ضعف امنیتی Heartbleed یا خونریزی قلبی که از آن به عنوان بزرگ ترین نقص امنیتی اینترنت از ابتدای پیدایش آن یاد می شود دامنه بسیار گسترده ای دارد. از شرکت های بزرگ اینترنتی گرفته تا بانک ها و موسسات مالی و اعتباری و بالاخره کاربران تحت تاثیر این نقص امنیتی و ریسک آن قرار دارند. علاوه بر اینکه شرکت ها و سایت های اینترنتی مشغول رفع این ضعف هستند از کاربران نیز خواسته شده که پسوردهای خود را تغییر دهند و تراکنش های مالی خود را طی روزهای آینده به دقت زیر نظر داشته باشند. اما خوب است نگاهی داشته باشیم به برخی از سوالاتی که این ضعف امنیتی در اذهان ایجاد کرده است:


خونریزی قلبی چیست؟


یک حفره امنیتی در نرم افزار OpenSSL است که به هکرها اجازه می دهد به حافظه سرورها دستری پیدا کنند. براساس گفته محققان حدود ۵۰۰ هزار سرور در سراسر جهان به این ضعف امنیتی آلوده شده اند. به این معنی است که اطلاعات حساس میلیون ها کارت اعتباری، اکانت و پسورد به طور بالقوه در ریسک افشا شدن قرار گرفته است.


در همین حال این حفره امنیتی امکان اینکه هکرها به اطلاعات داخلی شرکت ها دسترسی پیدا کنند را نیز بسیار افزایش می دهد.


OpenSSL چیست؟


اجازه بدهید با SSL شروع کنیم که مخفف Secure Socketd Layer است اما نام جدید آن Transport Layer Security یا TLS را بیشتر شنیده ایم. هدف SSL کدگذاری اطلاعات روی وب است و هدف این کدگذاری این است که کسی اطلاعات حساس شما را مثلا در هنگام اتصال به ایمیل تان از طریق مرورگرها به سرقت نبرد. به همین دلیل است که مثلا هنگام نوشتن پسورد آدرس URL شما از HTTP به HTTPS تغییر می کند.


OpenSSL یک نرم افزار کدباز یا اوپن سورس برای اجرای SSL روی وب است. OpenSSL همچنین به طور گسترده ای در سیستم عامل لینوکس و متعلقات آن Apache و Ngins مورد استفاده قرار می گیرد که برای راه اندازی سایت های اینترنتی و نگهداری اطلاعات آنها روی سرورها کاربرد دارد.


چه کسی این باگ را کشف کرد؟


این باگ امنیتی توسط یک شرکت امنیتی به نام Codenomicon و یک محقق گوگل به نام Neel Mehta به طور مستقل اما در یک روز کشف شد.محقق گوگل به خاطر کشف این باگ ۱۵ هزار دلار جایزه دریافت کرد اما او این جایزه را به بنیاد آزادی مطبوعات داد تا برای توسعه یک ابزار امنیتی جهت ارتباط امن روزنامه نگاران و منابع شان (و عدم شنود توسط دولت ها) مورد استفاده قرار گیرد. او تاکنون تقاضای مصاحبه در مورد این باگ را رد کرده، اما گوگل در این مورد گفته است که امنیت اطلاعات کاربران برای ما در بالاترین اولویت قرار دارد و ما مرتبا ضعف های مختلف در این زمینه را بررسی می کنیم تا احیانا به کاربران از این بابت آسیبی وارد نیاید.


چرا به این باگ خونریزی قلبی گفته می شود؟


این نام را Ossi Herrala مدیر شبکه شرکت Codenomicon روی این باگ گذاشته که در اصل جایگزین نام فنی CVE ۲۰۱۴ ۰۱۶۰ شده که در واقع خطی از کد برنامه است که شامل این باگ می شود.


Heartbleed در واقع تغییر یافته نام بخشی از این برنامه است که Heartbeat (تپش قلب) نام دارد. این بخش ارتباط را حتی در هنگامی که بین کاربر و سرور ارتباطی وجود ندارد، باز نگاه می دارد و از این جهت باعث نشت یا به اصطلاح خونریزی اطلاعات مهم از حافظه (سرور) می شود.


چرا بعضی سایت ها توسط خونریزی قلبی آلوده نشده اند؟


OpenSSL بسیار گسترده در سایت ها و سرورهای اینترنتی مورد استفاده قرار می گیرد، اما در واقع جایگزینی برای SSL/TSL است. بسیاری از سایت ها از نسخه قدیمی تر و غیرآلوده آن استفاده می کنند و بعضی دیگر هم اساسا امکان Heartbeat را فعال نکرده بودند. از طرفی بعضی سایت ها از تکنیک PFS بهره می برند به این معنی که به کلیدهایی که برای باز کردن محتوای کدگذاری شده به کار می رود، عمر کوتاهی می دهد. به این ترتیب اگر حتی یک هکر به یک یا چند کلید خارج از سرور دسترسی پیدا کند به دلیل طول عمر کوتاه آن قادر به استفاده از یک حجم اطلاعات بالا و خارج کردن کد از آن نیست. امروزه برخی از شرکت های بزرگ تکنولوژی مانند گوگل و فیس بوک پشتیبانی از PFS را آغاز کرده اند.


این باگ چگونه کار می کند؟


این باگ به یک هکر اجازه می دهد که در هر بار حمله به ۶۴ کیلوبایت از حافظه سرور دسترسی داشته باشد هر چند این عدد خیلی زیاد نیست، اما حملات دوباره و دوباره می تواند شامل اطلاعات بسیار زیادی شود. این هک نه تنها می تواند باعث لو رفتن نام کاربری و پسورد شود، بلکه می تواند حتی برای دنبال کردن اطلاعات کوکی یک شخص خاص شود. به این ترتیب هکر می تواند با ساختن یک صفحه یا سایت جعلی و دزدیدن کارت های اعتباری و پیغام های خصوصی شود.


آیا من باید پسوردم را عوض کنم؟


برای بسیاری از سایت ها توصیه شده حتما پسورد خود را فورا عوض کنید. برای آن دسته از سایت ها که هنوز این باگ را رفع نکرده اند، کاربران باید تا رفع باگ صبر کنند.


چگونه می توان از این موضوع که یک سایت آلوده شده یا باگ را رفع کرده مطلع شد؟


چند شرکت و برنامه نویس سایت های تست آلودگی به خونریزی قلبی را راه اندازی کرده اند که از طریق آنها می توان از آلوده بودن یا نبودن یک وب سایت آگاهی یافت. یکی از آنها LastPass است به این آدرس مراجعه کنید و سایت مورد نظر خود را جست و جو کنید: https://lastpass.com/heartbleed این البته یک تست مقدماتی است و تا زمانی که خود وب سایت ها نگفته اند که کاملا عاری از این مشکل هستند، باید مراقب بود. در واقع باید کانال های رسمی هر سایت (شامل بانک، سرویس های اینترنتی و...) را مد نظر قرار داد. بسیاری از سایت ها از طریق وبلاگ رسمی خود درباره وضعیت خود و این باگ توضیحاتی داده اند، بعضی هم با ایمیل به مشتریان خود اطلاع داده اند.


چه کسی پشت مشکل امنیتی است؟


بنا به نوشته گاردین برنامه نویسی این کد را نوشته Robin Seggelmann نام دارد که در زمانی که در حال گرفتن دکترای خود بود و برای پروژه OpenSSL کار می کرد، این کد را حدود دو سال قبل نوشته است. با این حال خود او گفته است که او در آن زمان نمی دانست که نوشتن همین کد ساده چه تاثیر مخربی دارد و گفته مسوولیت این مشکل را می پذیرد. با این حال از آنجا که این یک پروژه اوپن سورس یا کد باز بوده به سختی می توان کسی را مسوول آن معرفی کرد. متخصصان امنیتی می گویند کدهای دارای مشکل در برنامه هایی اینچنین کم نیستند، اما مشخصه Heartbleed این است که این کد بخش اصلی SSL نیست و در واقع یک امکان اضافه شده به آن است به همین دلیل کسی به خودش زحمت چک کردن صحیح بودن یا نبودن آن را نداده است.


آیا این درست است که دولت آمریکا از وجود این ضعف مطلع بوده و آن را فاش نکرده است؟


این موضوع دقیقا مشخص نیست. یک گزارش می گوید که آژانس امنیت ملی آمریکا پیش از اینکه خونریزی قبلی فاش شود از وجود آن مطلع بوده و از این حفره امنیتی برای شنود اطلاعاتی استفاده می کرده، هرچند خود NSA این موضوع را تکذیب کرده است. با این حال آژانس امنیت ملی آمریکا به دلیل افشاگری های اسنودن در دزدیدن اطلاعات آنقدر زیر ضرب قرار گرفته که به سختی می توان تکذیب یا تایید آن را مصداق قرار داد.


آیا من باید نگران حساب بانکی خودم باشم؟


بسیاری از بانک ها از OpenSSL استفاده نمی کنند و به جای آن از یک نرم افزار کدگذاری دیگر بهره می گیرند، اما اگر شما مطمئن نیستید؛ مستقیما با بانک خود تماس بگیرید و بپرسید که آیا وب سایت آنها برای استفاده امن است یا نه. یک متخصص امنیتی توصیه اکید دارد که طی روزهای آینده حساب های بانکی خود را به دقت تحت نظر داشته باشید تا از هر انتقال یا برداشت مشکوک به سرعت مطلع شوید.


چگونه می توانم بفهمم کسی از این ضعف امنیتی برای دزدیدن اطلاعات من استفاده کرده است؟


متاسفانه، این ضعف امنیتی به گونه ای است که دزدیدن اطلاعات هیچ ردی (روی سرور) برجای نمی گذارد. به همین دلیل یافتن یک سرقت اطلاعات و مطمئن شدن از آن ممکن نیست.


از چه برنامه مدیریت پسوردی استفاده کنم؟


واقعیت این است که ضعف امنیتی خونریزی قلبی باعث توجه بیشتر به داشتن پسوردهای خوب شده است. برنامه های مدیریت پسورد که امروزه رایگان هم در دسترس قرار دارند ابزارهای بسیار موثری برای قراردادن یک پسورد قوی و خوب روی اکانت های ما هستند. آنها به طور رندوم یک پسورد برای اکانت شما می گذارند و آن را هنگام ورود شما به سایت ها وارد می کنند. درواقع یک مشکل بزرگ این است که بسیاری از کاربران از یک پسورد مشترک برای همه اکانت ها یا بسیاری از اکانت هایشان استفاده می کنند. این باعث می شود یک هکر با دریافت یک پسورد از یک سایت آلوده به پسوردهای شما در سایت های غیرآلوده هم دسترسی داشته باشد. برنامه های مدیریت پسورد مثل LastPass یا Dashlane مدیریت پسوردهای شما را برعهده دارند و هم روی کامپیوتر و هم روی موبایل نصب می شوند و در صورت تغییر پسورد در یکی از آنها بلافاصله اطلاعات خود را (از طریق رایانش ابری) با یکدیگر همسان می کنند.


یک ویژگی خوب این برنامه ها این است که میزان ضعف یا قوت یک پسورد را هم به شما گزارش می دهند و در عین حال می توانند یک پسورد فوق العاده قوی برای شما تولید و ذخیره کنند. در واقع با استفاده از این برنامه ها دیگر شما نیازی به خاطر سپردن یک پسورد سخت نخواهید داشت و تنها یک پسورد برای کل این برنامه ایجاد می کنید.


چه نکات امنیتی دیگری می تواند امنیت اطلاعات مرا بالا ببرد؟


امروزه بسیاری از سایت ها از سیستم چک دو مرحله ای بهره می برند (مثل جیمیل). درواقع با این سیستم علاوه بر اینکه یک پسورد برای ورود به سایت مورد نیاز است اطلاعات شناسایی دیگری نیز مورد ارزیابی قرار می گیرد. توصیه می شود اگر وب سایتی که استفاده می کنید از این سیستم چک دو مرحله ای بهره می برد حتما آن را فعال کنید. با استفاده از این امکان دسترسی به حساب شما از طریق یک کامپیوتر مشکوک دیگر گرفته می شود، چراکه سیستم مثلا به جز پسورد از شما یک کد چهار رقمی هم می خواهد که از طریق موبایل به شما پیامک می شود. این باعث می شود که حتی اگر کسی پسورد شما را بدزدد، قادر به ورود به حساب شما نباشد.


چه کسی را باید سرزنش کنیم؟


واقعیت این است که کشف مشکلات امنیتی جای خوشحالی دارد، چراکه باعث افزایش توجه عمومی به امنیت اطلاعاتشان می شود. از طرفی شرکت های اینترنتی بانک ها و سایر سیستم های مالی و تجاری را نیز مجبور می کند روی امنیت اطلاعات کاربرانشان سرمایه گذاری بیشتری کنند. درواقع کمکی که کشف چنین باگ هایی به ارتقای امنیت عمومی کاربران می کند بسیار بیشتر از ضربه احتمالی است که به تعداد محدودی از کاربران وارد می آید.