چند روزی است که نرم افزار فیلترشکن جدیدی به نام رستم در اینترنت دست به دست می گردد. این نرم افزار آنچنان از ضعف امنیتی برخوردار است که به راحتی توانستیم یوزرنیم و پسورد صفحه لاگین سرور را به دست بیاوریم. این برنامه ابتدایی, ضعیف و غیر حرفه ای نه تنها حقوق کپی رایت برنامه Putty را رعایت نکرده و با زبان برنامه نویسی حرفه ای هم نوشته نشده بلکه به صورت کاملن غیر حرفه ای و ابتدایی از اسکریپ در ساخت برنامه استفاده شده است. و این ضعف های امنیتی برنامه میتواند به راحتی مورد سو استفاده هکرها قرار گیرد. همچنین با وجود این ضعفها نهادهای امنیتی ایران نیز می توانند به راحتی به سرور برنامه نفوذ و تمام عملکرد کاربران را رصد کنند.
قسمتی از کدهای نرم افزار حاوی یوزرنیم و پسورد
این نرم افزار فیلترشکن ناامن توسط یک سایت به نام فیلترخور به آدرس اینترنتی: https://filterkhor.com در حال انتشار است. واین سایت تنها منبع رسمی منتشر کننده آن است و با توجه به اینکه آدرس این سایت در داخل کدهای برنامه دید شده پس احتمال زیاد میرود که توسط عوامل این سایت هم نوشته شده باشد.
اما از اینها گذشته منبعی که در حال تبلیغ گسترده این نرم افزار هست یکی از پیجهای فیسبوکی وابسته به بخش فارسی صدای آمریکا می باشد. صفحه PNN Technology درفیسبوک به آدرس:
با توجه به تبلیغات گسترده ای که این پیج در فیسبوک روی نرم افزار رستم و سایت فیلترخور دارد پس احتمال زیاد می رود که هم گردانندگان سایت فیلترخور و هم منتشر کننده اصلی برنامه رستم عوامل این پیج باشند.
بررسی نقاط ضعف امنیتی نرم افزار فیلترشکن رستم
1. بسته نرم افزاری “Rostam” بصورت بسیار ابتدائی تهیه شده طوری که اجزای تشکیل دهنده این بسته با بسیاری از برنامههای باز کننده زیپ فایل مانند “7zip” قابل تفکیک میباشد.
همچنین میتوان به قابل دسترس بودن نام کاربری سرور، رمز عبور و کلید محافظ اشاره کرد. در این نرم افزار نه تنها هیچ نوآوری صورت نگرفته بلکه کدهایش از سایت زیر کپی شده است:
2. در مورد کلید “ObfuscatedKeyword”, با داشتن این رمز، نهادهای امنیتی، هکرها و بد افزارها به راحتی میتوانند از شبکه رمزگشایی کنند.
3. با در دست داشتن یوزر نیم و پسورد سرور, هکرها و نهادهای امنیتی ایران میتوانند به ترافیکی که از فیلترشکن عبور میکند دسترسی پیدا کنند “Tunnel” و سرور را رصد کنند. ابزارهای بسیار ساده و فرمانهایی هست که به راحتی میشود ترافیک رو بازخوانی کرد. مانند “TCPDUMP”
4. SSH Server و SSH Clinet بعد از پذیرفته شدن usename/password و ObfuscatedKeyword توسط سرور و در زمان “handshake” با یکدیگر به تبادل اطلاعات و اشتراک آنها میپردازند که یکی از این موارد نوع “cipher” و “encryption algorithms” میباشد. نهادهای امنیتی ایران و هکرها با در دست داشتن usename/password و ObfuscatedKeyword میتوانند به طور مستقل و با استفاده از (Putty (forked from Putty به الگوریتم تنظیم شده در سرور دسترسی پیدا کنند و تمام اطلاعات کاربران رو رمز گشائی کنند.
