۹۰ درصد از VPNهای SSL ناامن هستند

از هر ده کارگزار SSL VPN یکی بر پایه‌ی OpenSSL‌ است که در برابر Heartbleed آسیب‌پذیر است.

بنا بر یک تحقیق جدید، از هر ده SSL VPN نه مورد ناامن است و یا دارای رمزگذاری قدیمی است،‌ که این موضوع موجب به خطر افتادن داده‌های ارسالی می‌شود.

به گزارش تکنــــــــــازدانلود :شرکتHigh-Tech Bridge یا به اختصار (HTB) یک تحقیق گسترده را در سطح اینترنت در مورد کارگزارهای قابل دسترسی عمومی به SSl VPN انجام داده است. این شرکت به بررسی ۱۰۴۳۶ کارگزار SSL VPN (که از میان چهار میلیون آدرس IPv۴ تصادفی انتخاب شده بودند) از فروشندگان بزرگی نظیر سیسکو، دل و Fortinet، که به طور تصادفی انتخاب شده بودند، پرداخته است.

این بررسی مشکلات متعددی را کشف کرده است،‌ که در زیر به آن‌ها اشاره می‌شود:

سه چهارم (۷۷ درصد) از SSL VPNها هنوز از پروتکل SSLv۳ استفاده می‌کنند، که قدمت آن به سال ۱۹۹۶ برمی‌گردد. حدود صد مورد دارای SSLv۲ هستند. هر دوی این‌ها موضوع آسیب‌پذیری‌ها و ضعف‌های متعدد در طی سالیان دراز هستند و هیچ‌کدام امن تلقی نمی‌شوند.

سه چهارم (۷۶ درصد) از SSL VPNهای مورد آزمایش قرار گرفته از یک گواهی‌نامه‌ی SSL نامطمئن استفاده می‌کنند، که راه را برای حملات مرد میانی هموار می‌کند. نفوذگران ممکن است قادر باشند تا یک کارگزار تقلبی را راه‌اندازی کنند تا یک حمله‌ی واقعی را بعد از گردآوری اطلاعات و ارسال آن‌ها به یک اتصال ظاهراً «امن» انجام دهند. براساس گفته‌های HTB استفاده از گواهی‌نامه‌ی مشترک پیش‌فرض نصب‌شده توسط شرکت سازنده دلیل اصلی مشکل در عمل است.

به همین ترتیب ۷۴ درصد از مجوزها دارای امضای دیجیتالی ناامن SHA-۱ هستند، و حتی پنج درصد از آن‌ها از فن‌آوری ‌قدیمی‌تر MD۵ استفاده می‌کنند. در تاریخ ۱ ژانویه‌ی ۲۰۱۷ بیشتر مرورگرهای مهم برنامه‌ریزی کرده‌اند تا دیگر مجوزهای SHA-۱ را کنار گذاشته و آن‌ها را نپذیرند، چرا که فن‌آوری‌های قدیمی به اندازه‌ی کافی قوی نیستند تا در برابر حملات بالقوه مقاومت کنند.

حدود ۴۱ درصد از SSL VPNها از طول کلید نا امن ۱۰۲۴ برای مجوزهای RSA استفاده می‌کنند. RSA برای احراز هویت و تبادل کلید رمزگذاری استفاده می‌شود. طول کلید RSA که زیر ۲۰۴۸ باشد، ناامن شمرده می‌شوند زیرا در را برای حملات، به دلیل پیشرفت‌هایی که در شکستن کد و تحلیل رمزنگاری صورت گرفته است، باز می‌کند.

از هر ده کارگزار SSL VPN یکی بر پایه‌ی OpenSSL‌ است که در برابر Heartbleed آسیب‌پذیر است. آسیب‌پذیری بدنام Heartbleed در آوریل سال ۲۰۱۴ کشف شد و بر همه‌ی محصولاتی که بر پایه‌ی OpenSSL قرار دارند و از آن استفاده می‌کنند، تأثیر می‌گذارد، و موجب ایجاد راهی ساده برای نفوذگران جهت استخراج داده‌های حساس نظیر کلیدهای رمزگذاری از حافظه و سامانه‌‌های دیگر می‌شود.

تنها سه درصد از SSL VPNها، با الزامات PCI DSS سازگار هستند و هیچ‌کدام از آن‌ها با دستورالعمل‌های NIST که از سوی مجموعه‌ی استانداردهای امنیتی ایالات متحده‌ی آمریکا برای مدیریت تراکنش‌های کارت اعتباری یا داده‌های دولتی ارائه شده است، سازگار نیستند.

VPNها به کاربران اجازه می‌دهند تا به صورت امن به یک شبکه‌ی خصوصی متصل شوند و داده‌های خود را از راه دور با شبکه‌های عمومی دیگر به اشتراک بگذارند. اگر شما اکنون در حال مرور اینترنت هستید، SSL VPNها مزایای بیشتری نسبت به نسل‌های قبلی IpSec VPNها دارند، زیرا آن‌ها نیاز ندارند تا شما یک نرم‌افزار سرویس‌گیرنده را نصب کنید. کارکنان از راه دور می‌توانند به لوازم و دستگاه‌های SSL VPN مشترک متصل شوند که یک اتصال اینترنتی و اعتبارنامه‌های ورود صحیح را به آن‌ها ارائه می‌کند. این فن‌آوری معمولاً از نرم‌افزارهای ۲FA برای برنامه‌های کاربردی نظیر رایانامه پشتیبانی می‌کند.

بسیاری از مدیران شبکه هنوز آشکارا تنها رمزگذاری SSL/TLS را به عنوان یک پروتکل HTTPS‌ کاربردی می‌دانند، و فراموش می‌کند که خدمات اینترنت حیاتی مانند رایانامه‌ها نیز بر روی آن تکیه می‌کنند.

ایلیا کولوچنکو مدیرعامل شرکت High-Tech Bridge گفته است: «امروز بسیاری از مردم هنوز رمزگذاری SSL/TLS را عمدتاً با پروتکل HTTPS و مرورگرهای وب مرتبط می‌دانند و به صورتی جدی استفاده از آن را در سایر پروتکل‌ها و فن‌آوری‌های اینترنت دست کم می‌گیرند.»

High-Tech Bridge یک شرکت خدمات برخط رایگان است که اجازه می‌دهد تا هر کسی ارتباط SSL/TLS خود را بررسی کند. خدمات این شرکت از هر پروتکلی که براساس رمزگذاری SSL بنا شده باشد پشتیبانی می‌کند، بنابراین اشخاص علاقه‌مند می‌توانند وضعیت اینترنت، رایانامه و یا کارگزارهای VPN خود را بررسی کنند.