حفره امنیتی پروتکل امنیتی در کمین 11 میلیون سایت
ارسال شده: چهارشنبه مارس 02, 2016 2:58 pm
میلیونها وبسایت مبتنی بر پروتکل اینترنتی HTTPS به علت شناسایی یک حفره خطرناک در خطر هستند. حفره یاد شده موسوم به Drown امنیت 11 میلیون وبسایت را تهدید میکند.
[IMG]http://itna.ir/images/docs/000041/n00041659-b.jpg[/IMG]
به گزارش ایتنا از فارس، تمامی سرویسهای مبتنی بر نظام رمزگذاری SSL و TLS هم به همین علت در معرض خطر هستند.
پروتکلهای امنیتی یاد شده به طور گسترده برای رمزگذاری تعاملات تحت وب و ترافیک حساس اینترنتی به کار میروند. پروتکل HTTPS برای حفاظت از کاربران در زمان استفاده از وبسایتهای عادی و جلوگیری از سرقت اطلاعات حساس آنها به طور گسترده کاربرد دارد و بسیاری از وبسایتهای دولتی و بانکی و ... از آنها استفاده میکنند.
حفره موسوم به DROWN برای دسترسی به تمامی انواع این اطلاعات حساس قابل استفاده است و محققان میگویند مهاجمان با سؤاستفاده از آن میتوانند نظام رمزگذاری را بشکنند و اطلاعات رد وبدل شده را بخوانند و حتی بدزدند. این اطلاعات میتواند شامل کلمات عبور، دادههای مالی، اطلاعات کارتهای اعتباری و .... باشد. بررسیهای محققان نشان میدهد حدود 33 درصد از کل سایتهای استفاده کننده از HTTPS در سرورهایشان در برابر حملات یاد شده آسیب پذیرند.
سوءاستفاده کنندگان از آسیبپذیری DROWN از پشتیبانی از یک پیکربندی قدیمی رمزگذاری مربوط به دهه 90 میلادی موسوم به SSLv2 که دارای نقصهای فراوان است سوءاستفاده کردهاند و اگر در پروتکلهای اینترنتی ایمن از SSLv2 پشتیبانی نشود مشکلی برای کاربران به وجود نمیآید.
کارشناسان میگویند پشتیبانی از SSLv2 تهدیدی جدی برای سرورهای مدرن و مشتریان آنهاست و مهاجمان از این طریق قادر به رمزگشایی ارتباطات کاربران و سرورها هستند. اطلاعات فنی دقیقتر در این زمینه در آدرس https://drownattack.com/drown-attack-paper.pdf قابل دسترس است.
[IMG]http://itna.ir/images/docs/000041/n00041659-b.jpg[/IMG]
به گزارش ایتنا از فارس، تمامی سرویسهای مبتنی بر نظام رمزگذاری SSL و TLS هم به همین علت در معرض خطر هستند.
پروتکلهای امنیتی یاد شده به طور گسترده برای رمزگذاری تعاملات تحت وب و ترافیک حساس اینترنتی به کار میروند. پروتکل HTTPS برای حفاظت از کاربران در زمان استفاده از وبسایتهای عادی و جلوگیری از سرقت اطلاعات حساس آنها به طور گسترده کاربرد دارد و بسیاری از وبسایتهای دولتی و بانکی و ... از آنها استفاده میکنند.
حفره موسوم به DROWN برای دسترسی به تمامی انواع این اطلاعات حساس قابل استفاده است و محققان میگویند مهاجمان با سؤاستفاده از آن میتوانند نظام رمزگذاری را بشکنند و اطلاعات رد وبدل شده را بخوانند و حتی بدزدند. این اطلاعات میتواند شامل کلمات عبور، دادههای مالی، اطلاعات کارتهای اعتباری و .... باشد. بررسیهای محققان نشان میدهد حدود 33 درصد از کل سایتهای استفاده کننده از HTTPS در سرورهایشان در برابر حملات یاد شده آسیب پذیرند.
سوءاستفاده کنندگان از آسیبپذیری DROWN از پشتیبانی از یک پیکربندی قدیمی رمزگذاری مربوط به دهه 90 میلادی موسوم به SSLv2 که دارای نقصهای فراوان است سوءاستفاده کردهاند و اگر در پروتکلهای اینترنتی ایمن از SSLv2 پشتیبانی نشود مشکلی برای کاربران به وجود نمیآید.
کارشناسان میگویند پشتیبانی از SSLv2 تهدیدی جدی برای سرورهای مدرن و مشتریان آنهاست و مهاجمان از این طریق قادر به رمزگشایی ارتباطات کاربران و سرورها هستند. اطلاعات فنی دقیقتر در این زمینه در آدرس https://drownattack.com/drown-attack-paper.pdf قابل دسترس است.