LogJam: باگ 20 ساله موجود در لایه TSL

به گزارش سافت گذر به نقل اززومیت؛ اخیرا یک باگ ۲۰ ساله کشف شده که لایه‌ی امنیتی شبکه را دربر گرفته است. این باگ که LogJam نام گرفته، لایه‌ی انتقال داده‌ی امن یا TSL را هدف گرفته است؛ TSL یک پروتکل رمزنگاری است که به منظور احراز هویت سرورها و پنهان نگه داشتن محتوای آن‌ها به صورت امن، به کار برده می‌شود.

این باگ اجازه می‌دهد تا هکر حمله‌ی man-in-the-middle را در مرورگر و در سرور اجرا کرده و از این آسیب پذیری رمزنگاری برای اجرای حملات بروت‌فورس بهره‌برداری کند. این باگ به آسیب پذیری FREAK که در اوایل سال جاری برطرف شد، مرتبط است. این نوع باگ‌ و مشکل امنیتی همانند آسیب پذیری‌های Heartbleed و ShellShock خطرناک است. پس از منتشر شدن باگ LogJam، برخی مرورگرها در حال برطرف کردن این آسیب پذیری هستند؛ اما تا برطرف سازی کامل آن،  بسیاری از سرورها نسبت به این باگ خطرناک، آسیب پذیر می‌مانند.

باگ LogJam از کجا ناشی می‌شود؟

برخلاف بسیاری از آسیب پذیری‌ها که در نتیجه‌ی خطای برنامه نویس‌ها رخ می‌دهد، این آسیب پذیری تقریبا به صورت عمدی ایجاد شده است. در اوایل سال ۱۹۹۰، زمانی که انقلابی در صنعت کامپیوتر رخ داد، دولت فدرال از این موضوع نگران بود که تکنولوژی‌هایی رمزنگاری که این قابلیت را خواهند داشت که در کشورهای دیگر جاسوسی کنند. در همان زمان هم، تکنولوژی رمزنگاری قوی از نظر قانونی نوعی سلاح تلقی می‌شد؛ این موضوع باعث شد تا دولت فدرال محدودیت‌هایی را برای توزیع آن در نظر بگیرد.

در نهایت، زمانی که SSL توسعه یافت، تصمیم بر این شد تا دو نسخه از آن ارائه شود؛ نسخه‌ی‌ آمریکایی که از طول کامل کلید ۱۰۲۴ بیتی و بیشتر از آن پشتیبانی می‌کرد، و نسخه‌ی بین المللی که تنها از کلید ۵۱۲ بیتی که کمی نسبت به کلید ۱۰۲۴ بیتی ضعیف‌تر است، پشتیبانی می‌کرد. پس از توسعه این دو نسخه، نسخه‌ی ضعیف‌تر که از کلید ۵۱۲ بیتی پشتیبانی می‌کرد، مورد هدف واقع شد. سپس برخی قوانین به دلیل حقوق مدنی در این تکنولوژی تغییر داده شد اما نسخه‌های مدرنِ TSL و SSL هم هنوز از کلید ۵۱۲ بیتی پیشتیبانی می‌کرد. متاسفانه یک باگ در پروتکل TSL به وجود آمده که نسخه‌ی و نوع کلید به کار رفته در آن را شناسایی می‌کند. این باگ یعنی LogJam، به هکر اجازه می‌دهد تا قربانی یا سیستم هدف را به گونه‌ای فریب دهد که گویی با یک سرور امنی که قصد استفاده از یک کلید کوتاه را دارد، در ارتباط است؛ این عمل باعث تضعیف ارتباط و تسریع در فرآیند رمزگشایی ارتباط می‌شود. حدود ۲۰ سال است که باگ LogJam در پروتکل TSL پنهان مانده و به تازگی کشف شده است.

چه کسانی نسبت به این باگ آسیب پذیر هستند؟

این باگ حدود ۸ درصد از تمامی وب‌سایت‌هایی که در آن‌ها پروتکل HTTPS فعال شده و بسیاری از ایمیل سرورها که کدهای قدیمی را اجرا می‌کنند، وجود دارد. تمامی مرورگرهای رایج و مهم به غیر از اینترنت اکسپلورر، در مقابل این باگ آسیب پذیر هستند. حتی مرورگرها، وب‌سایت‌هایی که در مقابل این باگ  آسیب پذیری باشند، در ظاهر بازهم قفل سبز رنگ مربوط به ارتباط SSL را در کنار نوار آدرس مرورگر نشان می‌دهند. سازندگان مرورگرها توافق کرده‌اند که قوی‌ترین راه‌حل برای برطرف کردن این مشکل، حذف کردن پشتیبانی از کلید ۵۱۲ بیتی RSA است.متاسفانه این مساله بخشی از اینترنت همانند ایمیل سرورها را تحت تاثیر قرار می‌دهد؛ با حذف کردن پشتیبانی از این کلید، بسیاری از ایمیل سرورها تا زمانی که فرمور خود را بروزرسانی نکنند، در دسترس قرار نخواهند گرفت. برای چک کردن آسیب پذیر بودن مرورگرتان، می‌توانید به وب‌سایت weakdh.org که توسط محققان امنیتی راه اندازی شده، مراجعه کنید.

