آرشیو تگها: "tsl"

یک ماه گذشت؛ Heartbleed هنوز قربانی میگیرد

بر اساس دو گزارشی که اخیرا منتشر شده است، اکنون بیش از چهار هفته از افشای حفره امنیتی خطرناک موسوم به Heartbleed میگذرد و تا کنون تقریبا در حدود نیمی از سیستم هایی که به این نقص فاجعه آمیز آلوده شده اند، همچنان آسیب پذیر هستند…

به گزارش «تابناک» ماه گذشته یک بررسی صورت گرفته از سوی راب گراهام، مدیر موسسه امنیتی Errata Security نشان داد که دقیقا ۶۱۵ هزار و ۲۶۸ سرور در سراسر دنیا در برابر حملاتی برای سرقت گذرواژه ها و دیگر اطلاعات سری و محرمانه و مالی و حتی سرقت کلیدهای رمزگذاری شده شخصی و بسیار محرمانه ای که به هکرها امکان جعل هویت یک وب سایت و رصد ترافیک رمزگذاری شده را میدهد، آسیب پذیر هستند.

متاسفانه اخیرا اعلام شده است که این رقم به ۳۱۸ هزار و ۲۳۹ سرور رسیده است و نکته در اینجا است که گراهام اعلام کرده است که اسکن و بررسی وی تنها سرورهایی را در بر گرفته که کتابخانه های رمزگذاری شده OpenSSLآسیب پذیر در برابر حملات را شامل هستند. یعنی حفره امنیتی Heatbleed همچنان فعال و خطر ساز است و چه بسا بیش از اینها فعال است.

371777_287

از سوی دیگر گزارشی جداگانه که اخیرا منتشر شده و از مقیاس های متفاوتی استفاده کرده، نشان میدهد که تقریبا نیمی از سرورهایی که در همان روزهای اول به این حفره امنیتی آلوده شدند همچنان آسیب پذیر هستند و مشکل آنها برطرف نشده است. ین گزارش آورده است که اسکنی که با ابزاری با نام TLS Prober صورت گرفته است، حاکی از این امر است که تنها چهار روز بعد از افشا شدن حفره امنیتی Heartbleed بیش از ۵ درصد از سرورهای بزرگ به آن آلوده شدند و همچنان ۲٫۳درصد از آنها آلوده هستند.

حال این نکته را در نظر آورید که این گزارش شامل سرورهایی که به خدماتی از جمله ایمیل و VPN میپردازند نمیشود! حتی بدتر از آن این نکته در گزارش است که بیش از دو سوم از سرورهایی که به این حفره امنیتی آلوده شده اند هنوز اقدام به باطل کردن گواهی های دیجیتال سابق و اخذ گواهی جدید نکرده اند.

به این ترتیب که بروز رسانی OpenSSL در این سرورها تنها یکی از راه های مقابله با Heartbleed است در حالی که یکی از مهمترین اقدامات در این راه این است که همه سرورهای آلوده اقدام به بروز رسانی گواهی های دیجیتال خود کنند. این امر از آن روی است که حفره امنیتی Heartbleed قبل از افشا شدن، در حدود دو سال فعال بوده است!

نتیجه هایی که از این دو بررسی به دست آمده است البته به گفته پژوهشگران آنها، چندان دقیق نیست و چه بسا نتایج اصلی و واقعی بیش از اینها نشان دهنده پراکندگی و وسعت خطر Heartbleed باشد. گراهام اشاره کرده است که در زمانی که اسکن خود را برای یافتن Heartbleed آغاز کرده است، متوجه شده که برخی از سرورها مانع از انجام اسکن میشده اند.

اما و در نهایت حتی با قبول همین نتایج نیز میتوان گفت که وسعت و پراکندگی حفره امنیتی Heartbleed به شدت زیاد است و با وجود آنکه بسیاری از سرورها و وب سایتهایی که پیش از این به این حفره آلوده بوده اند، اکنون اقدام به بروزرسانی و وصله زدن خود کرده اند، همچنان خطر Heartbleed بسیاری از کاربران در سطح دنیا را تهدید میکند.

نکته مهم آنکه در ایران نیز تعداد وب سایتهایی که احتمالا به این حفره امنیتی آلوده شده اند کم نیست. پیش از این در گزارشی اقدام به معرفی کی افزونه برای گوگل کروم در راستای شناسایی وب سایتهای آلوده به این حفره امنیتی کرده ایم. همچنین بهترین پیشنهاد برای کاربران در خصوص اقداماتی از جمله نقل و انتقالات مالی از طریق وب سایت بانکها این است که قبل از ورود به وب سایت مذکور و انجام عملیات، از پاک بودن آن از Heartbleed توسط وب سایت زیر مطمئن شوند.

