وضعيت اينترنت در سه ماهه دوم 2012

IRCRE201210116
تاريخ: 09/08/91

شركت Akamai Technologiesهر سه ماه يك بار گزارشي را با عنوان «وضعيت اينترنت» منتشر مي­كند. در اين مطالعه، داده‌هايي از سراسر دنيا جمع‌آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله‌ها، سرعت اينترنت و غيره منتشر مي­شود. اين شركت به تازگي گزارش خود را درباره سه‌ماهه دوم سال 2012 منتشر كرده است. در ادامه، خلاصه‌اي از مهم­ترين بخش­هاي امنيتي اين گزارش را مطالعه مي­كنيد.

ترافيك حمله، كشورهاي برتر مبداء حملات
در طول سه‌ماهه دوم 2012، Akamai مشاهده كرده است كه ترافيك حمله از 188 كشور/ منطقه يكتا نشأت گرفته است كه اين تعداد در سه‌ماهه پيش از آن، 182 كشور بود. همان‌طور كه در شكل زير مشاهده مي‌كنيد، چين همچنان مبداء بيشترين حجم ترافيك حمله است و مسئول تقريبا 16% از حملات به حساب مي‌آيد كه مشابه سه‌ماهه نخست 2012 است. ايالات متحده با افزايش كمي در ترافيك حمله مواجه بوده و منشاء 12% از حملات مشاهده شده در سه‌ماهه دوم مي‌باشد. 9 كشور از 10 كشور برتر توليد كننده ترافيك حمله نسبت به سه‌ماهه پيش تغيير نكرده‌اند، اما آلمان در اين ميان استثنا بوده و در اين سه‌ماهه جاي خود را در اين فهرست به ايتاليا داده است. 6 كشور از اين 10 كشور شاهد افزايش ترافيك حمله و 3 كشور نيز شاهد كاهش ترافيك حمله در اين سه‌ماهه بوده‌اند.
در بررسي توزيع منطقه‌اي ترافيك حمله مشاهده شده در سه‌ماهه دوم، به اين نتيجه مي‌رسيم كه نزديك به 38% از حملات از منطقه آسيا/ اقيانوسيه، بيش از 36% از اروپا، 23% از آمريكاي شمالي و جنوبي و فقط كمتر از 3% از آفريقا نشأت گرفته‌اند. منطقه آسيا/ اقيانوسيه تنها منطقه‌اي است كه ترافيك حمله آن در اين سه‌ماهه كاهش يافته است.

ترافيك حمله، پورت­هاي برتر
همان‌طور كه در شكل بعد مشاهده مي‌كنيد، تمركز ترافيك حمله در ميان 10 پورت برتر هدف حملات در طول سه‌ماهه دوم 2012 كاهش يافته است و از 77% در سه‌ماهه اول، به 66% در سه‌ماهه دوم رسيده است. اين ميزان با آنچه كه در سه‌ماهه آخر سال 2011 مشاهده شد، مشابه مي‌باشد. به نظر مي‌رسد كه اين كاهش با كاهش قابل توجه حملاتي كه پورت 445 را هدف مي‌گيرند، در ارتباط باشد.
علاوه بر كاهش مشاهده شده در درصد حملاتي كه پورت 445 را هدف قرار مي‌دهند، در مورد پورت‌هاي 23، 1433، 3389، 80، 22 و 4899 نيز با كاهش حملات مواجه بوده‌ايم. ميانگين كاهش مشاهده شده در اين پورت‌ها حدود 25% بوده است. پورت 8080 شاهد بيشترين افزايش ترافيك حمله در اين سه ماهه بوده است و و بيش از 200% افزايش ترافيك حمله داشته است (البته اين پورت همچنان هدف كمتر از 2% از حملات مشاهده شده قرار دارد). پورت 135 و پورت 139 نيز شاهد افزايش در ترافيك حملات در اين سه‌ماهه بوده‌اند. تحقيقات نشان دهنده كشف هيچ‌گونه حمله يا آسيب‌پذيري جديدي كه مسئول حمله به پورت 8080 در طول اين سه‌ماهه باشند، نمي‌باشد.
پورت 445 در 8 كشور از 10 كشور برتر توليد كننده ترافيك حمله، همچنان پورتي است كه بيشترين حملات را به خود اختصاص داده است و در روماني، 85 برابر پورت بعدي هدف حملات قرار گرفته است. يكبار ديگر پورت 23 در حملات نشأت گرفته از كشور تركيه، بيشترين حملات را به خود اختصاص داده است و 7 برابر پورت 445 كه پورت بعدي هدف حملات در اين كشور است، هدف حمله قرار گرفته است. در چين، پورت 1433 پورتي است كه بيش از ساير پورت‌ها و 1.7 برابر پورت بعد از خود يعني 3389 هدف حمله قرار گرفته است. پورت 23 در اغلب كشورها از جمله هند، كره جنوبي، تايوان و ايالات متحده، دومين پورت هدف حملات بود. اين مي‌تواند نشان‌دهنده شيوع بدافزارهايي در اين كشورها باشد كه از كلمات عبور پيش‌فرض يا معمول بر روي سيستم‌هاي قابل دسترسي از راه دور سوء استفاده مي‌كنند.

