یک مشکل عجیب درگوگل

برای اولین بار مسابقه امنیت سایبری در سومین نمایشگاه رسانه های دیجیتال انقلاب اسلامی به  صورت روزانه برگزار می شود.

این مسابقه با هدف آشنایی مخاطبان با حوزه های امنیت سایبری و همچنین شناسایی استعدادهای جدید و به روز در این حوزه به صورت روزانه از جمعه ۲۳ بهمن ماه لغایت ۲۷ بهمن ماه همزمان با برگزاری نمایشگاه رسانه های دیجیتال انقلاب اسلامی برگزار می گردد.

شرکت کنندگان می توانند از ساعت ۹ صبح ۲۵ بهمن ماه به وب سایت ctf.seraj.ir مراجعه کرده و فایل چالش را دریافت کرده و بعد از بدست آوردن جواب سوالات، پاسخ خود را به آدرس ایمیل ctf@seraj.ir  ارسال کنند.

لازم به ذکر است که شرکت کنندگان به منظور اطلاع از چالش های روزانه و همچنین شرایط شرکت در مسابقه به آدرس ctf.seraj.ir مراجعه کنند.

همچنین به افرادی که در مسابقه روزانه امنیت سایبری شرکت کنند و جواب صحیح دهند به قید قرعه یک سکه تمام بهار آزادی اهداء خواهد شد. همچنین به هر کدام از شرکت کنندگانی که حداقل به ۳ سوال پاسخ صحیح دهند، یک آی پد نیز اهداء خواهد شد.

اواخر سال ۲۰۱۲ میلادی، که گوگل به عنوان یک شرکت بسیار بزرگ و فن‌آورانه در جهان خوش درخشیده بود، اتفاقات عجیبی رقم خورد. یک رایانامه‌ی عجیب؛ که برای معرفی یک موقعیت شغلی مناسب در گوگل ارسال شده و از آقای Zachary Harris سوال پرسیده بود که آیا علاقه‌مند به آن موقعیت شغلی است یا خیر.

متن رایانامه به این صورت بود: «شما به وضوح علاقه‌ی شدیدی به سامانه عامل لینوکس و برنامه‌نویسی دارید، من می‌خواهم بدانم آیا علاقه‌مند به بررسی موقعیت‌های شغلی گوگل هستید؟

هریس کنجکاو شد، اما شک و تردید هم وجودش را فراگرفته بود. این رایانامه در ماه دسامبر به صورت کاملاً غیرمنتظره به دست وی رسیده بود و به عنوان یک ریاضی‌دان، او احتمالاً مناسب موقعیت‌های شغلیِ گوگل نبود. به همین دلیل او شک کرد که ممکن است این رایانامه جعلی بوده و تنها یک هرزنامه باشد که ظاهراً از طرف گوگل ارسال شده است.

اما با بررسی سرآیند این رایانامه، هریس متوجه شد که هیچ اطلاعات اشتباهی در این سرآیند نیست و اطلاعات کاملاً معتبر است. سپس هریس متوجه یک مشکل عجیب شد؛ گوگل در حال استفاده از یک کلید رمزنگاری بسیار ضعیف بود! او در صدد اثبات این حقیقت برآمد که رایانامه واقعاً از طرف گوگل آمده ارسال شده یا نه. تقریباً هر کسی که می‌توانست این کلید را بشکند، در واقع می‌توانست از آن برای ارسال رایانامه‌هایی استفاده کند که ظاهراً از طرف گوگل آمده است. حتی این رایانامه می‌توانست از طرف مدیران اصلی گوگل سرجی بِرین و لاری پِیچ باشد!

این مشکل مربوط به کلید DKIM است که گوگل برای رایانامه‌های دامنه‌ی google.com استفاده می‌کند. کلید DKIM یک کلید رمزنگاری مبتنی بر الگوریتم RSA است که دامنه‌ها از آن استفاده می‌کنند تا مشخص نمایند یک رایانامه واقعاً از دامنه‌ی اصلی ارسال شده است یا خیر؛ به این ترتیب نشان می‌دهند که اطلاعات سرآیند یک رایانامه که آدرس یک دامنه را نشان می‌دهد صحیح می‌باشد؛ در واقع با این روش دامنه‌ فرستنده سرآیند رایانامه را با امضای دیجیتال خود ارسال می‌کند. وقتی رایانامه به مقصد می‌رسد، کارگزار دریافت‌کننده می‌تواند کلید عمومی فرستنده را از کارگزارهای DNS پیدا کرده و امضای فرستنده را بررسی نماید.

به دلایل امنیتی، استانداردهای DKIM پیشنهاد می‌کند که از کلیدهایی با دست‌کم طول ۱۰۲۴ بیت استفاده شود. اما گوگل از یک کلید ۵۱۲ بیتی استفاده می‌کرده که با کمک ابزارهای موجود و اندکی توان‌مندی محاسبه قابل شکستن بوده است. هریس پس از این‌که به مشکل پی برد، نتیجه گرفت که گوگل تا این حد بی‌دقت نیست و شاید واقعاً این مسئله از طرف تیم استخدام طرح شده تا بررسی کنند کدام یک از متقاضیان کار به این آسیب‌پذیری پی می‌برند.

