امروز:29 آذر 1403

heartbleed یا هارت بلید(خونریزی قلبی):باگی وحشتناک در دنیای مجازی:انچه باید در مورد ان بدانید

هارت بلید!!!!یک هفته ای است که ایمیل هایی از شرکت های مختلف در باره ی این موضوع دریافت می کنم و خیلی کنجکاو شدم تا در این مورد برای شما بنویسم تا  این مطلب در سایت بی بی سی برخورد کردم.نویسنده ی این مقاله جین ویکفیلد خبرنگار حوزه فناوری بی بی سی است.امیدوارم اطلاعات خوبی به شما دهد.هفته گذشته معلوم شد که ممکن است در اثر یک اشکال امنیتی عمده در اینترنت در دو سال گذشته اطلاعات شخصی و رمزهای عبور کاربران را در اختیار هکرها قرار گرفته باشد.هنوز معلوم نیست این نقص نرم‌افزاری تا چه حد مورد استفاده قرار گرفته است، اما آنچه مسلم است این است که این نقص یکی از بزرگترین مسائل امنیتی است که اینترنت تاکنون با آن مواجه بوده است. بروس اشنایر، کارشناس امنیتی، این اشکال را “فاجعه‌بار” می‌داند و درباره وخامت آن می‌گوید: “بین ۱ تا ۱۰ به آن نمره ۱۱ می‌دهم.” بی‌بی‌سی تلاش کرده آنچه باید در این باره بدانید را جمع‌آوری کند.

اشکال نرم‌افزاری هارت‌بلید چیست؟

این اشکال در بخشی از یک نرم‌افزار اوپن‌سورس (منبع‌باز) بنام OpenSSL وجود دارد که برای رمزگذاری ارتباطات میان کامپیوتر یک کاربر و سرور اینترنت طراحی شده، و در واقع نوعی آشنایی دادن در ابتدای یک مکالمه ایمن است.

نام خونریزی قلبی (هارت‌بلید) از آن جهت به آن داده شده که بر یکی از ضمائم SSL تأثیر می‌گذارد که مهندسان به آن نام ضربان قلب داده اند. این یکی از رایج‌ترین ابزارهای رمزگذاری در اینترنت است و تصور می‌شود که حدود دوسوم وب‌سایت‌ها از آن استفاده می‌کنند.

اگر در صفحه مرورگرتان علامت یک قفل کوچک را می‌بینید، به احتمال زیاد از SSL استفاده می‌کنید. تصور می‌شود که این اشکال نرم‌افزاری نیم‌میلیون وب‌سایت را تحت تأثیر خود قرار داده باشد.

بروس اشنایر در وبلاگ خود نوشته: “اشکال نرم‌افزاری هارت‌بلید به هرکسی اجازه می‌دهد حافظه سیستم‌هایی که با نسخه‌های آسیب‌پذیر نرم‌افزار OpenSSL محافظت می‌شوند را بخواند. این کار کلیدهای مخفی مورد استفاده برای شناسایی ارائه‌کنندگان خدمات و رمزگذاری مبادلات، نام و رمز عبورهای کاربران را در معرض خطر قرار می‌دهد. به این ترتیب مهاجمان می‌توانند ارتباطات را شنود کنند و داده‌ها را بدزدند، و هویت خدمات و کاربران را جعل کنند.” این اشکال نرم‌افزاری آنقدر جدی است که وب‌سایتی مخصوص آن راه‌اندازی شده که در آن به همه جنبه‌های مشکل پرداخته می‌شود.

آیا لازم است رمز عبور خود را تغییر دهم؟

بعضی کارشناسان امنیتی می‌گویند که انجام این کار دوراندیشانه است. البته بر سر اینکه آیا انجام آن لازم است – و اگر اینطور است، چه زمانی باید انجام شود – اختلاف نظر وجود دارد.

بسیاری از شرکت‌های فناوری بزرگ، از جمله فیس‌بوک و گوگل، این نقطه ضعف را برطرف کرده اند. دوروتی چو، سخنگوی گوگل، گفت: “کاربران گوگل نیازی به تغییر رمز عبورهایشان ندارند.” یک منبع در داخل شرکت گوگل به بی‌بی‌سی گفت که این شرکت مشکل را پیش از علنی شدن آن برطرف کرده، و اعتقاد ندارد که به‌صورت گسترده از سوی هکرها مورد استفاده قرار گرفته باشد. برخی اشاره می‌کنند که وب‌سایت‌های کوچکی بسیاری هستند که هنوز به این مسأله رسیدگی نکرده اند، و ضرر تغییر رمز عبور از سوی کاربران این وب‌سایت‌ها از فایده‌اش بیشتر است، چرا که هم رمز قدیمی و هم رمز جدید را برای هکرهای احتمالی آشکار می‌کند.

با این وجود، میکو هیپونن، از مدیران شرکت امنیتی اف- سکیور، می‌گوید: “از رمزهای عبوری که برایتان مهمند، مواظبت کنید. شاید بهتر باشد الان آنها را عوض کنید، شاید هم بهتر باشد یک هفته دیگر تغییرشان دهید. اگر هم نگران کارت‌های اعتباری‌تان هستید، قبض‌های کارت‌های اعتباری‌تان را به‌دقت بررسی کنید.”

