بعدازظهر دوشنبه دنیای آیتی با یک زنگ هشدار بسیار جدی روبرو شد که
بر اساس آن گروه مشاوره امنیتی پروژهی OpenSSL از بروز یک باگ باز به نام
"خونریزی قلبی" خبر داد. با استفاده از این باگ، هرشخصی قادر بود به سادگی
قسمتی از فعالیتهای حافظهی موقت بسیاری از سرورها را که از نسخهی فعلی
این برنامه استفاده میکردند بدون هیچ مانعی بیرون کشیده و مورد سوءاستفاده
قرار دهد. بدلیل ماهیت آزاد و متنباز پروژه، سریعاً منبع باگ کشف و
وصلهی امنیتی مورد نیاز منتشر شده و در مخازن سیستمعاملهای مورد
استفادهی سرورها قرار گرفت؛ اما تا زمانی که بروزرسانی مربوطه توسط مدیران
سرورها انجام نشده، میلیونها سرور در معرض خطر قرار گرفتند. تقریباً
هرکسی که اختیار یک سرور را برعهده داشت در این زمان شاهد وضعیت بحرانی
بود.
به گزارش سافت گذر به نقل از زومیت، در صورتی که اسم خونریزی قلبی برای این باگ تا حدودی غیرمتعارف به نظر
میرسد نباید تعجب کرد؛ چراکه این باگ هم از نظر درجهی مقیاس سیستمهای
تحت تأثیر قرار گرفته و هم از نظر عمق نفوذ بسیار بدتر از باگ GoToFail
است که اپل را در اوایل سال با مشکل مواجه کرده بود. باگ جدید به
حملهکنندگان اجازه میدهد که کلید خصوصی ورود به سرور را بدست آورده و
بتوانند انتقال دادهها را شنود کرده و خود را از معرض کشف توسط سیستم
امنیتی در امان نگاه دارند. مسأله زمانی حاد میشود که بدانیم این باگ جدید
نبوده و حدود دو سال از عمر آن میگذرد؛ مشخص نیست آیا شخص دیگری نیز از
وجود آن اطلاع داشته و در حملات دیگری بصورت ناشناس از آن استفاده شده است
یا خیر...
پروژهی OpenSSL خارج از دنیای مدیریت سیستم و کدنویسی چندان شناخته شده
نیست؛ اما جالب است بدانید که از هر سه سرور موجود، دو مورد بر استفاده از
این پکیج متکی هستند. کشف ناگهانی این باگ بدان معنی است که هماکنون
تمامی کسانی که تحت تأثیر قرار گرفتهاند در تکاپوی اجرای وصلهی ارائه شده
و رفع ریسک امنیتی آن هستند. در حال حاضر یاهو یکی از سرویسهای متأثر شده
است و کارشناسان توصیه کردهاند تا زمانی که این کمپانی فرصت بروزرسانی
سرورهای خود را نیافته، کاربران از استفاده از اکانتهای خود خودداری کنند.
یکی از نمایندگان یاهو در این خصوص اعلام نموده که بخشهای اساسی
سرویسهای یاهو در حال حاضر وصله شدهاند و تیم مسئول همچنان در تلاش است
تا قسمتهای باقیمانده را نیز ایمن نمایند. بر اساس گزارشات حاصله، بسیاری
کمپانیهای کوچک نیز تحت تأثیر این باگ قرار گرفتهاند که imgur، فلیکر و
LastPass از آن جملهاند؛ البته لستپس اعلام نموده که هیچ دادهی
رمزنگاری نشدهای در معرض خطر قرار نگرفته است. نیکولاس ویور محقق امنیتی
ICSI این باگ را به شکل مصیبتباری بد و باعث صدمات گسترده میداند.
باگ خونریزی قلبی که توسط یکی از محققان گوگل به نام نیل میتا کشف شد،
به شخص نفوذگر اجازه میدهد 64 کیب از دادههای تصادفی در حال اجرا در
حافظهی موقت سرور را بیرون کشیده و شنود کند. این هک از این نظر که شخص
نفوذگر اطلاعی از کاربردیبودن دادهها نداشته و کنترلی بر روی نوع
دادههای دریافتی ندارد به فیشینگ شبیه است؛ اما از آنجا که بصورت مکرر و
پشت سر هم قابل تکرار است، پتانسیل بالایی برای درز دادههای حساس در این
میان وجود خواهد داشت. یکی از هدفهای مشخص، کلیدهای رمزنگاری خصوصی سرور
بوده که دلیل آن لزوم نگهداری آن در حافظهی فعال و قابل شناساییبودن آن
در میان دادههای تصادفی است. این کلیدها پس از افشا، امکان شنود ترافیک رد
و بدل شدهی سرور را برای شخص نفوذگر فراهم کرده و بصورت بالقوه ممکن است
باعث رمزگشایی هرگونه دادهی از پیش رمزگذاری شده نیز باشد.
