چرا گاهی رخنههای امنیت سایبری عمومی ایجاد میشود؟ عوامل مستعدکننده

امنیت سایبری دیگر یک موضوع حاشیهای در دنیای فناوری نیست، بلکه به ستون بقای سازمانها و دولتها تبدیل شده است. شاید بپرسید چرا با وجود میلیاردها دلار سرمایهگذاری سالانه، هنوز هم اخبار رخنههای اطلاعاتی بزرگ تیتر اول رسانهها میشود؟ حقیقت این است که امنیت یک زنجیره است و این زنجیره همواره از ضعیفترین حلقه خود پاره میشود. در این مقاله قصد داریم به کالبدشکافی عوامل مستعدکنندهای بپردازیم که راه را برای نفوذ هکرها هموار میکنند. آیا این رخنهها ناشی از ضعف ابزارها هستند یا اشتباهات انسانی نقش پررنگتری دارند؟ چرا با وجود هشدارهای مکرر، هنوز سازمانهای بزرگ درگیر حملات باجافزاری میشوند؟ در ادامه با بررسی دقیق ابعاد مختلف فنی و روانشناختی، پاسخ این سوالات را مرور میکنیم.
فهرست مطالب
- ۱. مبانی اولیه امنیت دیجیتال و زیرساختها
- ۲. شناخت تهدیدات سایبری مدرن و پیچیده
- ۳. نقش خطاهای انسانی در سیستمهای امنیتی
- ۴. آسیبپذیریهای روز صفر و چالشهای پچ امنیتی
- ۵. اهمیت بهروزرسانی سیستمهای قدیمی و موروثی
- ۶. نقش پیکربندیهای نادرست امنیتی در سرورها
- ۷. حملات فیشینگ و مهندسی اجتماعی پیشرفته
- ۸. کمبود نیروی متخصص و آموزشدیده در سازمانها
- ۹. ضعف در زنجیره تامین نرمافزاری و وابستگیها
- ۱۰. عدم انطباق با استانداردهای امنیتی بینالمللی
- ۱۱. انگیزه مهاجمان سایبری و ساختار حملات هدفمند
- ۱۲. راهکارهای پیشگیرانه و الگوی دفاع چندلایه
💡پاسخ کوتاه | مختصر و مفید بخوانید که چرا رخنه امنیتی رخ میدهد
رخنههای امنیت سایبری عمومی عمدتاً به دلیل پیکربندیهای نادرست حفاظتی، استفاده از نرمافزارهای قدیمی و خطاهای انسانی به وجود میآیند. هکرها معمولاً با بهرهگیری از آسیبپذیریهای اصلاحنشده یا فریب کارکنان از طریق روشهای پیچیده مهندسی اجتماعی، به راحتی به شبکههای حساس نفوذ میکنند. عدم سرمایهگذاری کافی در آموزش پرسنل و ضعف در مدیریت زنجیره تامین نرمافزار، به عنوان عوامل شتابدهنده در بروز این بحرانها عمل میکنند. برای پیشگیری از این حوادث، سازمانها باید رویکرد دفاع چندلایه و اصل دسترسی حداقل امتیاز را به طور مستمر پیادهسازی نمایند. ارزیابیهای دورهای و پچ مداوم سیستمها تنها راه نجات از تهدیدات رو به رشد دنیای تاریک وب است.
مبانی اولیه امنیت دیجیتال و زیرساختها
امنیت سایبری در دنیای امروز به عنوان یکی از پایهایترین نیازهای هر کسبوکار و حاکمیتی شناخته میشود که بدون آن، حفظ بقا غیرممکن است. ساختار امنیت دیجیتال شامل مجموعهای از فرآیندها، ابزارها و سیاستهاست که برای محافظت از شبکهها، دستگاهها، برنامهها و دادهها در برابر دسترسیهای غیرمجاز یا حملات مخرب طراحی شدهاند. پیادهسازی یک معماری امنیتی منسجم نیازمند درک عمیق از داراییهای دیجیتال و مسیرهای احتمالی نفوذ است که مهاجمان ممکن است از آنها بهرهبرداری کنند. در واقع، سیستمهای امنیتی موفق باید بتوانند سه اصل حیاتی محرمانگی، یکپارچگی و در دسترس بودن دادهها را در تمامی سطوح شبکه و نرمافزار تضمین کنند.
با این حال، بسیاری از سازمانها به اشتباه تصور میکنند که خرید نرمافزارهای گرانقیمت یا نصب دیوارهای آتش به تنهایی برای امنیت آنها کافی است. این نگرش ابزارمحور مانع از دیدن تصویر بزرگتر میشود که شامل تحلیل رفتاری کاربران، پایش مداوم ترافیک شبکه و ارزیابی ریسکهای مداوم است. برای داشتن یک زیرساخت مقاوم، باید پروتکلهای احراز هویت قوی نظیر تایید هویت چندعاملی برقرار شود و دسترسیها بر اساس نیاز واقعی کاربران محدود گردند. ایجاد فرهنگ امنیت در سطح سازمانی و تدوین برنامههای واکنش به حوادث، از گامهای کلیدی در پیشگیری از بحرانهای بزرگ امنیتی به شمار میرود.
شناخت تهدیدات سایبری مدرن و پیچیده
تهدیدات سایبری در سالهای اخیر از حملات ساده و خودکار به سمت کمپینهای پیچیده و هدفمند تکامل یافتهاند که توسط گروههای هکری تحت حمایت دولتها هدایت میشوند. مهاجمان امروزی با ابزارهای پیشرفته و تحلیل دقیق اهداف خود، حملاتی را طراحی میکنند که شناسایی آنها توسط سیستمهای دفاعی سنتی بسیار دشوار است. این تهدیدات شامل بدافزارهای بدون فایل، باجافزارهای پیشرفته که کل شبکه را فلج میکنند و حملات کانال جانبی هستند که سختافزارها را هدف قرار میدهند. شناخت این تهدیدات مستلزم تغییر نگرش از حالت دفاعی منفعل به حالت پایش فعال و تحلیل مستمر رفتارهای مشکوک در سیستمها است.
یکی از بزرگترین چالشها در مواجهه با تهدیدات مدرن، استفاده مهاجمان از ابزارهای هوش مصنوعی برای بهینهسازی کدهای مخرب و شخصیسازی حملات فیشینگ است. این فناوری به هکرها اجازه میدهد تا با سرعت بیشتری نقاط ضعف را پیدا کرده و رفتارهای انسانی را شبیهسازی کنند تا از دیوارهای امنیتی عبور نمایند. برای مقابله با این سطح از تهدیدات، تیمهای امنیتی باید از سیستمهای تشخیص و واکنش توسعهیافته استفاده کنند که به صورت بلادرنگ ناهنجاریها را شناسایی میکنند. عدم درک درست از توانمندی مهاجمان و اتکا به روشهای قدیمی، سازمانها را در برابر تهدیدات نوین کاملاً بیدفاع میگذارد.
نقش خطاهای انسانی در سیستمهای امنیتی
انسانها همواره به عنوان ضعیفترین حلقه در زنجیره امنیت سایبری شناخته میشوند و اکثر رخنههای اطلاعاتی بزرگ به نوعی با اشتباهات انسانی مرتبط هستند. این خطاها میتوانند شامل انتخاب رمزهای عبور ضعیف، کلیک روی پیوندهای مخرب در ایمیلها، یا اشتراکگذاری ناخواسته اطلاعات حساس در شبکههای اجتماعی باشند. حتی قویترین دیوارهای آتش و سیستمهای رمزنگاری نیز نمیتوانند مانع از ورود هکری شوند که اطلاعات ورود را از طریق فریب یک کارمند به دست آورده است. آموزش ناکافی کارکنان و عدم آگاهی از روشهای نوین فریبکاری، زمینهساز بروز فجایع امنیتی بیشماری در سراسر جهان شده است.
علاوه بر این، خستگی ناشی از کار، فشارهای کاری شدید و عدم وجود دستورالعملهای واضح امنیتی، احتمال بروز اشتباه را در میان پرسنل به شدت افزایش میدهد. مهاجمان سایبری با استفاده از تکنیکهای روانشناختی مانند ایجاد حس اضطرار یا ترس، قربانیان خود را به انجام کارهای غیرمنطقی ترغیب میکنند. برای خنثی کردن این عامل مستعدکننده، سازمانها باید برنامههای آموزشی مستمر و شبیهسازی حملات فیشینگ را برای تمامی سطوح پرسنل خود اجرا کنند. کاهش بار مسئولیت امنیتی از روی دوش کاربران عادی با پیادهسازی سیستمهای خودکار احراز هویت نیز نقشی کلیدی در کاهش این خطاها دارد.
