رفتن به مطلب
انجمن تیم امنیتی گارد ایران

رمزگشایی HTTPS


ارسال های توصیه شده

محققان امنیتی روش حمله ای را شناسایی کرده اند


که مهاجم را قادر به رمزگشایی ارتباطات بین کاربران و بسیاری از سرورهای HTTPS می کند.


 امکان پذیر بودن اجرای این حمله از آنجا ناشی می شود


که بسیاری از سرورهای HTTPS همچنان از نسخه ۲ پودمان قدیمی و غیرامن SSLو(Secure Sockets Layer) پشتیبانی می کنند.


SSLv2 نسخه قبل از SSLv3 است که آن هم با پودمان مدرن تر TLSو(Transport Layer Security) جایگزین شده


SSLv2 نباید هیچگاه برای رمزنگاری ارتباطات استفاده شود.


اما با توجه به عدم استفاده مرورگرهای جدید از این نسخه،


فعال بودن آن بر روی سرورها بندرت مورد توجه قرار می گیرد.


اما نتیجه یک تحقیق نشان می دهد


که اگر یک سرور HTTPS از پودمان SSLv2 پشتیبانی کند مهاجم می تواند


ارتباطات میان کامپیوتر و سرور را حتی اگر با پودمان TLS رمز شده باشند رمزگشایی کند.


به گزارش شرکت مهندسی شبکه گستر،


در این نوع حمله که DROWNو(Decrypting RSA with Obsolete and Weakened eNcryption) نامگذاری شده یا سرور HTTPS هدف قرار گرفته شده باید از SSLv2 پشتیبانی کند


و یا کلید خصوصی آن با سروری که از این پودمان پشتیبانی می کند به اشتراک گذاشته شده باشد.


استفاده از کلید خصوصی یکسان بر روی سرورهای وب و ایمیل به وفور انجام می شود.


DROWN_diagram.jpg


بر اساس بررسی های انجام شده ۳۳ درصد سرورهای HTTPS به این نوع حمله آسیب پذیر هستند.


شبکه گستر، هر چند در این نوع حمله مهاجم قادر به شناسایی کلیدهای خصوصی گواهینامه دیجیتال سرور نبوده و در صورت فراهم بودن پیش نیازها تنها قادر به کشف کلیدهای خصوصی استفاده شده برای ارتباط یک کلاینت با سرور است اما مهاجم از همین طریق بصورت بالقوه می تواند اطلاعات محرمانه ای همچون نام کاربری و گذرواژه ورود به سیستم را بدست بیاورد.


راهکار مقابله با این حمله غیرفعال نمودن پشتیبانی از پودمان SSLv2 بر روی سرور است. همچنین ابزاری برای بررسی آسیب پذیر بودن سرور HTTPS به حملات DROWN ارائه شده است.


جزییات بیشتر در خصوص DROWN در اینجا قابل دسترس است.


 

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

انجمن تیم امنیتی گارد ایران

تیم امنیتی گارد ایران یک گروه مستقل است که قوانین آن با خط مشی جمهوری اسلامی ایران مغایرت ندارد. تیم امنیتی گارد ایران از سال 1393 فعالیت خود را آغاز کرد و هدف این تیم تامین امنیت سایت ها و سرورهای ایرانی است. تیم ما همیشه برای دفاع از مرزهای سایبری سرزمین عزیزمان ایران آماده است.

شبکه های اجتماعی

×
×
  • اضافه کردن...