باگ خطرناك OpenSSL موسوم به خونريزي قلبي چيست؟
- آيا متخصصان عادي بايد آنتيويروسها و نرمافزارهاي امنيتي خود را بروز كنند؟
- آيا هماكنون متخصصان ميتوانند وارد حسابهاي بانكي خود شوند يا بايد از اين كار ممانعت كنند؟
- آيا كمپانيهاي بزرگي چون گوگل كه تحت تاثير اين باگ امنيتي قرار گرفتهاند، اين اشكال را برطرف كردهاند؟
يقينا در روزهاي گذشته سوالات اين چنين در ذهن تمامي متخصصان نقش بسته، اما پاسخهاي واضحي به آنها داده نشده است. در ادامه توضيحات روشني را در مورد ساختار اين باگ، دامنهي تاثيرگذاري آن، نحوهي رفع اشكال و اجتناب از سرقت اطلاعات ارائه خواهيم داد.
خونريزي قلبي چيست و چگونه كار ميكند؟
اين اشكال بخشي از يك نرمافزار را با نام OpenSSL تحت تاثير قرار ميدهد كه بهعنوان راهكاري براي مسائل امنيتي در وب سرورها مورد استفاده قرار ميگيرد. با استفاده از OpenSSL وبسايتها ميتوانند اطلاعات خود را بصورت رمزنگاري شده در اختيار متخصصان قرار دهند، از اينرو ساير افراد توانايي دسترسي و استفاده از دادههاي رد و بدل شده را كه شامل نامهاي متخصصي، رمزهاي عبور و كوكيها است، ندارند.
OpenSSL يك پروژهي متن باز است، يعني اين پروژه توسط مجموعهاي از افراد متخصص توسعه داده شده است كه در قبال سرويس توسعهداده شده هزينه اي را دريافت نكردهاند. هدف اين افراد كمك به توسعهي وب و ياري جامعهي اينترنت بوده است. نسخهي 1.0.1 پروژهي OpenSSL در 19 آپريل 2012 ميلادي منتشر شده است. اشكال موجود ناشي از يك اشتباه برنامهنويسي در همين نسخه است كه اجازهي كپي برداري از اطلاعات موجود در حافظهي وب سرور را به يك فرد يا نرمافزار مخرب بدون ثبت اثري از آن ميدهد. اين اشكال پس از اضافه شدن يك ويژگي جديد ايجاد شده كه توسط برنامهنويسي آلماني با نام دكتر رابينسگِلمَن روي OpenSSL اضافه شده است.
خونريزي قلبي يكي از ويژگيهاي داخلي OpenSSL را با نام Heartbeat يا ضربان قلب مورد استفاده قرار ميدهد. زماني كه رايانهي متخصص به يك وبسايت دسترسي پيدا ميكند، وبسايت پاسخي را به مرورگر متخصص ارسال ميكند تا رايانهي متخصص را از فعاليت خود و همچنين قابليت پاسخگويي به درخواستهاي بعدي آگاه سازد، اين رد و بدل شدن اطلاعات را ضربان قلب گويند. ارسال درخواست و پاسخ به آن با رد و بدل شدن دادهها همراه است. در حالت نرمال، زماني كه رايانهي متخصص درخواستي را از سرور به عمل ميآورد، ضربان قلب ميزان دادهي مجاز درخواست شده از طرف متخصص را ارسال ميكند، اما در مورد سرورهايي كه اين باگ را در ساختار خود دارند، يك هكر قادر است تا درخواستي را مبني بر گرفتن دادهها از حافظهي سرور ارسال كرده و دادهاي را با حداكثر اندازهي 65,536 بايت دريافت كند.
براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شايد دربردارندهي اطلاعاتي از ساير بخشهاي OpenSSL نيز باشد. اطلاعات موجود در حافظه كاملا از پلتفرم مستقل هستند. با اتصال رايانههاي بيشتر به سرور اطلاعات موجود در حافظهي از بين رفته و اطلاعات جديد جايگزين ميشود، از اينرو صدور درخواستهاي جديد توسط هكرها منجر به دريافت اطلاعات جديدتري خواهد شد كه شامل اطلاعات ورود، كوكيها و دادههايي ميشود كه هكرها ميتوانند از آنها بهرهبرداري نمايند.