آسیبپذیریهای روز صفر و چالشهای پچ امنیتی
آسیبپذیریهای روز صفر (Zero-day vulnerabilities) به نقصهای نرمافزاری گفته میشود که برای توسعهدهنده برنامه ناشناخته هستند و هنوز هیچ اصلاحیه یا پچی برای رفع آنها ارائه نشده است. این نوع آسیبپذیریها در بازار سیاه سایبری ارزش بسیار بالایی دارند، زیرا به مهاجمان اجازه میدهند بدون جلب توجه سیستمهای دفاعی به درون اهداف نفوذ کنند. کشف و بهرهبرداری از این رخنهها توسط هکرهای حرفهای، سازمانها را در موقعیت بسیار سختی قرار میدهد؛ چرا که تا زمان شناسایی و ارائه اصلاحیه، عملاً دفاع موثری در برابر آنها وجود ندارد. این موضوع چالش مدیریت آسیبپذیری را به یکی از دغدغههای اصلی مدیران فناوری اطلاعات تبدیل کرده است.
فرآیند پچ کردن و بهروزرسانی در سازمانهای بزرگ نیز با چالشهای عملیاتی متعددی همراه است که سرعت واکنش را به شدت کاهش میدهد. در بسیاری از موارد، اعمال یک پچ امنیتی ممکن است باعث اختلال در کارکرد سایر نرمافزارهای حیاتی شرکت شود و به همین دلیل تست و ارزیابی سازگاری آنها زمان زیادی میبرد. این تاخیر زمانی فرصت طلایی را در اختیار مهاجمان قرار میدهد تا از رخنههای عمومیشده سوءاستفاده کنند و آسیبهای جبرانناپذیری وارد سازند. برای حل این مشکل، نیاز به ابزارهای خودکار پچ و اتخاذ استراتژیهای کاهش ریسک موقت در زمان کشف آسیبپذیریهای جدید احساس میشود.
اهمیت بهروزرسانی سیستمهای قدیمی و موروثی
سیستمهای موروثی و قدیمی (Legacy systems) که سالها بدون بهروزرسانی در شبکههای سازمانی فعال هستند، یکی از بزرگترین منابع ریسک امنیتی به شمار میروند. این سیستمها معمولاً توسط سازندگان اصلی دیگر پشتیبانی نمیشوند و هیچ اصلاحیه امنیتی جدیدی برای آنها صادر نمیگردد، در حالی که هکرها روشهای نوین نفوذ به آنها را به راحتی در اختیار دارند. بسیاری از سازمانها به دلیل هزینههای بالای ارتقا یا ترس از توقف فرآیندهای تولید، ترجیح میدهند این سیستمهای آسیبپذیر را همچنان در مدار نگه دارند. این تصمیم کوتهبینانه راه ورود بسیار سادهای را برای کدهای مخرب هموار میسازد.
انتقال دادهها و خدمات از سیستمهای قدیمی به پلتفرمهای ابری مدرن یا سختافزارهای جدید نیازمند برنامهریزی دقیق و سرمایهگذاری مالی است. با این حال، هزینه یک رخنه امنیتی ناشی از سیستمهای موروثی معمولاً چندین برابر هزینه ارتقای کل زیرساختهای سازمان خواهد بود. جداسازی این سیستمها از شبکههای متصل به اینترنت و محدود کردن دسترسیها، اقدامات موقتی هستند که میتوانند تا زمان جایگزینی کامل، خطر نفوذ را کاهش دهند. در نهایت، پایبندی به چرخههای منظم ارتقای فناوری، سازمان را در برابر تهدیدات جدید واکسینه خواهد کرد.
نقش پیکربندیهای نادرست امنیتی در سرورها
پیکربندی نادرست امنیتی (Security misconfiguration) زمانی رخ میدهد که تنظیمات پیشفرض سرورها، پایگاههای داده یا تجهیزات شبکه به حالت امن تغییر نیافته باشند. هکرها با استفاده از ابزارهای پویش خودکار در سراسر وب به دنبال سرورهایی میگردند که پورتهای باز غیرضروری دارند یا از رمزهای عبور پیشفرض استفاده میکنند. این سهلانگاری ساده به مهاجمان اجازه میدهد بدون نیاز به نوشتن کدهای پیچیده، کنترل کل سیستم را در دست بگیرند. بررسیها نشان میدهد که درصد بالایی از افشای دادههای ابری ناشی از باز گذاشتن دسترسی به مخازن ذخیرهسازی اطلاعات بدون هیچگونه احراز هویتی بوده است.
