۱۳۹۲/۰۵/۱۴

هشدار در مورد نرم افزار فیلترشکن رستم

چند روزی است که نرم افزار فیلترشکن جدیدی به نام رستم در اینترنت دست به دست می گردد. این نرم افزار آنچنان از ضعف امنیتی برخوردار است که به راحتی توانستیم یوزرنیم و پسورد صفحه لاگین سرور را به دست بیاوریم. این برنامه ابتدایی, ضعیف و غیر حرفه ای نه تنها حقوق کپی رایت برنامه Putty را رعایت نکرده و با زبان برنامه نویسی حرفه ای هم نوشته نشده بلکه به صورت کاملن غیر حرفه ای و ابتدایی از اسکریپ در ساخت برنامه استفاده شده است. و این ضعف های امنیتی برنامه میتواند به راحتی مورد سو استفاده هکرها قرار گیرد. همچنین با وجود این ضعفها نهادهای امنیتی ایران نیز می توانند به راحتی به سرور برنامه نفوذ و تمام عملکرد کاربران را رصد کنند.
 قسمتی از کدهای نرم افزار حاوی یوزرنیم و پسورد


این نرم افزار فیلترشکن ناامن توسط یک سایت به نام فیلترخور به آدرس اینترنتی: https://filterkhor.com در حال انتشار است. واین سایت تنها منبع رسمی منتشر کننده آن است و با توجه به اینکه آدرس این سایت در داخل کدهای برنامه دید شده پس احتمال زیاد میرود که توسط عوامل این سایت هم نوشته شده باشد.
اما از اینها گذشته منبعی که در حال تبلیغ گسترده این نرم افزار هست یکی از پیجهای فیسبوکی وابسته به بخش فارسی صدای آمریکا می باشد. صفحه PNN Technology درفیسبوک به آدرس:

با توجه به تبلیغات گسترده ای که این پیج در فیسبوک روی نرم افزار رستم و سایت فیلترخور دارد پس احتمال زیاد می رود که هم گردانندگان سایت فیلترخور و هم منتشر کننده اصلی برنامه رستم عوامل این پیج باشند.


بررسی نقاط ضعف امنیتی نرم افزار فیلترشکن رستم


1. بسته نرم افزاری “Rostam” بصورت بسیار ابتدائی تهیه شده طوری که اجزای تشکیل دهنده این بسته با بسیاری از برنامه‌های باز کننده زیپ فایل مانند “7zip” قابل تفکیک می‌باشد. 
همچنین میتوان به قابل دسترس بودن نام کاربری سرور، رمز عبور و کلید محافظ اشاره کرد. در این نرم افزار نه تنها هیچ نوآوری صورت نگرفته بلکه کدهایش از سایت زیر کپی‌ شده است: 

2. در مورد کلید “ObfuscatedKeyword”, با داشتن این رمز، نهادهای امنیتی، هکر‌ها و بد افزارها به راحتی میتوانند از شبکه رمزگشایی کنند.


“ObfuscateKeyword Enables keyword protected obfuscated handshake.The server and client must be configured with the same keyword in order to initiate a connection.”

3. با در دست داشتن یوزر نیم و پسورد سرور, هکر‌ها و نهادهای امنیتی ایران میتوانند به ترافیکی که از فیلترشکن عبور میکند دسترسی‌ پیدا کنند “Tunnel” و سرور را رصد کنند. ابزارهای بسیار ساده و فرمان‌هایی‌ هست که به راحتی‌ می‌شود ترافیک رو بازخوانی کرد. مانند “TCPDUMP”

“tcpdump is a packet sniffer. It is able to capture traffic that passes through a machine. It operates on a packet level, meaning that it captures the actual packets that fly in and out of your computer. It can save the packets into a file. You can save whole packets or only the headers. Later you can “play” recorded file and apply different filters on the packets, telling tcpdump to ignore packets that you are not interested to see.”

4. SSH Server و  SSH Clinet  بعد از پذیرفته شدن usename/password  و ObfuscatedKeyword توسط سرور و در زمان “handshake”  با یکدیگر به تبادل اطلاعات و اشتراک آنها می‌پردازند که یکی‌ از این موارد نوع “cipher” و “encryption algorithms” می‌باشد. نهادهای امنیتی ایران و هکر‌ها با در دست داشتن  usename/password  و ObfuscatedKeyword میتوانند به طور مستقل و با استفاده از (Putty (forked from Putty به الگوریتم تنظیم شده در سرور دسترسی‌ پیدا کنند و تمام اطلاعات کاربران رو رمز گشائی کنند.

 “Another speed tweak involves changing your encryption cipher. The default cipher on many older systems is triple DES (3DES), which is slower than Blowfish and AES. New versions of OpenSSH default to Blowfish.”

