در کنفرانس Defcon Hackers که اخيرا در لاس‌وگاس برگزار شد، ابزاري براي سرقت خودکار شناسه‌هاي (ID) رمزگذاري نشده? (non-encrypted) نشست‌ها (Sessions) و ورود مخفيانه به حساب‌هاي ميل گوگل (جي‌ميل) معرفي شد.
هفته? پيش گوگل يک امکان جديد را در جي‌ميل معرفي کرد که به کاربران اجازه مي‌دهد که به صورت کامل از SSL در همه? اعمال، از جمله جي‌ميل استفاده کنند (نه فقط براي شناسايي و ورود). کاربراني که اين امکان را هنوز روشن نکرده‌اند، حالا يک دليل جدي دارند که هر چه زودتر، از اين ابزار جديد گوگل استفاده کنند. مايک پري، يک مهندس معکوس از سان فرانسيسکو که ابزار سرقت خودکار شناسه‌هاي رمزگذاري نشده? نشست‌هاي گوگل را نوشته، در نظر دارد تا در 2 هفته اين ابزار را منتشر کند.
وقتي که شما وارد جي‌ميل مي‌شويد (Login)، وب‌سايت جي‌ميل يک کوکي (يک پرونده? متني) شامل شناسه? نشست شما را به مرورگر ارسال مي‌کند. اين پرونده (File) به وب‌سايت اين امکان را مي‌دهد که شما را به عنوان يک کاربر «تاييد هويت شده» و وارد شده، براي دو هفته بشناسد (مگر اينکه خودتان از جي‌ميل خارج -Sign Out- شويد). يعني هنگامي که شما Sign out را مي‌زنيد، کوکي پاک مي‌شود.
حتي اگر ازبراي وارد شدن به جي‌ميل از «تاييد هويت از طريق SSL» استفاده مي‌کنيد. کافي نيست، اصلا امن نيست! چون بعد از مرحله? تاييد هويت (Authentication)، به حالت اتصال معمولي رمزگذاري نشده برمي‌گردد. بنا به گفته? گوگل، اين رفتار جي‌ميل به خاطر اينترنت کم‌سرعت کاربران انتخاب شده است چون اتصالات SSL اي (SSL Connections) کند هستند.

مشکل اصلي اينجاست که وقتي شما به هر قسمتي از جي‌ميل وارد مي‌شويد و کاري انجام مي‌دهيد، حتي يک تصوير مي‌بينيد، مرورگر شما، کوکي شما را به وب‌سايت ارسال مي‌کند. اين کار يک فدر نفوذگر را قادر مي‌سازد تا در بين راه شبکه? شما گوش بايستد و يک تصوير به http://mail.google.com درج کند و مرورگر شما را مجبور کند که پرونده? کوکي شما را همراه شناسه? نشست شما به او ارسال کند. هنگامي که اين اتفاق افتاد، فرد نفوذگر اين اجازه را مي‌يابد که بدون پسورد، وارد حساب جي‌ميل شما شود. کاربراني که از شبکه‌هاي سازماني يا شبکه‌هاي بي‌سيم (مثل مجتمع پايتخت و دانشگاه‌ها) استفاده مي‌کنند، نسبت که کساني که از شبکه‌هاي سيمي امن استفاده مي‌کنند، بيشتر مورد تهديد هستند.
همچنين آقاي پري ذکر کرد که خود او، گوگل را حدود يک سال پيش از اين ماجرا مطلع کرده است. با اين حال، ناراحتي او از کمبود اطلاع‌رساني است. او مي‌گويد، «گوگل پس از معرفي امکان جديد خود، دليل استفاده از آنرا به کاربران اطلاع نداده است.» همچنين او اشاره کرد که کساني که از نشست‌هاي https:// براي ورود به جي‌ميل استفاده مي‌کنند نيز در خطر حمله هستند، و تنها راه جلوگيري از هک شدن، فعال‌کردن امکان جديد جي‌ميل است.
پس اگر براي ورود به حساب جي‌ميل خود از مکان‌هاي مختلفي استفاده مي‌کنيد، هيچ وقت فکر نکنيد که اگر با آدرس https://mail.google.com وارد جي‌ميل شويد، مي‌توانيد از هک شدن جلوگيري کنيد.
منبع: سيستم ايران (به نقل از Slashdot)
پي‌نوشت نويسنده: چون در ايران، شبکه‌هاي ما از امنيت بالايي برخودار نيستند و ISP هاي ما مي‌توانند به عنوان نفوذگر با اين روش عمل کنند، با اينکه با فعال کردن امکان جديد جي‌ميل، سرعت جي‌ميل کند مي‌شود، بايد از آن استفاده کنيد (اگر نمي‌خواهيد هک شويد)!!! در ادامه بايد به عنوان يک مدير شبکه و يک کاربر حرفه‌اي بگم که حتي اگر فقط از شرکت يا سازمان خود وارد جي‌ميل مي‌شويد، حتما اين امکان را فعال کنيد، چون هيچ فردي جز خود شما مورد اعتماد نيست.
در ادامه، يک راهنماي تصويري براي فعال کردن امکان Always Use HTTPS جي‌ميل قرار دارد.

در آخر بايد بگويم که اين خبر کاملا جدي است و شوخي بردار نيست! اگر امنيت خود و اطلاعاتتان برايتان مهم است! حتما اين کار را بايد انجام بدهيد و به تمام دوستان و آشنايان اين مهم را اطلاع دهيد
تنها روش جلوگيري از نفوذپذيري و هک جي‌ميل:
1- ابتدا با اطلاعات حساب کاربري خود وارد جي‌ميل شويد.
2- در قسمت راست، بالاي صفحه، گزينه? Settings را انتخاب کنيد.
3- در قسمت Browser Connection در قسمت پاييني صفحه، گزينه? Always use https را انتخاب کنيد.
4- دکمه? Save Changes را انتخاب کنيد.
منبع:www.mywindows.ir
ارسال توسط کاربر محترم سايت :goldsom