دسته‌بندی نشده

آیا Apple در واکنش به سرقت ssl تاخیرداشت؟

شرکت Apple به دلیل تاخیر در واکنش نشان دادن به حادثه نفوذ به شبکه شرکت هلندی DigiNotar و سرقت گواهینامه‎های دیجیتالی SSL، مورد انتقاد شدید قرار گرفت. 

 

 به گزارش شبکه خبری دولت الکترونیک، مسئولان شرکت Apple از اظهار نظر در این مورد خودداری کرده و هیچ گونه برنامه‎ای برای به روز رسانی سیستم عامل Mac OS X برای مسدود کردن گواهینامه‎های به سرقت رفته، اعلام نکرده بودند. شرکت های مشابه مانند مایکروسافت، Google و Mozilla همگی اصلاحیه و نسخه‎های به روز شده‎ای از سیستم‎های عامل و مرورگرهای خود منتشر کرده‎اند و فقط سیستم عامل Mac OS X عقب مانده بود.

شرکت Apple اکنون نسخه به روز شده از سیستم عامل خود را منتشر کرده که در آن، گواهینامه های شرکت Diginotar همگی ابطال شده اند.

مرورگرها با استفاده از امکاناتی که بر روی سیستم‎های عامل فراهم شده، قادرند گواهینامه‎های دیجیتالی SSL مجاز را تشخیص داده و از استفاده از گواهینامه‎های غیرمجاز و غیرمعتبر جلوگیری کنند. لذا تنها به روز رسانی مرورگر کافی نبوده و لازم است که سیستم عامل نیز به روز شود.

ناگفته نماند که شرکت Apple در حادثه مشابهی که در ابتدای امسال برای شرکت Comodo اتفاق افتاد و تعدادی گواهینامه SSL به سرقت رفت، پس از یک ماه اقدام به به روز رسانی سیستم عامل و مرورگر خود کرد. البته در آن حادثه فقط ۹ گواهینامه غیر مجاز به سرقت رفته بود ولی در حادثه اخیر بیش از ۵۰۰ گواهینامه سرقت شده است.

توضیح درباره شرکت Diginotar و سرقت گواهینامه های دیجیتالی SSL :  شرکت DigiNotar یک شرکت Certificate Authority) CA) است و مجوز صدور گواهینامه‎های دیجیتالی Secure Socket Layer) SSL) را دارد. شرکت Diginotar یکی از ۵۰۰ شرکت صادرکننده گواهینامه‎های دیجیتال SSL در دنیا است. اخیراً شبکه این شرکت مورد حمله و نفوذ قرار گرفت و صد‎ها گواهینامه (اصل ولی غیرمجاز) توسط نفوذگرها صادر و سرقت شد. این گواهینامه‎ها برای اثبات اصالت سایت‎های اینترنتی به کار می‎روند. با استفاده از گواهینامه‎های سرقت شده، می‎توان کاربران را به سایت‎های جعلی که در ظاهر، کاملاً شبیه سایت‎های اصلی و واقعی هستند، هدایت کرد و اطلاعات شخصی آنان، مانند رمزهای عبور به سایت را به دست آورد. چون از این گواهینامه‎های سرقت شده برای نشان دادن اصالت سایت جعلی استفاده می‎شود، هیچ یک از ابزارها و امکانات امنیتی مرورگرها واکنشی از خود نشان نمی‎دهند و هشداری نیز به کاربر نمی‎دهند. البته برای چنین عملیاتی، سرورهای محلی DNS هم باید دستکاری شوند تا نام سایت‎های اصلی و واقعی به IP سایت‎های جعلی انتقال یابند.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا