كُشفت ثغرة أمنية خطيرة في بروتوكول تشفير البيانات المتبادلة على شبكة الإنترنت تسرب مفاتيح التشفير والإتصالات الخاصة بين المستخدمين ومعظم المواقع والخدمات على الشبكة. وقد تم نشر تصحيح أولي وبشكل طارئ لتحديث الخوادم. ربما قد تم تجنب الأخطر غير أن الحذر مطلوب.
بينما كان العالم مشغولا بوقف مايكروسوفت لدعمها التقنيلويندوز XP، كادت شبكة الإنترنت تغرق في جحيم فجوة أمنية بسبب تقنية لا يعرفها الجمهور العريض الذي يستخدمها يوميا: تقنية OpenSSL،البروتوكول المستخدم على نطاق واسع لتشفير البيانات التي تنتقل على شبكة الإنترنت والتي خرقتها هفوة برمجية أمنية أطلق عليها اسم .Heartbleed
تقنيةOpenSSL، هي تقنية مفتوحة المصدر تحتوي أدوات التشفير المعروفة TSL و SSL.
Transport Layer Security أو بروتوكول طبقة المنافذ الآمنة، يستخدم خوارزميات تشفير فائقة القدرة وهو نسخة مطورة من بروتوكول
SSL-Secure Sockets Layer الذي يشفر البيانات المتبادلة على الشبكة.
فعندما تدخلون مثلا موقعا ما يبدأ عنوانه بـ
HTTPS وفي أسفل الشاشة أيقونة قفل، فهذا يعني أن البيانات المتبادلة بين جهاز الكمبيوتر الخاص بكم وخادم
server الموقع مشفرة لحماية المعلومات الشخصية والسرية ككلمات المرور وأرقام بطاقات الائتمان وأرقام حساباتكم المصرفية وغيرها.
Heartbleed هو الاسم الذي أطلقه على هذه الثغرة الأمنية خبراء أمن مؤسسة
Codenomicon وخبير من
GoogleSecurity. فالـ
Heartbleedهو كناية عن خطأ أو هفوة في تصميم بروتوكول
OpenSSL. فمثلا إذا شخص ما يريد التحقق أن خادم موقعه نشط فيرسل ما يعرف بالـ
Ping– Packet INternet Groper ، وهي مجموعة من حزم البيانات لفحص الاتصال، يطلقها مدير الموقع أو مدير الخوادم، لخادم ما وينتظر الرد وهنا الخادم الذي تعرض لثغرة
Heartbleed بدل الرد بالصدى
Pong"" يقوم بإرسال كل البيانات المخزنة في ذاكراته من تسجيل الدخول إلى كلمة المرور وأرقام بطاقات الائتمان وغيرها من البيانات المشفرة، والأخطر أنه يمكن أن يرسل أيضا مفاتيح التشفير المستخدمة من قبل الموقع. وفي حال حاول قراصنة استغلال هذه الهفوة عليهم إرسال عدد كبير من الطلبات للخادم ليحصلوا على ما يثير اهتمامهم.
وفقا لخبراء الأمن الفنلننديين من مؤسسة Codenomicon الذين كشفوا هذه الهفوة الأمنية فإن أكثر من ثلثي خوادم الشبكة يستخدمون تقنية OpenSSL للتشفير. والهفوة تطال بالتحديد نسخة مطورة عام 2011.
حسب مؤسسة
NetCraft فإن عدد المواقع التي تعرضت لهذه الهفوة يصل عددها إلى نصف مليون موقع منها موقع
Yahoo و
KickAssو
Torrent وأيضا موقع مكتب التحقيق الفدرالي الأمريكي
FBI. ويبدو أن مواقع
مايكروسوفت ،،
تويتر و
أمازون بقيت محمية ولم تطالها تلك الثغرة. وقد تم نشر أول تحديث لتصحيح الهفوة ليل الإثنين-الثلاثاء 8 أبريل، فعلى مديري الخوادم تحديث برامج خوادمهم.
كذلك نصح القائمون على نفق
TOR، الذي يتييح استخدام شبكة الإنترنت دون كشف الهوية،
بعدم استخدام الإنترنت لبضعة أيام حتى تتمكن الخوادم المختلفة من تحديث برامجها وتصحيح الثغرة.
وقد وضعت
أداة لاختبار ما إذا كان الموقع يمكن أن يتعرض لخطر الهفوة
Heartbleed، ولكنه لا يعمل مع جميع المواقع وفي حال اكتشفتم أن الموقع معرض للثغرة ينصح عدم إدخال معلومات تسجيل الدخول.
بطبيعة الحال من لديهم حسابات في موقع ياهو ربما سيطلب منكم في الأيام المقبلة إعادة تعيين كلمات المرور الخاصة بكم. النصيحة تبقى بتغيير جميع كلمات المرور بشكل دوري.
