۷۵ درصد سایتها در مقابل حمله BEAST SSL آسیب پذیر هستند
طبق بررسی جدید Trustworthy Internet Movementدر طرح PulseSSL 75 درصد سایتها در مقابل حمله BEAST SSL آسیب پذیر هستند
شرکت Trustworthy Internet Movement پیرو طرحی جدید با نام PulseSSL، کیفیت و ایمنی سایتهای برتر در سراسر اینترنت بررسی کرد که طی آن ۷۵ درصد این سایتها در مقابل حمله BEAST SSL آسیب پذیر شناخته شده و تنها ۱۰ درصد از سایت های بررسی شده امن برآورد شدند. به گزارش روابط عمومی پاد، طرح PulseSSL، مولفه های زیادی که در سایت هایی که در آنها SSL پیادهسازی شده را برای تعیین میزان امنیت آن سایت مورد بررسی قرار می دهد. این طرح بررسی میکند که هر سایت از کدام پروتکلهای TSL و SSL پشتیبانی میکند و آیا در مقابل حمله BEAST و دیگر حملات آسیب پذیر هست یا خیر؟
اطلاعاتی که به وسیله این طرح جمع آوری شد نشانگر این است که اکثریت قریب به اتفاق از نزدیک به ۲۰۰ هزار سایت بررسی شده در این طرح، نیاز به کمک جدی برای رفع مشکلات مربوط به پیاده سازی SSL داشتند. آمار نگران کننده دیگری که به وسیله این طرح جمع آوری شد، نشان دهنده این است که تعداد ۱۴۸ هزار مورد از سایت های بررسی شده در مقابل حمله BEAST آسیب پذیر هستند.
حمله BEAST توسط دو محقق به نام های Juliano Rizzo و Thai Duong ایجاد شده که سال پیش افشا شد. این حمله از chosen-plaintext استفاده می کند که علیه پیاده سازی AES در پروتکل TLS 1.0 انجام می شود و برای حمله کننده امکان استفاده از ابزاری خاص برای سرقت و رمزگشایی کوکی های HTTPS را فراهم می کند. سپس حمله کننده می تواند درخواست های SSL توسط قربانی به سایت های تجارت الکترونیکی و یا اینترنت بانک را برباید.
حمله BEAST بسیار پیچیده است، اما نگرانی جدی و واقعیت این است که سه چهارم از سایت هایی که در این طرح مورد بررسی قرار گرفتند، هنوز هم در معرض انواع حملات دردسرساز هستند. این سایتها می توانستند تنها با کاهش انتشار TSL 1.0 میزان حملات را کاهش دهند و برای این کار لازم بود که تنظیمات سرورهایشان به طوری باشد که در طی ارسال درخواست های TSL 1.0 و SSL 3.0 تنها از حروف رمزی RC4 استفاده کنند.
نگرانی بزرگ دیگر درباره اطلاعات به دست آمده از گزارش SSL Pulse این است که یک سوم از سایت هایی که از پروتکل SSL 2.0 پشتیبانی می کنند ناامن تلقی می شوند. متخصصان توصیه می کنند که به دلیل ضعف موجود در SSL 2.0 از این ورژن استفاده نشود. Trustworthy Internet Movement در سال اخیر شکل گرفت که توسط Philippe Courtot مدیرعامل شرکت Qualys حمایت می شود و نیروهای متخصصی در زمینه SSL مانند Ivan Ristic ازQualys، Moxie Marlinspike از Whisper Systems و Twitter و Adam Langley از Google عضو این مجموعه هستند.
Ristic در یک پست از سایت مجموعه Trustworthy Internet Movement می گوید داده های جمع آوری شده توسطاین تحقیق قطعی نیست و این نشانه خوبی است از آنچه در سایت های امن SSL اتفاق می افتد. Ristic بیان می کند: “نتایج آزمون های انجام شده در زمینه SSL که برای خلاصه کردن نتایج به دست آمده از کیفیت پیکربندی SSLانجام شده است، نشانگر این است که نزدیک به ۵۰ درصد (۹۹۹۰۳ سایت) رتبه A دریافت کرده اند که نتیجه خوبی است. این در حالی است که گزارش قبلی حاکی از این بود که ۳۳ درصد از سایت ها به خوبی پیکربندی شده اند. این بدین معنی است که سایت های محبوب تر امن تر شده اند. متاسفانه، بسیاری از سایت هایی که رتبه A دریافت کرده اند هنوز از ارتباطات ناامن استفاده می کنند (۸۵۲۲ سایت یا ۸٫۵ درصد از سایت های با پیکربندی خوب) و یا تعداد ۷۲۳۵۷ یا ۷۲٫۴ درصد درصد از این سایت ها در مقابل حمله BEAST آسیب پذیر هستند. این آمارنشان می دهد که تنها تعداد ۱۹۰۲۴ سایت (۹٫۵۹ درصد از کل سایت ها) در این سطح از تجزیه و تحلیل واقعا امن هستند.”