أعلنت "خمسات" و هو موقع لتقديم الخدمات الصغيرة (العمل الحر) و التابعة لشركة حاسوب في مراسلة قامت بها المدونة المعلوماتية أن بيانات المستخدمين فيه أمنة , حيث تم تحديث ترخيص الأمان SSL و الذي يعرف بثغرة HeartBleed في حينه.
HeartBleed ثغرة تم اكتشافها في 2 أبريل و تسمى بالشكل الرسمي CVE-2014-0160 ولقبت Heartbleed "القلب النازف" من طرف مكتشفتها شركة الأمن والحماية Codenomicon .
والتي تؤثر بشكل كبير على لغة OpenSSL التي تعتمد على سيرفرات الويب لتستطيع سرقة المعلومات المشفرة بالحالة الطبيعية من خلال تشفير SSL / TLS الذي يؤمن الحماية و الخصوصية أثناء الاتصال بالإنترنت وتصفح البريد الإلكتروني وجزء من الشبكات الافتراضية VPNs والرسائل الفورية IM .
وصرح مديرأبحاث البرمجيات لدى شركة IDC في الشرق الأوسط وتركيا وإفريقيا إن انتشار استغلال ثغرة Heartbleed يؤكد من جديد أن المخترقين ما زالوا يسعون وراء اكتشاف نقاط الضعف في التطبيقات والبرمجيات، ما يضع مسؤولية ضخمة على عاتق المطورين ويزيد من أهمية اتباع أساليب برمجة آمنة. تتيح هذه الثغرة للمخترقين الحصول على كلمات السر ومعلومات الوصول إلى مواقع الويب دون أن يتركوا أي أثر وراءهم في سجل النشاطات.
HeartBleed ثغرة تم اكتشافها في 2 أبريل و تسمى بالشكل الرسمي CVE-2014-0160 ولقبت Heartbleed "القلب النازف" من طرف مكتشفتها شركة الأمن والحماية Codenomicon .
والتي تؤثر بشكل كبير على لغة OpenSSL التي تعتمد على سيرفرات الويب لتستطيع سرقة المعلومات المشفرة بالحالة الطبيعية من خلال تشفير SSL / TLS الذي يؤمن الحماية و الخصوصية أثناء الاتصال بالإنترنت وتصفح البريد الإلكتروني وجزء من الشبكات الافتراضية VPNs والرسائل الفورية IM .
وهذا الخطأ البرمجي أدى إلى انكشاف العديد من المواقع والمستخدمين وتعريض معلوماتهم للسرقة والضياع، وزاد من قلق الناس حيال موضوع الخصوصية على الإنترنت، ناهيك عن مسائل الخصوصية والسرية التي أثيرت بشأن ممارسات وكالة الأمن القومي الأميركية.
حيث صدرت تقارير بأن وكالة الأمن القومي الأمريكي كانت تعرف بوجود ثغرة Heartbleed منذ عامين لكنها تكتمت على الموضوع ولم تعلم الجهات المختصة بها لتستفيد منها في التجسس , ولكن نفت وكالة الأمن القومي الأمريكي علمها بوجود ثغرة وطبعاً هذا النفي لا نعلم مدى صدقه وخاصة بعد سجل الفضائح المعروف للجميع في تجسسها .
ان ثغرة Heartbleed التي و صفت بأنها الأخطر في تاريخ الإنترنت تمكن المخترقين من الوصول إلى أبعد من مجرد بيانات المستخدم بحيث تجعل أي شخص يستغل هذه الثغره يستطيع قراءة الذاكرة العشوائية في الأنظمة التي تستخدم الاصدارات الضعيفة من من OpenSSL وبمجرد الدخول للذكراه يستطيع المخترق التعرف على كلمة السر الخاصة بالمخدم ليتمكن من سرقة كافة البيانات مباشرة من المخدمات والمستخدمين لأنه ببساطة يستخدم مفتاح التشفير الأساسي .
