همه چیز در مورد باگ HeartBleed به همراه سوال و جواب در مورد آن

مدت ها قبل باگ مهمی بنام HeartBleed  (هارت‌بلید) همان حمله‌ی قلبی، در دنیای اینترنت مطرح شد که اکثر سایت های مهم مانند گوگل و فیس‌بوک و تویتر و … به کاربران خود هشدار دادند در اولین فرصت رمز ورود خود را عوض کنند! باگ HeartBleed چه چیزی بود که این همه صدا کرد و همه را به تکاپو واداشت؟ در این مقاله می خواهیم با مقدمه ای در مورد OpenSSL و بعد از آن در مورد HeratBleed بیشتر بدانیم و چندین سوال و جواب هم در مورد آن داشته باشیم. برای مطالعه این مقاله می توانید به ادامه همین مطلب مراجعه نمایید.

HeartBleed چیست؟

اولین چیزی که باید در مورد آن بدانیم اوپن‌اس‌اس‌ال (OpenSSL) می‌باشد که ویکی‌پدیا برای این مورد تعریف زیر را بیان کرده است که توضیحات شخصی را که در متن اصلی نیست در کروشه بیان کرده‌ایم:

اپن‌اس‌اس‌ال (به انگلیسی: OpenSSL) یک پیاده‌سازی متن‌باز پروتکل اس‌اس‌ال [SSL] و تی‌ال‌اس [TLS] است. این کتابخانه به زبان برنامه‌نویسی سی [C] نوشته‌شده که توابع پایه‌ای رمزنگاری و توابع کاربردی مختلفی را پیاده‌سازی می‌کند. هرچند که این کتابخانه در اصل برای زبان برنامه‌نویسی سی نوشته شده است، اما تعدادی جلد-کتابخانه برای آن وجود دارد که از طریق آنها می‌توان در زبان‌های برنامه‌نویسی دیگری به غیر از سی هم به رابط‌های کتابخانه اپن‌اس‌اس‌ال دسترسی داشت. کتابخانه اپن‌اس‌اس‌ال برای بیشتر سیستم‌عامل‌های شبه یونیکس [Unix] نظیر سولاریس [Solaris]، لینوکس [Linux]، مک اواس ده [MacOS 10] و گونه‌های مختلف بی‌اس‌دی [BSD] و همچنین اوپن‌وی‌ام‌اس [OpenVMS] و مایکروسافت ویندوز هم در دسترس است. اوپن‌اس‌اس‌ال مبتنی بر کتابخانه دیگری به نام SSLeay که توسط Eric A. Young و Tim Hudson توسعه می‌یافت، است. وقتی که یونگ و هودسون در دسامبر سال ۱۹۹۸ شروع به کار در آی‌اس‌ای سکیوریتی کردند، توسعه پروژه SSLeay متوقف شد. اوپن‌اس‌اس‌ال از انواع مختلف الگوریتم‌های زمرنگاری نظیر AES, Blowfish, Camellia, SEED و همینطور انواع مختلف توابع درهم‌سازی رمزنگاری نظیر MD5, MD2, SHA-1, SHA-2 و الگوریتم‌های رمزنگاری کلید عمومی مانند RSA, DSA پشتیبانی می‌کند.

اپن‌اس‌اس‌ال یک نرم‌افزار دو-پروانه‌ای است که تحت پروانه‌های اوپن‌اس‌اس‌ال و SSLeay عرضه می‌شود. پروانه اپن‌اس‌اس‌ال در اصل همان پروانه آپاچی ۱٫۰ است و پروانه SSLeay هم همان پروانه چهار-بنده بی‌اس‌دی است. اصطلاح دوپردانه‌ای معمولاً به این معنیست که کاربر می‌تواند به انتخاب خود هر پروانه‌ای که مایل بود را انتخاب کند. اما در مستندات اپن‌اس‌اس‌ال اینطور عنوان شده که هر دو پروانه باید به صورت همزمان بکار برده شود.

اگر متن بالا برای شما گنگ بود بطور خلاصه می توان گفت سایت‌های مهم برای اینکه اطلاعات آنها توسط رابط های شبکه‌ای دزدیده نشود (یا به اصطلاح هکرها، Sniff نشود) از الگوریتم رمزگذاری برای این ارتباط ها استفاده می‌کردند و در آدرس آنها بجای http ما https مشاهده می‌کردیم و اگر در مرورگر موزیلا روی علامت قفل کنار همین https کلیک کنید نوع مجوز و اطلاعات آن نمایش داده می‌شود که سایت‌های مشهوری که در ابتدای مقاله عنوان شدند از OpenSSL استفاده می‌کردند که در باگ HeartBleed که خود سازندگان و دارندگان OpenSSL متوجه آن شدند را در ادامه از وی‌کی‌پدیا به مختصر بیان می‌کنیم.

هارت‌بلید (به انگلیسی HeartBleed) در سال ۲۰۱۴ یک آسیب‌پذیری خطرناک در این کتابخانه کشف شد که به یک مهاجم اجازه می‌داد بتواند اطلاعات موجود در حافظه قربانی را به شکل غیرقانونی بخواند. معلوم نیست که آیا قبل از این کشف مهاجمی توانسته باشد آن را شناسایی کرده و مورد استفاده قرار داده باشد. به دنبال کشف این حفره، در آوریل ۲۰۱۴، توسعه‌دهندگان اوپن‌بی‌اس‌دی با منشعب کردن اوپن‌اس‌اس‌ال، پروژه دیگری تحت عنوان لیبره‌اس‌اس‌ال را بنیان نهادند که هدف آن فراهم کردن یک جایگزین ایمن، جدیدتر و تمیزتر برای اوپن‌اس‌اس‌ال است.

