المعلوماتية > عام
ثغرة جديدة تهدّد مستخدمي الإنترنت
قد تفكر ملياً خلال هذه الفترة قبل أن تحاول الولوج إلى موقعٍ ما على الإنترنت، وتتحقق من مدى وثوقيته ومقدرته على صد كل الثغرات الأمنية التي قد تخلّف نتائج كارثية للموقع ولمستخدميه… ربما تكون أنت أحدهم، فاحذر:
"فبعض الثغرات خفيةٌ كنزيف القلب"
في مساء يوم الاثنين الماضي، قام فريق من الباحثين في شركة كودنوميكون " "Codenomicon" إلى جانب الباحث ومهندس الأمن "نيل ميهتا" من شركة غوغل باكتشاف ثغرةٍ أمنية خطيرة جداً أطلقوا عليها اسم " Heartbleed" أو "نزيف القلب" باللغة العربية. لكن ما الذي ينبغي عليك معرفته عن هذه الثغرة ؟
باختصار: سيتوجب عليك تغيير جميع كلمات المرور الخاصة بك، وتجنب أي موقع في الوقت الحالي يمكن أن يكون غير محصّن ومعرّضٍ للهجوم .
نعلم أنّ هذا يبدو مثيراً للقلق بعض الشيء، لكنّ خبراء الإنترنت والأمن الآن يعلمون أكثر قليلاً عن هذه الثغرة الأمنية، حيث يتضح بشكل أكبر أنّ Heartbleed أمرٌ لا يجب العبث والاستهانة به
سمع مستخدمو موقع Tumblr مؤخراً عن Heartbleed بفضل مذكرة أرسلت من قبل خدمة التدوين تدعو جميع مستخدميها إلى تغيير كلمات المرور الخاصة بهم فوراً.
لذا، هذه بعض الأمور التي تحتاج إلى معرفتها والتي يمكن أن تحمي نفسك من الوقوع بهذه الثغرة قدر الإمكان:
- فما هي ثغرة Heartbleed ؟
هي ثغرة أمنية ظهرت في OpenSSL، برنامجٌ مفتوح المصدر يستخدم على نطاق واسع في تشفير اتصالات الويب، حيث يستخدم لحماية أسماء المستخدمين وكلمات المرور الخاصة بك والمعلومات الحساسة التي توضع على المواقع الآمنة.
ووفقاً لإحصائية مخدّم الويب التي قامت بها شركة Netcraft لشهر نيسان من هذا العام، فإنّ حوالي 66% من الويب تستخدم OpenSSL لتشفير البيانات.
في هذه المرحلة، ستقوم بعض المواقع بتحديث إصدارات جديدة معينة لبروتوكول OpenSSL والتي هي آمنةً مسبقاً، في حين أنّ بعض المواقع لن تقوم بأي تحديث لإصدار البروتوكول القديم الذي يحتوي على ثغرة أمنية في المقام الأول.
هناك عدد قليل من الأدوات يمكنك استخدامها لاختبار ما إذا كان الموقع عرضةً لهذا الخلل، وهنا قائمة ببعض المواقع التي تشير إلى إصابتها بهذه الثغرة:
Testing yahoo.com... vulnerable.
Testing stackoverflow.com... vulnerable.
Testing kickass.to... vulnerable.
Testing flickr.com... vulnerable.
Testing adf.ly... vulnerable.
Testing archive.org... vulnerable.
بخلاف هذه المواقع الآمنة:
Testing google.com... not vulnerable.
Testing facebook.com... not vulnerable.
Testing youtube.com... not vulnerable.
Testing twitter.com... not vulnerable.
Testing wikipedia.org... not vulnerable.
Testing blogspot.com... not vulnerable.
