هشدار بزرگ برای حفره امنیتی «فریک»

ندا لهردی: امنیت اطلاعات همیشه مهم‌ترین دغدغه همه کاربران در سراسر جهان بوده است. در واقع به همین دلیل هم هست که آسیب‌ها، حملات و حفره‌های امنیتی در دنیای اینترنت و تکنولوژی خبرساز هستند. حالا حدود یک هفته است که حفره امنیتی به نام «فریک» در صدر خبرهای تکنولوژی قرار گرفته و بسیاری از کاربران در تمام دنیا را درگیر کرده است. شرکت مایکروسافت بلافاصله بعد از کشف این حفره به کاربرانش درباره آن هشدار داد. آسیب‌پذیری فریک چیست؟

این آسیب‌پذیری در واقع نوعی ضعف رمزنگاری در پروتکل‌های SSL/ TLS است که دهه‌ها پیش توسط متخصصان و قانون‌گذاران رمزگذاری در ایالات متحده آمریکا به‌کار گرفته شد، اما به‌تازگی کشف شده است. در آن زمان آسیب‌پذیری «فریک» برای نرم‌افزارهای صادراتی به‌کار برده می‌شد و آنها را محدود می‌کرد تا تنها از کلیدهای رمزگذاری عمومی RSA استفاده کنند که به‌راحتی می‌توانستند توسط آژانس امنیت ملی آمریکا و نه هیچ سازمان دیگری با منابع کامپیوتری دیگر، شکسته شوند.

پروتکل‌های SSL/ TLS برای حفظ امنیت در ارتباطات افراد با یکدیگر در سراسر اینترنت به‌کار برده می‌شوند و حالا در سال ۲۰۱۵ با افزایش قدرت پردازشی کامپیوترها هر شخصی با دسترسی به منابع کامپیوتری نسبتا پیشرفته، استفاده از الگوریتم شناخته شده Number Field Sieve و البته پرداخت هزینه‌ای به اندازه ۱۰۰ دلار برای سرویس‌های ابری می‌تواند این کلیدهای رمزگذاری را بشکند. با اینکه این حفره امنیتی به تازگی و در سال ۲۰۱۵ کشف شده است، اما آسیب‌پذیری خطرناک «فریک» از سال‌ها پیش و دهه ۱۹۹۰ وجود داشته است. این حفره توسط محققان مرکز تحقیقات شرکت مایکروسافت و دو موسسه IMDEA و INRIA کشف شد.

به این ترتیب حالا ابزاری که آژانس امنیت ملی آمریکا برای دسترسی به اطلاعات و محدود کردن رمزگذاری به‌کار می‌برد، به ابزاری برای جنگ سایبری تبدیل شده است. در حقیقت اگر رمزگذاری ارتباطات مبتنی بر پروتکل HTTPS هر کاربری مورد حمله فریک قرار بگیرد، هکرها یا آژانس‌های امنیتی به راحتی می‌توانند به ارتباطات آن کاربر نفوذ کرده و با حملات مختلف بعدی به رمزهای عبور، پیام‌های خصوصی و دیگر اطلاعات شخصی او دسترسی پیدا کنند. بنابراین اگر یک گوشی آی‌فون، یک موبایل اندرویدی، یک کامپیوتر مک و حتی آی‌پد و تبلت‌های اندرویدی دارید، احتمالا می‌توانید مورد حمله فریک قرار بگیرید.

ابزارها و وب‌سایت‌های آسیب دیده

برآوردها نشان می‏دهد که تا حالا ۳۶ میلیون نفر بابت وجود این مشکل آسیب دیده‏اند. نرم‌افزارها و ابزارهای آسیب دیده توسط حفره امنیتی فریک شامل مرورگر اینترنت سافاری شرکت اپل، مرورگر پیش فرض در گوشی‌های موبایل اندرویدی گوگل و پروتکل‌های متن باز OpenSSL هستند. مایکروسافت هم اعلام کرد که اجرای رمز گذاری لایه‌ای- انتقالیSChannel در تمام نسخه‌های سیستم‌عامل ویندوز این شرکت، در مقابل نسخه‌ای از حمله فریک آسیب‌پذیر است. علاوه‌بر اینها بعضی سایت‌های اینترنتی هم مورد حمله آسیب‌پذیری فریک قرار گرفته‌اند که در این میان وب سایت‌های دولتی آمریکا مانند fbi.gov، whitehouse.gov و nsa.gov هم قرار داشته‌اند که گویا به تازگی آسیب‌پذیری آنها برطرف شده است. وب‌سایت‌های معروف و پربازدیدکننده دیگری مانند americanexpress.com، groupon.com، mit.edu، marriott.com، usajobs.gov و bloomberg.com هم مورد حمله فریک قرار گرفته‌اند. به‌طور کلی بر اساس آمار منتشر شده در این زمینه، حدود ۱۲ درصد از تمام وب‌سایت‌های جهان مورد حمله «فریک» قرار گرفته‌اند. همچنین ۳۶ درصد از وب‌سایت‌هایی که از پروتکل HTTPS استفاده می‌کنند توسط یک گروه امنیتی آزمایش شده‌اند و در نهایت مشخص شد که این وب‌سایت‌ها در برابر این حفره امنیتی خطرناک، آسیب‌پذیر هستند. بررسی‌ها و تحقیقات مختلف براساس مکان جغرافیایی سرورهای مورد حمله قرار گرفته با استفاده از IP۲Location LITE نشان می‌دهد که ۳۵ درصد از سرورهای آسیب دیده توسط حفره امنیتی فریک در آمریکا قرار دارند.

