زمان کنونی: 1397-04-03, 06:08 ق.ظ
خوش آمدید، مهمان! (ورودثبت نام)
http://uploader.bushehrteam.com/do.php?imgf=137519987016081.jpg آموزش کوتاه روز : آیا می دانستید در محیط کد نویسی سی شارپ با دستور ";(System.Diagnostics.Process.Start("calc"" می توانید برنامه ماشین حساب ویندوز را اجرا کنید.
 ( آموزشهای کوتاه خود را در هر زمینه ای و در هر سطحی از طریق این لینک برای ما  بفرستید تا با نام خودتان روزانه در این قسمت قرار بگیرد)
قابل توجه اعضا و بازدیدکنندگان محترم سایت : دامنه کوتاه BUTM.IR در کنار دامنه اصلی ( BushehrTeam.Com ) به وب سایت متصل هست و می توانید به جای استفاده از دامنه BushehrTeam.Com  از دامنه BUTM.IR برای بازدید از سایت استفاده نمایید . . .

ارسال پاسخ 
 
امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5
اشتراک موضوع در Digg delsios Reddit Facebook Twitter StumbleUpon
باگ امنیتی بسیار خطرناک !
نویسنده پیام
*****
مدیر بخش
مدیر بخش هک و امنیت
وضعيت : آفلاین
ارسال ها:80
تاریخ ثبت نام:تير 1392
اعتبار: 8
سن:
ساکن:
حالت من:
سپاس ها: 196
سپاس شده 322 بار در 81 ارسال

ارسال: #1
باگ امنیتی بسیار خطرناک !
امروز (۱۹ فروردین ۱۳۹۳ و ۸ آوریل ۲۰۱۴) یک آسیب پذیری بسیار مهم در OpenSSL کشف و راه حل اجتناب از آن نیز ارائه شده است.این مشکل که به خونریزی قلبی شهرت یافته است، تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه می‌دهد که اطلاعاتی از سرورهای آسیب پذیر را سرقت کند.

این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد.از آنجا که متاسفانه با گذشت چندین ساعت از اعلام عمومی این خطر بی سابقه در جهان، متاسفانه هنوز در ایران اطلاع رسانی لازم صورت نگرفته است و بسیاری از سایت‌ها و کاربران ایرانی در معرض تهدید و خطر جدی هستند، شرکت بیان اطلاعات مربوط به این آسیب‌پذیری را برای اطلاع و رفع سریع‌تر آن منتشر می‌نماید. متاسفانه تا لحظه‌ی انتشار این خبر مراکز دولتی و دانشگاهی کشور که خود وظیفه رصد و پیش‌گیری از وقوع این مشکل را دارند، این آسیب پذیری در آن‌ها مشاهده شده است.

این مشکل در پیاده سازی پروتکل TLS کشف شده است، و باعث می‌شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده می‌کنند، آسیب پذیر باشند. همه‌ی ارتباط‌ها از طریق https (که بیشتر سرویس‌های برخط ایمیل، و چت از آن استفاده می‌کنند) smtp و imap (که برای تبادل ایمیل استفاده می‌شود) و اتصال‌های امن v** و SSH همه در معرض خطر هستند. این خطر ارتباط امن بانک‌های اینترنتی را نیز تهدید می‌کند.این مشکل خطرناک در حقیقت اجازه می‌دهد که هر کاربری در ارتباط دو سویه‌ی امن (با TLS) بتواند (در هر اتصال) 64KB از حافظه‌ی رایانه سوی دیگر ارتباط را بخواند (با تکرار این عمل می‌توان مقدار بیشتر از حافظه را استخراج کرد). این مقدار از حافظه‌ی RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد. ضمنا این مشکل تنها به سایت‌های https محدود نمی‌شود، بلکه هر سروری که به عنوان کاربر به https دیگر سایت‌ها نیز متصل می‌شود، آسیب پذیر است.بر اساس گزارش NetCraft در سال ۲۰۱۴ بیش از ۶۶٪ سایت‌ها از سرورهایی استفاده می‌کنند که بالقوه این آسیب پذیری را دارند. گستره و اهمیت این آسیب پذیری به حدی است یک سایت مستقل (heartbleed.com) برای توضیح جوانب مختلف آن ایجاد شده است.

 آیا رایانه من نیز آسیب پذیر است؟

فقط رایانه‌هایی که از Linux یا BSD استفاده می‌کنند و نسخه‌ی سیستم عامل آن‌ها جدیدتر از دو سال گذشته است، شامل این آسیب پذیری می‌شوند. البته متاسفانه بیشتر سرورهایی که در وب استفاده می‌شوند، در این گروه جای می‌گیرند ولی برای کاربران خانگی که ویندوز استفاده می‌کنند این آسیب پذیری وجود ندارد.سرورهایی که Ubuntu 12.04 به بالا یا Debian Wheezy  یا CentOS 6.5 یا Fedora 18 یا FreeBSD 8.4/9.1 یا OpenBSD 5.3 یا OpenSUSE 12.2 دارند آسیب پذیر هستند. البته سرورهای قدیمی‌تر که از نسخه‌های Debian Squeeze یا SUSE Linux Enterprise این آسیب پذیری را ندارند.

 آیا ضربه‌ای به اطلاعات شخصی من وارد خواهد شد؟

اگر فکر می‌کنید چون رایانه‌ی شما آسیب پذیر نیست، پس خطری شما را تهدید نمی‌کند، سخت در اشتباه هستید. هر گونه اطلاعاتی از شما که در وب وجود دارد (رمزهای عبور ایمیل، بانکی و ...) در معرض خطر است و اگر سرویس‌دهنده‌های اینترنتی سرورهای خود را بروز نکنند، خطر داده‌های کاربران را تهدید خواهد کرد و تضمینی وجود ندارد که یک خرابکار از آن استفاده نکرده باشد.

 این مشکل از کی و چگونه پیش آمده است؟

این مشکل اولین بار در سال ۲۰۱۱ ایجاد شده و با انتشار رسمی نسخه‌ی openssl 1.0.1 در ابتدای فروردین سال ۱۳۹۱ (۱۴ می ۲۰۱۲) عملا وارد دنیای وب شده است. از آن موقع تا کنون بیش از دو سال می‌گذرد و مشخص نیست که آیا در این زمان چه کس/کسانی از آن اطلاع داشته‌اند یا از آن سوء استفاده داشته‌اند.این مشکل برای اولین بار در ساعت ۲۲ (به وقت تهران) در ۱۸ فروردین در سایت رسمی openssl منتشر شد، و تحت نام رسمی CVE-2014-0160 شناخته می‌شود. همچنین به صورت غیر رسمی، نام heart-bleed «خونریزی قلبی» به این آسیب پذیری داده شده است (همراه با لوگویی که در بالا مشاهده می‌شود). این نام گذاری به دلیل این بوده که مشکل در ماژول heartbeat (ضربان قلب) از openssl رخ داده است.البته سرورهای بیان از قبل از افزونه‌ی heartbeat استفاده نمی‌کرده‌اند و بنابراین خطری کاربران و محصولات شرکت بیان را تهدید نمی‌کند. 

چگونه باید با این آسیب پذیری مقابله کرد؟

کاربران و مدیران سایت‌ها در صورتی که از سیستم‌عامل‌های ذکر شده استفاده می‌کنند، باید هر چه سریعتر آن را بروز کنند. با توجه به این که امکان سرقت هر گونه اطلاعات در این مدت وجود داشته است، معمولا به مدیران سطح بالا پیشنهاد می‌شود که رمزهای عبور خود را تغییر دهند و همچنین بهتر است certificate های لازم برای راه اندازی سایت‌های https و ... دوباره ساخته شوند. این عمل گرچه احتمالا برای مدیران سایت‌ها سنگین خواهد بود، ولی برای تضمین امنیت کامل لازم است.

 مثالی از امکان استفاده از این آسیب پذیری

در تصویر زیر که بر روی یک سرور واقعی داخل ایران تست شده است، داده‌های مربوط به یک کاربر ناشناس قابل نمایش است (با اینکه از ارتباط امن استفاده شده‌بوده است). (دو رقم آخر IP با xx جایگزین شده است)


[تصویر: do.php?imgf=1397099955271.png] 

در حال بروزرسانی

تیم امنیتی بیان تا کنون سرویس‌های بسیاری را یافته که این آسیب پذیری را هنوز دارند. برخی از مهمترین آن‌ها عبارتند است: (توجه: اکثر سایت های زیر طی چهل هشت ساعت از انتشار این مطلب، اقدام به برطرف کردن آسیب پذیری نموده اند)
  •  yahoo.com
  • alexa.com
  • stackoverflow.com و همه سایت‌های مرتبط با آن
  • صفحه اصلی بانک سامان (sb24.com)
  • شاپرک (shaparak.ir) شبکه الکترونیکی پرداخت کارت شاپرک
  • سرویس ایمیل ملی شرکت پست mail.post.ir
  • مرکز ملی ثبت دامنه .ir در nic.ir
  • مرکز آپای شریف (cert.sharif.edu)
  • باشگاه خبرنگران صداوسیما yjc.ir
  • ایمیل دانشگاه تهران utservm.ut.ac.ir
  • ایمیل دانشگاه امیرکبیر webmail.aut.ac.ir
  • همراه اول (mci.ir)
  • خبرگزاری ictna.ir
  • خبرگزاری jahannews.com
  • سایت barnamenevis.org
  • سامانه دفاتر پیشخوان دولت dpd.ir
  • معاونت آموزشی وزارت علوم emsrt.ir (و wiki.emsrt.ir)
  • راهنمای جامع صنعت فناوری اطلاعات ictkey.ir
  • شبکه مجازی ایرانیان (hammihan.com)
  • بیمه معلم (bimegar.ir)
  • پایگاه خبری صراط (seratnews.ir)
  • میهمن میل (mihanmail.ir)
  • ایمیل ملی ایرانی وطن میل (vatanmail.ir)
  • میل سرا mailsara.ir
  • بانک رفاه refah-bank.ir
  • اینترنت بانک بانک رفاه (rb24.ir)
  • ایمیل همراه اول mail.mci.ir
  • فروشگاه اینترنتی سروش مدیا (soroush.tv)
  • کافه بازار (cafebazaar.ir)
  • سیبچه sibche.ir
  • فروشگاه اینترنتی فینال (final.ir)
  • سایت قطره (ghatreh.com)
  • شبکه اجتماعی هم‌میهن (hammihan.com)
  • زومیت (zoomit.ir)
  • شرکت آسیاتک (asiatech.ir)
  • صراط نیوز (seratnews.ir)
  • ممتاز نیوز (momtaznews.com)
  • بازی عصر پادشاهان (kingsera.ir)
  • درگاه خرید اینترنتی بلیط اتوبوس (payaneh.ir)
  • تلوبیون (telewebion.com)
  • تهران کالا (tehrankala.com)
  • سایت عقیق (aghigh.ir)
  • روزنامه کیهان (kayhan.ir)
  • سایت مسابقه امنیت سایبری اسیس (ctf.asis.io)
ساعت ۱۵:۳۵: هنوز هیچ کدام از نهادی مسئول اطلاع رسانی نکرده‌اند
ساعت ۱۶:۱۰: هنوز هیچ کدام از نهادی مسئول اطلاع رسانی نکرده‌اند
ساعت ۱۶:۱۶: مشکل اینترنت بانک رفاه برطرف شده است. (البته مشکل refah-bank.ir برطرف نشده)
ساعت ۱۶:۲۰: آسیب پذیری stackoverflow.com برطرف شده است
ساعت ۱۶:۲۱: آسیب پذیری yahoo.com همچنان وجود دارد.
ساعت ۱۶:۲۱: آسیب پذیری بانک سامان sb24.ir همچنان وجود دارد.
ساعت ۱۶:۲۳: mail.post.ir آسیب پذیری را برطرف کرده است.
ساعت ۱۶:۲۵: مرکز آپا شریف آسیب پذیری را اصلاح کرده است.
ساعت ۱۶:۲۷: سایت همراه اول (mci.ir) هنوز آسیب پذیر است.
ساعت ۱۶:۲۸: سامانه دفاتر پیشخوان دولت (dpd.ir) نیز هنوز آسیب پذیر است.
ساعت ۱۷:۰۵: سرقت گسترده نام کاربری و رمز عبور ایمیل‌های yahoo.com کماکان ادامه دارد.
ساعت ۱۷:۰۸: بنابه دلایل امنیتی امکان مطرح کردن بسیاری از اتفاقات ناگواری که در کشور در حال رخ دادن است قابل انتشار نیست
ساعت ۱۷:۲۸: سایت همراه اول از دسترس خارج شده است.
ساعت ۲۰:۰۰: سایت همراه اول مجددا در دسترس قرار گرفته است ولی همچنان آسیب پذیر است!
 ساعت ۲۱:۰۰: سایت‌های nic.ir و yahoo.com همچنان آسیب پذیر هستند، میلیون‌ها رمز عبور از سایت yahoo.com و صدها رمز عبور نیز از سایت nic.ir تا کنون به سرقت رفته است.
 ساعت ۲۲:۰۲: سایت login.yahoo.com آسیب پذیری را مرتفع کرد، البته آسیب پذیری بر روی yahoo.com همچنان وجود دارد. به این ترتیب روند سرقت رمزعبورها متوقف شده است، اما سرقت ایمیل‌ها و ... هنوز امکان پذیر است. 
ساعت ۲۲:۰۵: آسیب پذیری در سایت mail.yahoo.com نیز مرتفع شده است ولی همچنان در خود yahoo.com وجود دارد. کاملا مشخص است که اکنون در قاره‌ی آمریکا صبح شده است و تازه مسئولین امنیتی یاهو دست به کار شده‌اند.
 ساعت ۲۲:۲۱: سرور سایت yahoo.com نیز بروز شد و آسیب پذیر نیست. البته سایت search.yahoo.com همچنان آسیب پذیر است. و همینطور en-maktoob.yahoo.com که صفحه پیش فرض کاربران ایرانی نیز هست. ۲۰ فروردین، ساعت ۱۰:۳۸: گرچه بسیاری از سایت‌های خارجی (حتی سرورهای yahoo.com) آسیب پذیری را مرتفع کرده‌اند اما شرکت‌ها داخلی مانند nic.ir و mci.ir همچنان آسیب پذیرند. 
۲۰ فروردین، ساعت ۱۵:۵۰: آسیب پذیر سایت‌های nic.ir و mci.ir نیز برطرف شد.
 ۲۰ فروردین، ساعت ۱۶:۵۵: از ۱۰،۰۰۰ سایت برتر جهان، ۱۳۵۰ مورد این آسیب پذیری را داشته‌اند. با بررسی واحد شبکه بیان نیز از ۵۰۰ سایت برتر در ایران، حدود ۵۰ سایت آسیب پذیر بوده‌اند (دقت کنید که بسیاری از ۵۰۰ سایت برتر ایران، سایت‌های خارجی هستند، مانند گوگل). این آمار برای ۱۰،۰۰۰ سایت برتر جهان که باید امن‌ترین سایت‌ها باشند، غیر قابل باور است.