-كيف تعمل؟
تقوم الثغرة بالسماح للمهاجم بسحب 64 كيلو بايت عشوائياً من الذاكرة العاملة للمخدّم المعطى
يمكن اعتبارها مثل صيد السمك- حيث أنّ المهاجم لا يعلم أي البيانات التي يمكن استخدامها في فترة زمنية محددة- "لكن بما أنّ بإمكانها القيام يهذه العملية مراراً وتكراراً، فهناك احتمال أن تكون كثير من البيانات الحساسة عرضةً للخطر
تكون مفاتيح التشفير الخاصة للمخدّم هدفاً أساسياً، بما أنها بالضرورة تُبقى في الذاكرة العاملة ومن السهل تمييزها من بين البيانات.
مما يسمح هذا للمهاجمين بالتنصت على حركة مرور البيانات من وإلى الخدمة، وإمكانية فك تشفير أي حركة مرور سابقة قد تم تخزينها بشكلٍ مشفّر.
بمعنى آخر، يمكن لشخصٍ ما أن يقوم بسحب بيتات صغيرة من البيانات من المخدّم ببساطة، مراراً وتكراراً حتى يحصل على المفاتيح الخاصة اللازمة لقراءة كل المعلومات الموجودة هناك.
من المحتمل أن يكون هذا أمراً كارثياً لكلٍ من الشركات ومستخدميها، لأسباب قد لا تحتاج إلى أي توضيح.
-ماذا أفعل؟ ماذا أفعل؟
هل تقوم باستخدام كلمات المرور الخاصة بـ "ياهو" في مواقع أخرى؟
فمن المحتمل أن تكون كلمة المرور تلك قد تم اختراقها من خلال هذه الثغرة، وسيتوجب عليك أن تغيّرها فور إصلاح الخلل
لكن بما أنّ كل مسؤول نظام يتحتم عليه إصلاح المشكلة بشكل يدوي، والتي قد تأخذ وقتاً، فليس هناك شيءٌ يمكنك فعله إلا أن تقوم المواقع المخترقة بتحديث واعتماد إصدار جديد من برنامج OpenSSL وشهادة أمنية جديدة.
وقد قامت ياهو قبل يومين بإصلاح معظم خصائص موقعها الأساسية مثل: الصفحة الرئيسية ومحرك البحث وبريد ياهو وفليكر وتمبلر، وأعلنت أنها تعمل على إصلاح مواقعها الأخرى.
يذكر أنّ هذه الثغرة تؤثر على الإصدارين: "1.0.1 OpenSSL" و "1.0.2 OpenSSL" التجريبي الذي يأتي كبرنامج خوادم مع العديد من إصدارات نظام التشغيل "لينوكس" ويستخدم في العديد من خوادم الويب الشائعة.
ولإصلاح الثغرة، قامت الشركة المطورة لـ OpenSSL بإصدار التحديث "1.0.1g OpenSSL" الذي يجب على مشغلي مواقع الويب تثبيته بالإضافة إلى إلغاء الشهادات الأمنية التي قد تعرضت للاختراق.
أفضل شيء يمكنك أن تفعله أن تأخذ بنصيحة شركة تور TOR:
"إذا كنت بحاجة إلى أن تكون مجهول الهوية أو بحاجة إلى خصوصية عالية على الإنترنت، قد ترغب في البقاء بعيداً عن الإنترنت بشكل كامل للأيام القليلة المقبلة إلى أن تستقر الأمور"
كما يمكنك استخدام بعض المواقع التالية والتي تم إنشائها خصيصاً للتحقق فيما إذا كان الموقع آمناً من هذه الثغرة أم لا، وكل ما عليك فعله هو كتابة عنوان الموقع المراد التحقق عنه.. قد لا تكون دقيقةً بشكل قاطع لكن تقدم لك نتيجةً مقبولة:
(جرب مثلاً أن تتحقق عن موقع "الباحثون السوريون")
وهذا الموقع الرسمي لـ OpenSSL ستجدون فيه جميع الإصدارات حتى آخر تحديث قامت به "1.0.1g OpenSSL" والمزيد من المعلومات المفيدة:
الجانب الإيجابي لكل هذا أنه قدم فرصة جيدة لمزودي الخدمات الذين تأثروا بهذه الثغرة لرفع مستوى قوة أمن المفاتيح الخاصة المستخدمة، هذه الثغرة كانت السبب بتحديث العديد من البرمجيات التي لولاها لما كان القيام بذلك أمراً ملّحاً.
