رمزنگاری منسوخ فیسبوک و باز گذاشتن درها برای جاسوسی از کاربران توسط NSA

امین باقرزاده - یک شنبه 9 تیر ۱۳۹۲ - 17:16

اینکه از خانه خودتان سرقت کنید یک چیز است، و اینکه درها را برای سارقین باز بگذارید یک چیز دیگر.

اسناد سری لو رفته حاکی از آن است که آژانس امنیت ملی امریکا (NSA) از مدت ها قبل ضعف های رمزنگاری منسوخ فیسبوک و برخی دیگر از شرکت های امریکایی را کشف و برای استفاده از آنها برنامه ریزی کرده. حال این مورد را در کنار گزارش ادوارد اسنودن قرار دهید که جاسوسی NSA از ارتباطات در حال عبور از فیبرهای نوری را فاش کرد. به نظر می رسد بازخوانی ایمیل ها و سایر داده های جاری در کابل ها، برای این سازمان واقعا آسان است. موردی که قرار بود https ما را از آن در امان نگه دارد.

گویا فیسبوک و برخی دیگر از شرکت ها هنوز از تکنیک های رمزنگاری "تاریخ گذشته ای" را استفاده می کنند که رمزنویسان می گویند، شکستن آنها برای NSA -با در نظر داشتن جاسوسی کابلی- مثل آب خوردن است. فیسبوک از کلیدهای 1024 بیتی برای رمزنگاری عمومی استفاده می کند حال آنکه اپل، مایکروسافت، توییتر، دراپباکس و حتی مای اسپیس به کلید های 2048 بیتی کوچ کرده اند.

ساختن سخت افزاری که برای رمزگشایی کلیدهای 1024 بیتی طراحی شده اند، امروزه با هزینه 1 میلیون دلار امکان پذیر است. هر یک از چنین دستگاه هایی ظرف یک سال می توانند یک کلید 2024 بیتی را بشکنند. حالا تصور کنید سازمان هایی با بودجه های عظیم -مثل NSA با بودجه 10 میلیارد دلار در سال- از چه دستگاه هایی استفاده کرده و چقدر سریع تر می توانند رمزگشایی را به نتیجه برسانند.

البته گویا فیسبوک هم به دنبال مهاجرت به کلید های 2048 بیتی است، ولی سوال این است که وقتی شرکتی، یک آژانس اطلاعاتی را تهدید تلقی نکرده و اینقدر دیر اقدام به کاری چنین مهم می کند، دیگر برای چه باید مورد اعتماد قرار بگیرد؟

گوگل هم از کلیدهای 1024 بیتی استفاده می کند ولی از سال 2011 به این سو یک ترفند جالب به کار گرفته که به آن "forward secrecy" گفته می شود یعنی برای هر فاز از عملیات های تحت وب که رمزنگاری شده اند، به جای یک کلید اصلی، از کلیدی اختصاصی استفاده می کند. و البته این شرکت نیز در سال 2013 به کلیدهای 2048 بیتی مهاجرت خواهد کرد.

با این وجود، جالب است بدانید که گوگل، هر دو هفته یک بار کلیدهای رمزنگاری عمومی RSA  را تعویض می کند ولی فیسبوک هر 1 سال یکبار! غیر از فیسبوک، آمازون هم هنوز از کلیدهای 1024 بیتی ساده استفاده می کند.

اما در آن سوی میدان، سایت هایی نظیر Apache.org ،Hugedomains.com ،Openoffice.org و Phpbb.com از کلیدهای 4096 بیتی استفاده می کنند (شکستن کلیدهای 1024 بیتی 1000 بار سخت تر از کلیدهای 768 بیتی است، حساب و کتاب کلیدهای 4096 بیتی با شما.)

به لحاظ قوانین ایالات متحده، NSA مجبور نیست برای جاسوسی از ارتباطات کاربران خارجی سایت های امریکایی، زحمت زیادی به خود بدهد. درخواست دسترسی به اطلاعات مورد نیاز، معمولا با پاسخ مثبت همراه می شود. اما قطعاً این سازمان کامپیوترهای ذکر نشده ای در اختیار دارد که با آنها می تواند حملات لازم را بر علیه کلیدهای رمزنگاری عمومی ترتیب دهد. در نتیجه، دیرکرد شرکت ها در استفاده از کلیدهای جدید، مشکوک تر به نظر می رسد.

یکی از مهندسین نرم افزاری گوگل می گوید که شرکت متبوعش قادر است هر زمانی که بخواهد، کامپیوترهای خود را به عملیات شکستن کلیدهای 1024 بیتی RSA اختصاص دهد و یک روزه کار را به سرانجام برساند. سوال هوشمندانه این است: چرا باید فکر کنیم NSA از این کار عاجز است؟

سیستم عامل ها دیگر برای بدافزارنویسان معنای خاصی ندارند، در عوض داده ها چرا!