حال پس از کشف این موضوع تمامی سرورهای مجهز شده به این گواهی و الگوریتم سیستم خود را Patch کردند و امروزه دیگر این باگ در سیستم OpenSSL موجود نیست ولی در این بین شرکت‌هایی مثل Apple اعلام کرده بودند سیستم های آنها به هیچ وجه دچار باگ HeartBleed نیست و کلا سیستم های این شرکت به دور از هرگونه باگ می‌باشند! حال می رسیم به سوالات متداولی که اکثر دوستان حضوری یا بصورت ایمیل و PM از من پرسیده بودند و این‌ها را جمع آوری کرده و در یک مقاله گردآوری کرده‌ام.

.

چرا اسم این باگ HeartBleed یا “خونریزی قلبی” نامگذاری شده و این باگ چگونه اطلاعات را بیرون می دهد؟

در بحث سرور و کارکرد آن یک عمل اولیه برای فهمیدن اینکه سرور Up هست یا نه وجود دارد بنام “ضربان قلبی” یا Heartbeat که منظور مانند ضربان قبل از طرف بیرون یک سوال ساده برای سرور ارسال می شود و منتظر جواب خاص می ماند تا بداند سرور سالم هست یا نه! باگ Heart Bleed هم بر اساس همین عمل می باشد ولی این عمل را می خواهیم با یک مثال ساده به شما نشان دهیم که باگ را خود شما می توانید کشف کنید در این مثال. میزبان (Client) به سرور پیغام می دهد “سرور آیا اینجا هستی؟ اگر هستی بگو سیب (۳ حرف)” سرور در بین انبوه اطلاعاتی که باید به میزبانهای دیگر هم بدهد ولی مجبور است به این سوال هم جواب دهد در بین آنها و در لیست موجود خود که اطلاعات سایر میزبان ها هم می باشد کلمه “سیب” را هم می گذارد و در درخواست گفته شده ۳ کلمه و سرور ۳ کلمه موجود در آن ردیف را برای این میزبان قرار می دهد. حال که موقع پاسخ گویی به میزبان رسیده است کلمه سیب را برای تایید سالم بودن خود به میزبان می گوید. دقت کنید که این کارها همگی در کمتر از ثانیه انجام می شود و دلیل این سرعت بالا بودن سیستم سرورها می باشد. حال ممکن هست این سوال برای شما پیش بیاید که اگر میزبان کمی شلوغ باشد و بگوید: “سرور آیا هستی؟ اگر هستی کلمه سیب را بگو (۵۰۰حرف)”  بله! سرور چون این را پیش‌بینی نکرده بود که میزبان می تواند تعداد جواب خواسته شده خود را با جواب خاص یکی نکند چه اتفاق می‌افتد! چون جواب سیب در بین جواب‌های هزاران میزبان می باشد هم کلمه سیب ارسال می شود و هم تا ۴۹۷ حرف دیگر! هکر هم می تواند از بخشی از این اطلاعات استفاده لازم را ببرد. اگر متوجه نشدید این کامیک را مشاهده کنید (به زبان انگلیسی می‌باشد).

.

چه کسی این باگ را کشف کرد؟

باید بگوییم چه کسانی! و جالب است بدانید ۲ سال پیش دو فرد بصورت هم زمان این مورد را به OpenSSL اطلاع دادند. یکی از آنها Neel Mehta محقق امنیتی شرکت Google می باشد که در اولین لحظه ای که متوجه باگ HeartBleed شد ۱۰۰هزار دلار کنار دستش دقیقا کنار ماوس خود برای درست کردن این باگ گذاشت و دلیل آن Open Source بودن OpenSSL است که هیچ مبلغی این شرکت بابت سیستم خود از کسی نمی گیرد و مبالغ آن از افراد بصورت داوطلبانه دریافت می شود. و شرکت OpenSSL هم بعدها برای تشکر از کشف مهم جایزه ۱۵ هزار دلاری برای این شخص ارائه می کند! فرد دیگر هم یک محقق از شرکت Codenomicon می باشد که برای این مورد کمپینی تهیه کرده و سایتی هم برای آن تدارک دیدند با نام HeratBleed.com که می توانید موارد بیشتر در این مورد را در سایت خود آن که توسط شرکت عنوان شده ساخته شده است را مطالعه کنید. بعد از این کمپین و فشارهای محققان اینترنت و تهدید برای فاش کردن عمومی آن بالاخره شرکت OpenSSL مجبورا بعد از دو سال این باگ را رفع کرده و عموما آن را مطرح می کند و خواستار عوض کردن رمزهای کاربران شده بود.

.

در مقابل این باگ بزرگ ما باید چه کارهایی را انجام دهیم؟

بصورت دوستانه اگر بیان کنیم هیچ کار! سرورهایی که به این سیستم مجهز بودند باید خود را با Patchهایی که OpenSSL آنها را معرفی کرده بود درست نمایند ولی شما برای محکم کاری هم شده همه رمزهای مربوط به گوگل، یاهو، تویتر و حتی فیس‌بوک خودتان را در اولین فرصت عوض کنید. چون معلوم نیست در عرض این دو سال چه کسانی از این باگ استفاده های لازم را کرده‌اند.

.

تمامی این مطالب توسط نویسنده از سایت‌های معتبر و دانش شخصی خود تهیه و گردآوری شده و امید هست در صورتی که در جایی از آن استفاده شد نام مرجع آن حتما در زیر مطلب با لینک به خود مقاله در دانش کامپیوتری به همین صورت که بنده نوشته‌ام بماند تا اگر دوستان سوال دیگری داشتند همین جا مطرح کنند تا باهم به آن جواب دهیم. اگر در متن مقاله جایی اشتباهی وجود داشت خوشحال می شوم آن را از شما بشنوم.