تجليس أساقفة جدد في إيبارشيات وسط وجنوب مصر لدعم التنمية الروحية    كيف تحدد الإجازات الاستثنائية لأصحاب الأمراض المزمنة؟    التعليم تحبط محاولات اختراق إلكتروني لصفحتها الرسمية على «فيسبوك»    من 0.09% إلى 2.3%.. رحلة صعود الطاقة الشمسية في مصر    5 وزراء يجتمعون لمتابعة الموقف الحالي لمنظومة «الرقم القومي العقاري»    البولنديون يدلون بأصواتهم في انتخابات رئاسية حاسمة    اتحاد الكرة يطبيق معايير "مكافحة المنشطات" في المسابقات    ضبط المتهم بقتل وإصابة 3 أشقاء في نجع حمادي    سقوط أعمدة وعقارات.. الحكومة توضح خسائر عاصفة الإسكندرية    تنظم زيارة لوفد البنك الدولي للمنشآت والمشروعات الصحية في الإسكندرية    متحدث الصحة: رفع درجة الاستعداد القصوى في المستشفيات استعدادا لاستقبال عيد الأضحى    "مواجهة حاسمة".. ماسكيرانو يتحدث عن أهمية مباراة الأهلي في كأس العالم    بعد تداول امتحان دراسات الإعدادية بالقاهرة.. اسم اللجنة يفضح مصور البوكليت    62 عامًا من الوحدة    الصين تتهم وزير الدفاع الأمريكي بتجاهل دعوات السلام من دول المنطقة    حريق في غابات السفكون بريف االلاذقية    محافظ أسيوط يشهد الحفل الختامي لأنشطة مدارس المستقبل    قوات حرس الحدود توجه ضربة لمهربى المخدرات    بيراميدز يتحدى صن داونز لتحقيق حلم حصد لقب دوري أبطال إفريقيا    محمد شكرى يبدأ إجراءات استخراج تأشيرة أمريكا للسفر مع الأهلى للمشاركة في كأس العالم للأندية    التاريخ لن يقف أمام الصراعات.. بل سيذكر اسم البطل الكورة بتتكلم أهلى    حدث منذ قليل .. وزارة التعليم تتصدى لاختراق الصفحة الرسمية لها على فيس بوك    بدء تشغيل الأتوبيس الترددي على الطريق الدائري    متوسط التأخيرات المتوقعة لبعض القطارات على خطوط السكة الحديد    إنفوجراف| «الأرصاد» تعلن حالة الطقس غدًا الإثنين 2 يونيو 2025    إجراءات مشددة لتأمين ضيوف الرحمن تيسير الحج    "روز اليوسف" تحقق: مفاجأة.. بيوت ثقافة موصى بغلقها تم تجديدها فى 2024 ورطة الوزير فى ثقافة الجماهير!    مصر أولا.. الثقافة.. ملف أمن قومى وليست أزمة إدارة الاستثمار الثقافى وتجريف الوعى المصرى!    أبرزها جبل الطير وحارة زويلة الكنيسة القبطية تحتفل برحلة العائلة المقدسة فى مصر    مصطفى حجاج يغني مع إسلام كابونجا "على وضع الطيران"    شريف مدكور: «نفسي أقدم برنامج ديني بدون مقابل»    ريهام عبدالغفور: تكريم جديد يكلل مسيرتي بدور استثنائي عن «ظلم المصطبة»    دعاء اليوم الخامس من شهر ذي الحجة 1446 والأعمال المستحبة في العشر الأوائل    «الإفتاء»: الأضحية من أعظم القربات إلى الله ويجب أن تكون مستوفية للشروط    دون تخوين أو تكفير.. قضايا الميراث تريد حلا    أحلف بسماها .. رموز مصرية فى المحافل الدولية    غدًا.. وزير العمل يترأس وفد مصر الثلاثي المشارك في فعاليات الدورة ال 113 لمؤتمر العمل الدولي بجنيف    وزارة الصحة: التدخين يتسبب في وفاة أكثر من 8 ملايين شخص كل عام    2700 مستفيد من قافلة جامعة عين شمس التنموية الشاملة لمحافظة سوهاج    «مكافحة العدوى» تحتفل باليوم العالمي لغسيل الأيدي بمستشفيات «سوهاج»    رحلة العائلة المقدسة.. أكثر من ثلاثين دولة تخلدها على طوابع بريد    إصابة 13 شخصا إثر حادث انقلاب سيارة ربع نقل على طريق العلاقي بأسوان    روسيا: الجسر المنهار لحظة مرور قطار الركاب تعرض لتفجير    لهذا السبب.. خالد النبوي يتصدر تريند "جوجل"    هل يجوز الدعاء بشيء وأنا أعلم أنه شر لي؟.. الإفتاء تجيب    "استمر 3 ساعات".. السيطرة على حريق سوق السيراميك بالمرج- صور    ثالث المتأهلين.. باريس سان جيرمان يحجز مقعدًا في إنتركونتيننتال 2025    حماس: وافقنا على مقترح ويتكوف كأساس للتفاوض.. ورد إسرائيل لم يلبِ الحد الأدنى لمطالبنا    لحق بأبنائه.. استشهاد حمدى النجار والد الأطفال ال9 ضحايا قصف خان يونس    حسام باولو: عيب على مهاجمي الدوري تتويج إمام عاشور بلقب الهداف لهذا السبب    الإفتاء تحسم الجدل.. هل تسقط صلاة الجمعة إذا وافقت يوم العيد؟    موقف حرج يتطلب منك الحزم.. حظ برج الدلو اليوم 1 يونيو    بسبب قطعة أرض، مقتل وإصابة 4 أشخاص والقبض على 13 في مشاجرة بسوهاج    قرار وزاري.. الدكتور السيد تاج الدين قائمًا بأعمال مدينة زويل    «شاغل نفسه ب الأهلي».. سيد عبد الحفيظ يهاجم بيراميدز لعدم الرد على الزمالك    الاحتلال ينسف منازل سكنية في القرارة شمال شرق خان يونس    رسميًا الآن.. سعر الدولار مقابل الجنيه المصري اليوم الأحد 1 يونيو 2025 بعد الانخفاض    عيار 21 الآن يسجل رقمًا جديدًا.. سعر الذهب اليوم الأحد 1 يونيو بعد الانخفاض بالصاغة    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



