حفره‌های امنیتی «هارت بلید» و فرصتی تازه برای هکرها

هوش کاوان > دانش و فناوری > حفره‌های امنیتی «هارت بلید» و فرصتی تازه برای هکرها
حفره‌های امنیتی

مقدمه:

هنوز تبعات ناشی از انتشار حفره‌های امنیتی «هارت بلید» رفع نشده که کارشناسان اینترنتی می‌گویند نرم افزار ارائه شده برای حل این مشکل به بُروز «اختلال و سردرگمی» در دنیای سایبر خواهد انجامید.

«هارت بلید» در اصطلاح نوعی «باگ» یا همان گیر نرم افزاری است که به هکرها اجازه می‌دهد بسته‌های داده های اطلاعاتی را از حافظه کاری رایانه به سرقت برده و در عمل توانایی دزدی گذرواژه‌ها و کلیدهای رمزگردانی شده را در مقابلشان قرار می‌دهد. هکرها همچنین خواهند توانست به کمک «هارت بلید» خود را سایت دیگری جا بزنند و اطلاعات مورد نظرشان را از رایانه قربانی دریافت کنند.

به گزارش خبرگزاری فرانسه، خوشبختانه تاکنون اکثر سایت‌های آسیب‌پذیر در مقابل «هارت بلید»، نرم‌افزاری مناسب جهت رفع حفره امنیتی موجود را ایجاد کرده‌اند.

اما خبر بد اینکه مرورگرهای رایج اینترنت به دلیل ازدیاد اصلاحیه‌های گواهی‌های امنیتی سایت‌ها با ازدحام بیش از حد مواجه خواهند شد، شرایطی که به گفته یوهانس اولریچ، از مرکز «اینترنت استورم» وابسته به مؤسسه «اِس اِی اِن اِس» آمریکا، انتظار می‌رود پیام‌های خطای پی در پی و اختلال در عملکرد شبکه را به دنبال داشته باشد.

اولریچ در گفت و گو با خبرگزاری فرانسه گفت: «درصد بالایی از وبسایت‌ها وصله نرم‌افزاری را دریافت کرده اند.»

با این همه به گفته این کارشناس اینترنت، دریافت هر وصله به منزله نیاز به به روزگردانی فهرست گواهی‌های امنیتی «غیرقابل اعتماد» یا «کلیدها»یی است که می‌بایست توسط مرورگرها رد شوند.

اولریچ توضیح داد که «برای ترمیم این اشکال، وبسایت نیاز به دریافت یک کلید خصوصی دارد و کلید قدیمی هم باید باطل شود، بدین ترتیب مرورگرها دیگر کلیدهای قدیمی را نخواهند پذیرفت.»

در شرایط عادی هر مرورگر به طور روزانه ده‌ها کلید را به روزگردانی می‌کند، اما احتمال دارد به دلیل  مشکل امنیتی «هارت بلید» مرورگرها ناچار  شوند به  ده‌ها هزار گواهی امنیتی را بروز کنند.



اولریچ توضیح داد که «برای ترمیم این اشکال، وبسایت نیاز به دریافت یک کلید خصوصی دارد و کلید قدیمی هم باید باطل شود، بدین ترتیب مرورگرها دیگر کلیدهای قدیمی را نخواهند پذیرفت.»

در شرایط عادی هر مرورگر به طور روزانه ده‌ها کلید را به روزگردانی می‌کند، اما احتمال دارد به دلیل  مشکل امنیتی «هارت بلید» مرورگرها ناچار  شوند به  ده‌ها هزار گواهی امنیتی را بروز کنند.

بازخورد:


«اگر روند تأیید امنیت به شیوه فوق بیش از حد به طول بینجامد، مرورگر سایت مربوطه را غیرمعتبر اعلام می‌کند یا اینکه پیام خطا نشان می‌دهد.» اولریچ همچنین تصریح کرد، «کاربران اینترنت پیام‌های خطای بیشتری خواهند دید و اگر گواهی غیرمعتبری توسط مرورگر کشف شده و کاربر پیام هشدار مشاهده کند دو گزینه در مقابل خواهد داشت،‌ یکی اینکه گواهی را بپذیرد و دیگری اینکه نامعتبر بودن آن را به صورت دستی تأیید کند. در این صورت خطری که کاربران را تهدید می‌کند آن است که گیج یا ناامید شده و بدون توجه به هشدارهای سیستم تنظیم مرورگرهای خود را تغییر داده و ادامه بررسی کلیدها را متوقف کنند».

این کارشناس اینترنت در ادامه خاطرنشان کرد که «اگر مردم این فهرست‌ها را در مرورگرها غیرفعال کنند،‌ راه را برای ورود هکرها باز می‌کنند».

هشدارها درباره هارت بلید در هفته گذشته تشدید شد و تمامی دست‌اندرکاران اینترنت از اپراتورها، و مقام‌های بانکی تا کاربران و کارکنان اینترنتی را در برگرفت و کارشناسان به همگان هشدار دادند که داده‌های اطلاعاتی متعلق به آنها در معرض خطر قرار گرفته است.

یکی از این حفره‌های امنیتی در رمزگردانی «اوپن اس اس ال» بوده که سایت‌های دارای پیشوند https را تحت تأثیر قرار می‌دهد.