5. گذاشتن "Putty" بعلاوه یوزرنیم، پسورد و کلید مخفی در کنار هم نه به صورت محافظت شده تنها به هکرها این امکان رو میدهد که “SSH Session Hijacking” رو بصورت محلی انجام بدهند، و به صورت منطقه ایی و برای تمام کاربران برنامه رستم مشکل آفرین شوند.
چرا نرم افزار منتشر شده فاقد گواهینامه “windows code sign” میباشد؟ انتشار نرم افزار بدون گواهی نامه راه را برای افراد سودجو و هکرها باز میگذارد تا به راحتی نسخه تقلبی این برنامه را منتشر کنند. متاسفانه در ایران نرم افزارها بر روی سی دی، یو اس بی و ایمیل منتشر میشوند و هکرها میتوانند با سواستفاده از نام صدای آمریکا نسخه تقلبی خودشون رو منتشر کنند.
انتشار نرم افزار بدون داشتن وبسایت اصلی!!! - وبسایتی که مشخصا مربوط به این نرم افزار باشد. آن را معرفی کند و خصوصیات نرم افزار در آن در دسترس عموم باشد. (از رسانه ای معروف مانند صدای آمریکا کار حرفه ای هم انتظار میرود).
نبودن software md5 checksum ورژن؟
در گزارشی که منتشر شده اشاره کردید که برنامه بصورت كد باز نوشته شده است. اما ساختار كد باز تا قبل از رسيدن به دست مصرف كننده معني دارد و وقتي ميخواهد منتشر شود بايد از بسته نرم افزاري محافظت شود. مانند سايفون، سايفون هم دارای كد باز می باشد ولي نسخه هاي منتشر شده به خوبی بسته بندي و رمز گذاري ميشوند و همچنین گواهينامه هم دارند.
در پایان اشاره میکنیم که دلیل اینکه ما بر روی این نرم افزار حساسیت نشان میدهیم این است که این یک فیلترشکن است و میتواند در ایران مورد استفاده افرادی قرار گیرد که فعالیتهای حساسی مانند فعالیت سیاسی یا اجتماعی دارند و وجود ضعفهای امنیتی در این نرم افزار میتواند جان آنها را به خطر بیاندازد. و باز از منتشرکنندگان این نرم افزار در صدای آمریکا تقاضا داریم تا زمانی که معایب امنیتی این نرم افزار به صورت کامل برطرف نشده است از ادامه انتشار آن خودداری کنند.
بررسی نقاط ضعف امنیتی نرم افزار فیلترشکن رستم
1. بسته نرم افزاری “Rostam” بصورت بسیار ابتدائی تهیه شده طوری که اجزای تشکیل دهنده این بسته با بسیاری از برنامههای باز کننده زیپ فایل مانند “7zip” قابل تفکیک میباشد.
همچنین میتوان به قابل دسترس بودن نام کاربری سرور، رمز عبور و کلید محافظ اشاره کرد. در این نرم افزار نه تنها هیچ نوآوری صورت نگرفته بلکه کدهایش از سایت زیر کپی شده است:
2. در مورد کلید “ObfuscatedKeyword”, با داشتن این رمز، نهادهای امنیتی، هکرها و بد افزارها به راحتی میتوانند از شبکه رمزگشایی کنند.
“ObfuscateKeyword
Enables keyword protected obfuscated handshake.The server and client
must be configured with the same keyword in order to initiate a
connection.”
3. با در دست داشتن یوزر نیم و پسورد سرور, هکرها و نهادهای امنیتی ایران میتوانند به ترافیکی که از فیلترشکن عبور میکند دسترسی پیدا کنند “Tunnel” و سرور را رصد کنند. ابزارهای بسیار ساده و فرمانهایی هست که به راحتی میشود ترافیک رو بازخوانی کرد. مانند “TCPDUMP”
“tcpdump
is a packet sniffer. It is able to capture traffic that passes through a
machine. It operates on a packet level, meaning that it captures the
actual packets that fly in and out of your computer. It can save the
packets into a file. You can save whole packets or only the headers.