SSL، رمز كننده هاي سمت كلاينت
شكل زير نشان‌دهنده توزيع رمزكننده‌هاي SSL ارائه شده توسط كلاينت­هاي وب (معمولا مرورگرها) در طول سه ماهه دوم سال 2012 است. يك‌بار ديگر، تغييراتي در روندهاي استفاده نسبت به سه‌ماهه‌هاي پيشين مشاهده مي‌گردد. همان‌طور كه در اين شكل مشاهده مي‌شود، به نظر مي‌رسد كه استفاده از رمزكننده RC4-MD5-128 به طور قابل توجهي در اين سه‌ماهه رشد داشته است و در طول ماه مي، با يك افزايش غيرمعمول مواجه بوده است. استفاده از اين رمزكننده از 10.3% در آغاز اين سه‌ماهه، به 14.8% در پايان آن رسيده است كه اين به معناي 44% افزايش است. استفاده از ساير رمزكننده‌ها در طول اين سه‌ماهه كاهش داشته است. در اين ميان RC4-SHA-128 با بيشترين كاهش مواجه بوده و از 3.7% به 3.2% (بيش از 14% كاهش) رسيده است. استفاده از AES-256-SHA-1 نيز با كاهش مختصري مواجه بوده و با 2.9% كاهش، در پايان اين سه‌ماهه به 43.8% رسيده است. استفاده از AES128-SHA-1 نيز با 6.6% كاهش، در پايان اين سه‌ماهه به 36.3% رسيده است. استفاده از اين دو رمزكننده علي‌رغم كاهش‌هاي مذكور، همچنان به 80% مي‌رسد.

افشاي كلمات عبور درهم‌سازي شده
در ششم ژوئن 2012، افشا شد كه 6.5 ميليون كلمه عبور درهم‌سازي شده متعلق به سايت شبكه اجتماعي LinkedIn توسط هكرها لو رفته است و تعداد 300 هزار از اين كلمات عبور نيز مورد سوء استفاده قرار گرفته‌اند. سپس در همان روز، افشا شد كه 1.5 ميليون كلمه عبور درهم‌سازي شده متعلق به سايت eHarmony نيز بر روي اينترنت ارسال شده است. عضو نهايي اين فهرست، سايت موسيقي Last.fm بود كه فايلي شامل 2.5 ميليون كلمه عبور درهم‌سازي شده خود را پيدا كرده بودند. در مجموع، مهاجمان گم‌نام در مدت يك هفته، نزديك به 10.5 ميليون كلمه عبور را از اين سه شركت افشا كردند.
درهم‌سازي يك الگوريتم رمزنگاري يك‌طرفه است كه اجازه مي‌دهد داده اصلي مورد بررسي و صحت‌سنجي قرار گيرد، ولي داده درهم‌سازي شده قابل رمزگشايي و تبديل به داده اصلي نيست. به عبارت ديگر، يك كلمه عبور مي‌تواند درهم‌سازي شود و زماني كه بار ديگر مورد استفاده قرار مي‌گيرد، با مقداري كه قبلا درهم‌سازي شده است مقايسه گردد.
الگوريتم‌هاي درهم‌سازي براي محافظت از كلمات عبور و حفظ جامعيت فايل‌هاي كلمه عبور بدون افشاي كلمه عبور حقيقي، به‌طور گسترده‌اي در اينترنت مورد استفاده قرار مي‌گيرند. اين الگوريتم‌ها مي‌توانند شكسته شوند، ولي براي اين كار نياز به حملات ديكشنري و Brute Force است كه كلمات و كاراكترهاي تصادفي را درهم‌سازي مي‌نمايند تا داده درهم‌سازي شده مشابه را پيدا كنند. حملات ديكشنري از كلمات معمول در تابع درهم‌سازي استفاده مي‌كنند تا نقطه تشابهي با كلمات عبور رمزشده پيدا نمايند و تقريبا سريع هستند. حملات Brute Force رشته‌هايي از كاراكترهاي تصادفي را مورد استفاده قرار مي‌دهند تا نقطه تشابهي با كلمات عبور قوي و مستحكم پيدا كنند، ولي زمان و انرژي زيادي مصرف مي‌نمايند.
به عنوان مثال‌هايي از الگوريتم‌هاي درهم‌سازي مي‌توان به SHA-1 كه توسط LinkedIn مورد استفاده قرار مي‌گيرد و الگوريتم ناامن‌تر MD5 كه توسط Last.fm و eHarmony مورد استفاده قرار مي‌گيرد، اشاره كرد. يك تابع درهم‌سازي كه خوب پياده‌سازي شده باشد، شامل چيزي است كه به آن salt گفته مي‌شود. Salt يك مجموعه از كاراكترهاي تصادفي است كه به ابتداي كلمه عبور اضافه مي‌‎شوند تا زمان و انرژي مورد نياز براي پيدا كردن مورد مشابه را بالا ببرند. متاسفانه هيچ‌يك از سه شركت مذكور از درهم‌سازي salt شده استفاده نكرده‌اند. اين بدان معناست كه شكستن فايل‌هاي كلمات عبور آنها بسيار ساده‌تر از حد تصور بوده است.
هر سه شركت فوق از زمان افشاي كلمات عبور خود، اقدام به پياده‌سازي salt در توابع درهم‌سازي خود و نيز چند ويژگي امنيتي ديگر نموده‌اند. يكي از بزرگ‌ترين نگراني‌ها در مورد اين شركت‌ها اين است كه بسياري از كاربران از كلمات عبور يكسان در سايت‌هاي مختلف استفاده مي‌كنند. در نتيجه افشاي كلمه عبور يكي از اين سايت‌ها مي‌تواند منجر به سوء استفاده از حساب كاربر در سايت‌هاي كاملا نامرتبط ديگر گردد. به كاربران قرباني اين سايت‌ها اطلاع‌رساني شده است كه كلمات عبور خود را تغيير دهند، ولي ممكن است بسياري اين ايميل‌ها را نديده باشند يا به سادگي آن را هرزنامه تصور كرده باشند.
يك نگراني ديگر در مورد اين شركت‌ها، حجم اطلاعات كاربران است كه ممكن است در كنار كلمات عبور افشا شده باشد. هر دو سايت LinkedIn و eHarmony داده‌هاي شخصي زيادي راجع به كاربران خود نگهداري مي‌كنند، و اين داده‎‌ها مي‌توانند براي كمپين‌هاي سرقت هويت يا پاسخ دادن به سوالات امنيتي كاربر در سايت‌هاي ديگر، مورد سوء استفاده قرار گيرند.
هيچ‌يك از اين سه سايت، جزئيات بيشتري در مورد طبيعت يا نحوه افشاي داده‌هاي خود منتشر نكرده‌اند. محققان امنيتي و هكرها ابزارهاي متنوعي براي كشف تمامي كلمات عبوري كه در اين فايل‌ها قرار دارند در اختيار دارند، در نتيجه مهم است كه كاربران اطمينان حاصل نمايند كه كلمه عبور خود را تغيير داده‌اند. از آنجايي‌كه استفاده مجدد از يك كلمه عبور كاري معمول است، مهم است كه كاربران به جاي تكرار يك كلمه عبور در حساب‌هاي مختلف، با استفاده از نرم‌افزارهاي موجود، كلمات عبور قوي و مستحمكي را ايجاد و نگهداري نمايند.

مطالب مرتبط:
وضعيت اينترنت در سه ماهه اول 2012