Parsi Coders
درباره‌ی جعل گواهینامه و دسترسی به اکانت گوگل - نسخه قابل چاپ

+- Parsi Coders (http://parsicoders.com)
+-- انجمن: Other sections (http://parsicoders.com/forumdisplay.php?fid=71)
+--- انجمن: Entertaining and informative content (http://parsicoders.com/forumdisplay.php?fid=102)
+--- موضوع: درباره‌ی جعل گواهینامه و دسترسی به اکانت گوگل (/showthread.php?tid=2615)



درباره‌ی جعل گواهینامه و دسترسی به اکانت گوگل - Amin_Mansouri - 07-25-2012

[عکس: DigiNotar-300x191.jpg]
این چند روز که از ماجرای جعل گواهینامه‌ی امنیتی شرکت هلندی DigiNotar گذشته مطالب زیادی خوندیم و شنیدیم. توضیحاتی هم در مورد اینکه ماجرا چی بوده و اصلن چه تکنیکی برای هک این شرکت و بعد دسترسی به اکانت جی‌میل کاربران ایرانی به کار رفته، در خیلی از سایتها پیدا میشه؛ اگرچه راستش این توضیحات خیلی به دل من نچسبید و حداقل اکثر مطالبی که من دیدم یا خیلی فنی بودند یا غلط! اما اینجا نمی‌خوام به جزئیات این اتفاق بپردازم (البته اگر شما بخواید توضیحات خودم رو در نوشته‌ی دیگری خواهم گفت) و می‌خوام در مورد چیزهایی که کمتر در موردش صحبت شده و برخی از اونها برای خودم بسیار جالب و گاهی تعجب‌آور بود صحبت کنم. حالا یکی یکی به این نکات می‌پردازم، اول نکاتی در مورد این شرکت:
۱) شرکت DigiNotar برای اولین بار در تاریخ ۱۹ جولای (۲۸ تیر) متوجه میشه که بیش از ۱۰۰ گواهینامه‌ی جعلی به نام این شرکت منتشر شده. فردای اون روز تعداد بیشتری جعل کشف می‌کنند و بلافاصله همه رو باطل می‌کنند اما موضوع رو عمومی نمی‌کنند و سعی می‌کنند مخفیانه سیستم رو بهبود ببخشند.
۲) گواهینامه‌ی جعلی که مربوط به جی‌میل می‌شده از گواهینامه‌هایی که باطل شده نبوده و تازه در تاریخ ۲۹ جولای یک کاربر ایرانی متوجه جعلی بودن گواهینامه‌ای که برای دسترسی به جی‌میل دریافت می‌کنه میشه. به عبارتی به دلیل سهل‌انگاری این شرکت در عدم اعلام به موقع، هر کس یا هر سازمانی که می‌خواسته به اکانتهای ‌جی‌میل کاربران دست پیدا کنه ۱۰ روز وقت داشته و متاسفانه در این ۱۰ روز مطمئنن کاربران زیادتری قربانی شنود شدند.
۳) باورکردنی نیست اما حقیقت داره که شرکت دیجی نوتار، از بسیاری جهات نکات ایمنی رو رعایت نکرده. در بررسیهای بعدی که از این شرکت انجام میشه مشخص میشه که این شرکت بر روی سرورهای خودش از جمله سرورهای تولیدکننده‌ی گواهینامه حتا یک آنتی‌ویروس ساده هم نصب نکرده بوده! (در حالیکه آنتی‌ویروس برای کشف برنامه‌های مهاجم که اتفاقن در این مورد استفاده شده) و یا سرورها و workstations در یک سگمنت شبکه و در یک دامین ویندوزی مشترک قرار گرفته بودند! و بدتر اینکه وب سرور این شرکت در زمان حمله اصلاحیه‌های امنیتی ویندوز رو نصب نکرده بوده! و جالب اینکه در حالی‌که بازرسیهای امنیتی زیادی از این شرکت به عمل میومده، نتیجه‌ی بازرسیها رضایت‌بخش اعلام شده!
و حالا نکاتی در مورد ضعفهای موجود در مکانیزمهای امنیتی:
۱) مرورگرها قادر به باطل کردن گواهینامه نیستند مگر اینکه یک اصلاحیه‌ی امنیتی (patch) نصب بشه. مثلن فایرفاکس اولین مرورگری بود که سریع اصلاحیه‌ی امنیتی داد و گواهینامه‌ی شرکت دیجی نوتار رو باطل کرد.
۲) این برای خود من هم تازگی داشت: هر شرکت تولیدکننده‌ی گواهینامه (CA یا Certificate Authority) میتونه برای هر شرکتی گواهینامه تولید کنه و این برای مرورگرها معتبره. به زبان ساده این مثل این میمونه که مثلن دولت قزاقستان بتونه برای شهروند کانادایی گذرنامه تولید کنه! بله به همین خنده‌داری!
۳) شرکتهای CA لیستی از گواهی‌نامه های معتبری که تولید می‌کنند منتشر نمی‌کنند. اگر می‌کردند مرورگرها می‌تونستند لیست خودشون رو مثلن هرروز آپدیت کنند، همون کاری که با ویروسها یا نرم‌افزارهای جاسوسی می‌کنند.
اینها نکاتی بود که امیدوارم براتون جالب بوده باشه. حالا آبروی شرکت DigiNotar که رفت اما به نظر می‌رسه باید در مکانیزمهای امنیتی هم تجدید نظری بشه که زمزمه‌هاش شروع شده.
کلن ترسیدید، نه؟ من که کمی از ضعفهای سیستماتیک ترسیدم و بیشتر حواسم رو جمع خواهم کرد.
پی‌نوشت- بیشتر حقایق برگرفته از سند منتشر شده توسط Fox-IT بود.
منبع :tanin.net