Later you can “play” recorded file and apply different filters on the
packets, telling tcpdump to ignore packets that you are not interested
to see.”
4. SSH Server و SSH Clinet بعد از پذیرفته شدن usename/password و ObfuscatedKeyword توسط سرور و در زمان “handshake” با یکدیگر به تبادل اطلاعات و اشتراک آنها میپردازند که یکی از این موارد نوع “cipher” و “encryption algorithms” میباشد. نهادهای امنیتی ایران و هکرها با در دست داشتن usename/password و ObfuscatedKeyword میتوانند به طور مستقل و با استفاده از (Putty (forked from Putty به الگوریتم تنظیم شده در سرور دسترسی پیدا کنند و تمام اطلاعات کاربران رو رمز گشائی کنند.
“Another
speed tweak involves changing your encryption cipher. The default
cipher on many older systems is triple DES (3DES), which is slower than
Blowfish and AES. New versions of OpenSSH default to Blowfish.”
5. گذاشتن "Putty" بعلاوه یوزرنیم، پسورد و کلید مخفی در کنار هم نه به صورت محافظت شده تنها به هکرها این امکان رو میدهد که “SSH Session Hijacking” رو بصورت محلی انجام بدهند، و به صورت منطقه ایی و برای تمام کاربران برنامه رستم مشکل آفرین شوند.
Source:
Whitepaper called SSLstrip - Hijacking SSH Sessions
http://packetstorm.igor.onlinedirect.bg/papers/general/sslstrip-hijack.pdf
http://thehackernews.com/2011/10/proof-of-concept-puttyhijack-hijack.html
http://www.cs.binghamton.edu/~steflik/cs455/sessionhijacking.htm
http://thehackernews.com/2011/10/proof-of-concept-puttyhijack-hijack.html
http://www.cs.binghamton.edu/~steflik/cs455/sessionhijacking.htm
و اما انتقادهای وارده به صدای آمریکا این است که:
چرا یک نرم افزار غیر حرفه ای را بدون گذراندن از "Audit process" منتشر کردند؟
چرا یک نرم افزار غیر حرفه ای را بدون گذراندن از "Audit process" منتشر کردند؟
چرا نرم افزار منتشر شده فاقد گواهینامه “windows code sign” میباشد؟ انتشار نرم افزار بدون گواهی نامه راه را برای افراد سودجو و هکرها باز میگذارد تا به راحتی نسخه تقلبی این برنامه را منتشر کنند. متاسفانه در ایران نرم افزارها بر روی سی دی، یو اس بی و ایمیل منتشر میشوند و هکرها میتوانند با سواستفاده از نام صدای آمریکا نسخه تقلبی خودشون رو منتشر کنند.
Source:
انتشار نرم افزار بدون داشتن وبسایت اصلی!!! - وبسایتی که مشخصا مربوط به این نرم افزار باشد. آن را معرفی کند و خصوصیات نرم افزار در آن در دسترس عموم باشد. (از رسانه ای معروف مانند صدای آمریکا کار حرفه ای هم انتظار میرود).
نبودن software md5 checksum ورژن؟
در گزارشی که منتشر شده اشاره کردید که برنامه بصورت كد باز نوشته شده است. اما ساختار كد باز تا قبل از رسيدن به دست مصرف كننده معني دارد و وقتي ميخواهد منتشر شود بايد از بسته نرم افزاري محافظت شود. مانند سايفون، سايفون هم دارای كد باز می باشد ولي نسخه هاي منتشر شده به خوبی بسته بندي و رمز گذاري ميشوند و همچنین گواهينامه هم دارند.
و بسیار موارد دیگر که از عهده این گزارش خارج هست.