على الرغم أنّ هذا كان مؤلماً لمجتمع الحماية والأمن، إلا أنه يمكننا الاطمئنان أنّ البنية التحتية لمجرمي الإنترنت وأسرارهم قد كشفت أيضاً.
هوامش:
OpenSSL:[1]
هو برنامج مفتوح المصدر لبرتوكولات SSLو TLS. وتقوم المكتبة الأساسية المكتوبة بلغة البرمجة Cبتنفيذ مهام تشفيرٍ أساسية وتؤمن وظائف مساعدة متنوعة.كما يمكنك استخدام مكتبة OpenSSLفي العديد من لغات الحاسب المتاحة. أما إصدارات OpenSSLفهي متاحةٌ لمعظم أنظمة التشغيل مثل نظام يونيكس بمختلف إصداراته ونظام مايكروسوفت ويندوز.وقدم تم ترخيصه تحت رخصة أباتشي 1.0، وبإمكانك الحصول على مصدر هذا البرنامج واستخدامه لأغراض مختلفة مع بعض شروط الترخيص البسيطة. كما أنه يدعم خوارزميات تشفير مختلفة مثل:- شيفرات: AES, DES, RC5- التشفير باستخدام المفتاح العام: RSA, DSA
SSL (Secure Socket Layer): [2]
يدعى بـ "طبقة المنفذ الآمن" وهي بروتوكول تشفير أمن الإنترنت، يستخدم من قبل متصفحات الإنترنت وخوادم الويب لإرسال معلومات حساسة.
طور من قبل Netscapeوقد أصبح جزءاً من بروتوكول الحماية المعروف بـ "بروتوكول أمن طبقة النقل TLS"
TLS (Transport Layer Security):[3]
يدعى باللغة العربية "أمن طبقة النقل" وهو برتوكول تشفير مصمم ليقوم بتوفير أمن الاتصالات عبر الإنترنت.حيث يستخدم خوارزمية التشفير المتماثل بين طرفي الاتصال.
يتألف هذا البروتوكول من طبقتين:
بروتوكول سجل أمن طبقة النقل (TLS Record Protocol).
بروتوكول مصافحة أمن طبقة النقل (TLS Handshake Protocol)
.يعتبر أمن طبقة النقل بروتوكولاً تطبيقياً مستقل، ويمكن أن توضع بروتوكولات عالية المستوى
كطبقة عليا لبروتوكول أمن منطقة النقل بشفافية.كما يعد امتداداً لبروتوكول طبقة المنفذ الآمن SSLوهما ليسا قابلين للتبادل والتشغيل البيني.
بروتوكول سجل أمن طبقة النقل (TLS Record Protocol)
- تم وضعه كطبقة عليا على بروتوكول نقل موثوق به، مثل بروتوكول TCP، الذي يضمن أنّ الاتصال خاص وموثوق به عن طريق استخدام خوارزمية التشفير المتماثل للبيانات.كما يستخدم أيضاً لتغليف بروتوكولات عالية المستوى، مثل بروتوكول مصافحة أمن طبقة النقل و
HTTPو FTP. يسمح بروتوكول مصافحة أمن طبقة النقل
(TLS Handshake Protocol)بالمصادقة بين الخادم والعميل والتفاوض على خوارزميةالتشفير ومفاتيح الشيفرة قبل يرسل أو يتلقى بروتوكول التطبيق أي بيانات.
كود الثغرة :
CVE-2014-0160
المصادر: