کارشناسان نکاتی را درباره شناسایی آسیب پذیری FREAK به کاربران توصیه میکنند.
به گزارش پایگاه اطلاع رسانی پایداری ملی، تعداد بسیار بالایی از سایتها در دنیا و در ایران دارای آسیب پذیری FREAK هستند بنابراین لازم است هرچه سریع تر نسبت به رفع آن اقدام شود.
آسیب پذیری جدید SSL/TLS موسوم به حمله FREAK (CVE ۲۰۱۵-۰۲۰۴) در سوم مارس 2015 شناسایی شد که به مهاجم امکان میدهد بین ارتباط HTTPS کاربران و سرورهای آسیب پذیر قرار گیرد و آنها را مجبور به استفاده از رمزنگاری ضعیفتر کند که درنتیجه این اتفاق اطلاعات حساس دستکاری یا دزدیده خواهد شد.
علاوه بر سرورهای آسیب پذیر، Akamai نیز میزبان تعداد بسیار بالای از سایتهای آسیب پذیر بوده است ازجمله facebook و FBI که این وب سایتها بی درنگ نسبت اقدام به رفع آن کردند.
نسخههای کتابخانههای TLS client شامل نسخههای OpenSSL (CVE-۲۰۱۵-۰۲۰۴) قبل از ۱.۰.۱k،نسخههای BoringSSL قبل از ۱۰ نوامبر ۲۰۱۴، نسخههای Mono قبل از ۳.۱۲.۱ و نسخههای LibReSSL قبل از ۲.۱.۲ جزو نسخههای آسیب پذیر هستند. همچنین SecureTransport، SChannel و IBM JSSE آسیب پذیر بوده و راه حل آنها در حال بررسی است.
مرورگرهای وب که از این کتابخانه های TLS استفاده میکنند نیز آسیب پذیر هستند؛ از جمله نسخههای Chrome قبل از ۴۱که آسیب پذیر باید آن را به Chrome ۴۱ بهروزرسانی کرد، Internet Explorer،Blackberry Browser و Safari که وصله رفع آسیب پذیری آنها به زودی منتشر میشود، Android Browser که باید به Chrome ۴۱ بهروزرسانی شود، Opera که روی Mac و Android آسیب پذیر است و باید به Opera ۲۸ بهروزرسانی شود.
دیگر برنامههای کاربردی client مانند email که از کتابخانههای TLS آسیب پذیر استفاده میکنند نیز در معرض این آسیب پذیر قرار دارند.
کاربران میتوانند برای شناسایی آسیب پذیر بودن وب سایت خود به نشانیهای https://tools.keycdn.com/freak و https://www.ssllabs.com/ssltest/ مراجعه کنند.
کاربرانی که سرور دارند باید فوراً پشتیبانی از کتابخانههای رمزنگاری TLS export را غیرفعال کنند. کاربران برای شناخت چگونگی امن سازی نرم افزار سرور HTTPS میتوانند به راهنمای تنظیمات امنیتی موزیلا و تولید کننده تنظیمات SSL مراجعه کنند و برای تست تنظیمات و اطمینان از آسیب پذیر نبودن از لینکهای نامبرده در فوق استفاده کنند.
در استفاده از مرورگرها نیز کاربران باید ابتدا اطمینان حاصل کنند که از آخرین نسخههای مرورگرها و بهروزرسانی آنها استفاده میکنند.
کاربرانی که مدیرسیستم یا توسعهدهنده هستند نیز باید از بهروزرسانی نسخههای کتابخانه TLS مورد استفاده اطمینان یابند.