آسیب پذیری Heartbleed، تهدید امنیت شما در هزاران وب‌سایت

[separator type=’transparent’ color=” thickness=” up=’20’ down=’20’]

چگونه از آسیب‌پذیری خطرناک Heartbleed نجات یابیم؟

آسیب پذیری Heartbleed، تهدید امنیت شما در هزاران وب‌سایت

[separator type=’transparent’ color=” thickness=” up=’20’ down=’20’]

زمانی که رسانه‌ها به‌طور گروهی اخبار یک آسیب‌پذیری را پوشش می‌دهند بی‌تردید با مورد خطرناکی سروکار داریم. شناسایی یک آسیب‌پذیری خطرناک در OpenSSL (یکی بزرگ‌ترین از کتابخانه‌های توابع رمزنگاری در اینترنت) به یکی از خبرهای داغ دنیای امنیت اطلاعات تبدیل شده است. اما به‌طور دقیق‌تر نگاهی به این آسیب‌پذیری بیندازیم.

[separator type=’transparent’ color=” thickness=” up=’10’ down=’10’]

به گزارش روابط عمومی گروه آتنا، زمانی که کامپیوتر شما با یک وب‌سایت ارتباط رمزنگاری شده برقرار می‌کند، چه گوگل باشد و چه فیسبوک یا یک درگاه پرداخت الکترونیکی، اطلاعات با استفاده از پروتکل SSL/TLS رمزنگاری می‌شود. بسیاری از سرورهای محبوب اینترنتی برای رمزنگاری اطلاعات از کتابخانه توابع رمزنگاری منبع باز OpenSSL بهره می‌برند. اما چندی پیش مسئولان OpenSSL وصله‌ای را برای رفع یک آسیب‌پذیری جدی در TLS منتشر کردند و نام آن را Heartbeat گذاشتند؛ این آسیب‌پذیری ممکن بود تا سقف ۶۴ کیلوبایت از حافظه سرور را در دسترس مهاجمان قرار دهد.

[separator type=’transparent’ color=” thickness=” up=’10’ down=’10’]

به عبارت دیگر این آسیب‌پذیری به هر کاربر اینترنتی امکان می‌دهد تا به حافظه سرور سیستم‌هایی که به یک نسخه آسیب‌پذیر از OpenSSL مجهز هستند دسترسی پیدا کند. در بدترین حالت، این قسمت کوچک و ناچیز از حافظه ممکن است حاوی اطلاعات حساسی نظیر شناسه کاربری، رمزعبور یا حتی رمز محرمانه‌ای باشد که سرور مورد نظر برای رمزنگاری اتصال شما از آن استفاده می‌کند. جالب‌تر آنکه Heartbleed هیچ ردی از خود به‌جا نمی‌گذارد. بنابراین هرگز با اطمینان نمی‌توان قضاوت کرد که یک سرور هک شده یا نه و یا چه اطلاعاتی از آن به‌سرقت رفته است.

[separator type=’transparent’ color=” thickness=” up=’10’ down=’10’]

خوشبختانه OpenSSL این آسیب‌پذیری را ترمیم کرد، اما خبر بد آنکه وب‌سایت‌ها و سرویس‌های قربانی این آسیب‌پذیری ممکن است همچنان ترمیم نشده و راه نفوذ هکرها به حافظه سرور آنها کماکان هموار باشد. نگران‌کننده‌تر آنکه سواستفاده از این آسیب‌پذیری بسیار ساده بوده و احتمال می‌رود که این آسیب‌پذیری از حدود دو سال قبل وجود داشته و ناشناخته مانده بوده است. در این صورت ممکن است گواهی امنیت تعداد زیادی از وب‌سایت‌های پرمخاطب و اطلاعات حساس کاربران از جمله رمزعبور آنها به‌سرقت رفته باشد.

[separator type=’transparent’ color=” thickness=” up=’10’ down=’10’]

راه حل کاربران
[separator type=’transparent’ color=” thickness=” up=’20’ down=’20’] برای آنکه مطمئن شوید وب‌سایت‌ها و سرویس‌های اینترنتی محبوب شما در معرض این آسیب‌پذیری بوده یا نه می‌توانید از ابزارهای آنلاین گوناگونی استفاده کنید. از این گذشته باید مطمئن شوید که Heartbleed پیش‌تر نیز وجود داشته یا نه. PayPal و گوگل از این آسیب‌پذیری در امان بوده‌اند اما یاهو، فیسبوک، Flickr، Duckduckgo، LastPass و بسیاری دیگر از سرویس‌های تحت وب در معرض این آسیب‌پذیری قرار داشته‌اند. با مراجعه به فهرست وب‌سایت‌ها می‌توانید از آسیب‌پذیری یا امنیت بسیاری از وب‌سایت‌های پرمخاطب باخبر شوید.
[separator type=’transparent’ color=” thickness=” up=’10’ down=’10’] علاوه بر این می‌توانید آسیب‌پذیری هر وب‌سایتی را با استفاده از این ابزار ساده بسنجید.
[separator type=’transparent’ color=” thickness=” up=’10’ down=’10’] اما توصیه می‌شود به‌جای مطالعه فهرست بلندبالای وب‌سایت‌های سالم و آلوده، به‌سادگی گذرواژه‌های خود را در وب‌سایت‌های زیر تغییر دهید و در صورت امکان برای هرکدام یک رمزعبور منحصربه‌فرد برگزینید:
فیسبوک، اینستاگرم، یاهو، دراپ‌باکس، Pinterest، Tumblr، AWS، Box، Github، IFFT، Minecraft، SoundCloud و Wunderlist.
[separator type=’transparent’ color=” thickness=” up=’10’ down=’10’] صاحبان یک وب‌سایت پس از ترمیم آسیب‌پذیری می‌بایست گواهی امنیت جدید وب‌سایت خود را نیز منتشر کنند. بنابراین گواهی امنیت سرورها را چک کنید و مطمئن شوید که از گواهی‌های منتشر شده از ۸ آوریل یا پس از آن استفاده می‌کنید. با انجام این کار از دسترسی مرورگر به گواهی‌‌های امنیت قدیمی و آسیب‌پذیر جلوگیری می‌شود. برای چک کردن تاریخ انتشار گواهی امنیت، روی قفل سبزرنگ در نوار آدرس کلیک کنید و در بخش Connection گزینه Information را انتخاب کنید.
[separator type=’transparent’ color=” thickness=” up=’10’ down=’10’] اما مهم‌ترین گام پس از ترمیم و به‌روزرسانی گواهی امنیت سرورها تغییر گذرواژه‌ها در کوتاه‌ترین زمان ممکن است. با استفاده از فرصت به‌دست آمده، مجموعه‌ای از گذرواژه‌های ساده و مطمئن را برای حساب‌های کاربری خود برگزینید که یادآوری‌شان نیز آسان باشد. با استفاده از ابزار سنجش رمزعبور کسپرسکی می‌توانید به سطح امنیت گذرواژه‌های خود پی ببرید.
[separator type=’transparent’ color=” thickness=” up=’10’ down=’10’] منبع :  http://blog.kaspersky.com/heartbleed-howto/