مدیریت پیکربندی در محیطهای ابری پیچیده و چندگانه امروزی به یک وظیفه دشوار تبدیل شده که نیازمند ابزارهای خودکار پایش است. تغییرات مداوم در کدها و ساختار برنامهها میتواند به طور ناخواسته رخنههای جدیدی را در تنظیمات امنیتی شبکه ایجاد کند. برای مقابله با این تهدید، استقرار فرآیندهای مدیریت تغییرات و استفاده از ابزارهای ارزیابی مداوم وضعیت امنیتی ضروری است. همچنین، پیادهسازی متدولوژیهای مدیریت زیرساخت به عنوان کد میتواند از بروز خطاهای پیکربندی دستی جلوگیری کرده و ثبات تنظیمات امنیتی را تضمین کند.
حملات فیشینگ و مهندسی اجتماعی پیشرفته
حملات فیشینگ (Phishing) و مهندسی اجتماعی از موثرترین روشهایی هستند که نفوذگران برای دسترسی به شبکههای فوق امنیتی از آنها استفاده میکنند. در این روشها، هکر به جای حمله به سدهای دفاعی فنی، ذهن کاربران و کارمندان را هدف قرار میدهد تا آنها را به افشای اطلاعات حساس ترغیب کند. این ایمیلها یا پیامهای جعلی معمولاً به گونهای طراحی میشوند که گویی از طرف مدیریت ارشد، بانک یا یک همکار ارسال شدهاند. با افزایش استفاده از هوش مصنوعی، متن این پیامها بسیار طبیعیتر شده و تشخیص آنها از پیامهای واقعی برای کاربران عادی ناممکن به نظر میرسد.
حملات مهندسی اجتماعی میتوانند اشکال مختلفی مانند تماسهای تلفنی جعلی، پیامکهای فریبنده یا حتی جعل هویت فیزیکی داشته باشند. مهاجمان با تحقیق گسترده روی قربانی در شبکههای اجتماعی، اطلاعاتی را جمعآوری میکنند که باعث جلب اعتماد سریع او میشود. سازمانها باید علاوه بر فیلترهای فنی ایمیل، پروتکلهای تایید هویت دوطرفه را برای تراکنشهای مالی و دسترسیهای حساس اجباری کنند. ارتقای سطح آگاهی عمومی و تشویق کارکنان به گزارش موارد مشکوک بدون ترس از تنبیه، میتواند نرخ موفقیت این حملات را کاهش دهد.
کمبود نیروی متخصص و آموزشدیده در سازمانها
شکاف مهارتی و کمبود شدید کارشناسان خبره امنیت سایبری در سراسر جهان، یکی از عوامل اصلی ضعف دفاعی سازمانها به شمار میرود. تقاضا برای استخدام متخصصان امنیت به شدت از تعداد فارغالتحصیلان و افراد با تجربه در این حوزه پیشی گرفته است. این امر باعث میشود که بسیاری از شرکتها وظایف سنگین امنیتی را به پرسنل بخش عمومی فناوری اطلاعات بسپارند که دانش تخصصی کافی ندارند. این نیروها به دلیل حجم کاری زیاد و عدم تسلط بر ابزارهای نوین دفاعی، توانایی شناسایی نشانههای اولیه نفوذ را از دست میدهند.
علاوه بر این، نبود آموزشهای تخصصی مداوم برای تیمهای موجود، آنها را از هماهنگی با تکنیکهای جدید مهاجمان باز میدارد. امنیت سایبری حوزهای است که هر روز در آن ابزارها و روشهای جدیدی متولد میشوند و سکون در آن به معنای عقبماندگی است. سازمانها باید بودجههای مشخصی را برای آموزش مستمر پرسنل و همکاری با شرکتهای مشاوره خارجی اختصاص دهند. سرمایهگذاری روی ابزارهای خودکار مبتنی بر هوش مصنوعی نیز میتواند بخشی از کمبود نیروی انسانی متخصص را جبران کند و کارایی تیمهای کوچک را ارتقا دهد.
