خلال الأسبوعين الماضيين كان خبر ثغرة HeartBleed هو الشغل الشاغل لكل مُستخدمي الإنترنت حول العالم . ولم يحظى الخبر بهذا الاهتمام لكونه مُجرد ثغرة في نظام تشفير، بل لأنه سلّط الضوء على نقطة هامة وهي أن الإنترنت عالم كبير ولن يكون آمناً بنسبة 100% حتى مع استخدام أنظمة تشفير عملاقة مثل OpenSSL.
وبعبارة أخرى، البيانات التي ترسلها أو تتلقاها، المتلقي فقط هو الذي يمكنه فكها، ان أي شخص أخر ليس له حق الوصول إلى البيانات المرسلة في هذه البروتوكول .وفي معظم المواقع الكبيرة في الأنترنت وكذلك المؤسسات المالية والمواقع الحكومية تستعمل هذا البروتوكول ، ولعلك قد لاحظت عن زيارتك لأحد هذه المواقع تواجد https في بداية عنوان الموقع .
Heartbleed هي الثغرة الأمنية التي ظلت خفية لمدة 2 سنوات في بعض إصداراتOpenSSL والتي تتكامل في العديد من توزيعات نظام التشغيل لينكس. وهو خلل أمني يسمح للقراصنة قراءة البيانات المشفرة والمخزنة في الذاكرة RAM خصوصا في الأنظمة و الإصدارات الضعيفة الحماية.
وفقا لCodenomicon، الشركة الأمنية التي اكتشفت الثغرة ، ربما تكون كمستخدم من المتضررين من هذا الخطأ سواء بشكل مباشر أو غير مباشر، OpenSSL هي مكتبة التشفير الأكثر شعبية مفتوحة المصدر في العالم، ويستخدم من قبل مواقع الشبكات الاجتماعية ومختلف الشركات، وخدمات البريد وحتى المواقع الحكومية. دراسة حديثة أجرتها شركة أمن الإنترنت نيتكرافت، يقدر أن 66٪ من المواقع التي تعمل بتقنية SSL تستعمل OpenSSL .
الجدير بالذكر أن ياهو تدعي أنها قامت بحل هذه الثغرة الأمنية في العديد من خوادمها.
إذا كنت تريد ان تتأكد من أن بياناتك سليمة وأن الموقع الذي تستخدمه سليم أو قام بتصحيح هذه التغرة ، فعليك بهذه الأداة للتحقق من الأمر ،ومع ذلك، فإننا نوصي بعدم تنفيذ المعاملات الحساسة على شبكة الإنترنت خلال الأيام القليلة القادمة حتى تكون لديك المعلومات المؤكد على أن هذه الثغرة تمت معالجتها.
في النهاية، يبقى موضوع الحماية 100٪ من الأمور المستحيلة، ولكن الأخذ بالأسباب يُساعد في رفع نسبة الحماية، فاستخدام كلمات مرور ضعيفة يجعل الحساب عُرضة للاختراق بنسبة 80%، لكن استخدام كلمة مرور مُعقّدة ينقص النسبة لتُصبح أقل من 50%. ومع استخدام نظام التحقق بخطوتين تنقص النسبة لتُصبح 20% أو حتى أقل. وبالتالي يقع على عاتق المستخدم مُتابعة كل جديد في عالم الحماية وعدم التردد في تبني أي نظام حماية جديد، لأن الشركات الكبيرة لاتتبنى أنظمة الحماية إلا بعد فترة تجريبية طويلة تصل أحياناً إلى سنة أو أكثر.
ما هو OpenSSL ؟
لفهم هذه الثغرة الأمنية لا بد لنا هنا من وقفة لنسأل ما هو OpenSSL ؟
OpenSSL هو بروتوكول تستخدمه العديد من المواقع لتشفير البيانات المتبادلة بين المتصفح وخادم الويب من اجل الحفاظ على المعلومات آمنة. وهذا البروتوكول نسخة مجانية ومفتوحة المصدر من البروتوكول (SSL ( Secure Sockets Layer
وبعبارة أخرى، البيانات التي ترسلها أو تتلقاها، المتلقي فقط هو الذي يمكنه فكها، ان أي شخص أخر ليس له حق الوصول إلى البيانات المرسلة في هذه البروتوكول .وفي معظم المواقع الكبيرة في الأنترنت وكذلك المؤسسات المالية والمواقع الحكومية تستعمل هذا البروتوكول ، ولعلك قد لاحظت عن زيارتك لأحد هذه المواقع تواجد https في بداية عنوان الموقع .
ما هو Heartbleed؟
Heartbleed هي الثغرة الأمنية التي ظلت خفية لمدة 2 سنوات في بعض إصداراتOpenSSL والتي تتكامل في العديد من توزيعات نظام التشغيل لينكس. وهو خلل أمني يسمح للقراصنة قراءة البيانات المشفرة والمخزنة في الذاكرة RAM خصوصا في الأنظمة و الإصدارات الضعيفة الحماية.
هذا يعني أنه إذا كان شخص يعرف هذا الخلل الأمني، منذ عام 2011 فبامكانه استغلال واستخراج كمية كبيرة من البيانات في الكثير من الخدمات الهامة في الإنترنت في سرية تامة لأن استخدامها لا يترك أي أثر.
كيفية تحديد ما إذا كان هذا يشكل خطر علي كمستخدم ؟
وفقا لCodenomicon، الشركة الأمنية التي اكتشفت الثغرة ، ربما تكون كمستخدم من المتضررين من هذا الخطأ سواء بشكل مباشر أو غير مباشر، OpenSSL هي مكتبة التشفير الأكثر شعبية مفتوحة المصدر في العالم، ويستخدم من قبل مواقع الشبكات الاجتماعية ومختلف الشركات، وخدمات البريد وحتى المواقع الحكومية. دراسة حديثة أجرتها شركة أمن الإنترنت نيتكرافت، يقدر أن 66٪ من المواقع التي تعمل بتقنية SSL تستعمل OpenSSL .
الجدير بالذكر أن ياهو تدعي أنها قامت بحل هذه الثغرة الأمنية في العديد من خوادمها.
كيف يمكنني أن أحمي نفسي من هذه الثغرة ؟
التوصية والنصيحة الأولى لدينا هو أن عليك مراجعة هذه القائمة التي تضم العديد من المواقع الرئيسية التي كانت عرضة لهذه الثغرة قبل 8 أبريل و منها مواقع عربية إذا كان لديك حساب على أي منها(خصوصا التي تستعمل فيها بطاقة الائتمان أو المال على العموم )، فعلم أن البيانات الخاصة بك في خطر. للأسف، تغيير كلمة السر لا يحل المشكلة، ويمكن أن يزيد الأمر سوأ لأن الضعف هو في ذاكرة الوصول العشوائي للأنظمة، بحيث كلمة مرور الجديدة سوف تبقى في هذه الذاكرة ،مما يعني أن المعلومات الجديدة ستكون متاحة لأولئك الذين يمكنهم الاستفادة من هذا الخلل الأمني !إذا كنت تريد ان تتأكد من أن بياناتك سليمة وأن الموقع الذي تستخدمه سليم أو قام بتصحيح هذه التغرة ، فعليك بهذه الأداة للتحقق من الأمر ،ومع ذلك، فإننا نوصي بعدم تنفيذ المعاملات الحساسة على شبكة الإنترنت خلال الأيام القليلة القادمة حتى تكون لديك المعلومات المؤكد على أن هذه الثغرة تمت معالجتها.
من الجدير بالذكر أن من بين الشركات التي صرحت أنها قامت بحل هذه المشكلةEtsy ، Amazon, Tumblr, Yahoo, Google و أمس فقط Ustream , من جانبها لم تصدر الفيسبوك وتويتر أي معلومات على حد علمي !