خوش آمدید مهمان! | ورود - ثبت نام

چند نکته درباره بزرگ‌ترين خونريزی اينترنتی

چند نکته درباره بزرگ‌ترين خونريزی اينترنتی

شاید کمتر کسی تصور می‌کرد کشف یک حفره امنیتی در یک نرم‌افزار - که در جهان دیجیتال امری مرسوم و روزمره است - چنین بازتاب گسترده‌ای در سطح جهانی داشته باشد. هر چند موضوعات مرتبط با امنیت همواره از اهمیت بالایی نزد کاربران و شرکت‌ها برخوردار است اما Heartbleed یا ”خونریزی قلبی“ به‌دلیل ویژگی‌های متعدد اهمیتی فوق‌ تصور می‌یابد و بی سبب نیست آن را بزرگ‌ترین مشکل امنیتی اینترنتی از زمان پیدایش این شبکه می‌دانند.

 در واقع به‌دلیل استفاده وسیع بسیاری از سازمان‌ها، شرکت‌ها و سایت‌های بزرگ اینترنتی از نرم‌افزار و پروتکل OpenSSL سطح تماس جامعه با نتایج حاصل از این نقص امنیتی بسیار وسیع بود. در این میان تاکید بر چند نکته قابل توجه است: نخست آنکه این نقص در نرم‌افزار OpenSSL باعث دسترسی هکرها به مهم‌ترین اطلاعات کاربران از جمله کارت‌های اعتباری و پسوردهای سرویس‌های مختلف می‌شد. در همان ساعات نخست کشف این نقص مشخص شد بسیاری از سایت‌های بزرگ مثل یاهو و گوگل در معرض این خطر قرار داشته‌اند (که البته بلافاصله اقدام به رفع آن کردند). نکته دوم آنکه مشخص شد این نه یک نقص تازه امنیتی بلکه اشکالی با طول عمری حدود دو سال است و به‌دلیل آنکه نفوذ یک هکر از این طریق هیچ ردی را بر جا نمی‌گذارد نمی‌توان مطمئن بود که تا پیش از این چه نوع دسترسی یا نفوذی صورت گرفته و آیا اساسا اطلاعات کاربرانی که در یک سایت آلوده عضویت داشته‌اند به سرقت رفته یا خیر. به همین دلیل هم از کاربران خواسته شد که همه پسوردهایشان را تغییر دهند. نکته سوم و دراماتیک قضیه این است که این نقص امنیتی به صورت کاملا اتفاقی و در جریان یک برنامه‌نویسی ساده به وجود آمده بود و حتی برنامه‌نویس آن نیز با معرفی خود آن را یک اشتباه در کد زدن (یا نگارش یک برنامه نرم‌افزاری) عنوان کرد اما گویی یک اشتباه کوچک ناگهان جهان مجازی را در مخاطره‌ای بزرگ قرار داد. در واقع مشکل آنجا بود که یک OpenSSL یک پروژه متن‌باز و نه یک محصول تجاری است لذا نمی‌شود چندان خرده‌ای به کسانی گرفت که به‌طور داوطلبانه در توسعه آن شرکت داشته‌اند(و حالا اشتباهی هم کرده‌اند) اما واقعیت هم این بوده راستی و صحت این کد نیز پس از نگارش اولیه توسط دیگران آزموده نشده است. 
نکته چهارم آنکه هنوز گزارشی مبنی تخریب یا آلوده‌سازی و سرقت اطلاعات براساس این نقص امنیتی گزارش نشده که بیشتر به‌دلیل دشواری تهیه گزارش یا کشف چنین حمله‌ یا سرقتی است و احتمالا تا مدت‌ها بعد در مورد حملات قبلی ناشی از این نقص امنیتی بیشتر خواهیم شنید. و سرانجام نکته پنجم آنکه آموزه‌های کشف این نقص امنیتی کم نیست. توجه عموم جهانیان اعم از کاربران، شرکت‌ها، دولت‌ها به موضوع امنیت و ارتقای سیستم‌های امنیتی و توجه بیشتر به نکات امنیتی و استفاده از ابزارهای کارآمدتر از جمله نتایج مثبت حاصل از خونریزی قلبی است. این یعنی همه خونریزی‌ها لزوما هم به نتایج بد منتهی نمی‌شود، البته اگر به توصیه‌ها عمل کنید و پسوردهایتان را عوض کرده باشید.
Loading...