1. این پایگاه به ثبت ستاد ساماندهی وزارت فرهنگ و ارشاد اسلامی ایران رسیده است.

    مهمان عزیز سپاس بابت بازدید شما از تالار گفتگوی دهه هفتادی ها.

    عضویت در انجمن رایگان بوده و برای عموم باز میباشد . با صرف 30 ثانیه یکی از اعضای دهه هفتادی ها شوید .

یاهو همچون گوگل، ارتباطات کاربران با مراکز داده‌ی خود را در سه ماهه‌ی نخست سال 2014 رمزنگاری...

شروع موضوع توسط Admin ‏Nov 19, 2013 در انجمن هک و امنیت

  1. Admin

    Admin غواصی فقط تو چشات عضو کادر مدیریت مدیر کل سایت

    12,502
    24,598
    62,664
    همه چیز از افشاگری ادوارد اسنودن آغاز شد. اسنادی که حکایت از سرقت اطلاعات توسط دولت ایالات متحده از طریق آژانس امنیتی آمریکا NSA داشت. پس از آن، تمامی کمپانی‌ها بزرگ که مورد سواستفاده قرار گرفته بودند، با ابراز بی‌اطلاعی از ماجرا، سعی در پوشش ضعف‌های امنیتی خود با اعمال پروتکل‌های قوی‌تر امنیتی کردند. یاهو نیز به جرگه‌ی کمپانی‌های پیوسته که پیش‌رو آن‌ها گوگل بوده و هدف، استفاده از رمزنگاری در ارتباطات برقرار شده با مراکز داده است. در ادامه با ما همراه باشید.


    یاهو دیروز اعلام کرد که تمامی داده‌های منتقل شده در مراکز داده‌ایش در سه‌ ماهه‌ی اول سال 2014 رمزنگاری خواهند شد. یاهو این اقدام را به تبعیت از سایر کمپانی‌های بزرگ همچون گوگل انجام داده است. این اقدامات پس از افشا شدن مکاشفات آژانس امنیت ایالات متحد‌ه آمریکا انجام شده است.

    این خبر توسط ماریسا‌ میر، مدیرعامل کنونی یاهو اعلام شد و براساس آن یاهو تمامی اطلاعات و داده‌هایی را که بین سرورهای داخلی آن جابجا خواهند شد، رمزنگاری خواهد کرد. براساس برنامه‌ریزی‌های انجام شده، یاهو در تاریخ 18 دی ماه سال جاری رمزنگاری ایمیل‌ها را با استفاده از کلید‌های اس‌اس‌ال 2048 بیتی انجام خواهد داد. همچنین رمزنگاری داده‌ها برای سایر سرویس‌هایی یاهو تا پایان سه ماهه‌ی اول سال 2014 به انجام خواهد رسید. یاهو اعلام کرده است که با تمام شرکای خود در زمینه‌ی سرویس ایمیل هماهنگ خواهد شد، تا بصورت یکپارچه پروتکل HTTPS مورد استفاده قرار گیرد.

    میر در این مورد چنین اضهار نظر کرد:


    همانطور که می‌دانید در شش ماه اخیر، برخی گزارش‌ها حکایت از کنکاش و دسترسی مخفیانه دولت ایالات متحده به داده‌های کاربران بدون اطلاع شرکت‌های فناوری دارد. من می‌خواهم مواضع یاهو را مجددا تکرار کنم: یاهو هیچ‌گاه در زمینه‌ی دسترسی دولت به اطلاعات کاربران با NSA همکاری نکرده و اطلاعی نیز از انجام این عمل توسط آژانس‌های امنیتی دولت نداشته است.

