جی‌میل شما در خطر هک است، لطفا جدی بگیرید!

در کنفرانس Defcon Hackers که اخیرا در لاس‌وگاس برگزار شد، ابزاری برای سرقت خودکار شناسه‌های (ID) رمزگذاری نشدهٔ (non-encrypted) نشست‌ها (Sessions) و ورود مخفیانه به حساب‌های میل گوگل (جی‌میل) معرفی شد.

هفتهٔ پیش گوگل یک امکان جدید را در جی‌میل معرفی کرد که به کاربران اجازه می‌دهد که به صورت کامل از SSL در همهٔ اعمال، از جمله جی‌میل استفاده کنند (نه فقط برای شناسایی و ورود). کابرانی که این امکان را هنوز روشن نکرده‌اند، حالا یک دلیل جدی دارند که هر چه زودتر، از این ابزار جدید گوگل استفاده کنند. مایک پری، یک مهندس معکوس از سان فرانسیسکو که ابزار سرقت خودکار شناسه‌های رمزگذاری نشدهٔ نشست‌های گوگل را نوشته، در نظر دارد تا در ۲ هفته این ابزار را منتشر کند.
وقتی که شما وارد جی‌میل می‌شوید (Login)، وب‌سایت جی‌میل یک کوکی (یک پروندهٔ متنی) شامل شناسهٔ نشست شما را به مرورگر ارسال می‌کند. این پرونده (File) به وب‌سایت این امکان را می‌دهد که شما را به عنوان یک کاربر «تایید هویت شده» و وارد شده، برای دو هفته بشناسد (مگر اینکه خودتان از جی‌میل خارج -Sign Out- شوید). یعنی هنگامی که شما Sign out را می‌زنید، کوکی پاک می‌شود.

حتی اگر ازبرای وارد شدن به جی‌میل از «تایید هویت از طریق SSL» استفاده می‌کنید. کافی نیست، اصلا امن نیست! چون بعد از مرحلهٔ تایید هویت (Authentication)، به حالت اتصال معمولی رمزگذاری نشده برمی‌گردد. بنا به گفتهٔ گوگل، این رفتار جی‌میل به خاطر اینترنت کم‌سرعت کاربران انتخاب شده است چون اتصالات SSL ای (SSL Connections) کند هستند.

مشکل اصلی اینجاست که وقتی شما به هر قسمتی از جی‌میل وارد می‌شوید و کاری انجام می‌دهید، حتی یک تصویر می‌بینید، مرورگر شما، کوکی شما را به وب‌سایت ارسال می‌کند. این کار یک فدر نفوذگر را قادر می‌سازد تا در بین راه شبکهٔ شما گوش بایستد و یک تصویر به http://mail.google.com درج کند و مرورگر شما را مجبور کند که پروندهٔ کوکی شما را همراه شناسهٔ نشست شما به او ارسال کند. هنگامی که این اتفاق افتاد، فرد نفوذگر این اجازه را می‌یابد که بدون پسورد، وارد حساب جی‌میل شما شود. کاربرانی که از شبکه‌های سازمانی یا شبکه‌های بی‌سیم (مثل مجتمع پایتخت و دانشگاه‌ها) استفاده می‌کنند، نسبت که کسانی که از شبکه‌های سیمی امن استفاده می‌کنند، بیشتر مورد تهدید هستند.
همچنین آقای پری ذکر کرد که خود او، گوگل را حدود یک سال پیش از این ماجرا مطلع کرده است. با این حال، ناراحتی او از کمبود اطلاع‌رسانی است. او می‌گوید، «گوگل پس از معرفی امکان جدید خود، دلیل استفاده از آنرا به کاربران اطلاع نداده است.» همچنین او اشاره کرد که کسانی که از نشست‌های https:// برای ورود به جی‌میل استفاده می‌کنند نیز در خطر حمله هستند، و تنها راه جلوگیری از هک شدن، فعال‌کردن امکان جدید جی‌میل است.
پس اگر برای ورود به حساب جی‌میل خود از مکان‌های مختلفی استفاده می‌کنید، هیچ وقت فکر نکنید که اگر با آدرس https://mail.google.com وارد جی‌میل شوید، می‌توانید از هک شدن جلوگیری کنید.

