.Default.reDropDownBody { min-width: 60px; }
En
سه‌شنبه, 2 خرداد 1396
  • En
عنوان : سوال‌ها و تردیدها راجع به نقض امنیت یاهو
کد خبر : ۲۱۲۵
تاريخ :
 ۱۳۹۵/۰۷/۲۷ 
ساعت : ۱۴:۲۱:۴۳

امتیاز :  ۰ |  مجموع :  ۰

درحالی‌که یاهو همچنان درحال بررسی بزرگترین نقض امنیت داده در تاریخ است، فشارها بر این شرکت در حال افزایش است؛ سوال‌ها و تردیدهای بسیاری راجع به این نقض امنیت اطلاعات وجود دارد: مثلا، این‌که یاهو چه زمانی از این حمله آگاه شده است؟ آیا در گزارش آن تاخیر وجود داشته است؟ و نحوه پیاده‌سازی رمزنگاری لازم، برای امن‌سازی داده‌هایی که این شرکت مسئول آن است،چگونه بوده است؟ به گفته شرکت امنیتی Venafi، این شرکت داده‌های سرویس گواهینامه اعتبار (Certificate Reputation) داخلی خود مربوط به امنیت کلیدهای رمزنگاری و گواهینامه‌های دیجیتال یاهو را بررسی نموده است. نتایج انبوه الگوریتم‌های هشینگ منسوخ شده و گواهینامه‌هایی با امضای خودکار (Self-Signed) نشان می‌دهند که به محیط تولید یاهو نفوذ کرده‌اند. یاهو افشاء کرد که این شرکت یک مورد نقض امنیت و نفوذ در سال 2014 را تجربه نموده است و این‌که نیم میلیون سوابق مشتریان یاهو توسط یک شرکت که به اعتقاد یاهو از طرف دولت حمایت می‌شد، سرقت گردیدند.

هکرها نام، آدرس ایمیل، شماره تلفن، تاریخ تولد، ایمیل بازیابی و سوالات و پاسخ‌های امنیتی کاربران را سرقت نموده بودند. کلمات عبور هش شده نیز سرقت شدند؛ این موضوع بر اولویت و فوریت رسیدگی به حمله در سالی می‌افزاید که نرم‌افزارهای بازیابی انبوه کلمات عبور یک هنجار است و استفاده مجدد از کلمه عبور بیش از پیش زیر ذره‌بین قرار دارد. به گفته یک منبع مطلع از تحقیقات داخلی در جریان، بیشتر کلمات عبور سرقت شده با bcrypt هش شده‌اند، ولی امنیت درصد اندکی از آنها با هش منسوخ شده MD5 تامین شده بود که مدت‌ها است از آن استفاده نمی‌شود و غیر امن تلقی می‌گردد. به این خاطر، یاهو از کاربران درخواست کرد که کلمات عبور خود را تغییر دهند و توصیه نمود که هرکس که از سال 2014 تا کنون کلمه عبور خود را تغییر نداده است فورا این کار را بکند.

البته هنوز معلوم نیست که عمق نفوذ هکرها تا چقدر بوده است؛ برخی کارشناسان این حمله را مشابه با حملات Aurora علیه گوگل و سایر بنگاه‌های اقتصادی و شرکت‌های فناوری بزرگ در سال 2009 و 2010 دانستند. مسئولیت حملات Aurora به یک گروه APT چینی نسبت داده شده است و هدف از این حملات سرقت و تغییر منبع کد سازمان‌های هدف بوده است. در ضمن، گزارشاتی منتشر گردیده‌اند که نشان می‌دهند کاربران یاهو دعاوی حقوقی را علیه یاهو به خاطر کوتاهی در حفاظت از اطلاعات حساب کاربران اقامه نموده‌اند. بنا بر گزارش فایننشیال تایمز در پایان وقت روز جمعه، ماریسا مایر مدیر اجرایی ارشد یاهو در جولای از انجام تحقیقات توسط یاهو در ارتباط با یک رویداد نقض امنیت و نفوذ بالقوه جدی اطلاع یافت؛ این موضوع پیش از انتشار گزارشاتی مبنی بر این بود که 200 میلیون حساب کاربری یاهو بر روی یک وب سایت غیر قانونی به نام «The Real Deal» برای فروش قرار گرفتند
.
با این وجود، مایر از افشاء سریع اطلاعات مربوط به این تحقیقات به شرکت Verizon خودداری نمود، زمانی‌که Verizon درحال خرید مالکیت کسب و کار مرکزی یاهو به ارزش 4.8 میلیارد دلار بود؛ و این در حالی است که این مدیر اجرایی ارشد از افشاء اطلاعات در آخرین گزارش یافته‌های فصلی یاهو به SEC نیز خودداری نموده بود. در واقع، به گفته FT، شرکت Verizon تا سه شنبه گذشته از وقوع این رویداد نقض امنیت و نفوذ اطلاع نیافته بود؛ یعنی، 10 روز پس از این‌که دریافت گزارش SEC دال بر این‌که مایر و یاهو تصدیق نمودند که این شرکت با هیچ رویداد نقض امنیت اطلاعات یا نفوذ به سیستم‌هایش برخورد نکرده است. البته بنابر گزارش FT، SEC می‌توانست مسئله را بررسی نماید. در این زمان، تحلیل Venafi تصویری چندان مطلوب از سیاست‌ها و روندهای رمزنگاری یاهو ارائه نمی‌کند. البته یاهو تاکنون هیچ اظهارنظری در ارتباط با این تحقیق ننموده است. برخی از مسائل سیستماتیک که این تحقیق آشکار ساخت، عبارتند از: کاربرد گواهینامه‌های MD5 که بسیاری از آنها دارای امضای خودکار هستند.
به گفته Venafi، یک گواهینامه MD5 در واقع از نوع Wildcard Cert با تاریخ انتقضای پنج ساله است (بیشتر گواهینامه در مدت 12 تا 18 ماه پس از صدور منقضی می‌شوند). این درحالی است که 27درصد از گواهینامه‌های مربوط به سایت‌های بیرونی یاهو از ژانویه 2015 تاکنون صادر شده‌اند و فقط 2.5درصد از آنها که هم اکنون درحال استفاده‌اند در مدت 90 روز گذشته منتشر شدند. همچنین، تقریبا نصف (14درصد) گواهینامه‌های بیرونی یاهو که Venafi مورد بررسی قرار داده است، از SHA-1 به عنوان الگوریتم هشینگ استفاده می‌نمایند؛ SHA-1 همانند MD5 درحال منسوخ شدن است و کلیه مرورگرهای بزرگ دیگر از آن استفاده نمی‌کنند. Venafi از این تحقیقات به‌عنوان شرکت تولیدکننده فناوری برای تامین امنیت کلیدهای رمزنگاری و گواهینامه‌های دیجیتال سود خواهد برد؛ البته این شرکت تصدیق نمود از نقض امنیت یاهو اطلاع نداشته است.


