واضح آرشیو وب فارسی:ایرنا:
حفره امنیتی خونریزی قلبی 2 کشف شد تهران - ایرنا - یک دانشجوی سنگاپوری حفره امنیتی جدیدی موسوم به خونریزی قلبی 2 کشف کرد که هکرها از طریق این حفره می توانند بدون آنکه کاربر متوجه شود، اطلاعات او را از روی رایانه سرقت کنند.
به گزارش ایرنا از CNET ، حفره کشف شده روی پروتکل امنیتی OAuth 2.0 و OpenID است که به هکر اجازه می دهد تا از سایتهای واقعی و قانونی پاپ آپ های (پنجره های بازشو که در صورت ورود به سایت میزبان در قالب پنجره های سرگرمی یا لینک های مفید باز می شوند) فیشینگ ( تلاش برای به دست آوردن اطلاعات کابران اینترنتی) را روی رایانه قربانی اجرا کند.
همچنین با تکنیک های جعل دامنه، هکرها می توانند اطلاعات ریز کاربران هنگام ورود اطلاعات بدست آورده و با مهندسی معکوس دومین های فیس بوک، گوگل، یاهو و مایکروسافت را ساخته و با رفتن قربانی بر روی این سایت های جعلی اطلاعات کاربران را به سرقت برند.
** OAuth یک قرارداد باز است که به کاربران خدمات اینترنتی بکارگیرنده آن اجازه می دهد اطلاعات کاربری شان را بدون نیاز به دادن گذرواژه و نام کاربری ، به صورت امن ، با خدمات دیگر به اشتراک بگذارند.
**OpenID یک سامانه single sign-on یا شناسایی یگانه است. با استفاده از وب گاه های پشتیبان از اُپن آی دی ، کاربران وب نیازی به خاطر سپردن نشانه های رایج شناسایی مانند نام کاربری و گذرواژه نخواهند داشت.
** تکنیک جعل دامنه تکنیکی است که به هکر امکان می دهد یک آدرس آی پی (شناسه کاربران اینترنت ) نادرست ایجاد کرده و ترافیک اینترنتی را به سمت رایانه دیگری (رایانه مهاجم) منحرف کند.
*** خونریزی قلبی چیست؟
پیش از این حفره امنیتی خونریزی قلبی بخشی از یک نرم افزار با نام OpenSSL را تحت تاثیر قرار داد.
با استفاده از OpenSSL وب سایت ها می توانند اطلاعات خود را بصورت رمزنگاری شده در اختیار کاربران قرار دهند، از این رو سایر افراد توانایی دسترسی و استفاده از داده های رد و بدل شده را که شامل نام های کاربری، رمز های عبور و کوکی ها است ، ندارند.
برنامه OpenSSL یک پروژه متن باز است ، یعنی این پروژه توسط مجموعه ای از افراد متخصص توسعه داده شده است که در قبال سرویس توسعه داده شده هزینه ای را دریافت نکرده اند.
هدف این افراد کمک به توسعه وب و یاری جامعه اینترنت بوده است. نسخه 1.0.1 پروژه ی OpenSSL در 19 آپریل 2012 میلادی منتشر شده است.
مشکل پیش آمده ناشی از یک اشتباه برنامه نویسی در همین نسخه است که اجازه کپی برداری از اطلاعات موجود در حافظه وب سرور را به یک فرد یا نرم افزار مخرب بدون ثبت اثری از آن می دهد.
خونریزی قلبی یکی از ویژگی های داخلی OpenSSL را با نام Heartbeat یا ضربان قلب را مورد استفاده قرار می دهد. زمانی که رایانه کاربر به یک وب سایت دسترسی پیدا می کند ، وب سایت پاسخی را به مرورگر کاربر ارسال می کند تا رایانه کاربر را از فعالیت خود و همچنین قابلیت پاسخ گویی به درخواست های بعدی آگاه سازد ، این رد و بدل شدن اطلاعات را ضربان قلب گویند.
ارسال درخواست و پاسخ به آن با رد و بدل شدن داده ها همراه است. در حالت طبیعی، زمانی که رایانه کاربر درخواستی را از سرور به عمل می آورد، ضربان قلب میزان داده مجاز درخواست شده از طرف کاربر را ارسال می کند، اما در مورد سرورهایی که این باگ را در ساختار خود دارند ، یک هکر قادر است تا درخواستی را مبنی بر گرفتن داده ها از حافظه سرور ارسال کرده و داده ای را با حداکثر اندازه ی 65,536 بایت دریافت کند.
با اتصال رایانه های بیشتر به سرور اطلاعات موجود در حافظه ی از بین رفته و اطلاعات جدید جایگزین می شود، از این رو صدور درخواست های جدید توسط هکرها منجر به دریافت اطلاعات جدیدتری خواهد شد که شامل اطلاعات ورود، کوکی ها و داده هایی می شود که هکرها می توانند از آن ها بهره برداری نمایند.
***کدام سایت ها در قبال خونریزی قلبی 2 آسیب پذیر هستند
بر اساس خبر پایگاه اینترنتی CNET تحقیقات اولیه دانشجوی سنگاپوری نشان داده که ورود به فیس بوک آسان نبوده اما گوگل و مایکروسافت آسیب پذیر نشان داده اند.
علمی(2)**1746**1440
انتهای پیام /*
: ارتباط با سردبير
[email protected]
15/02/1393
این صفحه را در گوگل محبوب کنید
[ارسال شده از: ایرنا]
[تعداد بازديد از اين مطلب: 31]