منبع: سیستم ایران (به نقل از Slashdot)
پی‌نوشت نویسنده: چون در ایران، شبکه‌های ما از امنیت بالایی برخودار نیستند و ISP های ما می‌توانند به عنوان نفوذگر با این روش عمل کنند، با اینکه با فعال کردن امکان جدید جی‌میل، سرعت جی‌میل کند می‌شود، باید از آن استفاده کنید (اگر نمی‌خواهید هک شوید)!!! در ادامه باید به عنوان یک مدیر شبکه و یک کاربر حرفه‌ای بگم که حتی اگر فقط از شرکت یا سازمان خود وارد جی‌میل می‌شوید، حتما این امکان را فعال کنید، چون هیچ فردی جز خود شما مورد اعتماد نیست.
در ادامه، یک راهنمای تصویری برای فعال کردن امکان Always Use HTTPS جی‌میل قرار دارد.

در آخر باید بگم که این خبر کاملا جدی است و شوخی بردار نیست! اگر امنیت خود و اطلاعاتتون واستون مهمه! حتما این کار را باید انجام بدید و به تمام دوستان و آشنایان این مهم را اطلاع دهید.

تنها روش جلوگیری از نفوذپذیری و هک جی‌میل:

۱- ابتدا با اطلاعات حساب کاربری خود وارد جی‌میل شوید.

۲- در قسمت راست، بالای صفحه، گزینهٔ Settings را انتخاب کنید.

۳- در قسمت Browser Connection در قسمت پایینی صفحه، گزینهٔ Always use https را انتخاب کنید.

۴- دکمهٔ Save Changes را انتخاب کنید.

مطالب مرتبط:

• برای کامپیوتر خود کلید بگذارید!
  در سایتهای دانلود، نرم افزارهای زیادی برای قفل کردن رمز گذاشتن و موارد مشابه از این قرار داده میشود ولی خوب وظیفه این سایتها فقط معرفی و دانلود است ولی ما قرار است که اینجا یک برنامه کاربردی را بررسی ...
• مایکروسافت آپدیت جدید برای گواهینامه های ssl ارائه کرد!
  مایکروسافت هم اکنون آپدیت مربوط به چک کردن گواهینامه های SSL را منتشر کرد. این آپدیت که با نام KB2607712 شناخته میشه کارش چک کردن گواهینامه های ssl است که نسخه اصلی و جعلی آنرا تشخیص میدهد. به ویندوز ...
• cocoon دربرابر گواهینامه های جعلی ssl امن ترین است
  باز هم خبر گواهینامه های جعلی ssl برای ایرانیان منتشر شد. (لینک خبر) و میدانم تا الان توصیه های زیادی هم منتشر شده در فضای مجازی فارسی که به آنها هم باید توجه شود مثل: بروز کردن مرورگر به آخرین نسخه و...
• ارتباطات و امنیت در vpn ها
  اسم vpn در ایران کاملا برای کاربران اینترنت آشناست و در صورتی که این محدودیتهای اینترنت نبود خوب این کاربران هم هیچگاه اسمش را نمیشنیدند مگر اینکه شبکه مطالعه میکردند کلا باید کم کم قضیه vpn هم در ایر...
• چطوری ایمیلها را امن کنیم؟
  همین چند وقت پیش بود خبر دزیده شدن گواهینامه های SSL توی اینترنت پخش شد که باعث شد من در همین سایت سریع یه بسته امنیتی از مایکروسافت معرفی کنم که سریع دانلود کنید تا گواهینامه ssl تشخیص داده شود. همین...
• فوری: دانلود جدیدترین نسخه امنیتی مایکروسافت
  این بسته امنیتی دانلود تشخیص میدهد که آیا سایتی که در اینترنت باز میکنید از قبیل سایتهای مهم مثل Gmail.Yahoo,Skype و ... آیا گواهینامه SSL معتبر دارند یا جعلی هستند. برای دریافت دانلود دو راه دارید یک...
• جلوگیری از رد شدن پسورد ویندوز
  در همین هفته مقاله ای منتشر شد در سایت نگهبان با عنوان "تغییر یا تنظیم مجدد رمز عبور ویندوز از طریق لایو سی دی اوبونتو"  که شاید این تردید را در دل بندازه که میشه از پسورد ویندوز هم عبور کرد یا نمونه ...
• باگ 17 ساله ویندوز سرانجام توسط مایکروسافت برطرف خواهد شد.
  به گزارش خبرنامه کامپیوتر و وب www.PcWebPaper.com از BBC News، بروز رسانی ماه فوریه ویندوز این راه نفوذ قدیمی ویندوز که از زمان سیستم عامل داس باقی مانده است را میبندد. آسیب پذیری و مشکلی که ابتدا در ...

