نقص بزرگ امنیتی اس‌اس‌ال، دو سوم از سایت‌های اینترنتی را ناامن کرد

۹ آوريل 2014 - ۲۰فروردین

نقص بزرگ امنیتی اس‌اس‌ال، دو سوم از سایت‌های اینترنتی را ناامن کرد

در پی افشای نقص امنیتی بزرگ سیستم‌های کدگذاری اینترنت که یکی از بزرگ‌ترین و خطرناک‌ترین باگ‌های امنیتی تاریخ اینترنت محسوب می‌شود، اعلام شد که ۶۶ درصد از فضای مجازی می‌تواند به‌صورت بالقوه تحت نفوذ هکرها قرار گرفته باشد. هر ساعتی که می‌گذرد، بخشی از ابعاد این نقص مهم امنیتی روشن می‌شود.

مشکل در پروتکل امنیتی بسیار مهم SSL که هارت‌بلید یا خونریزی قلب نام گرفته است، به‌ویژه بر روی اوپنSSLها آسیب‌پذیری ایجاد کرده و می‌توان گفت که میلیون‌ها رمز عبور ممکن است اکنون در دستان هکرهایی باشند که از این گذرواژه‌ها تا کنون استفاده نکرده‌اند.

برای درک بهتر موضوع، بهتر است بدانیم که هر زمان به یک وب‌سایت وصل می‌شویم، اعتبارنامه ورود ما به سرور آن وب‌سایت ارسال می‌شود. اغلب این اعتبارنامه‌ها به صورت متن ساده نمی‌روند و از سیستمی به نام Secure Socket Layer یا همان اس‌اس‌ال می‌گذرند تا رمزگذاری شوند.

مانند بسیاری از پروتکل‌ها، سازندگان نرم‌افزارهای مختلف سیستم‌های گوناگون اجرایی را برای اس.اس.ال در نظر می‌گیرند که یکی از مطرح‌ترین آن‌ها همان OpenSSL است و تقریبا دو سوم وب‌سایت‌های کنونی از آن استفاده می‌کنند.

هارت‌بلید نقصی در اوپن‌ اس‌اس‌ال است که هکرها با استفاده از آن می‌توانند متن خام ای‌میل‌ها، چت‌ها، گذرواژه‌ها و حتی اسناد تجاری را در اختیار داشته باشند. این، یعنی هر آن‌چه یک کاربر نمی‌خواهد دیگران از آن سر در بیاورند.

ترسناک‌تر از این، دانستن مدت‌زمانی است که این نقص وجود داشته و متخصصان امنیت از آن بی‌خبر بوده‌اند. چه‌قدر؟ دو سال! از همین‌ رو احتمال داده می‌شود که هکرها تا کنون به چیزی بیش از آن‌چه ما فکر کنیم دسترسی پیدا کرده باشند.

با توضیحات بالا، به وضوح مشخص است که یکی از بدترین نقص‌های امنیتی تاریخ اینترنت، گریبان ما را گرفته است.

اگر بخواهید بدانید که باید برای مقابله با این موضوع چه کار کنید، متیو پرینس یکی از مدیران ارشد کلاود فلر که از هشداردهندگان نخست درباره این باگ بوده، می‌گوید کار زیادی از دست شما بر نمی‌آید جز این‌که وب‌سایت‌هایی را که به آن‌ها ورود می‌کنید، در این‌جا چک کنید.

"این، یعنی هر آن‌چه یک کاربر نمی‌خواهد دیگران از آن سر در بیاورند.ترسناک‌تر از این، دانستن مدت‌زمانی است که این نقص وجود داشته و متخصصان امنیت از آن بی‌خبر بوده‌اند"اگر این ‌سایت‌ها در فهرست آسیب‌پذیرها بودند، تا زمانی که رفع نقص نشدند از ورود به‌ آن‌ها خودداری کرده و پس از رفع نقص، پسورد خود را بلافاصله عوض کنید.

یاهو جزو سایت‌هایی بود که تحت تاثیر این باگ قرار داشت و اکنون می‌گوید که مشکل را رفع کرده است. پس اگر مانند بسیاری از ایرانیان، از یاهو استفاده می‌کنید، در تعویض پسوردهای خود درنگ نکنید.

منبع : خودنویس