باگ خونریزی قلبی
-
mohammadktabriz
- پست: 740
- تاریخ عضویت: جمعه سپتامبر 06, 2013 2:04 pm
باگ خونریزی قلبی
با سلام باگ خون ریزی قلبی که می گن چیه
سلام
باگ خونریزی قلبی چیست؟
باگ خونریزی قلبی یک مساله جدی امنیتی در بسیاری از سرورها و کلاینتها است که در هفته پیش (۷ آوریل ۲۰۱۴) به صورت عمومی آشکار شد.
این باگ در یک کتابخانه پراستفاده به نام OpenSSL پیدا شده که در بسیاری از برنامهها برای پیادهسازی پروتکل SSL به کار میرود. SSL همان پروتکلی است که HTTPS از آن برای امن کردن انتقال اطلاعات بین کامپیوتر شما و سرویسدهندههایی از قبیل ایمیل، عملیات بانکی، آپدیت سیستم عامل و ... استفاده میکند.
البته توجه کنید که OpenSSL یکی از پیادهسازیهای SSL است؛ و خوشبختانه اینترنت اکسپلورر، فایرفاکس و کروم روی ویندوز هیچکدام از این کتابخانه استفاده نمیکنند. اما متاسفانه، بسیاری از سرورها از این کتابخانه استفاده میکنند و از این جهت کلیه ارتباطات شما (تراکنشهای مالی، ایمیلها و ...) با این سرورهای آسیبپذیر در خطر است.
چرا این باگ خطرناک است؟
این باگ میتواند باعث نشت اطلاعات از حافظه سرور یا کلاینت بشود.
یکی از خطرناکترین اطلاعاتی که ممکن است در طول این دو سال و نیم که این باگ وجود داشته نشت کرده باشد، کلید خصوصی سرور است که برای شناسایی سرور توسط کلاینت استفاده میشود. یک مهاجم با داشتن این کلید میتواند خود را به جای سرور بانک یا سرور سرویسدهنده ایمیل شما جا بزند، و کل ارتباطات شما را شنود کند. حتی در بسیاری موارد، اگر قبلا اطلاعات شما را شنود کرده باشد، با داشتن این کلید میتواند ارتباطات گذشته را نیز رمزگشایی کند.
از این جهت تمام سرورهای آسیبپذیر علاوه بر آپدیت کردن کتابخانه و بستن حفرهها، باید کلیدهای قبلی خود را تعویض کنند.
مساله دیگری که این باگ را خطرناک میکند این است که اگر مهاجمی از این باگ برای گرفتن اطلاعات استفاده کرده باشد، هیچ لاگی بر روی سرور یا کلاینت باقی نميماند و نمیتوان متوجه این اتفاق شد.
روش جلوگیری و مقابله چیست؟
برای کاربران، بروزرسانی نرمافزارها اولین اولویت است.
خوشبختانه همانطور که ذکر شد، اینترنت اکسپلورر، فایرفاکس و کروم که پراستفادهترین مرورگرها در بین کاربران هستند این باگ را نداشتهاند. همچنین کاربران ویندوز از نظر کامپوننتهای اصلی سیستم (مانند آپدیت ویندوز) در امان هستند.
با این حال ممکن است سایر برنامههایی که نصب کردهاید آسیبپذیر باشند که بنا به مورد باید آنها را بروز کنید.
همچنین فعال کردن سرویس OCSP یا اطمینان از فعال بودن Certificate Revocation List در مرورگرها، میتواند به امنیت شما بیافزاید.
بیشترین نگرانی در سمت سرویسدهندهها وجود دارد که در بخش قبلی به آن پرداختیم. کاربران تنها میتوانند سرویسهای آسیبپذیر را رصد کرده و از صاحبان این سرویسها بخواهند آنها را بروز و کلیدهای خود را تعویض کنند.