5. گذاشتن "Putty" بعلاوه یوزرنیم، پسورد و کلید مخفی‌ در کنار هم نه به صورت محافظت شده  تنها به هکر‌ها این امکان رو میدهد که “SSH Session Hijacking” رو بصورت محلی انجام بدهند، و به صورت منطقه ایی و برای تمام کاربران برنامه رستم مشکل آفرین شوند.

Source:
Whitepaper called SSLstrip - Hijacking SSH Sessions

و اما انتقادهای وارده به صدای آمریکا این است که:
چرا یک نرم افزار غیر حرفه‌ ای را بدون گذراندن از "Audit process" منتشر کردند؟

چرا نرم افزار منتشر شده فاقد گواهینامه “windows code sign” می‌باشد؟ انتشار نرم افزار بدون گواهی نامه راه را برای افراد سودجو و هکر‌ها باز می‌گذارد تا به راحتی‌ نسخه تقلبی این برنامه را منتشر کنند. متاسفانه در ایران نرم افزارها بر روی سی‌ دی، یو اس‌ بی و ایمیل منتشر میشوند و هکر‌ها میتوانند با سواستفاده از نام صدای آمریکا نسخه تقلبی خودشون رو منتشر کنند.

 Source:

 انتشار نرم افزار بدون داشتن وبسایت اصلی!!! - وبسایتی که مشخصا مربوط به این نرم افزار باشد. آن را معرفی کند و خصوصیات نرم افزار در آن در دسترس عموم باشد. (از رسانه ای معروف مانند صدای آمریکا کار حرفه ای هم انتظار میرود).
 

نبودن software md5 checksum  ورژن؟

در گزارشی که منتشر شده اشاره کردید که برنامه بصورت كد باز نوشته شده است. اما ساختار كد باز تا قبل از رسيدن به دست مصرف كننده معني دارد و وقتي ميخواهد منتشر شود بايد از بسته نرم افزاري محافظت شود. مانند سايفون، سايفون هم دارای كد باز می باشد ولي نسخه هاي منتشر شده به خوبی بسته بندي و رمز گذاري ميشوند و همچنین گواهينامه هم دارند.

و بسیار موارد دیگر که از عهده این گزارش خارج هست.

در پایان اشاره میکنیم که دلیل اینکه ما بر روی این نرم افزار حساسیت نشان میدهیم این است که این یک فیلترشکن است و میتواند در ایران مورد استفاده افرادی قرار گیرد که فعالیتهای حساسی مانند فعالیت سیاسی یا اجتماعی دارند و وجود ضعفهای امنیتی در این نرم افزار میتواند جان آنها را به خطر بیاندازد. و باز از منتشرکنندگان این نرم افزار در صدای آمریکا تقاضا داریم تا زمانی که معایب امنیتی این نرم افزار به صورت کامل برطرف نشده است از ادامه انتشار آن خودداری کنند.

۱۸ نظر:

  1. درود بر شما

    پاسخحذف
  2. سلام دمت گرم
    اگه امکان داره یک سایت قوی برای چک ای پی و مکان معرفی کنید

    پاسخحذف
  3. فیلتر شکن های گذاشته شده در همین سایت هم نا امنند یا آن ها سالمند؟
    وای بر صدای آمریکا!!!!

    پاسخحذف
  4. با سلام جناب ایران پراکسی شما میدونید چطوری میشه از یوتیوب دانلود کرد

    پاسخحذف
  5. این فیلتر شکن هیچ مشکلی نداره . من خودم چک کردم چون این وبلاگ با سایتfilterkhor.com مشکل داره برای همین میگه که فیلترشکن خرابه

    پاسخحذف
  6. این هشدار به این معنا نیست که همه برنامه هایی که فیلترخور برای دانلود گذاشته نا امن هستند اما فقط نرم افزارهایی که معتبر و معروف هستند تایید میشه. اگر اونجا قصد دارید برنامه ای دانلود کنید فقط آنهایی که معروف هستند مانند تور و سایفون و فریگیت را دانلود کنید چون وضعیت دیگر برنامه های اون سایت هنوز مشخص نیست.
    .........................
    نکته دیگر اینکه مشکل امنیتی برنامه چیزی فراتر از آی پی هست. ممکن هست این برنامه بتونه به خوبی سایتهای فیلترشده را باز کند اما مشکل اصلی و مهم اینجاست که به راحتی میتونه توسط عوامل جمهوری اسلامی هک بشه و سرور رو کنترل کنند بدون اینکه کسی متوجه بشه

    پاسخحذف
  7. آخه به عقل هر کی می رسه که اگه نا امن بود چگونه به راحتی توسط ایران پراکسی هک شد؟ اگه این طوری باشه که هر کی با هرکی(شرکت های سازنده ی فیلتر شکن) بده یا رقابت داره، می ره مال اون یکی رو هک می کنه و همه می گویند فلان فیلتر شکن نا امنه و شما الآن هیچ فیلتر شکنی در کار نبود و همه از وی پی ان مخابرات استفاده می کردند. حتما نا امنه دیگه...