ما هي ثغرة HeartBleed، ولماذا كل هذا الصخب حولها؟
الفجر نشر في الفجر يوم 02 - 05 - 2014

إذا كنت متابعًا للتقنية وأخبارها بشغف فمن المؤكد أنك سمعت عن ثغرة HeartBleed على الأقل مرة واحدة خلال الآونة الأخيرة، الثغرة التي تسببت في قيام أكبر مُقدّمي خدمات الوب من أمثال جوجل وياهو في المسارعة بترقيعها بسبب خطورتها البالغة على بيانات المستخدمين الحساسة مثل بيانات الدخول والبيانات المالية.

تقع الثغرة بالأساس في برمجية مفتوحة المصدر باسم OpenSSL والتي تستخدمها أغلب الشركات في حماية خوادمها، مع هذه التقنية يُمكن للمواقع تزويد معلومات مشفرة إلى الزوار، بحيث تكون البيانات المنقولة (مثل كلمات المرور وأسماء المستخدمين والكوكيز) غير مرئية للآخرين بينما تذهب من حاسوبك إلى الموقع الإلكتروني. وبما أنّ OpenSSL هو مشروع مفتوح المصدر، فإنّه يتم تطويره بواسطة بعض المتبرعين المبدعين، بدون أي مقابل، لمساعدة المجتمع التقني.

جاءت الثغرة بسبب خطأ غير مقصود في الإصدار 1.0.1 الذي تم إطلاقه بتاريخ 19 أبريل 2012، ويسمح هذا الخطأ لأي شخص باسترجاع المعلومات الموجودة على ذاكرة خادم الويب بدون إمكانية تتبعه. جاء هذا الخطأ غير المقصود بينما كان المُبرمج الألماني الدكتور روبن سيجلمان يُضيف ميزة جديدة إلى OpenSSL. ومعروف عن سيجلمان مساهماته المستمرة في كود الحماية المفتوح المصدر.

