heart bleed اگر نه تا چند سال، تا ماه‌ها یک خطر باقی خواهد ماند

سایت‌های اصلاح ‌نشده و مجوزهای SSL  که به درستی صادر نشده‌اند می‌توانند باعث آسیب ‌پذیری کاربران شوند. یک…

یک ماه پس از افشای نقایص امنیتی SSL Open  هارت‌بلید، همچنان نشانه‌های متقنی دال بر وجود تعداد فراوانی کاربر آسیب‌ پذیر دیده می‌شود.

به لحاظ فنی، نقص هارت‌بلید به عنوان CVE-2014-0160 شناسایی شده است. این نقص در آرشیو رمزگذاری منبع باز OpenSSL یافت می‌شود که امکانات کدگذاری SSL را در هنگام انتقال داده‌ها فراهم می‌سازد. پروژۀ OpenSSL نخستین بار راه‌حلی را در تاریخ ۷ آوریل برای رفع نقص هارت‌بلید ارائه داد اما این بدان معنی نبود که همه در دنیا در این زمینه روزآمد شده‌اند.

OpenSSL به طور گسترده‌ای در سرورها راه‌اندازی شده است و در ابزارهایی چون تلفن‌های آندروید وجود دارد. برای محافظت از کاربران در برابر هارت‌بلید مراحل چندگانه‌ای وجود دارد که باید طی شوند. هم برای سرور‌ها و هم برای کاربران نهایی، باید بستۀ روزآمد OpenSSL نصب شود. در بخش مربوط به سرور، مجوزهای SSL باید از نو فراهم شوند و کاربران نهایی باید گذرواژه‌هایشان را مجدداً تنظیم کنند.

محقق حوزۀ امنیت، رابرت گراهام، در تاریخ ۸ مه در مطلبی در وبلاگ خود خاطرنشان کرد که برای یافتن سیستم‌هایی که هنوز در برابر هارت‌بلید آسیب‌پذیرند اینترنت را جست‌وجو کرده و ۳۱۸۲۳۹  سیستم را یافته است که هنوز در معرض خطرند.

اما این تمام ماجرای مربوط به خطر هارت‌بلید نیست. علاوه بر راه‌حل مذکور، مدیران سرورها نیز باید مجوز SSL را احیا کنند. اما آن‌طور که به نظر می‌آید، با این‌که مجوزهای SSL بسیاری از نو صادر شده‌اند، همۀ آن‌ها به درستی صادر نشده‌اند.

گزارشی که نت‌کرافت (NetCraft) در تاریخ ۹ مه منتشر کرد نشان می‌دهد که ۴۳ درصد از کل سایت‌های تأثیریافته از این آسیب که در جست‌و‌جوی مذکور یافته‌ شده‌اند، مجوزهای SSL خود را تجدید کرده بودند. این بدان معنی است که هنوز سایت‌های بسیاری وجود دارند که کاربران‌شان به‌طور بالقوه در معرض خطرند.

آن‌چه قضیه را بغرنج‌تر می‌کند این است که نت‌کرافت دریافته ۷ درصد از مجوزهای SSL  تازه‌صادرشده با کلید مخفی یکسانی مورد استفاده قرار گرفته‌اند. روش عملکرد SSL این است که با استفاده از یک کلید رمزگذاری مخفی در سرور  امنیت را ایجاد می‌کند.

نت‌کرافت اعلام کرده است که با استفاده مجدد از کلید مخفی واحد، سایتی که تحت تأثیر هارت‌بلید قرار گرفته همچنان با همان خطرهایی روبه‌روست که سایت‌های دیگری که مجوزشان را تجدید نکرده‌اند با آن مواجه‌اند. اگر مجوز قبلی مورد نفوذ قرار گرفته باشد، کلید مخفی ربوده‌شده همچنان برای جعل هویت مجوز SSL جدید قابل استفاده است، حتی اگر مجوز قدیمی لغو شده باشد.

بنابراین، با این‌که بسیاری از وب‌سایت‌ها راه‌حل هارت‌بلید را به کار بسته‌اند، همه‌شان مجوزهای SSL را تجدید نکرده‌اند و در این صورت، همچنان خطر باقی است. اما شاید موضوع مهم‌تر این واقعیت باشد که هارت‌بلید اکنون با گذشت بیش از ۳۰ روز از نخستین باری که وجودش آشکار شد، همچنان یک نگرانی امنیتی تلقی می‌شود و احتمالاً اگر نه تا چند سال، تا ماه‌ها یک خطر باقی خواهد ماند.