چند پرسش و پاسخ کاربردی درباره خونریزی قلبی
نگران باشید
ضعف امنیتی Heartbleed یا خونریزی قلبی که از آن بهعنوان بزرگترین نقص امنیتی اینترنت از ابتدای پیدایش آن یاد میشود دامنه بسیار گستردهای دارد. از شرکتهای بزرگ اینترنتی گرفته تا بانکها و موسسات مالی و اعتباری و بالاخره کاربران تحت تاثیر این نقص امنیتی و ریسک آن قرار دارند. علاوهبر اینکه شرکتها و سایتهای اینترنتی مشغول رفع این ضعف هستند از کاربران نیز خواسته شده که پسوردهای خود را تغییر دهند و تراکنشهای مالی خود را طی روزهای آینده به دقت زیر نظر داشته باشند. اما خوب است نگاهی داشته باشیم به برخی از سوالاتی که این ضعف امنیتی در اذهان ایجاد کرده است: خونریزی قلبی چیست؟ یک حفره امنیتی در نرمافزار OpenSSL است که به هکرها اجازه میدهد به حافظه سرورها دستری پیدا کنند.
ضعف امنیتی Heartbleed یا خونریزی قلبی که از آن بهعنوان بزرگترین نقص امنیتی اینترنت از ابتدای پیدایش آن یاد میشود دامنه بسیار گستردهای دارد. از شرکتهای بزرگ اینترنتی گرفته تا بانکها و موسسات مالی و اعتباری و بالاخره کاربران تحت تاثیر این نقص امنیتی و ریسک آن قرار دارند. علاوهبر اینکه شرکتها و سایتهای اینترنتی مشغول رفع این ضعف هستند از کاربران نیز خواسته شده که پسوردهای خود را تغییر دهند و تراکنشهای مالی خود را طی روزهای آینده به دقت زیر نظر داشته باشند. اما خوب است نگاهی داشته باشیم به برخی از سوالاتی که این ضعف امنیتی در اذهان ایجاد کرده است:
خونریزی قلبی چیست؟
یک حفره امنیتی در نرمافزار OpenSSL است که به هکرها اجازه میدهد به حافظه سرورها دستری پیدا کنند. براساس گفته محققان حدود ۵۰۰ هزار سرور در سراسر جهان به این ضعف امنیتی آلوده شدهاند. به این معنی است که اطلاعات حساس میلیونها کارت اعتباری، اکانت و پسورد بهطور بالقوه در ریسک افشا شدن قرار گرفته است.
در همین حال این حفره امنیتی امکان اینکه هکرها به اطلاعات داخلی شرکتها دسترسی پیدا کنند را نیز بسیار افزایش میدهد.
OpenSSL چیست؟
اجازه بدهید با SSL شروع کنیم که مخفف Secure Socketd Layer است اما نام جدید آن Transport Layer Security یا TLS را بیشتر شنیدهایم. هدف SSL کدگذاری اطلاعات روی وب است و هدف این کدگذاری این است که کسی اطلاعات حساس شما را مثلا در هنگام اتصال به ایمیلتان از طریق مرورگرها به سرقت نبرد. به همین دلیل است که مثلا هنگام نوشتن پسورد آدرس URL شما از HTTP به HTTPS تغییر میکند.
OpenSSL یک نرمافزار کدباز یا اوپنسورس برای اجرای SSL روی وب است. OpenSSL همچنین بهطور گستردهای در سیستم عامل لینوکس و متعلقات آن Apache و Ngins مورد استفاده قرار میگیرد که برای راهاندازی سایتهای اینترنتی و نگهداری اطلاعات آنها روی سرورها کاربرد دارد.
چه کسی این باگ را کشف کرد؟
این باگ امنیتی توسط یک شرکت امنیتی به نام Codenomicon و یک محقق گوگل به نام Neel Mehta بهطور مستقل اما در یک روز کشف شد.محقق گوگل به خاطر کشف این باگ ۱۵ هزار دلار جایزه دریافت کرد اما او این جایزه را به بنیاد آزادی مطبوعات داد تا برای توسعه یک ابزار امنیتی جهت ارتباط امن روزنامهنگاران و منابعشان (و عدم شنود توسط دولتها) مورد استفاده قرار گیرد. او تاکنون تقاضای مصاحبه در مورد این باگ را رد کرده، اما گوگل در این مورد گفته است که امنیت اطلاعات کاربران برای ما در بالاترین اولویت قرار دارد و ما مرتبا ضعفهای مختلف در این زمینه را بررسی میکنیم تا احیانا به کاربران از این بابت آسیبی وارد نیاید.
چرا به این باگ خونریزی قلبی گفته میشود؟
این نام را Ossi Herrala مدیر شبکه شرکت Codenomicon روی این باگ گذاشته که در اصل جایگزین نام فنی CVE-۲۰۱۴-۰۱۶۰ شده که در واقع خطی از کد برنامه است که شامل این باگ میشود.
