تاریخ امروز :
تالار های تخصصی نیک صالحی - Powered by vBulletin
تبلیغات
تولبار جدید و آپدیت شده مخصوص نیک صالحی آماده دانلود است ، برای دانلود کلیک کنید.
نمایش نتایج: از 1 به 1 از 1
  1. #1
    مدیر تالار كامپيوتر و تكنولوژی milad_molai آواتار ها
    تاریخ عضویت
    Jun 2008
    محل سکونت
    تهران
    نوشته ها
    3,065
    تشکر
    9,515
    تشکر شده 4,320 بار در 2,080 ارسال

    Post باگ خطرناک OpenSSL موسوم به "خونریزی قلبی" بسیاری از سرورها را با خطر امنیتی مواجه کرد





    بعدازظهر دوشنبه دنیای آی‌تی با یک زنگ هشدار بسیار جدی روبرو شد که بر اساس آن گروه مشاوره امنیتی پروژه‌ی OpenSSL از بروز یک باگ باز به نام "خونریزی قلبی" خبر داد. با استفاده از این باگ، هرشخصی قادر بود به سادگی قسمتی از فعالیت‌های حافظه‌ی موقت بسیاری از سرورها را که از نسخه‌ی فعلی این برنامه استفاده می‌کردند بدون هیچ مانعی بیرون کشیده و مورد سوءاستفاده قرار دهد. بدلیل ماهیت آزاد و متن‌باز پروژه، سریعاً منبع باگ کشف و وصله‌ی امنیتی مورد نیاز منتشر شده و در مخازن سیستم‌عامل‌های مورد استفاده‌ی سرورها قرار گرفت؛ اما تا زمانی که بروزرسانی مربوطه توسط مدیران سرورها انجام نشده، میلیون‌ها سرور در معرض خطر قرار گرفتند. تقریباً هرکسی که اختیار یک سرور را برعهده داشت در این زمان شاهد وضعیت بحرانی بود.




    در صورتی که اسم خونریزی قلبی برای این باگ تا حدودی غیرمتعارف به نظر می‌رسد نباید تعجب کرد؛ چراکه این باگ هم از نظر درجه‌ی مقیاس سیستم‌های تحت تأثیر قرار گرفته و هم از نظر عمق نفوذ بسیار بدتر از باگ GoToFail است که اپل را در اوایل سال با مشکل مواجه کرده بود. باگ جدید به حمله‌کنندگان اجازه می‌دهد که کلید خصوصی ورود به سرور را بدست آورده و بتوانند انتقال داده‌ها را شنود کرده و خود را از معرض کشف توسط سیستم امنیتی در امان نگاه دارند. مسأله زمانی حاد می‌شود که بدانیم این باگ جدید نبوده و حدود دو سال از عمر آن می‌گذرد؛ مشخص نیست آیا شخص دیگری نیز از وجود آن اطلاع داشته و در حملات دیگری بصورت ناشناس از آن استفاده شده است یا خیر...