ضعف در زنجیره تامین نرمافزاری و وابستگیها
حملات زنجیره تامین (Supply chain attacks) به یکی از خطرناکترین روندهای امنیت سایبری تبدیل شدهاند که در آنها مهاجم با نفوذ به یک تامینکننده ثانویه، به هدف اصلی دست مییابد. بسیاری از سازمانها از کتابخانههای متنباز، کدهای آماده و نرمافزارهای واسط متعددی استفاده میکنند که کنترل مستقیمی روی امنیت آنها ندارند. اگر یکی از این ابزارهای جانبی آلوده به کدهای مخرب شود، تمام سیستمهای استفادهکننده از آن به طور خودکار تحت تاثیر قرار میگیرند. این روش نفوذ به هکرها اجازه میدهد تا با یک حمله موفق به یک شرکت نرمافزاری، به هزاران مشتری آن دسترسی پیدا کنند.
پیچیدگی کدهای مدرن و تکیه بر زنجیرههای تامین طولانی، ارزیابی امنیتی تکتک اجزای نرمافزاری را برای سازمانها غیرممکن ساخته است. برای مدیریت این تهدید، نیاز به استقرار مدلهای دقیق بررسی اصالت نرمافزار و استفاده از فهرست مواد نرمافزاری وجود دارد. سازمانها باید تامینکنندگان خود را ملزم به رعایت استانداردهای امنیتی سختگیرانه کرده و دسترسی ابزارهای واسط را به حداقل ممکن کاهش دهند. پایش مداوم رفتار نرمافزارهای جانبی در محیطهای تست مجزا نیز میتواند از ورود کدهای مخرب به سیستمهای عملیاتی اصلی جلوگیری کند.
عدم انطباق با استانداردهای امنیتی بینالمللی
عدم پایبندی به چارچوبها و استانداردهای شناختهشده امنیت سایبری مانند استانداردهای بینالمللی، زمینهساز بروز هرجومرج و ایجاد رخنههای جدی در مدیریت امنیت است. این استانداردها مجموعهای از بهترین شیوهها را ارائه میدهند که با اجرای آنها، بخش بزرگی از ریسکهای متداول پوشش داده میشود. بسیاری از سازمانها این مقررات را تنها به عنوان یک فرآیند اداری برای دریافت گواهینامهها میبینند و در عمل آنها را پیادهسازی نمیکنند. این رویکرد تشریفاتی باعث میشود که در مواقع بروز بحران، فرآیندهای واکنش سریع و مدیریت حادثه به درستی کار نکنند.
انطباق واقعی با استانداردها نیازمند ممیزیهای دورهای مستقل، شناسایی داراییهای حیاتی و بهروزرسانی مستمر سیاستهای امنیتی بر اساس تحلیل ریسک است. زمانی که فرآیندها مستند نشده باشند، تغییر پرسنل میتواند منجر به از دست رفتن دانش امنیتی و ایجاد رخنههای جدید شود. مدیریت ارشد سازمانها باید امنیت را به عنوان یک بخش کلیدی از حاکمیت شرکتی بپذیرد و منابع مالی و انسانی کافی برای اجرای استانداردهای فنی تخصیص دهد. رعایت این چارچوبها نهتنها امنیت را بهبود میبخشد، بلکه اعتماد مشتریان و شرکای تجاری را نیز افزایش میدهد.
انگیزه مهاجمان سایبری و ساختار حملات هدفمند
برای درک بهتر چرایی بروز رخنههای امنیتی، باید انگیزههای متنوع و ساختار عملیاتی گروههای هکری را به دقت مورد تحلیل قرار داد. امروزه حملات سایبری صرفاً برای تفریح یا کسب شهرت انجام نمیشوند، بلکه پشتوانه آنها انگیزههای مالی کلان، جاسوسی صنعتی و اهداف ژئوپلیتیک است. گروههای باجافزاری به عنوان شرکتهای تجاری غیرقانونی عمل میکنند که دارای بخشهای پشتیبانی مشتری و توسعهدهندگان حرفهای هستند. این سطح از سازماندهی به مهاجمان اجازه میدهد تا منابع مالی و زمانی زیادی را برای نفوذ به اهداف ارزشمند اختصاص دهند.
حملات هدفمند و پیشرفته مداوم معمولاً با فازهای شناسایی طولانی آغاز میشوند که طی آن هکرها تمامی رفتارهای سازمان و کارمندان آن را زیر نظر میگیرند. آنها صبورانه منتظر کوچکترین اشتباه یا انتشار یک آسیبپذیری جدید میمانند تا از آن برای ورود به شبکه استفاده کنند. شناخت مدل ذهنی و روشهای کاری مهاجمان، به مدافعان سایبری کمک میکند تا سیستمهای حفاظتی خود را بر اساس الگوهای واقعی حمله طراحی کنند. بدون در نظر گرفتن سطح انگیزه و توان مالی هکرها، دفاع در برابر حملات مدرن غیرممکن خواهد بود.
