به گزارش گروه اجتماعی مشرق، بدون شک Heartbleed (خون ريزي قلبي)را مي توان بزرگ ترين، مهم ترين و خطرناک ترين حفره امنيتي در اينترنت دانست؛ يک نقص فاحش امنيتي که بيش از دو سوم وسعت اينترنت را در معرض افشاي اطلاعات محرمانه قرار داده است.حال هر کسي در هر گوشه از جهان مي تواند يک قرباني بالقوه باشد.
در اين رابطه معاون فناوري اطلاعات و ارتباطات سازمان پدافند غيرعامل از ارسال نامه اي به دستگاه هاي متولي زيرساخت هاي حياتي و حساس با مضمون هشدار درباره خطرات اينترنتي خبر داد و گفت: دستگاه هاي متولي اين زيرساخت ها بايد تمهيدات پدافندي و سايبري را رعايت و شبکه هاي حساس خود را از اينترنت جدا کنند.
محمدرضا فرجي پور در گفت وگو با مهر افزود: ما به دستگاه هاي کشور که متولي زيرساخت هاي حياتي و حساس هستند، نامه اي نوشته و تاکيد کرده ايم که موضوع باگ "خون ريزي قلبي" موردي بود که نشان داد بايد هوشياري شان را حفظ کنند و تمهيدات لازم را به کار بگيرند؛ چرا که اين موضوع به طورعمده از طريق اينترنت سرايت مي کند و از همين رو اين مراکز و دستگاه ها بايد شبکه هاي حساس خود را از اينترنت جدا کنند تا آسيب نبينند.
معاون فناوري اطلاعات و ارتباطات سازمان پدافند غيرعامل اظهار داشت: اتفاقي که رخ داده است پيچيدگي هايي دارد که احتياج به تحليل دقيق فني دارد . موضوع "خون ريزي قلبي" دقيقا روي پروتکلي که براي رمزنگاري و امن سازي به کار مي رود، حفره ايجاد کرده است و اين نشان مي دهد که حتي امکانات و برنامه هايي که ما براي رمزنگاري و کدنگاري از خارج از کشور مي گيريم و از آن ها استفاده مي کنيم، به هيچ عنوان قابل اعتماد نيست.
وي تاکيد کرد: اينجا مشخص مي شود که پروتکلي که براي امنيت و رمزنگاري به کار مي رود ،خودش منبع آسيب پذيري شده است.
فرجي پور يادآور شد: ما به دستگاه ها اعلام خطر کرده ايم. البته به طورعمده دستگاه هايي آسيب ديده اند که کاربران زيادي دارند و از رمزعبور استفاده مي کنند.
وي تأکيد کرد: به شبکه هاي پولي و بانکي هم هشدار داده شده است که اگر متوجه موضوع شده اند بايد به کاربران خود اخطار بدهند تا در رمزهاي عبور خود تجديدنظر کنند. البته اين کار به تنهايي مشکل را حل نمي کند و بايد سيستم شبکه اي هر نظام بانکي در سطح کلان اقدام به امن سازي کند.
وي تاکيد کرد: در ميان بانک هاي کشور نيز برخي از اين موضوع آسيب نديدند که نشان مي دهد پروتکل هاي امنيتي را به خوبي اجرا کردند و برخي ديگر نيز آسيب ديده اند که بايد به آن رسيدگي کنند.
باگ خطرناک OpenSSL موسوم به خون ريزي قلبي چيست؟
کشف باگ خطرناک موسوم به خون ريزي قلبي هياهوي فراواني را در فضاي وب ايجاد کرده است. نکته جالب توجه در اين باره تاثيرپذيري 2 سرور از 3سرور موجود در فضاي اينترنت است که اهميت اين باگ را بالا برده است. گويا آژانس امنيت ملي آمريکا نيز از 2 سال پيش، از اين باگ مطلع بوده و آن را افشا نکرده است.
اما اين باگ چيست و چه تاثيري بر روند استفاده کاربران عادي خواهد داشت؟آيا کاربران عادي بايد آنتي ويروس ها و نرم افزار هاي امنيتي خود را به روز کنند؟آيا هم اکنون کاربران مي توانند وارد حساب هاي بانکي خود شوند يا بايد از اين کار ممانعت کنند؟آيا شرکت هاي بزرگي چون گوگل که تحت تاثير اين باگ امنيتي قرار گرفته اند، اين مشکل رارفع کرده اند؟
در اين مطلب توضيحات روشني را درباره ساختار اين باگ، دامنه تاثيرگذاري آن، نحوه رفع مشکل و اجتناب از سرقت اطلاعات ارائه مي کنيم.
