امین سالم
برنامه نویس و متخصص Distributed Ledgers

HeartBleed چیست؟ آشنایی با آسیب پذیری خونریزی قلبی و روش مقابله

باگ های امنیتی بسیار خطرناک میباشند و روز به روز به تعداد آنها افزوده میشود . در فضای مجازی فروش باگ یک کار پردرآمد به حساب می آید به همین خاطر است که محققان امنیتی و هکر ها بسیار سعی در کشف این باگ ها میکنند . سالانه مسابقات متعددی توسط کمپانی های بزرگی چون گوگل و ... جهت کشف باگ نرم افزار های آنها برگزار می شود که فرد یابنده پول هنگفتی به خاطر این باگ می گیرد . در اینجا به شما باگی را معرفی میکنم که حدود سال 2012 کشف شد و سایت های بزرگی را به خطر انداخته است . این باگ به خونریزی قلبی یا به انگلیسی : HeartBleed می باشد . در این مطلب قصد معرفی این باگ به شما عزیزان را دارم .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
HeartBleed-1

از کجا و بهره چه آمده ؟

در 8 آوریل 2014 یک آسیب پذیری بسیار مهم در Open SSL کشف شد که بلافاصله بعد از آن برطرف گردید . اگر شما تا به حال اسم OpenSSL را هم نشنیده اید باید بدانید که بخشی از گذار زندگی شما در اینترنت به آن وابسته است . برنامه هایی که استفاده می کنید و سایت هایی که از آن استفاده می کنید با آن درگیر می باشند . بعنوان مثال سرور Apache که حدود 50% وب سرور های دنیا از آن استفاده می کنند ، از OpenSSL بهره می گیرند .

OpenSSL به صورت گسترده برای رمزگذاری ارتباطات در فضای مجازی بکار می روند . این آسیب پذیری به صورت رسمی با نام CVE 2014 0160 و به صورت غیر رسمی با نام HeartBleed شناخته شده است ، نامی پر سر و صدا که توسط محقق امنیتی گوگل بنام نیل مهتا کشف شده است . این آسیب پذیری تقریبا به کاربران در حال استفاده از اینترنت اجازه می دهد تا اطلاعاتی از سرورهای آسیب پذیر سرقت کنند و همچنین ممکن است این اطلاعات رمز عبور کاربران یا رمز عبور سرورها باشد .

این مشکل ها در سیستم عامل هایی که از Linux یا BSD استفاده می کنند هم یافت می شود ، این در حالی است که این آسیب پذیری در سرورهای ویندوز این آسیب پذیری دیده نشده است ، اما این مسئله دلیلی بر امان بودن کاربران ویندوزی نمی باشد ، در واقع می توان ادعا کرد که شما اگر یکی از کاربران اینترنت هستید ، بدون شک در معرض خطر قرار دارید . هرگونه اطلاعاتی که از شما در وب سایت ها وجود دارد ، مانند رمز عبور ایمیل و رمز بانکی و غیره همگی قابل دزدیده شدن هستند و اگر بخواهیم به زبان ساده تر این آسیب پذیری را بیان کنیم ، باید بگوییم که این آسیب پذیری امکان استراق سمع و دزدیدن اطلاعات تبادل شده میان کاربر و سرور را برای مهاجم فراهم می کند .

این مشکل برای اولین بار در سال 2011 ایجاد و با انتشار نسخه رسمی OpenSSL 1.0.1 در 10 می سال 2012 عملا وارد دنیای وب شد ، از آن زمان تا کنون بیش از 3 سال می گذرد و معلوم نیست در آن زمان چه اشخاصی از آن اطلاع داشته و یا از آن سو استفاده کرده اند . مدیران سایت هایی که از سیستم عامل های ذکر شده استفاده می کنند ، برای مقابله با این آسیب پذیری باید هرچه سریع تر آن را بروز رسانی کنند و تمامی سایت های آسیب پذیر نیز باید کلمه های عبور خود را تغییر دهند ، زیرا به احتمال زیاد اطلاعات کاربری آنها به سرقت رفته است. از جمله وب سایت سرشناس خارجی که دارای این آسیب پذیری بوده اند می توان به StackOverFlow ، Alexa ، Yahoo و در وب سایت های داخلی می توان به همراه اول ، بانک سامان ، باشگاه خبرنگاران جوان ، مرکز ملی ثبت دامنه ی ایران و غیره اشاره کرد .

تا کنون تعداد زیادی از وب سایت های مهم دنیا این مشکل را برطرف نموده و یا در حال تصحیح آن هستند ، اما متاسفانه این مشکل در کشور ما به کندی در حال پیگیری بوده و هنوز هم سایت های مهم کشور مبتلا به این حفره ی مهم امنیتی هستند .در واقع HeartBleed تلنگری بود برای ما که بدانیم امنیت در فضای مجازی بسیار شکننده است و چه بسا حفره های امنیتی خطرناک تری وجود دارند که هکرها در حال سو استفاده از آن ها هستند و کسی از وجود این حفره های امنیتی با خبر نیست .

HeartBleed

چجوری باهاش برخورد کنیم :

  • آپدیت کردن OpenSSL : برای جلوگیری از این باگ امنیتی بزرگ به افراد و مدیران سرور ها پیشنهاد می شود که نرم افزار را آپدیت نمایند و از نسخه ای که خود OpenSSL توصیه کرده استفاده کنند یا اگر توانایی آپدیت آن را ندارند ماژول HeartBeats را غیرفعال کنند و زمانی که توانایی آپدیت پیدا کردند آن را آپدیت و بروز نمایند .
  • غیرفعال کردن HeartBleed برای جلوگیری کردن از پشتیبانی OpenSSL : اصلا توصیه نمی شود چون راهکار معقولی نیست و صرفا برای راهکار های پیش رو گفته شده ، این مشکل را می توان خطاب به کامپایل مجدد OpenSSL با پرچم DOPENSSL__NO__HEARTBEATS رفع کرد . نرم افزارهایی که از OpenSSL ، مثل Apache و Nignx استفاده می کنند برای اعمال شدن تغییرات بایستی این سرویس ها را Restart کنند .
  • استفاده از PFS : PFS می تواند برای کاهش خطرات ناشی از لو رفتن اطلاعات مهم و پسورد کمک کند به وسیله ی سخت تر کردن رمزگشایی ترافیک ضبط شده از شبکه ی شما . اما اگر یک کلید لو رفته باشد ، ممکن است تمامی Session هایی که از آن کلید (ticket key) استفاده می کردند هم در معرض خطر قرار بگیرند . یک کلید زمانی دوباره تولید می شود که یک وب سرور Restart شود .

نمونه ای از تست آنلاین سایت های بومی که آیا آسیب پذیر هستند یا خیر :

بانک ملی :

BMI.ir
  • دیجی کالا : *
Digikala.ir

نویسنده : امین سالم

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


امین سالم
امین سالم

برنامه نویس و متخصص Distributed Ledgers

فارغ التحصیل رشته سخت افزار دانشگاه شاهد هستم ، بیشتر فعالیتی که در حوزه شبکه داشته ام در حوزه زیرساخت های ارتباطی سیسکو و مایکروسافت بوده است ، دوره های CISCO(CCNA_CCNP) و MCSE را در مجتمع فنی تهران شعبه ابن سینا سپری کرده ام ، در حوزه رباتیک دارای عناوین مختلف کشوری در مسابقات داخلی هستم و علاقه مند به کارهای عملی در حوزه شبکه می باشد ، در این راستا در چندین شرکت بصورت پروژه ای و کارآموزی پروژه هایی در حوزه زیرساختی ، مایکروسافتی و VOIP را نیز انجام داده ام ، بصورت کلی دستی در برنامه نویسی و

نظرات