشند و شرکت‌های فناوری در تلاش برای رفع مشکل و نصب وصله‌های ضروری هستند. 

کارشناسان می‌گویند که دولت آمریکا به‌علت مجبور کردن شرکت‌های نرم افزاری این کشور به استفاده از برنامه‌های رمزگذاری ضعیف باید مورد مواخذه قرار بگیرد. کاخ سفید مدعی است می‌خواهد از این طریق به اصطلاح نگرانی‌هایش در حوزه امنیت ملی را برطرف کرده و ابزار لازم برای نفوذ به سیستم‌های مختلف را داشته باشد اما خود نیز قربانی این مشکل شده است. 

هنوز مشخص نیست که این سیستم‌های رمزگذاری ضعیف در چه برنامه هایی به کار گرفته شده و به چه کشورهایی صادر شده و در آنها مورد استفاده هستند. علاوه بر این اطلاعاتی در مورد این نوع نرم افزارها که بر روی مرورگرها در حال نصب و به‌کارگیری هستند نیز منتشر نشده است. 

در مجموع یک سوم سایت‌های ظاهراً رمزگذاری کننده اطلاعات به همین علت آسیب پذیر هستند که از جمله آنها می‌توان به American Express، Groupon, Kohl’s، Marriott، برخی وب سایت‌های وابسته به دولت آمریکا و ... اشاره کرد. 

بر اساس تحقیقات انجام شده مرورگرهای جدیدتر مانند کروم گوگل و فایرفاکس موزیلا دارای چنین مشکلی نیستند. اپل و گوگل هر دو اعلام کرده‌اند که با به روزرسانی نرم افزاری مشکل حملات FREAK را حل می‌کنند. وصله اپل هفته آینده عرضه می‌شود.