From Wikipedia, the free encyclopedia
هارتبلید (به انگلیسی: Heartbleed) (به فارسی: خونریزی قلبی) یک اشکال نرمافزاری در کتابخانه رمزنگاری متن باز اپناساسال است که به مهاجم اجازه خواندن حافظه رایانهای که در حال اجرای این نرمافزار است را میدهد. این باگ همچنین به مهاجم اجازه بازیابی کلیدهای شخصی اساسال را میدهد. این اشکال در پی یک اشتباه در کدنویسی اپناساسال به وجود آمدهاست.[5][6][7][8]
شناسه(های) سیویئی | CVE-2014-0160 |
---|---|
انتشار | ۱ فوریه ۲۰۱۲ |
تاریخ کشف | ۱ آوریل ۲۰۱۴ |
تاریخ وصلهشدن | ۷ آوریل ۲۰۱۴ |
کاشف | |
نرمافزار تحت تأثیر | اپناساسال (۱٫۰٫۱) |
وبگاه | heartbleed |
برخی محققان در پی بررسی لاگهای سیستمی دریافتند که این مسئله امنیتی حداقل پنج ماه پیش از اینکه به اطلاع عموم برسد ممکن است توسط هکرها کشف شده و مورد استفاده برای نفوذ به سرورها و سیستمهای کاربران قرار گرفته باشد.[9][10][11]
در روز هفتم آوریل ۲۰۱۴، Neel Mehta یکی از مهندسین تیم امنیتی گوگل اعلام کرد که اپناساسال ویرایش 1.0.2-beta، و همچنین تمام ویرایشهای سری ۱٫۰٫۱ این نرمافزار تا قبل از ویرایش 1.0.1g دارای اشکال امنیتی خطرناکی مرتبط با مدیریت حافظه در ماژول Heratbeats این برنامه هستند.[12][13] این مشکل امنیتی میتواند در هر تپش اکستنشن Heartbeat اپناساسال، تا ۶۴ کیلو بایت اطلاعات از حافظهٔ مربوط به همین نرمافزار در RAM رایانه را در اختیار مهاجم قرار دهد.[14] این باگ درون ماژول Heartbeats از پکیج openssl قرار دارد که به همین دلیل این باگ را خونریزی قلبی (Heartbleed) نامگذاری کردهاند که میتوانید گزارش آن را درون سایت openssl ببینید. کد cve mitro باگ CVE-2014-0160 است.[15][16]
سازوکار این حفره امنیتی به این صورت است که شخص مهاجم یک در خواست هارت بیت (تپش قلب) دستکاری شده را به سروری که در حال اجرای اپناساسال است میفرستد و منتظر پاسخ سرور میماند. از آنجایی که مشکل کنترل طول متغیر در برنامهنویسی اپناساسال ویرایشهای اشاره شده در بالا وجود دارد، برنامه نمیتواند صحت درخواست مهاجم را ارزیابی نماید و این مسئله موجب میشود که برنامه به درخواست مهاجم پاسخ دهد و ۶۴ کیلوبایت از حافظه برنامه را به شکل تصادفی بخواند و برای مهاجم ارسال نماید. در حین حمله، هر تپش قلب 64KB از پکتهایی که با استفاده از پروتکل Transport Layer Security V1 با سرور رد و بدل میشوند و در حافظه سیستم ذخیره میشوند را آشکار میکند و به مهاجم ارسال میکند. حال اگر این عمل تکرار شود اطلاعاتی از جمله نام کاربری و پسورد سرور یا پسورد مدیران یا اطلاعات کاربران یا هر اطلاعات امنیتی دیگری مانند کوکیها نیز به دست خواهند آمد.[17]
این مشکل امنیتی از تاریخ ۳۱ دسامبر ۲۰۱۱ در کد برنامه وجود داشتهاست و بعد از انتشار نسخه پایدار برنامه (ویرایش ۱٫۰٫۱) در تاریخ ۱۴ مارس ۲۰۱۲ به شکل گستردهای در وب سرورهای دنیا انتشار یافتهاست.[3][18][19]
نامگذاری این حفره امنیتی توسط مهندس تیم شرکت امنیتی Codenomicon انجام گرفت. وی همچنین لوگوی مربوط به آن را طراحی نمود و وب سایت Heartbleed.comرا برای اطلاعرسانی به عموم مردم به راه انداخت.[20] طبق گزارش شرکت امنیتی Codenomicon، پیداکننده این مشکل امنیتی، Neel Mehta، ابتدا این حفره را به برنامه نویسان OpenSSL گزارش میدهد اما این گوگل و Codenomicon بودند که به شکل مستقل این حفره را شناسایی میکنند.[3] Mehta همچنین در صفحه توییتر خود بدون اینکه وارد جزئیات و نقش گوگل در کشف این حفره امنیتی شود به شرکت Codenomicon تبریک گفتهاست.[21]
خواندن بخشی تصادفی از حافظه سرور میتواند اطلاعات حساسی را در اختیار مهاجم قرار دهد و در پی آن امنیت سرور و کاربران در حال استفاده از آن را به خطر بیندازد. اطلاعات حساسی که از این طریق قابل دسترسی میباشند میتواند شامل کلیدهای شخصی باشد که نفوذگر را قادر میسازند تا با انجام یک حمله مرد میانی غیرفعال (passive) یا فعال (active) (انجام حمله مرد میانی فعال در صورتی توسط هکر انجام میشود که perfect forward secrecy بر روی سرور فعال باشد) به رمزگشایی دادههای ذخیره شده بر روی سرور یا دادههای در حال ارسال و دریافت آن بپردازد و به آنها دستیابی داشته باشد. شخص مهاجم کنترلی بر روی اینکه چه دادههایی در این ۶۴ کیلوبایت توسط سرور به او تحویل داده میشود ندارد و سرور تنها در پاسخ به درخواست مهاجم به شکل تصادفی دادههایی را در اختیار وی میگذارد.
هرچند این باگ تهدید جدی برای ارتباط امن ایجاد شده توسط اپناساسال محسوب میشود، اما همچنین میتواند درخواستها و اطلاعات رمزگذاری نشده کاربر را نیز در اختیار نفوذگران قرار دهد، این اطلاعات میتوانند شامل پستهای کاربر، کوکیها و پسوردهای کابران سرور باشد که درصورتی که مهاجم به آنها دستیابی داشته باشد میتواند به انجام عملیات استراق نشست کاربر بپردازد و به اطلاعات حساب کاربران و شاید مدیران آن وب سرور دستیابی پیدا کند.[22] در زمان شناسایی این حفره امنیتی (هفتم آوریل ۲۰۱۴)، چنین تخمین زده شد که میبایست حدود ۱۷ درصد، معادل نیم میلیون عدد، از وب سرورهایی که توسط مراجع صدور گواهی دیجیتال برای آنها گواهی امنیتی SLL صادر شدهاست، در برابر این نوع از حمله آسیبپذیر باشند.[23]بنیاد مرزهای الکترونیکی،[24] ارز تکنیکا،[25] و رمز نگار آمریکایی بروس شِنایر،[26] همگی در توصیف این حفره امنیتی از واژه "catastrophic" به معنی "فاجعه آفرین" استفاده کردند. ستون نگار امنیت سایبری مجله فوربز، جوزف اشتاینبرگ، در توصیف این اشکال امنیتی مینویسد که "از زمانی که بانکداری الکترونیکی در اینترنت به راه افتاد، هیچ اشکال امنیتی مانند این باگ دارای چنین پتانسیل تخریبی نبودهاست."[27]
اگر پچ مربوط به اشکال امنیتی CVE-2014-0160 در این سیستم عاملها نصب نشده باشد، این سیستم عاملها میتوانند در برابر این حمله آسیبپذیر باشند.