خون ريزي قلبي چيست و چگونه عمل مي کند؟
اين مشکل بخشي از يک نرم افزار با نام OpenSSL راتحت تاثير قرار مي دهد که به عنوان راهکاري براي مسائل امنيتي در وب سرورها استفاده مي شود.به گزارش zoomit، با استفاده از OpenSSL وب سايت ها مي توانند اطلاعات خود را به صورت رمزنگاري شده در اختيار کاربران قرار دهند، از اين رو ديگر افراد توانايي دسترسي و استفاده از داده هاي رد و بدل شده را که شامل نام هاي کاربري، رمز هاي عبور و کوکي هاست، ندارند.
OpenSSL يک پروژه متن باز است، يعني اين پروژه توسط مجموعه اي از افراد متخصص توسعه داده شده است که در قبال سرويس توسعه داده شده هزينه اي را دريافت نکرده اند. نسخه 1.0.1 پروژه OpenSSL در 19 آوريل 2012 منتشر شده است. مشکل موجود ناشي از يک اشتباه برنامه نويسي در همين نسخه است که به يک فرد يا نرم افزار مخرب بدون ثبت اثري از آن اجازه کپي برداري از اطلاعات موجود در حافظه وب سرور را مي دهد. اين مشکل پس از اضافه شدن يک ويژگي جديد ايجاد شده که توسط يک برنامه نويس آلماني روي OpenSSL اضافه شده است.خون ريزي قلبي يکي از ويژگي هاي داخلي OpenSSL را با نام Heartbeat يا ضربان قلب مورد استفاده قرار مي دهد.
زماني که رايانه کاربر به يک وب سايت دسترسي پيدا مي کند، وب سايت پاسخي را به مرورگر کاربر ارسال مي کند تا رايانه کاربر را از فعاليت خود و همچنين قابليت پاسخ گويي به درخواست هاي بعدي آگاه سازد، اين رد و بدل شدن اطلاعات را ضربان قلب مي گويند. ارسال درخواست و پاسخ به آن با رد و بدل شدن داده ها همراه است.
در حالت نرمال، زماني که رايانه کاربر درخواستي را از سرور به عمل مي آورد، ضربان قلب ميزان داده مجاز درخواست شده از طرف کاربر را ارسال مي کند، اما درباره سرورهايي که اين باگ را در ساختار خود دارند، يک هکر قادر است درخواستي را مبني بر گرفتن داده ها از حافظه سرور ارسال و داده اي را با حداکثر اندازه 65,536 بايت دريافت کند.
براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شايد دربردارنده اطلاعاتي از ديگر بخش هاي OpenSSL نيز باشد. اطلاعات موجود در حافظه کاملا از پلتفورم مستقل هستند. با اتصال رايانه هاي بيشتر به سرور اطلاعات موجود در حافظه از بين مي رود و اطلاعات جديد جايگزين مي شود، از اين رو صدور درخواست هاي جديد توسط هکرها به دريافت اطلاعات جديدتري منجر خواهد شد که شامل اطلاعات ورود، کوکي ها و داده هايي مي شود که هکرها مي توانند از آن ها بهره برداري کنند.
چاره کار چيست؟
پس از کشف اين باگ، دست اندرکاران سريع پچي را براي رفع اين مشکل منتشر کردند که نسخه 1.0.1.g نام گرفته است و مشکل موجود را کاملاً حل کرد. پيش از آن نيز در صورتي که کاربران در زمان نصب نرم افزار OpenSSL افزونه Heartbeat را نصب نکرده بودند، مشکلي از جانب اين باگ آ ن ها را تهديد نمي کرد.حال سوال اصلي در مورد نگراني يک کاربر معمولي اينترنت مطرح است. آيا کاربران اينترنت بايد از وجود چنين مشکلي نگران باشند؟
متاسفانه پاسخ اين پرسش مثبت است. کاربران بايد با استفاده از سرويس هايي چونLastPass Heartbleed Checker يا Qualys SSL Labs Test وب سايت هاي حساسي را که به آن ها مراجعه مي کنند چک کنند و در صورت وجود مشکل، رمز عبور خود را تغيير دهند. اين کار بايد براي تمامي وب سايت هايي که دربردارنده اين باگ بوده و پس از کشف آن رفع ايراد شده است، انجام شود. از جمله چنين سرويس هايي مي توان به ياهو و گوگل اشاره کرد. اما به صورت کلي بايد کاربران از قانون تغيير رمز عبور به صورت متوالي و در فاصله هاي زماني تبعيت کنند.
اقدام براي تغيير رمز عبور يک پيشنهاد احتياطي است، چراکه اگر هکري از وجود اين باگ مطلع بوده و درصدد دستيابي به اطلاعات حساب کاربري شما بوده باشد، تاکنون اين اطلاعات را کسب کرده و به مقصود خود رسيده است. براساس برخي شايعات، احتمالا گواهي رمزگذاري برخي از سرورها نيز به سرقت رفته است.فارغ از امکان به سرقت رفتن کليد رمزنگاري داده ها، شرکت ها علاوه بر اعمال پچ مورد نظر، کليد رمزگذاري خود را نيز تغيير داده اند تا هکرها قادر به سرقت اطلاعات و دستيابي به اطلاعات رمزنگاري شده نباشند.
در صورتي که از سرنوشت اطلاعات خود نگران هستيد، مي توانيد رمزهاي عبور حساب هاي کاربري خود را تغيير دهيد. يکي از اصلي ترين نکات براي انتخاب رمزعبور، استفاده نکردن از الگويي مشابه براي تمامي حساب هاي کاربري است. همچنين بايد در طول و کاراکترهاي مورد استفاده در رمزعبور نيز دقت و از ترکيب حروف با اعداد استفاده کنيد. ضمنا طول رمزعبور بهتر است بيش از 10 کاراکتر باشد.
مخاطبان محترم گروه اجتماعی مشرق می توانند اخبار، مقالات و تصاویر اجتماعی خود را به آدرس shoma@mashreghnews.ir ارسال کنند تا در سریع ترین زمان ممکن به نام خودشان و به عنوان یکی از مطالب ویژه مشرق منتشر شود. در ضمن گروه اجتماعی مشرق در صدد است با پیگیری مشکلات ارسالی شما از طریق کارشناسان و مشاوران مجرب پاسخی برای ابهامات مخاطبان عزیز بیابد.
منبع: خراسان
در اين رابطه معاون فناوري اطلاعات و ارتباطات سازمان پدافند غيرعامل از ارسال نامه اي به دستگاه هاي متولي زيرساخت هاي حياتي و حساس با مضمون هشدار درباره خطرات اينترنتي خبر داد و گفت: دستگاه هاي متولي اين زيرساخت ها بايد تمهيدات پدافندي و سايبري را رعايت و شبکه هاي حساس خود را از اينترنت جدا کنند.
محمدرضا فرجي پور در گفت وگو با مهر افزود: ما به دستگاه هاي کشور که متولي زيرساخت هاي حياتي و حساس هستند، نامه اي نوشته و تاکيد کرده ايم که موضوع باگ "خون ريزي قلبي" موردي بود که نشان داد بايد هوشياري شان را حفظ کنند و تمهيدات لازم را به کار بگيرند؛ چرا که اين موضوع به طورعمده از طريق اينترنت سرايت مي کند و از همين رو اين مراکز و دستگاه ها بايد شبکه هاي حساس خود را از اينترنت جدا کنند تا آسيب نبينند.
معاون فناوري اطلاعات و ارتباطات سازمان پدافند غيرعامل اظهار داشت: اتفاقي که رخ داده است پيچيدگي هايي دارد که احتياج به تحليل دقيق فني دارد . موضوع "خون ريزي قلبي" دقيقا روي پروتکلي که براي رمزنگاري و امن سازي به کار مي رود، حفره ايجاد کرده است و اين نشان مي دهد که حتي امکانات و برنامه هايي که ما براي رمزنگاري و کدنگاري از خارج از کشور مي گيريم و از آن ها استفاده مي کنيم، به هيچ عنوان قابل اعتماد نيست.
وي تاکيد کرد: اينجا مشخص مي شود که پروتکلي که براي امنيت و رمزنگاري به کار مي رود ،خودش منبع آسيب پذيري شده است.
فرجي پور يادآور شد: ما به دستگاه ها اعلام خطر کرده ايم. البته به طورعمده دستگاه هايي آسيب ديده اند که کاربران زيادي دارند و از رمزعبور استفاده مي کنند.
وي تأکيد کرد: به شبکه هاي پولي و بانکي هم هشدار داده شده است که اگر متوجه موضوع شده اند بايد به کاربران خود اخطار بدهند تا در رمزهاي عبور خود تجديدنظر کنند. البته اين کار به تنهايي مشکل را حل نمي کند و بايد سيستم شبکه اي هر نظام بانکي در سطح کلان اقدام به امن سازي کند.
وي تاکيد کرد: در ميان بانک هاي کشور نيز برخي از اين موضوع آسيب نديدند که نشان مي دهد پروتکل هاي امنيتي را به خوبي اجرا کردند و برخي ديگر نيز آسيب ديده اند که بايد به آن رسيدگي کنند.
باگ خطرناک OpenSSL موسوم به خون ريزي قلبي چيست؟
کشف باگ خطرناک موسوم به خون ريزي قلبي هياهوي فراواني را در فضاي وب ايجاد کرده است. نکته جالب توجه در اين باره تاثيرپذيري 2 سرور از 3سرور موجود در فضاي اينترنت است که اهميت اين باگ را بالا برده است. گويا آژانس امنيت ملي آمريکا نيز از 2 سال پيش، از اين باگ مطلع بوده و آن را افشا نکرده است.
اما اين باگ چيست و چه تاثيري بر روند استفاده کاربران عادي خواهد داشت؟آيا کاربران عادي بايد آنتي ويروس ها و نرم افزار هاي امنيتي خود را به روز کنند؟آيا هم اکنون کاربران مي توانند وارد حساب هاي بانکي خود شوند يا بايد از اين کار ممانعت کنند؟آيا شرکت هاي بزرگي چون گوگل که تحت تاثير اين باگ امنيتي قرار گرفته اند، اين مشکل رارفع کرده اند؟
در اين مطلب توضيحات روشني را درباره ساختار اين باگ، دامنه تاثيرگذاري آن، نحوه رفع مشکل و اجتناب از سرقت اطلاعات ارائه مي کنيم.
خون ريزي قلبي چيست و چگونه عمل مي کند؟
اين مشکل بخشي از يک نرم افزار با نام OpenSSL راتحت تاثير قرار مي دهد که به عنوان راهکاري براي مسائل امنيتي در وب سرورها استفاده مي شود.به گزارش zoomit، با استفاده از OpenSSL وب سايت ها مي توانند اطلاعات خود را به صورت رمزنگاري شده در اختيار کاربران قرار دهند، از اين رو ديگر افراد توانايي دسترسي و استفاده از داده هاي رد و بدل شده را که شامل نام هاي کاربري، رمز هاي عبور و کوکي هاست، ندارند.
OpenSSL يک پروژه متن باز است، يعني اين پروژه توسط مجموعه اي از افراد متخصص توسعه داده شده است که در قبال سرويس توسعه داده شده هزينه اي را دريافت نکرده اند. نسخه 1.0.1 پروژه OpenSSL در 19 آوريل 2012 منتشر شده است. مشکل موجود ناشي از يک اشتباه برنامه نويسي در همين نسخه است که به يک فرد يا نرم افزار مخرب بدون ثبت اثري از آن اجازه کپي برداري از اطلاعات موجود در حافظه وب سرور را مي دهد. اين مشکل پس از اضافه شدن يک ويژگي جديد ايجاد شده که توسط يک برنامه نويس آلماني روي OpenSSL اضافه شده است.خون ريزي قلبي يکي از ويژگي هاي داخلي OpenSSL را با نام Heartbeat يا ضربان قلب مورد استفاده قرار مي دهد.
زماني که رايانه کاربر به يک وب سايت دسترسي پيدا مي کند، وب سايت پاسخي را به مرورگر کاربر ارسال مي کند تا رايانه کاربر را از فعاليت خود و همچنين قابليت پاسخ گويي به درخواست هاي بعدي آگاه سازد، اين رد و بدل شدن اطلاعات را ضربان قلب مي گويند. ارسال درخواست و پاسخ به آن با رد و بدل شدن داده ها همراه است.
