همه‌چیز درباره آسیب‌پذیری خونریزی قلبی(HeartBleed)- قسمت اول

 یک حفره امنیتی خطرناک در یکی از استانداردهای رمزگذاری اینترنتی کشف شده که کارشناسان بر پایه ویژگی‌هایی آن را “خونریزی” نامیده‌اند اما این حفره دست هکرها را به چه اطلاعاتی می‌رساند؟ چه کسانی در معرض خطرند؟

“SSL” برای بیشتر افراد مفهومی ناشناخته است، با وجود این‌که بسیاری هر روز با آن سر و کار دارند. اس‌اس‌ال یک استاندارد رمزگذاری اطلاعات است.

یک حفره امنیتی در یکی از نسخه‌های این استاندارد پیدا شده و نگرانی‌های گسترده‌ای را برانگیخته است.hearthbleed_1

 نسخه معیوب استاندارد یاد شده OpenSSL است و این حفره امنیتی به هکرها اجازه می‌دهد داده‌های حساس را از کانال‌های رمزگذاری‌شده بدزدند. بسیاری از پایگاه‌های اینترنتی، ارائه‌کنندگان خدمات ایمیل و برنامه‌های چت از استاندارد اس‌اس‌ال برای تأمین امنیت ترافیک اطلاعات استفاده می‌کنند. “اُپن‌اس‌اس‌ال” که یکی از نرم‌افزارهای مبتنی بر این استاندارد است، به دلیل رایگان بودن، به صورت گسترده در فضای مجازی منتشر شده است. به همین دلیل است که حفره امنیتی موجود در آن تا این حد خبرساز شده است. بر اساس برخی برآوردها، حدود نیم میلیون پایگاه اینترنتی از “اپن‌اس‌اس‌ال” استفاده می‌کنند.

حفره امنیتی در یکی از بخش‌های “اپن‌اس‌اس‌ال” است که در پس‌زمینه فعال است. در یک ارتباط رمزگذاری‌شده، بخش معیوب با ارسال و دریافت سیگنال‌هایی، آنلاین بودن دو طرف خط را کنترل می‌کند. چون ارسال و دریافت این سیگنال‌ها به صورت مداوم و با ریتم خاصی صورت می‌گیرد، نام این فرایند “ضربان قلب” گذاشته شده است.

چون بخش یادشده معیوب است، هکرها می‌توانند هم اطلاعات مربوط به آنلاین بودن دو طرف را از سرور بگیرند، هم اطلاعاتی دیگر چون گذرواژه‌ها یا محتویات ایمیل‌های رد و بدل شده را. برخی از کاربران برای رمزگذاری‌کردن ارتباطات اینترنتی خود از نرم‌افزارهای رمزگذاری استفاده می‌کنند.

حتی کلیدهایی که توسط این نرم‌افزارهای رمزگذاری تولید شده‌اند هم در دسترس هکرها خواهند بود. به همین دلیل نام این حفره امنیتی “خونریزی” گذاشته شده است.

واقعیت این است که مشکل جدی فراتر از قیل و قال رسانه‌ای است. خطری که کاربران را تهدید می‌کند، نسبت مستقیم با میزان اطلاعاتی دارد که هکرها از آنها جمع‌آوری کرده‌اند. ممکن است یک نفوذگر با استفاده از داده‌هایی که به دستش افتاده موفق شود یک رمزگذاری را به‌طور کامل خنثی کند.

هکری که به کلید خصوصی یک شخص یا پایگاه اینترنتی دسترسی دارد، می‌تواند تمام اطلاعات رمزگذاری‌شده آن شخص یا سایت اینترنتی را بخواند. مجرمان اینترنتی با دسترسی به چنین اطلاعاتی حتی می‌توانند خود را به‌جای سایت‌های دیگر جا بزنند، مثلا سایت یک بانک.

البته تاکنون موردی از سوءاستفاده‌های این چنینی گزارش نشده است؛ هر چند نباید فراموش کرد که حمله با استفاده از حفره ایمنی یاد شده بسیار بی‌سروصدا و به سختی قابل تشخیص است.

