در ۱۹ فروردین ماه ۱۳۹۳ یک حفره امنیتی خطرناک در OpenSSL کشف شده که کارشناسان بر پایه ویژگیهایی آن را «خونریزی» یا همان Heartbleed نامیدهاند. این حفره ی امنیتی باعث نگرانی های زیادی در سراسر دنیا شده است. چرا که این باگ به اغلب کاربران این امکان را میدهد تا اطلاعات رمزنگاری شده کاربران و یا خود سرور را از سرور آسیب پذیر بدزدند.
این مشکل در پیاده سازی پروتکل TLS کشف شده است، و باعث میشود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده میکنند، آسیب پذیر باشند. همهی ارتباطها از طریق https (که بیشتر سرویسهای ایمیل، و چت و اینترنت بانک از آن استفاده میکنند) smtp و imap (که برای تبادل ایمیل استفاده میشود) و اتصالهای امن VPN و SSH همه در معرض خطر هستند.
این مشکل خطرناک در حقیقت اجازه میدهد که هر کاربری در ارتباط دو سویهی امن (با TLS) بتواند (در هر اتصال) 64KB از حافظهی رایانه سوی دیگر ارتباط را بخواند (با تکرار این عمل میتوان مقدار بیشتر از حافظه را استخراج کرد). این مقدار از حافظهی RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد. ضمنا این مشکل تنها به سایتهای https محدود نمیشود، بلکه هر سروری که به عنوان کاربر به https دیگر سایتها نیز متصل میشود، آسیب پذیر است.
فرآیند این حفره بسیار ساده است! به این طور که حفره امنیتی در یکی از بخشهای «اپناساسال» که در پسزمینه فعال است٬ در یک ارتباط رمزگذاریشده، بخش معیوب با ارسال و دریافت سیگنالهایی، آنلاین بودن دو طرف خط را کنترل میکند. چون ارسال و دریافت این سیگنالها به صورت مداوم و با ریتم خاصی صورت میگیرد، نام این فرایند «ضربان قلب» گذاشته شده است. در این عکس میتوانید به وضوع نحوه عملکرد این حفره را ببینید.
برای بررسی آسیبپذیری سایتها نسبت به این حفره امنیتی از این سایت میتوانید استفاده کنید.
One thought on “خونریزی قلبی از سرور”