Heartbleed در واقع تغییر یافته نام بخشی از این برنامه است که Heartbeat (تپش قلب) نام دارد. این بخش ارتباط را حتی در هنگامی که بین کاربر و سرور ارتباطی وجود ندارد، باز نگاه میدارد و از این جهت باعث نشت یا به اصطلاح خونریزی اطلاعات مهم از حافظه (سرور) میشود.
چرا بعضی سایتها توسط خونریزی قلبی آلوده نشدهاند؟
OpenSSL بسیار گسترده در سایتها و سرورهای اینترنتی مورد استفاده قرار میگیرد، اما در واقع جایگزینی برای SSL/TSL است. بسیاری از سایتها از نسخه قدیمیتر و غیرآلوده آن استفاده میکنند و بعضی دیگر هم اساسا امکان Heartbeat را فعال نکرده بودند. از طرفی بعضی سایتها از تکنیک PFS بهره میبرند به این معنی که به کلیدهایی که برای باز کردن محتوای کدگذاری شده بهکار میرود، عمر کوتاهی میدهد. به این ترتیب اگر حتی یک هکر به یک یا چند کلید خارج از سرور دسترسی پیدا کند بهدلیل طول عمر کوتاه آن قادر به استفاده از یک حجم اطلاعات بالا و خارج کردن کد از آن نیست. امروزه برخی از شرکتهای بزرگ تکنولوژی مانند گوگل و فیسبوک پشتیبانی از PFS را آغاز کردهاند.
این باگ چگونه کار میکند؟
این باگ به یک هکر اجازه میدهد که در هر بار حمله به ۶۴ کیلوبایت از حافظه سرور دسترسی داشته باشد هر چند این عدد خیلی زیاد نیست، اما حملات دوباره و دوباره میتواند شامل اطلاعات بسیار زیادی شود. این هک نهتنها میتواند باعث لو رفتن نام کاربری و پسورد شود، بلکه میتواند حتی برای دنبال کردن اطلاعات کوکی یک شخص خاص شود. به این ترتیب هکر میتواند با ساختن یک صفحه یا سایت جعلی و دزدیدن کارتهای اعتباری و پیغامهای خصوصی شود.
آیا من باید پسوردم را عوض کنم؟
برای بسیاری از سایتها توصیه شده حتما پسورد خود را فورا عوض کنید. برای آن دسته از سایتها که هنوز این باگ را رفع نکردهاند، کاربران باید تا رفع باگ صبر کنند.
چگونه میتوان از این موضوع که یک سایت آلوده شده یا باگ را رفع کرده مطلع شد؟
چند شرکت و برنامه نویس سایتهای تست آلودگی به خونریزی قلبی را راهاندازی کردهاند که از طریق آنها میتوان از آلوده بودن یا نبودن یک وبسایت آگاهی یافت. یکی از آنها LastPass است به این آدرس مراجعه کنید و سایت مورد نظر خود را جست و جو کنید: https://lastpass.com/heartbleed این البته یک تست مقدماتی است و تا زمانی که خود وبسایتها نگفتهاند که کاملا عاری از این مشکل هستند، باید مراقب بود. در واقع باید کانالهای رسمی هر سایت (شامل بانک، سرویسهای اینترنتی و...) را مد نظر قرار داد. بسیاری از سایتها از طریق وبلاگ رسمی خود درباره وضعیت خود و این باگ توضیحاتی دادهاند، بعضی هم با ایمیل به مشتریان خود اطلاع دادهاند.
چه کسی پشت مشکل امنیتی است؟
بنا به نوشته گاردین برنامهنویسی این کد را نوشته Robin Seggelmann نام دارد که در زمانی که در حال گرفتن دکترای خود بود و برای پروژه OpenSSL کار میکرد، این کد را حدود دو سال قبل نوشته است. با این حال خود او گفته است که او در آن زمان نمیدانست که نوشتن همین کد ساده چه تاثیر مخربی دارد و گفته مسوولیت این مشکل را میپذیرد. با این حال از آنجا که این یک پروژه اوپن سورس یا کد باز بوده به سختی میتوان کسی را مسوول آن معرفی کرد. متخصصان امنیتی میگویند کدهای دارای مشکل در برنامههایی اینچنین کم نیستند، اما مشخصه Heartbleed این است که این کد بخش اصلی SSL نیست و در واقع یک امکان اضافه شده به آن است به همین دلیل کسی به خودش زحمت چک کردن صحیح بودن یا نبودن آن را نداده است.
