“خونریزی قلبی” OpenSSH دروغ است
یک گروه نفوذگر ناشناس مدعی شده است که نقطه ضعفی را در نرم افزار OpenSSH کشف کرده اند. مسئولان پروژه “متن باز” OpenBSD که پروژه OpenSSH نیز جزئی از آن است، این ادعا را رد کرده و آن را بی اساس می دانند.
از نرم افزار OpenSSH برای دسترسی امن از راه دور (remote login) به سیستم های Unix استفاده می شود. این نرم افزار در چندین سیستم عامل، روتر و سوئیچ که توسط سازندگان مشهوری نظیر IBM ،HP ،Red Hat و Cisco تولید می شوند، بکار رفته است.
این نفوذگران مدعی هستند که دو سال قبل این نقطه ضعف را پیدا کرده اند که با سوءاستفاده از آن می توانند از راه دور با اطلاعات سرورها دسترسی پیدا کنند. در صورت صحت داشتن این ادعا، چنین نقطه ضعفی از یک طرف می تواند برای مسئولان پروژه OpenSSH و از طرف دیگر، برای مجرمان سایبری بسیار با ارزش و قیمتی باشد. ولی این گروه نفوذگر حاضر شده اند که اطلاعات این نقطه ضعف را تنها به قیمت 20 واحد پول مجازی (Bitcoin) که معادل 8 هزار و 600 دلار است، بفروشند!
همین ارزان فروختن نقطه ضعف، شک و تردید بسیاری را درباره ادعای این گروه نفوذگر درباره کشف نقطه ضعف در OpenSSH دو چندان کرده است.
مسئولان پروژه “متن باز” OpenBSD نیز به این ادعا با دیده تردید نگاه می کنند، چون به گفته آنان، این اتفاق هر چند ماه یکبار برای آنها رخ می دهد. این دفعه هم که این خبر در این حد در رسانه ها منتشر شده، به علت رویداد مهم و واقعی “خونریزی قلبی” یا Heart-Bleed در نرم افزار OpenSSL است که چند هفته قبل، خبر اول تمام رسانه های جهان شده بود.
شکی نیست که وجود نقطه ضعف در نرم افزار OpenSSH می تواند مانند ضعف امنیتی “خونریزی قلبی” OpenSSL موضوعی حیاتی به شمار آید. ولی فعلا چنین موردی به اثبات نرسیده و مدیران شبکه و کاربران باید هوشیاری خود را حفظ کنند.
پروژه OpenSSH نیز مانند بسیاری از پروژه های “متن باز” غالباً توسط افراد داوطلب و پاره وقت اجرا می شود و هزینه این پروژه نیز بصورت هدایا و کمک های نقدی شرکتهایی نظیر Google و Facebook تامین می گردد.
یک پاسخ
اینجوری نبوده،بلکه می توانند با استفاده از این باگ اگر در شبکه داخلی و یا ما بین دو سرور به عنوان اسنیفر یا حمله مردی در سایه قرار داشتند پسورد ها و اطلاعاتی که از طریق اوپن اس اس اچ رد و بدل می شد از جمله رمز های عبور رو بدست بیارند که البته نقطه ضعف امنیتی هست ولی اینقدر ها هم نمیشه ازش سو استفاده کرد مگر تجهیزات خوبی در اختیار باشه.