به گزارش گروه اجتماعی مشرق، کارشناسان امنیت فضای تبادل اطلاعات در ماه آوریل 2014 (اواخر فروردین امسال) در باره وجود آسیب پذیری یا حفره امنیتی خطرناکی موسوم به «خونریزی قلبی» (Heartbleed) در وب سرورها و سرویس های دهنده های اینترنت هشدار دادند.
این آسیب پذیری بطور گسترده ای وب سایت های شبکه جهانی اینترنت را تحت تاثیر قرار داده است و سرویس دهنده ای را که از نرم افزار رمزنگاری «اوپن اس اس ال» (OpenSSL) استفاده کند، در معرض حمله قرار می دهد.
این آسیب پذیری به مهاجمین این امکان را می دهد تا داده های حفاظت شده در سرورها را استخراج کنند.
در واقع مهاجم با استفاده از این آسیب پذیری می تواند حافظه سیستم را بخواند و به کلید محرمانه رمزنگاری ترافیک و داده هایی مانند نام های کاربری و رمز عبور دسترسی یابد.
مهاجم از این طریق امکان شنود ارتباطات، سرقت داده، پست الکترونیک و مستندات مربوط به سرویس ها، کاربران و همچنین شخصی سازی آنها را پیدا می کند.
با توجه به گستردگی استفاده از نرم افزارˈ لینوکسیˈ( OpenSSL ) بویژه در ایران، کاربران شبکه های رایانه ای ممکن است بصورت مستقیم یا غیر مستقیم با این آسیب پذیری درگیر شده باشند.
در حالت مستقیم شما بعنوان یک سرویس دهنده به کاربران دیگر، منجر به فاش شدن برخی از اطلاعات آنها شده اید.
در حالت غیرمستقیم نیز ممکن است سرویس دهنده ای که شما با آن سروکار داشته اید منجر به فاش شدن اطلاعات شما شده باشد،به همین دلیل کارشناسان به مدیران وب سایت ها، شرکت های سرویس دهنده خدمات اینترنت، اداره ها، وزارتخانه ها و مراکز آموزشی توصیه می کنند تا نرم افزارهای خود را بررسی و در صورت لزوم به روز کنند در غیراینصورت در معرض خطرات جبران ناپذیری قرار می گیرند.
با وجود این هشدارها و توصیه ها، به گفته قائم مقام مرکز آپا(آگاهی رسانی، پشتیبانی و امداد رایانه ای) دانشگاه صنعتی اصفهان هنوز آسیب پذیری خونریزی قلبی در بیشتر سرویس دهنده های اینترنت کشورمان وجود دارد.
«مهدی بهروزی» روز دوشنبه گفت: بررسی کارشناسان مرکز آپا نشان می دهد که بسیاری از ارائه دهندگان خدمات اینترنت در کشور هنوز برای رفع این آسیب پذیری اقدامی نکرده و همچنان به آن آلوده هستند.
وی تاکید کرد: این بی توجهی منجر به سوء استفاده هکرها و دسترسی آنها به اطلاعات کاربران و همچنین کندی سرعت اینترنت شده است.
وی با اشاره به ارائه وصله های امنیتی برای رفع آسیب پذیری معروف به خونریزی قلبی تصریح کرد: فقط کافی است مدیران شرکت های ارائه دهنده خدمات اینترنتی با مشاوران امنیتی تماس بگیرند تا اقدامات لازم برای رفع این آسیب پذیری خطرناک صورت گیرد.
این کارشناس از مدیران وب سایت ها و شرکت های ارائه دهنده سرویس ها و خدمات اینترنت خواست تا به مسائل امنیت اطلاعات توجه کافی داشته باشند درغیراین صورت خسارات جبران ناپذیری به اعتبار آنها و همچنین به کاربران وارد می شود.
مخاطبان محترم گروه اجتماعی مشرق می توانند اخبار، مقالات و تصاویر اجتماعی خود را به آدرس shoma@mashreghnews.ir ارسال کنند تا در سریع ترین زمان ممکن به نام خودشان و به عنوان یکی از مطالب ویژه مشرق منتشر شود. در ضمن گروه اجتماعی مشرق در صدد است با پیگیری مشکلات ارسالی شما از طریق کارشناسان و مشاوران مجرب پاسخی برای ابهامات مخاطبان عزیز بیابد.
