سافت گذر دانشنامه نرم افزار - دانلود رایگان نرم افزار

همه دسته بندی ها

منو
جستجو
اطلاعیه های مهم سایت اطلاعیه های مهم سایت
💐 میلاد زینت پدر حضرت زینب سلام الله علیها مبارک باد 💐
 
 
  1. سافت گذر جهت آپدیت بخش نرم افزار نیاز به همکار حرفه ای دارد. ارسال درخواست به بخش ارتباط با ما / سردبیری
  2. جهت رفع مشکل باز شدن سایت به دلیل بلاک توسط  نود 32 این ویدیو یا این ویدیو(ورژن 9 به بالا) یا راهنمای تصویری را مشاهده کنید
  3. اکانت های بروزرسانی نود32 با قیمت های مناسب به صورت یک ، سه ، شش و دوازده ماهه از اینجا قابل خرید می باشد.

نرم افزار های پرکاربرد

ثبت نام | ورود

امنیت سایبری

باگ خطرناک OpenSSL بسیاری از سرورها را تهدید می کند

بعدازظهر دوشنبه دنیای آی‌تی با یک زنگ هشدار بسیار جدی روبرو شد که بر اساس آن گروه مشاوره امنیتی پروژه‌ی OpenSSL از بروز یک باگ باز به نام "خونریزی قلبی" خبر داد. با استفاده از این باگ، هرشخصی قادر بود به سادگی قسمتی از فعالیت‌های حافظه‌ی موقت بسیاری از سرورها را که از نسخه‌ی فعلی این برنامه استفاده می‌کردند بدون هیچ مانعی بیرون کشیده و مورد سوءاستفاده قرار دهد. بدلیل ماهیت آزاد و متن‌باز پروژه، سریعاً منبع باگ کشف و وصله‌ی امنیتی مورد نیاز منتشر شده و در مخازن سیستم‌عامل‌های مورد استفاده‌ی سرورها قرار گرفت؛ اما تا زمانی که بروزرسانی مربوطه توسط مدیران سرورها انجام نشده، میلیون‌ها سرور در معرض خطر قرار گرفتند. تقریباً هرکسی که اختیار یک سرور را برعهده داشت در این زمان شاهد وضعیت بحرانی بود.

به گزارش سافت گذر به نقل از زومیت، در صورتی که اسم خونریزی قلبی برای این باگ تا حدودی غیرمتعارف به نظر می‌رسد نباید تعجب کرد؛ چراکه این باگ هم از نظر درجه‌ی مقیاس سیستم‌های تحت تأثیر قرار گرفته و هم از نظر عمق نفوذ  بسیار بدتر از باگ GoToFail است که اپل را در اوایل سال با مشکل مواجه کرده بود. باگ جدید به حمله‌کنندگان اجازه می‌دهد که کلید خصوصی ورود به سرور را بدست آورده و بتوانند انتقال داده‌ها را شنود کرده و خود را از معرض کشف توسط سیستم امنیتی در امان نگاه دارند. مسأله زمانی حاد می‌شود که بدانیم این باگ جدید نبوده و حدود دو سال از عمر آن می‌گذرد؛ مشخص نیست آیا شخص دیگری نیز از وجود آن اطلاع داشته و در حملات دیگری بصورت ناشناس از آن استفاده شده است یا خیر...

