هشدار در مورد نرم افزار فیلترشکن رستم

چند روزی است که نرم افزار فیلترشکن جدیدی به نام رستم در اینترنت دست به دست می گردد. این نرم افزار آنچنان از ضعف امنیتی برخوردار است که به راحتی توانستیم یوزرنیم و پسورد صفحه لاگین سرور را به دست بیاوریم. این برنامه ابتدایی, ضعیف و غیر حرفه ای نه تنها حقوق کپی رایت برنامه Putty را رعایت نکرده و با زبان برنامه نویسی حرفه ای هم نوشته نشده بلکه به صورت کاملن غیر حرفه ای و ابتدایی از اسکریپ در ساخت برنامه استفاده شده است. و این ضعف های امنیتی برنامه میتواند به راحتی مورد سو استفاده هکرها قرار گیرد. همچنین با وجود این ضعفها نهادهای امنیتی ایران نیز می توانند به راحتی به سرور برنامه نفوذ و تمام عملکرد کاربران را رصد کنند.

 قسمتی از کدهای نرم افزار حاوی یوزرنیم و پسورد

این نرم افزار فیلترشکن ناامن توسط یک سایت به نام فیلترخور به آدرس اینترنتی: https://filterkhor.com در حال انتشار است. واین سایت تنها منبع رسمی منتشر کننده آن است و با توجه به اینکه آدرس این سایت در داخل کدهای برنامه دید شده پس احتمال زیاد میرود که توسط عوامل این سایت هم نوشته شده باشد.

اما از اینها گذشته منبعی که در حال تبلیغ گسترده این نرم افزار هست یکی از پیجهای فیسبوکی وابسته به بخش فارسی صدای آمریکا می باشد. صفحه PNN Technology درفیسبوک به آدرس:

https://www.facebook.com/donoghtesefr

با توجه به تبلیغات گسترده ای که این پیج در فیسبوک روی نرم افزار رستم و سایت فیلترخور دارد پس احتمال زیاد می رود که هم گردانندگان سایت فیلترخور و هم منتشر کننده اصلی برنامه رستم عوامل این پیج باشند.


بررسی نقاط ضعف امنیتی نرم افزار فیلترشکن رستم


1. بسته نرم افزاری “Rostam” بصورت بسیار ابتدائی تهیه شده طوری که اجزای تشکیل دهنده این بسته با بسیاری از برنامه‌های باز کننده زیپ فایل مانند “7zip” قابل تفکیک می‌باشد. 
همچنین میتوان به قابل دسترس بودن نام کاربری سرور، رمز عبور و کلید محافظ اشاره کرد. در این نرم افزار نه تنها هیچ نوآوری صورت نگرفته بلکه کدهایش از سایت زیر کپی‌ شده است: 

http://blog.slpo.net/?p=1234

2. در مورد کلید “ObfuscatedKeyword”, با داشتن این رمز، نهادهای امنیتی، هکر‌ها و بد افزارها به راحتی میتوانند از شبکه رمزگشایی کنند.

“ObfuscateKeyword Enables keyword protected obfuscated handshake.The server and client must be configured with the same keyword in order to initiate a connection.”

source:  https://github.com/brl/obfuscated-openssh

3. با در دست داشتن یوزر نیم و پسورد سرور, هکر‌ها و نهادهای امنیتی ایران میتوانند به ترافیکی که از فیلترشکن عبور میکند دسترسی‌ پیدا کنند “Tunnel” و سرور را رصد کنند. ابزارهای بسیار ساده و فرمان‌هایی‌ هست که به راحتی‌ می‌شود ترافیک رو بازخوانی کرد. مانند “TCPDUMP”

“tcpdump is a packet sniffer. It is able to capture traffic that passes through a machine. It operates on a packet level, meaning that it captures the actual packets that fly in and out of your computer. It can save the packets into a file. You can save whole packets or only the headers. Later you can “play” recorded file and apply different filters on the packets, telling tcpdump to ignore packets that you are not interested to see.”