آیا این درست است که دولت آمریکا از وجود این ضعف مطلع بوده و آن را فاش نکرده است؟
این موضوع دقیقا مشخص نیست. یک گزارش میگوید که آژانس امنیت ملی آمریکا پیش از اینکه خونریزی قبلی فاش شود از وجود آن مطلع بوده و از این حفره امنیتی برای شنود اطلاعاتی استفاده میکرده، هرچند خود NSA این موضوع را تکذیب کرده است. با این حال آژانس امنیت ملی آمریکا بهدلیل افشاگریهای اسنودن در دزدیدن اطلاعات آنقدر زیر ضرب قرار گرفته که به سختی میتوان تکذیب یا تایید آن را مصداق قرار داد.
آیا من باید نگران حساب بانکی خودم باشم؟
بسیاری از بانکها از OpenSSL استفاده نمیکنند و به جای آن از یک نرمافزار کدگذاری دیگر بهره میگیرند، اما اگر شما مطمئن نیستید؛ مستقیما با بانک خود تماس بگیرید و بپرسید که آیا وب سایت آنها برای استفاده امن است یا نه. یک متخصص امنیتی توصیه اکید دارد که طی روزهای آینده حسابهای بانکی خود را به دقت تحت نظر داشته باشید تا از هر انتقال یا برداشت مشکوک به سرعت مطلع شوید.
چگونه میتوانم بفهمم کسی از این ضعف امنیتی برای دزدیدن اطلاعات من استفاده کرده است؟
متاسفانه، این ضعف امنیتی به گونهای است که دزدیدن اطلاعات هیچ ردی (روی سرور) برجای نمیگذارد. به همین دلیل یافتن یک سرقت اطلاعات و مطمئن شدن از آن ممکن نیست.
از چه برنامه مدیریت پسوردی استفاده کنم؟
واقعیت این است که ضعف امنیتی خونریزی قلبی باعث توجه بیشتر به داشتن پسوردهای خوب شده است. برنامههای مدیریت پسورد که امروزه رایگان هم در دسترس قرار دارند ابزارهای بسیار موثری برای قراردادن یک پسورد قوی و خوب روی اکانتهای ما هستند. آنها بهطور رندوم یک پسورد برای اکانت شما میگذارند و آن را هنگام ورود شما به سایتها وارد میکنند. درواقع یک مشکل بزرگ این است که بسیاری از کاربران از یک پسورد مشترک برای همه اکانتها یا بسیاری از اکانتهایشان استفاده میکنند. این باعث میشود یک هکر با دریافت یک پسورد از یک سایت آلوده به پسوردهای شما در سایتهای غیرآلوده هم دسترسی داشته باشد. برنامههای مدیریت پسورد مثل LastPass یا Dashlane مدیریت پسوردهای شما را برعهده دارند و هم روی کامپیوتر و هم روی موبایل نصب میشوند و در صورت تغییر پسورد در یکی از آنها بلافاصله اطلاعات خود را (از طریق رایانش ابری) با یکدیگر همسان میکنند.
یک ویژگی خوب این برنامهها این است که میزان ضعف یا قوت یک پسورد را هم به شما گزارش میدهند و در عین حال میتوانند یک پسورد فوقالعاده قوی برای شما تولید و ذخیره کنند. در واقع با استفاده از این برنامهها دیگر شما نیازی به خاطر سپردن یک پسورد سخت نخواهید داشت و تنها یک پسورد برای کل این برنامه ایجاد میکنید.
چه نکات امنیتی دیگری میتواند امنیت اطلاعات مرا بالا ببرد؟
امروزه بسیاری از سایتها از سیستم چک دو مرحلهای بهره میبرند (مثل جیمیل). درواقع با این سیستم علاوهبر اینکه یک پسورد برای ورود به سایت مورد نیاز است اطلاعات شناسایی دیگری نیز مورد ارزیابی قرار میگیرد. توصیه میشود اگر وبسایتی که استفاده میکنید از این سیستم چک دو مرحلهای بهره میبرد حتما آن را فعال کنید. با استفاده از این امکان دسترسی به حساب شما از طریق یک کامپیوتر مشکوک دیگر گرفته میشود، چراکه سیستم مثلا به جز پسورد از شما یک کد چهار رقمی هم میخواهد که از طریق موبایل به شما پیامک میشود. این باعث میشود که حتی اگر کسی پسورد شما را بدزدد، قادر به ورود به حساب شما نباشد.
چه کسی را باید سرزنش کنیم؟
واقعیت این است که کشف مشکلات امنیتی جای خوشحالی دارد، چراکه باعث افزایش توجه عمومی به امنیت اطلاعاتشان میشود. از طرفی شرکتهای اینترنتی بانکها و سایر سیستمهای مالی و تجاری را نیز مجبور میکند روی امنیت اطلاعات کاربرانشان سرمایهگذاری بیشتری کنند. درواقع کمکی که کشف چنین باگهایی به ارتقای امنیت عمومی کاربران میکند بسیار بیشتر از ضربه احتمالی است که به تعداد محدودی از کاربران وارد میآید.
ارسال نظر