پروژه‌ی OpenSSL خارج از دنیای مدیریت سیستم و کدنویسی چندان شناخته شده نیست؛ اما جالب است بدانید که از هر سه سرور موجود، دو مورد بر استفاده از این پکیج متکی هستند. کشف ناگهانی این باگ بدان معنی است که هم‌اکنون تمامی کسانی که تحت تأثیر قرار گرفته‌اند در تکاپوی اجرای وصله‌ی ارائه شده و رفع ریسک امنیتی آن هستند. در حال حاضر یاهو یکی از سرویس‌های متأثر شده است و کارشناسان توصیه کرده‌اند تا زمانی که این کمپانی فرصت بروزرسانی سرورهای خود را نیافته، کاربران از استفاده از اکانت‌های خود خودداری کنند. یکی از نمایندگان یاهو در این خصوص اعلام نموده که بخش‌های اساسی سرویس‌های یاهو در حال حاضر وصله شده‌اند و تیم مسئول همچنان در تلاش است تا قسمت‌های باقی‌مانده را نیز ایمن نمایند. بر اساس گزارشات حاصله، بسیاری کمپانی‌های کوچک نیز تحت تأثیر این باگ قرار گرفته‌اند که imgur، فلیکر و LastPass از آن جمله‌اند؛ البته لست‌پس اعلام نموده که هیچ‌ داده‌ی رمزنگاری نشده‌ای در معرض خطر قرار نگرفته است. نیکولاس ویور محقق امنیتی ICSI این باگ را به شکل مصیبت‌باری بد و باعث صدمات گسترده می‌داند.

باگ خونریزی قلبی که توسط یکی از محققان گوگل به نام نیل میتا کشف شد، به شخص نفوذگر اجازه می‌دهد 64 کیب از داده‌های تصادفی در حال اجرا در حافظه‌ی موقت سرور را بیرون کشیده و شنود کند. این هک از این نظر که شخص نفوذگر اطلاعی از کاربردی‌بودن داده‌ها نداشته و کنترلی بر روی نوع داده‌های دریافتی ندارد به فیشینگ شبیه است؛ اما از آنجا که بصورت مکرر و پشت سر هم قابل تکرار است، پتانسیل بالایی برای درز داده‌های حساس در این میان وجود خواهد داشت. یکی از هدف‌های مشخص، کلیدهای رمزنگاری خصوصی سرور بوده که دلیل آن لزوم نگهداری آن در حافظه‌ی فعال و قابل شناسایی‌بودن آن در میان داده‌های تصادفی است. این کلیدها پس از افشا، امکان شنود ترافیک رد و بدل شده‌ی سرور را برای شخص نفوذگر فراهم کرده و بصورت بالقوه ممکن است باعث رمزگشایی هرگونه داده‌ی از پیش رمزگذاری شده نیز باشد.

در مواردی که ابزارهای امنیتی حساس نظیر ابزارهای ناشناس‌ماندن در اینترنت تحت تأثیر این باگ قرار گرفته‌اند، این مسأله حساس‌تر به نظر می‌رسد؛ به گونه‌ای که پروژه‌ی Tor طی یک پست در وبلاگ خود چنین نوشته است که "در صورتی که شما از جمله اشخاصی هستید که نیاز به ناشناس‌ماندن قطعی یا حریم شخصی حساسی در شبکه‌ی اینترنت دارید، توصیه می‌شود که برای چند روز آینده به کلی از اینترنت فاصله گرفته و منتظر آرام‌شدن اوضاع باشید".  با این وجود در برخی موارد چند روز هم زمان کافی به نظر نخواهد رسید؛ چرا که در صورت فاش‌شدن کلید رمزنگاری اختصاصی سرور پیش از بروزرسانی سیستم و نصب وصله‌ی امنیتی و بی‌توجهی مدیر سیستم نسبت به تغییر آن، همچنان اجازه ورود برای شخص نفوذگر در دفعات بعدی طی ماه‌های آینده حفظ خواهد شد. سرورها می‌توانند برای مقابله با این رخداد گواهی‌های امنیتی خود را بازنشانی نمایند؛ اما پروسه‌ی مذکور هزینه‌بر و آهسته خواهد بود و کارشناسان نیز تخمین می‌زنند که در بسیاری موارد، اشخاص به نصب وصله‌ی امنیتی اکتفا خواهند کرد. ویور در این خصوص می‌گوید: "من معتقدم که طی مدت یک سال آینده همچنان بسیاری از سرورها در معرض آسیب‌پذیری باقی خواهند ماند؛ این مسأله به سادگی و به کلی محو نخواهد شد".

