logo_eet

هشدار کارشناسان سایبری: چین می‌تواند از فرآیند امنیت اینترنت برای سرقت داده‌ها سوءاستفاده کند

امنیت هشدار کارشناسان سایبری: چین می‌تواند از فرآیند امنیت اینترنت برای سرقت داده‌ها سوءاستفاده کند چینی را ممنوع کرده‌اند زیرا برای نهادهایی
(Nicolas Asfouri/AFP via Getty Images)

کارشناسان امنیت سایبری هشدار می‌دهند حزب کمونیست چین می‌تواند برای دسترسی به داده‌های کاربران ناآگاه، از فرآیندی جهانی برای احراز هویت استفاده کند که ظاهراً امن است اما در واقع می‌تواند امن نباشد.

آنان می‌گویند با وجود آن‌که روش رمزگذاری برای ایمن‌سازی داده‌های دیجیتالی و محافظت از رایانه‌ها ترجیح داده می‌شود، اما در برخی موارد، گواهینامه‌های دیجیتالی که برای برای احراز هویت در اینترنت استفاده می‌شوند، این امکان را برای رژیم چین به وجود می‌آورند که در شبکه‌های مختلف رایانه‌ای نفوذ کند و خرابی به بار آورد.

نهادهایی در سراسر جهان که به عنوان «مراجع صدور گواهینامه» شناخته می‌شوند، گواهینامه‌های دیجیتالی صادر می‌کنند که هویت یک نهاد دیجیتالی در اینترنت را تأیید می‌کند.

اندرو جنکینسون، مدیرعامل شرکت امنیت مجازی سایبرسک اینویشن پارتنرز (CIP) و نویسنده کتاب «استاکس‌نتی برای آفتاب: ۲۰ سال سوءاستفاد دیجیتال و جنگ‌ مجازی»، گواهینامه دیجیتال را با گذرنامه یا گواهینامه رانندگی مقایسه می‌کند.

جنکینسون به اپک‌تایمز گفت: «بدون آن، شخص یا دستگاهی که ازش استفاده می‌شود، نمی‌تواند مطابق استاندارهای صنعتی باشد و می‌توان رمزگذاری داده‌های حیاتی را دور زد و چیزی که به نظر می‌رسید رمزگذاری شده است، به صورت متن معمولی باقی می‌ماند.»

از گواهینامه‌های دیجیتالی استفاده می‌شود تا ارتباطات داخلی و خارجی را رمزگذاری کنند و مانع از آن شوند که مثلاً یک هکر بتواند داده‌ها را رهگیری کند و به سرقت برد. اما جنکینسون می‌گوید گواهی‌های نامعتبر یا «ناقض» می‌توانند کل فرآیند رمزگذاری را دستکاری کنند و در نتیجه، «به میلیون‌ها کاربر احساس امنیت کاذب داده می‌شود.»

لایه‌های اعتماد کاذب

مایکل دورن، معاون اجرایی شرکت امنیت مجازی گلوبال سایبر ریسک ال‌ال‌سی، می‌گوید معمولاً مراجع معتبر صدور گواهینامه، گواهی‌های دیجیتال را صادر می‌کنند و همان سطح اعتمادی را که نسبت به خودشان وجود دارد، به ارائه‌کنندگان واسطه منتقل می‌کنند. با این حال، فرصت‌هایی برای یک نهاد کمونیستی (یک بازیگر بد) یا هر نهاد غیرقابل اعتماد دیگری فراهم می‌شود که برای افراد «شروری» گواهی صادر کنند که ظاهراً قابل اعتماد به‌نظر می‌رسند اما نیستند.

دورن می‌گوید: «وقتی گواهی از نهادی معتبر صادر می‌شود، قابل اعتماد است. اما آنچه در واقع می‌تواند مشکل‌آفرین باشد این است که صادرکننده می‌تواند این اعتماد را به کسی منتقل کند که نباید مورد اعتماد قرار گیرد.»

دورن می‌گوید به این خاطر است که هرگز نمی‌تواند به یک مرجع صدور گواهینامه چینی اعتماد کند. او می‌گوید می‌داند تعدادی از شرکت‌ها گواهی‌های چینی را ممنوع کرده‌اند زیرا برای نهادهایی صادر شده‌اند که قابل اعتماد نیستند.

جنکینسون می‌گوید مراجع چینی صدور گواهینامه بخش کوچکی از یک کل را تشکیل می‌دهند و گواهینامه‌هایی که صادر می‌کنند معمولاً محدود به نهادها و محصولات چینی است.

در سال ۲۰۱۵، گواهی‌هایی که توسط مرکز اطلاعات شبکه اینترنتی چین (CNNIC) صادر شده بودند، زیر سؤال رفت. این مرکز نهادی دولتی است که بر ثبت نام دامنه‌های چینی نظارت می‌کند. گوگل و موزیلا با اطلاع از گواهینامه‌های غیرمجاز دیجیتالی که به چندین دامنه متصل شده بودند، گواهینامه‌های CNNIC را ممنوع اعلام کردند. هر دوی این شرکت‌های اینترنتی به CNNIC اعتراض کردند که به شرکتی مصری اعتبار داده بود که گواهینامه‌های غیرمجاز صادر می‌کرد.

از سال ۲۰۱۶، موزیلا، گوگل، اپل و مایکروسافت مرجع چینی صدور گواهینامه، ووساین، و شرکت تبعه آن، استارت‌کام، را به دلیل رویه‌های امنیتی غیرقابل‌قبول ممنوع کرده‌اند.

جنکینسون یادآور می‌شود که بیشتر محصولات رایانه‌ای چینی از گواهی‌های دیجیتال چینی استفاده می‌کنند. بنابراین، کاربران چنین محصولاتی باید بدانند که با این کار ممکن است امنیت خود را به خطر بیاندازند.

مطالب دیگر:

چند دادستان‌ کل می‌گویند اگر دولت بایدن واکسیناسیون را برای کارکنان بخش خصوصی اجباری کند، شکایت خواهند کرد

با وجود نزدیک شدن آخرین مهلت‌ واکسیناسیون، صدها هزار سرباز آمریکایی هنوز واکسینه نشده‌اند

بایدن خواستار پیگرد قانونی افرادی شد که از احضاریه‌های ششم ژانویه سرپیچی می‌کنند

اخبار مرتبط