باگ خطرناک OpenSSL موسوم به "خونریزی قلبی" بسیاری از سرورها را با خطر امنیتی مواجه کرد

بعدازظهر دوشنبه دنیای آی‌تی با یک زنگ هشدار بسیار جدی روبرو شد که بر اساس آن گروه مشاوره امنیتی پروژه‌ی OpenSSL از بروز یک باگ باز به نام "خونریزی قلبی" خبر داد. با استفاده از این باگ، هرشخصی قادر بود به سادگی قسمتی از فعالیت‌های حافظه‌ی موقت بسیاری از سرورها را که از نسخه‌ی فعلی این برنامه استفاده می‌کردند بدون هیچ مانعی بیرون کشیده و مورد سوءاستفاده قرار دهد. بدلیل ماهیت آزاد و متن‌باز پروژه، سریعاً منبع باگ کشف و وصله‌ی امنیتی مورد نیاز منتشر شده و در مخازن سیستم‌عامل‌های مورد استفاده‌ی سرورها قرار گرفت؛ اما تا زمانی که بروزرسانی مربوطه توسط مدیران سرورها انجام نشده، میلیون‌ها سرور در معرض خطر قرار گرفتند. تقریباً هرکسی که اختیار یک سرور را برعهده داشت در این زمان شاهد وضعیت بحرانی بود. 

 در صورتی که اسم خونریزی قلبی برای این باگ تا حدودی غیرمتعارف به نظر می‌رسد نباید تعجب کرد؛ چراکه این باگ هم از نظر درجه‌ی مقیاس سیستم‌های تحت تأثیر قرار گرفته و هم از نظر عمق نفوذ  بسیار بدتر از باگ GoToFail است که اپل را در اوایل سال با مشکل مواجه کرده بود. باگ جدید به حمله‌کنندگان اجازه می‌دهد که کلید خصوصی ورود به سرور را بدست آورده و بتوانند انتقال داده‌ها را شنود کرده و خود را از معرض کشف توسط سیستم امنیتی در امان نگاه دارند. مسأله زمانی حاد می‌شود که بدانیم این باگ جدید نبوده و حدود دو سال از عمر آن می‌گذرد؛ مشخص نیست آیا شخص دیگری نیز از وجود آن اطلاع داشته و در حملات دیگری بصورت ناشناس از آن استفاده شده است یا خیر...

پروژه‌ی OpenSSL خارج از دنیای مدیریت سیستم و کدنویسی چندان شناخته شده نیست؛ اما جالب است بدانید که از هر سه سرور موجود، دو مورد بر استفاده از این پکیج متکی هستند. کشف ناگهانی این باگ بدان معنی است که هم‌اکنون تمامی کسانی که تحت تأثیر قرار گرفته‌اند در تکاپوی اجرای وصله‌ی ارائه شده و رفع ریسک امنیتی آن هستند. در حال حاضر یاهو یکی از سرویس‌های متأثر شده است و کارشناسان توصیه کرده‌اند تا زمانی که این کمپانی فرصت بروزرسانی سرورهای خود را نیافته، کاربران از استفاده از اکانت‌های خود خودداری کنند. یکی از نمایندگان یاهو در این خصوص اعلام نموده که بخش‌های اساسی سرویس‌های یاهو در حال حاضر وصله شده‌اند و تیم مسئول همچنان در تلاش است تا قسمت‌های باقی‌مانده را نیز ایمن نمایند. بر اساس گزارشات حاصله، بسیاری کمپانی‌های کوچک نیز تحت تأثیر این باگ قرار گرفته‌اند که imgur، فلیکر و LastPass از آن جمله‌اند؛ البته لست‌پس اعلام نموده که هیچ‌ داده‌ی رمزنگاری نشده‌ای در معرض خطر قرار نگرفته است. نیکولاس ویور محقق امنیتی ICSI این باگ را به شکل مصیبت‌باری بد و باعث صدمات گسترده می‌داند.

