پنج شنبه , ۲۹ شهریور ۱۳۹۷

Heartbleed دو سوم سايت‌های وب را در معرض خطر قرار داده‌است

 

0124

يک ضعف امنيتی در سيستم رمزنگاری پروتکل OpenSSL، دو سوم سايت‌های وب را معرض شنود قرار داد. مهاجمان می‌توانند با استفاده از اين ايراد نرم‌افزاری که به خونريزی قلبی يا Heartbleed Bug معروف شده‌است کليدهای خصوصی (private key) کاربران را به‌دست بياورند و داده‌های حساس را رمزگشایی کنند.

با اين ضعف امنيتی اطلاعات رمزنگاری شده کاربران در شرايط عادی در معرض خطر سرقت قرار می‌گيرد و هر شخصی در اينترنت می‌تواند حافظه سيستم‌هایی را که توسط نسخه معيوب OpenSSL محافظت می‌شوند بخواند، کليدهای سری به‌کار رفته برای شناسایی سرويس‌دهنده‌ها را به‌دست آورد و ترافيک مربوطه، نام‌ها، گذرواژه‌ها و ديگر گونه‌های محتوا را رمزگشایی کند. طبق گزارش‌های منتشرشده، اين ضعف به‌مدت دو سال در اين پروتکل وجود داشته‌است و علت آن يک ايراد عادی در کدنويسی OpenSSL بوده‌است که از چشم ناظران دور مانده‌است. گفتنی است OpenSSL يک پياده‌سازی اپن‌سورس از پروتکل‌های SSL و TLS و رايج‌ترين کتابخانه نرم‌افزاری جهان برای رمزنگاری وب‌سايت‌ها، ايميل سرورها و برنامه‌های کاربردی است. همزمان با انتشار نسخه 1.0.1g از کد منبع اين برنامه هشدارهایی نيز منتشر شد که از وجود چنين ضعفی خبر می‌داد. باتوجه به‌اينکه وب‌سرورهای بزرگ و بسيار رايج آپاچی و nginx نيز از اين کتابخانه رمزنگار استفاده می‌کنند دامنه تهديدهای مربوط به ضعف مذکور بسيار گسترش يافته‌است. درنتيجه اين ضعف امنيتی مهاجمان می‌توانند با نفوذ به قلب مجوزهای ديجيتال که از آن‌ها برای احراز هويت سرورهای اينترنتی و داده‌های تبادلی بين آن‌ها و کاربران استفاده می‌شود، کليدهای خصوصی رمزنگاری يا همان private keyها را به‌دست بياورند. در صورت انجام چنين حمله‌ای، در لاگ‌های موجود روی سرورها هيچ ردی از مهاجمان باقی نمی‌ماند و به‌همين علت نمی‌شود دانست که آيا تاکنون از اين ضعف امنيتی برای سرقت کليدهای شخصی و داده‌های کاربران استفاده شده‌است يا نه. با وجود گذشت چند روز از اين ماجرا ابعاد تهديد هنوز هم گسترده‌ است. پژوهشگران امنيتی برای مطلع کردن مردم از ماهيت، آثار و نحوه مقابله با اين ضعف بزرگ، وبلاگ ويژه‌ای به‌نامHeartbleed.com ايجاد کرده‌اند که می‌توانيد در صورت تمايل به دريافت اطلاعات بيشتر به‌آن مراجعه کنيد. طبق گفته اين پژوهشگران، برای سد کردن نشت اطلاعات يک راه وجود دارد و آن استفاده از نسخه رفع‌عيب شده OpenSSL است. تا وقتی که نسخه معيوب OpenSSL در چرخه اينترنت به‌کار مشغول باشد، امکان خرابکاری وجود دارد. اما خوشبختانه نسخه تصحيح‌شده اين کتابخانه منتشر شده‌است. پس لازم است تا فروشندگان و ناشران سيستم‌عامل‌ها، سامانه‌های تحت وب، نرم‌افزارهای مستقل و… نسخه تصحيح‌شده را جايگزين نسخه معيوب کنند و به‌کاربران‌شان نيز در اين‌باره اطلاع دهند. وقتی اين نسخه برای سيستم‌عامل‌ها، تجهيزات شبکه و نرم‌افزارها عرضه‌شد، سرويس‌دهنده‌ها و کاربران اينترنت بايد وصله‌های امنيتی مربوطه را نصب کنند.

منبع : ماهنامه شبکه

Print Friendly, PDF & Email

جوابی بنویسید

ایمیل شما نشر نخواهد شدخانه های ضروری نشانه گذاری شده است. *

*