امنیت

ابزار متن بازِ کشف آسیب پذیری های شناخته شده ssl توسط گوگل

در ده ماهی که از سال ۲۰۱۴ میلادی گذشته است، چندین آسیب پذیری مهم در پروتکل SSL/TLS با حملات شناخته شده از جمله Hertbleed و Poodle شناسایی و معرفی شده اند. همین مسئله باعث شده است گوگل ابزاری را توسعه دهد که توانایی کشف آسیب پذیری های شناخته شده را داشته باشد.
به گزارش پايگاه اخبار امنيتي فن آوري اطلاعات و ارتباطات، این ابزار با نام NoGoToFail، به توسعه دهندگان اجازه می دهد زیرساختی را فراهم کنند تا حملات شناخته شده را علیه نرم افزار خاصی اجرا کنند و نتایج آن را بررسی نمایند تا قبل از ارائه ی یک نرم افزار دست کم آن را در مقابل حملات شناخته شده ایمن کنند. این زیرساخت توانایی اجرای حملات زیادی از جمله حملاتی که با عنوان حملات مردمیانی شناخته می شوند و یکی از مهم ترین دلایل شکست پروتکل های SSL/TLS هستند را دارد.

در واقع هسته ی اصلی این ابزار، مولفه ی راه اندازی حملات مردمیانی با نام notogofail.mitm است که ترافیک TCP را ره گیری می کند، این ابزار به جای اینکه مبتنی بر شماره ی پورت باشد، بر پایه ی DPI ترافیک آسیب پذیری را شناسایی می کند. تیم امنیتی گوگل، این ابزار را به نحوی توسعه داده است که بتواند روی هر سرویس گیرنده ای که به اینترنت متصل است، اجرا شود.
درواقع این ابزار روی سامانه عامل های موبایل iOS و اندروید نیز قابل استفاده است، هم چنین در سامانه عامل های رایانه های رومیزی از جمله لینوکس، OS X و ویندوز و البته سامانه عامل گوگل یعنی Chrome OS نیز می تواند مورد استفاده قرار بگیرد. موتور حمله ی این ابزار نیز روی مسیریاب، کارگزار و یا کارگزار پیش کار (پراکسی) سوار شود.

پروتکل های امنیتی لایه ی حمل و نقل از جمله SSL و TLS وظیفه دارند محرمانگی اطلاعاتی که منتقل می کنند را حفظ نمایند. پروتکل SSL تا حد زیادی قدیمی است و در سال جاری آسیب پذیری های این پروتکل کشف و در حملات سایبری قدرتمندی مورد استفاده قرار گرفته است. TLS از نسخه های جانشین و مابعد SSL می باشد و نسبت به SSL دارای مقاومت بیش تری است اما نسخه ی جدید TLS هنوز مانند نسخه های قدیمی SSL به صورت گسترده پشتیبانی نمی شوند.

یکی از مشکلاتی که در حملات SSL/TLS وجود دارد این است که قربانی معمولاً از وجود این حملات آگاه نیست و با اتصال به وب گاه های بانک و خرید برخط، اطلاعات محرمانه ی حساب کاربری خود را وارد می کند و مهاجم این اطلاعات را به صورت رمز نشده می خواند و می تواند به راحتی از آن ها سوء استفاده کند.

ابزار NoGoToFail به عنوان یک پروژه ی متن باز از طریق مخزن کدهای گیت هاب در دست رس است.

 

مدیریت

سرورستاپ

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا