متخصصان رمزنگاری از دادگاه اپل خواسته‌اند تا حکم را لغو کند

تعدادی از متخصصان گذشته و حال آیفون و کارشناسان رمزنگاری نامه‌ی دوستانه‌ای را امضاء کرده و از دادگاه خواستند تا حکم اجبار اپل برای کمک به اف‌بی‌آی در قفل گشایی از آیفون متعلق به یکی از تیراندازان سن برناردینو به نام سید فاروق را لغو کند.
این نامه که توسط جنیفر گرانیک و ریانا ففرکورن از مرکز اینترنت و جامعه‌ی دانشکده‌ی حقوق دانشگاه استنفورد تنظیم شده است، استدلال می‌کند که این حکم امنیت عمومی را در مخاطره قرار می‌دهد و پیشینه‌ای را ایجاد می‌کند که با استفاده از آن دولت و نیروهای مجری قانون می‌توانند دسترسی‌های مشابهی را به گوشی‌های تلفن همراه درخواست دهند، و این گوشی تنها مقدمه‌ای بر آن خواهد بود.
در این نامه آمده است:‌ «همچنان‌که کارشناسان می‌گویند، این‌ها نظرات دوستانه‌ای است و ابراز می‌دارد که خطرات ناشی از مجبور کردن یک شرکت برای نادیده گرفتن امنیت محصولات خود و اجازه دادن به نیروهای اجرایی برای در اختیار گرفتن و نظارت هدف‌مند دستگاه‌های مصرف‌کنندگان، بسیار زیاد است.»
کارشناسانی که این نامه را امضاء کرده‌اند عبارتند از چارلی میلر، اولین محققی که یک آیفون را مورد نفوذ قرار داده و کنترل آن را به دست گرفت، محققان کنونی آی‌اواس و کارشناسان جرایم رایانه‌ای دینو زووی و جاناتان زدزیارسکی و متخصصان رمزنگاری بروس اشنایر، دن بونه، و هواو شچام.
آن‌ها استدلال کرده‌اند که یک نسخه‌ی سفارشی از آی‌اواس که اف‌بی‌آی در پی آن است، می‌تواند برای سایر آیفون‌ها در آینده استفاده شود؛ آشکار شده است که شرکت اپل در حال حاضر ده‌ها درخواست مشابه را از مجریان قانون دریافت کرده است، دادستان ایالت نیویورک سیروس ونس می‌گوید که اداره‌ی او پر از ۱۷۵ دستگاه است که در انتظار بازگشایی هستند.
در این نامه عنوان شده است: «امکان دارد که گسترش این خطر کنترل را از دست شرکت اپل خارج کند و دزدان، اختلاس‌گران، و یا حتی دادگاه دیگری در کشوری خارجی بتوانند کنترل دستگاه‌ها را به دست گیرند.»
«اگر این اتفاق رخ دهد، کد سفارشی می‌تواند به وسیله‌ی مجرمان و سایر دولت‌ها مورد استفاده قرار گیرد و تا اطلاعات حساس شخصی و تجاری از دستگاه‌های ضبطشده، مفقودشده و یا به سرقت رفته‌ی آیفون استخراج کنند، و یا مهاجمان بتوانند با استفاده از مهندسی معکوس راه را برای شکستن رمزهای عبور امنیتی اپل هموار کنند. مجبور کردن اپل برای ساخت یک نرم‌افزار قفل‌شکن برای دولت می‌تواند از این جهت هم خطرناک باشد که این نرم‌افزار نیز دارای حفره‌هایی باشد.»
علاوه بر این در این نامه اشاره شده است که در قانون All Writs چیزی نیست که بتوان با حکم دادگاه آن را به‌روزرسانی کرد و به وسیله‌ی آن، تلویزیون‌های هوشمند و یا دوربین‌های لپ‌تاپ‌ها را دور زد. این کار وضعیت حریم خصوصی و امنیت را بدتر می‌کند و امنیت افراد را در معرض خطر قرار می‌دهد.
کارشناسان هشدار می‌دهند که از دیدگاه فنی باید در نظر گرفت این کار اعتماد و اطمینان مصرف‌کنندگان را در به‌روزرسانی‌های خودکار نرم‌افزارها تضعیف خواهد کرد.
در این نامه آمده است:‌ «این باور که چنین به‌روزرسانی‌هایی ممکن است نوعی جاسوسی باشند که یک شرکت به وسیله‌ی دولت مجبور شده است در نرم‌افزارهای خود ثبت و منتشر کند، ممکن است موجب غیر‌فعال‌کردن به‌روزرسانی‌های خودکار توسط کاربران شود. این کار ممکن است اعمال اصلاحیه‌های نرم‌افزاری را با مشکل روبه‌رو کند و در نتیجه امنیت عمومی آن‌ها را تضعیف کند.»
درخواست اف‌بی‌آی اساساً برای این است که می‌گویند آن‌ها رایانه‌ای دارند که می‌تواند گذرواژه را حدس بزند. اما در حال حاضر سامانه‌ی امنیتی موجود روی دستگاه بر اساس وارد کردن دستی رمزهای عبور است به نحوی که تأخیرهایی بین هر کدام از رمزهای عبور صورت می‌گیرد و پس از ده بار تلاش ناموفق در وارد کردن گذرواژه اطلاعات گوشی به طور کامل پاک می‌شود. حکم دادگاه از اپل می‌خواهد تا یک سفت‌افزار بسازد که بتواند حفاظت دستگاه را غیرفعال کند، و اصرار دارد که این درخواست تنها یک بار انجام خواهد شد.
این نامه تصدیق می‌کند که اپل در گذشته درخواست‌های را برای خارج کردن اطلاعات اجابت کرده است، اما این درخواست‌ها مربوط به گوشی‌های قدیمی‌تر با سامانه‌ی عامل آی‌اواس ۸ و قبل از آن بوده‌اند.
در این دستگاه‌ها می‌توان اطلاعات را خارج کرد زیرا که این اطلاعات با استفاده از یک کلید تولیدشده توسط رمز عبور دستگاه، بر خلاف دستگاه‌های جدید، رمزگذاری نشده‌اند.
از نظرگاه کارشناسان مطلب دیگری که نگران‌کننده است این می‌باشد که به‌روزرسانی ضروری سفت‌افزار باید با استفاده از رمزگذاری خود اپل امضاء شود. در این نامه گفته شده است که این ساز و کار برای این پیاده‌سازی شده است تا مشتریان اپل مطمئن شوند که دستگاه‌های آن‌ها دست‌کاری نمی‌شود و نرم‌افزارهایی که در حال استفاده از آن هستند امنیت لازم را دارا می‌باشد و تبدیل به یک دستگاه نظارتی اف‌بی‌آی نمی‌شوند.
«این حکم می‌خواهد اپل را وادار به ایجاد نرم‌افزاری کند که در حال حاضر وجود ندارد، تا قابلیتی را فراهم کند که اکنون اپل آن را در اختیار ندارد. این اولین بار است که یک دادگاه چنین حکمی را به یک شرکت ابلاغ می‌کند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap