ما هي ثغرة Heartbleed وكيف نحمي انفسنا منها

هذا الاسبوع، تعرضت بعض المواقع الشهيرة مثل Pinterest وناسا و USMagazine.com و Creative Commons والتي تستخدم تشفير SSL، الى خلل امني كبير يُطلق عليه Heartbleed.

 

هذه الثغرة الامنية تم اكتشافها من قبل عضو في فريق الامان التابع لشركة جوج وشركة امن البرمجيات الشهيرة Codenomicon. كما تشير التقارير الى وجود عدد كبير من المواقع الاخرى التي تعرضت لهذا الخلل ايضاً، وتم نشر قائمة كاملة بها على موقع GitHub.

 

ما هي ثغرة Heartbleed؟

 

يُذكر ان ثغرة Heartbleed تؤثر على خوادم الويب التي تعمل ببرمجيات الاباتشي و Nginx، ولديها القدرة على كشف المعلومات الخاصة بالمستخدمين التي يقومون بادخالها على المواقع، والتطبيقات، والبريد الالكتروني وحتى الرسائل الفورية.

 

وبينما ينصح معظم خبراء الامن دائماً باستخدام المواقع والخدمات التي تقدم تشفير SSL، الا ان ثغرة Heartbleed لديها القدرة على السماح لمُشغلي البرمجيات الخبيثة والهاكرز هزم هذه الطبقة الهامة من الامان والتقاط كلمات المرور، فضلاً عن ملفات تعريف الارتباط، والحصول على المعلومات الخاصة وبطاقات الامان وغيرها.

 

ويُشار الى ان تقنية OpenSSL تُستخدم لتشغيل التشفير المتواجد في ثلثي مواقع وخدمات الانترنت. وفي تقييمهم للخرق الامني، اوضح خبراء الامن ان هذه الثغرة ظلت غير مُكتشفة لمدة عامين، وربما يكون الهاكرز قد استخدموها دون ترك اية اثار. لذا، فإن ثغرة Heartbleed تعتبر من اخطر العيوب الامنية التي تم اكتشافها على مدى سنوات عديدة.

 

مواضيع مشابهة

هذا وقد أُعلن عن اصلاح لهذه الثغرة في وقت سابق من هذا الاسبوع ايضاً، الا ان العديد من المواقع لا تزال في مرحلة استعادة توازنها بعد هذا الخلل الكبير. وهذا هو السبب الذي جعل موقع مثل Tor Project، ينصح المستخدمين بالابتعاد عن الانترنت قدر الامكان هذا الاسبوع اذا كانوا يهتمون حقاً بأمنهم.

 

وحتى الان، فلم تقم سوى بعض المواقع والخدمات بتحديث خدماتها للتعافي من هذه الثغرة من بينها وورد بريس، وخدمات امازون، و Akamai وغيرها. وعلى قائمة GitHub، فقد ظهرت بعض المواقع انها ليست عُرضة لهذه الثغرة من بينها جوجل وايفرنوت و FourSquare وغيرها الكثير.

 

كما تم اطلاق موقع يُدعى Heartbleed Checker من قبل شركة LastPass، والذي يسمح لك بادخال رابط اي موقع للتحقق من كونه عرضة لهذه الثغرة ام لا.

 

والان، تعالوا نتعرف على كيف نحمى انفسنا من هذه الثغرة الخطيرة

 

  1. التأكد من ان الخدمة او الموقع الذي نستخدمه قام بتثبيت التحديث الامني.
  2. تغيير كلمات السر الخاصة بالمواقع التي تهمنا.
  3. لا تستخدم نفس كلمة السر على موقعين
  4. استخدم مدير لكلمات السر، والذي يقوم بتوليد مجموعة غير محدودة من كلمات السر الفريدة من نوعها، وهي كلمات صعب اختراقها.
  5. استخدم عملية التحقق بخطوتين في اي خدمة متاحة، وابدئها بحساب Gmail.
  6. خلال الاسبوع المقبل على الاقل، خذ حذرك بشأن اي من حساباتك الحساسة على الانترنت (المصرفية، والبريد) حتى لا تتعرض لأي نشاط مشبوه.

 

وفي هذه الاثناء، حتى تقوم المواقع بتثبيت احدث نسخة من OpenSSL لاصلاح الثغرة، فإنه من الجيد الانتظار حتى تأكيد التحديثات على مواقعك وخدماتك المُفضلة ثم قم بتغيير كلمة السر الخاصة بك، حتى تكون آمنة قدر الامكان.

 

شارك المحتوى |
close icon