این آسیب پذیری بطور گسترده ای وب سایت های شبکه جهانی اینترنت را تحت تاثیر قرار داده است و سرویس دهنده ای را که از نرم افزار رمزنگاری «اوپن اس اس ال» (OpenSSL) استفاده کند، در معرض حمله قرار می دهد.
این آسیب پذیری به مهاجمین این امکان را می دهد تا داده های حفاظت شده در سرورها را استخراج کنند.
در واقع مهاجم با استفاده از این آسیب پذیری می تواند حافظه سیستم را بخواند و به کلید محرمانه رمزنگاری ترافیک و داده هایی مانند نام های کاربری و رمز عبور دسترسی یابد.
مهاجم از این طریق امکان شنود ارتباطات، سرقت داده، پست الکترونیک و مستندات مربوط به سرویس ها، کاربران و همچنین شخصی سازی آنها را پیدا می کند.
با توجه به گستردگی استفاده از نرم افزارˈ لینوکسیˈ( OpenSSL ) بویژه در ایران، کاربران شبکه های رایانه ای ممکن است بصورت مستقیم یا غیر مستقیم با این آسیب پذیری درگیر شده باشند.
در حالت مستقیم شما بعنوان یک سرویس دهنده به کاربران دیگر، منجر به فاش شدن برخی از اطلاعات آنها شده اید.
در حالت غیرمستقیم نیز ممکن است سرویس دهنده ای که شما با آن سروکار داشته اید منجر به فاش شدن اطلاعات شما شده باشد،به همین دلیل کارشناسان به مدیران وب سایت ها، شرکت های سرویس دهنده خدمات اینترنت، اداره ها، وزارتخانه ها و مراکز آموزشی توصیه می کنند تا نرم افزارهای خود را بررسی و در صورت لزوم به روز کنند در غیراینصورت در معرض خطرات جبران ناپذیری قرار می گیرند.
با وجود این هشدارها و توصیه ها، به گفته قائم مقام مرکز آپا(آگاهی رسانی، پشتیبانی و امداد رایانه ای) دانشگاه صنعتی اصفهان هنوز آسیب پذیری خونریزی قلبی در بیشتر سرویس دهنده های اینترنت کشورمان وجود دارد.
«مهدی بهروزی» روز دوشنبه گفت: بررسی کارشناسان مرکز آپا نشان می دهد که بسیاری از ارائه دهندگان خدمات اینترنت در کشور هنوز برای رفع این آسیب پذیری اقدامی نکرده و همچنان به آن آلوده هستند.
وی تاکید کرد: این بی توجهی منجر به سوء استفاده هکرها و دسترسی آنها به اطلاعات کاربران و همچنین کندی سرعت اینترنت شده است.
وی با اشاره به ارائه وصله های امنیتی برای رفع آسیب پذیری معروف به خونریزی قلبی تصریح کرد: فقط کافی است مدیران شرکت های ارائه دهنده خدمات اینترنتی با مشاوران امنیتی تماس بگیرند تا اقدامات لازم برای رفع این آسیب پذیری خطرناک صورت گیرد.
این کارشناس از مدیران وب سایت ها و شرکت های ارائه دهنده سرویس ها و خدمات اینترنت خواست تا به مسائل امنیت اطلاعات توجه کافی داشته باشند درغیراین صورت خسارات جبران ناپذیری به اعتبار آنها و همچنین به کاربران وارد می شود.
مخاطبان محترم گروه اجتماعی مشرق می توانند اخبار، مقالات و تصاویر اجتماعی خود را به آدرس shoma@mashreghnews.ir ارسال کنند تا در سریع ترین زمان ممکن به نام خودشان و به عنوان یکی از مطالب ویژه مشرق منتشر شود. در ضمن گروه اجتماعی مشرق در صدد است با پیگیری مشکلات ارسالی شما از طریق کارشناسان و مشاوران مجرب پاسخی برای ابهامات مخاطبان عزیز بیابد.