سال 2022 سال حمله به اعتماد (بخش اول)
تعداد ۹ حمله ای که سرقت، سواستفاده یا عدم محافظت کلید های رمزنگاری و گواهینامه های دیجیتال(certificate authorities (CAs)) را به کار گرفته اند، نشان می دهد که مجرمان سایبری چقدر راحت و سهل کنترل های امنیتی را دور می زنند و اقدامات خود را پنهان می کنند.
آزمایشگاه Venafi در سال 2022، داده های یک جریان ثابت از حملات سایبری را ضبط و بررسی کرده است که شامل سوء استفاده از کلید و گواهی هایی است که پایه اعتماد برای دستگاههای مبتنی بر IP را تهدید می کند. کلید و گواهینامه های امنیتی با بسیاری از جنبه کسب و کار و زندگی شخصی ما در هم آمیخته است، ازینرو این حملات را “حمله به اعتماد” نامیده اند.
از خدمات هواپیمایی اینترنتی، نرم افزارهای روی لپ تاپ، حاکمیتهای گواهینامه های امنیتی، نرم افزارهای خودروی شما، حتی یخچال شما تا در Google و سایت های بانکی همگی کلید و گواهینامه های امنیتی، تضمین تمام معاملات آنلاین است.
اما چرا این مسأله اینقدر مهم است؟ اگر سازمان ها نتوانند از به کارگیری کلید و گواهی برای برقراری ارتباط، احراز هویت و احراز اصالت، حفاظت کنند، ضرر و زیان ناشی از عدم اعتماد، هزینه های زیادی برای مشتریان و کسب و کارشان در پی خواهد داشت.
در ادامه به ۹ نمونه از حوادث امنیتی قابل توجه که تیم تحقیقاتی آزمایشگاه Venafi دنبال کرده است، اشاره می کنیم:
۱٫شرکت Gogo مانند حملات مرد میانی (Man-in-the-Middle (MITM)) عمل کرد.
در ابتدای سال 2022، یک مهندس Google Chrome کشف کرد که شرکت Gogo، ارائه دهنده خدمات اینترنتی در حال پرواز درون هواپیماهاست، گواهینامه های جعلی Google را صادر می کند. Gogo ادعا کرد که برای جلوگیری از جریان های ویدئویی آنلاین و کنترل پهنای باند در تلاش بوده است، اما این عمل در نهایت کاربران Gogo را در معرض حملات MITM قرار داده است.
۲٫ شرکت Lenovo بد افزار Superfish را روی لپ تاپها نصب کرده بود.
شرکت Lenovo متوجه شد که که یک برنامه تبلیغ افزار(adware) روی لپ تاپهای آن شرکت از پیش نصب شده است . این نرم افزار، خود را تبدیل به یک root certificate authority نامحدود می کند که اجازه حملات MITM در رایانه های شخصی کاربران را می دهد.
۳٫ شرکتهای Google و Mozilla مرکز CNNIC را مسدود کردند.
شرکت Google کشف کرد گواهینامه های دیجیتال غیر مجاز چند دامنه آن که توسط CNNIC صادر شده، موجب گردیده گواهی های CNNIC غیر قابل اعتماد و آسیب پذیر برای حمله باشند. CNNIC(China Internet Network Information Center) یکی از مراکز مدیریت امور اینترنت و مجری اصلی حاکمیت CA در چین است که تحت نظارت و هدایت وزارت صنعت اینترنت(Ministry of Information Industry ) چین فعالیت می کند. شرکت Google و به سرعت Mozilla در پی آن، تمام دامنه های CNNIC مجاز را مسدود کردند. در یک بررسی Black Hat در 2022، Venafi دریافت که در حالی که متخصصان امنیت خطرات مرتبط با گواهی غیر قابل اطمینان مانند موارد صادر شده توسط CNNIC را درک کرده اند اما هیچ اقدام خاصی برای جلوگیری از آنها انجام نداده اند.
۴٫ رخنه در بانک St. Louis Federal Reserve
بانک US bank دریافت که نفوذگران ثبت نام دامنه و name server آن را مورد سو استفاده قرار داده اند. این اقدام به نفوذگران اجازه می دهد کاربران را از خدمات پژوهشهای آنلاین بانک به وب سایت های جعلی که توسط نفوذگران راه اندازی شده است، موفق آمیز هدایت کنند.
۵٫ با آسیب پذیری جدید SSL / TLS ، logjam، ضعف رمزنگاری را آشکار کرد.
Logjam آسیب پذیری ای است که از مشکلی در الگوریتم تبادل کلید Diffie-Hellman استفاده می کند و اجازه می دهد نفوذگران در پروتکلهایی مانند HTTPS، SSH، IPsec وسایر پروتکلها، مذاکره(negotiation) برای یک کلید مشترک و ایجاد یک اتصال امن انجام دهند. پژوهشگران دانشگاهی اعلام کرده اند نقص Logjam اجازه حملات مرد میانی(MITM) با تنزل(downgrade) ارتباطات آسیب پذیر TLS می دهد.