راهکارهای پیشگیرانه و الگوی دفاع چندلایه
ایجاد یک سیستم دفاعی مقاوم نیازمند اتخاذ رویکرد دفاع چندلایه (Defense in depth) است که در آن لایههای امنیتی مختلفی برای محافظت از دادهها به کار گرفته میشوند. در این مدل، حتی اگر مهاجم موفق به عبور از یک لایه امنیتی مانند دیوار آتش شود، با لایههای دفاعی دیگر مواجه خواهد شد. این لایهها شامل رمزنگاری دادهها، احراز هویت چندعاملی، سیستمهای تشخیص نفوذ و پایش مستمر رفتارهای مشکوک هستند. پیادهسازی مدل امنیتی صفر مطلق (Zero Trust) که در آن هیچ کاربر یا دستگاهی به طور پیشفرض قابل اعتماد نیست، از الزامات این رویکرد است.
علاوه بر ابزارهای فنی، بهبود فرآیندها و آموزش کارکنان نیز بخش جداییناپذیر از یک استراتژی دفاعی موفق به شمار میروند. سازمانها باید برنامههای منظم برای ارزیابی آسیبپذیری و تستهای نفوذ دورهای توسط کارشناسان مستقل ترتیب دهند تا نقاط ضعف پیش از بهرهبرداری هکرها شناسایی شوند. داشتن یک طرح واکنش به حوادث دقیق و تمرینشده به تیمها کمک میکند تا در صورت بروز هرگونه رخنه، به سرعت آسیبها را محدود کرده و سیستمها را به حالت عادی بازگردانند. امنیت سایبری سفری مداوم است، نه مقصدی نهایی، و نیازمند سازگاری همیشگی با تهدیدات جدید است.
جمعبندی نهایی
رخنههای امنیت سایبری ناشی از یک عامل منفرد نیستند، بلکه از پیوند پیچیده فناوریهای قدیمی، خطاهای انسانی و پیکربندیهای نادرست سرچشمه میگیرند. در دنیای متصل امروز، هکرها با انگیزههای مالی و سیاسی قوی، دائماً در حال رصد کوچکترین روزنهها هستند. راهکار نجات در این فضا، عبور از نگاه سنتی ابزارمحور و پذیرش مدلهای دفاع چندلایه نظیر معماری صفر مطلق است. سازمانها باید با سرمایهگذاری متوازن روی آموزش مداوم نیروی انسانی، پچ به موقع سیستمها و ارتقای امنیت زنجیره تامین، پایداری خود را در برابر حملات سایبری آینده تضمین کنند؛ زیرا امنیت فرآیندی پویا و همیشگی است.








شما اون برنامه نویس رو به من نیشان بده!
سلام. در لینک فوق سایت یاهو را در معرض تهدید اعلام کردهاست.
سلام
طبق گزارش لستپس در حال حاضر یاهو امنه
https://lastpass.com/heartbleed/?h=yahoo.com
متشکر.
با این همه مراکز متعدد پیشگیری از حملات سایبری در کشور که با بودجه دولتی حمایت می شوند هیچ کدام به موقع اطلاع رسانی نکردند و فکر کنم برای اولین بار این موضوع توسط تیم امنیت شبکه شرکت بیان مطرح و اطلاع رسانی شد.
جالبه سایت سازمان پدافند غیرعامل paydarymelli.ir جزو سایت های آسیب پذیر بود که آسیب پذیری آن بعدا رفع شد!
مدیران سایت ها می توانند برای تشخیص و درمان آسیب پذیری احتمالی سایت خود از آدرس استفاده کنند :
http://amn.bayan.ir
این حفره در نسخه های جدید OpenSSL وجود داره ، سرور هایی که از نسخه قدیمی تر نظیر 0.9.6 استفاده میکنند ، دارای این حفره نیستند ، مدیران سرور به سادگی با بروز رسانی پکیج اصلی OpenSSL میتوانند این حفره بی نهایت خطرناک را پچ کنند
ببین اون برنامه نویسه کی بوده!!
ممنون بابت اطلاع رسانی
اوه پسر الان تو شرکتای بزرگ فناوری چه خبره بخاطر این ماجرا :O