99% من سيرفرات مازلت تستعمل بروتوكولات تشفير قديمة و ذلك من خلال دراسة قامت بها HTBridge.
فـ 77% من هذه الخوادم تستعمل بروتوكول SSLv3 في حين أن 12%تقريبا مازالت تستعين بـ SSLv2.
 |
| 90% من الشبكات التي تستعمل SSl تنعدم فيها الخصائص الأمنية |
بروتوكول SSL 3.0
بروتوكول التشفير SSLv3 عرف النور سنة 1996 و يعتبر الأن من البروتوكولات التي أكل الضهر و شرب, فقد عرف هذا البروتوكول العديد من العيوب على مستوى تأمين المعلومات وقد تم لكتشاف ذلك من طرف Google سنة 2015. و على غ-رار ذلك فقط تم منع استعمال عدة بروتوكولات أمنية بعد اكتشاف العديد من العيوب الحرجة كـ : PCI DSS, NIST PS800-52.في حين ذلك فقد وضع سيرفيرات و خوادم تحت الاختبار, المفاجئة هو أن أكثر من 76% منها لا تتوفر على بروتوكولات أمنية متعارف عليها, لذلك كثيرا ما أصبحنا نسمع بالعديد من عمليات سرقة البيانات حتى على شركات الكبرى من الكلمات السرية, بيانات المستعملين الى اخره.
تشفير SHA-1
74% من شهادات تشفير SHA-1, لا تتوفر على معايير الأمن المعلوماتي.
فهي اشكالية اخرى من مشاكل الأمن المعلوماتي, ففي خطوة استباقية قامت أغلب المتصفحات بمنع شهادات SHA-1 لكونها لا تتطابق مع الشروط الأمنية فهي أيضا قد تشكل خطرا على مستعملي المتصفحات. فلماذا هذا الضعف الخطير ؟
الأمر بسيط, فالخورزميات المستعملة في هذا التشفير فد تم اكتشافها و تحليل هيئتها و بالتالي اعتراض البيانات التي تقوم بتحميلها .
تشفير RSA
سنجد أيضا الخوادم التي تستعمل SSL VPN بشهادات RSA الأمنية, فهذا النوع مختص بالتحميل الكلمات السرية و تفكيكها.
كانت تعتمد سابقا على الخورزميات من نوع 1024bits, في حين الان قامت بتطوير معادلتها الى 2048 Bits فقد اعتبارها جيدة مقارنة مع سابقيها.
تشفير OpenSSL
في الاخير, نجد الخوادم التي تتوفر على تقنية OpenSSL, فرغم قوة تشفيرها الا أنها مازلت تعتبر قابلة الاختراق في نضر Heartbleed. ففي سنة 2014 قدم اكتشاف ثغرة حرجة التي تمكن من اختراقها عن بعد دون اتصال مباشر.
خلاصــــة
"لأسف النتائج مخيبة لأمل" حسب صاحب الدراسة, فالعديد من المستعملين يرون أن بروتوكولات الأمنيةSSL/TLS تعتمد فقط على HTTPS, في حين أن استعمالاتنا كـ الايميل و VPN تعتمد على البروتوكولات السالفة الذكر .
الدراسة كانت على أكثر من 10436 من الخوادم بشكل عشوائي , متصلة بــ IPV4
موقع الدراسة
.jpg)
ليست هناك تعليقات:
إرسال تعليق