قام كل من كارثيكيان بهارجافان وجايتان لورينت بتصميم وتنفيذ هجوم – في معمل أبحاث العملات المشفرة – والذي يمكنه قرصنة حركة المرور من أكثر من 600 موقع من مواقع الويب الأكثر شهرة وكشف معلومات تسجيل الدخول الآمنة مسبقًا معلومة.
مقاطع الفيديو الموصى بها
الاستغلال الذي أطلق عليه اسم "سويت32"، ولكن ليس من السهل تنفيذها. وهو يتضمن استخراج مئات الجيجابايت من البيانات، واستهداف مستخدمين محددين قاموا بالوصول إلى موقع ويب ضار أثقلهم ببعض البرامج الضارة. ومع ذلك، فإن صعوبة تنفيذ الهجوم يتم التغلب عليها بمدى تدميره لبعض أنظمة التشفير الأكثر شيوعًا على الإنترنت.
على الرغم من صعوبة تنفيذ الهجوم عمليًا، إلا أن وجود هذا الاستغلال أثار انتباه خبراء الأمن في فريق تطوير OpenSSL.
من خلال استخراج حركة مرور HTTPS أو OpenVPN المشفرة، تمكن الباحثون من استخدام مفارقة رياضية تحديد أجزاء من المعلومات المشفرة وفك تشفير بيانات اعتماد تسجيل الدخول وكلمة المرور بالكامل.
لا داعي للذعر بعد، خبراء الأمن يتحدثون معهم آرس تكنيكا مقتنعون بأن التهديد الذي تشكله هذه البرمجيّة المستغلة ضئيل للغاية، ويرجع ذلك جزئيًا إلى حقيقة أنه تم إصلاحها بشكل بسيط نسبيًا.
الثغرة الأمنية الرئيسية التي تم استغلالها في نظام فك تشفير ملفات تعريف الارتباط السرية موجودة فقط في تشفيرات الكتل 64 بت، والتي تناولها مطورو OpenVPN بالفعل في أحدث إصدار من برنامجهم VPN برمجة. أكد خبراء أمنيون آخرون تحدثوا مع Ars أن هذا الاستغلال لا يشكل تهديدًا كبيرًا طالما أن المطورين انضموا إليه وتوقفوا عن استخدام تشفير كتل 64 بت مثل Triple DES أو "3DES".
"إن قضية 3DES ليست لها عواقب عملية تذكر في هذا الوقت. قال فيكتور دوخوفني، عضو فريق OpenSSL: "إنها مجرد مسألة تتعلق بالنظافة الجيدة أن نبدأ في توديع 3DES".
توصيات المحررين
- ربما أدى خطأ جديد في WordPress إلى ترك 2 مليون موقع عرضة للخطر
- قم بتحديث متصفح Google Chrome الخاص بك الآن: قد يجعلك الاستغلال الجديد عرضة للاختراق
- يؤدي استغلال Internet Explorer لليوم صفر إلى جعل الملفات عرضة للاختراق على أجهزة الكمبيوتر التي تعمل بنظام Windows
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.
