سـرمقـاله
چند نکته درباره بزرگترین خونریزی اینترنتی
شهرام شریف دبیر گروه دیجیتال شاید کمتر کسی تصور میکرد کشف یک حفره امنیتی در یک نرمافزار - که در جهان دیجیتال امری مرسوم و روزمره است - چنین بازتاب گستردهای در سطح جهانی داشته باشد. هر چند موضوعات مرتبط با امنیت همواره از اهمیت بالایی نزد کاربران و شرکتها برخوردار است اما Heartbleed یا "خونریزی قلبی" بهدلیل ویژگیهای متعدد اهمیتی فوق تصور مییابد و بی سبب نیست آن را بزرگترین مشکل امنیتی اینترنتی از زمان پیدایش این شبکه میدانند. در واقع بهدلیل استفاده وسیع بسیاری از سازمانها، شرکتها و سایتهای بزرگ اینترنتی از نرمافزار و پروتکل OpenSSL سطح تماس جامعه با نتایج حاصل از این نقص امنیتی بسیار وسیع بود.
شهرام شریف دبیر گروه دیجیتال شاید کمتر کسی تصور میکرد کشف یک حفره امنیتی در یک نرمافزار - که در جهان دیجیتال امری مرسوم و روزمره است - چنین بازتاب گستردهای در سطح جهانی داشته باشد. هر چند موضوعات مرتبط با امنیت همواره از اهمیت بالایی نزد کاربران و شرکتها برخوردار است اما Heartbleed یا "خونریزی قلبی" بهدلیل ویژگیهای متعدد اهمیتی فوق تصور مییابد و بی سبب نیست آن را بزرگترین مشکل امنیتی اینترنتی از زمان پیدایش این شبکه میدانند.
در واقع بهدلیل استفاده وسیع بسیاری از سازمانها، شرکتها و سایتهای بزرگ اینترنتی از نرمافزار و پروتکل OpenSSL سطح تماس جامعه با نتایج حاصل از این نقص امنیتی بسیار وسیع بود. در این میان تاکید بر چند نکته قابل توجه است: نخست آنکه این نقص در نرمافزار OpenSSL باعث دسترسی هکرها به مهمترین اطلاعات کاربران از جمله کارتهای اعتباری و پسوردهای سرویسهای مختلف میشد. در همان ساعات نخست کشف این نقص مشخص شد بسیاری از سایتهای بزرگ مثل یاهو و گوگل در معرض این خطر قرار داشتهاند (که البته بلافاصله اقدام به رفع آن کردند). نکته دوم آنکه مشخص شد این نه یک نقص تازه امنیتی بلکه اشکالی با طول عمری حدود دو سال است و بهدلیل آنکه نفوذ یک هکر از این طریق هیچ ردی را بر جا نمیگذارد نمیتوان مطمئن بود که تا پیش از این چه نوع دسترسی یا نفوذی صورت گرفته و آیا اساسا اطلاعات کاربرانی که در یک سایت آلوده عضویت داشتهاند به سرقت رفته یا خیر. به همین دلیل هم از کاربران خواسته شد که همه پسوردهایشان را تغییر دهند. نکته سوم و دراماتیک قضیه این است که این نقص امنیتی به صورت کاملا اتفاقی و در جریان یک برنامهنویسی ساده به وجود آمده
بود و حتی برنامهنویس آن نیز با معرفی خود آن را یک اشتباه در کد زدن (یا نگارش یک برنامه نرمافزاری) عنوان کرد اما گویی یک اشتباه کوچک ناگهان جهان مجازی را در مخاطرهای بزرگ قرار داد. در واقع مشکل آنجا بود که یک OpenSSL یک پروژه متنباز و نه یک محصول تجاری است لذا نمیشود چندان خردهای به کسانی گرفت که بهطور داوطلبانه در توسعه آن شرکت داشتهاند(و حالا اشتباهی هم کردهاند) اما واقعیت هم این بوده راستی و صحت این کد نیز پس از نگارش اولیه توسط دیگران آزموده نشده است.
نکته چهارم آنکه هنوز گزارشی مبنی تخریب یا آلودهسازی و سرقت اطلاعات براساس این نقص امنیتی گزارش نشده که بیشتر بهدلیل دشواری تهیه گزارش یا کشف چنین حمله یا سرقتی است و احتمالا تا مدتها بعد در مورد حملات قبلی ناشی از این نقص امنیتی بیشتر خواهیم شنید. و سرانجام نکته پنجم آنکه آموزههای کشف این نقص امنیتی کم نیست. توجه عموم جهانیان اعم از کاربران، شرکتها، دولتها به موضوع امنیت و ارتقای سیستمهای امنیتی و توجه بیشتر به نکات امنیتی و استفاده از ابزارهای کارآمدتر از جمله نتایج مثبت حاصل از خونریزی قلبی است. این یعنی همه خونریزیها لزوما هم به نتایج بد منتهی نمیشود، البته اگر به توصیهها عمل کنید و پسوردهایتان را عوض کرده باشید.
ارسال نظر