354279-heartbleed نخست نوبت دارندگان یا اجاره‌دهندگان سرورهای اینترنتی است. اگر آنها از استاندارد معیوب استفاده می‌کنند، باید بلافاصله نرم‌افزار خود را به روز کنند. نسخه جدید حفره را می‌بندد. مشکل اما اینجاست که حفره یاد شده پیش از اینکه شناخته شود دو سال وجود داشته است. به بیان دیگر، هکرها ممکن است گذرواژه‌ها و اطلاعات رمزگذاری را به دست آورده باشند.

هیچ کس نمی‌تواند با اطمینان بگوید که ابزار رمزگذاری اطلاعات سایت او به سرقت نرفته است. از همین رو کارشناسان، از جمله اداره فدرال آلمان برای آی‌تی و امنیت اینترنتی، توصیه می‌کنند که دارندگان وبسایت، کلیدهای رمزگذاری و گذرواژه‌ها را عوض کنند.

کاربران فعلا می‌توانند منتظر باشند تا دارندگان سرور و سایت‌های اینترنتی حفره امنیتی اپن‌اس‌اس‌ال را ببندند. فیلیپو واسوردا، برنامه‌نویس کامپیوتر از کشور ایتالیا، سایتی اینترنتی را به آدرس http://filippo.io/Heartbleed درست کرده است که در این سایت می‌توان کنترل کرد که آیا یک سایت اینترنتی حفره امنیتی یاد شده را دارد یا نه. البته نتیجه آزمایش ظاهرا همیشه قابل اعتماد نیست.

کاربران بد نیست دست‌کم گذرواژه‌هایی که با آنها از اطلاعات حساس خود حفاظت می‌کنند را عوض کنند. البته این اقدام در صورتی اثربخش است که دارندگان سایت‌ها و سرورها حفره “اپن‌اس‌اس‌ال” را بسته باشند.

بزرگترین آسیب پذیری فراگیر تاریخ اینترنت که به “خونریزی قلبی” شهرت یافته و منجر به افشای اطلاعات مهمی از سایت های سرتاسر جهان شده بر برنامه های کاربردی تلفن همراه نیز تاثیر داشته است. به نقل از افتا، این آسیب پذیری و رخنه فراگیر که از ۲۰ فروردین ماه امسال اعلام جهانی شده مربوط به آسیب رسانی نرم‌افزارهای استفاده کننده از نسخه‌های بخصوصی از کتابخانه OpenSSL (نسخه‌‌ی ۱.۰.۱ تا ۱.۰.۱g) است که امکان استخراج ناخواسته اطلاعات حساس را به حمله‌کننده می‌دهد.

براین اساس مرکز مدیریت امداد و هماهنگی رخدادهای رایانه ای ایران اعلام کرده که رخنه خونریزی قلبی – Heartbleed – برنامه های کاربردی تلفن همراه را تحت تاثیر قرار داده است و به دلیل وجود این تهدیدات امنیتی، مشتریان باید تا زمان برطرف شدن کامل این آسیب پذیری از خرید برنامه های کاربردی از طریق دستگاه های تلفن همراه خود اجتناب کنند چرا که برنامه های کاربردی موبایل نیز مانند وبسایت ها ممکن است به سرورهای آسیب پذیر متصل شوند.

 اندروید و iOS آسیب پذیرترند

پس از انتشار اخبار مربوط به رخنه خونریزی قلبی بسیاری از شرکتهای امنیتی در سراسر دنیا این آسیب پذیری و تاثیر آن را بر روی برنامه ها و سیستم عامل های مختلف بررسی کردند.android

شرکت ترند میکرو اعلام کرد که برنامه های کاربردی تلفن همراه اندروید و IOS تحت تاثیر آسیب پذیری Heartbleed قرار دارند و به دلیل وجود ابن تهدیدات امنیتی، مشتریان باید تا زمان برطرف شدن کامل این آسیب پذیری، از خرید برنامه های کاربردی از طریق دستگاه های تلفن همراه خود اجتناب کنند.

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *