مخابرات ایران در اقدامی اعجاب آور (نه غیرمنتظره)، به وسیله‌ی دستکاری DNS های گوگل اقدام به کاری بس شنیع کرده‌است. بدین معنا که وقتی شما بخواهید به آدرس رمزگذاری شده‌ی گوگل (HTTPS://google.com) وارد شوید، خود به خود به آدرس بدون SSL آن (http://google.com) وارد خواهید شد. این کار درواقع اقدامی رسمی برای مشاهده‌ی اطلاعات جستجوهای کاربران از سوی مخابرات است.

 

آغاز ماجرا

در یکی از روز‌های خوب خدا(پریروز)، در حال وبگردی و سرچ در گوگل، باکسی زرد رنگ توجه مرا به خود جلب کرد:

SSL is OFF

متن آن گویای صریح ماجرا بود و تایپ چندباره‌ی آدرس گوگل با https نتیجه‌ی مناسبی نداشت. روزگار گذشت تا که امروز دیدیم که دوستان هم دچار این مشکل شده‌اند و مشکل گسترده است. درنهایت کاشف به عمل آمد که کار، کار مخابرات است. البته بنده از وضعیت ISPهای دیگر مطلع نیستم. خواهشا دوستان اگر اطلاعی دارند ما را هم در جریان بگذارند.

pedram-twitter

بحث فنی:

همانطور که می‌دانید کار یک DNS server ترجمه‌ی نام دامنه‌ها به یک آدرس آی پی است تا برنامه‌هایی مثل مرورگر‌ها امکان دستیابی به منابع اینترنتی مثل وب‌سایت‌ها را داشته باشند. حال فرض کنید شما با وارد کردن یک آدرس در مروگرتان، ناخواسته وارد آدرس دیگری می‌شوید (دقت کنید که با ریدایرکتی که برخی سایت‌‌ها انجام می‌دهند، اشتباه گرفته نشود). در واقع در اینجا آدرسی که شما وارد کرده‌اید، به یک آی‌پی اشتباه تبدیل می‌شود. به این عمل که در اصطلاح تخصصی DNS hijacking یا DNS redirection گفته می‌شود؛ اقدامی است که به طور خلاصه از سه طریق زیر امکان‌پذیر است:

۱- از طریق برنامه‌های مخربی مثل تروجان‌ها در کامپیوتر کاربران

۲-از طریق دستکاری توسط ISP ها

۳- از طریق ثبت کننده‌ی دامین‌ها

که در این مورد خاص، دستکاری از طریق ISP های مخابرات صورت گرفته‌است. چرا که امکان دو مورد دیگر با توجه به شواهد آشکار، وجود ندارد.

 

اهداف ممکن از این کار

در مورد اول، بیشتر این کار برای هدایت کاربران به یک صفحه‌ی تقلبی (fake page) برای مقاصد فیشینگ استفاده می‌شود. مورد سوم هم حالتی است که کمتر رایج است. به عنوان مثال name.com از این روش برای ریدایرکت کردن ساب‌دامین های ناموجود به سرورهای خودش استفاده می‌کند. و اما مورد دوم که موضوع بحث ماست مشخصا جمع‌آوری اطلاعات و آمار و دسترسی به جستجوهای کاربران را هدف گرفته‌است. زمانی که شما از طریق پروتکل امن SSL به جستجو می‌پردازید، اطلاعات شما به شیوه‌ی خاصی رمزنگاری می‌شود که در صورت استراق سمع هکر و دستیابی به آن، عملا نمی‌تواند استفاده‌ای از آن بکند. اما زمانی که شما مجبور باشید تا از SSL استفاده نکنید، امکان دستیابی اطلاعات برای هکر آسان می‌شود. البته لازم به ذکر است که فقط دسترسی به ssl سایت اصلی گوگل امکان پذیر نیست و بقیه‌ی سرویس‌ها (مثل جیمیل) همچنان از پروتکل امن ssl استفاده می‌کنند. بنابراین اطلاعات شخصی شما نمی‌تواند مورد استفاده قرار گیرد.

 

راه جایگزین

در حال حاضر بهترین راه جایگزین، استفاده از آدرس https://encrypted.google.com به جای https://google.com است. البته اکستنشن های مختلفی برای مرورگر‌ها وجود دارد که این مشکل را برطرف می‌کنند. اما بهترین راه فعلا همین است.

 

پ.ن: این که بنده گفتم کار، کار مخابرات است مبتنی بر روی دادن این مشکل در ISP های این شرکت است و احتمال اینکه این اتفاق مقصر بزرگتری داشته باشد هم کم نیست، چه بسا که بیشتر هم باشد.

نظرات

نظر (به‌وسیله فیس‌بوک)