NIKE
پکر!؟
مدیر بازنشسته
بعدازظهر دوشنبه دنیای آیتی با یک زنگ هشدار بسیار جدی روبرو شد که بر اساس آن گروه مشاوره امنیتی پروژهی OpenSSL از بروز یک باگ باز به نام "خونریزی قلبی" خبر داد. با استفاده از این باگ، هرشخصی قادر بود به سادگی قسمتی از فعالیتهای حافظهی موقت بسیاری از سرورها را که از نسخهی فعلی این برنامه استفاده میکردند بدون هیچ مانعی بیرون کشیده و مورد سوءاستفاده قرار دهد. بدلیل ماهیت آزاد و متنباز پروژه، سریعاً منبع باگ کشف و وصلهی امنیتی مورد نیاز منتشر شده و در مخازن سیستمعاملهای مورد استفادهی سرورها قرار گرفت؛ اما تا زمانی که بروزرسانی مربوطه توسط مدیران سرورها انجام نشده، میلیونها سرور در معرض خطر قرار گرفتند. تقریباً هرکسی که اختیار یک سرور را برعهده داشت در این زمان شاهد وضعیت بحرانی بود.
ضعف امنیتی “Heartbleed” که در سرویس OpenSSL در روزهای گذشته کشف شد سبب بازماندن ارتباط و دستیابی به رمزعبور و اطلاعات شخصی تغریبا ۶۶٪ کاربران سرویس های اینترنتی شده است. خوشبختانه کاربران سرویس های اپل که از iOS و OS X استفاده می کنند از این قاعده مستثنا هستند ولی بسیاری از سرویس ها و سایت های پرطرفدار در اینترنت این شانس را ندارند. بسیاری از شرکت ها در حال رفع این ضعف امنیتی و ارائه بسته بهینه سازی هستند اما سایت “Mashable” لیستی از بزرگترین سایتهایی که ضعف امنیتی “Heartbleed” را دارند را منتشر کرده است. در حال حاضر هیچگونه اطلاعاتی مبنی بر اینکه متهاجم یا هکر ها به اطلاعات شما دسترسی پیدا کرده اند وجود ندارد اما تغییر رمزعبور می تواند از دسترسی آینده آنها جلوگیری کند. پس اگر در سایت های زیر حساب کاربری دارید در اولین زمان ممکن، تکرار می کنم اولین زمان ممکن رمز عبور حساب کاربری خود را تغییر دهید.( توصیه میشود سابر رمزهای عبوری که جزو سایت های زیر نیستند از جمله رمز عبور بانک ها، ایمیل های داخلی و ... نیز تغییر داده شود.)
خبر تکمیلی : ساعاتی پیش بلومبرگ گزارشی منتشر کرده است که پرده از واقعیتهای پنهان سوءاستفاده از این باگ خطرناک برداشته است. براساس گزارش منتشر شده، آژانس امنیت ملی آمریکا در دو سال اخیر، از این باگ آگاه بوده و با سرپوش قراردادن روی آن، خود از خونریزی فلبی بهرهبرداری کرده است.
براساس اطلاعات ارائه شده توسط دو فرد آگاه، این باگ بنابر خواستهی NSA مخفی نگاه داشته شده تا این آژانس امنیتی از این طریق، رمزهای عبور و اطلاعات مدنظر خود را به دست آورد. براین اساس گویا NSA در سال 2012 میلادی خونریزی قلبی را کشف کرده است و در طول دوران حیات آن تا هفتهی پیش از آن برای مقاصد خود که شنود اطلاعات و دریافت اطلاعات کاربران بوده، استفاده کرده است.
این ضعف امنینی مطمئناً برای حمله به سرویسهای متعددی به کار گرفته شدهاند که پیش از اعمال پچ ارائه شده آسیبپذیر بودهاند. از جملهی این سرویسها میتوان به جیمیل و وبسرویسهای آمازون اشاره کرد که مصونبودن آن از باگ خونریزی قلبی به هفتهی پیش و پس از اعمال بستهها امنیتی برمیگردد. این باگ امکان دسترسی به اطلاعات دو سوم از سرورهای رمزگذاری شده را در اختیار آژانس امنیت ملی آمریکا قرار داده است. براساس گزارش Open Source آژانس امنیت ملی آمریکا لیستی از باگهای این چنینی را در دست داشته و خونریزی قلبی تنها نمونهای از این باگها است. NSA در جستجوهای جاسوسی خود این اطلاعات را به دست آورده است.
اما آژانس امنیت ملی با انتشار بیانیهای تمامی موراد مورد بحث دربارهی اطلاع از این باگ را تکذیب کرده و اعلام کرده که تا زمان اعلام عمومی مبنی بر وجود چنین مشکلی از وجود آن بیاطلاع بوده است. کاخ سفید نیز به گزارش منتشر شده واکنش نشان داده و تمامی موارد مطرح شده مرتبط با NSA را تکذیب کرده است. کاخ سفید در بیانیهی خود چنین اظهار نظر کرده است:
در صورتی که دولت فدرال که شامل نهادهای اطلاعاتی است، از وجود این باگ اطلاعاتی داشته و وجود آن را پیش از این کشف کرده بودند، مطمئناً آن را فاش کرده و عموم کاربران و همچنین سرویسدهندگان در فضای وب را از چنین باگی مطلع میساختند.
