mehraboOon
09-03-2011, 02:44 PM
امنیت تبادل اطلاعات (SSL به زبان ساده)
در طول مدتی که در جاهای مختلف با امنیت شبکه و مخاطراتش سرو کله زدم همیشه مهم ترین عامل آموزش عمومی بوده و اینکه کاربر رو در برابر مخاطرات و یا اتفاقات دورو برش حساس کنیم.
چند سالی است که مبحث خدمات الکترونیک و تحت وب و بلاخص اینترنت بانک بازارش در ایران داغه و همه بانک ها چه خصوصی چه دولتی سعی میکنن با دادن خدمات نوین تر گوی سبقت رو از رقبا بربایند ولی آیا در کنار این دغدغه خدمات رسانی به امنیت هم توجه شده است؟
امروز به زبان ساده شما رو با SSL آشنا میکنم:
فرض کنید شما در خانه نشستین و قصد وارد کردن اطلاعات کارت خود برای استفاده از خدمات بانک مقصد دارید .البته غافل از اینکه در بین راه ارتباطی شما تا بانک هکر محترم نشسته و داره اطلاعات شما رو سرقت میکنه.
به این روش اصطلاحآ میگن Man in the Middle از مزایای این مدل هکینگ راحت بودن و تقریبآ غیر قابل رد یابی بودن بعد از انجام رو میشه نام برد همچنین چون این مدل هکینگ مستقیم بر روی سرورهای بانکی انجام نمیشه و صرفآ محدوده ای از کاربران رو مورد هدف قرار میده بخش امنیت سیستم از وجود اون با خبر نخواهد شد.
یکی از روش هایی که برای مقابله با این هکرها وجود داره استفاده از تونل امن SSL است. وقتی که سایتی رو با آدرس HTTPS مشاهده میکنید یعنی این کانال امن که اطلاعات شما را تا مقصد رمز نگاری میکند برقرار شده و شما با آرامش خاطر میتوانید اطلاعات مهم خود را در وب سایت مورد نظر وارد کنید.
البته همیشه استفاده از SSL یا همون HTTPS نمیتونه شما رو نجات بده چون اگر هکر یک اصطلاحآ گواهی جعلی را برای شما بفرسته دیگه دیتای شما چون با الگوریتم هکر رمز شده پس به راحتی توسط خود هکر هم قابل رمز گشایی است.
http://shabgard.org/doc/uploads/123.png
پس راه حل چیست؟
راه حل استفاده از گواهی سرور های تایید شده در دنیاست که وب سایت مورد نظر را تایید خواهند کرد و در مرورگر خود با پیغام ارتباط غیر قابل اطمینان مواجه نمیشوید این گواهی ها قابل اجاره هستند درست مثل دامنه که اجاره میکنید.
البته خود ادمین سیستم هم میتواند از گواهی های خود امضا Self-signed استفاده کنه که بازم مشکل ساز میشه چون کاربر در مرورگر خود با پیغام خطا مواجه میشه چون نتونسته گواهی رو با سرور های اصلی تایید کنه.
http://shabgard.org/doc/uploads/12.png
و اما مشکل اصلی کجاست؟
همیشه آموزش جامعه برای رعایت امنیت حد اقل در استفاده از سرویسها به اندازه کافی امریست دشوار و در عین حال زمان بر ، یکی از موارد مهمی که بایستی به کاربران آموخت اینست که به محض مواجه با خطاهای مرورگر مبنی بر گواهی نامه جعلی مراتب را جهت پیگیری به سیستم گزارش دهند تا شاید بتوان از ادامه حمله یک هکر جلوگیری کرد.
آیا ما در ایران از گواهی نامه های معتبر استفاده میکنیم؟
با نگاهی به چند سرویس بانکی به راحتی میتوان دید که جواب برای بخش اعظمی از سیستم بانکی نه است.(البته شاید دلیل اصلی تحریم ایران باشه).
ادمین سیستم یک گواهی جعلی ساخته و سرویس را راه اندازی کرده است و احتمالآ کلی هم در مورد کانال امن SSL برای مدیر توضیح داده و که دیگه ارتباط امن شد .
به دلیل این که ما داریم حساسیت کاربر رو در هنگام مشاهده صفحه اخطار مرورگر مبنی بر معتبر نبودن گواهی از بین میبریم و با توجه به اینکه از یک گواهی خود ساخته استفاده میکنیم پس هکر هم میتونه گواهی جعلی بسازه . پس نه تنها امنیت کاربر و سیستم بالا نرفته بلکه این بد ترین کار ممکن بوده که انجام شده.
به نظر من استفاده نکردن از SSL و استفاده از راهکارهای رمز نگاری در بخش کلاینت در شرایطی که نمیشه از گواهی های قانونی استفاده کرد بهترین راهه . ابته کاملآ بدیهی است که نظارت بر چنین رفتارهایی در مثال ما که سیستم بانکی است به عهده بانک مرکزی است چون حتی اگر یک بانک هم دچار این مشکل باشد برای ترویج فرهنگ غلط استفاده از گواهی جعلی کافی است.
و فردا میلیاردها تومن باید خرج بشه تا به کاربر بفهمونید اگر با خطای مرورگر مواجه شد به سیستم امنیت خبر بده.....
