۱۳۹۰ شهریور ۲۸, دوشنبه

چرا و چگونه گواهینامه های رمزنگاری شرکت هلندی هک شدند؟



یک ماه پیش تر از آن روزی که شرکت گوگل اقدام به افشاء سازی نسبت به سرقت اطلاعاتی گواهینامه های شرکت همکارش DigiNotar کند، کاربران در خطر بودند. پس از یک هفته از این خبر رسانی، گوگل با استفاده از وبلاگ تازه تاسیس فارسی زبانش به کاربران فارسی زبان هشدار و راهنمایی های امنیتی ارائه داد اما به این اعلامیه ها اکتفا نکرد و بطور شخصی برای این کاربران ایمیل فرستاد.

اما سوالات افراد کنجکاو عرصه امنیت همواره با کلماتی همچون چرا و چگونه شروع میشود در حالیکه در عمده و شاید همه نوشته های مربوط به این فاجعه امنیتی، سوالاتی که مطرح شدند و گاهی یک طرفه جواب داده شدند شامل سوالاتی همچون: که چه کسی و با چه اهدافی این حملات را هدایت کرده است؟

این در حالیست که از گذشته های بسیار دورتر، نفوذ ها و نفوذگرها و افراد حوزه مطبوعاتی این خبرها در تلاش بودند که عامل فنی و اشکالات فنی این موارد امنیتی رو گوشزد کنند. اما خبر سرقت گواهینامه های امنیتی اس اس ال بدون آنکه بطور کامل در چرخه بحث و گفت و گو فنی به تکامل برسد به دست افراد ناشی در این زمینه افتاده است تا با منحرف کردن افکار عمومی در این زمینه، عوامل فنی و نواقص امنیتی لایه های زیرین شبکه وب را که سال ها از طراحی آن میگذرد، از نقد مصون بدارند. نویسنده در این مقاله به هدف نقد پاسخگویی شرکت گوگل، عوامل نقص فنی، آسیب پذیری های اس اس ال و مسائل امنیتی پیرامون سرقت گواهینامه های امنیتی اخیر نوشته است.
یک ماه پیش تر از آن روزی که شرکت گوگل اقدام به افشاء سازی نسبت به سرقت اطلاعاتی گواهینامه های شرکت همکارش DigiNotar کند، کاربران در خطر بودند. پس از یک هفته از این خبر رسانی، گوگل با استفاده از وبلاگ تازه تاسیس فارسی زبانش به کاربران فارسی زبان هشدار و راهنمایی های امنیتی ارائه داد اما به این اعلامیه ها اکتفا نکرد و بطور شخصی برای این کاربران ایمیل فرستاد.
این طرز برخورد گوگل در حالی اتفاق می افتد که مشابه این نمونه نقص امنیتی در خاک کشور های غربی یا حتی خود امریکا باعث دردسرهای گسترده ای برای ارائه دهندگان خدمات مذکور خواهد شد. ولی گوگل تصمیم گرفت که در هشدارهای امنیتی خود از قبول مسئولیت شانه خالی کند و بدون هیچگونه عذرخواهی حتی به شکل غیر مستقیم به اطلاع رسانی در اینباره ادامه دهد.
در واقع گوگل در این نقص امنیتی بطور نا مشخص افکار کاربرانش را بدون هدایت رها کرد تا برای اتفاق افتاده مقصر انتخاب کنند و یا حتی بطور نا محسوس این افکار به سویی هدایت شدند که مهاجم یا مهاجمان عوامل حمله بودند و بایستی آنها را بدلیل سوء استفاده از نقص امنیتی مقصر دانست.
در ایمیلی که گوگل به کابران ایرانی و به زبان فارسی ارسال کرد، اعلام شد که کاربران مرورگر گوگل کروم از خطرات این حمله در امان بوده اند اما متذکر نشد که شرکت گوگل خود به عنوان ارائه دهنده سرویس جیمیل و بکارگیری گواهینامه های امنیتی شرکت DigiNotar باعث اولیه آن بوده است که دیگر مرورگرها و دریافت کنندگان سرویس ها همچون شرکت های مایکروسافت و موسسه غیر انتفاعی موزیلا این گواهی نامه های امنیتی را با اعتبار بدانند.
