دعوى مستعجلة لإلغائه…قرار حرمان الممتنعين عن سداد النفقة من الخدمات الحكومية غير دستورى    خبير اقتصادي يوضح تأثير إبطاء تنفيذ المشروعات الكبرى على الاقتصاد واستهلاك الوقود    مدبولي: الزيادة بأسعار الوقود خفضت 1.2 مليار دولار من قيمة الاستهلاك السنوية    فاتورة الحرب في مصر    تداول 81 ألف طن بضائع خلال 24 ساعة بميناء دمياط    ارتفاع عدد المصابين إثر سقوط صاروخ إيراني في "بيت شيمش" ل 11 إسرائيليا    مقتل مراسلين اثنين ومصور بغارة إسرائيلية على سيارتهم في جنوب لبنان    إيران تعلن استهداف نظام أوكراني مضاد للدرونز في الإمارات    السفير الألماني يزور العريش ومعبر رفح ويشيد بجهود مصر في دعم غزة    التعليم: مفيش دراسة أون لاين في المدارس    ضبط 9500 لتر سولار و3 أطنان أسمدة مجهولة المصدر بدمنهور وغرب النوبارية    دراما رمضان 2026.. إيجابيات وسلبيات وملاحظات    أبرزها منى زكي وهنيدي والسقا وياسمين عبد العزيز.. ثنائيات السينما تعود لتشعل الأجواء في 2026    هل لجأت للقصة الحقيقية في دورها ب"حكاية نرجس"؟ ريهام عبد الغفور تجيب |خاص    المتحف المصري الكبير ضمن أفضل المعالم السياحية والأثرية خلال 2026    كواليس جولة محافظ دمياط داخل مركز صحة الاسرة.. 42 ألف مستفيد تحت رعاية "الألف يوم الذهبية"    «الصحة» تكشف حقيقة انتشار الدرن وتؤكد: رفع الاستعداد بالمستشفيات إجراء لمواجهة تقلبات الطقس    "الأعلى للإعلام" يستدعي مسئول قناة "القصة وما فيها" على موقع "يوتيوب"    جامعة المنوفية تستضيف جلسة تعريفية حول الدراسة الممولة بالكامل في الولايات المتحدة    اليوم.. ثاني مواجهات ربع نهائي دوري السوبر لسيدات السلة    إنتر ميامي يطلق اسم ميسي على مدرج ملعبه الجديد    جيرارد: تعويض صلاح في ليفربول مهمة صعبة    لجنة الحكام تسلم الشارة للحكام الدوليين    مدرب موريتانيا: كنا نلعب بمستوى يفوق مستوانا بكثير ضد الأرجنتين    البابا لاون الرابع عشر يؤكد مركزية المسيح ودور الكنيسة في الدفاع عن الإنسان    تجديد حبس عاملين بتهمة الشروع في قتل عاطل وإضرام النار فيه بالمطرية    ضربة قوية للسوق السوداء.. ضبط قضايا ب 24 مليون جنيه    تعليم الغربية: انتظام 523 ألف طالب بجميع المدارس بعد انتهاء الطقس غير المستقر    سعر الدرهم الإماراتي في البنوك المصرية اليوم    الجيش الإسرائيلي: استهدفنا مصنعا لإنتاج المواد المتفجرة اللازمة لتخصيب اليورانيوم في يزد    وكيل زراعة الغربية: نسعي لتحقيق الاكتفاء الذاتي من محصول بنجر السكر    وزيرة الثقافة والمحافظ يفتتحان الدورة ال15 من «الأقصر الإفريقي».. غدا    رئيس الوزراء: الفاتورة الشهرية لاستيراد الطاقة ازدادت بمقدار الضعف    الزمالك يرفض التفريط في اللاعبين الشباب بفريق الكرة    طلب برلماني لمناقشة قصور رعاية مرضى «دوشين».. ومطالب بتوفير العلاج للأطفال    تحرك برلماني لإنصاف العاملين بهيئة الإسعاف ومساواتهم بالكوادر الطبية    الداخلية تضبط 395 قضية مخدرات و240 قطعة سلاح خلال 24 ساعة    فرص عمل جديدة في 10 محافظات.. "العمل" تعلن نشرة توظيف بتخصصات متنوعة ورواتب مجزية    بعد حملة التنمر على أسرته.. محمد الشيخ : أنا خصيم كل من ظلمني يوم القيامة    غارات جوية تستهدف جامعة العلوم والتكنولوجيا الإيرانية ومحطة بوشهر النووية    الأسهم الأمريكية تدخل مرحلة تصحيح وسط مخاوف الحرب    بعد قليل.. نظر دعوى تعليق تنفيذ أحكام الإعدام بعد تعديلات الإجراءات الجنائية    هيئة «الرعاية الصحية» تحقق 8 ملايين دولار إيرادات من السياحة العلاجية    سعر الليرة أمام الدولار في مصرف سوريا المركزي (تحديث لحظي)    حبس ابن لاعب سابق في منتخب مصر بتهمة حيازة مخدر الحشيش بالتجمع    حريق يضرب جراج سيارات في باغوص بالفيوم.. تفحم 7 دراجات وسيارتين وتروسيكل    سبيل وكتّاب عبدالرحمن كتخدا.. لؤلؤة معمارية تزين شارع المعز    زكريا أبو حرام يكتب: القدوة والتأثير    العمى النفسي والذكاء الاصطناعي.. عندما تخدعنا الأجهزة الرقمية    جهود مكثفة لكشف لغز العثور على جثة مجهولة ملقاة على مزلقان البستان بالدقهلية    الدفاع الإماراتية: نتعامل حاليًّا مع اعتداءات صاروخية وطائرات مسيرة قادمة من إيران    تكريم 80 من حفظة القرآن الكريم والنماذج المتميزة في قرية البديني ببني سويف    خبيرة اجتماعية: النزوة قد تصدم الزوجة.. لكنها لا تعني نهاية العلاقة    أصعب لحظة في «المداح».. فتحي عبد الوهاب يكشف كواليس الجزء الأخير    منتخب ألمانيا يهزم سويسرا 4-3 وديا    الأزهر يوضح علامات قبول الصيام وطريق الطاعة المستمرة    بث مباشر الآن | متابعة مباراة المغرب والإكوادور الودية LIVE بجودة عالية    صاحب الفضيلة الشيخ سعد الفقى يكتب عن : الدكتور / السيد عبد الباري الذي اعرفه؟    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



ما هي ثغرة HeartBleed، ولماذا كل هذا الصخب حولها؟
الفجر نشر في الفجر يوم 02 - 05 - 2014

إذا كنت متابعًا للتقنية وأخبارها بشغف فمن المؤكد أنك سمعت عن ثغرة HeartBleed على الأقل مرة واحدة خلال الآونة الأخيرة، الثغرة التي تسببت في قيام أكبر مُقدّمي خدمات الوب من أمثال جوجل وياهو في المسارعة بترقيعها بسبب خطورتها البالغة على بيانات المستخدمين الحساسة مثل بيانات الدخول والبيانات المالية.

تقع الثغرة بالأساس في برمجية مفتوحة المصدر باسم OpenSSL والتي تستخدمها أغلب الشركات في حماية خوادمها، مع هذه التقنية يُمكن للمواقع تزويد معلومات مشفرة إلى الزوار، بحيث تكون البيانات المنقولة (مثل كلمات المرور وأسماء المستخدمين والكوكيز) غير مرئية للآخرين بينما تذهب من حاسوبك إلى الموقع الإلكتروني. وبما أنّ OpenSSL هو مشروع مفتوح المصدر، فإنّه يتم تطويره بواسطة بعض المتبرعين المبدعين، بدون أي مقابل، لمساعدة المجتمع التقني.