Source:  http://www.alexonlinux.com/tcpdump-for-dummies

4. SSH Server و  SSH Clinet  بعد از پذیرفته شدن usename/password  و ObfuscatedKeyword توسط سرور و در زمان “handshake”  با یکدیگر به تبادل اطلاعات و اشتراک آنها می‌پردازند که یکی‌ از این موارد نوع “cipher” و “encryption algorithms” می‌باشد. نهادهای امنیتی ایران و هکر‌ها با در دست داشتن  usename/password  و ObfuscatedKeyword میتوانند به طور مستقل و با استفاده از (Putty (forked from Putty به الگوریتم تنظیم شده در سرور دسترسی‌ پیدا کنند و تمام اطلاعات کاربران رو رمز گشائی کنند.

 “Another speed tweak involves changing your encryption cipher. The default cipher on many older systems is triple DES (3DES), which is slower than Blowfish and AES. New versions of OpenSSH default to Blowfish.”

Source:  http://www.linuxjournal.com/node/6602/print

5. گذاشتن "Putty" بعلاوه یوزرنیم، پسورد و کلید مخفی‌ در کنار هم نه به صورت محافظت شده  تنها به هکر‌ها این امکان رو میدهد که “SSH Session Hijacking” رو بصورت محلی انجام بدهند، و به صورت منطقه ایی و برای تمام کاربران برنامه رستم مشکل آفرین شوند.

Source:

Whitepaper called SSLstrip - Hijacking SSH Sessions

http://packetstorm.igor.onlinedirect.bg/papers/general/sslstrip-hijack.pdf
http://thehackernews.com/2011/10/proof-of-concept-puttyhijack-hijack.html
http://www.cs.binghamton.edu/~steflik/cs455/sessionhijacking.htm

و اما انتقادهای وارده به صدای آمریکا این است که:
چرا یک نرم افزار غیر حرفه‌ ای را بدون گذراندن از "Audit process" منتشر کردند؟

Source:  https://en.wikipedia.org/wiki/Software_audit_review

چرا نرم افزار منتشر شده فاقد گواهینامه “windows code sign” می‌باشد؟ انتشار نرم افزار بدون گواهی نامه راه را برای افراد سودجو و هکر‌ها باز می‌گذارد تا به راحتی‌ نسخه تقلبی این برنامه را منتشر کنند. متاسفانه در ایران نرم افزارها بر روی سی‌ دی، یو اس‌ بی و ایمیل منتشر میشوند و هکر‌ها میتوانند با سواستفاده از نام صدای آمریکا نسخه تقلبی خودشون رو منتشر کنند.

 Source:

https://en.wikipedia.org/wiki/Code_signing

https://www.symantec.com/en/uk/verisign/code-signing/microsoft-authenticode

 انتشار نرم افزار بدون داشتن وبسایت اصلی!!! - وبسایتی که مشخصا مربوط به این نرم افزار باشد. آن را معرفی کند و خصوصیات نرم افزار در آن در دسترس عموم باشد. (از رسانه ای معروف مانند صدای آمریکا کار حرفه ای هم انتظار میرود).
 
نبودن software md5 checksum  ورژن؟

Source:  https://en.wikipedia.org/wiki/Checksum

در گزارشی که منتشر شده اشاره کردید که برنامه بصورت كد باز نوشته شده است. اما ساختار كد باز تا قبل از رسيدن به دست مصرف كننده معني دارد و وقتي ميخواهد منتشر شود بايد از بسته نرم افزاري محافظت شود. مانند سايفون، سايفون هم دارای كد باز می باشد ولي نسخه هاي منتشر شده به خوبی بسته بندي و رمز گذاري ميشوند و همچنین گواهينامه هم دارند.

و بسیار موارد دیگر که از عهده این گزارش خارج هست.

در پایان اشاره میکنیم که دلیل اینکه ما بر روی این نرم افزار حساسیت نشان میدهیم این است که این یک فیلترشکن است و میتواند در ایران مورد استفاده افرادی قرار گیرد که فعالیتهای حساسی مانند فعالیت سیاسی یا اجتماعی دارند و وجود ضعفهای امنیتی در این نرم افزار میتواند جان آنها را به خطر بیاندازد. و باز از منتشرکنندگان این نرم افزار در صدای آمریکا تقاضا داریم تا زمانی که معایب امنیتی این نرم افزار به صورت کامل برطرف نشده است از ادامه انتشار آن خودداری کنند.