آنچه باید در مورد اشکال نرم‌افزاری هارت‌بلید بدانید

مدیر انجمن: parse

ارسال پست
نمایه کاربر
DARKENERGY

نام: Melina

محل اقامت: krj_teh

عضویت : پنج‌شنبه ۱۳۹۰/۱۲/۱۸ - ۱۳:۲۷


پست: 7030

سپاس: 4151

جنسیت:

تماس:

آنچه باید در مورد اشکال نرم‌افزاری هارت‌بلید بدانید

پست توسط DARKENERGY »

140412084046__74129634_blee.png
هفته گذشته معلوم شد که ممکن است در اثر یک اشکال امنیتی عمده در اینترنت
در دو سال گذشته اطلاعات شخصی و رمزهای عبور کاربران را در اختیار هکرها قرار گرفته باشد.

هنوز معلوم نیست این نقص نرم‌افزاری تا چه حد مورد استفاده قرار گرفته است،
اما آنچه مسلم است این است که این نقص یکی از بزرگترین مسائل امنیتی است
که اینترنت تاکنون با آن مواجه بوده است. بروس اشنایر، کارشناس امنیتی، این اشکال را
"فاجعه‌بار" می‌داند
و درباره وخامت آن می‌گوید: "بین ۱ تا ۱۰ به آن نمره ۱۱ می‌دهم."

اشکال نرم‌افزاری هارت‌بلید چیست؟

این اشکال در بخشی از یک نرم‌افزار اوپن‌سورس (منبع‌باز) بنام OpenSSL وجود دارد
که برای رمزگذاری ارتباطات میان کامپیوتر یک کاربر و سرور اینترنت طراحی شده،
و در واقع نوعی آشنایی دادن در ابتدای یک مکالمه ایمن است.

نام خونریزی قلبی (هارت‌بلید) از آن جهت به آن داده شده
که بر یکی از ضمائم SSL تأثیر می‌گذارد که مهندسان به آن نام ضربان قلب داده اند.
این یکی از رایج‌ترین ابزارهای رمزگذاری در اینترنت است

و تصور می‌شود که حدود دوسوم وب‌سایت‌ها از آن استفاده می‌کنند.
140412084050__74156496_heartmonitor.gif
اگر در صفحه مرورگرتان علامت یک قفل کوچک را می‌بینید، به احتمال زیاد از SSL استفاده می‌کنید.
تصور می‌شود که این اشکال نرم‌افزاری نیم‌میلیون وب‌سایت را تحت تأثیر خود قرار داده باشد.
بروس اشنایر در وبلاگ خود نوشته:
"اشکال نرم‌افزاری هارت‌بلید به هرکسی اجازه می‌دهد
حافظه سیستم‌هایی که با نسخه‌های آسیب‌پذیر نرم‌افزار OpenSSL محافظت می‌شوند را بخواند.
این کار کلیدهای مخفی مورد استفاده برای شناسایی ارائه‌کنندگان خدمات و رمزگذاری مبادلات،
نام و رمز عبورهای کاربران را در معرض خطر قرار می‌دهد.
به این ترتیب مهاجمان می‌توانند ارتباطات را شنود کنند و داده‌ها را بدزدند،
و هویت خدمات و کاربران را جعل کنند."


این اشکال نرم‌افزاری آنقدر جدی است
که وب‌سایتی مخصوص آن راه‌اندازی شده
که در آن به همه جنبه‌های مشکل پرداخته می‌شود.

********************************************************************

آیا لازم است رمز عبور خود را تغییر دهم؟

تصویر

بعضی کارشناسان امنیتی می‌گویند که انجام این کار دوراندیشانه است.
البته بر سر اینکه آیا انجام آن لازم است – و اگر اینطور است،
چه زمانی باید انجام شود – اختلاف نظر وجود دارد.
بسیاری از شرکت‌های فناوری بزرگ، از جمله فیس‌بوک و گوگل،
این نقطه ضعف را برطرف کرده اند. دوروتی چو، سخنگوی گوگل، گفت:

"کاربران گوگل نیازی به تغییر رمز عبورهایشان ندارند."
یک منبع در داخل شرکت گوگل به بی‌بی‌سی گفت که این شرکت مشکل را
پیش از علنی شدن آن برطرف کرده، و اعتقاد ندارد که به‌صورت گسترده
از سوی هکرها مورد استفاده قرار گرفته باشد. برخی اشاره می‌کنند که
وب‌سایت‌های کوچکی بسیاری هستند که هنوز به این مسأله رسیدگی نکرده اند،
و ضرر تغییر رمز عبور از سوی کاربران این وب‌سایت‌ها از فایده‌اش بیشتر است،
چرا که هم رمز قدیمی و هم رمز جدید را برای هکرهای احتمالی آشکار می‌کند.

با این وجود، میکو هیپونن، از مدیران شرکت امنیتی اف- سکیور، می‌گوید:
"از رمزهای عبوری که برایتان مهمند، مواظبت کنید.
شاید بهتر باشد الان آنها را عوض کنید، شاید هم بهتر باشد
یک هفته دیگر تغییرشان دهید. اگر هم نگران کارت‌های اعتباری‌تان هستید،
قبض‌های کارت‌های اعتباری‌تان را به‌دقت بررسی کنید."

