
Heartbleed چیست و روش های جلوگیری از آن
Heartbleed چیست و روش های جلوگیری از آن
بدون شک حالا Heartbleed را میتوان بزرگترین، مهمترین و خطرناکترین حفره امنیتی در اینترنت دانست؛ یک نقص فاحش امنیتی که بیش از دو سوم وسعت اینترنت را در معرض افشای اطلاعات محرمانه قرار داده است.
حالا هر کسی در هر گوشه از جهان میتواند یک قربانی بالقوه باشد؛ یک “مرده مجازی” که تمام اطلاعات شخصی، خصوصی، محرمانه و ارزشمند وی توسط هکرها یا تبهکاران سایبری به سرقت رفته است.
خونریزی قلبی چیست و چگونه کار میکند؟
این مشکل بخشی از یک نرمافزار را با نام OpenSSL تحت تاثیر قرار میدهد که بهعنوان راهکاری برای مسائل امنیتی در وب سرورها مورد استفاده قرار میگیرد. با استفاده از OpenSSL وبسایتها میتوانند اطلاعات خود را بصورت رمزنگاری شده در اختیار کاربران قرار دهند، از اینرو سایر افراد توانایی دسترسی و استفاده از دادههای رد و بدل شده را که شامل نامهای کاربری، رمزهای عبور و کوکیها است، ندارند.
OpenSSL یک پروژهی متن باز است، یعنی این پروژه توسط مجموعهای از افراد متخصص توسعه داده شده است که در قبال سرویس توسعهداده شده هزینه ای را دریافت نکردهاند. هدف این افراد کمک به توسعهی وب و یاری جامعهی اینترنت بوده است. نسخهی 1.0.1 پروژهی OpenSSL در 19 آپریل 2012 میلادی منتشر شده است. مشکل موجود ناشی از یک اشتباه برنامهنویسی در همین نسخه است که اجازهی کپی برداری از اطلاعات موجود در حافظهی وب سرور را به یک فرد یا نرمافزار مخرب بدون ثبت اثری از آن میدهد. این مشکل پس از اضافه شدن یک ویژگی جدید ایجاد شده که توسط برنامهنویسی آلمانی با نام دکتر رابینسِگِلمَن روی OpenSSL اضافه شده است.
خونریزی قلبی یکی از ویژگیهای داخلی OpenSSL را با نام Heartbeat یا ضربان قلب مورد استفاده قرار میدهد. زمانی که رایانهی کاربر به یک وبسایت دسترسی پیدا میکند، وبسایت پاسخی را به مرورگر کاربر ارسال میکند تا رایانهی کاربر را از فعالیت خود و همچنین قابلیت پاسخگویی به درخواستهای بعدی آگاه سازد، این رد و بدل شدن اطلاعات را ضربان قلب گویند. ارسال درخواست و پاسخ به آن با رد و بدل شدن دادهها همراه است. در حالت نرمال، زمانی که رایانهی کاربر درخواستی را از سرور به عمل میآورد، ضربان قلب میزان دادهی مجاز درخواست شده از طرف کاربر را ارسال میکند، اما در مورد سرورهایی که این باگ را در ساختار خود دارند، یک هکر قادر است تا درخواستی را مبنی بر گرفتن دادهها از حافظهی سرور ارسال کرده و دادهای را با حداکثر اندازهی 65,536 بایت دریافت کند.
براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شاید دربردارندهی اطلاعاتی از سایر بخشهای OpenSSL نیز باشد. اطلاعات موجود در حافظه کاملا از پلتفرم مستقل هستند. با اتصال رایانههای بیشتر به سرور اطلاعات موجود در حافظهی از بین رفته و اطلاعات جدید جایگزین میشود، از اینرو صدور درخواستهای جدید توسط هکرها منجر به دریافت اطلاعات جدیدتری خواهد شد که شامل اطلاعات ورود، کوکیها و دادههایی میشود که هکرها میتوانند از آنها بهرهبرداری نمایند.
برای این که به ابعاد قدرت و وسعت این حفره امنیتی نزدیک شویم، کافیست به فهرست بلندبالایی از نامهای بزرگ و برندهای برتر فناوری اطلاعات توجه کنیم، شرکتهایی مثل یاهو، سیسکو، جونیپر نتورکز، مایکروسافت، گوگل، فیس بوک، دراپ باکس، سی.ان.ان، بلاگر و صدها هزار وب سایت ریز و درشت دیگر به همراه برخی از مهمترین پایگاه های اطلاعاتی جهان، تنها بخشی از قربانیان heartbleed را تشکیل میدهند. این یعنی میلیاردها کاربر و حساب کاربری در معرض خطر افشای اطلاعات محرمانه قرار گرفتهاند.