    حرکتی که دیروز یاهو خبر از اقدام برای آن داد، در ادامه‌ی اقداماتی است که گوگل اخیرا به پیاده‌سازی آن مشغول شده است. چندی پیش پس از افشای خبری مبنی بر به انجام رسیدن برنامه‌ای با نام MUSCULAR، که توسط آژانس امنیت ملی آمریکا توسعه داده شده بود، گوگل تصمیم خود مبنی‌بر رمزنگاری داده‌های در جریان بین مراکز داده و کاربران را اعلام کرد، چرا که وظیفه‌ی برنامه‌ی MUSCULAR کنترل داده‌های در حال انتقال بین شرکت‌های فناوری و کاربران بود. همچنین اسنادی که توسط ادوارد اسنودن منتشر شده است، حکایت از قرار گرفتن یاهو به‌ عنوان یکی از اهداف برنامه MUSCULAR دارد.

    [​IMG]

    براساس برنامه‌ای که جزئیات آن افشا شده است، وظیفه‌ی این برنامه قطع ارتباطات SSL برقرار شده بین سرورهای یاهو و گوگل با کاربران است تا از این طریق اطلاعات رد و بدل شده میان مراکز داده و میلیون‌ها کاربر را کنترل کنند. براساس گزارش منتشر شده توسط واشینگتون‌پست، از این طریق روزانه ارتباط میلیون‌ها کاربر از شبکه‌های یاهو و گوگل قطع می‌شد.


    براساس گزارش منتشر شده در تاریخ 20 دی‌ماه 1391، روزانه اطلاعات میلیون‌ها کاربر از سرورها و مراکز داده‌ای گوگل و یاهو به مراکز داده‌ی NSA منتقل شده و برای بررسی‌های بیشتر در این مراکز داده که در Fort Meade ایالت مریلند قرار دارد، ذخیره گشته است. همچنین این گزارش مدعی است که در یک بازه‌ی سی روزه، اطلاعاتی برابر با 181,280,266 رکورد جدید که شامل متا‌دیتا است، در این مرکز ذخیره شده است که از طریق این اطلاعات NSA قادر به رهگیری ایمیل‌های ارسال شده به‌همراه جزئیاتی از مشخصات ارسال کننده و دریافت کننده و همچنین موضوع ایمیل و محتویات آن است.

    ابتدای ماه جاری، برندون داونی، یکی از مهندسان گوگل، در سخنانی غیررسمی، اظهارنظری در مورد گزارش واشنگتن‌پست انجام داده است:


    لعنت به این اشخاص!

    در ده سال اخیر سعی من بر این بوده است تا از هرگونه سرقت اطلاعات و تهدیداتی که کاربران را هدف گرفته است، جلوگیری کنم.

    از اولین روزهای راه‌اندازی سرویس‌ها در گوگل، تهدیدات بسیاری امنیت کاربران را هدف قرار داده است که از جمله‌ی آن می‌توان به انواع کرم‌ها، بدافزارها اشاره کرد. همچنین حملاتی نیز در قالب اقداماتی هماهنگ شده انجام شده است که هیچ‌یک موفق نبوده‌اند. اما اقدام اخیر دولت آمریکا همه‌ی ما را ناامید کرد.

    گوگل اعلام کرده است که از سال گذشته تمامی ارتباطات خود را رمزگذاری نموده است و پس از افشاگری انجام شده توسط اسنودن نیز، این اقدامات شتاب بیشتری گرفته است.

    پس از اخبار منتشر شده و افشای سرقت اطلاعات توسط دولت آمریکا، مایکروسافت نیز از ضرورت سرمایه‌گذاری در این بخش و تقویت سیستم رمزنگاری برای ازتباط سرورها سخن گفته است. مایکروسافت اعلام کرده که برای محافظت از اطلاعات کاربران از تهدیدات مختلف که دولت آمریکا نیز جزوی از آن‌ها است، تغییراتی در لایه‌های امنیتی انجام خواهد شد.

    رمزنگاری ارتباط بین سرورها اقدام مناسب و عاقلانه‌ای نیست، اما یاهو در عمل به چنان عملی تنها نیست. مشکل ایجاد شده در این مورد معطوف به ضعف امنیتی شرکت‌های فعال در این حوزه نیست، بلکه حاصل نقض حریم خصوصی کاربران توسط دولت آمریکا است.