رضا باقرزاده - جمعه 31 خرداد ۱۳۹۲ - 16:11

اگر هنوز فکر می کنید که در دنیای دیجیتال زیر آسمان آبی زندگی می کنید، بهتر است کمی دست از خوشبینی بردارید و -لااقل- گاهی فکر کنید که آسمان دنیای مجازی تان، شبیه تصویر بالا است. شاید این مطلب کمک کند که بیشتر متوجه تغییراتی که پیرامون تان رخ می دهد، شوید. 

این روزها، سازندگان بدافزار تغییر کرده اند و بیش از هر چیز نگران جمع آوری داده ها هستند، نه سیستم عاملی که داده ها روی آن ذخیره شده. شاید برای تان جالب باشد که بدانید در چند وقت اخیر، تعداد "بدافزارهای چندپلتفرمی" ساخته شده توسط گروه هایی که به شکل رایج فقط برای کاربران ویندوز تهدید به شمار می رفتند هم افزایش یافته. در قدیم چنین بدافزارهایی برای ویندوز و مک، گاهی هم لینوکس نوشته می شدند. حالا، همان طور که از قبل قابل پیش بینی بود، بدافزارهای اندرویدی دارند بیش از پیش شبیه بدافزارهای ویندوزی رفتار می کنند. 

دو عامل مهم در این تغییر هدف بدافزارها وجود دارد. اول اینکه سهم استفاده از ویندوز در بین کاربران به طور محسوسی کاهش پیدا کرده و خیلی از فعالیت ها که تا دیروز فقط از طریق کامپیوتر قابل انجام بود، حالا با استفاده از تلفن و تبلت صورت می گیرد. دوم اینکه کاربران کامپیوترهای شخصی بیش از هر زمان دیگری، با مرورگر کار می کنند، نه با خود سیستم عامل. حالا به لطف پیشرفت سرویس های ذخیره سازی ابری، جدای از سیستم عاملی که استفاده می کنید، فایل های تان نیز همیشه در دسترس هستند. 

تکه تکه شدن بازار سیستم عامل ها در ابتدا باعث سخت شدن کار بدافزار نویسان شد. دیگر گروه هدف آن بد افزاری که برای یک سیستم عامل نوشته شده، مثل سابق گسترده نبود. پس برای حمله به همان کاربران قدیمی، مهاجمین باید تهدیدی جدید و چندپلتفرمی را تدارک می دیدند و از آنجایی که این روزها انگیزه های مالی در دنیای تبهکاری دیجیتال به شدت در حال تقویت است، آنها سختی این چالش جدید را به جان خریده اند. 

به خاطر اینکه بیشتر محتواهای ارائه شده در محیط وب با استفاده از پلاگین های جاوا و فلش ساخته می شوند و این دو در اکثر سیستم عامل های مهم بازار حضور دارند (استثنا: فلش در iOS نیست)، یک بدافزار نویس می تواند به راحتی با یافتن درزهای امنیتی در این دو، به داخل سیستم عامل هر کسی سرک بکشد. بعد از این مرحله، فقط می ماند استفاده از داده های جمع آوری شده. در نظر بگیرید که وقتی راهی برای استفاده از داده ها پیدا شد، جشن مهاجمین هم شروع می شود. 

اکثر بدافزارهای امروزی، نقش جمع آوری کردن داده ها را دارند و از آنجایی که جامعه بدافزارنویسان معمولا با به اشترک گذاشتن سورس کدها، خیلی به یکدیگر کمک می کنند و به اصطلاح کار تیمی شان خوب است، چیره شدن شان بر مشکلات کار سختی نیست. 

به نظر می رسد در دنیای پست پی سی، بسیاری از مردم تامین امنیت لازم برای داده های خود را سرسری می گیرند، اما بدافزار نویسان بر عکس هستند و به هیچ وجه سرقت داده ها را شوخی نگرفته اند. در اصل این افراد از سال های سال تجربه در تولید بدافزار برای ویندوز درس های زیادی آموخته اند و امروزه آنها را در سایر سیستم عامل ها به کار می گیرند تا جهش های بلندی از نظر مهارت و مخفی کاری انجام دهند. 

بنویس اینجا است تا به شما یادآوری کند که حبس کردن داده های تان برای امنیت بیشتر، و داشتن یک سطح بدبینی همیشگی، جدای از اینکه از چه وسیله ای استفاده می کنید باعث خواهد شد از گزند حوادث در امان بمانید. درست مثل زندگی واقعی، آگاهی خود نسبت به پیرامون را جدی بگیرید تا احتمال ضربه خوردن از حوادث و افراد بد اندیش را پایین بیاورید.