ظاهراً باراک اوباما بايد تغييرات را از سايت خود شروع کند!

سايت The Register بيست نوامبر (30 آبان) خبري با عنوان «باراک! تبريک مي‌گوييم. حالا سايت خودت را اصلاح کن» منتشر کرد و در آن از نقص امنيتي و ضعف‌هاي ساختاري دو سايت متعلق به باراک اوباما رئيس‌جمهور منتخب آمريکا به آدرس MyBarackObama.com و Change.gov خبر داد.

قبل از ورود به بحث يادآور مي‌شود «همکاران سيستم» قبلاً خبري در خصوص همين موضوع منتشر کرده است که براي خواندن متن آن مي‌توانيد اينجا را کليک کنيد.

The Register در خبر ديروز خود (22 نوامبر - 2 آذر) از دلايل اين ضعف‌هاي امنيتي پرده برداشت.

اين گزارش مي‌افزايد: بر خلاف باور عموم، widgetهايي که در نرم‌افزار آناليز گوگل (Google Analytics) و ديگر سرويس‌هاي مشابه به کار رفته، يک تهديد امنيتي به‌شمار مي‌رود و اين امر خصوصاً در مواقعي که کاربر از وزنه و اعتبار سنگيني برخوردار باشد، نمود بيشتري مي‌يابد.

در هر دو سايت Change.gov و BarackObama.com صفحاتي پيدا شده که از يکسو رمزنگاري نشده و از سوي ديگر کارکنان اوباما از آن براي ارسال بيانيه‌هاي رسمي و انجام ديگر اقدامات دولتي بهره مي‌برند.

فقدان يا ضعف بسيار IP filtering باعث شگفتي است اما اين موضوع يک طرف، و اينکه دست‌اندرکاران سايت تصميم گرفته‌اند صفحات admin را به Google Analytics لينک بدهند، يک طرف ديگر!

نتيجه اين کار چيست؟ پاسخ: کارمندان بدجنس گوگل مي‌توانند به صفحات مديريتي و دولتي دسترسي يابند.

البته بر اساس ادعاي گوگلي‌ها تنها کاري که آنها کرده‌اند اين بوده که آماري در خصوص بازديدکنندگان سايت فراهم آورده‌اند، نه بيشتر. از سوي ديگر مشخص است که به جز تيم اوباما، ديگران راهي براي دستيابي به يکي از محبوب‌ترين سايت‌هايي که با دامنه .gov ثبت شده نخواهند يافت؛ ولي اين فقط يک فرضيه است. واقعيت اين است که ديگران هم «مي‌توانند».

Webmasterها با استفاده از Google Analytics، از يک فايل جاوااسکريپت به نام urchin.js که در گوگل ميزباني مي‌شود، استفاده مي‌نمايند. اين برنامه توسط مهندسان گوگل نوشته شده است و خود آنها نيز کنترل آن را برعهده دارند. اين امر دقيقاً همان حق خواندن و نوشتن (read and write privileges) در صفحات Change.gov است. باقي ماجرا هم که تقريباً معلوم است.

Dinis Cruz يکي از مديران OWASP با اشاره به اين موضوع گفته است: اگر من بخواهم در سايت‌ها به دنبال درپشتي (backdoor) بگردم، Google Analytics يکي از بهترين روش‌هاي انجام اين کار است!

متن کامل اين گزارش مبسوط را در اينجا بخوانيد.