اکثریت قریب به اتفاق نزدیک به ۲۰۰ هزار سایت بررسی شده در این طرح، نیاز به کمک جدی برای رفع مشکلات مربوط به پیادهسازی SSL داشتند.طبق بررسی جدید Trustworthy Internet Movementدر طرح PulseSSL، هفتاد و پنج درصد سایتها در مقابل حمله BEAST SSL آسیبپذیر هستند.
شرکت Trustworthy Internet Movement پیرو طرحی جدید با نام PulseSSL، کیفیت و ایمنی سایتهای برتر در سراسر اینترنت بررسی کرد که طی آن ۷۵ درصد این سایتها در مقابل حمله BEAST SSL آسیبپذیر شناخته شده و تنها ۱۰ درصد از سایتهای بررسی شده، امن برآورد شدند.
به گزارش ایتنا به نقل از پاد، طرح PulseSSL، مولفههای زیادی که در سایتهایی که در آنها SSL پیادهسازی شده را برای تعیین میزان امنیت آن سایت مورد بررسی قرار میدهد.
این طرح بررسی میکند که هر سایت از کدام پروتکلهای TSL و SSL پشتیبانی میکند و آیا در مقابل حمله BEAST و دیگر حملات آسیبپذیر هست یا خیر.
اطلاعاتی که به وسیله این طرح جمعآوری شد نشانگر این است که اکثریت قریب به اتفاق از نزدیک به ۲۰۰ هزار سایت بررسی شده در این طرح، نیاز به کمک جدی برای رفع مشکلات مربوط به پیادهسازی SSL داشتند.
آمار نگرانکننده دیگری که به وسیله این طرح جمعآوری شد، نشاندهنده این است که تعداد ۱۴۸ هزار مورد از سایتهای بررسی شده در مقابل حمله BEAST آسیبپذیر هستند.
حمله BEAST توسط دو محقق به نامهای Juliano Rizzo و Thai Duong ایجاد شده که سال پیش افشا شد.
این حمله از chosen-plaintext استفاده میکند که علیه پیادهسازی AES در پروتکل TLS 1.0 انجام میشود و برای حملهکننده امکان استفاده از ابزاری خاص برای سرقت و رمزگشایی کوکیهای HTTPS را فراهم میکند.
سپس حملهکننده میتواند درخواستهای SSL توسط قربانی به سایتهای تجارت الکترونیکی و یا اینترنت بانک را برباید.
حمله BEAST بسیار پیچیده است، اما نگرانی جدی و واقعیت این است که سه چهارم از سایتهایی که در این طرح مورد بررسی قرار گرفتند، هنوز هم در معرض انواع حملات دردسرساز هستند.
این سایتها میتوانستند تنها با کاهش انتشار TSL 1.0 میزان حملات را کاهش دهند و برای این کار لازم بود که تنظیمات سرورهایشان به طوری باشد که در طی ارسال درخواستهای TSL 1.0 و SSL 3.0 تنها از حروف رمزی RC4 استفاده کنند.
نگرانی بزرگ دیگر درباره اطلاعات به دست آمده از گزارش SSL Pulse این است که یک سوم از سایتهایی که از پروتکل SSL 2.0 پشتیبانی میکنند ناامن تلقی میشوند.
متخصصان توصیه میکنند که به دلیل ضعف موجود در SSL 2.0 از این ورژن استفاده نشود.
Trustworthy Internet Movement در سال اخیر شکل گرفت که توسط Philippe Courtot مدیر عامل شرکت Qualys حمایت میشود و نیروهای متخصصی در زمینه SSL مانند Ivan Ristic ازQualys، Moxie Marlinspike از Whisper Systems و Twitter و Adam Langley از Google عضو این مجموعه هستند.
Ristic در یک پست از سایت مجموعه Trustworthy Internet Movement میگوید دادههای جمعآوری شده توسط این تحقیق قطعی نیست و این نشانه خوبی است از آنچه در سایتهای امن SSL اتفاق میافتد.
Ristic بیان میکند: "نتایج آزمونهای انجام شده در زمینه SSL که برای خلاصه کردن نتایج به دست آمده از کیفیت پیکربندی SSL انجام شده است، نشانگر این است که نزدیک به ۵۰ درصد (۹۹۹۰۳ سایت) رتبه A دریافت کردهاند که نتیجه خوبی است. این در حالی است که گزارش قبلی حاکی از این بود که ۳۳ درصد از سایتها به خوبی پیکربندی شدهاند.
این بدین معنی است که سایتهای محبوبتر امنتر شدهاند.
متاسفانه، بسیاری از سایتهایی که رتبه A دریافت کردهاند هنوز از ارتباطات ناامن استفاده میکنند (۸۵۲۲ سایت یا ۸.۵ درصد از سایتهای با پیکربندی خوب) و یا تعداد ۷۲۳۵۷ یا ۷۲.۴ درصد از این سایتها در مقابل حمله BEAST آسیبپذیر هستند.
این آمارنشان میدهد که تنها تعداد ۱۹۰۲۴ سایت (۹.۵۹ درصد از کل سایتها) در این سطح از تجزیه و تحلیل واقعا امن هستند."
هک یکی از بزرگ ترین فروشگاه های اندرویدی ایران 
