با سلام به تمام کاربران عزیز لطفا این مطلب رو تا انتها بخونید بسیار مهم هستش.

در تاریخ (۱۹ فروردین ۱۳۹۳ و ۸ آوریل ۲۰۱۴) یک آسیب پذیری بسیار مهم در OpenSSL کشف و راه حل اجتناب از آن نیز ارائه شده است.این مشکل که به خونریزی قلبی شهرت یافته است، تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه می‌دهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد.
این مشکل در پیاده سازی پروتکل TLS کشف شده است، و باعث می‌شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده می‌کنند، آسیب پذیر باشند. همه‌ی ارتباط‌ها از طریق https (که بیشتر سرویس‌های برخط ایمیل، و چت از آن استفاده می‌کنند) smtp و imap (که برای تبادل ایمیل استفاده می‌شود) و اتصال‌های امن VPN و SSH همه در معرض خطر هستند. این خطر ارتباط امن بانک‌های اینترنتی را نیز تهدید می‌کند.

این مشکل خطرناک در حقیقت اجازه می‌دهد که هر کاربری در ارتباط دو سویه‌ی امن (با TLS) بتواند (در هر اتصال) 64KB از حافظه‌ی رایانه سوی دیگر ارتباط را بخواند (با تکرار این عمل می‌توان مقدار بیشتر از حافظه را استخراج کرد). این مقدار از حافظه‌ی RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد. ضمنا این مشکل تنها به سایت‌های https محدود نمی‌شود، بلکه هر سروری که به عنوان کاربر به https دیگر سایت‌ها نیز متصل می‌شود، آسیب پذیر است.

بر اساس گزارش NetCraft در سال ۲۰۱۴ بیش از ۶۶٪ سایت‌ها از سرورهایی استفاده می‌کنند که بالقوه این آسیب پذیری را دارند. گستره و اهمیت این آسیب پذیری به حدی است یک سایت مستقل (heartbleed.com) برای توضیح جوانب مختلف آن ایجاد شده است.

آیا رایانه من نیز آسیب پذیر است؟

فقط رایانه‌هایی که از Linux یا BSD استفاده می‌کنند و نسخه‌ی سیستم عامل آن‌ها جدیدتر از دو سال گذشته است، شامل این آسیب پذیری می‌شوند. البته متاسفانه بیشتر سرورهایی که در وب استفاده می‌شوند، در این گروه جای می‌گیرند ولی برای کاربران خانگی که ویندوز استفاده می‌کنند این آسیب پذیری وجود ندارد.

سرورهایی که Ubuntu 12.04 به بالا یا Debian Wheezy  یا CentOS 6.5 یا Fedora 18 یا FreeBSD 8.4/9.1 یا OpenBSD 5.3 یا OpenSUSE 12.2 دارند آسیب پذیر هستند. البته سرورهای قدیمی‌تر که از نسخه‌های Debian Squeeze یا SUSE Linux Enterprise این آسیب پذیری را ندارند.

آیا ضربه‌ای به اطلاعات شخصی من وارد خواهد شد؟

اگر فکر می‌کنید چون رایانه‌ی شما آسیب پذیر نیست، پس خطری شما را تهدید نمی‌کند، سخت در اشتباه هستید. هر گونه اطلاعاتی از شما که در وب وجود دارد (رمزهای عبور ایمیل، بانکی و …) در معرض خطر است و اگر سرویس‌دهنده‌های اینترنتی سرورهای خود را بروز نکنند، خطر داده‌های کاربران را تهدید خواهد کرد و تضمینی وجود ندارد که یک خرابکار از آن استفاده نکرده باشد.

این مشکل از کی و چگونه پیش آمده است؟

این مشکل اولین بار در سال ۲۰۱۱ ایجاد شده و با انتشار رسمی نسخه‌ی openssl 1.0.1 در ابتدای فروردین سال ۱۳۹۱ (۱۴ می ۲۰۱۲) عملا وارد دنیای وب شده است. از آن موقع تا کنون بیش از دو سال می‌گذرد و مشخص نیست که آیا در این زمان چه کس/کسانی از آن اطلاع داشته‌اند یا از آن سوء استفاده داشته‌اند.

این مشکل برای اولین بار در ساعت ۲۲ (به وقت تهران) در ۱۸ فروردین در سایت رسمی openssl منتشر شد، و تحت نام رسمی CVE-2014-0160 شناخته می‌شود. همچنین به صورت غیر رسمی، نام heart-bleed «خونریزی قلبی» به این آسیب پذیری داده شده است (همراه با لوگویی که در بالا مشاهده می‌شود). این نام گذاری به دلیل این بوده که مشکل در ماژول heartbeat (ضربان قلب) از openssl رخ داده است.

