جلوگیری از “خونریزی قلبی” در یک هزار سایت برتر جهان
طبق جدیدترین آمار جمع آوری شده از سایت های جهان، آسیب پذیری یک هزار سایت برتر دنیا در برابر ضعف امنیتی “خونریزی قلبی” یا Heart-bleed ترمیم و برطرف شده است. ولی هنوز 2 درصد از یک میلیون سایت برتر دنیا دارای این ضعف امنیتی هستند.
اواخر هفته گذشته، شرکت امنیتی Sucuri اقدام به بررسی یک میلیون سایت برتر دنیا که طبق رده بندی موسسه Alexa بیشترین بازدیدکننده را دارند، نمود. آمار به دست آمده نشان می دهد که یک هزار سایت اول، در برابر ضعف امنیتی “خونریزی قلبی” که در نرم افزار OpenSSL شناسایی شده، مصونیت دارند و یا به تازگی نسخه اصلاح شده این نرم افزار را نصب کرده و بکار گرفته اند.
ضعف امنیتی “خونریزی قلبی” در اواسط فروردین ماه سال جاری در نرم افزار OpenSSL کشف و خبر آن بطور عمومی منتشر گردید. این ضعف امنیتی در بخش Heart-beat این نرم افزار وجود دارد و در صورت فعال بودن آن، باعث می شود تا ۶۴KB از حافظه بصورت متن ساده (Plain Text) به هر سرور و یا کاربری که درخواست برقراری ارتباط داشته باشد، ارسال گردد. نامگذاری این ضعف امنیتی نیز از نام بخشی از نرم افزار OpenSSL که این ضعف در آن وجود دارد، اقتباس شده است.
تاکنون گزارش های مختلفی از سوء استفاده از ضعف امنیتی “خونریزی قلبی” و سرقت اطلاعات و رمزهای عبور در کشورهای مختلف منتشر شده است.
گرچه آمار منتشر شده وضعیت رضایت بخشی از سایت های پرطرفدار دنیا را نشان می دهد، ولی به تدریج که به رده های پایین تر در فهرست یک میلیون سایت برتر می رسیم، چشم انداز مطلوبی مشاهده نمی شود. در بین 10 هزار سایت برتر، 0.53 درصد از سایتها همچنان آسیب پذیر هستند. در بین 100 هزار سایت برتر هم میزان آسیب پذیری به 1.5 درصد و در بین یک میلیون سایت به 2 درصد می رسد.
شرکت های امنیتی دیگر، نظیر شرکت Websense، نیز آمارهای مشابهی را از میزان آسیب پذیری سایت های جهان در برابر ضعف امنیتی “خونریزی قلبی” نشان می دهند.
در صورت سوءاستفاده از این ضعف امنیتی، امکان سرقت کلیدهای رمزگذاری از سایت ها نیز وجود دارد. به همین دلیل نیز به مدیران سایت ها توصیه شده است که گواهینامه های SSL و کلیدهای جدید صادر و تهیه کنند. در آمارگیری شرکت Sucuri استفاده سایت ها از گواهینامه های SSL جدید منظور نشده است ولی می توان پیش بینی کرد که این آمار بدتر از آمار سایت هایی باشد که از نرم افزار OpenSSL امن و اصلاح شده، استفاده می کنند.
