اعلن باحثون أمنيون عن إكتشاف ثغرة أمنية
خطيرة جدا أطلق عليها القلب الدامي Heartbleed، تستهدف
معيار التشفير المفتوح OpenSSL.
فما هي هذه الثغرة ، وكيف تعمل وما درجة خطورتها وكيفية الوقاية منها.
OpenSSL
هو معيار تشفير مفتوح المصدر وهو إختصار لـ Open Secure Socket layer،
وتستخدمه مواقع الإنترنت لعملية نقل بيانات آمنة ومشفرة لمستخدميها، كما يفتح قناة
اتصال آمنة لإرسال البريد الأليكتروني والدردشة. التشفير يعمل بحيث تبدو البيانات المرسلة لأي شخص غير ذات
معنى وغير مفهومة الا للشخص المرسلة إليه.
أحيانا يرسل الحاسوب الخادم حزمة بيانات او
رزمة صغيرة تسمى نبضة قلبية HEARTBEAT على قناة الإتصال الآمن ليرى هل هناك استجابة من الحاسب على الطرف
الآخر.
وبسبب خطا برمجي في تطبيق المعيار OpenSSL فقد تبين انه
يمكن ارسال حزمة بيانات أو نبضة قلبية HEARBEAT خادعة الى الحاسوب الآخر والحصول على بيانات مخزنة في ذاكرته.
المواد التي يمكن الحصول عليها فيما لو تمكن هاكر من إستغلال الثغرة هي بيانات
دخولك على المواقع، وبيانات بطاقة الإئتمان إيميلاتك، وثائق تحتفظ بها على هذه المواقع وحتى
رسائل الدردشة.
الآن حتى تتخيل حجم المشكلة عليك أن تتذكر أن
ملايين المواقع تستخدم معيار التشفير هذا !!!!!.
المشكلة البرمجية كانت موجودة منذ عامين واستخدامها
لن يخلف اثرا لمعرفة المخترق حتى انتبه إليها الباحث الأمني في شركة غوغل نيل
ميهتا NEEL MEHTA
كما أكتشفتها الشركة الأمنية Codenomicon بشكل مستقل.
 |
| الثغرات الأمنية جزء من نسيج شبكة الإنترنت |
ما هي درجة الخطور؟
درجة الخطورة عالية فكما ذكرنا اعلاه، يمكن الحصول على الكثير من
بياناتك الحساسة والأخطر من ذلك سرقة مفاتيح التشفير التي تجعل النص المشفر قابلا
للقراءة، كما تمكن الهاكرز من إعتراض البيانات من والى خوادم المواقع الالكترونية
وقرائتها من دون إنشاء قنوات اتصال آمنة Secure Connection وهذا يعني أن مواقع الإنترنت المعرضة لهذه الثغرة عليها تغيير مفاتيح
التشفير والا ستبقى معرضة لإعتراض بياناتها في المستقبل.
ما الحل؟
تم اصدار رقعة أمنية للمعيار OPENSSL، يبقى أن
تقوم المواقع بتطبيقه كما عليها أن تقوم بإلغاء مفاتيح التشفير المتأثرة، إستبدالها كما على
المستخدم العادي تغيير بيانات ولوجه الى المواقع والمبادرة بتغيير بطاقته
الإئتمانية.
وحتى تقوم المواقع بسد الثغرة وتحديث أنظمتها
يبقى الخطر كبيرا فالإحصاءات تقول أنه من حوالي 959 مليون موقع 66% منها تستخدم تقنية
مبنية حول المعيار SSL,
وهذا لا يشمل خدمات البريد الالكتروني والدردشة
وتطبيقات تعمل على مختلف أنظمة التشغيل.
ليست هناك تعليقات:
إرسال تعليق