خونریزی قلبی در اینترنت !

سلام ...

مستقیم بریم سر اصل مطلب!   :) 

خونریزی قلبی  چیست : 

یک آسیب پذیری بسیار مهم در OpenSSL کشف و راه حل اجتناب از آن نیز ارائه شده .

به گزارش جهان به نقل از بیان، این مشکل تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه می‌دهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد....

 

از آنجا که متاسفانه با گذشت چندین ساعت از اعلام عمومی این خطر بی سابقه در جهان، متاسفانه هنوز در ایران اطلاع رسانی لازم صورت نگرفته است و بسیاری از سایت‌ها و کاربران ایرانی در معرض تهدید و خطر جدی هستند، شرکت بیان اطلاعات مربوط به این آسیب‌پذیری را برای اطلاع و رفع سریع‌تر آن منتشر می‌نماید. متاسفانه تا لحظه‌ی انتشار این خبر مراکز دولتی و دانشگاهی کشور که خود وظیفه رصد و پیش‌گیری از وقوع این مشکل را دارند، این آسیب پذیری در آن‌ها مشاهده شده است. 

 

این مشکل در پیاده سازی پروتکل TLS کشف شده است، و باعث می‌شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده می‌کنند، آسیب پذیر باشند. همه‌ی ارتباط‌ها از طریق https (که بیشتر سرویس‌های برخط ایمیل، و چت از آن استفاده می‌کنند) smtp و imap (که برای تبادل ایمیل استفاده می‌شود) و اتصال‌های امن VPN و SSH همه در معرض خطر هستند. این خطر ارتباط امن بانک‌های اینترنتی را نیز تهدید می‌کند. 

 

این مشکل خطرناک در حقیقت اجازه می‌دهد که هر کاربری در ارتباط دو سویه‌ی امن (با TLS) بتواند (در هر اتصال) 64KB از حافظه‌ی رایانه سوی دیگر ارتباط را بخواند (با تکرار این عمل می‌توان مقدار بیشتر از حافظه را استخراج کرد). این مقدار از حافظه‌ی RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد. ضمنا این مشکل تنها به سایت‌های https محدود نمی‌شود، بلکه هر سروری که به عنوان کاربر به https دیگر سایت‌ها نیز متصل می‌شود، آسیب پذیر است. 

 

بر اساس گزارش NetCraft در سال ۲۰۱۴ بیش از ۶۶٪ سایت‌ها از سرورهایی استفاده می‌کنند که بالقوه این آسیب پذیری را دارند. گستره و اهمیت این آسیب پذیری به حدی است یک سایت مستقل (heartbleed.com) برای توضیح جوانب مختلف آن ایجاد شده است. 

 

آیا رایانه من نیز آسیب پذیر است؟  : 

 فقط رایانه‌هایی که از Linux یا BSD استفاده می‌کنند و نسخه‌ی سیستم عامل آن‌ها از جدیدتر از دو سال گذشته است، شامل این آسیب پذیری می‌شوند. البته متاسفانه بیشتر سرورهایی که در وب استفاده می‌شوند، در این گروه جای می‌گیرند ولی برای کاربران خانگی که ویندوز استفاده می‌کنند این آسیب پذیری وجود ندارد. 

 

سرورهایی که Ubuntu 12.04 به بالا یا Debian Wheezy  یا CentOS 6.5 یا Fedora 18 یا FreeBSD 8.4/9.1 یا OpenBSD 5.3 یا OpenSUSE 12.2 دارند آسیب پذیر هستند. البته سرورهای قدیمی‌تر که از نسخه‌های Debian Squeeze یا SUSE Linux Enterprise این آسیب پذیری را ندارند. 

 

آیا ضربه‌ای به اطلاعات شخصی من وارد خواهد شد؟   : 

اگر فکر می‌کنید چون رایانه‌ی شما آسیب پذیر نیست، پس خطری شما را تهدید نمی‌کند، سخت در اشتباه هستید. هر گونه اطلاعاتی از شما که در وب وجود دارد (رمزهای عبور ایمیل، بانکی و ...) در معرض خطر است و اگر سرویس‌دهنده‌های اینترنتی سرورهای خود را بروز نکنند، خطر داده‌های کاربران را تهدید خواهد کرد. گرچه احتمال استفاده عملی از این آسیب پذیری لزوما زیاد نیست، ولی تضمینی وجود ندارد که یک خرابکار از آن استفاده نکرده باشد. 

چگونه باید با این آسیب پذیری مقابله کرد؟    : 

کاربران و مدیران سایت‌ها در صورتی که از سیستم‌عامل‌های ذکر شده استفاده می‌کنند، باید هر چه سریعتر آن را بروز کنند. با توجه به این که امکان سرقت هر گونه اطلاعات در این مدت وجود داشته است، معمولا به مدیران سطح بالا پیشنهاد می‌شود که رمزهای عبور خود را تغییر دهند و همچنین بهتر است certificate های لازم برای راه اندازی سایت‌های https و ... دوباره ساخته شوند. این عمل گرچه احتمالا برای مدیران سایت‌ها سنگین خواهد بود، ولی برای تضمین امنیت کامل لازم است .

مثالی از امکان استفاده از این آسیب پذیری  : 

در تصویر زیر که بر روی یک سرور واقعی داخل ایران تست شده است، داده‌های مربوط به یک کاربر ناشناس قابل نمایش است (با اینکه از ارتباط امن استفاده شده‌بوده است). (دو رقم آخر IP با xx جایگزین شده است) 

برخی از سایتهای آسیب پذیر   : 

تیم امنیتی بیان تا کنون سرویس‌های بسیاری را یافته که این آسیب پذیری را هنوز دارند. برخی از مهمترین آن‌ها عبارتند است: 

    

yahoo.com

alexa.com

stackoverflow.com و همه سایت‌های مرتبط با آن

صفحه اصلی بانک سامان (sb24.com)

شاپرک (shaparak.ir) شبکه الکترونیکی پرداخت کارت شاپرک

سرویس ایمیل ملی شرکت پست mail.post.ir

مرکز ملی ثبت دامنه .ir در nic.ir

مرکز آپای شریف (cert.sharif.edu)

باشگاه خبرنگران صداوسیما yjc.ir

ایمیل دانشگاه تهران utservm.ut.ac.ir

ایمیل دانشگاه امیرکبیر webmail.aut.ac.ir

همراه اول (mci.ir)

خبرگزاری ictna.ir

خبرگزاری jahannews.com

سایت barnamenevis.org

سامانه دفاتر پیشخوان دولت dpd.ir

معاونت آموزشی وزارت علوم emsrt.ir (و wiki.emsrt.ir)

راهنمای جامع صنعت فناوری اطلاعات ictkey.ir

شبکه مجازی ایرانیان (hammihan.com)

بیمه معلم (bimegar.ir)

پایگاه خبری صراط (seratnews.ir)

میهمن میل (mihanmail.ir)

ایمیل ملی ایرانی وطن میل (vatanmail.ir)

میل سرا mailsara.ir

بانک رفاه refah-bank.ir

اینترنت بانک بانک رفاه (rb24.ir)

ایمیل همراه اول mail.mci.ir

فروشگاه اینترنتی سروش مدیا (soroush.tv)

کافه بازار (cafebazaar.ir)

سیبچه sibche.ir

فروشگاه اینترنتی فینال (final.ir)

سایت قطره (ghatreh.com)

شبکه اجتماعی هم‌میهن (hammihan.com)

زومیت (zoomit.ir)

شرکت آسیاتک (asiatech.ir)

صراط نیوز (seratnews.ir)

ممتاز نیوز (momtaznews.com)

بازی عصر پادشاهان (kingsera.ir)

درگاه خرید اینترنتی بلیط اتوبوس (payaneh.ir)

تلوبیون (telewebion.com)

تهران کالا (tehrankala.com)

سایت عقیق (aghigh.ir)

روزنامه کیهان (kayhan.ir)

سایت مسابقه امنیت سایبری اسیس (ctf.asis.io)

و...

       + اکثر آسیب پذیری سایت‌های بالا برطرف شد .

منابع خبری  : 

 

     www.heartbleed.com

     www.ubuntu.com

   1-  www.people.canonical.com

 2-  www.people.canonical.com

www.ashiyane.org

www.bayan.blog.ir

 www.cve.mitre.org

     ...

منتظر خبرهای جدید باشید ، ظاهرا اوضاع خیلی خرابه !
و البته نوشتن کماکان ادامه دارد ...

-  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  -  

اخبار تکمیلی   : 

برای اینکه چک کنید سایت مورد نظرتون آسیب پذیر هست می تونید از آدرس زیر استفاده کنید :

    www.filippo.io/Heartbleed

گویا مشکل به همین جا هم ختم نشده و طبق گزارش چندین منبع معتبر و همچنین بررسی سورس ها متوجه شدیم که این آسیب پذیری در سمت کاربر و سرویس گیرنده نیز قابل سوء استفاده است. 

در نرم افزار هایی مانند curl یا wget و ... که از نسخه آسیب پذیر OpenSSL استفاده می کنند، سرویس دهنده( سرور) ی که به صورت دستی و یا خودکار این آسیب پذیری را فراخوانی کند این امکان را دارا می باشند که ۶۴ کیلوبایت از حافظه کلاینت را نشت داده و از اطلاعات آن استفاده کنند. 

از ۱۰،۰۰۰ سایت برتر جهان، ۱۳۵۰ مورد این آسیب پذیری را داشته‌اند. با بررسی واحد شبکه بیان نیز از ۵۰۰ سایت برتر در ایران، حدود ۵۰ سایت آسیب پذیر بوده‌اند (دقت کنید که بسیاری از ۵۰۰ سایت برتر ایران، سایت‌های خارجی هستند، مانند گوگل). این آمار برای ۱۰،۰۰۰ سایت برتر جهان که باید امن‌ترین سایت‌ها باشند، غیر قابل باور است.

در اولین فرصت نسخه OpenSSL خود را بر روی سیستم خود بروزرسانی کنید!

از استفاده و ورود (Login کردن) به در سایت‌های آسیب پذیر تا اطلاع ثانوی خودداری کنید.

+ در صورتی که قبلاً در حساب کاربری خود در سایت‌های آسیب‌پذیر وارد شده‌اید، بهتر است از هرگونه دسترسی به این سایت‌ها خودداری کنید و حتی از حساب کاربری خود خارج نشوید (Logout نکنید).

پروژه های سورس باز   : 

تصور عمومی در پروژه‌های سورس باز این است که چشمان باز بسیاری می‌توانند جزئیات این نوع پروژه‌ها را بررسی و رفع مشکل کنند! .
اما باگ Heartbleed در یک پروژه‌ی بسیار معروف و پرکاربرد، از سال 2011 در مقابل چشمان بسیاری قرار داشته و در جهت یافتن یا رفع آن، اتفاق خاصی هم رخ نداده است !