این باگ چگونه کار میکند؟ ممکن است به زبان ساده توضیح دهید؟
اگر علاقمند هستید بدانید این باگ چه کار میکند، دیدن این داستان تصویری را به شما توصیه میکنیم: http://xkcd.com/1354/
اطلاعات بیشتر:
http://heartbleed.com
http://readwrite.com/2014/04/14/heartbl ... ct-fiction
http://blogs.technet.com/b/security/arc ... ility.aspx
باگ خونریزی قلبی چیست؟
باگ خونریزی قلبی یک مساله جدی امنیتی در بسیاری از سرورها و کلاینتها است که در هفته پیش (۷ آوریل ۲۰۱۴) به صورت عمومی آشکار شد.
این باگ در یک کتابخانه پراستفاده به نام OpenSSL پیدا شده که در بسیاری از برنامهها برای پیادهسازی پروتکل SSL به کار میرود. SSL همان پروتکلی است که HTTPS از آن برای امن کردن انتقال اطلاعات بین کامپیوتر شما و سرویسدهندههایی از قبیل ایمیل، عملیات بانکی، آپدیت سیستم عامل و ... استفاده میکند.
البته توجه کنید که OpenSSL یکی از پیادهسازیهای SSL است؛ و خوشبختانه اینترنت اکسپلورر، فایرفاکس و کروم روی ویندوز هیچکدام از این کتابخانه استفاده نمیکنند. اما متاسفانه، بسیاری از سرورها از این کتابخانه استفاده میکنند و از این جهت کلیه ارتباطات شما (تراکنشهای مالی، ایمیلها و ...) با این سرورهای آسیبپذیر در خطر است.
چرا این باگ خطرناک است؟
این باگ میتواند باعث نشت اطلاعات از حافظه سرور یا کلاینت بشود.
یکی از خطرناکترین اطلاعاتی که ممکن است در طول این دو سال و نیم که این باگ وجود داشته نشت کرده باشد، کلید خصوصی سرور است که برای شناسایی سرور توسط کلاینت استفاده میشود. یک مهاجم با داشتن این کلید میتواند خود را به جای سرور بانک یا سرور سرویسدهنده ایمیل شما جا بزند، و کل ارتباطات شما را شنود کند. حتی در بسیاری موارد، اگر قبلا اطلاعات شما را شنود کرده باشد، با داشتن این کلید میتواند ارتباطات گذشته را نیز رمزگشایی کند.
از این جهت تمام سرورهای آسیبپذیر علاوه بر آپدیت کردن کتابخانه و بستن حفرهها، باید کلیدهای قبلی خود را تعویض کنند.
مساله دیگری که این باگ را خطرناک میکند این است که اگر مهاجمی از این باگ برای گرفتن اطلاعات استفاده کرده باشد، هیچ لاگی بر روی سرور یا کلاینت باقی نميماند و نمیتوان متوجه این اتفاق شد.
روش جلوگیری و مقابله چیست؟
برای کاربران، بروزرسانی نرمافزارها اولین اولویت است.
خوشبختانه همانطور که ذکر شد، اینترنت اکسپلورر، فایرفاکس و کروم که پراستفادهترین مرورگرها در بین کاربران هستند این باگ را نداشتهاند. همچنین کاربران ویندوز از نظر کامپوننتهای اصلی سیستم (مانند آپدیت ویندوز) در امان هستند.
با این حال ممکن است سایر برنامههایی که نصب کردهاید آسیبپذیر باشند که بنا به مورد باید آنها را بروز کنید.
همچنین فعال کردن سرویس OCSP یا اطمینان از فعال بودن Certificate Revocation List در مرورگرها، میتواند به امنیت شما بیافزاید.
بیشترین نگرانی در سمت سرویسدهندهها وجود دارد که در بخش قبلی به آن پرداختیم. کاربران تنها میتوانند سرویسهای آسیبپذیر را رصد کرده و از صاحبان این سرویسها بخواهند آنها را بروز و کلیدهای خود را تعویض کنند.
این باگ چگونه کار میکند؟ ممکن است به زبان ساده توضیح دهید؟
اگر علاقمند هستید بدانید این باگ چه کار میکند، دیدن این داستان تصویری را به شما توصیه میکنیم: http://xkcd.com/1354/
اطلاعات بیشتر:
http://heartbleed.com
http://readwrite.com/2014/04/14/heartbl ... ct-fiction
http://blogs.technet.com/b/security/arc ... ility.aspx