    پروژه‌ی OpenSSL خارج از دنیای مدیریت سیستم و کدنویسی چندان شناخته شده نیست؛ اما جالب است بدانید که از هر سه سرور موجود، دو مورد بر استفاده از این پکیج متکی هستند. کشف ناگهانی این باگ بدان معنی است که هم‌اکنون تمامی کسانی که تحت تأثیر قرار گرفته‌اند در تکاپوی اجرای وصله‌ی ارائه شده و رفع ریسک امنیتی آن هستند. در حال حاضر یاهو یکی از سرویس‌های متأثر شده است و کارشناسان توصیه کرده‌اند تا زمانی که این کمپانی فرصت بروزرسانی سرورهای خود را نیافته، کاربران از استفاده از اکانت‌های خود خودداری کنند. یکی از نمایندگان یاهو در این خصوص اعلام نموده که بخش‌های اساسی سرویس‌های یاهو در حال حاضر وصله شده‌اند و تیم مسئول همچنان در تلاش است تا قسمت‌های باقی‌مانده را نیز ایمن نمایند. بر اساس گزارشات حاصله، بسیاری کمپانی‌های کوچک نیز تحت تأثیر این باگ قرار گرفته‌اند که imgur، فلیکر و LastPass از آن جمله‌اند؛ البته لست‌پس اعلام نموده که هیچ‌ داده‌ی رمزنگاری نشده‌ای در معرض خطر قرار نگرفته است. نیکولاس ویور محقق امنیتی ICSI این باگ را به شکل مصیبت‌باری بد و باعث صدمات گسترده می‌داند.
    باگ خونریزی قلبی که توسط یکی از محققان گوگل به نام نیل میتا کشف شد، به شخص نفوذگر اجازه می‌دهد 64 کیب از داده‌های تصادفی در حال اجرا در حافظه‌ی موقت سرور را بیرون کشیده و شنود کند. این ** از این نظر که شخص نفوذگر اطلاعی از کاربردی‌بودن داده‌ها نداشته و کنترلی بر روی نوع داده‌های دریافتی ندارد به فیشینگ شبیه است؛ اما از آنجا که بصورت مکرر و پشت سر هم قابل تکرار است، پتانسیل بالایی برای درز داده‌های حساس در این میان وجود خواهد داشت. یکی از هدف‌های مشخص، کلیدهای رمزنگاری خصوصی سرور بوده که دلیل آن لزوم نگهداری آن در حافظه‌ی فعال و قابل شناسایی‌بودن آن در میان داده‌های تصادفی است. این کلیدها پس از افشا، امکان شنود ترافیک رد و بدل شده‌ی سرور را برای شخص نفوذگر فراهم کرده و بصورت بالقوه ممکن است باعث رمزگشایی هرگونه داده‌ی از پیش رمزگذاری شده نیز باشد.
    در مواردی که ابزارهای امنیتی حساس نظیر ابزارهای ناشناس‌ماندن در اینترنت تحت تأثیر این باگ قرار گرفته‌اند، این مسأله حساس‌تر به نظر می‌رسد؛ به گونه‌ای که پروژه‌ی Tor طی یک پست در وبلاگ خود چنین نوشته است که "در صورتی که شما از جمله اشخاصی هستید که نیاز به ناشناس‌ماندن قطعی یا حریم شخصی حساسی در شبکه‌ی اینترنت دارید، توصیه می‌شود که برای چند روز آینده به کلی از اینترنت فاصله گرفته و منتظر آرام‌شدن اوضاع باشید". با این وجود در برخی موارد چند روز هم زمان کافی به نظر نخواهد رسید؛ چرا که در صورت فاش‌شدن کلید رمزنگاری اختصاصی سرور پیش از بروزرسانی سیستم و نصب وصله‌ی امنیتی و بی‌توجهی مدیر سیستم نسبت به تغییر آن، همچنان اجازه ورود برای شخص نفوذگر در دفعات بعدی طی ماه‌های آینده حفظ خواهد شد. سرورها می‌توانند برای مقابله با این رخداد گواهی‌های امنیتی خود را بازنشانی نمایند؛ اما پروسه‌ی مذکور هزینه‌بر و آهسته خواهد بود و کارشناسان نیز ****ن می‌زنند که در بسیاری موارد، اشخاص به نصب وصله‌ی امنیتی اکتفا خواهند کرد. ویور در این خصوص می‌گوید: "من معتقدم که طی مدت یک سال آینده همچنان بسیاری از سرورها در معرض آسیب‌پذیری باقی خواهند ماند؛ این مسأله به سادگی و به کلی محو نخواهد شد".
    به نظر می‌رسد اپل، گوگل، مایکروسافت و سیستم‌های عمده‌ی بانکداری الکترونیکی تحت تأثیر این آسیب پذیری امنیتی قرار نگرفته‌اند (البته گفته می‌شود گوگل در ابتدا با این مشکل مواجه شده؛ اما سریع‌تر از سایر سرویس‌ها نسبت به رفع آن اقدام نموده است). از سوی دیگر، یاهو پیش از رفع باگ بخش‌های اصلی سرویس خود، برای قسمتی از روز تحت تأثیر و در حال نشت اعتبارات کاربران بوده است. بصورت کلی، هر سروری که از OpenSSL بر بستر وب‌سرور آپاچی یا Nginx استفاده می‌کرده، تحت تأثیر باگ مذکور قرار گرفته که در مجموع بخش اعظم کلیه‌ی سرورها و وب‌سایت‌ها و سرویس‌های اینترنتی را تشکیل می‌دهد.
    در حال حاضر راه‌هایی برای شناسایی سرویس‌های ایمن شده در مقابل این حمله وجود دارد؛ اما اخبار بدست آمده باعث می‌شود چندان آسوده خاطر نباشیم. این وب‌سایت که توسط یک توسعه‌دهنده به نام فیلیپو والسوردا ساخته شده می‌تواند در شناسایی سایت‌هایی که وصله‌ی امنیتی را نصب نکرده‌اند کمک کند؛ اما کدهای این پروژه نیز ممکن است در برخی موارد جواب منفی کاذب ارائه نماید که باعث می‌شود نتوان بصورت قطعی به آن اطمینان نمود. هر سرور که نسبت به نصب وصله‌ی امنیتی اقدام می‌کند، لازم است برای اطمینان بیشتر گواهی امنیتی SSL خود را نیز تجدید نماید تا از استفاده‌ از کلیدهای فاش شده‌ی احتمالی در طول مدت آسیب‌پذیری جلوگیری شود. برای بررسی این مورد، از یک ردیاب SSL نظیر این سرویس استفاده نموده و با جستجوی سرویس مد نظر خود، تاریخ صدور گواهی آن را مورد بررسی قرار دهید؛ در صورتی که تاریخ صدور پس از ارائه‌ی وصله‌ی امنیتی باشد می‌توانید بصورت کامل به سرویس مورد نظر خود اطمینان کنید. بازنشانی گواهی امنیتی SSL زمان‌بر و هزینه‌بر خواهد بود؛ اما ادامه‌ی استفاده از یک گواهی فاش شده خطرات جدی را متوجه سرورها خواهد نمود.
    در حال حاضر برای قضاوت در خصوص پیامدهای کلی این رخداد اندکی زود است؛ اما برخی از درس‌های آموختنی هم‌اکنون نیز بخوبی واضح هستند. با وجود نقش اساسی OpenSSL در شالوده‌ی امنیتی شبکه‌های اینترنتی، این پروژه‌ی آزاد و متن‌باز با کمبود بودجه‌ی اساسی روبرو است. برخی کارشناسان هم‌اکنون توصیه کرده‌اند که کاربران عادی و نیز سازمان‌هایی که مدیون سیستم OpenSSL هستند باید دونیت‌ها و پشتیبانی‌های مالی بیشتری را از این پروژه بعمل آورند تا از بوجود آمدن نفوذپذیری‌هایی مشابه خونریزی قلبی جلوگیری شود. در این خصوص Perfect Forward Secrecy نیز می‌توانسته با جلوگیری از عمل رمزگشایی در محدودسازی اثرات این باگ موثر باشد.
    و اما چالش‌برانگیزترین درسی که می‌توان از این مسأله آموخت این است که برخی نفوذپذیری‌ها تا چه میزان امکان کشف دشواری دارند و زمانی که فاش شدند تا چه میزان می‌توانند آسیب‌رسان باشند. ویور باگ‌های اینچنینی را بسیار ظریف توصیف می‌کند و در ادامه می‌گوید : "ممکن است با اجرا نمودن سرویس تحت نظر یک چک‌کننده‌ی مموری، قادر به کشف آن باشید؛ اما اینگونه مسائل چیزی نیستند که از طریق مشاهده و بررسی کد، قابل یافتن باشند". با وجود امنیت بهتر سیستم‌های آزاد و متن‌باز بر اساس ماهیت مطالعه کد و کشف سریع باگ‌ها، باید در نظر داشت که امنیت مطلق وجود خارجی نداشته و همیشه مسیر زیادی برای ایمن‌سازی سیستم‌ها در پیش است. این کشف باگ به نحوی اعتباری مثبت برای گوگل و کارشناس یابنده‌ی باگ خواهد بود که در راه کشف این آسیب‌پذیری تا این حد دقیق و حساس بوده است.