هریس به کار در گوگل علاقه‌مند نبود؛‌ اما تصمیم گرفت تا کلید را بشکند و یک رایانامه به مدیران گوگل یعنی برین و پیچ ارسال کند تا نشان دهد در بازی استخدامیِ آن‌ها شریک است! در نهایت با ارسال یک رایانامه از طرف برین به لاری پیچ، او یک آدرس از وب‌گاه خودش را ارسال کرد و گفت که تصور می‌کند صاحب این آدرس به اندازه‌ی کافی برای کار در گوگل جالب به نظر می‌رسد و بهتر است وی را استخدام کنیم!

هریس مطمئن بود که اگر پاسخی ارسال شود، وی آن را دریافت می‌کند؛ اما پاسخی دریافت نشد! ۲ روز بعد متوجه شد که کلید رمزنگاری گوگل تغییر کرده و ۲۰۴۸ بیتی شده است و البته وب‌گاه وی از طرف آدرس‌های آی‌پی گوگل بازدیدهای بسیاری داشته است! خب روشن است؛ هریس یک آسیب‌پذیری واقعی پیدا کرده بود و این یک بازی نبود! هریس با بررسی وب‌گاه‌های دیگر متوجه شد که این مشکل در بسیاری از وب‌گاه‌های مشهور دیگر مانند یاهو، پی‌پال، آمازون، ای،بِی، اپل، لینکد‌این، توییتر و … نیز وجود دارد.

گرچه ساز و کار DKIM و نیز نرم‌افزار پیاده‌سازی متن‌باز آن یعنی OpenDKIM، برای آزمون درستی منبع فرستنده و گیرنده به‌کار می‌روند و نمی‌توانند تغییری در محتوای رایانامه‌ها ایجاد کنند، با این وجود، کشف چنین نقص امنیتی آشکار موجب می‌شد تا از اعتبار گوگل در زمینه‌ی حفظ امنیت محصولات خود بکاهد. چنین اخباری شاید هرگز به گوش کاربرانی که تنها به در دسترس بودن خدمت مورد نیازشان می‌اندیشند، نرسد، ولی آن‌چه مهم است توجه و اهمیت لازم به میزان امنیت محصولاتی که زندگی خود را به آن‌ها گره زده‌ایم.

این پیکار برای حل نیاز به آشنایی با مبانی رمزنگاری کلید عمومی داشته و برای کسانی که با مفاهیم رمزنگاری بیگانه‌اند توصیه نمی‌شود.

در این پیکار با استفاده از یک کلید ضعیف، که ساختارها و پایه‌های اساسی مورد نیاز برای عرضه شدن به عنوان یک کلید امن را دارا نیست، جواب چالش یا همان متن پیام، رمزگذاری شده است.

چگونگی ارسال پاسخ چالش

در پاسخ به این پیکار تمامی اطلاعات استخراج شده از طریق تحلیل داده‌هایی مکانی در اختیار را توضیح داده و در نوشتار مربوط به پاسخ‌ بیاورید. پس از حل چالش و دست‌یابی به پاسخ، تمامی پرونده‌ها را داخل پوشه‌ای به نام ans_chall_2 قرار داده و پس از فشرده کردن آن با قالب زیپ به نشانی رایانامه‌ی مسابقه، ctf@seraj.ir ارسال فرمایید. موضوع این رایانامه باید نام چالش باشد، در پایان نیز نام و شماره‌ی تماس خود را درج نمایید.

زمان ارسال پاسخ

مدت زمان ارسال پاسخ برای پیکار سوم، از ساعت ۹ صبح روز یک‌شنبه ۲۵ بهمن‌ماه تا ۲۱ شب روز دوشنبه ۲۶ بهمن‌ماه است، به پاسخ‌های ارسالی پس از بازه‌ی بیان شده ترتیب اثر داده نخواهد شد. ممکن است مدت زمان مسابقه تمدید شود، از این‌رو این صفحه را مجدد بازبینی نمایید.

سومین نمایشگاه رسانه‌های دیجیتال انقلاب اسلامی همزمان با سالگرد پیروزی انقلاب اسلامی، ۲۲ بهمن ماه در بوستان گفت‌وگو آغاز شد و تا ۲۷ بهمن ماه ادامه دارد.

نمایشگاه شامل چهار بخش مهم رسانه‌های برخط، پویانمایی، نشر دیجیتال و کودک و نوجوان است؛ علاقه‌مندان می‌توانند از ساعت ۱۰ صبح تا ۲۰ از نمایشگاه بازدید کنند.

فارس

شما ممکن است این را هم بپسندید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

* Copy This Password *

* Type Or Paste Password Here *