منبع : bayan.blog.ir
 















[url=http://khabarup.net/]قیمت دلار
(آخرین ویرایش در 1393-01-21 08:01 ق.ظ توسط: sentak. دلیل ویرایش : )
1393-01-21 07:52 ق.ظ
یافتن همه ی ارسالهای این کاربر نقل قول این ارسال در یک پاسخ
 سپاس شده توسط sajad safaie ، ssarina ، Reza.Heydari ، omrani.meysam63 ، nahid
*****
مدیر بخش
مدیر بخش هک و امنیت
وضعيت : آفلاین
ارسال ها:80
تاریخ ثبت نام:تير 1392
اعتبار: 8
سن:
ساکن:
حالت من:
سپاس ها: 196
سپاس شده 322 بار در 81 ارسال

ارسال: #2
RE: باگ امنیتی بسیار خطرناک !
توصیه‌هایی به عموم کاربران اینترنت: 
  • اطلاعیه مربوط به معرفی تهدید امنیتی موسوم به خونریزی قلبی را به دقت مطالعه کنید.
  • از استفاده و ورود به (Login کردن) در سایت‌های آسیب پذیر تا اطلاع ثانوی خودداری کنید.
  • در صورتی که قبلاً در حساب کاربری خود در سایت‌های آسیب‌پذیر وارد شده‌اید، بهتر است از هرگونه دسترسی به این سایت‌ها خودداری کنید و حتی از حساب کاربری خود خارج نشوید (Logout نکنید).
  • از وارد کردن اطلاعات حساس (مانند اطلاعات مالی و اطلاعات شخصی) در وب‌سایت‌های آسیب‌پذیر اکیداً خودداری کنید.
  • مشاهده‌ی سایت‌های آسیب‌پذیری که در آنها عضو نیستید، هیچ آسیبی به شما نمی‌رساند.
  • پس از رفع کامل مشکل سایت‌های آسیب‌پذیر، حتماً رمز عبور خود را در این سایت‌ها تغییر داده و یک‌بار از حساب کاربری خود خارج شوید.
ابزار تشخیص برخط این آسیب پذیری:

شرکت بیان سایتی را برای تشخیص این آسیب پذیری طراحی نموده است تا مدیران سایت‌ها بتوانند از وضعیت آسیب پذیری سایت خود مطلع شوند و در صورت وجود مشکل بتوانند فورا نسبت به رفع آن اقدام نمایند. کافی است آدرس سایت خود را در کادر مربوطه وارد کرده و آخرین تحلیل امنیتی سایت خود را مشاهده نمایید. 

amn.bayan.ir

 توصیه به مدیران وب سایت ها و سرور‌ها:

این آسیب رسانی نرم‌افزارهای استفاده کننده از نسخه‌های بخصوصی از کتابخانه OpenSSL (نسخه‌‌ی 1.0.1 تا 1.0.1g)  را که شامل موارد زیر است را تحت تاثیر قرار می‌دهد و امکان استخراج ناخواسته اطلاعات حساس را به حمله‌کننده می‌دهد:
  • وب‌سرورها  و فایروال‌های نرم‌افزاری با قابلیت ارتباط امن HTTPS و TLS
  • سرویس‌های انتقال داده و پیام رسانی استفاده کننده از HTTPS
توصیه می‌شود در این خصوص به اخبار امنیتی سیستم‌عامل و نرم‌افزارهای مورد استفاده خود مراجعه کنید و مطمئن شوید از به‌روزترین نسخه‌های نرم‌افزارها در سرور خود استفاده می‌کنید. برای اطلاعات بیشتر به اینجا مراجعه کنید. 

توصیه به شرکت ها و سازمانها:

 کلیه شرکت ها، سازمان ها، وزارت خانه ها ادارات،  مراکز آموزشی و نهادهایی که در شبکه داخلی خود از Firewall یا UTM برای کنترل و مدیریت شبکه داخلی خود استفده می کنند لازم است هرچه سریعتر نرم افزار های به کار رفته در این تجهیزات را بررسی و در صورت لزوم به روز کنند در غیر اینصورت در معرض خطرات جبران ناپذیری خواهند بود.

 توصیه به مراکز آپا، مرکز ماهر و سایر نهاد های مسئول:

آپا مخفف "آگاهی‌رسانی، پشتیبانی و و امداد رایانه ای" است. وظیفه یک مرکز آپا در درجه اول تشخیص و اطلاع از یک آسیب پذیری و خطر در اینترنت و سپس کمک به مدیریت این قبیل حوادث امنیتی و راهنمایی برای برطرف کردن آسیب‌پذیری‌های کشور است. طی سال های گذشته بیش از ١٠ مرکز آپا و مراکز مشابه با بودجه ای عظیم و هنگفت در کشور راه اندازی شده است اما متاسفانه هیچ یک از این مراکز تخصصی، در مورد خونریزی قلبی به وظیفه خود عمل نکرده اند و چنان کند عمل می کنند که حتی یک روز بعد از اطلاع رسانی ها و تماس های مکرر شرکت بیان نیز، هنوز در سایت های خود هیچ هشداری را در این رابطه منتشر نکرده اند که جا دارد هرچه سریعتر اقدامات لازم را انجام دهند.

 منبع : bayan.blog.ir
 















[url=http://khabarup.net/]قیمت دلار
(آخرین ویرایش در 1393-01-21 08:27 ق.ظ توسط: sentak. دلیل ویرایش : )
1393-01-21 08:25 ق.ظ
یافتن همه ی ارسالهای این کاربر نقل قول این ارسال در یک پاسخ
 سپاس شده توسط sajad safaie ، ssarina ، Reza.Heydari ، omrani.meysam63 ، nahid
*****
مدیر بخش


مدیر بخش گرافیک
وضعيت : آفلاین
ارسال ها:259
تاریخ ثبت نام:آبان 1392
اعتبار: 5
سن: 27
ساکن: بوشهر
حالت من: عادی
سپاس ها: 872
سپاس شده 874 بار در 260 ارسال

ارسال: #3
RE: باگ امنیتی بسیار خطرناک !
تصویر: /images/smilies/yahoo/109.gifتصویر: /images/smilies/yahoo/109.gifتصویر: /images/smilies/yahoo/109.gif















[size=x-large]زندگی سرگذشت درگذشت آرزوهاست
1393-01-21 11:17 ق.ظ
یافتن همه ی ارسالهای این کاربر نقل قول این ارسال در یک پاسخ
 سپاس شده توسط ssarina ، Reza.Heydari ، omrani.meysam63 ، nahid
*****
مدیر بخش
مدیر بخش هک و امنیت
وضعيت : آفلاین
ارسال ها:80
تاریخ ثبت نام:تير 1392
اعتبار: 8
سن:
ساکن:
حالت من:
سپاس ها: 196
سپاس شده 322 بار در 81 ارسال

ارسال: #4
RE: باگ امنیتی بسیار خطرناک !
خطای Heartbleed یک آسیب‌پذیری بسیار مهم در کتاب‌خانه‌ی رمز‌نگاری OpenSSL می‌باشد، این آسیب‌پذیری امکان سرقت اطلاعاتی که با استفاده از رمزنگاری SSL/TSL رمز شده‌اند را فراهم می‌کند
.SSL/TLS وظیفه دارد امنیت جابه‌جایی داده را در نرم‌افزار‌های مبتنی بر وب نظیر وب، رایانامه، پیام فوری (IM) و برخی شبکه‌های خصوصیِ مجازی (v**) را فراهم کند.متاسفانه خطای OpenSS، همان‌طور که در اخبار قبلی در مورد آن توضیح داده شد، به مهاجم این امکان را می‌دهد تا از طریق اینترنت، به حافظه‌ی سامانه‌هایی که از نسخه‌های آسیب‌پذیرِ OpenSSL استفاده می‌کنند، دست‌رسی پیدا کنند.

