حفره امنیتی خونریزی قلبی (HeartBleed) و راه‌های مقابله با آن

یکی از مهم‌ترین مواردی که باید دررابطه‌با امنیت سرور یا وب‌سایت خود بررسی کنید، وجود حفره‌های امنیتی درون آن است. در حدود سال 1393 بود که یک حفره امنیتی خطرناک به نام HeartBleed یا همان خونریزی قلبی در سرویس‌های OpenSSL پیدا شد.

این حفره امکان سرقت اطلاعات حفاظت شده را به آسانی فراهم کرده و وب‌سایت‌های مختلفی را در معرض خطر قرار داده است. اگر می‌خواهید سرور خود را در مقابل این حفره امنیتی محافظت کنید، می‌توانید تا انتها همراه ما باشید تا بیشتر با این باگ امنیتی آشنا شوید.

نحوه عملکرد HeartBleed

برای آشنایی بیشتر با حفره امنیتی HeartBleed، بهتر است نحوه عملکرد آن را بررسی کنید. ازآنجایی‌که این حفره در سرویس OpenSSL پیدا شد، عملکرد آن به این شکل است که به هکر اجازه سرقت اطلاعتی که توسط SSL/TSL رمزنگاری شده‌اند را می‌دهد. این یعنی سرقت اطلاعاتی مانند کلمات عبور، ایمیل‌ها، پیام‌های فوری، اطلاعات انتقال روی برخی شبکه‌های خصوصی و… .

تا زمانی که نسخه آسیب‌پذیری از OpenSSL روی سرور شما نصب باشد، سرور شما نیز در برابر این سرقت آسیب‌پذیر خواهد بود. همچنین این حفره می‌تواند با ایجاد یک نشست محتویات RAM را استخراج کرده و امکان کشف اطلاعتی مانند کلیدهای رمزنگاری شده را نیز داشته باشد.

سرویس SMTP،FTP،HTTP

نکته دیگری که باید دررابطه‌با حفره امنیتی HeartBleed بدانید این است که این حفره امنیتی می‌تواند با ردیابی اطلاعات فردی که از طریق سرویس https به سایت آسیب‌پذیر متصل شده، تمامی مشخصات و اطلاعات مبادله شده مانند نام کاربری و رمز عبور را کشف و به سرقت ببرد.

این را هم باید بدانید که به دلیل حمله قراردادن پروتکل TSL از طریق این حفره، امنیت سرویس‌هایی مانند SMTP، FTP و HTTP را به خطر میندازد. لازم به ذکر است که این باگ امنیتی برای اولین‌بار توسط تیم امنیتی گوگل به OpenSSL گزارش داده شده است.

اما بسیاری از کارشناسان این احتمال را می‌دهند که قبل از عمومی شدن این باگ، احتمال سو استفاده از آن بسیار بالا بوده است. در صورتی که از سیستم‌عامل‌های لینوکسی استفاده می‌کنید باید این نکته را بدانید که توزیع‌های مختلف این سیستم‌عامل مانند Ubuntu، Debian و CentOS به‌سرعت پچ امنیتی خود را برای رفع این باگ در دسترس کاربران قرار دادند.

کاربران با به‌روزرسانی این پچ تا حدود زیادی امنیت را به سیستم‌عامل لینوکسی خود باز گرداندند. در صورتی که در سایت‌های زیر عضو هستید، بهتر است هر چه زودتر رمز عبور خود را در آن‌ها تغییر دهید تا از بروز مشکلات احتمالی جلوگیر کرده باشید:

• یاهو – com
• گوگل – com
• فیس‌بوک – com
• توییتر – Twiter
• جی‌میل – com
• استک اور فلو – com
• ویرچوال باکس – org
• دراپ‌باکس – com

معرفی سرویس SMTP،FTP،HTTP

اطمینان از رفع مشکل از سوی وب‌سایت مدنظر

قبل از تغییر رمز در وب‌سایت‌های ذکر شده بهتر است این را چک کنید که آیا مشکل از سمت آن‌ها برطرف شده است یا خیر. ورژن‌هایی از سرور OpenSSL که آسیب‌پذیری آن‌ها در برابر حفره امنیتی HeartBleed بررسی شده‌اند عبارت‌اند از:

• OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
• OpenSSL 1.0.1g is NOT vulnerable
• OpenSSL 1.0.0 branch is NOT vulnerable
• OpenSSL 0.9.8 branch is NOT vulnerabl

توزیع‌های آسیب‌پذیر لینوکس

• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

کدام سایت‌ها در برابر این حفره امنیتی آسیب‌پذیر هستند؟

اگر می‌خواهید ببینید که کدام وب‌سایت در برابر حفره امنیتی HeartBleed آسیب‌پذیر است، می‌توانید با ورود به لینک زیر این موضوع را بررسی کنید. این ابزار می‌تواند برای وب‌سایت شما نیز کاربردی باشد.

https://filippo.io/Heartbleed

مقابله با باگ امنیتی HeartBleed

در صورتی که می‌خواهید سرور خود را در مقابل حفره امنیتی HeartBleed مقاوم کرده و آن را برای مقابله با این باگ آماده کنید، می‌توانید با استفاده از دستورالعمل‌های زیر این امر را ممکن کنید:

• بروزکردن سیستم‌عامل:

در اولین مرحله باید با استفاده از دستور زیر سیستم‌عامل CentOS خود را به‌روز کنید.

yum update

برای سیستم‌عامل  Ubuntu نیز می‌توانید از دستورات زیر بهره ببرید:

apt-get update

apt-get upgrade

پس از این که سیستم‌عامل‌های لینوکسی خود را بروز کردید، بهتر است که یک‌بار سیستم را ری بوت کنید. همچنین تغییر کلمه عبور و صدور مجدد گواهینامه SSL نیز می‌تواند امنیت سیستم را بیشتر کند. با انجام این موارد سیستم‌عامل شخصی یا سرور شما در مقابل حفره امنیتی HeartBleed مقاوم خواهد شد. با دستورات بالا تمامی نرم‌افزارهای شما به‌روز می‌شوند. اگر می‌خواهید تنها OpenSSL را به‌روز کنیم، می‌توانید از دستورات زیر برای هر کدام از توزیع‌های لینوکس بهره ببرید.

CentOS :

# yum clean all

# yum update openssl

Ubuntu & Debian :

# sudo apt-get update

# sudo apt-get install -y libssl1.0.0 openssl

# openssl version -a

# sudo lsof -n | grep ssl | grep DEL

سخن پایانی

یکی از مشکلاتی که باید برای افزایش امنیت سرور یا هاست خود به دنبال رفع‌کردن آن باشید، پیداکردن باگ یا حفره امنیتی است. یکی از خطرناک‌ترین حفره‌های امنیتی که در حدود سال 1393 توسط مهندسین گوگل و برخی از مهندسان امنیتی گزارش شد، حفره امنیتی HeartBleed است.

این حفره در سرویس OpenSSL وجود داشته و می‌توانست امنیت اطلاعات و داده‌های رمزنگاری شده بسیاری از کاربران را به خطر بیندازد. در این مقاله به طور کامل این حفره را برای شما بررسی کردیم و راه حلی را برای مقابله با آن توضیح دادیم.