    پاسخحذف
  8. سایت فیلتر خور مدت زیادی در زمینه مبارزه با فیلترینگ فعالت میکنه و اطلاعات خوبی در ابن زمینه در اختیار کاربران قرار میده ولی نباید با یک برنامه عبور از فیلتر که
    برنامه نویسی خیلی ابتدایی داره امنیت کاربران را به خطر بیاندازه

    پاسخحذف
  9. سلام و عرض خسته نباشید

    من فعلا از هات اسپات شیلد استفاده میکنم. اما مشکلی دارم از این قرار هست: وقتی پشت لب تاپ میشینم و هات اسپات رو راه اندازی میکنم و به شایت یورفریدام https://www.your-freedom.net/ میرم تا ببینم آی پی آدرسم عوض شده، مشکلی نیست. اما وقتی پشت pc میشینم که به طریق کابل به مودم وصل شده، به یورفریدام که میرم با تعجب میبینم که آی پی آدرس خودم رو زده!! جالب اینجاست در حالت عادی، سایت یورفریدام فیلتره! اما نه تنها ازش عبور میکنه بلکه آدرس خودمم میده!!

    اگر میشه راهنمایی بفرمایید و یا تست کنید.

    پاسخحذف
  10. سلام ایران پراکسی



    من کار به شدت امنیتی می کن...


    می خواستم بدونم با شماره تلفنی که به جیمیل داده ام می تونن منو شناسایی کنن به عنوان مثال از امکان پسوورد رمایندر گوگل استفاده کنن و بعد اس ام اس هایی که از طرف گوگل میاد رو چک کنن و ببینند به کدوم شماره از طرف گوگل اس ام اس میره و از این طریق منو شناسایی کنن به نظرت میتونن همچین کاری بکنن؟


    خواهشا کمک کنید

    مرسی

    پاسخحذف
  11. درود دوست عزیز. معمولن اپراتورهای شبکه قابلیت شنود تماسهای موبایل و خواندن اس ام اس ها رو دارند. البته هیچوقت نمیتونن همه آنها را کنترل کنند اما اگر بخواهند شماره خاصی را کنترل کنند امکانش هست.
    اما مشخص در مورد سئوال شما, وقتی یک شماره تلفن موبایل در گوگل ثبت میشه اپراتور متوجه این موضوع نمیشه. اونا فقط متوجه میشن که از طرف گوگل برای شما کدهایی برای باز کردن ایمیل ارسال میشه اما دیگه متوجه نمیشن که برای کدوم ایمیل استفاده میکنید.

    پاسخحذف
  12. دیشب برای مدتی سرعت اینترنت به شدت افت کرد. الان سرعت اینترنت عادی شده ولی سرعت فیلتر شکن های باقیمونده خیلی کم شده.

    پاسخحذف
  13. من نموده شدم تا با التراسورف این کامنت رو گذاشتم. ابن بلندگوهای شعار برای شعار نوشتن خوبن ولی وقتی موقع نوشتن مشکلات فیلتر شکن ها در یک بلاگ مربوط به این کار میشه گم و گور می شن! این سرعت فیلتر شکن ها خیلی اومده پائین امیدوارم موقت باشه و به قطعی منتج نشه!

    پاسخحذف
  14. حاج سید مشهدی کربلاییمرداد ۱۵, ۱۳۹۲

    سلـــام دوستان :
    دو نقطه صفر بارها و بارها مردم را سر کار گذاشته ، چند بار رسما در برنامه هاشون اعلام کرد که پیج ما در فیس بوک را لایک کنید تا به اعضا " وی پی ان " رایگان بدهیم و ...
    بعد از چند روز به صورت بی ادبانه تو پیج فیس بوکشان نوشته بود مگه اینجا " وی پی ان فروشیه" که از ما " وی پی ان " میخواهید ...
    دوباره بعد از چند وقت تو شبکشون اعلام کردند بیایید پیج ما را برای " وی پی ان " رایگان لایک کنید و ... ایضا" له !
    به عبارت دیگر واقعا مردم را مسخره کردند.
    و جالب هم اینجاست که کنگره آمریکا پییارسال 50 میلیون دلار جهت آنتی فیلترینگ ایران بودجه تصویب کرد و قسمت اعظم اون را به صدای آمریکا و رادیو فردا دادند ...! ولی اونها نام فیلتر شکنهای کند چینی را عوض کردند و به ایرانیها دادند ( مثل فری گیت به سیمرغ ویا اولتر سرف فارسی)
    >> ممنون <<

    پاسخحذف
  15. ‏‎PNN Technology‎‏
    پاسخ در مورد امنیت فیلترشکن رستم: در دو روز گذشته بحثی در موردِ امنیت فیلترشکنِ رستم بوجود اومده که از وب سایتِ آزاد نت نشات گرفته. بعضی دوستان ادعا کردند این فیلترشکن امنیت نداره. ما این قضیه رو با سازندگان رستم در میون گذاشتیم. تنها مدرکی که به عنوان ضعف امنیتی رستم نام برده شده، وجود نام کاربری و رمز عبور در کدِ باز این فیلترشکنه و نه چیز دیگری.
    پاسخ سازندگان رستم: به نظر میرسه منتقدین رستم از فناوری "اختفای تمام عیار رو به جلو" یا
    Perfect Forward Secrecy
    اطلاعی ندارند و گمان میکنند که به نام کاربری و رمز عبور سرور دست یافتند. اینطور نیست. ابزار بسیار کمی از
    Perfect Forward Secrecy
    استفاده میکنند که رستم یکی از اونهاست. این فیلترشکن از کدباز
    plonk.exe
    استفاده میکنه که شما هم میتونید امنیت اونرو مرور کنید.

    سازندگان رستم از دوستان منتقد دعوت کردند اگر مدرکِ درستی دارند حتماً به ما ارائه بدند تا بررسی بشه. به نظر میرسه مدرک ارائه داده شده نشانه نداشتن دانش کافی در موردِ "پنهان شناسی" یا کریپتاگرافی است.

    در ضمن در نظر داشته باشید که رستم رو به رشده و با همین بازخوردهاست که بهتر و بهتر خواهد شد. در حال حاضر ضعف امنیتی اشاره شده در اصل وجود خارجی نداره.
    برای اطلاع بیشتر در مورد فناوری "اختفای تمام عیار رو به جلو" میتونید به این صفحه برید:
    http://en.wikipedia.org/wiki/Perfect_forward_secrecy
    با تشکر

    پاسخحذف
  16. پاسخ در مورد امنیت فیلترشکن رستم: در دو روز گذشته بحثی در موردِ امنیت فیلترشکنِ رستم بوجود اومده که از وب سایتِ آزاد نت نشات گرفته. بعضی دوستان ادعا کردند این فیلترشکن امنیت نداره. ما این قضیه رو با سازندگان رستم در میون گذاشتیم. تنها مدرکی که به عنوان ضعف امنیتی رستم نام برده شده، وجود نام کاربری و رمز عبور در کدِ باز این فیلترشکنه و نه چیز دیگری.
    پاسخ سازندگان رستم: به نظر میرسه منتقدین رستم از فناوری "اختفای تمام عیار رو به جلو" یا
    Perfect Forward Secrecy
    اطلاعی ندارند و گمان میکنند که به نام کاربری و رمز عبور سرور دست یافتند. اینطور نیست. ابزار بسیار کمی از
    Perfect Forward Secrecy
    استفاده میکنند که رستم یکی از اونهاست. این فیلترشکن از کدباز
    plonk.exe
    استفاده میکنه که شما هم میتونید امنیت اونرو مرور کنید.

    سازندگان رستم از دوستان منتقد دعوت کردند اگر مدرکِ درستی دارند حتماً به ما ارائه بدند تا بررسی بشه. به نظر میرسه مدرک ارائه داده شده نشانه نداشتن دانش کافی در موردِ "پنهان شناسی" یا کریپتاگرافی است.

    در ضمن در نظر داشته باشید که رستم رو به رشده و با همین بازخوردهاست که بهتر و بهتر خواهد شد. در حال حاضر ضعف امنیتی اشاره شده در اصل وجود خارجی نداره.
    برای اطلاع بیشتر در مورد فناوری "اختفای تمام عیار رو به جلو" میتونید به این صفحه برید:
    http://en.wikipedia.org/wiki/Perfect_forward_secrecy

    پاسخحذف
  17. سلام ممنون از اطلاع رسونیتون موفق باشید

    پاسخحذف
  18. هشدارهاى ايران پروكسى نشان ميدهد كه اطلاعات چندانى در زمينه شبكه ندارند نمونه اين امر فيلترشكن توريفاير بود كه مشخص شد اصلاً ايران پروكسى اسم دقيق اين فيلترشكن را نتوانسته بود بفهمد و آن را تورفاير خوانده بود در صورتى كه اسم توريفاير در سايت تور وجود دارد. اگر يك فيلترشكن مشكل امنيتى داشته باشد ميتواند بسيار مخفى كارتر از روشهاى ساده لوحانه ايران پروكسى عمل كند. بسيارى از هشدارهاى امنيتى ايران پروكسى اشتباه بوده و ايشان حاضر به پذيرش اشتباه خود نيست

    پاسخحذف