جعل و سرقت را فراموش کنید! هکرها قفل رمزنگاری SSL را شکستند

تازه ها

گواردیولای ایران! / کاریکاتور

گواردیولای ایران! / کاریکاتور

توئیت افشار درباره حضور زنان در استادیوم / عکس

توئیت افشار درباره حضور زنان در استادیوم / عکس

مدل موی زنانه جدید

مدل موی زنانه جدید

تصاویر روز دوم و سوم جشنواره کن

تصاویر روز دوم و سوم جشنواره کن

استفاده از اینترنت روی نمرات بچه ها تاثیر می گذارد

استفاده از اینترنت روی نمرات بچه ها تاثیر می گذارد

مدل لباس های کتایون شهابی در جشنواره کن Canns 2016

مدل لباس های کتایون شهابی در جشنواره کن Canns 2016

چرا باید پیش از خواب، آرایش را پاک کرد؟

چرا باید پیش از خواب، آرایش را پاک کرد؟

شوره سر و خارش پوست سر : علل و درمان

شوره سر و خارش پوست سر : علل و درمان

احمدی نژاد؛ رییس جمهور سابق یا نامزد انتخابات؟

احمدی نژاد؛ رییس جمهور سابق یا نامزد انتخابات؟

حد و حدود رابطه جنسی در دوران عقد

حد و حدود رابطه جنسی در دوران عقد

سوء استفاده عجیب از محسن چاوشی

سوء استفاده عجیب از محسن چاوشی

خانم ها با چشم چرانی مردان کنار بیایید !

خانم ها با چشم چرانی مردان کنار بیایید !

خود ارضایی در دختران و پسران چه تفاوتی دارد

خود ارضایی در دختران و پسران چه تفاوتی دارد

حقوق ماهیانه حسن روحانی چقدر است

حقوق ماهیانه حسن روحانی چقدر است

پشت صحنه فیلم سینمایی دختر

پشت صحنه فیلم سینمایی دختر

جعل و سرقت را فراموش کنید! هکرها قفل رمزنگاری SSL را شکستند

نشر توسط:admin Views 26 تاریخ : 14 اسفند 1394

نظرات ()

هنوز مدت زیادی از اخبار پیرامون جعل و سرقت گواهینامه SSL نگذشته است که گروهی از پژوهشگران امنیتی ادعا کرده‌اند که میتوانند در ۱۰ دقیقه رمزنگاری گواهینامه‌های SSL و TLS را بشکنند.

بر طبق این ادعا، در کنفرانس امنیتی Ekoparty ابزاری به نمایش درآمده است که BEAST نام گذاری شده است و میتواند قفل گذاری‌های انجام شده SSL و یا TLS بر روی پکت‌ها را به متن روان بازگرداند.

به گزارش وین بتا و به نقل از The Register نفوذگران در گردهمایی اخیرشان با عنوان Ekoparty واقع در بوئنوس آیرس، آرژانتین ابزاری را معرفی کرده اند که قادر است رمزنگاری نسخه ۱ و پس از آن در لایه امنیت انتقال (Transport Layer Security) را رمزگشایی کند.

بر طبق گفته کارشناسان این آسیب پذیری امنیتی فناوری Secure Socket Layer یا SSL را شامل میشود.

شایان ذکر است که این فناوری بنیان امنیت سایت‌های حساس مانند بانک‌ها، شرکت‌های بیمه، سازمان‌های حقوقی و اطلاعات محرمانه است که رابط شبکه‌ای میان مرورگر و سرویس‌دهنده را رمزنگاری میکند.

بر طبق اطلاعات منتشر شده دو محقق کاشف این آسیب پذیری اعلام کرده‌اند که نسخه‌های ۱٫۱ و ۱.۲ این فناوری مستعد این سوء استفاده نیستند اما متاسفانه اغلب مرورگرهای وب این ویرایش‌ها را پشتیبانی نمیکنند و در واقع همه سایت‌های مهم از جمله PayPal و یا حتی Gmail میتوانند مورد سوء استفاده هکرهایی قرار بگیرند که کنترل ترافیک شبکه‌ای کاربر به سایت هدف را در دست دارند.

نام‌های دو محقق مذکور Thai Duong و Juliano Rizzo می‌باشد.

به گفته آنان این کد‌ مخرب آنها بر مبنای Java Script است که مانند یک ویروس اسب تروا به نشست شبکه‌ای میان کاربر و سایت شنود میکند تا در ۱۰ دقیقه فایل کوکی (Cookie) رمزنگاری شده را رمزگشایی کند و در نهایت برای نفوذگر راه حمله را تسریع بخشد.

به گفته آنان این نقص امنیتی حتی فناوری HTTP Strict Transport Security را نیز آلوده کرده است که در واقع از ارسال صفحاتی که کاملاً رمزنگاری نشده‌اند جلوگیری می‌نماید.

در کنفرانس مذکور آنها به این روش به یک حساب کاربری PayPal نفوذ کردند و آنرا به نمایش گذاشتند.

این حمله امنیتی در واقع بنیان طراحی HTTPS و SSL را به نقد گرفته است، اما این اولین بار نیست که کارشناسان از غیر قابل اعتماد بودن SSL صحبت میکنند بلکه در گذشته نیز بحث های کسترده ای مبانی این لایه شبکه‌ را مورد نقد قرار داده‌اند.

اطلاعات بیشتر :

The Register

کنفرانس Ekoparty