به اشتراک گذاری:

  • تاریخ : ۲۲ / ۰۱ / ۱۳۹۳
  • نویسنده :
  • نظرات : ۰
هشدار درباره باگ امنیتی مشهور به «خونریزی قلب»

وبسایت «heartbleed» اعلام کرده است که در یک حمله مصنوعی که خود ترتیب داده است، موفق شده است تمام اطلاعات محرمانه، کلیدهای سری، نام‌های کاربری و رمزهای عبور را به راحتی در دست داشته باشد. این یک خطر جدی است.

باگ امنیتی مشهور به «خونریزی قلب» یک نقطه ضعف جدی در کتابخانه نرم افزار رمزگذاری «OpenSSL» است. این نقطه ضعف، امکان سرقت اطلاعات را در وضعیت عادی که «SSL» فعال است و به ظاهر اطلاعات محرمانه تحت محافظت و رمزگذاری است، ایجاد کرده است.

آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) , همانطور که می‌دانید «SSL» برای امنیت در دنیای وب بوده و ترافیک اینترنت را رمزگذاری می‌کند، بنابراین اطلاعات محرمانه مانند رمزهای عبور محافظت می‌شود. حالا این ویژگی دچار مشکل شده است.

مشکل در پروتکل امنیتی بسیار مهم SSL که هارت‌بلید یا خونریزی قلب نام گرفته است، به‌ویژه بر روی اوپنSSLها آسیب‌پذیری ایجاد کرده و می‌توان گفت که میلیون‌ها رمز عبور ممکن است اکنون در دستان هکرهایی باشند که از این گذرواژه‌ها تا کنون استفاده نکرده‌اند.

برای درک بهتر موضوع، بهتر است بدانیم که هر زمان به یک وب‌سایت وصل می‌شویم، اعتبارنامه ورود ما به سرور آن وب‌سایت ارسال می‌شود. اغلب این اعتبارنامه‌ها به صورت متن ساده نمی‌روند و از سیستمی به نام Secure Socket Layer یا همان اس‌اس‌ال می‌گذرند تا رمزگذاری شوند.

مانند بسیاری از پروتکل‌ها، سازندگان نرم‌افزارهای مختلف سیستم‌های گوناگون اجرایی را برای اس.اس.ال در نظر می‌گیرند که یکی از مطرح‌ترین آن‌ها همان OpenSSL است و تقریبا دو سوم وب‌سایت‌های کنونی از آن استفاده می‌کنند.

هارت‌بلید نقصی در اوپن‌ اس‌اس‌ال است که هکرها با استفاده از آن می‌توانند متن خام ای‌میل‌ها، چت‌ها، گذرواژه‌ها و حتی اسناد تجاری را در اختیار داشته باشند. این، یعنی هر آن‌چه یک کاربر نمی‌خواهد دیگران از آن سر در بیاورند.

ترسناک‌تر از این، دانستن مدت‌زمانی است که این نقص وجود داشته و متخصصان امنیت از آن بی‌خبر بوده‌اند. چه‌قدر؟ دو سال! از همین‌ رو احتمال داده می‌شود که هکرها تا کنون به چیزی بیش از آن‌چه ما فکر کنیم دسترسی پیدا کرده باشند.

وبسایت «heartbleed» اعلام کرده است که در یک حمله مصنوعی که خود ترتیب داده است، موفق شده است تمام اطلاعات محرمانه، کلیدهای سری، نام‌های کاربری و رمزهای عبور را به راحتی در دست داشته باشد. این یک خطر جدی است.

چه باید کرد؟

تا زمانی که نسخه ضعیف نرم افزار «OpenSSL» در حال استفاده باشد این وضعیت ادامه دارد. برنامه «Fixed OpenSSL» تولید شده و در حال گسترش است. فروشندگان سیستم عامل، دستگاه‌ها و فروشندگان مستقل نرم افزار‌ها باید نسخه تعمیر شده را به کار بگیرند و به کاربران خود اطلاع دهند. کاربران نیز باید نسخه تعمیر شده هرچه سریع‌تر استفاده کنند.

با توضیحات بالا، به وضوح مشخص است که یکی از بدترین نقص‌های امنیتی تاریخ اینترنت، گریبان ما را گرفته است.

اگر بخواهید بدانید که باید برای مقابله با این موضوع چه کار کنید، متیو پرینس یکی از مدیران ارشد کلاود فلر که از هشداردهندگان نخست درباره این باگ بوده، می‌گوید کار زیادی از دست شما بر نمی‌آید جز این‌که وب‌سایت‌هایی را که به آن‌ها ورود می‌کنید، در این‌جا چک کنید. اگر این ‌سایت‌ها در فهرست آسیب‌پذیرها بودند، تا زمانی که رفع نقص نشدند از ورود به‌ آن‌ها خودداری کرده و پس از رفع نقص، پسورد خود را بلافاصله عوض کنید.

yahoo-heartbleed

توصیه ITSN به شما این است که رمزهای عبور خود را نیز مرتبا تغییر دهید تا این وضعیت برطرف شده و مشکلات امنیتی پیش آمده رفع شود. همچنین توصیه می شود که ایمیل یاهو را به دلایل امنیتی تا اطلاع ثانوی به کنار گذاشته و از ایمیل های امن تری همچون جیمیل استفاده کنید.

یاهو جزو سایت‌هایی بود که تحت تاثیر این باگ قرار داشت و اکنون می‌گوید که مشکل را رفع کرده است. پس اگر مانند بسیاری از ایرانیان، از یاهو استفاده می‌کنید، در تعویض پسوردهای خود درنگ نکنید.

<< تمامي كالاها و خدمات اين فروشگاه، حسب مورد داراي مجوزهاي لازم از مراجع مربوطه مي‌باشند و فعاليت‌هاي اين سايت تابع قوانين و مقررات جمهوري اسلامي ايران است. >>