شماره: IRCNE2014042160
تاريخ:26 /01/93
چهار محقق كه به طور جداگانه بر روي رخنه HeartBleed كار كرده بودند نشان دادند كه كليد خصوصي رمزگذاري سرور مي تواند با استفاده از مشكل HeartBleed افشاء شود.
اين رقابت از آن جا آغاز شد كه شركت CloudFlare از محققان امنيت خواست تا به اين پرسش جواب دهند كه رخنه افشاء شده HeartBleed مي تواند براي دسترسي به كليد خصوصي استفاده شده در يك كانال رمزگذاري شده بين كاربران و وب سايت ها استفاده شود.
كليد خصوصي بخشي از گواهينامه امنيتي است كه بررسي مي كند رايانه كلاينت به وب سايت تقلبي كه سعي دارد خودش را معتبر نشان دهد متصل نشود. رايانه كلاينت پس از بررسي درصورتي كه گواهينامه وب سايت نامعتبر باشد، هشداري را نشان مي دهد.
محققان امنيتي بر اين باور هستند كه اين امكان وجود دارد كه بتوان با استفاده از رخنه HeartBleed، كليد خصوصي را افشاء كرد.
Nick Sullivan از شركت امنيتي CloudFlare بر روي وب سايت اين شركت نوشت: اين نتيجه به ما يادآوري مي كند كه قدرت اين رخنه را ناديده نگيريم و بر تاثير مخرب اين آسيب پذيري تاكيد مي كند.
با بدست آوردن كليد خصوصي يك گواهينامه SSL/TLS، يك مهاجم مي تواند يك وب سايت تقلبي را به گونه اي تنظيم كند كه از بررسي هاي امنيتي عبور نمايد. آن ها هم چنين مي توانند ترافيك بين يك كلاينت و سرور را رمزگشايي نمايند.
محققان هم چنان در تلاش هستند تا شرايطي كه داده هاي خاص مي تواند تحت آن شرايط آشكار شود را بيابند. OpenSSL يك برنامه منبع باز است كه در طيف وسيعي از سيستم عامل ها، برنامه هاي كاربردي تلفن همراه ، مسيرياب ها و ديگر تجهيزات شبكه استفاده مي شود.
هم چنان كد سوء استفاده اي كه هر يك از محققان براي بدست آوردن كليد خصوصي طراحي كرده اند، افشاء نشده است.
- 8