هارت بلید در یک نگاه

SSL چیست ؟

هارت بلید در یک نگاه : عبارت SSL ( سرنام Secure Socket Layer( نام یک پروتکل رمزنگار است.سایت های مبتنی بر SSL را می توان با عبارت https به جای http در آغاز آدرسی که در نوار آدرس مرورگر نوشته می شود شناخت. پیشوند https نشان می دهد که سایت از طریق یک اتصال امن و رمزنگاری شده با مرورگر شما ارتباط برقرار کرده است. پروتکل SSL در واقع اطمینان می دهد که هنگام انجام کارهای بانکی ، خرید و فروش اینترنتی و یا  هر کار دیگری هیچ کس نمی تواند ارتباط شما را شنود کند.

OpenSSL چیست ؟

OpenSSL پیاده سازی اپن سورس از همان پروتکل SSL و همچنین پروتکل TLS ( سرنام Transport Security Layer ) است. سایت ها و سرویس های معتبر و پرشماری در سراسر جهان از OpenSSL بهره می برند و کتابخانه پیشفرض وب سرور های آپاچی و nginx برای رمزنگاری داده ها همین نرم افزار است. طبق آمارهای Netcraft در آوریل امسال حدود دو سوم همه سایت های فعال در جهان سازگار با OpenSSL پیکربندی شده اند. معنی اش این است که OpenSSL چتر خود را بر بیش از نیمی از اقلیم اینترنت گسترده است و بدیهی است که در صورت بروز نقص امنیتی در آن گستره آسیب ها نیز به همین اندازه وسیع خواهد بود !

HeartBleed دقیقا چیست و چه می کند؟

هارت بلید در یک نگاه : نام فنی و رسمی این باگ 0160-CVE-2014 است. طبق آنچه که مارک جی. کاکس از اعضای نهاد OpenSSL در صفحه گوگل پلاس خود نوشته بود ، در روز یک آوریل امسال گوگل ضمن تماس با آن ها این باگ را با ذکر جزئیات به اطلاعشان رسانده است. این باگ را نیل مهتا (Neel Mehta) ، از مهندسان گوگل کشف کرده بود. در همین حال، شرکت Codenomicon نیز ضمن تایید اینکه گوگل پیش از آن ها این باگ را گزارش کرده است می افزاید این شرکت فنلاندی هم مستقل از گوگل این باگ را شناسایی و در روز 3 آوریل به نهاد توسعه OpenSSL گزارش کرده است. Codenomicon پس از شناسایی این باگ و با توجه به این که در الحاقیه کستنشن HeartBeat (تپش قلب) رخ داده بود آن را HeartBleed (خونزیزی قلبی) نام نهاد.

باگ در openssl

این باگ در OpenSSL شناسایی شده است و مهاجمان می توانند با استفاده از آن اطلاعات را از روی وب سرور بخوانند. هدف اکستنشن Heartbeat این بود که کانال ارتباطی بین مرورگر و وب سرور را بی آنکه لازم باشد پروتکل های امنیتی بارها و بارها فرآیند یکسانی را تکرار کنند امن نگاه دارد. این باگ در OpenSSL شناسایی شده است و مهاجمان می توانند با استفاده از آن اطلاعات را از روی وب سرور بخوانند.

هدف اکستنشن  HeartBleed

هدف اکستنشن HeartBleed این بود که کانال ارتباطی بین مرورگر و وب سرور را بی آنکه لازم باشد پروتکل های امنیتی بارها و بارها فرآیند یکسانی را تکرار کنند ، امن نگاه دارد. اما باگ موجود در آن باعث می شد مهاجمان  داده هایی را از حافظه وب سرور در خواست  کنند؛ داده ای که شامل کلیدهای رمزنگاری SSL ، گذرواژه های کاربر و دیگر اطلاعات مهم نیز هست. طبق نوشته سایت HeartBleed.com که توسط پژوهشگران Codenomicon راه اندازی شده است، باگ هارت‌بلید به هر کسی در اینترنت اجازه می دهد تا حافظه سیستم های محافظت شونده توسط نسخه های آسیب‌پذیر OpenSSL را بخواند. این کار کلیدهای امنیتی مورد نیاز برای شناسایی سرویس دهنده و رمزنگاری ترافیک و نیز گذرواژه های کاربران و محتوای آن ها را در معرض تهدید قرار می دهد.

به این ترتیب  مهاجمان می توانند به داده‌های داد و ستد شده دستبرد بزنند، آن ها را به طور مستقیم از سرویس ها و کاربران بربایند و خودشان را بجای سرویس ها و کاربران جا بزنند.

چطور بفهمیم که آیا سایت ما از هارت‌بلید آسیب‌ پذیر است یا نه ؟

به آدرس https://filippo.io/Heartbleed بروید و در کادر مربوطه آدرس سایت خود را بنویسید.

چگونه از سایتم محافظت کنم ؟

اگر سایتتان در زمره سایت های آسیب پذیر قرار گرفته است، نهاد گسترش OpenSSL به شما پیشنهاد می کند که نرم افزار OpenSSL را به جدیدترین نسخه آن یعنی 1.0.1g ارتقا دهید. با این کار ضعف مذکور برطرف می شود. اگر به هر علتی نمی توانید OpenSSL را به روز کنید می توانید به عنوان راهکاری سریع و موقت دست کم قابلیت Heartbeat را غیر فعال کنید.

کدام نسخه های OpenSSL آسیب پذیرند ؟

توزیع های 1.0.1 و 1.0.2-beta شامل نسخه های 1.0.1f و 1.0.2-beta1

گاه های اصلی برای ترمیم OpenSSL

1-       وصله گذاری OpenSSL

2-       باز تولید تمام مجوزهای SSL

3-       تغییر دادن گذرواژه ها

برای مطالعه مقالات کاربردی بیشتر میتوانید برروی همین لینک کلیک کنید

هیواشبکه

ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

منبع متن:

ماهنامه شبکه 157