10 أشياء يجب معرفتها عن ثغرة نزيف القلب
المعلوماتية >>>> عام
نزيف القلب:
لم يعد مصطلح "نزيف القلب" أو "Heartbleed" مجرد لقباً تستخدمه أثناء تسجيلك ضمن أحد مواقع الدردشة في العالم الافتراضي، أو اسماً تسمي به خدمة البلوتوث في هاتفك الذكي.. فيكاد لم يبق موقعاً لأخبار التكنولوجيا أو باحث أمن معلومات إلا وتحدث عن أكبر ثغرة أمنية ( نزيف القلب ) ظهرت في تاريخ الانترنت حتى اللحظة.
تجلت خطورة هذه الثغرة الحرجة بتضمين ملحقات "نبضة القلب" (Heartbeat) لبروتوكول TLS/DTLS في برنامج OpenSSL الذي سمح للمهاجم بقراءة قسم من ذاكرة المخدم المصاب وبالتالي الحصول غير المشروع على بيانات المستخدمين المخزنة على ذلك المخدم.
بعد ظهور قصتها للعلن، تكاد لاترى موقعاً على الانترنت أو حساباً على مواقع التواصل الاجتماعي إلا وقد كتب عن "نزيف القلب". على الرغم من هذا، نجد العديد ممن الناس لم يعرفوا عنها إلا الجزء اليسير حتى الآن. لذا وتلبية لطلب العديد من القراء، قمنا بالاجابة عن أكثر الأسئلة شيوعاً حول هذا الخلل الأمني الخطير.
1- هل "نزيف القلب" فايروس؟
قطعاً لا، ليست فايروس. كما هو مكتوب في مقالتنا السابقة، فإن نزيف القلب هي ثغرة أمنية ظهرت في نسخ معينة من برنامج التشفير المعياري مفتوح المصدر OpenSSL، و على وجه الدقة، في آلية "نبضة القلب" المضمنة في بروتوكول أمن طبقة النقل TLS.
2- كيف تعمل؟
كي يعمل بروتوكول SSL، يتوجب على جهاز الزبون الاتصال مع المخدم وإرسال إشارات خاصة تسمى "نبضات القلب" تُعلِم المخدم بشكل دائم أن جهاز الزبون مازال متصلاً معه.
يسمح هجوم نزيف القلب للمهاجم بالجصول مباشرة على 64 كيلوبايت من جزء من ذاكرة المخدم لكل رد (response) ناجماً عن ارسال "نبضة قلب" تحوي معلومات خبيثة. وليس هنالك من حد لعدد الهجمات المتلاحقة التي يمكن تنفيذها.. الأمر الذي يفتح باباً واسعاً لمجرمي الانترنت لتحقيق مآربهم باستخلاص بيانات على مستوى عال من الحساسية مباشرة من ذاكرة المخدم المصاب دون ترك أي أثر خلفهم.
3- هل يعتبر بمثابة "هجوم الرجل في المنتصف"؟
لا، لا يعتبر كذلك، فهجوم "نزيف القلب" ممكن أن يؤدي للحصول على المفاتيح الخاصة لتشفير شهادات SSL/TLS الأمر الذي قد يقود لإنشاء مواقع مزيفة تستخدم شهادات أمنية أصلية. إنما يمكن ان يقوم المهاجم أيضاً بتنفيذ هجوم الرجل في المنتصف (MITM) للحصول على حركة البيانات الخاصة بالمستخدمين في شبكة ما (بروتوكول HTTPS مثلاً)، ثم يقوم بفك تشفيرها بواسطة المفاتيح التي حصل عليها ليحصل على كلمات مرور المستخدمين بكل بساطة.
4- هل هو هجوم من جهة المخدم أو من جهة الزبون؟
"نبضات قلب" لبروتوكول TLS يمكن أن يرسلها أي من الطرفين عبر اتصال TLS، لذا فإنه من الممكن تنفيذها على الزبائن كما المخدمات والحصول على 64 كيلوبايت من ذاكرة الجهاز المصاب بثغرة "نزيف القلب" (CVE-2014-0160).
يقدر الباحثون أن ثلثا خوادم العالم (أي ما يقارب نصف مليون خادم ) متأثر بثغرة "نزيف القلب"، متضمنة مواقع الانترنت / البريد الالكتروني / وخدمات الرسائل الفورية.
5- هل لـ ِ"نزيف القلب" تأثير على الهواتف الذكية؟
تعتبر الهواتف الذكية أفضل مثال على الهجوم من جهة الزبون. فجميع إصدارات نظام أندرويد تحوي على نسخ قديمة من مكتبة OpenSSL. إلا أنه فقط إصدار أندرويد "جيلي بين" 4.1.1 يكون مصاباً بالثغرة افتراضياً.
أكدت أيضاً "بلاك بيري" إصابة بعض منتجاتها بنزيف القلب، بينما منتجات شركة "آبل" غير مصابة أبداً.
تبعاً لهذا قامت "غووغل" بترقيع الثغرة على إصدارات أندرويد 4.1.1 المصابة، إلا أن هذه التحديثات ستأخذ وقتا طويلا ليتمكن مستخدمي الهواتف الذكية من تثبيتها عن طريق شركات تصنيع الهواتف. حتى ذلك الوقت سيبقى هؤلاء المستخدمين عرضة للاختراق!
6- ماذا أيضاً يمكن أن يكون مصاباً بـ "نزيف القلب"؟
الموجهات (الراوترات)، أجهزة الهاتف التي تعمل على IP، الأجهزة الطبية، أجهزة التلفزيونات الذكية، وملايين الأجهزة الأخرى، التي تعتمد على OpenSSL لتحقيق اتصالات آمنة، قد تكون عرضة للإصابة بثغرة "نزيف القلب".. وكما هو من غير المتوقع لهذه الأجهزة أن تُحدّث في الوقت القريب.
7- من المسؤول عن "نزيف القلب"؟
في الحقيقة لا يمكننا لوم أي مطوّر، على وجه الخصوص المشاركين في مشاريع المصادر المفتوحة بدون مقابل مادي. في هذا الخصوص قال د. روبن سيغلمان، 31 سنة - مطور ألماني قام في عام 2011 بطرح مبدأ "نبضة القلب" على OpenSSL، قال إنه لم يكن سوى خطأ برمجي غير مقصود في الشيفرة المصدرية الذي سبب حدوث ثغرة "نزيف القلب"... " في إحدى الميزات الجديدة، ولسوء الحظ، لم أقم بالتحقق من طول المتغيّر"، وهذا لم يُكتشف من مراجعي ومدققي الشيفرات ولا من أي شخص آخر لمدة عامين.. وتابع قائلاً: " فعلت هذا عن غير قصد".
8- من قام باستغلال الثغرة حتى الآن؟
وجهت "بلوم بيرغ" اتهاماً لوكالة الأمن القومي الأميركية NSA بمعرفة ثغرة "نزيف القلب" طوال العامين الماضيين. وتعدى الأمر ذلك حيث ورد في التقرير أن الوكالة كانت تستخدمها باستمرار لتحصل على المعلومات بدل أن تقوم بتبليغ مطوري OpenSSl عنها. إلا أن الوكالة نفت هذا قائلة أن NSA لم تكن على علم بالثغرة حتى ظهرت للعلن. وكما هو الحال عند ظهور أي ثغرة، فإن قراصنة الانترنت هم عادة من يكونوا السباقين لاستغلال هذه الثغرات.
ويتوفر على الانترنت العديد من الاثباتات (PoCs) عن كيفية استغلال الثغرات على مختلف لغات البرمجة ومنصات اختبار الاختراق.
9- هل يمكن أن يؤدي تغيير كلمات سر الحسابات لحل المشكلة؟
ليس على وجه الدقة. فهجوم "نزيف القلب" لديه القدرة على تسريب أي شيء من المخدم متضمناً كلمات المرور، تفاصيل البطاقات المصرفية، و أي نوع آخر من المعلومات. إلا أنه ولحماية معلومات حساباتك على الانترنت يجب عليك أن تقوم وبأقصى سرعة بتغيير كلمات مرور المواقع التي تعرضت للإصابة.
يمكنك التأكد من إصابة الموقع أو عدمها من خلال المواقع الخدمية التالية.
Filippo
Provensec Scanner
Globalsign SSL Checker
أسهل طريقة لتبقى آمنا هي أن تقوم بتحميل إضافة متصفح " غووغل كروم" الجديدة Chromebleed.
لمعرفة إن كان جهازك الأندرويد آمناً أو لا، يمكنك تحميلBluebox HeartBleed Scanner
سيقوم هذا التطبيق بفحص التطبيقات المثبتة على هاتفك ومعرفة إن إصدار مكتبة OpenSSL والتأكد فيما إذا كان الهاتف مصاب أم لا.
على أي حال لا يمكن لأحد التأكد من هذه النقطة، لأن هجوم نزيف القلب يعمل بطريقة خفية بدون ترك أي آثار، وهذا ما يزيد الطين بلة.. فلن تتمكن من معرفة ما إن كنت تعرضت للهجوم أم لا، بمعنى آخر لا يوجد أي طريقة لمعرفة إن كانت معلوماتك قد سرقت سابقاً من أحد المواقع أو الخدمات التي قد تم تحديثها الآن. لكن إن لم تقم بتغيير كلمات مرورك حتى الآن، فعلى الأرجح أن معلوماتك مازلت عرضة للتجسس.
10- ماذا يمكنني أن أفعل لأحمي نفسي؟
حافظ على هدوئك ولا تنذعر حيال الموضوع! هذا أول ما ينبغي عليك القيام به قبل أن تقوم بتغيير كلمات مرورك في كل مكان. على فرض أن جميعها كانت عرضة للاختراق من قبل. وتأكد أنك آمن.. لكن تريث قليلاً... فإن كانت بعض المواقع ما تزال مصابة بالثغرة فإن مجهودك سيذهب سدى، لأنه ينبغي على الموقع أن يقوم أولا بتحديث خدماته وترقيع الثغرة بأسرع وقت ممكن. لأن تغيير كلمة المرور قبل حل المشكلة من جهة المخدم سيعرض كلمة المرور الجديدة للتسريب من جديد ومعلوماتك ستبقى عرضة للاختراق.
إذا كان لديك خدمة SSL مصابة فمن الأفضل أن تقوم بمايلي:
• التحديث إلى إصدار OpenSSL رقم 1.0.1g.
• طلب إلغاء شهادة SSL الحالية.
• إعادة توليد مفتاح خاص للتشفير.
• طلب تغيير شهادة SSL.
لا تقم باستخدام أي كلمة مرور قديمة، وسيكون أمرا جيداً أن تستخدم "المصادقة على مرحلتين" ما يعني أنه بالاضافة لكلمة المرور فإنك ستحتاج لرمز تفعيل يولد آنياً على هاتفك الذكي قبل قيامك بالدخول للموقع.
المصدر.
The Hacker News