سوءاستفاده نفوذگران از گواهی رایگان Let’s Encrypt
مدتهاست که شرکت های امنیتی به صاحبان سایت های اینترنتی، رمزنگاری ترافیک های HTTP را پیشنهاد می کنند. اما تحقق این هدف آرمانی و فراگیر شدن ارتباطات HTTPS با دو مانع اصلی روبرو بوده است. اول آنکه گواهی های دیجیتال رایگان نیستند و بسیاری از صاحبان سایت ها تمایلی به پرداخت هزینه به مراجع صدور گواهی دیجیتال ندارند؛ دوم اینکه استفاده از گواهی های دیجیتال آنقدر آسان نیست که تمامی مدیران سایت ها قادر به راه اندازی آنها باشند.
اما پروژه ای با عنوان Let’s Encrypt می کوشد تا با صدورگواهی های دیجیتال رایگان و نرم افزاری برای مدیریت خودکار آنها جامعه اینترنتی را برای عبور از سد این مشکلات یاری کند. پروژه ای که شرکت ها و نهادهای معروفی همچون Akamai،وCisco،وElectronic Frontier Foundation، وFacebook و Mozilla از آن حمایت می کنند.
Let’s Encrypt تنها گواهی های دیجیتال اعتبار سنجی دامنه را صادر می کنند و اصالت سنجی هویت دارنده سایت توسط آن انجام نمی پذیرد.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس Trend Micro، گروهی از مهاجمان سایبری با نفوذ به یک دامنه مجاز اقدام به راه اندازی یک زیردامنه (Subdomain) با گواهی دیجیتال Let’s Encrypt کرده اند که در نتیجه آن تمامی ترافیک های میان کاربر و این زیردامنه مخرب رمز شده است.
در زمان مراجعه به این زیردامنه، کاربر به سایت هایی هدایت می شود که در آنها با بهره جویی از ضعف های امنیتی نرم افزارهای نصب شده بر روی دستگاه بدافزار بانکی بر روی آن نصب می شود.
رمزنگاری سبب می شود که تشخیص مخرب بودن ارتباط توسط نرم افزارها و تجهیزات امنیتی دشوارتر شود. ضمن اینکه باور عمومی بر آن است که ارتباط HTTPS نشانه ای از مجاز و امن بودن یک سایت محسوب می شود که این موضوع خود احتمال موفقیت نفوذگران در فریب کاربران را افزایش می دهد.
آبان امسال، Let’s Encrypt اعلام کرد مراجع صدور گواهی دیجیتال امکان بررسی محتوای سایت ها و نظارت بر روی آنها را ندارند. در آن زمان اعلام شد در هنگام صدور یک گواهی دیجیتال، Let’s Encrypt از Google Safe Browsing API برای بررسی اعتبار و خوشنامی یک سایت استفاده خواهد کرد.
با این وجود، انتظار می رود سوءاستفاده نفوذگران از گواهی های دیجیتال رایگان Let’s Encrypt در حملات سایبری همچنان ادامه یابد. مگر آنکه Let’s Encrypt با مشارکت فعال شرکت های ضدویروس و سازندگان مرورگرها اقدام به رصد محتوا و لغو گواهی های دیجیتال سایت های خاطی کند.
یک پاسخ
سلام خیلی ممنون