پروتکل HTTPS گاهی بهاندازه کافی امن نیست
استفادهی گسترده از پروتکل امنیتی HTTPS موجب شده قفلهای سبزرنگ را در بسیاری از وبسایتها در سرتاسر جهان شاهد باشیم. بسیاری از وبسایتهای پربازدیدی که روزانه به آنها سر میزنید، مانند زومیت، از پروتکلی بهنام پروتکل امنیتی لایهی انتقال (Transport Layer Security) یا بهاختصار TLS بهره میبرند. این پروتکل دادههای مبادلهشده میان مرورگر و سرور را رمزنگاری میکند تا از دید افراد دیگر مخفی بماند؛ اما جدیدترین یافتههای محققان دانشگاه کافوسکاری ونیز در ایتالیا و دانشگاه تکنیکال وین در اتریش نشان داده که تعداد درخورتوجهی از وبسایتهای رمزنگاریشده همچنان درمعرض خطر هستند.
در تحلیل ۱۰,۰۰۰ وبسایت اول بهرهمند از این پروتکل براساس شرکت تحلیل الکسا که به آمازون تعلق دارد، ۵۵۰ وبسایت (۵.۵ درصد) آسیبپذیریهای جدی مربوطبه TLS داشتند. این مشکلات ناشی از نحوهی اجرای TLS و باگهای شناختهشدهی این پروتکل و نسل قبل آن (Secure Socket Layer (SSL است. باوجوداین، بدترین قسمت ماجرا آن است که در این وبسایتها همچنان قفل سبزرنگ نمایان میشود.
ریکاردو فوکاردی، محقق امنیت شبکه و رمزنگاری در دانشگاه کافوسکاری ونیز میگوید:
ما چیزهایی یافتهایم که مرورگر نیز شناسایی نمیکند. ما بهدنبال مشکلاتی از TLS هستیم که تاکنون به آنها اشارهای نشده است.
این محققان تکنیکی برای تحلیل TLS توسعه دادهاند که میتواند با بررسی وبسایتها مشکلات TLS آنها را گزارش دهد. محققان نفوذپذیریهای کشفشده را در سه دسته طبقهبندی کردند. نتایج کامل تحقیقات این محققان در بخش امنیت و حریم شخصی سمپوزیم IEEE ارائه خواهد شد که ماه بعد در سانفرانسیسکو برگزار میشود.
همانطورکه گفته شد، محققان آسیبپذیریها را به سه دسته تقسیم کردند. دستهی اول نقیصههایی هستند که خطرهایی بههمراه دارند؛ اما بهتنهایی مهاجمان نمیتوانند از آن استفاده کنند. اطلاعات بهدستآمده ازطریق این آسیبپذیریها بسیار اندک است و مهاجم باید جستار (Query) را چندینبار اجرا کند تا قطعات بهدستآمده را کنارهم بگذارد و به اطلاعات دست یابد. برای مثال، این نفوذپذیریها ممکن است به مهاجم امکان دسترسی به کوکی را بدهد؛ اما دسترسی به کوکی بهتنهایی برای بهدستآوردن اطلاعات مهم، مانند رمز عبور، چندان کارا نیست.
از میان ۱۰,۰۰۰ وبسایت برتر، ۵۵۰ وبسایت دچار آسیبپذیری TLS اند
مشکلات در دو دستهی دیگر بسیار جدیتر هستند. دستهی دوم میتواند به دسترسی مهاجم به تمام اطلاعات و رمزگشایی تمام ترافیک میان مرورگر و سرور منجر شود. بدتر از همه، وضعیت دستهی سوم است که به مهاجم نهتنها اجازهی رمزگشایی تمام ترافیک، بلکه اجازهی تغییر آن را نیز میدهد. نکتهی طعنهآمیز اینجا است که پروتکل HTTPS از ابتدا برای مقابله با این نوع حملات طراحی شده که به «حملات مرد میانی» (Man-in-the-Middle) موسوماند.
این آسیبپذیریها در عمل شاید چندان هم بحرانی نباشند؛ زیرا بسیاری از آنها زحمت و زمان بیشتری درمقایسهبا سایر روشها و نفوذپذیریها میطلبند؛ اما مشکلات امنیتی TLS همچنان موضوع مهمی است. امروزه، امنیت و حریم شخصی در فضای مجازی اهمیتی دوچندان پیدا کرده و باید از امنیت کامل پروتکلهای پرکاربرد و پایهای مطمئن شد.
محققان میگویند یکی از فرضیات آنان دراینزمینه آن است که مشکلات ریزامنیتی TLS در صفحهی وب میتواند بسیاری از صفحات دیگر را نیز تهدید کند. برای مثال، فرض کنید صفحهی اصلی Example.com بدون مشکل و TLS داشته باشد؛ اما mail.example.com آسیبپذیریهای TLS داشته باشد. باتوجهبه ارتباط این دو، تمامی ارتباطات مطمئن این دو هم تضعیف میشود؛ بدینترتیب، آسیبپذیری کوچکی بهواسطهی لینکها و ارتباطها تقویت میشود.
نفوذپذیریها به مهاجمان اجازهی رمزگشایی تمام دادهها و حتی تغییر آنها را میدهد
در فضای امروزی وب، بسیاری از وبسایتها به یکدیگر وابسته هستند و ارتباطات میان وبسایتها و وبسرویسها بسیار زیاد است. برای درک این موضوع کافی است بدانید در آن جمعیت ۵.۵ درصدی از ۱۰,۰۰۰ وبسایت برتر که آسیبپذیر تشخیص داده شدند، ۲۹۲ وبسایت تحتتأثیر مستقیم باگ TLS و ۵,۲۸۲ درمعرض آسیبپذیری ناشی از سایر وبسایتها قرار داشتند. از این تعداد، بیش از ۴,۸۰۰ وبسایت در دستهی سوم (خطرناکترین) و ۷۳۳ وبسایت در دستهی دوم و ۹۱۲ وبسای در دستهی اول (کمترین خطر) قرار میگیرند.
این موضوع بدینمعنا است که وبسایت شما بهاندازهی ضعیفترین لینک آن امنیت دارد. محققان فوسکاری مشغول ساخت ابزاری مبتنی بر تحقیقاتشان هستند که توانایی تشخیص آسیبپذیریهای TLS را دارد.
نظر مترجم
باتوجهبه گستردگی استفادهی TLS و SSL در سرتاسر وب و تبدیلشدن آن به استانداردی امنیتی، هرگونه آسیبپذیری آن باید جدی تلقی شود. علاوهبرآن، بسیاری از گواهینامههای TLS و SSL بههمراه بیمهی ضدهک فروخته میشوند؛ بیمهای که از چنددههزار یورو آغاز میشود و به یک میلیون یورو هم میرسد. این آسیبپذیریها بهدلیل پروندههای حقوقی احتمالی و ادعاهای دریافت بیمه میتواند زنگِخطری برای صادرکنندگان (Issuer) این گواهینامهها تلقی شود.
دیدگاه شما دراینباره چیست؟ این آسیبپذیریها را چقدر جدی تلقی میکنید؟ چه پیامدهایی برای این آسیبپذیریها متصورید؟ دیدگاههایتان را با در میان بگذارید.
نظرات