گزاش Fox-IT که منبع اصلی اغلب اخبار این رخداد امنیتی است اعلام میکند که از تاریخ ۱۳ ژوئن تا ۲۸ ژوئن بیش از ۳۳۳ مورد گواهینامه امنیتی اس اس ال جعلی از داخل شرکت DigiNotar کشف و منهدم میشود. بیش از نیمی از این گواهی نامه های جعلی برای خدمات دهی سرویس دهندگان بزرگ اینترنتی صادر شده بوده اند. اما به نظر میرسد که DigiNotar (همکار شرکت گوگل) بدون آنکه آسیب پذیری که مهاجم استفاده کرده است را شناسایی و اصلاح کند به ادامه فروش خدماتش به شرکت های طرف قراردادش ادامه میدهد تا آنکه در ماه سپتامبر، تقریباً یک ماه پس از آن پنهان کاری، کاربران جیمیل اشکال امنیتی در مورد به جیمیل را مشاهده میکنند و سپس گوگل به اطلاع رسانی در اینباره میپردازد.
اغلب در اخبار پیرامون این خبر خوانده ایم که که DigiNotar یک شرکت هلندی است. اما زمانیکه غفلت در خبر رسانی فوری درباره جعل گواهینامه های امنیتی به درون پارلمان کشور هلند رسید، جواب سخنگوی این شرکت قابل توجه بود: که این شرکت زیر مجموعه یک شرکت امریکایی معرفی شد که در واقع زیر مجموعه شرکتی با نام  Vasco Data Security International میباشد.
ارجاع این سوء استفاده امنیتی به پارلمان هلند باعث شد که جواب های شفاف تری در این زمینه به گوش برسد. از سخنگوی شرکت DigiNotar سوال شد که چرا مدت زمانی طولانی طول کشید تا این نقص امنیتی به اطلاع عموم برسد و در این زمان هیچگونه جلوگیری، اصلاح و همکاری با شرکت های طرف قرارداد انجام نشد؟
- سخنگوی این شرکت اعلام کرد که در این مدت به اسنادی رسیده بوده اند که این اتفاق یک غفلت عمدی و جرم داخلی بوده است. این در حالیست که بیانیه های خارج از پارلمان هلند، این شرکت انگشت اتهام را به سوی مهاجم و یا مهاجمان نشانه گرفته است و حتی بدون ارائه سند قانع کننده ای در مورد آنکه مهاجم چه اهدافی داشته است اظهار نظر کرده است که در حیطه اهداف این مقاله نیست و بطور کامل توسط دیگر سایت ها اطلاع رسانی شده است.
وزیر کشور هلند در این باره اعلام کرده است که هنوز سندی بدست نیامده است که جعل گواهینامه های DigiNotar به اطلاعات شهروندان هلند صدمه زده باشد. در همین حال هیچ منبع دولتی از ایران نیز در مورد آنکه این اتفاق به اطلاعات کاربران ایرانی صدمه زده است اظهار نظر نکرده است و در واقع هیچ داده و منبع مناسبی در دسترس نیست که ابعاد واقعی سوء استفاده های انجام شده را تخمین بزند.
کارشناسان امنیتی F-Secure با ارائه اسنادی بدون آنکه در مورد اهداف مهاجم گمانه زنی کنند، ابعاد نقص فنی این مشکل امنیتی را بررسی کرده اند که نتیجه گیری میشود شرکت DigiNotar نه تنها گوگل بلکه بیش از ۵۰۰ سایت دیگر را آلوده کرده بوده است. اگر از شرکت های کوچک تر مشتری DigiNotar بگذریم سوال اینجاست که چگونه گوگل قادر به شناسایی و حذف شرکت DigiNotar از میان لیست خدمات دهندگان قابل اعتماد اش نبوده است؟
در جواب این سوال گوگل هیچ زمان احساس مسئولیت نکرده است. چرا که اولاً قربانیان این جعل گواهینامه ها عمدتاً کاربران ایرانی بوده اند و گوگل به دلایل متعدد از جمله تحریم های سازمان بازرگانی ایالات متحده امریکا و نداشتن فعالیت رسمی با ثبت شرکتش در ایران و یا غیره، خود را به کاربر ایرانی پاسخگو نمیداند.
دوم آنکه گوگل از ابتدای افشاء سازی این خبر خود را مصون از این اتهام میداند و شرکت همکارش را هدف حملات نفوذگران معرفی کرده است که گواهینامه های اس اس ال برای جیمیل صادر کرده است. اما یک بار دیگر این موضوع را مرور کنیم اگر گوگل (با در نظر گرفتن آنکه یک شرکت غول پیکر اینترنتی است) خریدار گواهینامه های DigiNotar بوده است و در واقع گواهی نامه های جعل شده از مرکز کنترل DigiNotar صادر شده اند پس هدف حملات نیز سرویس جیمیل بوده است و گوگل در تامین امنیت سرویس جیمیل با در نظر گرفتن انتخاب شرکت DigiNotar برای تامین امنیت جیمیل، از عاملین مقصر به خطر اندازی کاربران ایرانی بوده است.