این دست‌رسی، امکان تغییر و دست‌رسی به کلید خصوصی که توسط ارائه‌دهنده‌ی سرویس، برای ارتباط امن و رمزگذاری ترافیک شبکه، شناسه و گذرواژه‌ی کاربر و محتویات ارتباطات به‌کار گرفته می‌شود را برای مهاجم فراهم می‌کند و می تواند اقدام به سرقت تمامی این اطلاعات که کاربر تصور می‌کند رمز‌شده‌اند، داشته باشد.

واقعاً چه داده‌هایی ممکن است از طریق این آسیب‌پذیری در اختیار مهاجم قرار بگیرد؟


 برای این منظور، می‌بایست تمامی سرویس‌هایی که از OpenSSL برای رمزنگاری استفاده می‌کنند، از دید مهاجم بررسی شوند و متاسفانه می‌توان نشان داد که کلید‌های خصوصی، شناسه‌ها و گذرواژه‌ها، پیام‌های فوری، و رایانامه‌ها و اسناد محرمانه کاملاً از طریق این آسیب‌پذیری در دست‌رس هستند. (مطابق بررسی‌های وب‌گاه heartbleed.com که این تحلیل  را در سرویس‌های خود انجام داده است.)

چگونه می‌توان از این آسیب‌پذیری در امان ماند؟

  همان‌طور که در اخبار اشاره شده است، نسخه‌ی وصله‌شده‌ی OpenSSL، معرفی شده است و وب‌گاه‌ها و سرویس‌دهندگان ، توسعه‌دهندگان نرم‌افزاری و توزیع‌های مختلف لینوکس، باید هرچه سریع‌تر این نسخه را دریافت و اعمال کنند. این آسیب‌پذیری با شناسه‌ی CVE-2014-0160 معرفی شده است.

نکات مهم:

1.
بررسی کنید که آیا وب‌گاهی که از آن بازدید می‌کنید در مقابل این آسیب‌پذیری ایمن است یا خیر. خبر خوب این است که وب‌گاه‌های گوگل و فیسبوک از نسخه‌ی به‌روز OpenSSL استفاده می‌کنند، اما متاسفانه وب‌گاه‌هایی مانند یاهو، Duckduckgo و Flickr و چندین وب‌گاه پربازدید دیگر، فعلاً در مقابل این آسیب‌پذیری مصون نیستند و حتی اگر تاکنون نیز به‌روز شده باشند، ممکن است اگر در چند روز گذشته از سرویس‌های آن‌ها استفاده کرده باشید، اطلاعات شما درخطر باشد.نتیجه‌ی بررسی این آسیب‌پذیری در مورد بسیاری از وب‌گاه‌های محبوب از این‌جا در دست‌رس است. 

2. بررسی کنید که آیا وب‌گاهی که از آن بازدید می‌کنید، در حال حاضر در مقابل این آسیب‌پذیری مصون است یا خیر، می‌توانید از ابزار‌های برخطی مانند این وب‌گاه استفاده کنید. 


3.درصورتی که خطای وب‌گاه رفع شده است و این وب‌گاه قبلاً آسیب‌پذیر بوده است، باید گواهی‌نامه‌ی این وب‌گاه را دوباره دریافت کنید و مطمئن شوید که از گواهی‌نامه‌ای استفاده می‌کنید که مربوط به ۸ آوریل به‌بعد می‌باشد. برای این منظور، امکان بررسی اعتبار گواهی‌نامه‌ها را در مرورگر خود فعال کنید. به طور مثال در مرورگر کروم مانند تصویر زیر تنظیمات را تغییر دهید:
[تصویر: do.php?imgf=1397140787091.png]
این کار باعث می‌شود، مرورگر شما از باز کردن وب‌گاه‌هایی که دارای گواهی‌نامه‌های قدیمی هستند، اجتناب کند. برای بررسی تاریخ گواهی‌نامه به صورت دستی روی آیکون سبز‌رنگ کنار آدرس کلیک کنید، و مطابق تصویرزیر این اطلاعات را مشاهده کنید:
[تصویر: do.php?imgf=1397140875231.png]
 

 گذرواژه‌های خود را که در وب‌گاه‌های آسیب‌پذیر استفاده کرده‌اید، هرچه‌سریع‌تر تغییر دهید. متاسفانه، محققان اعلام کرده‌اند، بررسی این مسئله که مهاجم موفق به سوء‌استفاده از آسیب‌پذیری در وب‌گاه‌ها شده است یا خیر بسیار دشوار است و کاربران هشداری مبنی بر تغییر گذرواژه‌ی خود دریافت نمی‌کنند. 
 















[url=http://khabarup.net/]قیمت دلار
(آخرین ویرایش در 1393-01-21 07:17 ب.ظ توسط: sentak. دلیل ویرایش : )
1393-01-21 07:12 ب.ظ
یافتن همه ی ارسالهای این کاربر نقل قول این ارسال در یک پاسخ
 سپاس شده توسط Reza.Heydari ، omrani.meysam63 ، sajad safaie ، nahid
********
مدیر ارشد
مدیر ارشد سایت
وضعيت : آفلاین
ارسال ها:304
تاریخ ثبت نام:خرداد 1392
اعتبار: 10
سن: 25
ساکن: بوشهر
حالت من: شاد
سپاس ها: 1004
سپاس شده 1364 بار در 313 ارسال

ارسال: #5
RE: باگ امنیتی بسیار خطرناک !
ممنون Sentak عزیز
پست جالب و هیجان انگیزی بود
عالی بود
مرسی















پیروزی آن نیست که هرگز زمین نخوری، آنست که بعد از هر زمین خوردنی برخیزی.(مهاتما گاندی)
انجمن تخصصی برنامه نویسی و نرم افزار بوشهرتــیــــــــم
1393-01-21 11:28 ب.ظ
مشاهده سایت این کاربر یافتن همه ی ارسالهای این کاربر نقل قول این ارسال در یک پاسخ
 سپاس شده توسط omrani.meysam63 ، sajad safaie ، sentak ، nahid
****
کاربر فعال


NAHID
وضعيت : آفلاین
ارسال ها:286
تاریخ ثبت نام:آبان 1392
اعتبار: 7
سن:
ساکن: بوشهر
حالت من: شاد
سپاس ها: 763
سپاس شده 982 بار در 284 ارسال

ارسال: #6
RE: باگ امنیتی بسیار خطرناک !
جناب ، بسیار عالی بود
تشکر















[size=x-large]هنگامی که خدا انسان را اندازه می گیرد متر را دور قلبش می گذارد نه دور سرش ...
«نورمن وینسنت پیل»
 
1393-01-25 01:43 ب.ظ
مشاهده سایت این کاربر یافتن همه ی ارسالهای این کاربر نقل قول این ارسال در یک پاسخ
 سپاس شده توسط Reza.Heydari ، sentak ، sajad safaie ، omrani.meysam63
*****
مدیر بخش
مدیر بخش هک و امنیت
وضعيت : آفلاین
ارسال ها:80
تاریخ ثبت نام:تير 1392
اعتبار: 8
سن:
ساکن:
حالت من:
سپاس ها: 196
سپاس شده 322 بار در 81 ارسال

ارسال: #7
RE: باگ امنیتی بسیار خطرناک !
علی‌رغم این‌که کارشناسان امنیتی با تحلیل آسیب‌پذیری HeartBleed اعلام کردند که سوء‌استفاده از این آسیب‌پذیری چندان ساده نیست، اما در دو روز گذشته یک روش سوء‌استفاده از این آسیب‌پذیری که استفاده از آن چندان محال نیست، و متاسفانه امکان دست‌رسی به کلیدهای خصوصی SSL را نیز فراهم می‌کند، در حال انتشار است.

