۱۳۹۷/۱۱/۱۷ فناوری اطلاعات

کی بازار- در ماه سپتامبر، اعضای تیم امنیتی گوگل کروم تصمیم به انجام اقدامی اساسی گرفتند: قطع URLها به شکلی که همیشه می‌شناختیم‌شان. این محققین در واقع طرفدار تغییر دادن زیربنای سازه‌ی وب نیستند؛ اما با این حال دوست دارند نحوه‌ی انتقال سایت‌هایی که -توسط مرورگرها- از آن‌ها دیدن می‌کنیم بازسازی شود تا دیگر نیازی نباشد با یوآرال‌های بسیار بلند و پیچیده (که راه کلاهبرداری را نیز هموار می‌کنند) سر و کله بزنیم.

امیلی استارک (مدیر بخش امنیت قابل‌کاربرد کروم) در سخنرانی خودش در کنفرانس امنیتی Bay Area Enigma  روز سه‌شنبه از اولین اقدامات گوگل برای ساخت هویت وبسایت محکم‌تری خبر داد.

استارک تأکید می‌کند که گوگل قصد ندارد با حذف کردن URLها موجب بی‌نظمی، هرج و مرج و گیج شدن کاربران شود. بلکه در عوض می‌خواهد کار را برای هکرها سخت‌تر کند. در حال حاضر، URLها آنقدر پیچیده و ابهام‌آمیزند که براحتی می‌توانند بهترین جولانگاه برای هکرها باشند. در واقع هکرها با سوءاستفاده از چنین فضای گیج‌کننده‌ای می‌توانند روی اقدامات اسکم خود درپوش بگذارند: آن‌ها می‌توانند لینکی مخرب که به ظاهر شبیه سایتی قانونی است بسازند اما در باطن به طور اتوماتیک قربانی‌ها را به صفحه‌ی فیشینگ هدایت کنند. یا همچنین قادرند صفحات مخربی را با URL‌های جعلی -که شبیه به URL‌های واقعی‌اند-طراحی کنند و امید داشته باشند قربانی‌ها نفهمند سایت Google نیست، بلکه G00gle است. تیم کروم در حال حاضر روی دو پروژه با هدف شفاف‌سازی فضا برای کاربران کار می‌کند و در این مسیر باید با کدهای URL جعلی بسیاری مبارزه کند.

استارک در مصاحبه‌اش با WIRED چنین گفت: «آنچه ما در واقع داریم از آن حرف می‌زنیم تغییر نحوه‌ی نمود هویت سایت است. مردم باید براحتی و خیلی سریع متوجه شوند که در کدام سایت هستند و حتی نباید ذره‌ای در مورد هویت وبسایت دچار شک شده و کارشان به بررسی و چک کردن برسد».

در ادامه وی به این مسئله اشاره دارد که: «چالش اصلی ما جلوگیری از ضعیف جلوه دادن شدنِ دامنه‌های قانونی است و اینکه چطور کاری کنیم که کاربران به چنین دامنه‌های مشروعی شک نکنند».

تلاش‌های تیم کروم تا کنون بیشتر بر یافتن برای شناسایی URL‌هایی که یک‌جورهایی به نظر می‌رسند دارند از خط اصلی منحرف می‌شوند متمرکز بوده است. راه چاره برای این موضوع، ابزار منبع بازی به نام TrickURI می‌باشد که برای اولین بار استارک آن را سخنرانی خود معرفی کرد. این ابزار در حقیقت به توسعه‌دهندگان کمک می‌کند تا چک کنند ببینند نرم‌افزارشان URLها دارد به دقت و به طور پیوسته‌ای نمایش می‌دهد یا نه. هدف این است که توسعه‌دهندگان بتوانند چیزی داشته باشند که با آن بشود دید URLها در وضعیت‌های مختلف چطور به کاربران نمایش داده می‌شوند. جدا از TrickURI، استارک و همکارانش همچنین در حال کار کردن بر روی ایجاد برخی هشدارها برای کاربران کروم هستند. ماجرا از این قرار است که آن‌ها می‌خواهند کاری کنند تا وقتی یک URL مشکوک به نظر رسید به کاربران هشدار داده شود. این هشدارها همچنان در مرحله‌ی آزمایشی‌اند چراکه جنبه‌ی اکتشافی این بخش بسیار پیچیده و زمان‌بر است. این کار باید به قدری دقیق صورت گیرد که حتی یک وبسایت قانونی که میان سایت‌های آلوده به اشتباه بُر نخورد. برای کاربران گوگل، هنوز هم اولین خط دفاعی مقابل عملیات فیشینگ و سایر اسکم‌های آنلاین، پلت‌فرم Safe Browsing این شرکت است. اما تیم کروم در صدد ارتقای این پلت‌فرم است تا به طور خاص روی شناسایی درست و تمیز دادن URLهای جعلی و ورسمی تمرکز شود.

 

استارک: «اکتشافات ما در خصوص شناسایی URL‌های گمراه‌کننده شامل مقایسه‌ی کاراکترهایی است که به همدیگر شباهت دارند و همچنین دامنه‌هایی که (تنها در چند بخش جزئی کاراکتر) با همدیگر متفاوت‌اند. هدف ساخت مجموعه‌ای از روش‌های اکتشافاتی است که مهاجمین را از URL به شدت گمراه‌کننده دور می‌کند. که البته چالش اصلی تمیز دادن یوآرال‌های قانونی از غیرقانونی‌هاست بطوریکه حتی یک درصد هم کاربران به آن‌ها شک نکنند. برای همین است که پروسه‌ی عرضه‌ تا این حد کند جلو می‌رود زیرا اساس کار، تجربی و آزمایشی است».

تیم امنیتی کروم هم پیش از این اقدامات امنیتی گسترده (جهان‌شمول) انجام داده بود که البته در طی 5 سال گذشته تا حدی موفق هم بوده اما این رویکرد ضعف هایی هم داشت. در حقیقت همانقدر که این اقدامات می‌توانست تأثیر مثبتی داشته باشد می‌توانست بالقوه باعث گمراهی و یا سوءاستفاده هم بشود. با این حال امید است استراتژی جدید گوگل بتواند در بخش امنیتی و حریم خصوصی کروم را وارد مرحله‌ی ‌جدیدی از تجربه‌ی وبی بکند.

 

منبع: کی بازار (فروشگاه آنلاین نرم افزارهای اورجینال)، با دریافت انواع لایسنس‌های معتبر از تامین‌کنندگان جهانی این امکان را برای تمام کاربران فراهم آورده است تا در چند ثانیه، از خدماتی بین‌المللی لذت ببرند. در کی بازار امکان خرید لایسنس‌های اورجینال نرم افزار‌های کاربردی و امنیتی(ویندوز اورجینال، آفیس اورجینال، آنتی ویروس اورجینال، آنتی ویروس کسپرسکی، آنتی ویروس پادویش و آنتی ویروس نود 32) بصورت ارسال آنی فراهم آمده است.