سوم آنکه DigiNotar در نهایت به عنوان یک شرکت امریکایی به کارشناسان و سیاستمداران هلندی معرفی شده است و با ثابت شدن آنکه استفاده از گواهینامه های جعلی در هلند صدمه ای وارد نکرده است این پرونده به دادگاه هلندی کشیده نخواهد شد، چرا که منافع اروپا و مخصوصاً کشور هلند به خطر نیفتاده است و اگر شکایتی از خدمات دهی این پرونده موجود هست باید در خاک کشور امریکا طرح شود!
چهارم آنکه عوامل طراحی و پیاده سازی گواهینامه های اس اس ال با ایران رابطه تجاری ندارند بطوریکه بانک های ایرانی برای تامین این نیاز به شرکت های همسایه ایران سفارش میدهند و یا آنکه حتی مشاهده شده که از گواهینامه های تایید شده رایگان استفاده میکنند. این در حالیست که استفاده از یک الگو داخلی برای پیاده سازی SSL بدون تاییده شرکت های مرورگر میبایست به کار خود در ایران ادامه دهد و این باعث میشود که سرویس دهنده ایرانی به کاربرhنش اعلام کند که هشدار های دریافتی درباره SSL را بدون توجه خاص رد کند.
گوگل نیز به خوبی از مورد چهارم آگاه بوده است و به این دلیل آنطور که باید خود را مسئول عواقب جعل گواهینامه های امنیتی نمی داند.
در سوی دیگر به بررسی نگاهی ویژه تر به این مسئله می اندازیم که بر فرض گوگل مانند دیگر شرکت ها از جمله مایکروسافت و غیره بی تقصیر بوده اند چرا که تنها گواهینامه های اس اس ال شان را از DigiNotar تامین میکرده اند و در سریعترین زمان اطلاع از این نقص امنیتی به اطلاع رسانی و بازگشت امنیت روی آورده اند. در این شکل از پرونده، سوال این است که به DigiNotar چگونه نفوذ شد و چگونه رفع شد؟
برای پاسخ به این سوال فقط شرکت DigiNotar میتواند منبع قابل دسترسی باشد زیرا برای بررسی آزمایش های نفوذ و پیگیری رد مهاجمان نیاز به دسترسی به سرورهای این شرکت میباشد. در واقع خود شرکت DigiNotar هم برای آنکه آن دسته از کاربران کنجکاو را بی جواب نگذارد به ارائه گزارشی با عنوان گزارش اولیه مسئله را با زبان خودش توضیح داده است:
در گزارش آنها، شرکت DigiNotar یک شرکت امتیاز دهی گواهی نامه های امنیتی معرفی شده است که دارای شرکای هلندی است اما توسط شرکت اصلی اش با نام Vasco اداره میشود. آنها اعلام کرده اند که در گزارشی که تهیه کرده اند شرکت Fox-IT و خودشان مشاهداتی داشته اند که در این گزارش گرد هم آورده اند و نتیجه گیری را بر عهده خواننده گزاشته اند (در حالیکه در بیانیه های عمومی خود با روزنامه های نیویورک تایمز و … به گونه ای دیگر به نتیجه گیری هم رسیده بودند و مهاجمان را ایرانی و با اهداف سیاسی معرفی کرده بودند.)
در قسمت ابتدایی این گزارش اعلام شده است که نفوذ به سرورهای این شرکت در روز ۱۹ جولای کشف میشود و ۱۲۸ مورد گواهینامه جعلی از بین میرود. سپس در روز ۲۰ جولای، ۱۲۹ گواهینامه آلوده دیگر مشاهده میشود که در روز بعد یعنی در روز ۲۱ جولای توسط این شرکت از بین میروند.
با وارد آمدن این پاراگراف ها، کارشناسان امنیتی در F-Secure نتیجه گرفته اند که سیستم های DigiNotar از هیچگونه ضد ویروس ابتدایی نیز برخوردار نبوده اند تا بتوانند جلوی فایل مخرب نفوذ گر را بگیرند و فراموش نکنیم که این شرکت یک تامین کننده خدمات برای کمپانی گوگل بوده است.
به گزارش DigiNotar گواهی نامه آزار دهنده و اصلی که برای جیمیل بوده است در تاریخ ۲۹ جولای کشف میشود و همان روز آن را نیز حذف میکنند. اما آنها به یک روز قبل تر اشاره میکنند یعنی تاریخ ۲۸ جولای که این گواهینامه امنیتی توسط کاربران ایرانی استفاده گردیده است.
پس در واقع بدون هیچ شک کاربران چه ایران و چه مکان های دیگری که مهاجم توانسته این گواهینامه را واسطه میان ارتباط کاربر و سایت هدف قرار دهد در طول یک روز (۲۸ جولای) بطور کامل در معرض خطر بوده اند.
در ۲۹ جولای گوگل اطلاع رسانی میکند و به کاربران ایرانی هشدار میدهد که موارد امنیتی را رعایت کنند اما ۵ روز بعد تصمیم میگیرد که شرکت DigiNotar را از لیست شرکت های قابل اعتمادش بیرون کند! ( ۳ سپتامبر).
در گزارش DigiNotar  موارد فنی دیگری به چشم نمیخورد که به عنوان محتوای مستقل محسوب شود. تنها یک جدول از سایت هایی که برای آنها احتمال انتشار گواهینامه جعلی وجود داشته است منتشر میشود که با توجه به این جدول امنیت SSL به طور جدی مورد بحث قرار خواهد گرفت.
گفتنی است که در کنفرانس هکرهای کلاه سیاه، پیش از این نیز امنیت SSL مورد نقد قرار گرفته بود.
DigiNotar در گزارش اش فایل متنی را نیز منتشر کرده است که وجود آن را از منبع مستقل دیگری نمیتوان مطمئن شد، از آنجا که این شرکت یک بار قبلاً با تاخیر در اطلاع رسانی اعتماد افکار عمومی را از دست داده است و برای اثبات اسنادش حتی خط کوتاهی از کدهای مخرب نفوذ گر را منتشر نکرده است. آنها متن مذکور را اثر بر جا مانده عمدی از نفوذگر اعلام کرده اند.
در واقع DigiNotar به هیچکس نگفت که چگونه سرورهایش هک شدند. اما برخی کارشناسان تخمین زده اند که اقدامات پیشگیرانه این شرکت بسیار مبتدی بوده اند در حالیکه برخی اظهار نظر کاملا متفاوتی دارند و نفوذگران را دارای مهارت های ویژه دانسته اند. تا هنگامیکه که این شرکت اطلاعات بیشتری ارائه نکند، نمیتوان در اینباره تصمیم گیری کرد.
اطلاعت بیشتر در این زمینه توسط شرکت های مذکور منتشر نشده است اما مطمئناً اگر این اقدام نفوذگری بر ضد امنیت کاربران اروپایی بود، پاسخگویی شفاف تری از این شرکت ها احساس میشد. در آخر این سوال نیز تکرار میشود که سیاست شرکت های امثال گوگل برای سرویس دهی به کاربران ایرانی در نتیجه گیری آیا حاصل سود و آسودگی کاربران ایرانی بوده است یا بر عکس، ضرر و دردسر برای آنها ایجاد کرده اند؟
گوگل در ارائه اغلب سرویس های خود به کاربران ایرانی تبعیض ایجاد کرده است و نه تنها قوانین تبعیض آمیز وزارت خزانه داری امریکا بهانه خوبی برای ادامه این گونه سیاست هاست، بلکه در دیگر اوقات همچون مثال فاجعه امنیتی اخیر، گوگل فراتر از آن میرود و بدون ارائه توضیحات کامل با کابران ایرانی به عنوان کابران درجه ۲ رفتار میکند و تنها به صدور دستورات امنیتی اکتفا میکند. آیا هنگامی که در اتفاق اخیر که برای کاربران کنسول بازی پلی استیشن افتاد و اطلاعات محرمانه کاربران سونی به خطر افتاد با آن کاربران این گونه رفتار شد؟ آنها با دریافت دستورات امنیتی رضایت به ادامه سرویس دهی سونی دادند؟
در ابتدای این مقاله طرح سوال اینکه چرا و چگونه گواهینامه های رمزنگاری شرکت هلندی هک شدند شروع به تحلیل این فاجعه امنیتی کردیم اما بدلیل کمبود اطلاعات و مشاهده رفتار تبعیض آمیز شرکت های عامل این اتفاق، نتیجه گیری این مقاله به امید دریافت اطلاعات بیشتر به آینده موکول میشود.
منابع و اطلاعات بیشتر:
اخبار فن آوری اطلاعات


Posted by at