در جدول زیر دروازه بانکی چند بانک مورد بررسی قرار گرفت . جالب بود که برخی از گواهی ها فقط با Firefox مشکل داشتند که این مورد به دلیل عدم راه اندازی صحیح گواهی بر روی وب سرور است.
http://www.up.lianportal.com/images/07662090673468585807.jpg
منبع : شبگرد
در طول مدتی که در جاهای مختلف با امنیت شبکه و مخاطراتش سرو کله زدم همیشه مهم ترین عامل آموزش عمومی بوده و اینکه کاربر رو در برابر مخاطرات و یا اتفاقات دورو برش حساس کنیم.
چند سالی است که مبحث خدمات الکترونیک و تحت وب و بلاخص اینترنت بانک بازارش در ایران داغه و همه بانک ها چه خصوصی چه دولتی سعی میکنن با دادن خدمات نوین تر گوی سبقت رو از رقبا بربایند ولی آیا در کنار این دغدغه خدمات رسانی به امنیت هم توجه شده است؟
امروز به زبان ساده شما رو با SSL آشنا میکنم:
فرض کنید شما در خانه نشستین و قصد وارد کردن اطلاعات کارت خود برای استفاده از خدمات بانک مقصد دارید .البته غافل از اینکه در بین راه ارتباطی شما تا بانک هکر محترم نشسته و داره اطلاعات شما رو سرقت میکنه.
به این روش اصطلاحآ میگن Man in the Middle از مزایای این مدل هکینگ راحت بودن و تقریبآ غیر قابل رد یابی بودن بعد از انجام رو میشه نام برد همچنین چون این مدل هکینگ مستقیم بر روی سرورهای بانکی انجام نمیشه و صرفآ محدوده ای از کاربران رو مورد هدف قرار میده بخش امنیت سیستم از وجود اون با خبر نخواهد شد.
یکی از روش هایی که برای مقابله با این هکرها وجود داره استفاده از تونل امن SSL است. وقتی که سایتی رو با آدرس HTTPS مشاهده میکنید یعنی این کانال امن که اطلاعات شما را تا مقصد رمز نگاری میکند برقرار شده و شما با آرامش خاطر میتوانید اطلاعات مهم خود را در وب سایت مورد نظر وارد کنید.
البته همیشه استفاده از SSL یا همون HTTPS نمیتونه شما رو نجات بده چون اگر هکر یک اصطلاحآ گواهی جعلی را برای شما بفرسته دیگه دیتای شما چون با الگوریتم هکر رمز شده پس به راحتی توسط خود هکر هم قابل رمز گشایی است.
http://shabgard.org/doc/uploads/123.png
پس راه حل چیست؟
راه حل استفاده از گواهی سرور های تایید شده در دنیاست که وب سایت مورد نظر را تایید خواهند کرد و در مرورگر خود با پیغام ارتباط غیر قابل اطمینان مواجه نمیشوید این گواهی ها قابل اجاره هستند درست مثل دامنه که اجاره میکنید.
البته خود ادمین سیستم هم میتواند از گواهی های خود امضا Self-signed استفاده کنه که بازم مشکل ساز میشه چون کاربر در مرورگر خود با پیغام خطا مواجه میشه چون نتونسته گواهی رو با سرور های اصلی تایید کنه.
http://shabgard.org/doc/uploads/12.png
و اما مشکل اصلی کجاست؟
همیشه آموزش جامعه برای رعایت امنیت حد اقل در استفاده از سرویسها به اندازه کافی امریست دشوار و در عین حال زمان بر ، یکی از موارد مهمی که بایستی به کاربران آموخت اینست که به محض مواجه با خطاهای مرورگر مبنی بر گواهی نامه جعلی مراتب را جهت پیگیری به سیستم گزارش دهند تا شاید بتوان از ادامه حمله یک هکر جلوگیری کرد.
آیا ما در ایران از گواهی نامه های معتبر استفاده میکنیم؟
با نگاهی به چند سرویس بانکی به راحتی میتوان دید که جواب برای بخش اعظمی از سیستم بانکی نه است.(البته شاید دلیل اصلی تحریم ایران باشه).
ادمین سیستم یک گواهی جعلی ساخته و سرویس را راه اندازی کرده است و احتمالآ کلی هم در مورد کانال امن SSL برای مدیر توضیح داده و که دیگه ارتباط امن شد .
به دلیل این که ما داریم حساسیت کاربر رو در هنگام مشاهده صفحه اخطار مرورگر مبنی بر معتبر نبودن گواهی از بین میبریم و با توجه به اینکه از یک گواهی خود ساخته استفاده میکنیم پس هکر هم میتونه گواهی جعلی بسازه . پس نه تنها امنیت کاربر و سیستم بالا نرفته بلکه این بد ترین کار ممکن بوده که انجام شده.
به نظر من استفاده نکردن از SSL و استفاده از راهکارهای رمز نگاری در بخش کلاینت در شرایطی که نمیشه از گواهی های قانونی استفاده کرد بهترین راهه . ابته کاملآ بدیهی است که نظارت بر چنین رفتارهایی در مثال ما که سیستم بانکی است به عهده بانک مرکزی است چون حتی اگر یک بانک هم دچار این مشکل باشد برای ترویج فرهنگ غلط استفاده از گواهی جعلی کافی است.
و فردا میلیاردها تومن باید خرج بشه تا به کاربر بفهمونید اگر با خطای مرورگر مواجه شد به سیستم امنیت خبر بده.....
در جدول زیر دروازه بانکی چند بانک مورد بررسی قرار گرفت . جالب بود که برخی از گواهی ها فقط با Firefox مشکل داشتند که این مورد به دلیل عدم راه اندازی صحیح گواهی بر روی وب سرور است.
http://www.up.lianportal.com/images/07662090673468585807.jpg
منبع : شبگرد