آنچه که باید درباره اشکال امنیتی Heartbleed بدانید
اشکال امنیتی “خونریزی قلبی” یا Heart-bleed یک اشکال امنیتی بزرگ است که دو سوم سایت های اینترنتی دنیا را تحت تاثیر قرار می دهد. این بدان معنی است که تقریباً همه باید برای محافظت خود قدم هایی را بردارند. سایت ها باید با به روز رسانی نرم افزار آسیب پذیر این اشکال را برطرف کنند و کاربران با تغییر رمزهای عبور خود، احتمال سوء استفاده از رمزهای عبور به سرقت رفته را به حداقل برسانند.
این اشکال امنیتی در نرم افزار OpenSSL وجود دارد. از این نرم افزار بطور گسترده برای رمزنگاری اطلاعات رد و بدل شده بر روی اینترنت، استفاده می شود. این اشکال امنیتی ناشی از خطای برنامه نویسی است و هیچ بدافزاری در این مورد خاص دخالتی ندارد. این اشکال برنامه نویسی بیش از دو سال است که در نرم افزار OpenSSL وجود داشته و به تازگی کشف و مطرح شده است.
در صورت سوء استفاده از این اشکال امنیتی، می توان ترافیک رد و بدل شده بین کاربر و سرویس های تحت وب را شنود کرد. حتی می توان ترافیک هایی را که قبلاً بین این دو نقطه جمع آوری شده، رمزگشایی کرد. بدین ترتیب نفوذگر می تواند ارتباطات را شنود کند، اطلاعات را مستقیماً از کاربر و سرویس های تحت وب سرقت نماید و خود را بجای کاربر یا سرویس وب جا بزند.
هنوز مشخص نیست که آیا طی دو سال گذشته، نفوذگران و مجرمان سایبری از این اشکال امنیتی باخبر بوده و سوء استفاده کرده اند یا خیر. علاوه بر این، گزارش هایی منتشر شده که ادعا می کنند سازمان امنیت ملی آمریکا (NSA) از این اشکال باخبر بوده و بدون اعلام عمومی آن، مخفیانه اقدام به سوء استفاده از آن می کرده است.
به این اشکال امنیتی عنوان “خونریزی قلبی” یا Heart-bleed داده اند، زیرا که این اشکال در بخشی از نرم افزار OpenSSL قرار دارد که “ضربان قلب” یا Heart-beat نام دارد.
بررسی های جدید نشان می دهد که این اشکال امنیتی، انواع دستگاه ها، نظیر تلفن های هوشمند، روترهای خانگی، کامپیوترهای قابل حمل و کامپیوترهای خشتی (Tablet) را نیز تحت تاثیر قرار می دهد. بر روی بسیاری از این تجهیزات، بطور پیش فرض نرم افزارهایی نصب شده اند که از OpenSSL آسیب پذیر استفاده می کنند.
بسیاری از سایت های اینترنتی برای حفظ حریم خصوصی و ایجاد امنیت وابسته به OpenSSL هستند. در نتیجه آخرین چیزی که انتظار دارید که آسیب پذیر باشد، همین OpenSSL است. در حال حاضر، انواع ابزارهای کمکی برای شناسایی سایت هایی که بخاطر اشکال OpenSSL آسیب پذیر هستند، منتشر شده اند. از جمله می توان به ابزار شرکت McAfee اشاره کرد. همچنین فهرستی از سایت های مشهور و پرطرفدار که دارای اشکال امنیتی OpenSSL هستند، منتشر شده که مرتباً به روز می شود.
در بسیاری از مقالات که درباره این اشکال امنیتی منتشر شده، تاکید گردیده که کاربران در اسرع وقت اقدام به تغییر رمزهای عبور خود بر روی تمام سایت هایی از آنها استفاده می کنند، نمایند. در حقیقت، کاربران باید زمانی اقدام به تغییر رمز خود نمایند که مطمئن باشند سایت مورد نظر فاقد این اشکال امنیتی است. وگرنه تغییر رمز عبور بر روی سایت هایی که هنوز آسیب پذیر هستند، فایده چندانی نخواهد داشت.
اگر سایتی دارای اشکال امنیتی OpenSSL بوده باشد، احتمال اینکه اطلاعات شخصی کاربران و مجوزهای دسترسی آنان به سایت به سرقت رفته باشد، وجود دارد.
شرکت Google که بیشترین تعداد سایت های پربازدیدکننده در دنیا را دارد، اعلام کرد که نسبت به اشکال OpenSSL آسیب پذیر بوده ولی اکنون برطرف شده است. شرکتهای Yahoo و Facebook نیز آسیب پذیر بودن سایت های خود را تائید کرده اند.
دو وب سرور مشهور Apache و nginx نیز از OpenSSL استفاده می کنند.
به علاوه، سیستم های عاملی که دارای نسخه های آسیب پذیر از نرم افزار OpenSSL هستند عبارتند از: Debian Wheezy، Ubuntu 12.04.4 LTS، CentOS 6.5، Fedora 18، OpenBSD 5.3، FreeBSD 8.4، NetBSD 5.0.2،OpenSUSE 12.2.
این اشکال امنیتی در نسخه جدید OpenSSL 1.0.1g که چند روز قبل منتشر شد برطرف گردیده است. نسخه های آسیب پذیر OpenSSL عبارتند از 1.0.1 الی 1.0.1f با دو مورد استثنا 1.0.0 و 0.9.8.
با به روز رسانی همین خبر، متعاقباً اطلاعات بیشتر درباره Heart-bleed ارائه خواهد شد.
