تغییر نگرش OpenSSL، دو سال بعد از حملات Hearbleed

کارشناسان تأکید کرده‌اند که DROWN، نوعی از Heartbleed نیست، اما از برخی جهات خیلی نیز با آن تفاوت ندارد، و ممکن است تبدیل به یک آسیب‌پذیری مهم دیگری شود. توسعه‌دهندگان OpenSSL ادعا می‌کنند که مشغول بررسی و آزمایش آن هستند.
ریچ سالز و تیم هادسون، اعضای تیم توسعه‌ی OpenSSL این هفته در یک سخن‌رانی در کنفرانس RSA، برخی از چالش‌های این گروه را برای مقابله با این حفره شرح داده‌اند و گفته‌اند که این تیم نزدیک به دو سال است گام‌هایی را در این زمینه برداشته است.
هادسون می‌گوید: ‌«این اتفاق دوباره رخ خواهد داد و نوعی دیگر از آسیب‌پذیری Heartbleed که آن‌ها منتظر آن هستند، اتفاق خواهد افتاد؛ اما ما امیدواریم که مردم یاد گرفته باشند که چگونه با آن مقابله کنند.»
هادسون می‌گوید که شاید بهترین چیزی که در دو سال گذشته در مورد OpenSSL رخ داده باشد این است که در حال حاضر، یک فرآیند تصمیم‌گیری رسمی برای این گروه، هنگامی که می‌خواهند رمزنگاری‌های قدیمی را از کدها حذف کنند و یا به حذف پشتیبانی از رمزنگاری‌های مشخصی بپردازند، ایجاد شده است.
او با اعتراف به این‌که این گروه همواره و در همه‌ی موارد با هم توافق نداشته‌اند، می‌گوید که این گروه می‌تواند در دوره‌های مشخص‌شده به یک تصمیم واحد برسد، در حالی‌که قبلاً نمی‌توانست این کار را انجام دهد.
در ماه‌های پس از ظهور آسیب‌پذیری Heartbleed، به خاطر بودجه‌بندی ابتکاری زیرساخت‌های اصلی آن، OpenSSL تغییرات زیادی انجام داد، که مهم‌ترین آن‌ها این بود که از ساختار دو عضوی به ۱۵ عضو تغییر پیدا کرد.
اما این کار بعد از ظهور آسیب‌پذیری Heartbleed تا زمانی که گروه اولین جلسه‌ی رسمی خود را برگزار کرد، رخ نداده بود. این گروه می‌توانست سیاست‌های اساسی خود را برنامه‌ریزی کند، راه‌برد‌ها را منتشر کرده و یک سیاست‌گذاری امنیتی را تصویب کند. برای اولین بار این گروه فرصتی به دست آورد تا درجه‌بندی سطوح امنیتی خود را ترسیم کند و دقیقاً تعریف کند که یک آسیب‌پذیری می‌تواند تا چه حد نگران‌کننده باشد و چگونه می‌توان آن را به مردم اطلاع داد.
سالز می‌گوید: ‌«اگر این یک Heartbleed ۲ باشد، بنابراین باید به عنوان آسیب‌پذیری حیاتی درجه‌بندی شود.»
قبل از جلسه، دشوار بود که بتوان یک آسیب‌پذیری همچون DROWN را ارزیابی و درجه‌بندی کرد، حفره‌ای که اوایل این هفته کشف شد و ۳۳ درصد از اتصالات HTTPS را در معرض خطر و حمله قرار می‌دهد. اکنون اگر نوعی از آسیب‌پذیری دیده شود، مجموعه‌ی پروتکل‌های از پیش تعریف شده‌ای وجود دارد که می‌توان از آن‌ها پیروی کرد.
علاوه بر این، قبل از آسیب‌پذیری Heartbleed نگرانی‌های واقعی در مورد کنترل‌ صادرات رمزنگاری وجود داشت و حتی جلسه‌ای در آمریکا برای ترس از دستگیری برگزار شد، چیزی که می‌توانست مانع از ادامه‌ کار شود.
سالز می‌گوید: «ما فوق‌العاده محتاط بودیم» و اضافه می‌کند: «برخی از توسعه‌دهندگان دست به هر کاری نمی‌زدند چرا که ممکن بود قوانین را بشکنند و اگر این کار را انجام می‌دادند، فرصت زیادی برای اصلاح آن نداشتند.»
اکنون که گروه از بودجه‌ی CII بهره‌مند بود، واکنش کلی مطبوعات به آسیب‌پذیری Heartbleed چیزی که هادسون آن را به شوخی «اثر کارداشیان» می‌نامید، دیگر صدمه‌ای نمی‌زد.
هادسون می‌گوید که هر محققی سعی دارد تا Heartbleed بعدی را پیدا کند، میزان محاسبات نجومی که در مورد آن صورت می‌گیرد، بسیار بالاتر از حفره‌ی قبلی است. بررسی اجباری کدها توسط اعضای تیم، با ابزارهای به‌روزرسانی‌شده‌ی تحلیلی ترکیب شده‌اند و اعضای تیم پروژه را در مناطق زمانی مختلف دارند، به طوری‌که اغلب چشم‌های تازه‌ای روی آن قرار دارند، که به خوبی به بررسی روند کار کمک می‌کنند.
سالز می‌گوید که تغییرات مستندسازی از طریق Github به گروه کمک می‌کند تا شفافیت و اثربخشی کار را حفظ کنند و اشاره می‌کند که یک نمونه‌ی آن در ماه ژانویه رخ داد که محققان یک حفره را گزارش کردند و OpenSSL ظرف ۱۵ دقیقه آن را برطرف نمودند.
«من یک حفره را به OpenSSL گزارش دادم، یک اصلاحیه را ظرف ۱۵ دقیقه دریافت کردم و آن را تأیید می‌‌کنم.»
در حالی‌که برای تیم برنامه‌نویسی و سایر اعضاء که اساساً به دنبال «کلیدسازی دوباره» برای اینترنت بودند، این کار سرگرم‌کننده نبود، به گفته‌ی هادسون نقاط مثبت بر نقاط منفی غلبه دارد، و آسیب‌پذیری Heartbleed به گروه یک تمرکز دوباره داده است.
سالز می‌گوید که اگر چه هنوز هم جای کار زیادی به ویژه در مورد ردیابی اشکالات وجود دارد ، اما اصلاح یک مشکل در ظرف ۱۵ دقیقه معمولاً عادی نیست.
او می‌گوید: «ما بهتر شده‌ایم، اما به اندازه‌ی کافی خوب نشده‌ایم، هنوز حفره‌های قدیمی زیادی وجود دارد. ما هیچ وقت بدون حفره نخواهیم بود، اما همواره در حال دیدن و به اشتراک‌گذاری هستیم.»
هادسون اضافه می‌کند: ‌«هر بار که بشر چیزی را می‌سازد، اشتباهاتی در آن وجود دارد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.