در مواردی که ابزارهای امنیتی حساس نظیر ابزارهای ناشناسماندن در
اینترنت تحت تأثیر این باگ قرار گرفتهاند، این مسأله حساستر به نظر
میرسد؛ به گونهای که پروژهی Tor طی یک پست در وبلاگ خود چنین نوشته است
که "در صورتی که شما از جمله اشخاصی هستید که نیاز به ناشناسماندن قطعی یا
حریم شخصی حساسی در شبکهی اینترنت دارید، توصیه میشود که برای چند روز
آینده به کلی از اینترنت فاصله گرفته و منتظر آرامشدن اوضاع باشید". با
این وجود در برخی موارد چند روز هم زمان کافی به نظر نخواهد رسید؛ چرا که
در صورت فاششدن کلید رمزنگاری اختصاصی سرور پیش از بروزرسانی سیستم و نصب
وصلهی امنیتی و بیتوجهی مدیر سیستم نسبت به تغییر آن، همچنان اجازه ورود
برای شخص نفوذگر در دفعات بعدی طی ماههای آینده حفظ خواهد شد. سرورها
میتوانند برای مقابله با این رخداد گواهیهای امنیتی خود را بازنشانی
نمایند؛ اما پروسهی مذکور هزینهبر و آهسته خواهد بود و کارشناسان نیز
تخمین میزنند که در بسیاری موارد، اشخاص به نصب وصلهی امنیتی اکتفا
خواهند کرد. ویور در این خصوص میگوید: "من معتقدم که طی مدت یک سال آینده
همچنان بسیاری از سرورها در معرض آسیبپذیری باقی خواهند ماند؛ این مسأله
به سادگی و به کلی محو نخواهد شد".
به نظر میرسد اپل، گوگل، مایکروسافت و سیستمهای عمدهی بانکداری
الکترونیکی تحت تأثیر این آسیب پذیری امنیتی قرار نگرفتهاند (البته گفته
میشود گوگل در ابتدا با این مشکل مواجه شده؛ اما سریعتر از سایر سرویسها
نسبت به رفع آن اقدام نموده است). از سوی دیگر، یاهو پیش از رفع باگ
بخشهای اصلی سرویس خود، برای قسمتی از روز تحت تأثیر و در حال نشت
اعتبارات کاربران بوده است. بصورت کلی، هر سروری که از OpenSSL بر بستر
وبسرور آپاچی یا Nginx استفاده میکرده، تحت تأثیر باگ مذکور قرار گرفته
که در مجموع بخش اعظم کلیهی سرورها و وبسایتها و سرویسهای اینترنتی را
تشکیل میدهد.
در حال حاضر راههایی برای شناسایی سرویسهای ایمن شده در مقابل این
حمله وجود دارد؛ اما اخبار بدست آمده باعث میشود چندان آسوده خاطر نباشیم.
این وبسایت که
توسط یک توسعهدهنده به نام فیلیپو والسوردا ساخته شده میتواند در
شناسایی سایتهایی که وصلهی امنیتی را نصب نکردهاند کمک کند؛ اما کدهای
این پروژه نیز ممکن است در برخی موارد جواب منفی کاذب ارائه نماید که باعث
میشود نتوان بصورت قطعی به آن اطمینان نمود. هر سرور که نسبت به نصب
وصلهی امنیتی اقدام میکند، لازم است برای اطمینان بیشتر گواهی امنیتی SSL
خود را نیز تجدید نماید تا از استفاده از کلیدهای فاش شدهی احتمالی در
طول مدت آسیبپذیری جلوگیری شود. برای بررسی این مورد، از یک ردیاب SSL نظیر این سرویس
استفاده نموده و با جستجوی سرویس مد نظر خود، تاریخ صدور گواهی آن را مورد
بررسی قرار دهید؛ در صورتی که تاریخ صدور پس از ارائهی وصلهی امنیتی
باشد میتوانید بصورت کامل به سرویس مورد نظر خود اطمینان کنید. بازنشانی
گواهی امنیتی SSL زمانبر و هزینهبر خواهد بود؛ اما ادامهی استفاده از یک
گواهی فاش شده خطرات جدی را متوجه سرورها خواهد نمود.
در حال حاضر برای قضاوت در خصوص پیامدهای کلی این رخداد اندکی زود است؛
اما برخی از درسهای آموختنی هماکنون نیز بخوبی واضح هستند. با وجود نقش
اساسی OpenSSL در شالودهی امنیتی شبکههای اینترنتی، این پروژهی آزاد و
متنباز با کمبود بودجهی اساسی روبرو است. برخی کارشناسان هماکنون توصیه
کردهاند که کاربران عادی و نیز سازمانهایی که مدیون سیستم OpenSSL هستند
باید دونیتها و پشتیبانیهای مالی بیشتری را از این پروژه بعمل آورند تا
از بوجود آمدن نفوذپذیریهایی مشابه خونریزی قلبی جلوگیری شود. در این خصوص
Perfect Forward Secrecy نیز میتوانسته با جلوگیری از عمل رمزگشایی در
محدودسازی اثرات این باگ موثر باشد.
و اما چالشبرانگیزترین درسی که میتوان از این مسأله آموخت این است که
برخی نفوذپذیریها تا چه میزان امکان کشف دشواری دارند و زمانی که فاش شدند
تا چه میزان میتوانند آسیبرسان باشند. ویور باگهای اینچنینی را بسیار
ظریف توصیف میکند و در ادامه میگوید : "ممکن است با اجرا نمودن سرویس تحت
نظر یک چککنندهی مموری، قادر به کشف آن باشید؛ اما اینگونه مسائل چیزی
نیستند که از طریق مشاهده و بررسی کد، قابل یافتن باشند". با وجود امنیت
بهتر سیستمهای آزاد و متنباز بر اساس ماهیت مطالعه کد و کشف سریع باگها،
باید در نظر داشت که امنیت مطلق وجود خارجی نداشته و همیشه مسیر زیادی
برای ایمنسازی سیستمها در پیش است. این کشف باگ به نحوی اعتباری مثبت
برای گوگل و کارشناس یابندهی باگ خواهد بود که در راه کشف این آسیبپذیری
تا این حد دقیق و حساس بوده است.