باگ خونریزی قلبی که توسط یکی از محققان گوگل به نام نیل میتا کشف شد، به شخص نفوذگر اجازه می‌دهد 64 کیب از داده‌های تصادفی در حال اجرا در حافظه‌ی موقت سرور را بیرون کشیده و شنود کند. این هک از این نظر که شخص نفوذگر اطلاعی از کاربردی‌بودن داده‌ها نداشته و کنترلی بر روی نوع داده‌های دریافتی ندارد به فیشینگ شبیه است؛ اما از آنجا که بصورت مکرر و پشت سر هم قابل تکرار است، پتانسیل بالایی برای درز داده‌های حساس در این میان وجود خواهد داشت. یکی از هدف‌های مشخص، کلیدهای رمزنگاری خصوصی سرور بوده که دلیل آن لزوم نگهداری آن در حافظه‌ی فعال و قابل شناسایی‌بودن آن در میان داده‌های تصادفی است. این کلیدها پس از افشا، امکان شنود ترافیک رد و بدل شده‌ی سرور را برای شخص نفوذگر فراهم کرده و بصورت بالقوه ممکن است باعث رمزگشایی هرگونه داده‌ی از پیش رمزگذاری شده نیز باشد.

در مواردی که ابزارهای امنیتی حساس نظیر ابزارهای ناشناس‌ماندن در اینترنت تحت تأثیر این باگ قرار گرفته‌اند، این مسأله حساس‌تر به نظر می‌رسد؛ به گونه‌ای که پروژه‌ی Tor طی یک پست در وبلاگ خود چنین نوشته است که "در صورتی که شما از جمله اشخاصی هستید که نیاز به ناشناس‌ماندن قطعی یا حریم شخصی حساسی در شبکه‌ی اینترنت دارید، توصیه می‌شود که برای چند روز آینده به کلی از اینترنت فاصله گرفته و منتظر آرام‌شدن اوضاع باشید".  با این وجود در برخی موارد چند روز هم زمان کافی به نظر نخواهد رسید؛ چرا که در صورت فاش‌شدن کلید رمزنگاری اختصاصی سرور پیش از بروزرسانی سیستم و نصب وصله‌ی امنیتی و بی‌توجهی مدیر سیستم نسبت به تغییر آن، همچنان اجازه ورود برای شخص نفوذگر در دفعات بعدی طی ماه‌های آینده حفظ خواهد شد. سرورها می‌توانند برای مقابله با این رخداد گواهی‌های امنیتی خود را بازنشانی نمایند؛ اما پروسه‌ی مذکور هزینه‌بر و آهسته خواهد بود و کارشناسان نیز تخمین می‌زنند که در بسیاری موارد، اشخاص به نصب وصله‌ی امنیتی اکتفا خواهند کرد. ویور در این خصوص می‌گوید: "من معتقدم که طی مدت یک سال آینده همچنان بسیاری از سرورها در معرض آسیب‌پذیری باقی خواهند ماند؛ این مسأله به سادگی و به کلی محو نخواهد شد".

به نظر می‌رسد اپل، گوگل، مایکروسافت و سیستم‌های عمده‌ی بانکداری الکترونیکی تحت تأثیر این آسیب پذیری امنیتی قرار نگرفته‌اند (البته گفته می‌شود گوگل در ابتدا با این مشکل مواجه شده؛ اما سریع‌تر از سایر سرویس‌ها نسبت به رفع آن اقدام نموده است). از سوی دیگر، یاهو پیش از رفع باگ بخش‌های اصلی سرویس خود، برای قسمتی از روز تحت تأثیر و در حال نشت اعتبارات کاربران بوده است. بصورت کلی، هر سروری که از OpenSSL بر بستر وب‌سرور آپاچی یا Nginx استفاده می‌کرده، تحت تأثیر باگ مذکور قرار گرفته که در مجموع بخش اعظم کلیه‌ی سرورها و وب‌سایت‌ها و سرویس‌های اینترنتی را تشکیل می‌دهد.

