راهکار شناسایی و مقابله با خونریزی قلبی به روایت ماهر/ تشخیص سیستم‌عامل‌های آسیب‌پذیر/اتحاد بزرگان فناوری جهان برای پیشگیری از دامنه تخریب ها

به گزارش پایگاه خبری بانکداری الکترونیک،مرکز ماهر پس از گذشت 20 روز از اولین اعلام جهانی در مورد آسیب پذیری "خونریزی قلبی"، راهکارهای شناسایی و مقابله با این رخنه اینترنتی را اعلام کرد.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای – ماهر – در خصوص آسیب پذیری OPENSSL یا خونریزی قلبی – heart bleed  – اعلام کرد: یک آسیب پذیری بسیار مهم در OpenSSL کشف شده که به Heartbeat مشهور است و این آسیب پذیری مربوط به ماژول Heartbeat در OpenSSL بوده که می تواند اطلاعات محافظت شده را در شرایط عادی به سرقت ببرد. در واقع با سواستفاده از این ویژگی، مهاجم به حافظه اطلاعات مبادله شده میان سرور و کلاینت – کاربر- و بالعکس دست می یابد. این آسیب پذیری ارتباط های بانک‌های اینترنتی را نیز تهدید می‌کند.

SSL/TLS ارتباط امن و محافظت شده در اینترنت را برای برنامه کاربردی از قبیل وب، ایمیل، شبکه های VPN ، وب سرورهای منبع باز مانند Apache و nginx و سرور پست الکترونیک مانند SMTP، POP و IMAP و چت سرور XMPP برقرار می کند.

مهاجم با استفاده از این آسیب پذیری می تواند حافظه سیستم را بخواند و به کلید محرمانه رمزنگاری ترافیک و دیتای نام های کاربری و رمز عبور دسترسی یابد و از این طریق امکان شنود ارتباطات، سرقت دیتا، پست الکترونیک و مستندات مربوط به سرویسها، کاربران و همچنین شخصی سازی آنها را پیدا می کند. آسیب پذیری شناسایی شده مربوط به خطای برنامه نویسی در کتابخانه OpenSSL است.

جزییات آسیب پذیری Heartbeat در CVE-2014-0160 در تاریخ 7 اوریل اعلام شده است. بر اساس گفته شرکت OpenSSL ، آسیب پذیری نسخه های مذکور در نسخه 1.0.2-beta2 برطرف می شود.

نسخه های آسیب پذیر کدامند

براساس اعلام مرکز ماهر، نسخه های 1.0.1 و 1.0.2-beta از openSSL و 1.0.1f و 1.0.2-beta1 آسیب پذیر هستند.

سیستم عامل های زیر آسیب پذیر به نقطه ضعف ذکر شده هستند.

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4

Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11

CentOS 6.5, OpenSSL 1.0.1e-15

Fedora 18, OpenSSL 1.0.1e-4

OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)

FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013

NetBSD 5.0.2 (OpenSSL 1.0.1e)

OpenSUSE 12.2 (OpenSSL 1.0.1c)
            
راهکارهای شناسایی و مقابله

سیستم های آسیب پذیر باید سریعا به نسخه 1.0.1g ارتقا یافته و یا با دستور زیر OpenSSL را مجددا تنظیم کنند.

DOPENSSL_NO_HEARTBEATS

شرکتهای سیستم عامل، برنامه های کاربردی و نرم افزاری باید تغییرات لازم را در محصولات خود ایجاد کرده و کاربران و مشتریان خود را مطلع کنند.

شرکتهای ارائه دهنده خدمات اینترنت و کاربران آنها باید وصله های مربوط به سیستم عامل و نرم افزارهای خود را نصب کنند.

نصب وصله ها، عدم استفاده از کلیدهای به سرقت رفته و ایجاد کلید جدید در گواهینامه ها توسط CA ها از دیگر راهکارهای مقابله با آسیب پذیری است.

تغییر رمز عبور ، کلید و کوکی مربوط به نشست ها باید غیر معتبر قلمداد شود و تغییر یابد.

با وجود اینکه محتوای Hearbeat رمز شده ولی در پروتکل OpenSSL قابل تشخیص است که منجر به شناسایی آن توسط IDS/IPS ها می گردد. تا زمانیکه Heartbeat بطورکامل در ترافیک مسدود نشود با مانیتورینگ ترافیک و مقایسه سایز بسته های درخواست و پاسخ امکان شناسایی این حمله وجود دارد.

IDS/IPS ها تنها قادر به شناسایی بوده و امکان مسدود سازی حمله را ندارند.

اطلاعات مالی، شخصی، پست الکترونیک، مستنداتی که توسط این متد رمز شده اند باید باید توسط ارائه دهنده سرویس به روز شده و به کاربران سرویس اطلاع داده شود.

تشکیل کنسرسیومی از غول‏‌های آی‏‌تی برای پیشگیری از خونریزی اینترنتی

در همین حال شرکت‌های بزرگ دنیای آی‌‏تی تصمیم‏‌گرفته‌‏اند از بروز آسیب‌‏های مشابه آنچه خونریزی اینترنتی خوانده می‌‏شود، جلوگیری کنند.در این راستا کنسرسیومی متشکل از گوگل، اینتل، مایکروسافت، دِل، سیسکو، آمازون، کوالکوم، فوجیتسو، راک اسپیس، وی‌ام ویر، نت اپ، ‌آی بی‌ ام و فیس‌بوک شکل گرفته است .

 بر اساس گزارش وب‏‌سایت theinquirer، کنسرسیومی متشکل از گوگل، اینتل، مایکروسافت، دِل، سیسکو، آمازون، کوالکوم، فوجیتسو، راک اسپیس، وی‌ام ویر، نت اپ، ‌آی بی‌ ام و فیس‌بوک قصد دارند با همکاری یکدیگر از بروز آسیب‏‌های امنیتی مشابه «خونریزی اینترنتی» پیشگیری کنند.

براساس این گزارش، بازیگران اصلی دنیای آی‏‌تی تصمیم گرفته‌‏اند با اجرای طرح مشترکی به میزبانی بنیاد لینوکس با تهدیدات مشابهی از این دست مقابله کنند.

این طرح بودجه لازم برای طرح‌های منبع بازی که وجود آنها برای عملیات پردازشی ضروری است یا نرم‌‏افزارهای زیرساختاری و حساس را فراهم می‌‏کند. بنیاد لینوکس از این طرح به عنوان یک طرح چند میلیون دلاری یاد کرده است که بحران خونریزی قلبی سیستم OpenSSL الهام‌‏بخش آن بوده است.