بیش از ۳ میلیون سرور ایمیل که رمزنگاری نشده‌اند، در معرض حملات sniffing قرار دارند.

بیش از سه میلیون سرور ایمیل POP3 و IMAP که از رمزنگاری TLS استفاده نمی‌کنند، در حال حاضر در اینترنت در معرض دید هستند و نسبت به حملات شنود شبکه (network sniffing attacks) آسیب‌پذیرند.

IMAP و POP3 دو روش برای دسترسی به ایمیل‌ها روی سرورهای ایمیل هستند. تفاوت‌ها و ویژگی‌های هر کدام به شرح زیر است:

1. IMAP (Internet Message Access Protocol):
   • برای بررسی ایمیل‌ها از چندین دستگاه (مانند تلفن همراه و لپ‌تاپ) توصیه می‌شود.
   • ایمیل‌ها را روی سرور نگه می‌دارد و آنها را بین دستگاه‌های مختلف همگام‌سازی (synchronize) می‌کند.
   • این به این معناست که اگر ایمیلی را بخوانید یا پاک کنید، تغییرات در تمام دستگاه‌هایی که به همان حساب کاربری متصل هستند منعکس می‌شود.
2. POP3 (Post Office Protocol 3):
   • ایمیل‌ها را از سرور دانلود می‌کند.
   • پس از دانلود، ایمیل‌ها فقط روی همان دستگاهی که دانلود انجام شده قابل‌دسترسی خواهند بود.
   • این پروتکل برای استفاده از ایمیل روی یک دستگاه مناسب‌تر است، زیرا معمولاً ایمیل‌ها از سرور حذف می‌شوند.

پروتکل ارتباطی امن TLS (Transport Layer Security) به محافظت از اطلاعات کاربران کمک می‌کند، زمانی که آنها از طریق برنامه‌های کلاینت/سرور (مانند برنامه‌های ایمیل) ایمیل‌های خود را در اینترنت ارسال و دریافت می‌کنند. این پروتکل اطلاعات را رمزنگاری می‌کند تا از رهگیری یا دستکاری آنها توسط افراد غیرمجاز جلوگیری کند.

اما اگر رمزنگاری TLS فعال نباشد:

محتواهای پیام‌ها (مانند متن ایمیل) و اعتبارنامه‌های کاربری (مانند نام کاربری و رمز عبور) به صورت متن واضح (Clear Text) ارسال می‌شوند. این امر باعث می‌شود که مهاجمان با استفاده از حملات شنود شبکه (eavesdropping/sniffing) بتوانند این اطلاعات را رهگیری و سرقت کنند.

طبق بررسی‌های پلتفرم نظارت بر تهدیدات امنیتی ShadowServer،
حدود ۳٫۳ میلیون میزبان (hosts) خدمات POP3/IMAP را اجرا می‌کنند، اما رمزنگاری TLS روی این خدمات فعال نیست. به همین دلیل: نام‌های کاربری (usernames) و رمزهای عبور (passwords) به صورت متن واضح (plain text) ارسال می‌شوند، و هنگام انتقال از طریق اینترنت در معرض دید و سرقت قرار می‌گیرند.

ShadowServer اکنون به مدیران سرورهای ایمیل اطلاع می‌دهد که سرورهای POP3/IMAP آنها بدون رمزنگاری TLS کار می‌کنند و نام‌های کاربری و رمزهای عبور کاربران را بدون رمزنگاری در معرض حملات شنود شبکه قرار می‌دهند.

Shadowserver اعلام کرد : این به این معناست که رمزهای عبوری که برای دسترسی به ایمیل استفاده می‌شوند، ممکن است توسط یک ابزار شنود شبکه (network sniffer) رهگیری شوند. علاوه بر این، در معرض بودن این سرویس می‌تواند حملات حدس زدن رمز عبور علیه سرور را ممکن سازد.

اگر این گزارش را از ما دریافت کرده‌اید، لطفاً پشتیبانی از TLS را برای IMAP فعال کنید و همچنین بررسی کنید که آیا این سرویس اصلاً نیاز به فعال بودن دارد یا بهتر است به پشت یک VPN منتقل شود.

نسخه اولیه TLS 1.0 و جانشین آن، TLS 1.1، نزدیک به دو دهه مورد استفاده قرار گرفته‌اند، به طوری که TLS 1.0 در سال ۱۹۹۹ و TLS 1.1 در سال ۲۰۰۶ معرفی شدند. پس از بحث‌های گسترده و توسعه ۲۸ پیش‌نویس پروتکل، کارگروه مهندسی اینترنت (IETF) نسخه ۱٫۳ TLS، به عنوان نسخه اصلی بعدی این پروتکل، را در مارس ۲۰۱۸ تأیید کرد.

در اطلاعیه‌ای هماهنگ در اکتبر ۲۰۱۸، شرکت‌های مایکروسافت، گوگل، اپل و موزیلا اعلام کردند که پروتکل‌های ناامن TLS 1.0 و TLS 1.1 را در نیمه اول سال ۲۰۲۰ از رده خارج خواهند کرد. مایکروسافت از آگوست ۲۰۲۰ شروع به فعال کردن TLS 1.3 به صورت پیش‌فرض در جدیدترین نسخه‌های آزمایشی ویندوز ۱۰ (Windows 10 Insider Builds) کرد.

در ژانویه ۲۰۲۱، NSA همچنین راهنمایی‌هایی را در مورد شناسایی و جایگزینی نسخه‌ها و پیکربندی‌های قدیمی پروتکل TLS با نسخه‌ها و جایگزین‌های مدرن و امن ارائه داد.

آژانس امنیت ملی (NSA) اعلام کرد : پیکربندی‌های منسوخ به دشمنان این امکان را می‌دهند که از طریق تکنیک‌های مختلفی مانند رمزگشایی غیرفعال و تغییر ترافیک از طریق حملات man-in-the-middle، به ترافیک حساس عملیاتی دسترسی پیدا کنند.

مهاجمان می‌توانند از پیکربندی‌های قدیمی پروتکل امنیت لایه انتقال (TLS) سوءاستفاده کنند تا به داده‌های حساس دسترسی پیدا کنند، بدون اینکه نیاز به مهارت‌های خاصی داشته باشند.