دیگر PPTP و WPA2 امن نیستند!

یکی از خبرهای مهم کنفرانس Defcon انتشار دو ابزار هک و رمزگشایی پروتکل‌های PPTP (سرنام  Point Tunneling Protocol Point-to-) و  WPA2 (سرنام Wireless Protocol Access Enterprise) بود. این دو پروتکل از سیستم احرازهویت MS-CHAPv2 مایکروسافت استفاده می‌کنند که برای نخستین‌بار در سیستم‌عامل ویندوز NT نسخه 4.0 SP4 مورد استفاده قرار گرفته است و هنوز برای احراز هویت شبکه‌های خصوصی مجازی (VPN) مبتنی بر PPTP یا WPA2 به‌کار می‌رود.

برای مشاهده ادامه خبر به ادامه مطلب مراجعه کنید

MS-CHAPv2 در سال 1999 توسط نرم‌افزارهای Brute Force (نرم‌افزارهایی که با آزمایش و خطا سعی می‌کنند رمزعبور یک سیستم را کشف کنند) مورد هدف قرار گرفته و آسیب‌پذیری آن مشخص شده بود اما مایکروسافت در آن زمان گفت که اگر کاربران از رمزهای عبور سخت و پیچیده طولانی استفاده کنند، هیچ نرم‌افزاری قادر به شکستن این رمزعبور نیست. این صحبت‌های مایکروسافت یک باور عمومی را درباره رمزهای عبور پیچیده، را ایجاد کرده بود تا این‌که Moxie Marlinspike سازنده ابزار ChapCrack آن را نادرست خوانده و باطل کرده است. این محقق ابزاری ارائه داده است که می‌تواند ترافیک شبکه شامل MS-CHAPv2 را کپی‌ و الگوبرداری کند و مراحل اولیه برقراری ارتباط (Handshake) روی شبکه را به یک کلید الگوریتم رمزنگاری DES تبدیل کند. سپس با ارائه دادن این کلید به سایتی مانند CloudCracker.com و گرفتن خروجی آن و دادن به ابزار ChapCrack به‌راحتی رمزعبور اولیه و کل نشست مبتنی بر MS-CHAPv2 را رمزگشایی کند. PPTP پروتکلی است که برای ایجاد شبکه‌های VPN کوچک و متوسط مورد استفاده قرار می‌گیرد و در شبکه‌های بزرگ از راهکارهای VPN شرکت‌هایی مانند سیسکو استفاده می‌شود که امن‌تر و مطمئن‌تر هستند. WPA2-Enterprise نیز پروتکل رمزنگاری مخصوص شبکه‌های بی‌سیم شرکتی است و کاربران خانگی کمتر از آن استفاده می‌کنند. با وجود این، ابزاری مانند ChapCrack یک تهدید بالقوه جدی برای سیستم‌عامل‌های ویندوزی و کاربران پروتکل‌های یاد شده است.

منبع:ماهانه شبکه