چگونه باید با این آسیب پذیری مقابله کرد؟

کاربران و مدیران سایت‌ها در صورتی که از سیستم‌عامل‌های ذکر شده استفاده می‌کنند، باید هر چه سریعتر آن را بروز کنند. با توجه به این که امکان سرقت هر گونه اطلاعات در این مدت وجود داشته است، معمولا به مدیران سطح بالا پیشنهاد می‌شود که رمزهای عبور خود را تغییر دهند و همچنین بهتر است certificate های لازم برای راه اندازی سایت‌های https و … دوباره ساخته شوند. این عمل گرچه احتمالا برای مدیران سایت‌ها سنگین خواهد بود، ولی برای تضمین امنیت کامل لازم است.

مثالی از امکان استفاده از این آسیب پذیری

در تصویر زیر که بر روی یک سرور واقعی داخل ایران تست شده است، داده‌های مربوط به یک کاربر ناشناس قابل نمایش است (با اینکه از ارتباط امن استفاده شده‌بوده است). (دو رقم آخر IP با xx جایگزین شده است)

منبع اصلی این مطلب سایت بیان می باشد. لطفا برای امنیت و مطمئن شدن از سلامت اکانت های خودتون سریع تر رمزهاتون رو تغییر بدید.

من در حال پیگیری این خبر هستم اطلاعات بیشتر رو سعی میکنم براتون تهیه کنم.

بروز رسانی 1 :

توصیه‌هایی به عموم کاربران اینترنت:

• اطلاعیه مربوط به معرفی تهدید امنیتی موسوم به خونریزی قلبی را به دقت مطالعه کنید.
• از استفاده و ورود به (Login کردن) در سایت‌های آسیب پذیر تا اطلاع ثانوی خودداری کنید.
• در صورتی که قبلاً در حساب کاربری خود در سایت‌های آسیب‌پذیر وارد شده‌اید، بهتر است از هرگونه دسترسی به این سایت‌ها خودداری کنید و حتی از حساب کاربری خود خارج نشوید (Logout نکنید).
• از وارد کردن اطلاعات حساس (مانند اطلاعات مالی و اطلاعات شخصی) در وب‌سایت‌های آسیب‌پذیر اکیداً خودداری کنید.
• مشاهده‌ی سایت‌های آسیب‌پذیری که در آنها عضو نیستید، هیچ آسیبی به شما نمی‌رساند.
• پس از رفع کامل مشکل سایت‌های آسیب‌پذیر، حتماً رمز عبور خود را در این سایت‌ها تغییر داده و یک‌بار از حساب کاربری خود خارج شوید.

ابزار تشخیص برخط این آسیب پذیری:

شرکت بیان سایتی را برای تشخیص این آسیب پذیری طراحی نموده است تا مدیران سایت‌ها بتوانند از وضعیت آسیب پذیری سایت خود مطلع شوند و در صورت وجود مشکل بتوانند فورا نسبت به رفع آن اقدام نمایند. کافی است آدرس سایت خود را در کادر مربوطه وارد کرده و آخرین تحلیل امنیتی سایت خود را مشاهده نمایید.

amn.bayan.ir

توصیه به مدیران وب سایت ها و سرور‌ها:

این آسیب رسانی نرم‌افزارهای استفاده کننده از نسخه‌های بخصوصی از کتابخانه OpenSSL (نسخه‌‌ی 1.0.1 تا 1.0.1g)  را که شامل موارد زیر است را تحت تاثیر قرار می‌دهد و امکان استخراج ناخواسته اطلاعات حساس را به حمله‌کننده می‌دهد:

• وب‌سرورها  و فایروال‌های نرم‌افزاری با قابلیت ارتباط امن HTTPS و TLS
• سرویس‌های انتقال داده و پیام رسانی استفاده کننده از HTTPS

توصیه می‌شود در این خصوص به اخبار امنیتی سیستم‌عامل و نرم‌افزارهای مورد استفاده خود مراجعه کنید و مطمئن شوید از به‌روزترین نسخه‌های نرم‌افزارها در سرور خود استفاده می‌کنید. برای اطلاعات بیشتر به اینجا مراجعه کنید.

توصیه به شرکت ها و سازمانها: 

کلیه شرکت ها، سازمان ها، وزارت خانه ها ادارات،  مراکز آموزشی و نهادهایی که در شبکه داخلی خود از Firewall یا UTM برای کنترل و مدیریت شبکه داخلی خود استفده می کنند لازم است هرچه سریعتر نرم افزار های به کار رفته در این تجهیزات را بررسی و در صورت لزوم به روز کنند.