کومودو مؤلفه‌ی معیوب OCR را از کار انداخت

۷کومودو۱، بزرگ‌ترین مرجع ارائه‌دهنده‌ی گواهی‌های دیجیتال، ساز و کار معیوبی را که از کار انداخته است که باعث می‌شد کاربران گواهی‌نامه‌های دیجیتالی را برای دامنه‌هایی درخواست و دریافت کنند که متعلق به آن‌ها نمی‌باشد.
فلوریان هاینز و مارتین کلوگ، از Vautron Rechenzentrum AG در ماه سپتامبر این موضوع را کشف کردند و با کومودو در میان گذاشتند، کومودو در واکنش به این مسئله مؤلفه‌ی مشکل‌دار را غیرفعال نمود.
آن‌گونه که دو محقق مذکور در خلال مقاله‌ای مندرج در یک وب‌گاه آلمانی اخبار فن‌آوری به نام Heise توضیح داده‌اند این مشکل مربوط به مؤلفه‌ی OCR بوده که توسط کومودو و در فرآیند خودکار صدور گواهی‌های دیجیتال استفاده می‌شده است.

توصیف مشکل
هر وقت فردی از وب‌گاه کومودو بازدید می‌کند تا یک گواهی‌ SSL را برای دامنه‌ی خود سفارش دهد تا از ترافیک HTTPS پشتیبانی کند، کارکنان کومودو بایست فرآیند اعتبارسنجی را انجام دهند تا مطمئن شوند که کاربر متقاضی مالک واقعی آن دامنه‌ی خاص است.
از آن‌جایی‌که کومودو مدت مدیدی است که بازار گواهی‌های HTTPS SSL را در اختیار خود دارد، این فرآیند خودکار شده تا به تمامی درخواست‌های کاربران پاسخ داده شود.
در این فرآیند اعتبارسنجی رایانامه‌ای به آدرس اینترنتی مالک دامنه ارسال می‌شود، به این ترتیب مشخص می‌شود که آیا درخواست گواهی جدید SSL از سوی فردی از آن شرکت (که دامنه‌ی مورد نظر متعلق به آن است) ارسال شده است یا خیر.
کومودو از رکوردهای WHOIS برای استخراج آدرس رایانامه‌ی مالک دامنه استفاده کرده و رایانامه‌ی تأییدی را می‌فرستد. برای برخی دامنه‌ها که با پسوندهایی همچون eu، be، atو غیره به ثبت رسیده‌اند، این اطلاعات در قالب متن ثبت نشده است، بلکه به‌صورت تصویر ذخیره شده تا به این روش به ربات‌های هرزنامه پاسخ مناسب داده نشود.

مشکل موجود در یک مؤلفه‌ی معیوب تصویر-به-متن
به این منظور، کومودو از یک مؤلفه‌ی OCR برای پویش تصویر و تشخیص متن استفاده می‌کند. به گفته‌ی دو محقق این ماجرا، این ماژول OCR در تشخیص حرف «l» از عدد «۱»، و حرف «o» از «۰» مشکل دارد.
این پژوهش‌گران می‌گویند کومودو، یا شرکتی که این مؤلفه را توسعه داده، از وجود این مشکل آگاه بوده و قوانین ویژه‌ای را برای مدیریت مشکلات موجود بر سر راه تشخیص این نویسه‌ها در نظر گرفته‌ است.
وقتی مؤلفه‌ی OCR l/۱ را می‌خواند، چنانچه بعد از نویسه عددی بیاید، آن را «یک» در نظر می‌گیرد، و اگر پس از آن یک حرف بیاید، آن را حرف L کوچک محسوب می‌نماید. این رویه برای ۰/o نیز صادق است.

نفوذگران می‌توانند گواهی‌نامه‌های دیجیتال SSL را برای سایر وب‌گاه‌ها ثبت کنند
محققان این مشکل را با ثبت یک دامنه‌ی «altelekom.at» و درخواست یک گواهی‌نامه‌ی دیجیتال SSL برای «a۱telekom.at» بررسی کرده‌اند؛ a۱telekom.at یکی از بزرگ‌ترین ارائه‌دهندگان سرویس‌های مخابراتی اتریش است.
همان‌طور که انتظار می‌رود WHOIS مؤلفه‌ی OCR را به درستی تشخیص نمی‌دهد، و رایانامه‌ی تأییدیه‌ را به دامنه‌ی اشتباه ارسال می‌نماید. نفوذگران می‌توانند از این فوت و فن برای کسب گواهی‌های SSL برای دامنه‌های حساس سوءاستفاده کنند، و به این ترتیب حملات مرد میانی را برای ره‌گیری و رمزگشایی ترافیک HTTPS صورت دهند.
بدیهی است که این شکاف محدود به دامنه‌هایی است که شامل ۴ نویسه‌ی مشکل‌زای مذکور هستند، اما این مشکلی است که مدت‌هاست در سامانه‌ی صدور گواهی‌نامه‌های دیجیتال SSL کومودو وجود داشته است.
در حال حاضر، مهندسان موزیلا در حال بررسی مسئله هستند. کومودو با وجود رفع این مشکل، ممکن است به دردسر بیافتد زیرا در ماه سپتامبر و پس از اصلاح آن، مشکل مذکور را گزارش نکرده است.

۱. Comodo یک گروه سهامی خاص متشکل از شرکت‌های ارائه‌دهنده‌ی نرم‌افزارهای رایانه‌ای و محصولات اس‌اس‌ال می‌باشد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter