حفره امنیتی پروتکل امنیتی در کمین ۱۱ میلیون سایت
موبنا – به گزارش وی تری، تمامی سرویس های مبتنی بر نظام رمزگذاری SSL و TLS هم به همین علت در معرض خطر هستند.
پروتکل های امنیتی یاد شده به طور گسترده برای رمزگذاری تعاملات تحت وب و ترافیک حساس اینترنتی به کار می روند. پروتکل HTTPS برای حفاظت از کاربران در زمان استفاده از وب سایتهای عادی و جلوگیری از سرقت اطلاعات حساس آنها به طور گسترده کاربرد دارد و بسیاری از وب سایت های دولتی و بانکی و … از آنها استفاده می کنند.
حفره موسوم به DROWN برای دسترسی به تمامی انواع این اطلاعات حساس قابل استفاده است و محققان می گویند مهاجمان با سواستفاده از آن می توانند نظام رمزگذاری را بشکنند و اطلاعات رد وبدل شده را بخوانند و حتی بدزدند. این اطلاعات می تواند شامل کلمات عبور، داده های مالی، اطلاعات کارت های اعتباری و …. باشد. بررسی های محققان نشان می دهد حدود 33 درصد از کل سایت های استفاده کننده از HTTPS در سرورهایشان در برابر حملات یاد شده آسیب پذیرند.
سوءاستفاده کنندگان از آسیب پذیری DROWN از پشتیبانی از یک پیکربندی قدیمی رمزگذاری مربوط به دهه 90 میلادی موسوم به SSLv2 که دارای نقص های فراوان است سوءاستفاده کردهاند و اگر در پروتکل های اینترنتی ایمن از SSLv2 پشتیبانی نشود مشکلی برای کاربران به وجود نمی آید.
کارشناسان می گویند پشتیبانی از SSLv2 تهدیدی جدی برای سرورهای مدرن و مشتریان آنهاست و مهاجمان از این طریق قادر به رمزگشایی ارتباطات کاربران و سرورها هستند. اطلاعات فنی دقیق تر در این زمینه در آدرس https://drownattack.com/drown-attack-paper.pdf قابل دسترس است.
منبع: فارس