گفتمان ارتباطات

و پدر ارتباط برقرار کرد، گندم خورد

گفتمان ارتباطات

و پدر ارتباط برقرار کرد، گندم خورد

به نام خداوندی که قلم و آنچه می‌نگارد را حرمت بخشید

در این فضا سعی بر آن دارم در حوزه ارتباطات و شاخه‌های مرتبط آن
و گاهی
نوشته های شخصی مطالبی را بنویسم و منابعی را ارائه دهم.

* استفاده از مطالب با نام افراد دیگر پسندیده نیست!

پیوندهای روزانه

۲ مطلب با کلمه‌ی کلیدی «openSSL» ثبت شده است

در جهل خود بمان و از این جهل نهایت لذت را ببر!

چهارشنبه, ۲۰ فروردين ۱۳۹۳، ۰۲:۴۳ ب.ظ

افراد بسیاری هستند که وقتی برای خرید مراجعه می‌کنند از فروشنده کیفیت، قیمت، کارخانه سازنده و غیره را می‌پرسند چرا که می‌خواهند کالا و خدماتی را که دریافت کنند از جنبه‌های مختلف در سطح بالای باشد. در نظر بگیرید فردی برای ساختمان نیمه‌کاره خود قصد خرید سنگ و کاسه توالت را دارد از فروشنده سوالهای مختلف می‌کند که فلان مدل بهتر است یا جنس کدام خوب است یا کدام جنس از مواد خارجی است و غیره؛ در حالی که می‌داند استفاده از این کاسه تنها برای ...... و ...... است. و پس از خرید هم کلی تشکر کرده و هزینه‌ای آن را پرداخت می‌کند.

اما اگر متخصص امنیت فضای سایبر به رایگان و بدون هیچ چشم‌داشتی اطلاعات به روز خود را به اشتراک بگذارد؛ چه تعداد هستند که به تمسخر می‌پردازند. خب عزیز من شما که برای خرید حلبی هم به حلبی فروش مراجعه می‌کنی برای امنیت اطلاعات خود در فضای سایبر هم به متخصص امنیت مراجعه کن. اصلا مراجعه نکن! اگر این فرد شما را برای حفظ امنیت خود در این فضا راهنمایی کرد؛ گوش نکن.

نه اینکه ایمیل بزنی و علم، اطلاعات، دانش و تخصص متخصصین این حوزه را به تمسخر بگیری.

عزیز دل برادر!

در جهل خود بمان و از این جهل نهایت لذت را ببر!

اما توضیح به زبان ساده پست قبل با عنوان: در معرض خطر قرار گرفتن ارتباطات در یاهو

زمانی که شما از طریق کلاینت خود به سروری وصل می‌شوید که از شما نام کاربری (آیدی) و گذرواژه (پسورد) می‌خواهد. پروتکلی به نام SSL ارسال نام کاربری و گذره واژه شما را به صورت کد به سرور مثلا یاهو ارسال می‌کند و سرور یاهو هم پاسخ آن را به صورت کدگذاری شده به سیستم شما می‌فرستد و شما وارد حساب کاربری خود می‌شوید. حال اگر این پروتکل وجود نداشته باشد و هکری میان راه این ارسال و دریافت قرار بگیرد می‌تواند نام کاربری و گذرواژه شما را مشاهده کند. در حالی که شما به ایمیل خود وصل شده‌اید غافل از اینکه هکری پسورد شما را ربوده است.

این پروتکل روند این ارسال و دریافت را کدگذاری می‌کند. حالا اگر همین پروتکل دچار حفره امنیتی(باگ) شود هکر با وجود اینکه شما از SSL استفاده می‌کنید باز هم موفق به ربودن گذرواژه شما می‌شود.

Heartbleed نیز یک حفره و نقص امنیتی است که بسیاری از سایتها از آن استفاده می‌کنند. اینگونه سایتها بایستی برای حفظ امنیت اطلاعات کاربران خود  باگ مربوطه را رفع کنند. حالا فردی ایمیل زده که اگر اینطور است پس چطور من ایمیل شما را دیدم و عجب پارادوکسی!

یا فرد دیگری به تمسخر این پرداخته که یاهو بلد نیست، شما بلدی و .....

این هم جزئی از فرهنگ برخی از ما ایرانی‌هاست.

بگذریم. این هم خبر این باگ در یاهو از سایت cnet.com


لینک خبر


در ایران در این سایتها این آسیب پذیری دیده شده است:

yahoo.com
alexa.com
stackoverflow.com و همه سایت‌های مرتبط با آن

صفحه اصلی بانک سامان (sb24.com)
شاپرک (shaparak.ir) شبکه الکترونیکی پرداخت کارت شاپرک
سرویس ایمیل ملی شرکت پست mail.post.ir
مرکز ملی ثبت دامنه .ir در nic.ir
مرکز آپای شریف (cert.sharif.edu)
باشگاه خبرنگران صداوسیما yjc.ir
ایمیل دانشگاه تهران utservm.ut.ac.ir
ایمیل دانشگاه امیرکبیر webmail.aut.ac.ir
همراه اول (mci.ir)
خبرگزاری ictna.ir
خبرگزاری jahannews.com
سایت barnamenevis.org
سامانه دفاتر پیشخوان دولت dpd.ir
معاونت آموزشی وزارت علوم emsrt.ir (و wiki.emsrt.ir)
راهنمای جامع صنعت فناوری اطلاعات ictkey.ir
شبکه مجازی ایرانیان (hammihan.com)
بیمه معلم (bimegar.ir)
پایگاه خبری صراط (seratnews.ir)
میهمن میل (mihanmail.ir)
ایمیل ملی ایرانی وطن میل (vatanmail.ir)
میل سرا mailsara.ir
بانک رفاه refah-bank.ir
اینترنت بانک بانک رفاه (rb24.ir)
ایمیل همراه اول mail.mci.ir
فروشگاه اینترنتی سروش مدیا (soroush.tv)
کافه بازار (cafebazaar.ir)
سیبچه sibche.ir
فروشگاه اینترنتی فینال (final.ir)
سایت قطره (ghatreh.com)
شبکه اجتماعی هم‌میهن (hammihan.com)
زومیت (zoomit.ir)
شرکت آسیاتک (asiatech.ir)
صراط نیوز (seratnews.ir)
ممتاز نیوز (momtaznews.com)
بازی عصر پادشاهان (kingsera.ir)
درگاه خرید اینترنتی بلیط اتوبوس (payaneh.ir)
تلوبیون (telewebion.com)
تهران کالا (tehrankala.com)
سایت عقیق (aghigh.ir)
روزنامه کیهان (kayhan.ir)
سایت مسابقه امنیت سایبری اسیس (ctf.asis.io)


آنکس که بداند و بداند که بداند
اسب طرب خویش به افلاک رساند
آنکس که نداند و بداند که نداند
آن هم خرک لنگ بمنزل برساند
آنکس که بداند و نداند که بداند
بیدارْش نمائید که بس خفته نماند
آنکس که نداند و نداند که نداند
در جهل مرکب ابدالدهر بماند.

در معرض خطر قرار گرفتن ارتباطات در یاهو

سه شنبه, ۱۹ فروردين ۱۳۹۳، ۱۰:۳۲ ب.ظ

امروز خبری منتشر شد که در openSSL رخنه‌ای پیدا شده با عنوان Heartbleed که در صورت سوء استفاده موفقیت آمیز از این آسیب پذیری، مهاجمان می توانند تمامی اطلاعات ردو بدل شده بین کاربر و یک ارائه دهنده خدمات وب را مشاهده نمایند و یا حتی می توانند ترافیک های جمع آوری شده را رمزگشایی کنند. هم چنین مهاجمان می توانند ارتباطات را استراق سمع کنند، داده ها را به طور مستقیم از کاربران و وب سایت ها به سرقت ببرند و یا حتی هویت کاربر و سرویس را جعل کنند.

با توجه به اینکه این باگ هنوز در سایت یاهو وجود دارد و توسط متخصصین یاهو پچ نشده است. قویاً توصیه می‌کنم:

1- در صورتی که صاحب سایت هستید هر چه سریعتر این کتابخانه را به ورژن‌های جدید به روز رسانی کنید.

2- برای اطلاع از اینکه سایت شما دارای این آسیب‌پذیری است از سایت زیر استفاده کنید:


http://filippo.io/Heartbleed


3- تحت هیچ شرایط تا اطلاع از آگاهی رفع این باگ به ایمیل خود در یاهو لاگین نکنید. زیرا طبق اعلام یکی از متخصصین در توییتر ایمیل و پسورد به راحتی مشاهده می‌شود.

4- پس از پچ شدن این باگ حتما پسورد ایمیل خود را تعویض و اطلاعات کاربری خود را چک کنید.

5 برای بسیاری از سایتها این باگ هنوز وجود دارد؛ بنابراین موارد امنیت سایبری خود را در نظر داشته باشید.


متن خبر:


کارشناسان امنیت رایانه به ادمین ها توصیه می کنند تا رخنه جدی موجود در یک کتابخانه نرم افزاری که توسط میلیون ها وب سایت برای رمزگذاری ارتباطات حساس استفاده می شود را اصلاح نمایند.

این رخنه با نام مستعار "Heartbleed" در چندین نسخه از OpenSSL وجود دارد. OpenSSL یک کتابخانه رمزگذاری است که رمزگذاری های SSL و TLS را ارائه می دهد. اکثر وب سایت ها برای رمزگذاری از SSL و TLS استفاده می کنند که در مرورگرها با علامت قفل نشان داده می شود.

این رخنه که برای اولین بار در دسامبر سال 2011 معرفی شد در OpenSSL نسخه 1.0.1g اصلاح شده است. نسخه های آسیب پذیر OpenSSL، نسخه های 1.0.1 تا 1.0.1f می باشد البته در این میان نسخه های 1.0.0 و 0.9.8 تحت تاثیر این رخنه قرار ندارند.

در صورت سوء استفاده موفقیت آمیز از این آسیب پذیری، مهاجمان می توانند تمامی اطلاعات ردو بدل شده بین کاربر و یک ارائه دهنده خدمات وب را مشاهده نمایند و یا حتی می توانند ترافیک های جمع آوری شده را رمزگشایی کنند. هم چنین مهاجمان می توانند ارتباطات را استراق سمع کنند، داده ها را به طور مستقیم از کاربران و وب سایت ها به سرقت ببرند و یا حتی هویت کاربر و سرویس را جعل کنند.

این رخنه توسط سه محقق از شرکت امنیتی Codenomicon و Neel Mehta از شرکت گوگل کشف شده است. دامنه این مشکل وسیع است و تمامی سیستم عامل های امروزی ممکن است نسخه ای آسیب پذیر از OpenSSL را داشته باشند. سیستم عامل هایی که ممکن است تحت تاثیر یک نسخه آُسیب پذیر از OpenSSL قرار داشته باشند عبارتند از: Debian Wheezy، Ubuntu 12.04.4 LTS، CentOS 6.5، Fedora 18، OpenBSD 5.3، FreeBSD 8.4، NetBSD 5.0.2 و OpenSUSE 12.2.

این کتابخانه در دو وب سرور معروف آپاچی و nginx مورد استفاده قرار می گیرد. هم چنین برای حفاظت از سرورهای پست الکترونیکی، سرورهای چت، شبکه های خصوصی مجازی و سایر لوازم شبکه از این کتابخانه استفاده می شود.

به مدیران شبکه توصیه می شود تا آخرین نسخه SSL را اعمال نمایند، کلیدهایی که ممکن است با مشکل مواجه شده باشند را لغو نموده و کلیدهای جدیدی ایجاد نمایند.