شماره سوم خبرنامه دیده بان
۰۶ ارديبهشت ۱۴۰۳ - ۱۲:۰۵
کشف باگ خطرناک موسوم به خون ريزي قلبي هياهوي فراواني را در فضاي وب ايجاد کرده استTاين مشکل بخشي از يک نرم افزار با نام OpenSSL راتحت تاثير قرار مي دهد که به عنوان راهکاري براي مسائل امنيتي در وب سرورها استفاده مي شود.
کشف باگ خطرناک موسوم به خون ريزي قلبي هياهوي فراواني را در فضاي وب ايجاد کرده است. نکته جالب توجه در اين باره تاثيرپذيري 2 سرور از 3سرور موجود در فضاي اينترنت است که اهميت اين باگ را بالا برده است. گويا آژانس امنيت ملي آمريکا نيز از 2 سال پيش، از اين باگ مطلع بوده و آن را افشا نکرده است. اما اين باگ چيست و چه تاثيري بر روند استفاده کاربران عادي خواهد داشت؟آيا کاربران عادي بايد آنتي ويروس ها و نرم افزار هاي امنيتي خود را به روز کنند؟آيا هم اکنون کاربران مي توانند وارد حساب هاي بانکي خود شوند يا بايد از اين کار ممانعت کنند؟آيا شرکت هاي بزرگي چون گوگل که تحت تاثير اين باگ امنيتي قرار گرفته اند، اين مشکل رارفع کرده اند؟
در اين مطلب توضيحات روشني را درباره ساختار اين باگ، دامنه تاثيرگذاري آن، نحوه رفع مشکل و اجتناب از سرقت اطلاعات ارائه مي کنيم.
خون ريزي قلبي چيست و چگونه عمل مي کند؟
اين مشکل بخشي از يک نرم افزار با نام OpenSSL راتحت تاثير قرار مي دهد که به عنوان راهکاري براي مسائل امنيتي در وب سرورها استفاده مي شود.به گزارش zoomit، با استفاده از OpenSSL وب سايت ها مي توانند اطلاعات خود را به صورت رمزنگاري شده در اختيار کاربران قرار دهند، از اين رو ديگر افراد توانايي دسترسي و استفاده از داده هاي رد و بدل شده را که شامل نام هاي کاربري، رمز هاي عبور و کوکي هاست، ندارند.OpenSSL يک پروژه متن باز است، يعني اين پروژه توسط مجموعه اي از افراد متخصص توسعه داده شده است که در قبال سرويس توسعه داده شده هزينه اي را دريافت نکرده اند. نسخه 1.0.1 پروژه OpenSSL در 19 آوريل 2012 منتشر شده است. مشکل موجود ناشي از يک اشتباه برنامه نويسي در همين نسخه است که به يک فرد يا نرم افزار مخرب بدون ثبت اثري از آن اجازه کپي برداري از اطلاعات موجود در حافظه وب سرور را مي دهد. اين مشکل پس از اضافه شدن يک ويژگي جديد ايجاد شده که توسط يک برنامه نويس آلماني روي OpenSSL اضافه شده است.خون ريزي قلبي يکي از ويژگي هاي داخلي OpenSSL را با نام Heartbeat يا ضربان قلب مورد استفاده قرار مي دهد. زماني که رايانه کاربر به يک وب سايت دسترسي پيدا مي کند، وب سايت پاسخي را به مرورگر کاربر ارسال مي کند تا رايانه کاربر را از فعاليت خود و همچنين قابليت پاسخ گويي به درخواست هاي بعدي آگاه سازد، اين رد و بدل شدن اطلاعات را ضربان قلب مي گويند. ارسال درخواست و پاسخ به آن با رد و بدل شدن داده ها همراه است. در حالت نرمال، زماني که رايانه کاربر درخواستي را از سرور به عمل مي آورد، ضربان قلب ميزان داده مجاز درخواست شده از طرف کاربر را ارسال مي کند، اما درباره سرورهايي که اين باگ را در ساختار خود دارند، يک هکر قادر است درخواستي را مبني بر گرفتن داده ها از حافظه سرور ارسال و داده اي را با حداکثر اندازه 65,536 بايت دريافت کند.براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شايد دربردارنده اطلاعاتي از ديگر بخش هاي OpenSSL نيز باشد. اطلاعات موجود در حافظه کاملا از پلتفورم مستقل هستند. با اتصال رايانه هاي بيشتر به سرور اطلاعات موجود در حافظه از بين مي رود و اطلاعات جديد جايگزين مي شود، از اين رو صدور درخواست هاي جديد توسط هکرها به دريافت اطلاعات جديدتري منجر خواهد شد که شامل اطلاعات ورود، کوکي ها و داده هايي مي شود که هکرها مي توانند از آن ها بهره برداري کنند.
چاره کار چيست؟
پس از کشف اين باگ، دست اندرکاران سريع پچي را براي رفع اين مشکل منتشر کردند که نسخه 1.0.1.g نام گرفته است و مشکل موجود را کاملاً حل کرد. پيش از آن نيز در صورتي که کاربران در زمان نصب نرم افزار OpenSSL افزونه Heartbeat را نصب نکرده بودند، مشکلي از جانب اين باگ آ ن ها را تهديد نمي کرد.حال سوال اصلي در مورد نگراني يک کاربر معمولي اينترنت مطرح است. آيا کاربران اينترنت بايد از وجود چنين مشکلي نگران باشند؟ متاسفانه پاسخ اين پرسش مثبت است. کاربران بايد با استفاده از سرويس هايي چونLastPass Heartbleed Checker يا Qualys SSL Labs Test وب سايت هاي حساسي را که به آن ها مراجعه مي کنند چک کنند و در صورت وجود مشکل، رمز عبور خود را تغيير دهند. اين کار بايد براي تمامي وب سايت هايي که دربردارنده اين باگ بوده و پس از کشف آن رفع ايراد شده است، انجام شود. از جمله چنين سرويس هايي مي توان به ياهو و گوگل اشاره کرد. اما به صورت کلي بايد کاربران از قانون تغيير رمز عبور به صورت متوالي و در فاصله هاي زماني تبعيت کنند.اقدام براي تغيير رمز عبور يک پيشنهاد احتياطي است، چراکه اگر هکري از وجود اين باگ مطلع بوده و درصدد دستيابي به اطلاعات حساب کاربري شما بوده باشد، تاکنون اين اطلاعات را کسب کرده و به مقصود خود رسيده است. براساس برخي شايعات، احتمالا گواهي رمزگذاري برخي از سرورها نيز به سرقت رفته است.فارغ از امکان به سرقت رفتن کليد رمزنگاري داده ها، شرکت ها علاوه بر اعمال پچ مورد نظر، کليد رمزگذاري خود را نيز تغيير داده اند تا هکرها قادر به سرقت اطلاعات و دستيابي به اطلاعات رمزنگاري شده نباشند.در صورتي که از سرنوشت اطلاعات خود نگران هستيد، مي توانيد رمزهاي عبور حساب هاي کاربري خود را تغيير دهيد. يکي از اصلي ترين نکات براي انتخاب رمزعبور، استفاده نکردن از الگويي مشابه براي تمامي حساب هاي کاربري است. همچنين بايد در طول و کاراکترهاي مورد استفاده در رمزعبور نيز دقت و از ترکيب حروف با اعداد استفاده کنيد. ضمنا طول رمزعبور بهتر است بيش از 10 کاراکتر باشد.
مهمترین راهکار نهادینه سازی الزامات و ضوابط پدافند غیرعامل در دستگاههای اجرایی را چه می دانید؟!
شماره دوم خبرنامه دیده بان
۰۱ ارديبهشت ۱۴۰۳ - ۲۳:۳۵
شماره اول خبرنامه دیده بان
۲۱ فروردين ۱۴۰۳ - ۲۳:۴۲