******************************************************

چگونه مطمئن شوم که رمز عبورم قوی است؟

مسأله به رمز عبورهای ضعیف مربوط نمی‌شد، اما فراخوان‌هایی
برای تعیین رمز عبورهای جدید به‌راه افتاده است. پروفسور وودوارد،
کارشناس امنیت اینترنتی، می‌گوید که مردم باید مرتبا رمزهای عبورشان را تغییر دهند،
و باید مطمئن شوند که عبارتی را به‌عنوان رمز عبور انتخاب می‌کنند که به خودشان مربوط نمی‌شود.
مثلا نام حیوان خانگی گزینه مناسبی نیست. کلماتی که در فرهنگ‌های لغات وجود دارند مناسبند.
البته بهتر است از ترکیبی از کلمات و اعداد استفاده شود.
بعضی شرکت‌ها هم جایگزین‌هایی برای رمزهای عبور ارائه می‌کنند.
شرکت‌های سازنده تلفن همراه، از جمله اپل و سامسونگ،
دستگاه‌های خواننده اثر انگشت را به تلفن‌های خود اضافه کرده اند.
این گزینه به کاربران امکان می‌دهد تنها با کشیدن انگشتشان ر
وی صفحه تلفن به خود دستگاه و بعضی کارکردهای آن دسترسی پیدا کنند.


smile072 smile072 smile072

بنمایه
شما دسترسی جهت مشاهده فایل پیوست این پست را ندارید.

*

آنکه رفت، به حُرمت آنچه با خود برد حقِ بازگشت ندارد

*

آدمی که از آفتابِ صبح گرم نشه، از آفتاب غروب گرم نمیشه

نمایه کاربر
DARKENERGY

نام: Melina

محل اقامت: krj_teh

عضویت : پنج‌شنبه ۱۳۹۰/۱۲/۱۸ - ۱۳:۲۷


پست: 7030

سپاس: 4151

جنسیت:

تماس:

Re: آنچه باید در مورد اشکال نرم‌افزاری هارت‌بلید بدانید

پست توسط DARKENERGY »

چه سایت‌هایی تحت تاثیر قرار گرفته‌اند؟

تصویر

گفته می‌شود که نزدیک به تیم میلیون وب سایت ممکن است در برابر این اشکال
نرم افزاری آسیب پذیر باشند. تعداد این سایت‌ها به حدی زیاد است که فهرست کردن
آنها کار سختی خواهد بود. سایت شرکت امنیتی کاسپرسکی، کاربران را به کلیک سایتی هدایت می‌کند
که در آن می‌توانند بفهمند کدام سایت هنوز ایراد دارد.
فیسبوک و گوگل گفته‌اند که اقدامات کافی برای مراقبت از کاربران انجام داده‌اند
اما به گفته شرکت‌های امنیت کامپیوتری هنوز سایت‌هایی مثل فلیکر آسیب پذیر هستند.
یکی از سایت‌هایی که به گفته شرکت‌های کامپیوتری آسیب پذیر بوده،
یاهو است اما این سایت هم اکنون گفته که اقدامات کافی را انجام داده است

********************************************************

بدترین سناریوی ممکن چیست؟

تصویر

به گفته شرکت امنیت کامپیوتری کاسپرسکی، خبر بد این است که
"استفاده از اشکال نرم‌افزاری هارت‌بلید هیچ رد پایی از خود بجا نمی‌گذارد،
و در نتیجه هیچ راهی وجود ندارد که با قاطعیت بگوییم یک سرور هک شده
و یا چه نوع داده‌هایی از آن به سرقت رفته است."

کارشناسان امنیتی می‌گویند که کم‌کم شواهدی می‌بینند مبنی بر اینکه
گروه‌های هکرها مشغول انجام اسکن‌های خودکار اینترنت هستند
و به‌دنبال سرورهای اینترنتی استفاده کننده از
OpenSSL می‌گردند.
کاسپرسکی می‌گوید که به شواهدی دست یافته که نشان می‌دهد
گروه‌هایی که تصور می‌شود با حمایت دولت‌ها در جاسوسی سایبری دست دارند،
درست بعد از پخش خبر وجود این اشکال نرم‌افزاری به انجام چنین اسکن‌هایی پرداخته اند.

***********************************************************************

چرا تازه حالا خبر وجود این مشکل منتشر شده است؟
140412084056__74156768_74104572.jpg
این اشکال اولین بار توسط بخش امینت شرکت گوگل و یک شرکت امنیتی فنلاندی
بنام
کودنومایکون (Codenomicon) پیدا شد و گفته شد که علت آن ایراد در برنامه‌نویسی
کامپیوتری بوده است.
از آنجا که OpenSSL یک نرم‌افزار اوپن‌سورس است، محققان قادر بودند
جزئیات برنامه آن را بررسی کنند، و مشکل اولین بار به همین ترتیب کشف شد. اما چنین برنامه‌هایی
بسیار پیچیده هستند و ممکن است مدتی طول بکشد تا کسانی که بطور مرتب این برنامه‌ها را بررسی می‌کنند، مشکل را پیدا کنند.


smile072 smile072 smile072
شما دسترسی جهت مشاهده فایل پیوست این پست را ندارید.

*

آنکه رفت، به حُرمت آنچه با خود برد حقِ بازگشت ندارد

*

آدمی که از آفتابِ صبح گرم نشه، از آفتاب غروب گرم نمیشه

ارسال پست