اما متآسفانه مشکل از این هم فراتراست!!
بنا بر گزارش، شرکتها، سازمانها و اداراتی که از سختافزارها و نرمافزارهای آسیبپذیر استفاده میکنند یا در یکی از پایگاههای اطلاعاتی آلوده دارای حساب کاربری هستند، وضعیت امنیت اینترنت را به مراتب وخیمتر کردهاند. به اینها البته می توانید سیل عظیم مشتریان هر نوع خدمات آنلاین را اضافه کنید که با استفاده از رایانههای سازمانی، به سرورهای آلوده متصل میشوند.
در مورد حفره امنیتی Heartbleed، خبر تلخ و ناامید کننده بسیار است. اما خوشبختانه اخبار امیدوارکنندهای هم هست که ثابت می کنند هر کدام از ما می توانیم تحت تأثیر این نقص وسیع قرار نداشته باشیم.
ماریا لوپز، یکی از کارشناسان امنیتی شرکت پاندا، میگوید این حفره امنیتی فقط در نسخههای خاصی از ابزار رمزنگاری معروف به openSSL کشف شده و نمیتواند به مجموع روشهای رمزگذاری در پروتکل SSL، TSL تعمیم پیدا کند. بیشتر سازمانهای حساس و استراتژیک مانند شرکتهای امنیت اینترنت، بانکها و موسسات مالی معتبر، به هیچ عنوان از پروتکل openSSL استفاده نمیکنند، بنابراین کاربران این مراکز در امنیت و مصونیت کامل هستند. شرکت های دیگر نیز تنها در بخشهایی از خدمات اینترنتی خود از openSSL استفاده می کنند.
خبر خوب دیگر این که حالا تقریباً تمام شرکتهای جهانی ارائه دهنده خدمات مبتنی بر اینترنت و سازمانهای تولید کننده نرمافزار و سختافزار، اصلاحیههای لازم را برای رفع این مشکل امنیتی نصب کردهاند و تنها مشتریانی در معرض خطر هستند که به نحوی نرمافزار یا سخت افزارهای مورد استفاد خود را بهروز نکرده باشند.
و حالا چند راهکار ساده برای این که قربانی Heartbleed نباشیم.
۱- قبل از هر چیز باید بدانیم که بیشتر سرویسهای اینترنتی آلوده به این نقص امنیتی، اصلاحیه مهم و جدید openSSL را نصب کردهاند و از این به بعد نگرانی خاصی وجود ندارد. اما با این حال، مهمترین کاری که باید انجام دهید “تغییر تمام رمزهای عبور اینترنتی در وبسایتها و پایگاههای اینترنتی مورد استفاده شماست”.
۲- می توانید عنوان وب سایت های مورد نظرتان را در یکی از این صفحات زیر وارد کنید و از آلودگی یا عدم آلودگی آن ها به Heartbleed مطلع شوید؛ در این صورت قبل از ورود به بخش کاربری هر وب سایت، از عدم وجود آسیب پذیری در آن مطمئن می شوید.
https://www.ssllabs.com/ssltest
https://lastpass.com/heartbleed
۳- صورت وضعیت مالی خود را به طور مرتب تحت کنترل داشته باشید و حتی در صورت لزوم با مؤسسه ای که از آن خدمات مالی آنلاین دریافت می کنید تماس بگیرید و از امنیت کامل حساب های بانکی تان مطمئن شوید. علاوه بر این تمام رمزهای مربوط به خدمات بانکی تان مانند رمز کارت اعتباری، رمز اینترنت بانک، تلفن بانک و سایر اطلاعات محرمانه مالی خود را تغییر دهید
۴- با تمام شرکت هایی که از آنها نرمافزار و سخت افزار خریده اید، تماس بگیرید و از عدم آسیب پذیری و یا اصلاح نقص امنیتی Heartbleed در محصول مورد استفاده خود مطمئن شوید.
۵- با استفاده از نسخه رسمی یک ضدویروس و فایروال قدرتمند مانند Panda Cloud Protection و یا سایر ابزارهای امنیتی و حفاظتی ، قدرت دفاعی رایانه یا شبکه خود را افزایش دهید. در مورد شبکه های سازمانی می توانید با تعریف قوانین جدید در فایروال اصلی شبکه، از نشت اطلاعات و یا دسترسی های غیر مجازجلوگیری کنید.
نظر بدهید