به نظر می‌رسد اپل، گوگل، مایکروسافت و سیستم‌های عمده‌ی بانکداری الکترونیکی تحت تأثیر این آسیب پذیری امنیتی قرار نگرفته‌اند (البته گفته می‌شود گوگل در ابتدا با این مشکل مواجه شده؛ اما سریع‌تر از سایر سرویس‌ها نسبت به رفع آن اقدام نموده است). از سوی دیگر، یاهو پیش از رفع باگ بخش‌های اصلی سرویس خود، برای قسمتی از روز تحت تأثیر و در حال نشت اعتبارات کاربران بوده است. بصورت کلی، هر سروری که از OpenSSL بر بستر وب‌سرور آپاچی یا Nginx استفاده می‌کرده، تحت تأثیر باگ مذکور قرار گرفته که در مجموع بخش اعظم کلیه‌ی سرورها و وب‌سایت‌ها و سرویس‌های اینترنتی را تشکیل می‌دهد.

در حال حاضر راه‌هایی برای شناسایی سرویس‌های ایمن شده در مقابل این حمله وجود دارد؛ اما اخبار بدست آمده باعث می‌شود چندان آسوده خاطر نباشیم. این وب‌سایت که توسط یک توسعه‌دهنده به نام فیلیپو والسوردا  ساخته شده می‌تواند در شناسایی سایت‌هایی که وصله‌ی امنیتی را نصب نکرده‌اند کمک کند؛ اما کدهای این پروژه نیز ممکن است در برخی موارد جواب منفی کاذب ارائه نماید که باعث می‌شود نتوان بصورت قطعی به آن اطمینان نمود. هر سرور که نسبت به نصب وصله‌ی امنیتی اقدام می‌کند، لازم است برای اطمینان بیشتر گواهی امنیتی SSL خود را نیز تجدید نماید تا از استفاده‌ از کلیدهای فاش شده‌ی احتمالی در طول مدت آسیب‌پذیری جلوگیری شود. برای بررسی این مورد، از یک ردیاب SSL نظیر این سرویس استفاده نموده و با جستجوی سرویس مد نظر خود، تاریخ صدور گواهی آن را مورد بررسی قرار دهید؛ در صورتی که تاریخ صدور پس از ارائه‌ی وصله‌ی امنیتی باشد می‌توانید بصورت کامل به سرویس مورد نظر خود اطمینان کنید. بازنشانی گواهی امنیتی SSL زمان‌بر و هزینه‌بر خواهد بود؛ اما ادامه‌ی استفاده از یک گواهی فاش شده خطرات جدی را متوجه سرورها خواهد نمود.

در حال حاضر برای قضاوت در خصوص پیامدهای کلی این رخداد اندکی زود است؛ اما برخی از درس‌های آموختنی هم‌اکنون نیز بخوبی واضح هستند. با وجود نقش اساسی OpenSSL در شالوده‌ی امنیتی شبکه‌های اینترنتی، این پروژه‌ی آزاد و متن‌باز با کمبود بودجه‌ی اساسی روبرو است. برخی کارشناسان هم‌اکنون توصیه کرده‌اند که کاربران عادی و نیز سازمان‌هایی که مدیون سیستم OpenSSL هستند باید دونیت‌ها و پشتیبانی‌های مالی بیشتری را از این پروژه بعمل آورند تا از بوجود آمدن نفوذپذیری‌هایی مشابه خونریزی قلبی جلوگیری شود. در این خصوص Perfect Forward Secrecy نیز می‌توانسته با جلوگیری از عمل رمزگشایی در محدودسازی اثرات این باگ موثر باشد.