خطورة ثغرة Heartbleed
بالنسبة لكثيرين من المستخدمين، قد يكون الحديث عن ثغرة في تقنية OpenSSL للحماية أمرًا اعتياديًا، ولكن بالنسبة للمطورين ومديري الخوادم فإنّ الأمر كارثي بسبب استخدام OpenSSL في اثنين من كل ثلاثة خوادم على الإنترنت. الكشف الفجائي عن الثغرة جعل الجميع يتخبطون لإصلاح الثغرة بأسرع وقت ممكن، حتى أنّ خبراء الحماية قد نصحوا مستخدمي ياهو بالتوقف عن استخدام خدمات الشركة حتى تُعلن عن إصلاح الثغرة رسميًا. وتسمح ثغرة HeartBleed التي اكتشفها أحد باحثي جوجل للمُهاجم بسحب 64 كيلوبايت من البيانات العشوائية من ذاكرة الخادم العاملة، الأمر أشبه بصيد السمك، تضع الطُعم في السنارة وتنتظر حتى تخرج لك بالصيد، وحسب حظك قد يكون صيدك ثمينًا أو قد يكون بلا قيمة، ومع تكرار العملية قد يحصل المُهاجم على بيانات حساسة عن المستخدمين دون أن يعلم مُدير الخادم أي شيء عن الأمر، حيث يتم الهجوم دون ترك أي أثر.

الثغرة حاليًا ليست بالخطورة التي كانت عليها قبل اكتشافها، حيث سارعت العديد من الشركات إلى إصلاحها فور اكتشافها، شركات مثل ياهو وجوجل وفيسبوك، كما بدأت الشركات الأصغر أيضًا بإصلاح الثغرة حتى أن شركة إعادة توجيه زوار المواقع CloudFlare أطلقت مُسابقة تحدي اختراق باستخدام ثغرة HeartBleed.

هذا وقد قامت شبكة توزيع المحتوى CloudFlare بنشر تصريح يُطمئن مُستخدميها بأنّ ثغرة HeartBleed قد لا تكون بالخطورة التي تخيلوها، بعد أن قامت الشبكة بإجراء اختبارات لمدة أسبوعين عليها، وأشارت أيضًا إلى أنّ الباحثين فشلوا في استغلال الثغرة للحصول على مفاتيح SSL السرية. وقامت الشبكة بعد ذلك بإطلاق تحدي إلى الهاكرز الأخلاقيين لمحاولة استغلال الثغرة في الحصول على المفاتيح السرية، ولسوء الحظ فقد استطاع اثنين من المخترقين الحصول عليها.

السرية أمر مستحيل عندما تكون الثغرة مسئولة عن تعريض البيانات الخاصة باثنين من كل ثلاثة خوادم على الإنترنت للخطر

حاولت الهيئة وراء مشروع OpenSSL فور اكتشاف الثغرة أن تقوم بترقيعها سريًا دون أن يعلم الرأي العام أي شيء عنها، ولكن هذا بالطبع أمر مستحيل عندما تكون الثغرة مسئولة عن تعريض البيانات الخاصة باثنين من كل ثلاثة خوادم على الإنترنت للخطر. وكانت أول مؤشرات الثغرة رسالة تحذيرية استلمها مهندس في CloudFlare من أحد الأصدقاء، ثم رسالة مماثلة إلى فيسبوك ليقوم بإصلاح الثغرة قبل انتشارها. ولكن مع استمرار الحديث والتحذيرات حول ثغرة HeartBleed لم تجد هيئة OpenSSL مفر من إصدار استشارة أمنية عامة تُحذّر فيها عملائها من الثغرة.

ومع الإعلان عن الثغرة وجدت بعض الشركات نفسها متروكة في العراء، تُحاول التحديث بأي وسيلة لإصلاح الثغرة وعندما نقول شركات فنحن لا نقصد الصغار، بل شركات مثل أمازون وياهو تُركت دون أن تعلم عن الثغرة حتى الإعلان الرسمي من OpenSSL عنها. حتى جوجل نفسها كانت بها بعض الخدمات التي لم يتم إصلاحها قبل الإعلان الرسمي.

وكالة الأمن القومي الأمريكية، والصيد في الماء العكر!
لم تكن تشبيه ثغرة HeartBleed بالصيد محض صدفة، ولأنّ وكالة الأمن القومي الأمريكية هوايتها الأولى هي الصيد في الماء العكر، فقد خرج تقرير من Bloomberyيفيد معرفة وكالة الأمن القومي بالثغرة منذ وجودها قبل عامين والاستفادة منها في جمع البيانات طوال هذه المدة دون تنبيه أيًا من الشركات التقنية إليها. وحسب المصادر المُسّربة للمعلومة فإنّ الثغرة تم الحفاظ عليها سريًا لفائدة وكالة الأمن القومي، بينما استخدمتها الوكالة لجمع كلمات المرور وبيانات أخرى، منذ بدء الثغرة في 2012.

الخطورة هنا أنّ وكالة الأمن القومي الأمريكية كان لها القدرة على الوصول بسهولة باستخدام الثغرة إلى بعضًا من أقوى الخدمات حمايةً مثل بريد جوجل وخدمات أمازون على الويب، لمدة عامين تقريبًا، بالإضافة إلى وصول وكالة الأمن القومي إلى ثُلثي البيانات المشفرة على الإنترنت. ويُقدّر أحد الباحثين أنّ الوكالة ليدها الآلاف من الثغرات المماثلة والتي لم يتم الكشف عنها بعد، حيث تقوم باستغلالها لصالحها في جمع البيانات.

وقد نفت وكالة الأمن القومي هذه المعلومات وأكّدت على أنّها لم تكن على علم بالثغرة قبل الكشف عنها رسميًا، كما صدر خطاب قوي من البيت الأبيض ينفي أيضًا هذه الادعاءات جاء فيه “إذا كانت الحكومة الفيدرالية، بما في ذلك أجهزة الاستخبارات، قد اكتشف هذه الثغرة الأمنية قبل الأسبوع الماضي، لكان قد تم الكشف عنها للمجتمع المسئول عن OpenSSL”. بالطبع هذا النفي مُجرد تحصيل حاصل، وإن كُنت تُصدّقه فأنصحك برؤية الطبيب!

من المعروف أنّه وعند الكشف عن الثغرات فإنّ أول من يقوم بترقيع خوادمه منها هي البنوك والمؤسسات المالية والحكومية لأنّها تحتوي على بيانات حساسة للمواطنين والعملاء لا يُمكن الكشف عنها بحال. ولكن هذا لم يكن الحال مع وزارة المالية الكندية التي تم استغلال الثغرة عليها والحصول على بيانات حساسة لعدد كبير من المواطنين يصل إلى 900 شخص، من ضمنها أرقام الضمان الاجتماعي. وقد استطاعت السلطات الكندية تتبع الشخص وراء هذا الاختراق والقبض عليه في لندن! وهو مراهق إنجليزي باسم Stephen Arthuro Solis-Reyes وبعد خمسة أيام من التحقيق معه تم توجيه بعض التُهم إليه وتشمل “الاستخدام الغير مصرّح به لجهاز كمبيوتر، وإلحاق الأذى فيما يتعلق بالبيانات”.

الوقاية خير من العلاج
بعد الفوضى الكبيرة التي خلفتها ثغرة HeartBleed بدأت الشركات التقنية الكبرى تنتبه إلى إمكانية حدوث ثغرات مماثلة في المستقبل، ولأنّ الوقاية خير من العلاج، قامت شركات جوجل ومايكروسوفت وفيسبوك بالتعاون معًا وجمع تمويل قدره 3.6 مليون دولار أمريكي لإطلاق مشروع باسم “مبادرة البنية التحتية الأساسية” برعاية مؤسسة لينكس ويتم تكريس هذا المشروع لاستثمار الأموال في البنية التحتية للبرامج الهامة، ويقول المدير التنفيذي لهذا المشروع أنّه بعد ثغرة HeartBleed أصبح شيئًا واضحًا الحاجة إلى التغيير، وأضاف أنّه يتمنى أن يكونوا قد فعلوا ذلك منذ وقت طويل.

انقر هنا لقراءة الخبر من مصدره.