اما NSA از ساختار لازم برای یافتن چنین باگهای برخوردار است؛ چراکه این نهاد امنیتی با صرف هزینهای 1.6 میلیارد دلاری بصورت سالیانه به پردازش اطلاعات و استخراج دادهها میپردازد که این بودجه چندین برابر بودجهای است که سالانه جذب پروژهی OpenSSL میشود. این گمانهزنیها و گزارشهای منتشر شده در کنار تکذیب اطلاعداشتن از این باگ در کنار موارد پیشین مربوط به شنود اطلاعات توسط این آژانس امنیتی، تا حدودی نظرها را نسبت به NSA بیش از پیش منفی کرده؛ بطوریکه تمام جامعهی آیتی را رودرروی NSA قرار داده است.
ضعف امنیتی “Heartbleed” که در سرویس OpenSSL در روزهای گذشته کشف شد سبب بازماندن ارتباط و دستیابی به رمزعبور و اطلاعات شخصی تغریبا ۶۶٪ کاربران سرویس های اینترنتی شده است. خوشبختانه کاربران سرویس های اپل که از iOS و OS X استفاده می کنند از این قاعده مستثنا هستند ولی بسیاری از سرویس ها و سایت های پرطرفدار در اینترنت این شانس را ندارند. بسیاری از شرکت ها در حال رفع این ضعف امنیتی و ارائه بسته بهینه سازی هستند اما سایت “Mashable” لیستی از بزرگترین سایتهایی که ضعف امنیتی “Heartbleed” را دارند را منتشر کرده است. در حال حاضر هیچگونه اطلاعاتی مبنی بر اینکه متهاجم یا هکر ها به اطلاعات شما دسترسی پیدا کرده اند وجود ندارد اما تغییر رمزعبور می تواند از دسترسی آینده آنها جلوگیری کند. پس اگر در سایت های زیر حساب کاربری دارید در اولین زمان ممکن، تکرار می کنم اولین زمان ممکن رمز عبور حساب کاربری خود را تغییر دهید.( توصیه میشود سابر رمزهای عبوری که جزو سایت های زیر نیستند از جمله رمز عبور بانک ها، ایمیل های داخلی و ... نیز تغییر داده شود.)
- IFTTT
- Tumblr
- Yahoo
- Gmail
- Amazon Web Services
- TurboTax
- Dropbox
- OKCupid
- SoundCloud
- GoDaddy
- Minecraft
خبر تکمیلی : ساعاتی پیش بلومبرگ گزارشی منتشر کرده است که پرده از واقعیتهای پنهان سوءاستفاده از این باگ خطرناک برداشته است. براساس گزارش منتشر شده، آژانس امنیت ملی آمریکا در دو سال اخیر، از این باگ آگاه بوده و با سرپوش قراردادن روی آن، خود از خونریزی فلبی بهرهبرداری کرده است.
براساس اطلاعات ارائه شده توسط دو فرد آگاه، این باگ بنابر خواستهی NSA مخفی نگاه داشته شده تا این آژانس امنیتی از این طریق، رمزهای عبور و اطلاعات مدنظر خود را به دست آورد. براین اساس گویا NSA در سال 2012 میلادی خونریزی قلبی را کشف کرده است و در طول دوران حیات آن تا هفتهی پیش از آن برای مقاصد خود که شنود اطلاعات و دریافت اطلاعات کاربران بوده، استفاده کرده است.
این ضعف امنینی مطمئناً برای حمله به سرویسهای متعددی به کار گرفته شدهاند که پیش از اعمال پچ ارائه شده آسیبپذیر بودهاند. از جملهی این سرویسها میتوان به جیمیل و وبسرویسهای آمازون اشاره کرد که مصونبودن آن از باگ خونریزی قلبی به هفتهی پیش و پس از اعمال بستهها امنیتی برمیگردد. این باگ امکان دسترسی به اطلاعات دو سوم از سرورهای رمزگذاری شده را در اختیار آژانس امنیت ملی آمریکا قرار داده است. براساس گزارش Open Source آژانس امنیت ملی آمریکا لیستی از باگهای این چنینی را در دست داشته و خونریزی قلبی تنها نمونهای از این باگها است. NSA در جستجوهای جاسوسی خود این اطلاعات را به دست آورده است.
اما آژانس امنیت ملی با انتشار بیانیهای تمامی موراد مورد بحث دربارهی اطلاع از این باگ را تکذیب کرده و اعلام کرده که تا زمان اعلام عمومی مبنی بر وجود چنین مشکلی از وجود آن بیاطلاع بوده است. کاخ سفید نیز به گزارش منتشر شده واکنش نشان داده و تمامی موارد مطرح شده مرتبط با NSA را تکذیب کرده است. کاخ سفید در بیانیهی خود چنین اظهار نظر کرده است:
در صورتی که دولت فدرال که شامل نهادهای اطلاعاتی است، از وجود این باگ اطلاعاتی داشته و وجود آن را پیش از این کشف کرده بودند، مطمئناً آن را فاش کرده و عموم کاربران و همچنین سرویسدهندگان در فضای وب را از چنین باگی مطلع میساختند.
اما NSA از ساختار لازم برای یافتن چنین باگهای برخوردار است؛ چراکه این نهاد امنیتی با صرف هزینهای 1.6 میلیارد دلاری بصورت سالیانه به پردازش اطلاعات و استخراج دادهها میپردازد که این بودجه چندین برابر بودجهای است که سالانه جذب پروژهی OpenSSL میشود. این گمانهزنیها و گزارشهای منتشر شده در کنار تکذیب اطلاعداشتن از این باگ در کنار موارد پیشین مربوط به شنود اطلاعات توسط این آژانس امنیتی، تا حدودی نظرها را نسبت به NSA بیش از پیش منفی کرده؛ بطوریکه تمام جامعهی آیتی را رودرروی NSA قرار داده است.