افشای کلیدهای رمزگذاری سرورها با استفاده از رخنه ˈخونریزی قلبیˈ

 محققان امنیتی بر این باور هستند که می توان با استفاده از باگ خونریزی دهنده یا HeartBleed، کلید خصوصی کاربران را افشا کرد.
 

به گزارش ایرنا و به نقل ازمرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ˈماهرˈ، چهار محقق که به طور جداگانه بر روی رخنه HeartBleed کار کرده بودند نشان دادند که کلید خصوصی رمزگذاری سرور می تواند با استفاده از مشکل HeartBleed افشاء شود.

این رقابت از آن جا آغاز شد که شرکت CloudFlare از محققان امنیت خواست تا به این پرسش جواب دهند که رخنه افشا شده HeartBleed می تواند برای دسترسی به کلید خصوصی استفاده شده در یک کانال رمزگذاری شده بین کاربران و وب سایت ها استفاده شود.

کلید خصوصی بخشی از گواهینامه امنیتی است که بررسی می کند رایانه کلاینت به وب سایت تقلبی که سعی دارد خودش را معتبر نشان دهد متصل نشود. رایانه کلاینت پس از بررسی درصورتی که گواهینامه وب سایت نامعتبر باشد، هشداری را نشان می دهد.

Nick Sullivan از شرکت امنیتی CloudFlare بر روی وب سایت این شرکت نوشت: این نتیجه به ما یادآوری می کند که قدرت این رخنه را نادیده نگیریم و بر تاثیر مخرب این آسیب پذیری تاکید می کند.

با بدست آوردن کلید خصوصی یک گواهینامه SSL/TLS، یک مهاجم می تواند وب سایت تقلبی را به گونه ای تنظیم کند که از بررسی های امنیتی عبور نماید. آن ها همچنین می توانند ترافیک بین یک کلاینت و سرور را رمزگشایی نمایند.

طبق این گزارش، محققان همچنان در تلاش هستند تا شرایطی که داده های خاص می تواند تحت آن شرایط آشکار شود را بیابند. OpenSSL یک برنامه منبع باز است که در طیف وسیعی از سیستم عامل ها، برنامه های کاربردی تلفن همراه ، مسیریاب ها و دیگر تجهیزات شبکه استفاده می شود.

همچنان کد سواستفاده ای که هر یک از محققان برای بدست آوردن کلید خصوصی طراحی کرده اند، افشاء نشده است.