در پایان اشاره میکنیم که دلیل اینکه ما بر روی این نرم افزار حساسیت نشان میدهیم این است که این یک فیلترشکن است و میتواند در ایران مورد استفاده افرادی قرار گیرد که فعالیتهای حساسی مانند فعالیت سیاسی یا اجتماعی دارند و وجود ضعفهای امنیتی در این نرم افزار میتواند جان آنها را به خطر بیاندازد. و باز از منتشرکنندگان این نرم افزار در صدای آمریکا تقاضا داریم تا زمانی که معایب امنیتی این نرم افزار به صورت کامل برطرف نشده است از ادامه انتشار آن خودداری کنند.
درود بر شما
پاسخحذفسلام دمت گرم
پاسخحذفاگه امکان داره یک سایت قوی برای چک ای پی و مکان معرفی کنید
فیلتر شکن های گذاشته شده در همین سایت هم نا امنند یا آن ها سالمند؟
پاسخحذفوای بر صدای آمریکا!!!!
با سلام جناب ایران پراکسی شما میدونید چطوری میشه از یوتیوب دانلود کرد
پاسخحذفاین فیلتر شکن هیچ مشکلی نداره . من خودم چک کردم چون این وبلاگ با سایتfilterkhor.com مشکل داره برای همین میگه که فیلترشکن خرابه
پاسخحذفاین هشدار به این معنا نیست که همه برنامه هایی که فیلترخور برای دانلود گذاشته نا امن هستند اما فقط نرم افزارهایی که معتبر و معروف هستند تایید میشه. اگر اونجا قصد دارید برنامه ای دانلود کنید فقط آنهایی که معروف هستند مانند تور و سایفون و فریگیت را دانلود کنید چون وضعیت دیگر برنامه های اون سایت هنوز مشخص نیست.
پاسخحذف.........................
نکته دیگر اینکه مشکل امنیتی برنامه چیزی فراتر از آی پی هست. ممکن هست این برنامه بتونه به خوبی سایتهای فیلترشده را باز کند اما مشکل اصلی و مهم اینجاست که به راحتی میتونه توسط عوامل جمهوری اسلامی هک بشه و سرور رو کنترل کنند بدون اینکه کسی متوجه بشه
آخه به عقل هر کی می رسه که اگه نا امن بود چگونه به راحتی توسط ایران پراکسی هک شد؟ اگه این طوری باشه که هر کی با هرکی(شرکت های سازنده ی فیلتر شکن) بده یا رقابت داره، می ره مال اون یکی رو هک می کنه و همه می گویند فلان فیلتر شکن نا امنه و شما الآن هیچ فیلتر شکنی در کار نبود و همه از وی پی ان مخابرات استفاده می کردند. حتما نا امنه دیگه...
پاسخحذفسایت فیلتر خور مدت زیادی در زمینه مبارزه با فیلترینگ فعالت میکنه و اطلاعات خوبی در ابن زمینه در اختیار کاربران قرار میده ولی نباید با یک برنامه عبور از فیلتر که
پاسخحذفبرنامه نویسی خیلی ابتدایی داره امنیت کاربران را به خطر بیاندازه
سلام و عرض خسته نباشید
پاسخحذفمن فعلا از هات اسپات شیلد استفاده میکنم. اما مشکلی دارم از این قرار هست: وقتی پشت لب تاپ میشینم و هات اسپات رو راه اندازی میکنم و به شایت یورفریدام https://www.your-freedom.net/ میرم تا ببینم آی پی آدرسم عوض شده، مشکلی نیست. اما وقتی پشت pc میشینم که به طریق کابل به مودم وصل شده، به یورفریدام که میرم با تعجب میبینم که آی پی آدرس خودم رو زده!! جالب اینجاست در حالت عادی، سایت یورفریدام فیلتره! اما نه تنها ازش عبور میکنه بلکه آدرس خودمم میده!!
اگر میشه راهنمایی بفرمایید و یا تست کنید.
