الجمعة، 17 أكتوبر 2014

تعرف معنا على ثغره Heartbleed التي هددت أمن المعلومات في جميع أنحاء العالم





في بدايه هذا الشهر والموافق 2 أبريل تم أكتشاف ثغره تسمى بشكل الرسمي CVE-2014-0160 ولقبت Heartbleed القلب النازف التي اكتشفتها شركة الأمن والحماية Codenomicon . والتي تؤثر بشكل كبير على لغة OpenSSL التي تعتمد على سيرفرات الويب لتستطيع سرقة المعلومات المشفرة بالحالة الطبيعية من خلال تشفير SSL / TLS الذي يؤمن الحماية و الخصوصية أثناء الاتصال بالإنترنت وتصفح البريد الإلكتروني وجزء من الشبكات الافتراضية VPNs والرسائل الفورية IM .
blog-heartbleed-s-w1520-h820-q75-m1397156647
وصرح مديرأبحاث البرمجيات لدى  شركة IDC في الشرق الأوسط وتركيا وإفريقيا إن انتشار استغلال ثغرة Heartbleed يؤكد من جديد أن المخترقين ما زالوا يسعون وراء اكتشاف نقاط الضعف في التطبيقات والبرمجيات، ما يضع مسؤولية ضخمة على عاتق المطورين ويزيد من أهمية اتباع أساليب برمجة آمنة. تتيح هذه الثغرة للمخترقين الحصول على كلمات السر ومعلومات الوصول إلى مواقع الويب دون أن يتركوا أي أثر وراءهم في سجل النشاطات. وهذا الخطأ البرمجي أدى إلى انكشاف العديد من المواقع والمستخدمين وتعريض معلوماتهم للسرقة والضياع، وزاد من قلق الناس حيال موضوع الخصوصية على الإنترنت، ناهيك عن مسائل الخصوصية والسرية التي أثيرت بشأن ممارسات وكالة الأمن القومي الأميركية.
NSA-Heartbleed
 حيث صدرت تقارير بأن وكالة الأمن القومي الأمريكي كانت تعرف بوجود ثغرة Heartbleed منذ عامين لكنها تكتمت على الموضوع ولم تعلم الجهات المختصة بها لتستفيد منها في التجسس , ولكن نفت وكالة الأمن القومي الأمريكي علمها بوجود ثغرة وطبعاً هذا النفي لا نعلم مدى صدقه وخاصة بعد سجل الفضائح المعروف للجميع في تجسسها .
 لماذا تعد ثغرة Heartbleed من أخطر الثغرات ؟؟؟
heartbleed-virus
أن ثغرة Heartbleed التي و صفت بأنها الأخطر في تاريخ الإنترنت تمكن المخترقين من الوصول إلى أبعد من مجرد بيانات المستخدم بحيث تجعل أي شخص يستغل هذه الثغره يستطيع قراءة الذاكرة العشوائية في الأنظمة التي تستخدم الاصدارات الضعيفة من من OpenSSL وبمجرد الدخول للذكراه يستطيع المخترق التعرف على كلمة السر الخاصة بالمخدم ليتمكن من سرقة كافة البيانات مباشرة من المخدمات والمستخدمين لأنه ببساطة يستخدم مفتاح التشفير الأساسي .

مكتبة OpenSSL :

HeartBleed-Passwords-950x423إن البعض يعتقد ان المشكلة في بروتوكول SSL / TLS وهذا غلط  فإن OpenSSL عباره عن مكتبة برمجية تستخدم بشكل كبير في تشفير الاتصال بالأنترنت وذلك مثل تشفير بروتوكل SSL / TLS إلى التطبيقات والخدمات علي اﻻنترنت المستخدمة لهذا البروتوكل .

حل لثغره Heartbleed :

heartbleed 1200x700-100261182-orig
 إن الثغرة الأمنية Heartbleed تؤثر على الإصدارين 1.0.1 و 1.0.2 وبذلك قامت الشركة المطورة لـ OpenSSL بإصدار التحديث 1.0.1g، الذي يجب على مشغلي مواقع الويب تثبيته لتجنب الإختراق إلى جانب إلغاء الشهادات الأمنية التي قد تكون تعرضت للاختراق .
المشكلة أن هذا الخطأ تسبب بجعل كمية كبيرة من الكلمات السرية الخاصة بالمستخدم معرضة للتسريب و على الرغم أن جميع المواقع التي تستخدم OpenSSL قامت بتحديث الإصدار لكن ينصح الخبراء المستخدمين بتغيير كلمات المرور احتياطاً لكي لا تندم فيما بعد في حال تعرضك للإختراق .
ويذكر أن قامت الشرطة الملكية الكندية يوم الأربعاء الماضي باعتقال شابًا  متهمًا باستغلال ثغرة Heartbleed في سرقة بيانات لدافعي الضرائب من موقع حكومي .
وأيضاً أعلنت في الأمس شركة Trend Microعن إطلاق فاحصيين يستطيعان الكشف إذا كانت أجهزة الحاسوب والهواتف الذكية تتواصل مع خوادم خاضعة لسيطرة ثغرة Heartbleed .


خلاصة المقال :

إن بالرغم من تعديل المواقع المستخدمة OpenSSL للنسخة الأحدث ولكن لا نعلم ما اذا كان حقاً أصبحنا في أمان من خطر هذه الثغره وخاصة بعد صدور تقارير بإمكانية أختراقها للهواتف المحمولة بالإضافة لمواقع الويب والحسابات الشخصية وبذلك يجب علينا ان لا نقف مكتوفي الايدي بل تعلمنا درس من هذه التجربة والتي أهمها يكون عدم تبادل بيانات هامة جداً على الإنترنت و عدم اهمال أي طُرق حماية توفرها المواقع على الإنترنت  و بالإضافة لتغير كلمة السر لجميع حساباتك الشخصية فإنه كما يقال الوقاية خير من العلاج .

ليست هناك تعليقات:

إرسال تعليق