حمله بر اساس این آسیب پذیری چگونه اجرا می‌شود؟

اما این باگ چگونه کلید ۵۱۲ بیتی را آسیب پذیر می‌کند؟ برای فهمیدن این موضوع، ابتدا باید سیستمی که هک می‌شود را بررسی کنیم. برای استفاده از این آسیب‌پذیری لازم است تا سرور از تبادل کلید Diffie-Hellman پشتیبانی کند. این کلید توسط پروتکل‌های HTTPS، SSH، SMTPS، و IPsec استفاده می‌شود تا ارتباط امن شکل بگیرد. الگوریتم Diffie-Hellman توسط هزاران سایت که HTTPs، Secure Shell و VPN پیاده‌سازی می‌کنند، استفاده می‌شود. پس‌ازآنکه هکر توانست ارتباط امن میان کاربر و سرور را به کلید ۵۱۲ بیتی کاهش دهد، به‌راحتی می‌تواند کلید را شناسایی کند؛ Diffie-Hellman یک الگوریتم روش نامتقارن است. محققان در طول یک هفته توسط این باگ، توانستند چندین ارتباط را به کلیدهایی ضعیف کاهش دهند، این کار باعث شد تا بتوانند ۸ درصد از ترافیک کل اینترنت را رمزگشایی کنند.

این حملات حتی در قالب حملات کلاسیک کافی‌شاپ نیز قابل اجرا هستند. این حمله در بحث‌های امنیتی یک شیوه نفوذ قدیمی و رایج به حساب می‌آید که در آن هکر از شبکه‌ی وایرلس عمومی و روش بروت‌فورس برای هک کردن استفاده می‌کند. آسیب‌پذیری‌های این‌چنین بسیار موردعلاقه NSA هستند، زیرا می‌توانند با استفاده از آن ارتباط‌ها را شنود کنند. محققان امنیتی اعلام کرده‌اند، NSA با استفاده از آسیب‌پذیری LogJam هدف‌های مختلف خود که داری ارتباط VPN هستند را شنود می‌کند. هم‌اکنون ۸.۴ درصد از یک‌میلیون سایت برتر از نگاه Alexa دارای آسیب‌پذیری LogJam هستند. هم‌چنین ۳.۴ درصد از سایت‌های Trusted در مرورگرها آسیب‌پذیر هستند. این آسیب پذیری بسیار خطرناک است و به خصوص افرادی مانند ادوارد اسنودن باید از به کار بردن شبکه‌ی وای‌فای ناامن دقت بیشتری را به خرج دهند. بیشترین مسئله‌ای که باعث نگرانی می‌شود این است که محققان اعلام کرده‌اند الگوریتم‌های نامتقارنی مانند Diffie-Hellman از نوع ۱۰۲۴ بیتی، به حملات بروت‌فورس قابل اجرا توسط مراکز دولتی آسیب پذیر است؛ این محققان برای جلوگیری از چنین مشکلاتی، مهاجرت به کلیدهای بزرگ‌تر را پیشنهاد می‌دهند.

چگونه از امن بودن اطلاعاتمان اطمینان حاصل کنیم؟

باگ LogJam می‌تواند جزو موارد ناخوشایندی جهت اجرای حملات رمزگشایی با هدف به خطر انداختن امنیت ملی، به شمار آید. تلاش برای تضعیف دشمنان ایالت متحده آمریکا توسط این روش، می‌تواند زنگ خطری برای همه باشد. اف‌بی‌آی اصرار دارد به کمپانی‌های فناوری بزرگ جهت ایجاد درب‌پشتی در نرم افزار رمزنگاری خود، فشار وارد کند، و این یعنی امنیت همه‌ی کاربران به خطر می‌افتد. اما به هر حال محققان امنیتی استفاده از کلیدهای ۲۰۴۸ بیتی را پیشنهاد داده و برای کاهش دادن تعداد بیت‌های رمزنگاری، فعال کردن قابلیت export-grade را توصیه می‌کنند.