درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
امین سالم
امتیاز: 6904
رتبه:80
0
25
5
56
فارغ التحصیل رشته سخت افزار دانشگاه شاهد هستم ، بیشتر فعالیتی که در حوزه شبکه داشته ام در حوزه زیرساخت های ارتباطی سیسکو و مایکروسافت بوده است ، دوره های CISCO(CCNA_CCNP) و MCSE را در مجتمع فنی تهران شعبه ابن سینا سپری کرده ام ، در حوزه رباتیک دارای عناوین مختلف کشوری در مسابقات داخلی هستم و علاقه مند به کارهای عملی در حوزه شبکه می باشد ، در این راستا در چندین شرکت بصورت پروژه ای و کارآموزی پروژه هایی در حوزه زیرساختی ، مایکروسافتی و VOIP را نیز انجام داده ام ، بصورت کلی دستی در برنامه نویسی و ابزارهای امنیتی هم دارم اما بیشتر هدفم داشتن ثبات کاری و ورود به دنیای واقعی کار است. در حوزه برنامه نویسی با زبان python فعالیت داشته ام و پروژه هایی به صورت فریلنسر انجام داده ام. بعنوان کاربر فعال و نویسنده بیش از ده ها مطلب تخصصی در حوزه فناوری اطلاعات در انجمن تخصصی فناوری اطلاعات ایران نیز به ثبت رسانده ام. و در نهایت علاقه مند به دنیای لینوکس و متن باز , دانش اطلاعات و یادگیری ماشین هستم و هر روز سخت در تلاش برای یادگیری مطالب بیشتر میباشم. پروفایل کاربر

آشنایی و مقابله با HeartBleed

تاریخ 41 ماه قبل
نظرات 0
بازدیدها 233
با عرض درود خدمت ITPro ای های عزیز ، باگ های امنیتی بسیار خطرناک میباشند و روز به روز به تعداد آنها افزوده میشود . در فضای مجازی فروش باگ یک کار پردرآمد به حساب می آید به همین خاطر است که محققان امنیتی و هکر ها بسیار سعی در کشف این باگ ها میکنند . سالانه مسابقات متعددی توسط کمپانی های بزرگی چون گوگل و ... جهت کشف باگ نرم افزار های آنها برگزار می شود که فرد یابنده پول هنگفتی به خاطر این باگ می گیرد . در اینجا به شما باگی را معرفی میکنم که حدود سال 2012 کشف شد و سایت های بزرگی را به خطر انداخته است . این باگ به خونریزی قلبی یا به انگلیسی : HeartBleed می باشد . در این مطلب قصد معرفی این باگ به شما عزیزان را دارم .

HeartBleed-1


از کجا و بهره چه آمده ؟


در 8 آوریل 2014 یک آسیب پذیری بسیار مهم در Open SSL کشف شد که بلافاصله بعد از آن برطرف گردید . اگر شما تا به حال اسم OpenSSL را هم نشنیده اید باید بدانید که بخشی از گذار زندگی شما در اینترنت به آن وابسته است . برنامه هایی که استفاده می کنید و سایت هایی که از آن استفاده می کنید با آن درگیر می باشند . بعنوان مثال سرور Apache که حدود 50% وب سرور های دنیا از آن استفاده می کنند ، از OpenSSL بهره می گیرند . OpenSSL به صورت گسترده برای رمزگذاری ارتباطات در فضای مجازی بکار می روند . این آسیب پذیری به صورت رسمی با نام CVE 2014 0160 و به صورت غیر رسمی با نام HeartBleed شناخته شده است ، نامی پر سر و صدا که توسط محقق امنیتی گوگل بنام نیل مهتا کشف شده است . این آسیب پذیری تقریبا به کاربران در حال استفاده از اینترنت اجازه می دهد تا اطلاعاتی از سرورهای آسیب پذیر سرقت کنند و همچنین ممکن است این اطلاعات رمز عبور کاربران یا رمز عبور سرورها باشد .

این مشکل ها در سیستم عامل هایی که از Linux یا BSD استفاده می کنند هم یافت می شود ، این در حالی است که این آسیب پذیری در سرورهای ویندوز این آسیب پذیری دیده نشده است ، اما این مسئله دلیلی بر امان بودن کاربران ویندوزی نمی باشد ، در واقع می توان ادعا کرد که شما اگر یکی از کاربران اینترنت هستید ، بدون شک در معرض خطر قرار دارید . هرگونه اطلاعاتی که از شما در وب سایت ها وجود دارد ، مانند رمز عبور ایمیل و رمز بانکی و غیره همگی قابل دزدیده شدن هستند و اگر بخواهیم به زبان ساده تر این آسیب پذیری را بیان کنیم ، باید بگوییم که این آسیب پذیری امکان استراق سمع و دزدیدن اطلاعات تبادل شده میان کاربر و سرور را برای مهاجم فراهم می کند .

این مشکل برای اولین بار در سال 2011 ایجاد و با انتشار نسخه رسمی OpenSSL 1.0.1 در 10 می سال 2012 عملا وارد دنیای وب شد ، از آن زمان تا کنون بیش از 3 سال می گذرد و معلوم نیست در آن زمان چه اشخاصی از آن اطلاع داشته و یا از آن سو استفاده کرده اند . مدیران سایت هایی که از سیستم عامل های ذکر شده استفاده می کنند ، برای مقابله با این آسیب پذیری باید هرچه سریع تر آن را بروز رسانی کنند و تمامی سایت های آسیب پذیر نیز باید کلمه های عبور خود را تغییر دهند ، زیرا به احتمال زیاد اطلاعات کاربری آنها به سرقت رفته است. از جمله وب سایت سرشناس خارجی که دارای این آسیب پذیری بوده اند می توان به StackOverFlow ، Alexa ، Yahoo و در وب سایت های داخلی می توان به همراه اول ، بانک سامان ، باشگاه خبرنگاران جوان ، مرکز ملی ثبت دامنه ی ایران و غیره اشاره کرد . تا کنون تعداد زیادی از وب سایت های مهم دنیا این مشکل را برطرف نموده و یا در حال تصحیح آن هستند ، اما متاسفانه این مشکل در کشور ما به کندی در حال پیگیری بوده و هنوز هم سایت های مهم کشور مبتلا به این حفره ی مهم امنیتی هستند .در واقع HeartBleed تلنگری بود برای ما که بدانیم امنیت در فضای مجازی بسیار شکننده است و چه بسا حفره های امنیتی خطرناک تری وجود دارند که هکرها در حال سو استفاده از آن ها هستند و کسی از وجود این حفره های امنیتی با خبر نیست .

HeartBleed


چجوری باهاش برخورد کنیم :


آپدیت کردن OpenSSL :

برای جلوگیری از این باگ امنیتی بزرگ به افراد و مدیران سرور ها پیشنهاد می شود که نرم افزار را آپدیت نمایند و از نسخه ای که خود OpenSSL توصیه کرده استفاده کنند یا اگر توانایی آپدیت آن را ندارند ماژول HeartBeats را غیرفعال کنند و زمانی که توانایی آپدیت پیدا کردند آن را آپدیت و بروز نمایند .

غیرفعال کردن HeartBleed برای جلوگیری کردن از پشتیبانی OpenSSL :

اصلا توصیه نمی شود چون راهکار معقولی نیست و صرفا برای راهکار های پیش رو گفته شده ، این مشکل را می توان خطاب به کامپایل مجدد OpenSSL با پرچم DOPENSSL__NO__HEARTBEATS رفع کرد . نرم افزارهایی که از OpenSSL ، مثل Apache و Nignx استفاده می کنند برای اعمال شدن تغییرات بایستی این سرویس ها را Restart کنند .

استفاده از PFS :

PFS می تواند برای کاهش خطرات ناشی از لو رفتن اطلاعات مهم و پسورد کمک کند به وسیله ی سخت تر کردن رمزگشایی ترافیک ضبط شده از شبکه ی شما . اما اگر یک کلید لو رفته باشد ، ممکن است تمامی Session هایی که از آن کلید (ticket key) استفاده می کردند هم در معرض خطر قرار بگیرند . یک کلید زمانی دوباره تولید می شود که یک وب سرور Restart شود .
نمونه ای از تست آنلاین سایت های بومی که آیا آسیب پذیر هستند یا خیر :

بانک ملی :
BMI.ir


  • دیجی کالا : *
Digikala.ir



نویسنده : امین سالم
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید