حفره خون‌ریزی قلبی

حفره هارت‌بلید (به انگلیسی: Heartbleed به معنای خون‌ریزی قلبی) یک اشکال امنیتی در کتابخانه‌ی OpenSSL است. این کتابخانه برای برقراری ارتباط امن در نرم‌افزارهای مختلف استفاده میشود. یکی از استفاده‌های پرکاربرد این کتابخانه در حوزه‌ی اینترنت می‌باشد. سایت‌هایی که از پروتکل SSL یا Https برای برقراری ارتباط امن با کاربر استفاده میکنند از روش OpenSSL بهره میگیرند. همچنین برخی نرم‌افزارها و سیستم‌عامل‌هایی از این کتابخانه استفاده میکردند (شاید هم هنوز استفاده کنند!). این مشکل امنیتی از تاریخ ۳۱ دسامبر ۲۰۱۱ در کد برنامه وجود داشته است و بعد از انتشار نسخه پایدار برنامه (ویرایش ۱٫۰٫۱) در تاریخ ۱۴ مارس ۲۰۱۲ به شکل گسترده‌ای در وب سرورهای دنیا انتشار یافته است. با بررسی‌های انجام شده، متخصصان دریافتند که امکان کشف این حفره توسط هکرها در ۵ ماه قبل وجود دارد. بنابراین ممکن است اطلاعات مهمی در این مدت از مراکز مهم به بیرون نفوذ پیدا کرده باشد.

آسیب شناسی این حفره

حفره‌ی امنیتی هارت‌بلید در اصل به هر شخصی در اینترنت اجازه میدهد که قسمت‌هایی از حافظه سیستم‌ها را که در حالت عادی محافظت شده اند، بخواند. این قسمت‌ها به صورت تصادفی هستند اما ممکن است در آنها اطلاعات مهمی مانند رمزهای عبور یا اطلاعات حساب بانکی شما وجود داشته باشد. همین اتفاق ممکن است برای وب سرورها نیز رخ دهد و مهاجم به اطلاعات حساب چندین هزار (و یا بیشتر) کاربر اینترنتی دسترسی پیدا کند. با این تفاسیر به خطرناک بودن این حفره پی میبریم.

ویرایش‌های آسیب پذیر OpenSSL

OpenSSL 1.0.2-beta
OpenSSL 1.0.1 تا ویرایش OpenSSL 1.0.1f

سیستم عامل‌هایی که مورد خطر و دارای این باگ هستند
اگر پچ مربوط به اشکال امنیتی CVE-2014-0160 در این سیستم عامل‌ها نصب نشده باشد، این سیستم عامل‌ها می‌توانند در برابر این حمله آسیب پذیر باشند.

    دبیان و سیستم عامل‌هایی که بر اساس آن طراحی شده‌اند مانند اوبونتو و لینوکس مینت و همچنین تمام زیر خانواده‌های آنها

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
(OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012
FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
(NetBSD 5.0.2 (OpenSSL 1.0.1e
(OpenSUSE 12.2 (OpenSSL 1.0.1c

    تمامی سیستم عامل‌ها و نرم‌افزارهایی که برای ایجاد ارتباطات امن خود از ویرایش‌های آسیب پذیر اپن‌اس‌اس‌ال استفاده می‌کنند.

وظیفه‌ی ما

مدیران سایت‌ها و کاربران معمولی موظفند برای حفظ امنیت خود اقدامات لازم را انجام دهند. ابتدا به وظایف مدیران سایت‌ها می‌پردازم. مدیران سایت‌ها باید با توجه به اطلاعات حفره‌ی Heartbleed امنیت سایت خود را بسنجند و از نسخه‌های بروز یا آپدیت شده OpenSSL استفاده کنند. دو سایت زیر نیز به شما کمک میکند تا سایت خود را بررسی کنید و از گزند تهدیدات امنیتی به دور باشید.

http://amn.bayan.ir
http://appcheck.codenomicon.com

و در آخر وظیفه‌ی کاربران عادی چیست؟ مهمترین اقداماتی که لازم است کابران انجام دهند:
۱. رمزهای عبور را در سایت‌هایی که خطر تهدید دارند، تغییر دهید.
۲. اگر از سیستم عامل‌هایی که خطر آسیب‌پذیری دارند استفاده می‌کنید، حتما آنها را بروز رسانی کنید.
۳. نرم‌افزارهای آسیب‌پذیر را نیز حتما بروز رسانی کنید.
کسب اطلاعات بیشتر در:

http://heartbleed.com
http://en.wikipedia.org/wiki/Heartbleed

The following two tabs change content below.
متولد تهران و معتاد به کامپیوتر و اینترنت؛ آشنا به زبان‌های برنامه‌نویسی و علاقه‌مند به کد‌نویسی. ورزشکار در اوقات فراغت. برای ارتباط با سجاد از طریق رایانامه Info@Antil.ir یا از طریق شبکه‌های اجتماعی اقدام کنید.
لینک کوتاه: www.antil.ir/?p=179
برچسب: , , , , ,
دسته: مقاله

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

مرا از دیدگاه های تازه با خبر کن.