سلام ایران پراکسی
پاسخحذفمن کار به شدت امنیتی می کن...
می خواستم بدونم با شماره تلفنی که به جیمیل داده ام می تونن منو شناسایی کنن به عنوان مثال از امکان پسوورد رمایندر گوگل استفاده کنن و بعد اس ام اس هایی که از طرف گوگل میاد رو چک کنن و ببینند به کدوم شماره از طرف گوگل اس ام اس میره و از این طریق منو شناسایی کنن به نظرت میتونن همچین کاری بکنن؟
خواهشا کمک کنید
مرسی
درود دوست عزیز. معمولن اپراتورهای شبکه قابلیت شنود تماسهای موبایل و خواندن اس ام اس ها رو دارند. البته هیچوقت نمیتونن همه آنها را کنترل کنند اما اگر بخواهند شماره خاصی را کنترل کنند امکانش هست.
پاسخحذفاما مشخص در مورد سئوال شما, وقتی یک شماره تلفن موبایل در گوگل ثبت میشه اپراتور متوجه این موضوع نمیشه. اونا فقط متوجه میشن که از طرف گوگل برای شما کدهایی برای باز کردن ایمیل ارسال میشه اما دیگه متوجه نمیشن که برای کدوم ایمیل استفاده میکنید.
دیشب برای مدتی سرعت اینترنت به شدت افت کرد. الان سرعت اینترنت عادی شده ولی سرعت فیلتر شکن های باقیمونده خیلی کم شده.
پاسخحذفمن نموده شدم تا با التراسورف این کامنت رو گذاشتم. ابن بلندگوهای شعار برای شعار نوشتن خوبن ولی وقتی موقع نوشتن مشکلات فیلتر شکن ها در یک بلاگ مربوط به این کار میشه گم و گور می شن! این سرعت فیلتر شکن ها خیلی اومده پائین امیدوارم موقت باشه و به قطعی منتج نشه!
پاسخحذفسلـــام دوستان :
پاسخحذفدو نقطه صفر بارها و بارها مردم را سر کار گذاشته ، چند بار رسما در برنامه هاشون اعلام کرد که پیج ما در فیس بوک را لایک کنید تا به اعضا " وی پی ان " رایگان بدهیم و ...
بعد از چند روز به صورت بی ادبانه تو پیج فیس بوکشان نوشته بود مگه اینجا " وی پی ان فروشیه" که از ما " وی پی ان " میخواهید ...
دوباره بعد از چند وقت تو شبکشون اعلام کردند بیایید پیج ما را برای " وی پی ان " رایگان لایک کنید و ... ایضا" له !
به عبارت دیگر واقعا مردم را مسخره کردند.
و جالب هم اینجاست که کنگره آمریکا پییارسال 50 میلیون دلار جهت آنتی فیلترینگ ایران بودجه تصویب کرد و قسمت اعظم اون را به صدای آمریکا و رادیو فردا دادند ...! ولی اونها نام فیلتر شکنهای کند چینی را عوض کردند و به ایرانیها دادند ( مثل فری گیت به سیمرغ ویا اولتر سرف فارسی)
>> ممنون <<
PNN Technology
پاسخحذفپاسخ در مورد امنیت فیلترشکن رستم: در دو روز گذشته بحثی در موردِ امنیت فیلترشکنِ رستم بوجود اومده که از وب سایتِ آزاد نت نشات گرفته. بعضی دوستان ادعا کردند این فیلترشکن امنیت نداره. ما این قضیه رو با سازندگان رستم در میون گذاشتیم. تنها مدرکی که به عنوان ضعف امنیتی رستم نام برده شده، وجود نام کاربری و رمز عبور در کدِ باز این فیلترشکنه و نه چیز دیگری.
پاسخ سازندگان رستم: به نظر میرسه منتقدین رستم از فناوری "اختفای تمام عیار رو به جلو" یا
Perfect Forward Secrecy
اطلاعی ندارند و گمان میکنند که به نام کاربری و رمز عبور سرور دست یافتند. اینطور نیست. ابزار بسیار کمی از
Perfect Forward Secrecy
استفاده میکنند که رستم یکی از اونهاست. این فیلترشکن از کدباز
plonk.exe
استفاده میکنه که شما هم میتونید امنیت اونرو مرور کنید.
سازندگان رستم از دوستان منتقد دعوت کردند اگر مدرکِ درستی دارند حتماً به ما ارائه بدند تا بررسی بشه. به نظر میرسه مدرک ارائه داده شده نشانه نداشتن دانش کافی در موردِ "پنهان شناسی" یا کریپتاگرافی است.
در ضمن در نظر داشته باشید که رستم رو به رشده و با همین بازخوردهاست که بهتر و بهتر خواهد شد. در حال حاضر ضعف امنیتی اشاره شده در اصل وجود خارجی نداره.
برای اطلاع بیشتر در مورد فناوری "اختفای تمام عیار رو به جلو" میتونید به این صفحه برید:
http://en.wikipedia.org/wiki/Perfect_forward_secrecy
با تشکر
پاسخ در مورد امنیت فیلترشکن رستم: در دو روز گذشته بحثی در موردِ امنیت فیلترشکنِ رستم بوجود اومده که از وب سایتِ آزاد نت نشات گرفته. بعضی دوستان ادعا کردند این فیلترشکن امنیت نداره. ما این قضیه رو با سازندگان رستم در میون گذاشتیم. تنها مدرکی که به عنوان ضعف امنیتی رستم نام برده شده، وجود نام کاربری و رمز عبور در کدِ باز این فیلترشکنه و نه چیز دیگری.
پاسخحذفپاسخ سازندگان رستم: به نظر میرسه منتقدین رستم از فناوری "اختفای تمام عیار رو به جلو" یا
Perfect Forward Secrecy
اطلاعی ندارند و گمان میکنند که به نام کاربری و رمز عبور سرور دست یافتند. اینطور نیست. ابزار بسیار کمی از
Perfect Forward Secrecy
استفاده میکنند که رستم یکی از اونهاست. این فیلترشکن از کدباز
plonk.exe
استفاده میکنه که شما هم میتونید امنیت اونرو مرور کنید.
سازندگان رستم از دوستان منتقد دعوت کردند اگر مدرکِ درستی دارند حتماً به ما ارائه بدند تا بررسی بشه. به نظر میرسه مدرک ارائه داده شده نشانه نداشتن دانش کافی در موردِ "پنهان شناسی" یا کریپتاگرافی است.
در ضمن در نظر داشته باشید که رستم رو به رشده و با همین بازخوردهاست که بهتر و بهتر خواهد شد. در حال حاضر ضعف امنیتی اشاره شده در اصل وجود خارجی نداره.
برای اطلاع بیشتر در مورد فناوری "اختفای تمام عیار رو به جلو" میتونید به این صفحه برید:
http://en.wikipedia.org/wiki/Perfect_forward_secrecy
سلام ممنون از اطلاع رسونیتون موفق باشید
پاسخحذفهشدارهاى ايران پروكسى نشان ميدهد كه اطلاعات چندانى در زمينه شبكه ندارند نمونه اين امر فيلترشكن توريفاير بود كه مشخص شد اصلاً ايران پروكسى اسم دقيق اين فيلترشكن را نتوانسته بود بفهمد و آن را تورفاير خوانده بود در صورتى كه اسم توريفاير در سايت تور وجود دارد. اگر يك فيلترشكن مشكل امنيتى داشته باشد ميتواند بسيار مخفى كارتر از روشهاى ساده لوحانه ايران پروكسى عمل كند. بسيارى از هشدارهاى امنيتى ايران پروكسى اشتباه بوده و ايشان حاضر به پذيرش اشتباه خود نيست
پاسخحذف