بسیاری از کارشناسان و متخصصان حوزه امنیت معتقدند که حفره امنیتی فریک می‌تواند به یک آسیب‌پذیری بسیار خطرناک در دنیا تبدیل شود و این آسیب‌پذیری در واقع نشان از تلاش‌های مداوم دولت آمریکا برای کنترل روند توسعه تکنولوژی رمزگذاری در طول سال‌ها بوده است.

واکنش شرکت‌ها

در این میان عملکرد کند شرکت‌هایی مانند گوگل، اپل و مایکروسافت برای عرضه وصله‏های به‌روزرسانی باعث انتقاد صاحب ‏نظران و کاربران شده و به نظر می‏رسد حتی وب‌سایت‏های پربازدید هم در این زمینه سرعت لازم را نداشته‏اند. با این حال اما این شرکت‌ها در حال انجام اقداماتی برای اصلاح و رفع این حفره امنیتی هستند. شرکت‌های بزرگ تکنولوژی به سرعت در حال تلاش برای رفع حفره امنیتی فریک هستند. دو شرکت اپل و گوگل هفته گذشته اعلام کردند که به‌زودی به‌روزرسانی‌های نرم‌افزاری را برای رفع آسیب‌پذیری و حفره امنیتی فریک ارائه می‌کنند که آن را از کلیدهای رمزگذاری پروتکل‌های ارتباطی آنها پاک کرده و از بین می‌برد.

اگر یکی از کاربران محصولات اپل هستید باید منتظر به روزرسانی ارائه شده توسط این شرکت باشید و اگر کاربر ابزارهای اندرویدی هستید، بهتر است قبل از هر چیز مطمئن شوید که از هر مرورگر دیگری به جز مرورگر پیش‌فرض سیستم‌عامل اندروید استفاده می‌کنید. همچنین برای اینکه ببینید مرورگر خاصی که استفاده می‌کنید مورد حمله فریک قرار گرفته است یا خیر، بهتر است به آدرس freakattack.com بروید. اگر مرورگر شما مورد حمله قرار گرفته است، باید بلافاصله مرورگرتان را تغییر داده و از مرورگر دیگری استفاده کنید.

شرکت اپل اعلام کرده است که این به‌روزرسانی تا هفته آینده در دسترس خواهد بود، درحالی‌که گوگل اعلام کرده که در حال حاضر به‌روزرسانی برای رفع حفره امنیتی فریک را در دسترس تولیدکنندگان ابزارهای اندرویدی و اپراتورها و ارائه‌دهندگان سرویس‌های ارتباطی قرار داده است. «متئو گرین» یکی از محققان حوزه امنیت کامپیوتری در دانشگاه جان هاپکینز گفته است که تعدادی از اپراتورهای وب‌سایت‌های تجاری هم بعد از آنکه به‌صورت خصوصی از بروز این آسیب‌پذیری خطرناک مطلع شدند، در هفته‌های اخیر اقدامات اصلاحی لازم را انجام داده‌اند.

با این همه اما بعضی از کارشناسان و متخصصان معتقدند که این مشکل نشان‌دهنده خطری است که سیاست‌های دولتی برای نیازشان به تضعیف هر نوع کد رمزگذاری دارند؛ خطری که حتی ممکن است به جرایم و تهدیدات جدی علیه امنیت ملی خودشان هم کمک کند. این کارشناسان درباره این سیاست‌ها که می‌توانند به صورت سهوی امکان دسترسی هکرها به اطلاعات شخصی افراد را فراهم بیاورند، هشدار داده‌اند. «ادوارد فلتن» پروفسور علوم کامپیوتری در دانشگاه پرینستون با اشاره به محدودیت‌های گذشته برای رمزگذاری بعضی نرم‌افزارهای صادراتی می‌گوید: «این یک سیاست‌گذاری و تصمیمی بوده است که ۲۰ سال پیش گرفته شد و حالا تاثیرات و عوارض آن بازگشته‌اند تا به خود آنهایی که این تصمیم را اتخاذ کرده بودند و البته تمام مردم دیگر، آسیب بزنند.»