امنیت

فناوری اطلاعات

April 12, 2014
11:46 شنبه، 23ام فروردینماه 1393
کد خبر: 61604

خونریزی اینترنتی چه‌کسانی را تهدید می‌کند؟

در روزهای اخیر یک حفره امنیتی خطرناک در یکی از استانداردهای رمزگذاری اینترنتی کشف شده که کارشناسان بر پایه ویژگی‌هایی آن را "خونریزی" نامیده‌اند اما این حفره دست هکرها را به چه اطلاعاتی می‌رساند؟ چه کسانی در معرض خطرند؟
 
 
"اس‌اس‌ال" برای بیشتر افراد مفهومی ناشناخته است، با وجود این‌که بسیاری هر روز با آن سر و کار دارند. اس‌اس‌ال یک استاندارد رمزگذاری اطلاعات است. در روزهای اخیر یک حفره امنیتی در یکی از نسخه‌های این استاندارد پیدا شده و نگرانی‌های گسترده‌ای را برانگیخته است.
 
نسخه معیوب استاندارد یاد شده OpenSSL است و این حفره امنیتی به هکرها اجازه می‌دهد داده‌های حساس را از کانال‌های رمزگذاری‌شده بدزدند.
 
بسیاری از پایگاه‌های اینترنتی، ارائه‌کنندگان خدمات ایمیل و برنامه‌های چت از استاندارد اس‌اس‌ال برای تأمین امنیت ترافیک اطلاعات استفاده می‌کنند. "اُپن‌اس‌اس‌ال" که یکی از نرم‌افزارهای مبتنی بر این استاندارد است، به دلیل رایگان بودن، به صورت گسترده در فضای مجازی منتشر شده است. به همین دلیل است که حفره امنیتی موجود در آن تا این حد خبرساز شده است. بر اساس برخی برآوردها، حدود نیم میلیون پایگاه اینترنتی از "اپن‌اس‌اس‌ال" استفاده می‌کنند.
 
حفره امنیتی در یکی از بخش‌های "اپن‌اس‌اس‌ال" است که در پس‌زمینه فعال است. در یک ارتباط رمزگذاری‌شده، بخش معیوب با ارسال و دریافت سیگنال‌هایی، آنلاین بودن دو طرف خط را کنترل می‌کند. چون ارسال و دریافت این سیگنال‌ها به صورت مداوم و با ریتم خاصی صورت می‌گیرد، نام این فرایند "ضربان قلب" گذاشته شده است.
 
چون بخش یادشده معیوب است، هکرها می‌توانند هم اطلاعات مربوط به آنلاین بودن دو طرف را از سرور بگیرند، هم اطلاعاتی دیگر چون گذرواژه‌ها یا محتویات ایمیل‌های رد و بدل شده را. برخی از کاربران برای رمزگذاری‌کردن ارتباطات اینترنتی خود از نرم‌افزارهای رمزگذاری استفاده می‌کنند.
 
حتی کلیدهایی که توسط این نرم‌افزارهای رمزگذاری تولید شده‌اند هم در دسترس هکرها خواهند بود. به همین دلیل نام این حفره امنیتی "خونریزی" گذاشته شده است.
 
بر اساس اطلاعات دویچه وله، واقعیت این است که مشکل جدی و سر و صدای روزهای اخیر فراتر از قیل و قال رسانه‌ای است. خطری که کاربران را تهدید می‌کند، نسبت مستقیم با میزان اطلاعاتی دارد که هکرها از آنها جمع‌آوری کرده‌اند. ممکن است یک نفوذگر با استفاده از داده‌هایی که به دستش افتاده موفق شود یک رمزگذاری را به‌طور کامل خنثی کند.
 
هکری که به کلید خصوصی یک شخص یا پایگاه اینترنتی دسترسی دارد، می‌تواند تمام اطلاعات رمزگذاری‌شده آن شخص یا سایت اینترنتی را بخواند. مجرمان اینترنتی با دسترسی به چنین اطلاعاتی حتی می‌توانند خود را به‌جای سایت‌های دیگر جا بزنند، مثلا سایت یک بانک.
 
البته تاکنون موردی از سوءاستفاده‌های این چنینی گزارش نشده است؛ هر چند نباید فراموش کرد که حمله با استفاده از حفره ایمنی یاد شده بسیار بی‌سروصدا و به سختی قابل تشخیص است.
 
نخست نوبت دارندگان یا اجاره‌دهندگان سرورهای اینترنتی است. اگر آنها از استاندارد معیوب استفاده می‌کنند، باید بلافاصله نرم‌افزار خود را به روز کنند. نسخه جدید حفره را می‌بندد. مشکل اما اینجاست که حفره یاد شده پیش از اینکه شناخته شود دو سال وجود داشته است. به بیان دیگر، هکرها ممکن است گذرواژه‌ها و اطلاعات رمزگذاری را به دست آورده باشند.
 
هیچ کس نمی‌تواند با اطمینان بگوید که ابزار رمزگذاری اطلاعات سایت او به سرقت نرفته است. از همین رو کارشناسان، از جمله اداره فدرال آلمان برای آی‌تی و امنیت اینترنتی، توصیه می‌کنند که دارندگان وبسایت، کلیدهای رمزگذاری و گذرواژه‌ها را عوض کنند.
 
کاربران فعلا می‌توانند منتظر باشند تا دارندگان سرور و سایت‌های اینترنتی حفره امنیتی اپن‌اس‌اس‌ال را ببندند. فیلیپو واسوردا، برنامه‌نویس کامپیوتر از کشور ایتالیا، سایتی اینترنتی را به آدرس https://filippo.io/Heartbleed درست کرده است که در این سایت می‌توان کنترل کرد که آیا یک سایت اینترنتی حفره امنیتی یاد شده را دارد یا نه. البته نتیجه آزمایش ظاهرا همیشه قابل اعتماد نیست.
 
کاربران بد نیست دست‌کم گذرواژه‌هایی که با آنها از اطلاعات حساس خود حفاظت می‌کنند را عوض کنند. البته این اقدام در صورتی اثربخش است که دارندگان سایت‌ها و سرورها حفره "اپن‌اس‌اس‌ال" را بسته باشند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.