نقص امنیتی DROWN

0
6160
DROWN

آسیب ­پذیری DROWN در واقع SSL/TLS را تحت تأثیر قرار می ­دهد امّا مانند Heartbleed نمی باشد.

برای دومین بار طی سال های اخیر، نقص بزرگی در رمزنگاری HTTPS مشخص شده است که این بار تحت عنوان DROWN نام ‌گذاری شد و بیش از یازده میلیون سروری که از کتابخانه متن‌ باز OpenSSL استفاده می­ نمایند را تحت تأثیر قرار داده است. با تمام این تفاسیر، این مورد همانند Heartbleed نمی باشد و قرار نیست به‌ طور کامل تسلیم OpenSSL شویم.

DROWN به هکرها اجازه می ­دهد تا داده ­ها را با مانیتور نمودن SSLv2 Handshake رمزگشایی کنند. با توجه به اینکه در سال های گذشته نیز، از SSLv2 اعلام نارضایتی شده بود، بنابراین نباید این آسیب‌ پذیری بزرگ باشد. بنا بر برخی گزارش‌ ها، مشخص ‌شده است که بسیاری از سرورها (یک‌ سوم از تمامی وب سایت ها)، همچنان از SSLv2 پشتیبانی می ­کنند و این امر موجب می ‌شود که آن‌ها به ‌طور بالقوه در معرض حمله DROWN قرار گیرند. اما مورد حادتر آن است که این حملات نه‌ تنها وب سایت های رمزنگاری HTTPS را تحت تأثیر قرار می ­دهد، بلکه سرور های ایمیل نیز در خطر هستند.

آسیب ­پذیری DROWN ممکن است هر نرم­ افزار رمزنگاری که از SSLv2 پشتیبانی می­ کند را تحت تأثیر قرار دهد امّا با اعلام این تهدید، نگاه ­ها به سمت OpenSSL (کتابخانه رمزنگاری متن ‌باز) می باشد که به ‌طور گسترده مورد استفاده قرار می­ گیرد.

در یکم ماه مارس، توسعه ‌دهندگان OpenSSL از Patch امنیتی خاصی برای مقابله با حملات DROWN استفاده کردند. همچنین این تهدید منجر به شک و تردیدهای فراوان در مورد OpenSSL شده است. برای برخی ناظران این سؤال مطرح شده است که با توجه به خطرات OpenSSL در آسیب‌ پذیری ‌های امنیتی که در طی سال‌ های اخیر مشکلات فراوانی را به همراه داشته است، چرا همچنان از آن در اکثر وب سایت ‌ها استفاده می­ شود. معروف­ ترین این آسیب ‌پذیری ‌ها، Heartbleed می باشد که با توجه به اشکال امنیتی دیگرِ OpenSSL که چند هفته پیش مشخص شد،  Heartbleed تنها مورد نخواهد بود.

openssl - DROWN

آقای Matt Green به‌ عنوان یک رمز نگار می‌ گوید: “برای من جالب است که هر سال یک یا دو آسیب ‌پذیری در این قبیل پروتکل ­ها یافت می شود و این اتفاق نباید ادامه پیدا کند.”

با این‌ حال، در این مورد عادلانه نیست که OpenSSL یا جامعه رمز نگاری منبع باز را برای این نقص سرزنش کنیم. نقص DROWN تنها مختص به OpenSSL نمی باشد و برخلاف Heartbleed، شامل نقص های بنیادی در رمزنگاری کدهای به ظاهر بی ‌خطر نیست، بلکه از تنظیمات ضعیف سرورهایی که بر SSLv2 متکی هستند و امنیت ندارند، سرچشمه می ­گیرد .

Yehuda Lindell به‌ عنوان بنیان ‌گذار شرکت امنیتی Dyadic می ‌گوید:” این نقص، یک Heartbleed دیگر نیست زیرا بهره ­برداری سوء از Heartbleed فوق ­العاده آسان بود.  نقص DROWN یک حمله بسیار جدی است امّا می ­توان به‌ راحتی از آن جلوگیری نمود.”

از دیدگاه Lindell، خطر واقعی از سرورهایی با پیکربندی ضعیف ناشی می شود و ربطی به توسعه ‌دهندگان نرم ‌افزار رمزنگاری همچون OpenSSL ندارد. وی افزود: “از مدت ‌ها قبل توصیه ‌شده است که SSLv2 یا حتی SSLv3 را غیر فعال کنید. این واقعیت که بسیاری از سرورها همچنان از آن پشتیبانی می­ کنند، خود نشان ‌دهنده مشکل بزرگی است. افرادی که به مدیریت وب سایت ‌ها می ­پردازند و در تأمین امنیت آنها نقش دارند، اغلب منابع مناسبی در اختیار ندارند تا به ‌درستی به این موارد بپردازند.”

در انتها باید افزود که نقص DROWN را می توان مانند Heartbleed دانست و توسعه ‌دهندگان رمزنگاری را سرزنش کرد، امّا این امر عادلانه نیست.

بدون دیدگاه

دیدگاهتان را بنویسید

*