با وارد کردن URL وب سایت مورد نظر در این وب سایت، میتوانید از آلوده نبودن آن به Heartbleed اطمینان حاصل کنید:

https://filippo.io/Heartbleed

مواظب Heartbleed باشیم

heartbleedبدون شک حالا Heartbleed را می توان بزرگترین،‌ مهمترین و خطرناک ترین حفره امنیتی در اینترنت دانست؛ یک نقص فاحش امنیتی که بیش از دو سوم وسعت اینترنت را در معرض افشای اطلاعات محرمانه قرار داده است. حالا هر کسی در هر گوشه از جهان می تواند یک قربانی بالقوه باشد؛ یک “مرده مجازی” که تمام اطلاعات شخصی،‌خصوصی ، محرمانه و ارزشمند وی توسط هکرها یا  تبهکاران سایبری به سرقت رفته است.
 برای این که به ابعاد قدرت و وسعت این حفره امنیتی نزدیک شویم، کافیست به فهرست بلندبالایی از نام های بزرگ و برندهای برتر فن آوری اطلاعات توجه کنیم، شرکت هایی مثل یاهو، سیسکو، جونیپر نتورکز، مایکروسافت، گوگل، فیس بوک، دراپ باکس، سی ان ان، بلاگر و صدها هزار وب سایت ریز و درشت دیگر به همراه برخی از مهمترین پایگاه های اطلاعاتی جهان،‌ تنها بخشی از قربانیان heartbleed را تشکیل می دهند. … این یعنی میلیاردها کاربر و حساب کاربری در معرض خطر افشای اطلاعات محرمانه قرار گرفته اند.
اما متآسفانه مشکل از این هم فراتراست!!
بنا بر گزارش شرکت امنیتی پاندا سکیوریتی، شرکت ها، سازمان ها و اداراتی که از سخت افزارها و نرم افزارهای آسیب پذیر استفاده می کنند یا در یکی از پایگاه های اطلاعاتی آلوده دارای حساب کاربری هستند،‌ وضعیت امنیت اینترنت را به مراتب وخیم تر کرده اند. به این ها البته می توانید سیل عظیم مشتریان هر نوع خدمات آنلاین را اضافه کنید که با استفاده از رایانه های سازمانی، به سرورهای آلوده متصل می شوند.
 در مورد حفره امنیتی Heartbleed،‌ خبر تلخ و ناامید کننده بسیار است. اما خوشبختانه اخبار امیدوارکننده ای هم هست که ثابت می کنند هر کدام از ما می توانیم تحت تأثیر این نقص وسیع قرار نداشته باشیم.
 ماریا لوپز، یکی از کارشناسان امنیتی شرکت پاندا، می گوید این حفره امنیتی فقط در نسخه های خاصی از ابزار رمزنگاری معروف به openSSL کشف شده و نمی تواند به مجموع روش های رمزگذاری در پروتکل SSL، TSL تعمیم پیدا کند. بیشتر سازمان های حساس و استراتژیک مانند شرکت های امنیت اینترنت، بانک ها و موسسات مالی معتبر، به هیچ عنوان از پروتکل openSSL استفاده نمی کنند،‌ بنابراین  کاربران این مراکز در امنیت و مصونیت کامل هستند. شرکت های دیگر نیز تنها در بخش هایی از خدمات اینترنتی  خود از openSSL استفاده می کنند.
 خبر خوب دیگر این که حالا تقریباً تمام شرکت های جهانی ارائه دهنده خدمات مبتنی بر اینترنت و سازمان های تولید کننده نرم افزار و سخت افزار،‌ اصلاحیه های لازم را برای رفع این مشکل امنیتی نصب کرده اند و تنها مشتریانی در معرض خطر هستند که به نحوی نرم افزار یا سخت افزارهای مورد استفاد خود را به روز نکرده باشند.
و حالا … چند راهکار ساده برای این که قربانی Heartbleed‌ نباشیم ؟!
۱-    قبل از هر چیز باید بدانیم که بیشتر سرویس های اینترنتی آلوده به این نقص امنیتی، اصلاحیه مهم و جدید  openSSL‌ را نصب کرده اند و از این به بعد نگرانی خاصی وجود ندارد. اما با این حال، مهمترین کاری که باید انجام دهید “تغییر تمام رمزهای عبور اینترنتی در وب سایت ها و پایگاه های اینترنتی مورد استفاده شماست”.
۲-    می توانید عنوان وب سایت های مورد نظرتان را در یکی از این صفحات زیر وارد کنید و از آلودگی یا عدم آلودگی آن ها به Heartbleed مطلع شوید؛ در این صورت قبل از ورود به بخش کاربری هر وب سایت، از عدم وجود آسیب پذیری در آن مطمئن می شوید.
https://www.ssllabs.com/ssltest
https://lastpass.com/heartbleed
۳-    صورت وضعیت مالی خود را به طور مرتب تحت کنترل داشته باشید و حتی در صورت لزوم با مؤسسه ای که از آن خدمات مالی آنلاین دریافت می کنید تماس بگیرید و از امنیت کامل حساب های بانکی تان مطمئن شوید. علاوه بر این تمام رمزهای مربوط به خدمات بانکی تان مانند رمز کارت اعتباری، رمز اینترنت بانک، تلفن بانک و سایر اطلاعات محرمانه مالی خود را تغییر دهید