بدون شک حالا Heartbleed را می‌توان بزرگ‌ترین،‌ مهم‌ترین و خطرناک‌ترین حفره امنیتی در اینترنت دانست؛ یک نقص فاحش امنیتی که بیش از دو سوم وسعت اینترنت را در معرض افشای اطلاعات محرمانه قرار داده است.
حالا هر کسی در هر گوشه از جهان می‌تواند یک قربانی بالقوه باشد؛ یک “مرده مجازی” که تمام اطلاعات شخصی،‌ خصوصی، محرمانه و ارزشمند وی توسط هکرها یا تبهکاران سایبری به سرقت رفته است.

خونریزی قلبی چیست و چگونه کار می‌کند؟

این مشکل بخشی از یک نرم‌افزار را با نام OpenSSL تحت تاثیر قرار می‌دهد که به‌عنوان راهکاری برای مسائل امنیتی در وب سرورها مورد استفاده قرار می‌گیرد. با استفاده از OpenSSL وب‌سایت‌ها می‌توانند اطلاعات خود را بصورت رمزنگاری شده در اختیار کاربران قرار دهند، از این‌رو سایر افراد توانایی دسترسی و استفاده از داده‌های رد و بدل شده را که شامل نام‌های کاربری، رمز‌های عبور و کوکی‌ها است، ندارند.

OpenSSL یک پروژه‌ی متن باز است، یعنی این پروژه توسط مجموعه‌ای از افراد متخصص توسعه داده شده است که در قبال سرویس توسعه‌داده شده هزینه ای را دریافت نکرده‌اند. هدف این افراد کمک به توسعه‌ی وب و یاری جامعه‌ی اینترنت بوده است. نسخه‌‌ی 1.0.1 پروژه‌ی OpenSSL در 19 آپریل 2012 میلادی منتشر شده است. مشکل موجود ناشی از یک اشتباه برنامه‌نویسی در همین نسخه است که اجازه‌ی کپی برداری از اطلاعات موجود در حافظه‌ی وب سرور را به یک فرد یا نرم‌افزار مخرب بدون ثبت اثری از آن می‌دهد. این مشکل پس از اضافه شدن یک ویژگی جدید ایجاد شده که توسط برنامه‌نویسی آلمانی با نام دکتر رابین‌سِگِلمَن روی OpenSSL ‌اضافه شده است.

خونریزی قلبی یکی از ویژگی‌های داخلی OpenSSL را با نام Heartbeat یا ضربان قلب مورد استفاده قرار می‌دهد. زمانی که رایانه‌ی کاربر به یک وب‌سایت دسترسی پیدا می‌کند، وب‌سایت پاسخی را به مرورگر کاربر ارسال می‌کند تا رایانه‌ی کاربر را از فعالیت خود و همچنین قابلیت پاسخ‌گویی به درخواست‌های بعدی آگاه سازد، این رد و بدل شدن اطلاعات را ضربان قلب گویند. ارسال درخواست و پاسخ به آن با رد و بدل شدن داده‌ها همراه است. در حالت نرمال، زمانی که رایانه‌ی کاربر درخواستی را از سرور به عمل می‌آورد، ضربان قلب میزان داده‌ی مجاز درخواست شده از طرف کاربر را ارسال می‌کند، اما در مورد سرورهایی که این باگ را در ساختار خود دارند، یک هکر قادر است تا درخواستی را مبنی بر گرفتن داده‌ها از حافظه‌ی سرور ارسال کرده و داده‌ای را با حداکثر اندازه‌ی 65,536 بایت دریافت کند.

براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شاید دربردارنده‌ی اطلاعاتی از سایر بخش‌های OpenSSL ‌نیز باشد. اطلاعات موجود در حافظه کاملا از پلتفرم مستقل هستند. با اتصال رایانه‌های بیشتر به سرور اطلاعات موجود در حافظه‌ی از بین رفته و اطلاعات جدید جایگزین می‌شود، از این‌رو صدور درخواست‌های جدید توسط هکرها منجر به دریافت اطلاعات جدیدتری خواهد شد که شامل اطلاعات ورود، کوکی‌ها و داده‌هایی می‌شود که هکرها می‌توانند از آن‌ها بهره‌برداری نمایند.

