TechBord Logo
TechBord detail

حفره امنیتی خون دل (Heartbleed) چیست؟

Heartbleed یک حفره امنیتی در OpenSSL است که توسط شرکت امنیتی فنلاندی Codenomicon کشف شد و در 7 آوریل 2014 منتشر شد. OpenSSL فناوری رمزگذاری (Encryption) است که برای ایجاد اتصالات وب سایت ایمن از طریق پروتکل حمل و نقل ابرمتن ایمن (HTTPS)، شبکه خصوصی مجازی (VPN) را ایجاد کنید و چندین پروتکل (Protocol) دیگر را رمزگذاری کنید. از آنجایی که OpenSSL تقریباً توسط دو سوم وب سرور (Web Server) استفاده می‌شود، این آسیب‌پذیری یکی از مهم‌ترین حفره‌های امنیتی کشف‌شده از ابتدای وب در نظر گرفته می‌شود.

Heartbleed چگونه کار می‌کند؟

بهره برداری Heartbleed از ارتباط اولیه بین مشتری (Client) و سرور (Server) استفاده می کند. این مرحله مقدماتی معمولاً «دست دادن» نامیده می‌شود، اگرچه OpenSSL نوعی تغییر به نام «ضربان قلب» ارائه می‌کند. ضربان قلب برای ایجاد یک اتصال ایمن استفاده می شود، اما داده های منتقل شده در طول ضربان قلب به طور ایمن ارسال نمی شود.

با ارسال اطلاعات نادرست به سرور، هکر (Hacker) می تواند 64 تکه های داده از کیلوبایت (Kilobyte) سرور. در حالی که این مقدار کمی از داده است، کافی است حاوی حافظه پنهان (Cache)، نام کاربری (Username) یا سایر اطلاعات محرمانه باشد. با انجام چندین درخواست پشت سر هم، یک هکر می تواند به طور بالقوه مقادیر زیادی از داده های خصوصی ذخیره شده در حافظه یک سرور را ضبط کند.

Heartbleed کلمه عبور (Password) مختص OpenSSL 1.0.1 تا 1.0.1f و نسخه 1.0.2-beta1. سایر نسخه‌های OpenSSL و سایر انواع پیاده‌سازی TLS (امنیت لایه حمل‌ونقل) تحت تأثیر قرار نمی‌گیرند. پس از مشخص شدن این اشکال در 7 آوریل، بسیاری از وب سرورها بلافاصله با نسخه 1.0.1g وصله شدند. با این حال، مشخص نیست که چه تعداد از سرورها تحت تأثیر قرار گرفته اند و چه تعداد هنوز از نسخه آسیب پذیر OpenSSL استفاده می کنند.

Heartbleed چگونه بر من تأثیر می گذارد؟

بعید است که شما مستقیماً تحت تأثیر باگ Heartbleed قرار گرفته باشید. در حالی که حفره امنیتی به مدت دو سال کشف نشد، شواهد کمی وجود دارد که نشان دهد این اکسپلویت به طور گسترده مورد استفاده قرار گرفته است. با این حال، برای ایمن بودن، می‌توانید با به‌روزرسانی گذرواژه‌های خود برای وب‌سایت حشره (Bug)، حساب‌های ایمیل و سایر سرویس‌های آنلاین از خود محافظت کنید.

دیگر مطالب جذاب در مجموعه اینترنت

تعریف اصطلاح حفره امنیتی خون دل (Heartbleed) توسط تک بورد

تعریف حفره امنیتی خون دل (Heartbleed) در این صفحه یک تعریف پایه نگاشته شده توسط تک بورد است. اگر مایل به ارجاع به این صفحه یا استناد به این تعریف هستید، با شرط درج لینک به این صفحه می توانید از این محتوا استفاده کنید.

هدف تک بورد توضیح اصطلاحات کامپیوتری به روشی است که به راحتی قابل درک باشد. ما برای سادگی و دقت با هر تعریفی که منتشر می کنیم تلاش می کنیم. اگر بازخوردی درباره تعریف حفره امنیتی خون دل (Heartbleed) دارید یا می‌خواهید یک اصطلاح فنی جدید پیشنهاد کنید، لطفاً با ما تماس بگیرید.

آیا می خواهید اصطلاحات فنی بیشتری یاد بگیرید؟ در خبرنامه روزانه یا هفتگی مشترک شوید و شرایط و آزمون های ویژه را در ایمیل خود تحویل بگیرید.