-
عضو انجمن
Let’s Encrypt و مقابله با حملات فیشینگ
چند سالی است که Let’s Encrypt با کمک و همکاری شرکتها و بنیادهایی مانند موزیلا، سیسکو، فیسبوک و … سرویس CA را با هدف ارائه رایگان گواهی HTTPS به صورت آزاد و باز و رایگان ایجاد کرده است. با کمک این CA سایتهایی زیادی توانستهاند به رایگان و آسانی گواهی HTTPS دریافت کنند.
این سرویس میتواند به امنتر کردن وب کمک کند و شنود پیامها را برای دیگران سخت کند. اما گویا این سرویس میتواند معایبی نیز داشته باشد! از آنجا که این سرویس رایگان است کلاهبرداران میتوانند به راحتی یک سایت فیشینگ با گواهی HTTPS داشته باشند.
در دو عکس زیر صفحات فیشینگ سایت یک بانک را میبینید. تصویر اول صفحه فیشینگ بدون گواهی و تصویر دوم صفحه فیشینگ با گواهی است. بیشتر کاربران وجود گواهی HTTPS (علامت قفل سبز رنگ) را دلیلی بر اصالت صفحه میدانند و به صفحات فیشینگ با این مشخصات اعتماد میکنند.
صفحه ورود بانک با گواهینامه ssl معتبر
صفحه فیشینگ ورود به بانک با گواهینامه ssl
یکی از روشهای مقابله با این حملات بررسی دامنه است. LetsEncrypt و سایر CA ها بررسی دامنه و حذف صفحات آلوده و فیشینگ را وظیفه خود نمیدانند. در حقیقت CA ها معتقدند با حملات فیشینگ باید در سطوح پایینتر مقابله شود (به عنوان مثال فروشنده دامنه یا هاست باید سایتهای آلوده را شناسایی و حذف کند و یا مرورگرها نباید سایتهایی آلوده را نمایش دهند. با این وجود LetsEncrypt با استفاده از سرویس SafeBrowsing دامنهها را بررسی میکنند و به دامنههایی که به عنوان دامنههای خطرناک ثبت شدهاند خدمات نمیدهند.
با اینکه این روش میتواند تا حدودی مشکلات امنیتی را کاهش دهد اما همیشه کارگشا نیست، سایتها میتوانند بعد از دریافت گواهی محتویات خود را تغییر دهند. بنابراین به نظر میرسد بهترین راه مقابله با این حملات آموزش کاربران است. عموم کاربران تصور میکنند علامت و قفل سبز رنگ کنار یک سایت درستی محتویات سایت را نیز تایید میکند در صورتی که این تصور اشتباه است. بهتر است برای درک بهتر این موضوع با گواهینامه DV آشنا شویم.
گواهینامه DV: گواهینامه Domain-validated certificate که به صورت مخفف DV نامیده میشود گواهینامهای است که موجودیت درخواستکننده گواهینامه را تنها با نام دامنه تایید میکند. در این گواهینامه درخواستکننده گواهینامه باید به یکی از روشهای زیر مالکیت بر دامنه را تصدیق کند.
۱- صادرکننده گواهی ایمیلی به آدرس ایمیل که در DNS مشخص شده ارسال میکند و درخواست کننده باید به این ایمیل جواب دهد.
۲- صادر کننده گواهی ایمیلی به آدرسهای ایمیل مشخص مانند admin@domain.com و یا webmaster@domain.com ارسال میکند و درخواست کننده باید به این ایمیل جواب دهد.
۳- درخواست کننده باید بنا به درخواست صادرکننده گواهی یک رکورد txt اختصاصی برای دامنه بسازد.
۴- بنا به درخواست صادرکننده گواهی یک Cryptographic nonce منتشر کند.
در صورتی که درخواستکننده گواهی به یکی از روشهای بالا بتواند مالکیت بر دامنه را اثبات کند صادر کننده برای این دامنه یک گواهی تایید صادر میکند. به بیان دیگر گواهی DV تنها مالکیت بر یک دامنه را اثبات میکند. گواهینامه DV عموما به صورت خودکار صادر میشود. LetsEncrypt گواهینامه DV صادر میکند در نتیجه تنها میتواند مالکیت دامنه را اثبات کند.
بنابراین به نظر میرسد بهترین راه مقابله با حملات فیشینگ توجه بیشتر به آدرس سایتی است که بازدید میکنیم.
منبع ایران سرور :
https://goo.gl/9DrzCw
-
تعداد تشکر ها ازiranserver.com به دلیل پست مفید
-
July 4th, 2017 17:46
# ADS
پاسخ با نقل قول