باگ خطرناك OpenSSL موسوم به خونريزي قلبي چيست؟

• آيا متخصصان عادي بايد آنتي‌ويروس‌ها و نرم‌افزار‌هاي امنيتي خود را بروز كنند؟
• آيا هم‌اكنون متخصصان مي‌توانند وارد حساب‌هاي بانكي خود شوند يا بايد از اين كار ممانعت كنند؟
• آيا كمپاني‌هاي بزرگي چون گوگل كه تحت تاثير اين باگ امنيتي قرار گرفته‌اند، اين اشكال را برطرف كرده‌اند؟

يقينا در روزهاي گذشته سوالات اين چنين در ذهن تمامي متخصصان نقش بسته، اما پاسخ‌هاي واضحي به آن‌ها داده نشده است. در ادامه توضيحات روشني را در مورد ساختار اين باگ، دامنه‌ي تاثيرگذاري آن، نحوه‌ي رفع اشكال و اجتناب از سرقت اطلاعات ارائه خواهيم داد.

اين اشكال بخشي از يك نرم‌افزار را با نام OpenSSL تحت تاثير قرار مي‌دهد كه به‌عنوان راهكاري براي مسائل امنيتي در وب سرورها مورد استفاده قرار مي‌گيرد. با استفاده از OpenSSL وب‌سايت‌ها مي‌توانند اطلاعات خود را بصورت رمزنگاري شده در اختيار متخصصان قرار دهند، از اين‌رو ساير افراد توانايي دسترسي و استفاده از داده‌هاي رد و بدل شده را كه شامل نام‌هاي متخصصي، رمز‌هاي عبور و كوكي‌ها است، ندارند.

OpenSSL يك پروژه‌ي متن باز است، يعني اين پروژه توسط مجموعه‌اي از افراد متخصص توسعه داده شده است كه در قبال سرويس توسعه‌داده شده هزينه اي را دريافت نكرده‌اند. هدف اين افراد كمك به توسعه‌ي وب و ياري جامعه‌ي اينترنت بوده است. نسخه‌‌ي 1.0.1 پروژه‌ي OpenSSL در 19 آپريل 2012 ميلادي منتشر شده است. اشكال موجود ناشي از يك اشتباه برنامه‌نويسي در همين نسخه است كه اجازه‌ي كپي برداري از اطلاعات موجود در حافظه‌ي وب سرور را به يك فرد يا نرم‌افزار مخرب بدون ثبت اثري از آن مي‌دهد. اين اشكال پس از اضافه شدن يك ويژگي جديد ايجاد شده كه توسط برنامه‌نويسي آلماني با نام دكتر رابين‌سگِلمَن روي OpenSSL ‌اضافه شده است.

خونريزي قلبي يكي از ويژگي‌هاي داخلي OpenSSL را با نام Heartbeat يا ضربان قلب مورد استفاده قرار مي‌دهد. زماني كه رايانه‌ي متخصص به يك وب‌سايت دسترسي پيدا مي‌كند، وب‌سايت پاسخي را به مرورگر متخصص ارسال مي‌كند تا رايانه‌ي متخصص را از فعاليت خود و همچنين قابليت پاسخ‌گويي به درخواست‌هاي بعدي آگاه سازد، اين رد و بدل شدن اطلاعات را ضربان قلب گويند. ارسال درخواست و پاسخ به آن با رد و بدل شدن داده‌ها همراه است. در حالت نرمال، زماني كه رايانه‌ي متخصص درخواستي را از سرور به عمل مي‌آورد، ضربان قلب ميزان داده‌ي مجاز درخواست شده از طرف متخصص را ارسال مي‌كند، اما در مورد سرورهايي كه اين باگ را در ساختار خود دارند، يك هكر قادر است تا درخواستي را مبني بر گرفتن داده‌ها از حافظه‌ي سرور ارسال كرده و داده‌اي را با حداكثر اندازه‌ي 65,536 بايت دريافت كند.

براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شايد دربردارنده‌ي اطلاعاتي از ساير بخش‌هاي OpenSSL ‌نيز باشد. اطلاعات موجود در حافظه كاملا از پلتفرم مستقل هستند. با اتصال رايانه‌هاي بيشتر به سرور اطلاعات موجود در حافظه‌ي از بين رفته و اطلاعات جديد جايگزين مي‌شود، از اين‌رو صدور درخواست‌هاي جديد توسط هكرها منجر به دريافت اطلاعات جديدتري خواهد شد كه شامل اطلاعات ورود، كوكي‌ها و داده‌هايي مي‌شود كه هكرها مي‌توانند از آن‌ها بهره‌برداري نمايند.

