♟نکات و گوشزدهای امنیتی♟_ امتیاز ویژه

در اخباری که به تازگی منتشر شده است ابعاد حمله به وب*گاه OpenSSL بررسی شد، و عنوان شد که مخزن*های این کتاب*خانه*ی رمزنگاری مورد نفوذ قرار نگرفته*اند و سایر بخش*های نفوذ توسط مسئولان امنیتی این وب*گاه در حال بررسی می*باشد. 

پس از گذشت چند روز VMware اعلام کرده بود که نفوذ به این* وب*گاه به علت آسیب*پذیری*های VMware نبوده است و احتمالاً مشکلات خود OpenSSL و ضعف*های احتمالی این وب*گاه منجر به این نفوذ شده است.

اما OpenSSL نیز پس از آن گزارش داد که اصلاً به هیچ یک از کارگزاران آن*ها حمله*ای نشده است و به علت ضعف گذرواژه*ای که برای میزبان وب اتخاذ شده بود، مهاجم توانسته بود صفحه*ی index.html را تغییر دهد و پیامی را به مدت کمی در این وب*گاه نشان دهد و هیچ آسیب*پذیری در محصولات OpenSSL و یا حتی سامانه*عامل مورد استفاده مورد سوء*استفاده قرار نگرفته است. 

جزییات این حمله از زبان OpenSSL به شرح زیر است: 

«در تاریخ ۲۹ دسامبر، صفحه*ی اصلی وب*گاه OpenSSL مورد حمله قرار گرفت و در کمتر از ۲ ساعت این مشکل حل شد و صفحه*ی اصلی وب*گاه به حالت عادی بازگشت.

کارگزار OpenSSL یک کارگزار مجازی است که سامانه مدیریت خود را با سایر کابران در ISP به اشتراک می*گذارد. این حمله از طریق گذرواژه*ی نامطمئن در ارائه*دهنده*ی میزبان ناشی شده و به مهاجم اجازه داده است که کنسول مدیریتی را در دست بگیرد و در نهایت کارگزار مجازی این وب*گاه را تغییر دهد و تنها صفحه*ی اصلی index.html را به یک صفحه*ی دیگر تغییر داده شده است و هیچ حمله*ای علیه خود وب*گاه و یا مخازن OpenSSL صورت نگرفته است.»

OpenSSL فقط یک پروتکل ساده*ی SSL یا TLS نیست و یک کتاب*خانه*ی بزرگ و مهم رمزنگاری است که توسط بسیاری از نرم*افزار*های تجاری مورد استفاده قرار می*گیرد و اگر این حمله به صورتی بود که مهاجم می*توانست به مخازن OpenSSL دست*رسی پیدا کند و بدافزار یا درپشتی به این منابع تزریق کند، ممکن بود عواقب بسیار مهمی در پی داشته باشد. 

اما فقط با یک بی*دقتی در انتخاب گذرواژه، مهاجمین توانسته*اند یادآوری کنند که انتخاب گذرواژه*ی مناسب تا این حد مهم است و به راحتی می*توان بدون توجه به تمام تجهیزات امنیتی، اصول امنیتی یک وب*گاه را زیر سؤال برد.