سرقت گواهینامه های SSL | بیش از 300 هزار کاربر ایرانی Google هک شدند
براساس تحقیقات و اطلاعات جمعآوری از حادثه نفوذ به شبکه شرکت DigiNotar و صدور غیرمجاز گواهینامههای دیجیتالی SSL توسط افراد نفوذگر، اکنون مشخص شده که از برخی از این گواهینامهها در سرقت مجوزهای عبور و نامههای بیش از 300 هزار کاربر ایرانی Gmail، سوءاستفاده شده است.
با استفاده از این گواهینامههای غیرمجاز، کاربران به سایت جعلی (ولی کاملاً مشابه) Gmail هدایت شده و چون این سایت جعلی دارای گواهینامه معتبر (به سرقت رفته) بوده، سیستم عامل و مرورگر کاربر هیچگونه پیام خطا و هشدار امنیتی نداده است. کاربر فریب خورده نیز نام کاربری و رمز عبور خود را در این سایت جعلی وارد کرده و بدین ترتیب این اطلاعات در اختیار افراد کلاهبردار و خلافکار قرار گرفته است. اکنون این افراد میتوانند به راحتی به نامههای Gmail کاربر دسترسی پیدا کرده و آنها را بخوانند و یا از طرف کاربر اقدام به ارسال ایمیل دروغین به افراد دیگر کنند. همچنین با در دست داشتن مجوزهای Gmail میتوان به دیگر سرویسهای Google نیز دسترسی پیدا کرد و از اطلاعات ذخیره شده دراین سرویسها، سوءاستفاده کرد.
نتایج به دست آمده از تحقیقات شرکت Fox-IT که در زمینه حوادث و جرایم سایبری فعالیت میکند، با اعلام هفته گذشته شرکت Google، کاملاً هم خوانی دارد. شرکت Google در اولین روزهای کشف نفوذ به شرکت DigiNotar و سرقت گواهینامهها، از حمله به کاربران Google به ویژه در منطقه ایران خبر داده بود.
شرکت Fox-IT یک ویدئو از فعالیت سایت google.com جعلی در یک ماه گذشته که از گواهینامه غیرمجاز برای تایید اصالت خود استفاده میکرده، تهیه و روی سایت YouTube منتشر کرده است. تصویر زیر یکی از صحنههای این ویدئو است. رنگ قرمز محل IP کاربرانی که به سایت جعلی هدایت شدهاند را نشان میدهد.
آمار شرکت Fox-IT نشان میدهد که حداقل از 300 هزار نشانی IP ایران به سایتهایی که گواهینامههای غیر مجاز google.com را استفاده میکردند، مراجعه شده است. 300 هزار IP حداقل به معنای 300 هزار کاربر است. ولی در واقعیت با در نظر گرفتن اماکن عمومی برای استفاده از اینترنت، 300 هزار IP میتواند خیلی بیشتر از این تعداد کاربر را شامل شود.
شرکت Google در یک اقدام جالب، با در دست داشتن فهرست 300 هزار نشانی IP که احتمالاً مورد تعرض قرار گرفته اند، با تک تک این کاربران در تماس است و آنان را از حادثه ای که رخ داده، مطلع می کند. همچنین راهکار و ابزارهای لازم برای تامین امنیت هرچه بیشتر کاربران در هنگام استفاده از سرویس های مختلف Google، در اختیار آنان گذاشته می شود. بعلاوه، شرکت Google ابزارهایی نیز برای کنترل و اطمینان از سلامت محیط Gmail و سرویس های Google ارائه کرده است.
به تمامی کاربران Gmail و استفاده کنندگان از سرویس های مختلف Google توصیه میشود:
- هر چه زودتر رمز عبور خود را عوض کرده، از رمزهای عبور دشوار و پیچیده استفاده کنید
- به طور دائم و مستمر، رمز خود را تغییر دهید
- امکانات بازیابی رمز عبور خود را در Google تنظیم کنید و مطمئن شوید که همیشه اطلاعات لازم برای بازیابی رمز، صحیح و به روز است
- اگر چه نگهداری و حفظ چند رمز عبور دشوار است، ولی تاکید می شود که از یک رمز واحد و یکسان برای سایتهای مختلف استفاده نکنید
- مطمئن شوید که سرویس های Google که شما فعال کرده اید، فقط فعال باشند و سرویس هایی را که استفاده نمی کنید، غیرفعال کنید
- مطمئن شوید که تنظیمات Gmail شما به نحوی نباشد که نامه هایتان بطور خودکار به یک نشانی دیگر هدایت (forward) شوند
- به پیام ها و هشدارهایی که بر روی صفحه ظاهر می شوند، بی تفاوت نبوده و به آنها دقت کنید
توضیح درباره شرکت Diginotar و سرقت گواهینامه های دیجیتالی SSL : شرکت DigiNotar یک شرکت Certificate Authority) CA) است و مجوز صدور گواهینامههای دیجیتالی Secure Socket Layer) SSL) را دارد. شرکت Diginotar یکی از 500 شرکت صادرکننده گواهینامههای دیجیتال SSL در دنیا است. اخیراً شبکه این شرکت مورد حمله و نفوذ قرار گرفت و صدها گواهینامه (اصل ولی غیرمجاز) توسط نفوذگرها صادر و سرقت شد. این گواهینامهها برای اثبات اصالت سایتهای اینترنتی به کار میروند. با استفاده از گواهینامههای سرقت شده، میتوان کاربران را به سایتهای جعلی که در ظاهر، کاملاً شبیه سایتهای اصلی و واقعی هستند، هدایت کرد و اطلاعات شخصی آنان، مانند رمزهای عبور به سایت را به دست آورد. چون از این گواهینامههای سرقت شده برای نشان دادن اصالت سایت جعلی استفاده میشود، هیچ یک از ابزارها و امکانات امنیتی مرورگرها واکنشی از خود نشان نمیدهند و هشداری نیز به کاربر نمیدهند. البته برای چنین عملیاتی، سرورهای محلی DNS هم باید دستکاری شوند تا نام سایتهای اصلی و واقعی به IP سایتهای جعلی انتقال یابند.