برای این که به ابعاد قدرت و وسعت این حفره امنیتی نزدیک شویم، کافیست به فهرست بلندبالایی از نام‌های بزرگ و برندهای برتر فناوری اطلاعات توجه کنیم، شرکت‌هایی مثل یاهو، سیسکو، جونیپر نت‌ورکز، مایکروسافت، گوگل، فیس بوک، دراپ باکس، سی.ان.ان، بلاگر و صدها هزار وب سایت ریز و درشت دیگر به همراه برخی از مهم‌ترین پایگاه های اطلاعاتی جهان،‌ تنها بخشی از قربانیان heartbleed را تشکیل می‌دهند. این یعنی میلیاردها کاربر و حساب کاربری در معرض خطر افشای اطلاعات محرمانه قرار گرفته‌اند.
اما متآسفانه مشکل از این هم فراتراست!!
بنا بر گزارش، شرکت‌ها، سازمان‌ها و اداراتی که از سخت‌افزارها و نرم‌افزارهای آسیب‌پذیر استفاده می‌کنند یا در یکی از پایگاه‌های اطلاعاتی آلوده دارای حساب کاربری هستند،‌ وضعیت امنیت اینترنت را به مراتب وخیم‌تر کرده‌اند. به اینها البته می توانید سیل عظیم مشتریان هر نوع خدمات آنلاین را اضافه کنید که با استفاده از رایانه‌های سازمانی، به سرورهای آلوده متصل می‌شوند.
در مورد حفره امنیتی Heartbleed،‌ خبر تلخ و ناامید کننده بسیار است. اما خوشبختانه اخبار امیدوارکننده‌ای هم هست که ثابت می کنند هر کدام از ما می توانیم تحت تأثیر این نقص وسیع قرار نداشته باشیم.
ماریا لوپز، یکی از کارشناسان امنیتی شرکت پاندا، می‌گوید این حفره امنیتی فقط در نسخه‌های خاصی از ابزار رمزنگاری معروف به openSSL کشف شده و نمی‌تواند به مجموع روش‌های رمزگذاری در پروتکل SSL، TSL تعمیم پیدا کند. بیشتر سازمان‌های حساس و استراتژیک مانند شرکت‌های امنیت اینترنت، بانک‌ها و موسسات مالی معتبر، به هیچ عنوان از پروتکل openSSL استفاده نمی‌کنند،‌ بنابراین کاربران این مراکز در امنیت و مصونیت کامل هستند. شرکت های دیگر نیز تنها در بخش‌هایی از خدمات اینترنتی خود از openSSL استفاده می کنند.
خبر خوب دیگر این که حالا تقریباً تمام شرکت‌های جهانی ارائه دهنده خدمات مبتنی بر اینترنت و سازمان‌های تولید کننده نرم‌افزار و سخت‌افزار،‌ اصلاحیه‌های لازم را برای رفع این مشکل امنیتی نصب کرده‌اند و تنها مشتریانی در معرض خطر هستند که به نحوی نرم‌افزار یا سخت افزارهای مورد استفاد خود را به‌روز نکرده باشند.
و حالا چند راهکار ساده برای این که قربانی Heartbleed‌ نباشیم.
۱- قبل از هر چیز باید بدانیم که بیشتر سرویس‌های اینترنتی آلوده به این نقص امنیتی، اصلاحیه مهم و جدید openSSL‌ را نصب کرده‌اند و از این به بعد نگرانی خاصی وجود ندارد. اما با این حال، مهم‌ترین کاری که باید انجام دهید “تغییر تمام رمزهای عبور اینترنتی در وب‌سایت‌ها و پایگاه‌های اینترنتی مورد استفاده شماست”.
۲- می توانید عنوان وب سایت های مورد نظرتان را در یکی از این صفحات زیر وارد کنید و از آلودگی یا عدم آلودگی آن ها به Heartbleed مطلع شوید؛ در این صورت قبل از ورود به بخش کاربری هر وب سایت، از عدم وجود آسیب پذیری در آن مطمئن می شوید.

https://www.ssllabs.com/ssltest
https://lastpass.com/heartbleed

۳- صورت وضعیت مالی خود را به طور مرتب تحت کنترل داشته باشید و حتی در صورت لزوم با مؤسسه ای که از آن خدمات مالی آنلاین دریافت می کنید تماس بگیرید و از امنیت کامل حساب های بانکی تان مطمئن شوید. علاوه بر این تمام رمزهای مربوط به خدمات بانکی تان مانند رمز کارت اعتباری، رمز اینترنت بانک، تلفن بانک و سایر اطلاعات محرمانه مالی خود را تغییر دهید
۴- با تمام شرکت هایی که از آنها نرم‌افزار و سخت افزار خریده اید، تماس بگیرید و از عدم آسیب پذیری و یا اصلاح نقص امنیتی Heartbleed در محصول مورد استفاده خود مطمئن شوید.
۵- با استفاده از نسخه رسمی یک ضدویروس و فایروال قدرتمند مانند Panda Cloud Protection و یا سایر ابزارهای امنیتی و حفاظتی ، ‌ قدرت دفاعی رایانه یا شبکه خود را افزایش دهید. در مورد شبکه های سازمانی می توانید با تعریف قوانین جدید در فایروال اصلی شبکه، از نشت اطلاعات و یا دسترسی های غیر مجازجلوگیری کنید.