در حالت نرمال، زماني که رايانه کاربر درخواستي را از سرور به عمل مي آورد، ضربان قلب ميزان داده مجاز درخواست شده از طرف کاربر را ارسال مي کند، اما درباره سرورهايي که اين باگ را در ساختار خود دارند، يک هکر قادر است درخواستي را مبني بر گرفتن داده ها از حافظه سرور ارسال و داده اي را با حداکثر اندازه 65,536 بايت دريافت کند.
براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شايد دربردارنده اطلاعاتي از ديگر بخش هاي OpenSSL نيز باشد. اطلاعات موجود در حافظه کاملا از پلتفورم مستقل هستند. با اتصال رايانه هاي بيشتر به سرور اطلاعات موجود در حافظه از بين مي رود و اطلاعات جديد جايگزين مي شود، از اين رو صدور درخواست هاي جديد توسط هکرها به دريافت اطلاعات جديدتري منجر خواهد شد که شامل اطلاعات ورود، کوکي ها و داده هايي مي شود که هکرها مي توانند از آن ها بهره برداري کنند.
چاره کار چيست؟
پس از کشف اين باگ، دست اندرکاران سريع پچي را براي رفع اين مشکل منتشر کردند که نسخه 1.0.1.g نام گرفته است و مشکل موجود را کاملاً حل کرد. پيش از آن نيز در صورتي که کاربران در زمان نصب نرم افزار OpenSSL افزونه Heartbeat را نصب نکرده بودند، مشکلي از جانب اين باگ آ ن ها را تهديد نمي کرد.حال سوال اصلي در مورد نگراني يک کاربر معمولي اينترنت مطرح است. آيا کاربران اينترنت بايد از وجود چنين مشکلي نگران باشند؟
متاسفانه پاسخ اين پرسش مثبت است. کاربران بايد با استفاده از سرويس هايي چونLastPass Heartbleed Checker يا Qualys SSL Labs Test وب سايت هاي حساسي را که به آن ها مراجعه مي کنند چک کنند و در صورت وجود مشکل، رمز عبور خود را تغيير دهند. اين کار بايد براي تمامي وب سايت هايي که دربردارنده اين باگ بوده و پس از کشف آن رفع ايراد شده است، انجام شود. از جمله چنين سرويس هايي مي توان به ياهو و گوگل اشاره کرد. اما به صورت کلي بايد کاربران از قانون تغيير رمز عبور به صورت متوالي و در فاصله هاي زماني تبعيت کنند.
اقدام براي تغيير رمز عبور يک پيشنهاد احتياطي است، چراکه اگر هکري از وجود اين باگ مطلع بوده و درصدد دستيابي به اطلاعات حساب کاربري شما بوده باشد، تاکنون اين اطلاعات را کسب کرده و به مقصود خود رسيده است. براساس برخي شايعات، احتمالا گواهي رمزگذاري برخي از سرورها نيز به سرقت رفته است.فارغ از امکان به سرقت رفتن کليد رمزنگاري داده ها، شرکت ها علاوه بر اعمال پچ مورد نظر، کليد رمزگذاري خود را نيز تغيير داده اند تا هکرها قادر به سرقت اطلاعات و دستيابي به اطلاعات رمزنگاري شده نباشند.
در صورتي که از سرنوشت اطلاعات خود نگران هستيد، مي توانيد رمزهاي عبور حساب هاي کاربري خود را تغيير دهيد. يکي از اصلي ترين نکات براي انتخاب رمزعبور، استفاده نکردن از الگويي مشابه براي تمامي حساب هاي کاربري است. همچنين بايد در طول و کاراکترهاي مورد استفاده در رمزعبور نيز دقت و از ترکيب حروف با اعداد استفاده کنيد. ضمنا طول رمزعبور بهتر است بيش از 10 کاراکتر باشد.
مخاطبان محترم گروه اجتماعی مشرق می توانند اخبار، مقالات و تصاویر اجتماعی خود را به آدرس shoma@mashreghnews.ir ارسال کنند تا در سریع ترین زمان ممکن به نام خودشان و به عنوان یکی از مطالب ویژه مشرق منتشر شود. در ضمن گروه اجتماعی مشرق در صدد است با پیگیری مشکلات ارسالی شما از طریق کارشناسان و مشاوران مجرب پاسخی برای ابهامات مخاطبان عزیز بیابد.
منبع: خراسان