إن البعض يعتقد ان المشكلة في بروتوكول SSL / TLS وهذا غلط فإن OpenSSL عباره عن مكتبة برمجية تستخدم بشكل كبير في تشفير الاتصال بالأنترنت وذلك مثل تشفير بروتوكل SSL / TLS إلى التطبيقات والخدمات علي اﻻنترنت المستخدمة لهذا البروتوكل .
إن الثغرة الأمنية Heartbleed تؤثر على الإصدارين 1.0.1 و 1.0.2 وبذلك قامت الشركة المطورة لـ OpenSSL بإصدار التحديث 1.0.1g، الذي يجب على مشغلي مواقع الويب تثبيته لتجنب الإختراق إلى جانب إلغاء الشهادات الأمنية التي قد تكون تعرضت للاختراق .
المشكلة أن هذا الخطأ تسبب بجعل كمية كبيرة من الكلمات السرية الخاصة بالمستخدم معرضة للتسريب و على الرغم أن جميع المواقع التي تستخدم OpenSSL قامت بتحديث الإصدار لكن ينصح الخبراء المستخدمين بتغيير كلمات المرور احتياطاً لكي لا تندم فيما بعد في حال تعرضك للإختراق .
ويذكر أن قامت الشرطة الملكية الكندية يوم الأربعاء الماضي باعتقال شابًا متهمًا باستغلال ثغرة Heartbleed في سرقة بيانات لدافعي الضرائب من موقع حكومي .
وأيضاً أعلنت في الأمس شركة Trend Microعن إطلاق فاحصيين يستطيعان الكشف إذا كانت أجهزة الحاسوب والهواتف الذكية تتواصل مع خوادم خاضعة لسيطرة ثغرة Heartbleed .
حيث صدرت تقارير بأن وكالة الأمن القومي الأمريكي كانت تعرف بوجود ثغرة Heartbleed منذ عامين لكنها تكتمت على الموضوع ولم تعلم الجهات المختصة بها لتستفيد منها في التجسس , ولكن نفت وكالة الأمن القومي الأمريكي علمها بوجود ثغرة وطبعاً هذا النفي لا نعلم مدى صدقه وخاصة بعد سجل الفضائح المعروف للجميع في تجسسها .
لماذا تعد ثغرة Heartbleed من أخطر الثغرات ؟
مكتبة OpenSSL :
إن البعض يعتقد ان المشكلة في بروتوكول SSL / TLS وهذا غلط فإن OpenSSL عباره عن مكتبة برمجية تستخدم بشكل كبير في تشفير الاتصال بالأنترنت وذلك مثل تشفير بروتوكل SSL / TLS إلى التطبيقات والخدمات علي اﻻنترنت المستخدمة لهذا البروتوكل .
حل لثغره Heartbleed :
إن الثغرة الأمنية Heartbleed تؤثر على الإصدارين 1.0.1 و 1.0.2 وبذلك قامت الشركة المطورة لـ OpenSSL بإصدار التحديث 1.0.1g، الذي يجب على مشغلي مواقع الويب تثبيته لتجنب الإختراق إلى جانب إلغاء الشهادات الأمنية التي قد تكون تعرضت للاختراق .
المشكلة أن هذا الخطأ تسبب بجعل كمية كبيرة من الكلمات السرية الخاصة بالمستخدم معرضة للتسريب و على الرغم أن جميع المواقع التي تستخدم OpenSSL قامت بتحديث الإصدار لكن ينصح الخبراء المستخدمين بتغيير كلمات المرور احتياطاً لكي لا تندم فيما بعد في حال تعرضك للإختراق .
ويذكر أن قامت الشرطة الملكية الكندية يوم الأربعاء الماضي باعتقال شابًا متهمًا باستغلال ثغرة Heartbleed في سرقة بيانات لدافعي الضرائب من موقع حكومي .
وأيضاً أعلنت في الأمس شركة Trend Microعن إطلاق فاحصيين يستطيعان الكشف إذا كانت أجهزة الحاسوب والهواتف الذكية تتواصل مع خوادم خاضعة لسيطرة ثغرة Heartbleed .
شكرا علي الموضوع
ردحذفwww.al-wafe.com
شكرا لك و بالتوفيق لمدونتك
حذف