در مورد نویسنده

Microsoft Certified System Engineer, Microsoft Certified IT Professional, Cisco Certified Network Associate, Certified Wireless Network Administrator

۸ نظر در "جی‌میل شما در خطر هک است، لطفا جدی بگیرید!"

1. 

   علیرضا فروردین ۱۶, ۱۳۸۸ در ۱۰:۰۶ ب.ظ · پاسخ دادن

   سلام علی جان یه سوال
   من تو ایمیل یاهو یعنی تو اینباکس تعداد زیادی میل دارم میخوام اونهایی که قدیمی شدن رو پاک کنم نمیدونم چیجوری این کارو بکنم
   لطفا راهنمایی کنید

   مرورگر این کاربر Unknown سیستم عامل این کاربر Unknown
2. 

   RminFX شهریور ۱۱, ۱۳۸۸ در ۱۱:۲۳ ق.ظ · پاسخ دادن

   علیرضا جان خیلی ساده شما اگه ADSL داری که نسخه یاهو میلت رو جدید کن بعد تو اینباکس برو و بعد هم میل هات رو مارک آل کن بعد اون هایی که جدید هستند رو تیکش رو بردار و بعد گزینه Delet رو بزن.

   مرورگر این کاربر Unknown سیستم عامل این کاربر Unknown
3. 

   امیر مهر ۵, ۱۳۸۸ در ۲:۲۹ ق.ظ · پاسخ دادن

   سلام
   این سرویس برای کسانی که از برنامه های جانبی مثل outlook برای دیدن ایمیل استفاده میکنند هم مفیده؟ چون در اینجا بحث سر مرورگر بود.

   مرورگر این کاربر Unknown سیستم عامل این کاربر Unknown
   • 

     علی مختاری مهر ۵, ۱۳۸۸ در ۱۱:۲۴ ق.ظ · پاسخ دادن

     نه برای نرم افزارها مشکلی نیست.

     مرورگر این کاربر Unknown سیستم عامل این کاربر Unknown
4. 

   alvar شهریور ۱۷, ۱۳۸۹ در ۱۰:۴۱ ب.ظ · پاسخ دادن

   aga top az noe foladen

   مرورگر این کاربر Opera 10.10 سیستم عامل این کاربر Windows XP
5. 

   zira اسفند ۹, ۱۳۸۹ در ۱۲:۰۵ ق.ظ · پاسخ دادن

   با سلام وارد جی میل میشوم اما نمیتونم ای میل ها مو باز کنم لطفا راهنماییم کنین

   مرورگر این کاربر Google Chrome 1.0.154.36 سیستم عامل این کاربر Windows XP
   • 

     علی مختاری اسفند ۹, ۱۳۸۹ در ۱۲:۳۲ ق.ظ · پاسخ دادن

     عزیز این کروم را آپدیت کن.

     مرورگر این کاربر Google Chrome 9.0.597.98 سیستم عامل این کاربر Windows 7
6. 

   zira اسفند ۹, ۱۳۸۹ در ۲:۰۴ ق.ظ · پاسخ دادن

   با سلام و با تشکر از شما بخاطر راهنمایی تون

   مرورگر این کاربر Google Chrome 9.0.597.84 سیستم عامل این کاربر Windows XP

یک نظر بدید