از آنجايي كه اين ويژگي كمي خاص است و در مورد تمامي ارتباطات ايجاد شده از آن استفاده نمي‌شود، ميزان تاثيرگذاري آن كمتر از حدي است كه در برآوردهاي اوليه به آن اشاره شده است. در حقيقت، اولين پيش‌بيني‌ها حكايت از آسيب‌پذيري 60 درصدي سرورهاي اينترنتي در اثر وجود باگ خونريزي قلبي داشت، در حالي كه Netcraft مدعي شده است كه اين ميزان بسيار كمتر بوده و در حدود 17.5 درصد از كل سرورهاي اينترنتي را تشكيل داده است.

پس از كشف اين باگ، دست‌اندركاران سريعاً پچي را براي رفع اين اشكال منتشر كردند كه نسخه‌ي 1.0.1.g نام گرفته و اشكال موجود را كاملاً حل كرد. پيش از آن نيز در صورتي كه متخصصان در زمان نصب نرم‌افزار OpenSSL افزونه‌ي Heartbeat را نصب نكرده بودند، اشكالي از جانب اين باگ آ‌ن‌ها را تهديد نمي‌كرد.

حال سوال اصلي در مورد نگراني يك متخصص معمولي اينترنت مطرح است. آيا متخصصان اينترنت بايد از وجود چنين اشكالي نگران باشند؟ متاسفانه پاسخ اين پرسش بلي است. متخصصان بايد با استفاده از سرويس‌هايي چون  Heartbleed Test ،LastPass Heartbleed Checker يا Qualys SSL Labs Test وب‌سايت‌هاي حساسي را كه به آن‌ها مراجعه مي‌كنند چك كرده و در صورت وجود اشكال، رمز عبور خود را تغيير دهند. اين كار بايد براي تمامي وب‌سايت‌هايي كه دربردارنده‌ي اين باگ بوده و پس از كشف آن رفع ايراد شده‌اند، انجام شود. از جمله‌ي چنين سرويس‌هايي مي‌توان به ياهو و گوگل اشاره كرد. اما بصورت كلي بايد متخصصان از قانون تغيير رمز عبور بصورت متوالي و در فاصله‌هاي زماني تبعيت كنند.

اقدام براي تغيير رمز عبور يك پيشنهاد احتياطي است، چراكه اگر هكري از وجود اين باگ مطلع بوده و درصدد دستيابي به اطلاعات حساب متخصصي شما بود، تا حال اين اطلاعات را كسب كرده و به مقصود خود رسيده است. براساس برخي شايعات، احتمالا گواهي رمزگذاري برخي از سرورها نيز به سرقت رفته، اما CloudFlare امكان چنين مساله‌اي را بسيار پايين عنوان كرده و اعلام كرده است كه درصد رخداد چنين موردي بسيار پايين است.

اين موسسه‌ مسابقه‌اي را با اين مضمون يعني دستيابي به گواهي رمزگذاري سرور برگزار كرده بود كه فردي موفق به انجام اين كار شد. وي در فاصله‌ي ريبوت شدن سرور به گواهي مورد انديشه متخصصين دست يافت. فارغ از امكان به سرقت رفتن كليد رمزنگاري داده‌ها، كمپاني‌ها علاوه بر اعمال پچ مورد انديشه متخصصين، كليد رمزگذاري خود را نيز تغيير داده‌اند تا هكرها قادر به سرقت اطلاعات و دستيابي به اطلاعات رمزنگاري شده نباشند.

در صورتي كه از سرنوشت اطلاعات خود نگران هستيد، مي‌توانيد رمزهاي عبور حساب‌هاي متخصصي خود را تغيير دهيد. يكي از اصلي‌ترين نكات براي انتخاب رمزعبور، عدم استفاده از الگويي مشابه براي تمامي حساب‌هاي متخصصي است. همچنين بايد در طول و كاركترهاي مورد استفاده در رمزعبور نيز دقت كرده و از تركيب حروف با اعداد استفاده كرد. ضمنا طول رمزعبور بهتر است بيش از 10 كاركتر باشد.