-->
المدونة المعلوماتية | Informatique DZ المدونة المعلوماتية | Informatique DZ
mobile

آخر الأخبار

mobile
mobile
جاري التحميل ...
mobile

خمسات تؤكد تحديث ترخيص SSL لاقفال ثغرة HeartBleed

أعلنت "خمسات" و هو موقع لتقديم الخدمات الصغيرة (العمل الحر) و التابعة لشركة حاسوب في مراسلة قامت بها المدونة المعلوماتية أن بيانات المستخدمين فيه أمنة , حيث تم تحديث ترخيص الأمان SSL و الذي يعرف بثغرة HeartBleed في حينه.


HeartBleed ثغرة تم اكتشافها في 2 أبريل و تسمى بالشكل الرسمي CVE-2014-0160 ولقبت Heartbleed "القلب النازف" من طرف مكتشفتها شركة الأمن والحماية Codenomicon .

والتي تؤثر بشكل كبير على لغة OpenSSL التي تعتمد على سيرفرات الويب لتستطيع سرقة المعلومات المشفرة بالحالة الطبيعية من خلال تشفير SSL / TLS الذي يؤمن الحماية و الخصوصية أثناء الاتصال بالإنترنت وتصفح البريد الإلكتروني وجزء من الشبكات الافتراضية VPNs والرسائل الفورية IM .


وصرح مديرأبحاث البرمجيات لدى شركة IDC في الشرق الأوسط وتركيا وإفريقيا إن انتشار استغلال ثغرة Heartbleed يؤكد من جديد أن المخترقين ما زالوا يسعون وراء اكتشاف نقاط الضعف في التطبيقات والبرمجيات، ما يضع مسؤولية ضخمة على عاتق المطورين ويزيد من أهمية اتباع أساليب برمجة آمنة. تتيح هذه الثغرة للمخترقين الحصول على كلمات السر ومعلومات الوصول إلى مواقع الويب دون أن يتركوا أي أثر وراءهم في سجل النشاطات.

وهذا الخطأ البرمجي أدى إلى انكشاف العديد من المواقع والمستخدمين وتعريض معلوماتهم للسرقة والضياع، وزاد من قلق الناس حيال موضوع الخصوصية على الإنترنت، ناهيك عن مسائل الخصوصية والسرية التي أثيرت بشأن ممارسات وكالة الأمن القومي الأميركية.

حيث صدرت تقارير بأن وكالة الأمن القومي الأمريكي كانت تعرف بوجود ثغرة Heartbleed منذ عامين لكنها تكتمت على الموضوع ولم تعلم الجهات المختصة بها لتستفيد منها في التجسس , ولكن نفت وكالة الأمن القومي الأمريكي علمها بوجود ثغرة وطبعاً هذا النفي لا نعلم مدى صدقه وخاصة بعد سجل الفضائح المعروف للجميع في تجسسها .

لماذا تعد ثغرة Heartbleed من أخطر الثغرات ؟


ان ثغرة Heartbleed التي و صفت بأنها الأخطر في تاريخ الإنترنت تمكن المخترقين من الوصول إلى أبعد من مجرد بيانات المستخدم بحيث تجعل أي شخص يستغل هذه الثغره يستطيع قراءة الذاكرة العشوائية في الأنظمة التي تستخدم الاصدارات الضعيفة من من OpenSSL وبمجرد الدخول للذكراه يستطيع المخترق التعرف على كلمة السر الخاصة بالمخدم ليتمكن من سرقة كافة البيانات مباشرة من المخدمات والمستخدمين لأنه ببساطة يستخدم مفتاح التشفير الأساسي .


مكتبة OpenSSL :



إن البعض يعتقد ان المشكلة في بروتوكول SSL / TLS وهذا غلط فإن OpenSSL عباره عن مكتبة برمجية تستخدم بشكل كبير في تشفير الاتصال بالأنترنت وذلك مثل تشفير بروتوكل SSL / TLS إلى التطبيقات والخدمات علي اﻻنترنت المستخدمة لهذا البروتوكل .

حل لثغره Heartbleed :



إن الثغرة الأمنية Heartbleed تؤثر على الإصدارين 1.0.1 و 1.0.2 وبذلك قامت الشركة المطورة لـ OpenSSL بإصدار التحديث 1.0.1g، الذي يجب على مشغلي مواقع الويب تثبيته لتجنب الإختراق إلى جانب إلغاء الشهادات الأمنية التي قد تكون تعرضت للاختراق .

المشكلة أن هذا الخطأ تسبب بجعل كمية كبيرة من الكلمات السرية الخاصة بالمستخدم معرضة للتسريب و على الرغم أن جميع المواقع التي تستخدم OpenSSL قامت بتحديث الإصدار لكن ينصح الخبراء المستخدمين بتغيير كلمات المرور احتياطاً لكي لا تندم فيما بعد في حال تعرضك للإختراق .

ويذكر أن قامت الشرطة الملكية الكندية يوم الأربعاء الماضي باعتقال شابًا متهمًا باستغلال ثغرة Heartbleed في سرقة بيانات لدافعي الضرائب من موقع حكومي .

وأيضاً أعلنت في الأمس شركة Trend Microعن إطلاق فاحصيين يستطيعان الكشف إذا كانت أجهزة الحاسوب والهواتف الذكية تتواصل مع خوادم خاضعة لسيطرة ثغرة Heartbleed .

خلاصة المقال :

إن بالرغم من تعديل المواقع المستخدمة OpenSSL للنسخة الأحدث ولكن لا نعلم ما اذا كان حقاً أصبحنا في أمان من خطر هذه الثغره وخاصة بعد صدور تقارير بإمكانية أختراقها للهواتف المحمولة بالإضافة لمواقع الويب والحسابات الشخصية وبذلك يجب علينا ان لا نقف مكتوفي الايدي بل تعلمنا درس من هذه التجربة والتي أهمها يكون عدم تبادل بيانات هامة جداً على الإنترنت و عدم اهمال أي طُرق حماية توفرها المواقع على الإنترنت و بالإضافة لتغير كلمة السر لجميع حساباتك الشخصية فإنه كما يقال الوقاية خير من العلاج .

التعليقات



إذا أعجبك محتوى مدونتنا نتمنى البقاء على تواصل دائم ، فقط قم بإدخال بريدك الإلكتروني للإشتراك في بريد المدونة السريع ليصلك جديد المدونة أولاً بأول ، كما يمكنك إرسال رساله بالضغط على الزر المجاور ...

إتصل بنا

عن الموقع

المدونة المعلوماتية مدونة تقنية تهتم بالربح من الأنترنيت و التجارة الالكترونية و كل ما يخص أخبار التكنولوجيا و البرامج

تابعنا على يوتوب

تابعنا على فيسبوك

الزوار حاليا

زوار المدونة

Flag Counter

برامج سهلة

جميع الحقوق محفوظة

المدونة المعلوماتية | Informatique DZ

2018