    منبع : باگ خطرناک OpenSSL موسوم به "خونریزی قلبی" بسیاری از سرورها را با خطر امنیتی مواجه کرد - زومیت

    پیروز و سربلند باشید و صادقانه و وفادرانه زندگی کنید

    باشکر
    میلاد ملایی
    مدیریت تالار کامپیوتر و تکنولوژی

    بدبخت ملتی که تاریخ خود را نداند ، تیره بخت تر از آن ملتی است که علاقمند به دانستن تاریخ خود نباشد و شوربخت تر از همه ملتی است که تاریخ خود را به ریشخند بگیرد .
    .................................................. .................................................. .................................................. ........................

    چناچه در بخش کامپیوتر تاپیک یا پستی را مشاهده کردید که مشکلات لینک دانلود داشت ، حاوی اسپم بود ، بی ربط نسبت به موضوع کلی بخش بود لطفا" مبادرت به ارسال پیغام خصوصی کنید.

    چناچه به هر نحوی تمایل به همکاری با بخش کامپیوتر و تکنولوژی داشتید لطفا" مبادرت به ارسال پیغام خصوصی کنید.

    چناچه انتقاد و یا پیشنهاد و نظری در مورد بخش کامپیوتر دارید لطفا" به گروه بخش کامپیوتر و تکنولوژی مراجعه فرمایید.

    <<روزهای تعطیل مدیریت بخش کامپیوتر و تکنولوژی شنبه ها>>
    باتشکر
    میلاد ملایی
    مدیریت بخش کامپیوتر و تکنولوژی

  2. 2 کاربر مقابل از milad_molai عزیز به خاطر این پست مفید تشکر کرده اند.


مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  
قدرت گرفته از ویبولتین ،اکنون ساعت 10:43 PM برپایه ساعت جهانی (GMT - گرینویچ) +4.5 می باشد.
کليه حقوق اين سايت متعلق به  شرکت فرهنگ سازان  است.هر گونه استفاده از مطالب اين سايت پيگرد قانوني دارد
سئو و بهينه سازي : سئو
Powered by vBulletin® Version 4.2.2 Copyright © 2014 vBulletin Solutions, Inc. All rights reserved