و اما چالش‌برانگیزترین درسی که می‌توان از این مسأله آموخت این است که برخی نفوذپذیری‌ها تا چه میزان امکان کشف دشواری دارند و زمانی که فاش شدند تا چه میزان می‌توانند آسیب‌رسان باشند. ویور باگ‌های اینچنینی را بسیار ظریف توصیف می‌کند و در ادامه می‌گوید : "ممکن است با اجرا نمودن سرویس تحت نظر یک چک‌کننده‌ی مموری، قادر به کشف آن باشید؛ اما اینگونه مسائل چیزی نیستند که از طریق مشاهده و بررسی کد، قابل یافتن باشند".  با وجود امنیت بهتر سیستم‌های آزاد و متن‌باز بر اساس ماهیت مطالعه کد و کشف سریع باگ‌ها، باید در نظر داشت که امنیت مطلق وجود خارجی نداشته و همیشه مسیر زیادی برای ایمن‌سازی سیستم‌ها در پیش است. این کشف باگ به نحوی اعتباری مثبت برای گوگل و کارشناس یابنده‌ی باگ خواهد بود که در راه کشف این آسیب‌پذیری تا این حد دقیق و حساس بوده است. 

نظرتان را ثبت کنید کد خبر: 20200 گروه خبری: امنیت سایبری منبع خبر: zoomit.ir تاریخ خبر: 1393/01/21 تعداد مشاهده: 4310
اخبار مرتبط با این خبر
نظر های کاربران
سرور آپدیت نود 32
پیشنهاد سافت گذر
Eziriz .NET Reactor 7.0.0.0

Eziriz .NET Reactor 7.0.0.0

محافظت از کدهای Net.

Massive Chalice

Massive Chalice

جام بزرگ

Pit People

Pit People

اکشن

10 بحث سخنرانی آیت الله جوادی آملی

10 بحث سخنرانی آیت الله جوادی آملی

آیت الله جوادی آملی با موضوع تحلیل نهضت سیدالشهدا

Monster Hunter Rise: Sunbreak – Deluxe Edition

Monster Hunter Rise: Sunbreak – Deluxe Edition

اکشن برای کامپیوتر

ZMover 8.24.24171

ZMover 8.24.24171

چیدمان دسکتاپ

Yandex Browser 24.12.2.856 Win/Mac/Linux

Yandex Browser 24.12.2.856 Win/Mac/Linux

مرورگر یاندکس

RAM Manager Pro 8.7.3 for Android +3.0

RAM Manager Pro 8.7.3 for Android +3.0

مدیریت رم

مجله الکترونیکی دالان شماره 1 ، 2  ، 3 و 4

مجله الکترونیکی دالان شماره 1 ، 2 ، 3 و 4

مجله تخصصی مهندسی عمران و معماری دالان شماره های اول ، دوم ، سوم و چهارم

Telerik Collection for .NET 2022 R3 Retail / 2021 R3 SP1 / 2020 R1 / 2019 SP1 R2

Telerik Collection for .NET 2022 R3 Retail / 2021 R3 SP1 / 2020 R1 / 2019 SP1 R2

مجموعه کامل کامپوننت های شرکت تلریک

Dave the Diver

Dave the Diver

ماجراجویی و نقش‌آفرینی برای کامپیوتر

Hotdog Hotshot

Hotdog Hotshot

هات‌داگ فروش حرفه‌ای

PAC-MAN 10.2.1 For Android +4.1

PAC-MAN 10.2.1 For Android +4.1

جدیدترین نسخه بازی مهیج پکمن(نقطه خور)

Crysis Remastered v20210917 + Update 3 (aka Patch 3)

Crysis Remastered v20210917 + Update 3 (aka Patch 3)

کرایسیس

مفاتیح الجنان 1.0

مفاتیح الجنان 1.0

مفاتیح صوتی

Hexagon PPM CAESAR II 2019 11.00.00.4800 / 2018 v10.00.00.7700 / 2017 v9.00.00

Hexagon PPM CAESAR II 2019 11.00.00.4800 / 2018 v10.00.00.7700 / 2017 v9.00.00

تجزیه و تحلیل سیستم لوله کشی

قرائت دعای توسل توسط حاج سید مهدی میرداماد

قرائت دعای توسل توسط حاج سید مهدی میرداماد

قرائت سید مهدی میرداماد دعای توسل

DaVinci Resolve Studio 19.1.2 (x64)

DaVinci Resolve Studio 19.1.2 (x64)