برای جلوگیری از نفوذهای ناخواسته به سرور، به مدیران وب سرورها توصیه میشود تا یا از نسخههایی که بدون این اشکال امنیتی میباشند استفاده کنند، مانند ویرایش توصیه شدهٔ OpenSSL 1.0.1g، یا اگر امکان بروز رسانی برای ایشان فراهم نیست میتوانند با کامپایل مجدد نسخههای قدیمی به شکل موقت، با استفاده از سوئیچ DOPENSSL_NO_HEARTBEATS- در زمان کامپایل، ماژول Heartbeats را غیرفعال کنند و در اولین زمان ممکن به بروزرسانی نرمافزار اقدام نمایند. هرچند بروز رسانی یا برطرف کردن این اشکال امنیتی به روشهای فوق این اشکال را برطرف میسازد، اما اگر برنامه OpenSSL و سرویسهای مرتبط با آن یا نرمافزارهایی که از آن استفاده میکنند متوقف نشوند و دوباره راهاندازی نگردند(restart)، کد مخرب همچنان در حافظه سیستم باقیمانده و نفوذگران همچنان میتوانند به اطلاعات حساس سرور دستیابی داشته باشند. علاوه بر این برای بازیابی امنیت سیستم میبایست تمامی اطلاعات حساس مانند کلیدها، رمزها، کوکیها، و توکنها (token) قدیمی پاک و تعویض شوند.[31] اطلاعاتی که باید تعویض شوند شامل:
بعد از شناسایی این حفره امنیتی برنامهها و اپلیکیشنهایی برای شناسایی این باگ ایجاد شدند که مدیران سرورها میتوانند از آنها برای تشخیص این حفره بر روی سرورهای خود استفاده نمایند و سپس به روش فوق اقدام به از بین بردن این باگ نمایند. لیست زیر شامل این ابزارها است.
در روز شناسایی این حفره، کارشناسان امنیتی پروژه تور در وبلاگ خود به کاربران دنیای اینترنت توصیه کردند که «به تمامی افرادی که نگران امنیت سایبری خود هستند توصیه میشود تا در چند روز آینده از ورود به اینترنت خودداری کنند، تا زمانی که مشکل به شکل کامل شناسایی و برطرف شود».[32]
سازمان Canada Revenue Agency که مربوط به انجام امور مالیاتی کانادا است، به دنبال خبر این حفره امنیتی حساس اقدام به بستن سایتهای اینترنتی خود نمود.[33]
مدیران پلت فورمها، مانند مدیران بنیاد ویکیمدیا، در پی شناسایی این باگ به کاربران خود توصیه نمودند تا رمزهای کاربری خود را عوض کنند.[34]
یک آنالیز آماری انجام شده بر روی ۱۰۰۰ سایت پربیننده دنیا، که در GitHub منتشر شدهاست، چنین نشان داد که سایتهایی از قبیل یاهو، Imgur, Stack Overflow، مجله Slate، و DuckDuckGo در تاریخ ۸ آوریل ۲۰۱۴ در برابر این اشکال نرمافزاری آسیبپذیر بودهاند.[35][36]
در کنار سایتهای خارجی نام برده سایتهای ایرانی بسیاری نیز دارای این باگ بودهاند و تلاشها در زمینه از بین بردن این باگ ادامه دارد.[37][38]
تئو درات، بنیانگذار و مدیر پروژههای اپناساساچ و اوپنبیاسدی سازندگان اپناساسال را برای مد نظر قرار ندادن استانداردهای امنیتی برنامهنویسی به زبان C و کتابخانه استاندارد سی مورد انتقاد قرار داد و خطاب به آنها چنین گفت: «تولیدکنندگان اپناساسال احساس مسئولیت کافی ندارند».[39][40]
برنامهنویسی که این قسمت از اپناساسال را برنامهنویسی کرده و این اشکال امنیتی در اپناساسال به دنبال کدنویسی او ایجاد شدهاست، Robin Seggelmann,[41] چنین ابراز داشت که او تنها در حین برنامهنویسی «کنترل و چک کردن متغییری که طول و تعدادی رکورد داشتهاست را یادش رفتهاست» و هرگونه سوء نیت و تعمدی را نسبت به ایجاد این اشکال امنیتی در برنامهٔ اپناساسال رد کردهاست.[42]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.