چگونه مطمئن شوم که رمز عبورم قوی است؟

بیشتر یک ندانم کاریست تا یک توطئه

پروفسور آلن وودوارد، کارشناس امنیت اینترنتی

مسأله به رمز عبورهای ضعیف مربوط نمی‌شد، اما فراخوان‌هایی برای تعیین رمز عبورهای جدید به‌راه افتاده است. پروفسور وودوارد، کارشناس امنیت اینترنتی، می‌گوید که مردم باید مرتبا رمزهای عبورشان را تغییر دهند، و باید مطمئن شوند که عبارتی را به‌عنوان رمز عبور انتخاب می‌کنند که به خودشان مربوط نمی‌شود. مثلا نام حیوان خانگی گزینه مناسبی نیست. کلماتی که در فرهنگ‌های لغات وجود دارند مناسبند. البته بهتر است از ترکیبی از کلمات و اعداد استفاده شود.

بعضی شرکت‌ها هم جایگزین‌هایی برای رمزهای عبور ارائه می‌کنند. شرکت‌های سازنده تلفن همراه، از جمله اپل و سامسونگ، دستگاه‌های خواننده اثر انگشت را به تلفن‌های خود اضافه کرده اند. این گزینه به کاربران امکان می‌دهد تنها با کشیدن انگشتشان روی صفحه تلفن به خود دستگاه و بعضی کارکردهای آن دسترسی پیدا کنند.

چه سایت‌هایی تحت تاثیر قرار گرفته‌اند؟

گفته می‌شود که نزدیک به تیم میلیون وب سایت ممکن است در برابر این اشکال نرم افزاری آسیب پذیر باشند. تعداد این سایت‌ها به حدی زیاد است که فهرست کردن آنها کار سختی خواهد بود. سایت شرکت امنیتی کاسپرسکی، کاربران را به کلیکسایتیهدایت می‌کند که در آن می‌توانند بفهمند کدام سایت هنوز ایراد دارد.

فیسبوک و گوگل گفته‌اند که اقدامات کافی برای مراقبت از کاربران انجام داده‌اند اما به گفته شرکت‌های امنیت کامپیوتری هنوز سایت‌هایی مثل فلیکر آسیب پذیر هستند.

یکی از سایت‌هایی که به گفته شرکت‌های کامپیوتری آسیب پذیر بوده، یاهو است اما این سایت هم اکنون گفته که اقدامات کافی را انجام داده است

بدترین سناریوی ممکن چیست؟

به گفته شرکت امنیت کامپیوتری کاسپرسکی، خبر بد این است که “استفاده از اشکال نرم‌افزاری هارت‌بلید هیچ رد پایی از خود بجا نمی‌گذارد، و در نتیجه هیچ راهی وجود ندارد که با قاطعیت بگوییم یک سرور هک شده و یا چه نوع داده‌هایی از آن به سرقت رفته است.”

کارشناسان امنیتی می‌گویند که کم‌کم شواهدی می‌بینند مبنی بر اینکه گروه‌های هکرها مشغول انجام اسکن‌های خودکار اینترنت هستند و به‌دنبال سرورهای اینترنتی استفاده کننده از OpenSSL می‌گردند. کاسپرسکی می‌گوید که به شواهدی دست یافته که نشان می‌دهد گروه‌هایی که تصور می‌شود با حمایت دولت‌ها در جاسوسی سایبری دست دارند، درست بعد از پخش خبر وجود این اشکال نرم‌افزاری به انجام چنین اسکن‌هایی پرداخته اند.

چرا تازه حالا خبر وجود این مشکل منتشر شده است؟

این اشکال اولین بار توسط بخش امینت شرکت گوگل و یک شرکت امنیتی فنلاندی بنام کودنومایکون (Codenomicon) پیدا شد و گفته شد که علت آن ایراد در برنامه‌نویسی کامپیوتری بوده است. از آنجا که OpenSSL یک نرم‌افزار اوپن‌سورس است، محققان قادر بودند جزئیات برنامه آن را بررسی کنند، و مشکل اولین بار به همین ترتیب کشف شد. اما چنین برنامه‌هایی بسیار پیچیده هستند و ممکن است مدتی طول بکشد تا کسانی که بطور مرتب این برنامه‌ها را بررسی می‌کنند، مشکل را پیدا کنند.

آیا این اشکال نرم‌افزاری با افشاگری‌هایی که درباره جاسوسی دولت‌های آمریکا و بریتانیا شده، مرتبط است؟

ادوارد اسنودن جزئیاتی را درباره تلاش‌های دولت آمریکا برای آسیب رساندن به رمزگذاری‌ها فاش کرد

در زمینه تلاش سازمان امنیت ملی آمریکا (NSA) برای شکستن رمزگذاری‌ها گمانه‌زنی‌های زیادی انجام می‌شود، اما هیچ مدرک مستقیمی وجود ندارد که وجود چنین پیوندی را نشان دهد. مرکز ارتباطات دولتی بریتانیا (GCHQ) صرفا گفته که “به سیاست دیرینه عدم اظهار نظر در زمینه مسائل اطلاعاتی” پایبند است.

بنظر می‌رسد که بسیاری فکر می‌کنند که مشکل به ایراد برنامه‌نویسی مربوط نمی‌شود، و مسأله‌ای شوم‌تر در کار است. پروفسور وودوارد که به مرکز ارتباطات دولتی بریتانیا مشاوره می‌داده، می‌گوید: “قضیه بیشتر به سهل‌انگاری شبیه است تا یک توطئه.”

 

 

منبع