openssl - پارسیش

نوشته شده توسط الناز غفور

19 آگوست

معروف ترین اپلیکیشن های اندروید هم باگ دارند

حدود نیمی از پنجاه اپلیکیشن برتر و معروف اندروید هم اشکالاتی دارند. استفاده دوباره و چند باره از کد هایی که قبلا استفاده شده بود دلیل اصلی این مشکلات است. محققانی که در زمنیه ی بررسی نقص امنیتی Heartbleed فعالیت داشتند به این نتایج رسیدند.

بررسی های انجام شده توسط Codenomicon در حیطه ی IT اشکالاتی در مورد OpenSSL تحت عنوان باگ معرفی کرد و آن را نامناسب خطاب کرد و اضافه کرد معمولا افرادی که اپلیکیشن های تازه به بازار می دهند در مورد این نقص ها اطلاعی ندارند و کد های قبلی را دوباره استفاده می کنند یعنی هیچوقت تلاش نمی کنند این چرخه را متوقف کنند.

0 ۰ 18450 19 آگوست, 2014 اخبار, جهان بیشتر

نوشته شده توسط الناز غفور

14 آوریل

آگاهی NSA از Heartbleed

NSA یا آژانس امنیت ملی برای دوسال از حفره امنیتی Heartbleed یا همان خون‌ریزی قلبی٬ مطلع بود و آن را پنهان کرد و از این راه به جاسوسی پرداخت. این خبر از یک منبع ناشناس به بلومبرگ گزارش شده است.

اگر این گزارش صحت داشته باشد – که NSA و کاخ سفید صلاحیت این خبر را رد کرده اند – NSA توانسته به رمز ورود و اطلاعات صد ها هزار سایت دسترسی پیدا کند.از زمانی که حفره امنیتی Heartbleed بوجود آمد ، نرم افزار رمز گذاری OpenSSL از انتشار اطلاعات کامپیوتر کاربران به صدها هزار سایت از جمله Gmail و Facebook جلوگیری می کرد. تقریبا دو سوم سایت های اینترنتی از OpenSSL استفاده می کنند. با توجه به تخمین ها این حفره امنیتی از خطرناک ترین حفره‌ها در دنیای مجازی است که به NSA فرصت دسترسی به اطلاعات میلیون ها کاربر را داده است.

تقریبا دو ساعت بعد از انتشار گزارش بلومبرگ، NSA و کاخ سفید ادعاهای مطرح شده دربیانیه های ارسال شده به Mashable را تکذیب کردند. NSA از آسیب پذیری – حفره امنیتی Heartbleed – که اخیرا در OpenSSL محسوس بود تا زمان اعلام عمومی آن اطلاعی نداشت. در یک گزارش امنیت سایبری سخنگوی NSA به Mashable گفت: گزارش هایی که حرف هایی نقض آن ها میزنند صحت ندارند.

سخنگوی شورای امنیت ملی کاخ سفید اظهار کرده: نه تنها NSA بلکه هیچ آژانس فدرال دیگری از وجود ویروس Heartbleed اطلاع نداشته است. اگر دولت فدرال ، از جمله جامعه ی اطلاعاتی از وجود این ضعف از هفته ی گذشته اطلاع داشتند آن را به گروهی که در برابر OpenSSL موظف هستند اطلاع می دادند.

با سربسته ماندن وجود این حفره امکان بهره برداری از اطلاعات برای آژانس های جاسوسی فراهم شد. این اتفاق در تناقض با یکی از ماموریت های NSA که حفاظت و دفاع از امنیت سایبری ست می باشد.

یک کارمند شرکت امنیت اینترنتی گفته: با توجه به شدت و خسارت این حفره امنیتی بهره برداری و سو استفاده از آن به جای حل آن باعث مسخره شدن ادعای NSA برای حفظ امنیت کاربران است.

این اتفاق شوک بزرگی برای امنیت و آزادی های شهروندی جهان به شمار می رود ولی برای بعضی افراد این اتفاق خیلی تعجب برانگیز نبوده. در طی روزهای قبل برخی بر این باور بودند که NSA از وقتی اطلاعات ادوار اسنودن به بیرون منتشر شده سعی در نقض کردن SSL داشته. این موضوع که NSA زوتر از بقیه ی مردم به وجود این حفره امنیتی پی ببرد امری عادی است چرا که این اطلاعات برای NSA حیاتی است.

0 ۱ 12520 14 آوریل, 2014 اخبار, کوتاه بیشتر

نوشته شده توسط حسین کزازی

14 آوریل

خون‌ریزی قلبی از سرور

در ۱۹ فروردین ماه ۱۳۹۳ یک حفره امنیتی خطرناک در OpenSSL کشف شده که کارشناسان بر پایه ویژگی‌هایی آن را «خون‌ریزی» یا همان Heartbleed نامیده‌اند. این حفره ی امنیتی باعث نگرانی های زیادی در سراسر دنیا شده است. چرا که این باگ به اغلب کاربران این امکان را می‌دهد تا اطلاعات رمزنگاری شده کاربران و یا خود سرور را از سرور آسیب پذیر بدزدند.

این مشکل در پیاده سازی پروتکل TLS کشف شده است، و باعث می‌شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده می‌کنند، آسیب پذیر باشند. همه‌ی ارتباط‌ها از طریق https (که بیشتر سرویس‌های ایمیل، و چت و اینترنت بانک از آن استفاده می‌کنند) smtp و imap (که برای تبادل ایمیل استفاده می‌شود) و اتصال‌های امن VPN و SSH همه در معرض خطر هستند.

این مشکل خطرناک در حقیقت اجازه می‌دهد که هر کاربری در ارتباط دو سویه‌ی امن (با TLS) بتواند (در هر اتصال) ۶۴KB از حافظه‌ی رایانه سوی دیگر ارتباط را بخواند (با تکرار این عمل می‌توان مقدار بیشتر از حافظه را استخراج کرد). این مقدار از حافظه‌ی RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد. ضمنا این مشکل تنها به سایت‌های https محدود نمی‌شود، بلکه هر سروری که به عنوان کاربر به https دیگر سایت‌ها نیز متصل می‌شود، آسیب پذیر است.

فرآیند این حفره بسیار ساده است! به این طور که حفره امنیتی در یکی از بخش‌های «اپن‌اس‌اس‌ال» که در پس‌زمینه فعال است٬ در یک ارتباط رمزگذاری‌شده، بخش معیوب با ارسال و دریافت سیگنال‌هایی، آنلاین بودن دو طرف خط را کنترل می‌کند. چون ارسال و دریافت این سیگنال‌ها به صورت مداوم و با ریتم خاصی صورت می‌گیرد، نام این فرایند «ضربان قلب» گذاشته شده است. در این عکس می‌توانید به وضوع نحوه عملکرد این حفره را ببینید.

برای بررسی آسیب‌پذیری سایت‌ها نسبت به این حفره امنیتی از این سایت می‌توانید استفاده کنید.

0 ۱ 17230 14 آوریل, 2014 اخبار, کوتاه بیشتر