به گفته Venafi، این نقطه ضعف آشکار می‌تواند نشانگر نبود شفافیت و مدیریت مرکزی کلی در سیاست‌ها و روندهای رمزنگاری یاهو باشد. این شرکت افزود، یاهو احتمالا نمی‌تواند برای مثال گواهینامه‌ها را در زیرساخت گسترده و بزرگ خود سریعا پیدا و جایگزین نماید. به لحاظ نظری، یک رقیب با منابع کافی می‌تواند یکی از این روزنه‌ها را برای برجسته ساختن گواهینامه یاهو خود با امضای خودکار، رمزگذاری و انتقال داده‌های سرقت شده از شبکه یا تغییر چهره به عنوان ترافیک واسط و دارایی یاهو سوء استفاده نماید. به گفته‌هاری نایر محقق رمزنگاری که با شرکت Venafi کار می‌نماید، «به لحاظ نظری، بله شما می‌توانید یک گواهینامه دارای امضای خودکار یا یک گواهینامه نوع Wildcard با صدور خودکار (Self-Issued) را برجسته سازید، که هر دو در دسترس یک هکر مشتاق و سمج با منابع کافی برای انجام حملات سایبری قرار دارد.» «آنها می‌توانند از این طریق یک اتصال با سازمان هدف برقرار نمایند و درصورتی‌که شفافیت کافی در ارتباط با سایر گواهینامه‌ها وجود نداشته باشد، هکر می‌تواند بدون گیر افتادن کار خود را انجام دهد.»

نایر گفت که نظارت بر کلید رمزنگاری و گواهینامه تنها شیوه برای تشخیص سرقت داده‌ها محسوب نمی‌گردد، ولی سازمان می‌تواند از آن به‌عنوان شاخص به خطر افتادن امنیت خود استفاده نماید: اگر سازمان گواهینامه‌ای را شناسایی نماید که توسط ارگان صادرکننده گواهینامه مورد تایید یاهو در این مورد صادر نشده باشد، آنگاه امنیت سازمان احتمالا به خطر افتاده است. گواهینامه‌ها عموما دو هدف را برآورده می‌سازند:1- بررسی و تایید این‌که یک سایت در واقع همان چیزی است که در ظاهر نشان می‌دهد و 2-تسهیل رمزگذاری داده‌ها. درصورتی‌که سازمان فاقد سازگار نظارتی و سیاست‌هایی برای تعیین گواهینامه‌های قابل قبول، محل تحصیل این گواهینامه‌ها و مدت اعتبار آنها باشد، آنگاه تضمین رابطه‌ای مبتنی بر اعتماد غیر ممکن خواهد بود. به گفته نایر، «یک سازمان بالغ چشم‌انداز شفافی از دارایی‌های رمزنگاری خود دارد. این موضوع عدم تطبیق گواهینامه و صدور هشدار را تسهیل خواهد ساخت.» «در یک سازمان همواره باید جانب احتیاط رعایت گردد مگر این‌که گواهینامه‌ها توسط یک صادرکننده مورد تایید صادر شده باشند.اگر چنین سازوکار نظارتی یا سیاست اعتماد وجود نداشته باشد، آنگاه به سختی می‌توان گفت که به چه چیزی می‌توان اعتماد کرد و چه چیزی خیر.»

نمایش تعداد بازدیدها : 707

بازگشت           چاپ چاپ         
 
go top

© تمامی حقوق این پورتال محفوظ و در اختیار گروه دوران می باشد. Copyright 2000 — 2016 DOURAN Information Technologies All rights reserved.

DOURAN Portal V4.0.0.0

V4.0.0.0