در حال حاضر راه‌هایی برای شناسایی سرویس‌های ایمن شده در مقابل این حمله وجود دارد؛ اما اخبار بدست آمده باعث می‌شود چندان آسوده خاطر نباشیم. این وب‌سایت که توسط یک توسعه‌دهنده به نام فیلیپو والسوردا  ساخته شده می‌تواند در شناسایی سایت‌هایی که وصله‌ی امنیتی را نصب نکرده‌اند کمک کند؛ اما کدهای این پروژه نیز ممکن است در برخی موارد جواب منفی کاذب ارائه نماید که باعث می‌شود نتوان بصورت قطعی به آن اطمینان نمود. هر سرور که نسبت به نصب وصله‌ی امنیتی اقدام می‌کند، لازم است برای اطمینان بیشتر گواهی امنیتی SSL خود را نیز تجدید نماید تا از استفاده‌ از کلیدهای فاش شده‌ی احتمالی در طول مدت آسیب‌پذیری جلوگیری شود. برای بررسی این مورد، از یک ردیاب SSL نظیر این سرویس استفاده نموده و با جستجوی سرویس مد نظر خود، تاریخ صدور گواهی آن را مورد بررسی قرار دهید؛ در صورتی که تاریخ صدور پس از ارائه‌ی وصله‌ی امنیتی باشد می‌توانید بصورت کامل به سرویس مورد نظر خود اطمینان کنید. بازنشانی گواهی امنیتی SSL زمان‌بر و هزینه‌بر خواهد بود؛ اما ادامه‌ی استفاده از یک گواهی فاش شده خطرات جدی را متوجه سرورها خواهد نمود.

این نقص تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه می‌دهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد.

این مشکل در پیاده سازی پروتکل TLS کشف شده و موجب می شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده می‌کنند، آسیب پذیر باشند.

همه ارتباط‌ات از طریق https که بیشتر سرویس‌های برخط ایمیل و چت از آن استفاده می‌کنند، smtp و imap  که برای تبادل ایمیل استفاده می‌شود و اتصال‌های امن VPN و SSH در معرض خطر هستند. این خطر ارتباط امن بانک‌های اینترنتی را نیز تهدید می‌کند.

این مشکل خطرناک در حقیقت اجازه می‌دهد که هر کاربری در ارتباط دو سویه‌ امن با TLS بتواند در هر اتصال، 64 کیلوبایت از حافظه‌ رایانه سوی دیگر ارتباط را بخواند به طوری که با تکرار این کار می‌توان مقدار بیشتری از حافظه را استخراج کرد.

برای مثال در ایران در این سایت‌ها این آسیب پذیری دیده شده است:

yahoo.com

alexa.com

stackoverflow.com و همه سایت‌های مرتبط با آن

صفحه اصلی بانک سامان (sb24.com)

شاپرک (shaparak.ir) شبکه الکترونیکی پرداخت کارت شاپرک

سرویس ایمیل ملی شرکت پست mail.post.ir

مرکز ملی ثبت دامنه .ir در nic.ir

مرکز آپای شریف (cert.sharif.edu)

باشگاه خبرنگران صداوسیما yjc.ir

ایمیل دانشگاه تهران utservm.ut.ac.ir

ایمیل دانشگاه امیرکبیر webmail.aut.ac.ir

همراه اول (mci.ir)

خبرگزاری ictna.ir

خبرگزاری jahannews.com

سایت barnamenevis.org

سامانه دفاتر پیشخوان دولت dpd.ir

معاونت آموزشی وزارت علوم emsrt.ir (و wiki.emsrt.ir)

راهنمای جامع صنعت فناوری اطلاعات ictkey.ir

شبکه مجازی ایرانیان (hammihan.com)

بیمه معلم (bimegar.ir)

پایگاه خبری صراط (seratnews.ir)

میهمن میل (mihanmail.ir)

ایمیل ملی ایرانی وطن میل (vatanmail.ir)

میل سرا mailsara.ir

بانک رفاه refah-bank.ir

اینترنت بانک بانک رفاه (rb24.ir)

ایمیل همراه اول mail.mci.ir

فروشگاه اینترنتی سروش مدیا (soroush.tv)

کافه بازار (cafebazaar.ir)

سیبچه sibche.ir

فروشگاه اینترنتی فینال (final.ir)

سایت قطره (ghatreh.com)

شبکه اجتماعی هم‌میهن (hammihan.com)

زومیت (zoomit.ir)

شرکت آسیاتک (asiatech.ir)

صراط نیوز (seratnews.ir)

ممتاز نیوز (momtaznews.com)

بازی عصر پادشاهان (kingsera.ir)

درگاه خرید اینترنتی بلیط اتوبوس (payaneh.ir)

تلوبیون (telewebion.com)

تهران کالا (tehrankala.com)

سایت عقیق (aghigh.ir)

روزنامه کیهان (kayhan.ir)

سایت مسابقه امنیت سایبری اسیس (ctf.asis.io)

منبع: zoomit.ir, fararu