آنتی ویروس کسپرسکی، خطر حملات Man in the Middle را افزایش می دهد!!!

آنتی ویروس کسپرسکی، خطر حملات Man in the Middle را افزایش می دهد!!!

آنتی ویروس کسپرسکی، خطر حملات Man in the Middle را افزایش می دهد!!!

شرکت امنیتی کسپرسکی محصولات آنتی ویروس خود را به روز رسانی نموده است تا مشکل در معرض خطر قرار دادن کاربران در برابر حملات را برطرف نماید.

این نقص توسط محقق آسیب پذیری گوگل Tavis Ormandy و در ترافیک SSL/TLS پیدا شده است و در ویژگی وجود داشته است که در آن آنتی ویروس کسپرسکی تهدیدات نهفته در ارتباطات رمز شده را کشف می نموده است.

مانند محصولات امنیتی دیگر، آنتی ویروس کسپرسکی نیز بر روی کامپیوترها یک گواهی داخلی CA ( self-signed root CA ) نصب نموده و از آن برای کاربرانی که درخواست، ارتباط با سایت های دارای امکان HTTPS دارند، گواهی صادر می نمایند. این امر امکان رمز گشای و رمز نگاری دوباره اطلاعات تبادل شده بین مرورگر داخلی و سرور را برقرار می نماید.

Ormandy می گوید هر زمان که محصول یک گواهی رهگیری صادر می نماید یک کلید 32-bit بر اساس شماره سریال اصلی موجود بر روی سایت محاسبه می نماید و این رابطه را ذخیره می نماید. این امر این امکان را به برنامه می دهد تا هر زمان که کاربر بخواهد دوباره به آن سایت متصل شود به جای ایجاد دوباره گواهی یک برگ گواهی ذخیره شده ارائه می گردد.

بر اساس گفته Ormandy مشکل آنجا است که کلید 32-bit بسیار ضعیف می باشد و یک هکر به راحتی می تواند یک گواهی شبیه کلید اصلی تولید نماید وا باعث سردرگمی گردد.

او حمله احتمالی را این گونه شرح می دهد: ” Mallory می خواهد ترافیک mail.google.com را رهگیری نماید، برای این کار از کلید 32-bit مانند 0xdeadbeef استفاده می نماید. Mallory برگه گواهی اصلی برای mail.google.com را برای شما می فرستد. که سپس کسپرسکی آن را تایید و گواهی و کلید خود را برای آن ایجاد می نماید. در ارتباط بعدی، Mallory یک گواهی معتبر با کلید 0xdeadbeef و برای هر اسم عامی ( فرضا attacker.com ) برای شما ارسال می کند. حال Mallory می تواند DNS شما برای mail.google.com را به attacker.com تغییر مسیر دهد. کسپرسکی از گواهی ذخیره شده استفاده کرده و حال هکر کنترل کامل mail.google.com را دارد. “

این بدان معنا است که مهاجم  — Mallory در مثال Ormandy  یک man in the middle برای شبکه می باشد و می تواند دسترسی کاربر به mail.google.com را با استفاده از DNS به یک سرور جعلی تحت کنترل خود منتقل نماید. و در آن سرور یک گواهی برای دامنه attacker.com وجود دارد.

در شرایط معمولی مرورگر باید یک پیغام خطا در خصوص گواهی نمایش دهد، چرا که گواهی برای attacker.com با گواهی mail.google.com مطابقت ندارد. با این حال، از آنجایی که مرورگر گواهی رهگیری تولید شده توسط کسپرسکی برای mail.google.com را ملاک قرار می دهد، ارتباط را بدون هیچ گونه خطایی برقرار می نماید.

کلید 32-bit آنقدر ضعیف است که در وبگردی معمولی نیز امکان تداخل وجود دارد. برای مثال، Ormandy کشف نموده است که گواهی معتبر news.ycombinator.com همان کلید 32-bit محاسبه شده توسط کسپرسکی برای گواهی autodiscover.manchesterct.gov می باشد.

بر اساس تحقیقات، کسپرسکی خاطر نشان کرد که یک بررسی بیشتر بر روی نام دامنه ها انجام می شود. این کار هکر ها را سخت تر نموده، اما هنوز غیر ممکن نیست.

شرکت های امنیتی شیوه های رهگیری SSL/TLS خود را از طریق یک نیاز مشروع برای محافظت از کاربران در برابر تمامی تهدیدات،مانند سرور های HTTPS توجیه می نمایند. اگرچه، پیاده سازی آن ها معمولا دارای نواقصی می باشد. و دلیل آن این است که اعتبار سنجی گواهی کار ساده ای نبوده و تولید کنندگان مرورگر سال ها خود به این کار مشغول بوده و ترجیح می دهند این کار را خود انجام دهند.

افزودن دیدگاه جدید

دیدگاه های شما

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Main Menu x
X