داوینچی ریزالو

سخنرانی حجت الاسلام حسینی قمی با موضوع چرایی به مقتل کشیده‌ شدن امام حسین (ع)

سخنرانی حجت الاسلام حسینی قمی با موضوع چرایی به مقتل کشیده‌ شدن امام حسین (ع)

حاج آقا حسینی قمی با موضوع به مقتل کشیدن امام حسین (ع)

Microsoft Support and Recovery Assistant 17.01.2176.000

Microsoft Support and Recovery Assistant 17.01.2176.000

رفع مشکلات ویندوز

Pathway + Updates

Pathway + Updates

بهترین بازی استراتژیک کامپیوتر

تلاوت مجلسی استاد طه الفشنی سوره مبارکه نصر

تلاوت مجلسی استاد طه الفشنی سوره مبارکه نصر

تلاوت طه الفشنی سوره نصر

Lazy Swipe 2_28 for Android +4.0

Lazy Swipe 2_28 for Android +4.0

دسترسی آسان به برنامه ها و امکانات

Pool Nation

Pool Nation

پول نَشِن - شبیه‌ساز بیلیارد

Lockdown Pro 2.7.0 for Adnroid +3.0

Lockdown Pro 2.7.0 for Adnroid +3.0

رمز گذاری برنامه ها

Adobe Photoshop Lightroom 8.3.1 / 7.0 / 6.2 / 5.5 / 4.4

Adobe Photoshop Lightroom 8.3.1 / 7.0 / 6.2 / 5.5 / 4.4

فتوشاپ لایت روم

Ahkam alWahid 1.3 for Android

Ahkam alWahid 1.3 for Android

احکام حضرت ایت الله العظمی وحید خراسانی (مدظله)

proDAD Disguise 2.0.215.1

proDAD Disguise 2.0.215.1

سانسور فیلم

Zone Of The Enders: The 2nd Runner - MARS

Zone Of The Enders: The 2nd Runner - MARS

انیمه ای

PhotoZoom Pro 8.1.0 + Classic / 7.0.8 / macOS

PhotoZoom Pro 8.1.0 + Classic / 7.0.8 / macOS

بزرگ کردن تصاویر فوتو زوم

Hide It Pro 8.0.5 for Android +3.0

Hide It Pro 8.0.5 for Android +3.0

مخفی کردن تصاویر، ویدئوها، صداها، اطلاعات شخصی، پیام ها،.....

Absolute Drift

Absolute Drift

دریفت کردن با ماشین

Google Seo Secrets

Google Seo Secrets

رازهای بهینه سازی صفحات وب

Revo Uninstaller Pro 5.3.7

Revo Uninstaller Pro 5.3.7

ریوو آنستالر

Audio MP3 Cutter Mix Converter and Make Ringtones 1.86 Pro For Android +4.0

Audio MP3 Cutter Mix Converter and Make Ringtones 1.86 Pro For Android +4.0

برنامه ویرایش و برش صدا

مداحی بسیار زیبا با صدای مجتبی رمضانی

مداحی بسیار زیبا با صدای مجتبی رمضانی

مداحی غریبه توسط مجتبی رمضانی

طراحی آسان صفحات وب با دروپال

طراحی آسان صفحات وب با دروپال

آشنایی با برنامه مدیریت محتوای دروپال

سخنرانی حجت الاسلام جمالی با موضوع اهمیت اربعین و زیارت مشاهد مشرفه

سخنرانی حجت الاسلام جمالی با موضوع اهمیت اربعین و زیارت مشاهد مشرفه

سخنرانی اهمیت اربعین و زیارت مشاهد مشرفه محمد جمالی

File Commander 10.0.52134 for Android +7.0

File Commander 10.0.52134 for Android +7.0

فایل منیجر کامندر

Droid Transfer 1.67

Droid Transfer 1.67

انتقال اطلاعات بین دستگاه های اندرویدی و کامپیوتر

خبرنامه

با عضویت در خبرنامه، زودتر از همه باخبر باش!