چارهي كار چيست؟
از آنجايي كه اين ويژگي كمي خاص است و در مورد تمامي ارتباطات ايجاد شده از آن استفاده نميشود، ميزان تاثيرگذاري آن كمتر از حدي است كه در برآوردهاي اوليه به آن اشاره شده است. در حقيقت، اولين پيشبينيها حكايت از آسيبپذيري 60 درصدي سرورهاي اينترنتي در اثر وجود باگ خونريزي قلبي داشت، در حالي كه Netcraft مدعي شده است كه اين ميزان بسيار كمتر بوده و در حدود 17.5 درصد از كل سرورهاي اينترنتي را تشكيل داده است.
پس از كشف اين باگ، دستاندركاران سريعاً پچي را براي رفع اين اشكال منتشر كردند كه نسخهي 1.0.1.g نام گرفته و اشكال موجود را كاملاً حل كرد. پيش از آن نيز در صورتي كه متخصصان در زمان نصب نرمافزار OpenSSL افزونهي Heartbeat را نصب نكرده بودند، اشكالي از جانب اين باگ آنها را تهديد نميكرد.
حال سوال اصلي در مورد نگراني يك متخصص معمولي اينترنت مطرح است. آيا متخصصان اينترنت بايد از وجود چنين اشكالي نگران باشند؟ متاسفانه پاسخ اين پرسش بلي است. متخصصان بايد با استفاده از سرويسهايي چون Heartbleed Test ،LastPass Heartbleed Checker يا Qualys SSL Labs Test وبسايتهاي حساسي را كه به آنها مراجعه ميكنند چك كرده و در صورت وجود اشكال، رمز عبور خود را تغيير دهند. اين كار بايد براي تمامي وبسايتهايي كه دربردارندهي اين باگ بوده و پس از كشف آن رفع ايراد شدهاند، انجام شود. از جملهي چنين سرويسهايي ميتوان به ياهو و گوگل اشاره كرد. اما بصورت كلي بايد متخصصان از قانون تغيير رمز عبور بصورت متوالي و در فاصلههاي زماني تبعيت كنند.
اقدام براي تغيير رمز عبور يك پيشنهاد احتياطي است، چراكه اگر هكري از وجود اين باگ مطلع بوده و درصدد دستيابي به اطلاعات حساب متخصصي شما بود، تا حال اين اطلاعات را كسب كرده و به مقصود خود رسيده است. براساس برخي شايعات، احتمالا گواهي رمزگذاري برخي از سرورها نيز به سرقت رفته، اما CloudFlare امكان چنين مسالهاي را بسيار پايين عنوان كرده و اعلام كرده است كه درصد رخداد چنين موردي بسيار پايين است.
اين موسسه مسابقهاي را با اين مضمون يعني دستيابي به گواهي رمزگذاري سرور برگزار كرده بود كه فردي موفق به انجام اين كار شد. وي در فاصلهي ريبوت شدن سرور به گواهي مورد انديشه متخصصين دست يافت. فارغ از امكان به سرقت رفتن كليد رمزنگاري دادهها، كمپانيها علاوه بر اعمال پچ مورد انديشه متخصصين، كليد رمزگذاري خود را نيز تغيير دادهاند تا هكرها قادر به سرقت اطلاعات و دستيابي به اطلاعات رمزنگاري شده نباشند.
در صورتي كه از سرنوشت اطلاعات خود نگران هستيد، ميتوانيد رمزهاي عبور حسابهاي متخصصي خود را تغيير دهيد. يكي از اصليترين نكات براي انتخاب رمزعبور، عدم استفاده از الگويي مشابه براي تمامي حسابهاي متخصصي است. همچنين بايد در طول و كاركترهاي مورد استفاده در رمزعبور نيز دقت كرده و از تركيب حروف با اعداد استفاده كرد. ضمنا طول رمزعبور بهتر است بيش از 10 كاركتر باشد.
هم انديشي ها