بی‌بی‌سی گزارش داده است که وب‌گاه Mumsnet قربانی سرقت گذرواژه‌ها از طریق این آسیب‌پذیری شده است و Canada Revenue Agency نیز مدعی شده است که قربانی این آسیب‌پذیری شده و نزدیک به ۹۰۰ شماره‌ی بیمه‌ی اجتماعی از این وب‌گاه به سرقت رفته است.
نفوذگرانی که گذرواژه‌های مربوط به وب‌گاه Mumsnet را به سرقت برده‌اند، روز جمعه اقدام به انتشار پست‌هایی در این وب‌گاه داشته‌اند و درست ۶ ساعت قبل از‌اینکه این وب‌گاه نسخه‌ی جدید  OpenSSL را نصب کند، نفوذگران موفق به سوء‌استفاده از آسیب‌پذیری آن شده‌اند.
محققان امنیتی هفته گذشته و پس از انتشار این آسیب‌پذیری به‌سرعت با تحلیل این آسیب‌پذیری گزارش دادند که سرقت اطلاعات محرمانه به صورت متن‌ساده و بدون رمزنگاری ممکن است، اما سرقت کلید خصوصی SSL که امکان دست‌رسی به تمام ترافیک وب‌گاه را بدون رمزنگاری فراهم می‌کند، امری بسیار محال است.

مهندس روسی، به‌نام Fedor Indutny، روز جمعه موفق به حل مسئله‌ی امنیتی مشهوری در مورد دست‌یابی به کلید‌های SSL در وب‌گاه CloudFlare،  شد، این مسئله نفوذگران را به چالش کشیده بود، البته جایزه‌ای ۱۰ هزار دلاری نیز برای فردی که موفق به سرقت کلید خصوصی با این آسیب‌پذیری شود نیز در نظر گرفته شده بود.
این محقق امنیتی، قبل از این‌که موفق به تشخیص کلید خصوصی شود، بیش از ۲.۵ میلیون بار، حمله‌ به این آسیب‌پذیری را در مورد این مسئله امتحان کرده و در نهایت روز جمعه در ساعت ۷:۲۲ موفق به حل این چالش امنیتی شده است و یک ساعت بعد، محقق دیگری به نام Ilkka Mattila کلید خصوصی را با نزدیک به ۱۰۰ هزار حمله تشخیص داده است.

روز شنبه، نیز دو محقق دیگر، موفق به ثبت کلید خصوصی این چالش امنیتی شده‌اند، یکی از این محققان دانشجوی دکترای دانشگاه کمبریج به نام Rubin Xu و دیگری محقق امنیتی به نام Ben Murphy می‌باشد.
بنابراین مشخص می‌شود که این آسیب‌پذیری نیز قابل سوء‌استفاده است و نمی‌توان سامانه‌ها را بدون نصب به‌روز‌رسانی رها کرد.

گزارش‌ها حاکی از آن است که NSA، سازمان امنیت ملی آمریکا که به جاسوسی‌های گسترده علیه کاربران اینترنت می‌پردازد، بیش از ۲ سال است که از این آسیب‌پذیری باخبر است و با احتمال زیادی به سوء‌استفاده از این آسیب‌پذیری پرداخته است، این‌ جاسوسی حتی صدای ریاست‌جمهور آمریکا، باراک اوباما را نیز درآورد و وی اعلام کرد که چنین عملی صراحتاً زیر پا گذاشتن قوانین امنیتی این کشور است.















[url=http://khabarup.net/]قیمت دلار
(آخرین ویرایش در 1393-01-29 12:38 ب.ظ توسط: sentak. دلیل ویرایش : )
1393-01-29 12:37 ب.ظ
یافتن همه ی ارسالهای این کاربر نقل قول این ارسال در یک پاسخ
 سپاس شده توسط nahid ، omrani.meysam63 ، sajad safaie ، Reza.Heydari
ارسال پاسخ 


موضوع‌های مرتبط با این موضوع...
موضوع: نویسنده پاسخ: بازدید: آخرین ارسال
  کشف یک باگ امنیتی در سیستم اینترنتی بانک ملت sentak 2 1,627 1394-01-10 12:25 ق.ظ
آخرین ارسال: sentak
Mybbskin17 خطرناک‌ترین‌ ویروس‌های سال nahid 0 934 1393-03-20 04:39 ب.ظ
آخرین ارسال: nahid
  مهم‌ترین حوادث امنیتی سال ۲۰۱۳ sentak 0 1,046 1392-10-06 01:20 ق.ظ
آخرین ارسال: sentak
  v** هاجلوی ورود تهدیدات امنیتی را میگیرند ssarina 0 1,112 1392-07-15 05:00 ب.ظ
آخرین ارسال: ssarina
Mybbskin17 شناسایی آسیب پذیری خطرناک در فیس بوک ETSCOM.blogfa.com 0 961 1392-06-28 08:38 ب.ظ
آخرین ارسال: ETSCOM.blogfa.com
  گاف امنیتی دولت ژاپن و افشای اطلاعات محرمانه در Google Groups sentak 0 1,011 1392-04-26 11:30 ب.ظ
آخرین ارسال: sentak

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان

دوستان ما