جاءت الثغرة بسبب خطأ غير مقصود في الإصدار 1.0.1 الذي تم إطلاقه بتاريخ 19 أبريل 2012، ويسمح هذا الخطأ لأي شخص باسترجاع المعلومات الموجودة على ذاكرة خادم الويب بدون إمكانية تتبعه. جاء هذا الخطأ غير المقصود بينما كان المُبرمج الألماني الدكتور روبن سيجلمان يُضيف ميزة جديدة إلى OpenSSL. ومعروف عن سيجلمان مساهماته المستمرة في كود الحماية المفتوح المصدر.

خطورة ثغرة Heartbleed
بالنسبة لكثيرين من المستخدمين، قد يكون الحديث عن ثغرة في تقنية OpenSSL للحماية أمرًا اعتياديًا، ولكن بالنسبة للمطورين ومديري الخوادم فإنّ الأمر كارثي بسبب استخدام OpenSSL في اثنين من كل ثلاثة خوادم على الإنترنت. الكشف الفجائي عن الثغرة جعل الجميع يتخبطون لإصلاح الثغرة بأسرع وقت ممكن، حتى أنّ خبراء الحماية قد نصحوا مستخدمي ياهو بالتوقف عن استخدام خدمات الشركة حتى تُعلن عن إصلاح الثغرة رسميًا. وتسمح ثغرة HeartBleed التي اكتشفها أحد باحثي جوجل للمُهاجم بسحب 64 كيلوبايت من البيانات العشوائية من ذاكرة الخادم العاملة، الأمر أشبه بصيد السمك، تضع الطُعم في السنارة وتنتظر حتى تخرج لك بالصيد، وحسب حظك قد يكون صيدك ثمينًا أو قد يكون بلا قيمة، ومع تكرار العملية قد يحصل المُهاجم على بيانات حساسة عن المستخدمين دون أن يعلم مُدير الخادم أي شيء عن الأمر، حيث يتم الهجوم دون ترك أي أثر.

الثغرة حاليًا ليست بالخطورة التي كانت عليها قبل اكتشافها، حيث سارعت العديد من الشركات إلى إصلاحها فور اكتشافها، شركات مثل ياهو وجوجل وفيسبوك، كما بدأت الشركات الأصغر أيضًا بإصلاح الثغرة حتى أن شركة إعادة توجيه زوار المواقع CloudFlare أطلقت مُسابقة تحدي اختراق باستخدام ثغرة HeartBleed.

هذا وقد قامت شبكة توزيع المحتوى CloudFlare بنشر تصريح يُطمئن مُستخدميها بأنّ ثغرة HeartBleed قد لا تكون بالخطورة التي تخيلوها، بعد أن قامت الشبكة بإجراء اختبارات لمدة أسبوعين عليها، وأشارت أيضًا إلى أنّ الباحثين فشلوا في استغلال الثغرة للحصول على مفاتيح SSL السرية. وقامت الشبكة بعد ذلك بإطلاق تحدي إلى الهاكرز الأخلاقيين لمحاولة استغلال الثغرة في الحصول على المفاتيح السرية، ولسوء الحظ فقد استطاع اثنين من المخترقين الحصول عليها.

السرية أمر مستحيل عندما تكون الثغرة مسئولة عن تعريض البيانات الخاصة باثنين من كل ثلاثة خوادم على الإنترنت للخطر

حاولت الهيئة وراء مشروع OpenSSL فور اكتشاف الثغرة أن تقوم بترقيعها سريًا دون أن يعلم الرأي العام أي شيء عنها، ولكن هذا بالطبع أمر مستحيل عندما تكون الثغرة مسئولة عن تعريض البيانات الخاصة باثنين من كل ثلاثة خوادم على الإنترنت للخطر. وكانت أول مؤشرات الثغرة رسالة تحذيرية استلمها مهندس في CloudFlare من أحد الأصدقاء، ثم رسالة مماثلة إلى فيسبوك ليقوم بإصلاح الثغرة قبل انتشارها. ولكن مع استمرار الحديث والتحذيرات حول ثغرة HeartBleed لم تجد هيئة OpenSSL مفر من إصدار استشارة أمنية عامة تُحذّر فيها عملائها من الثغرة.

ومع الإعلان عن الثغرة وجدت بعض الشركات نفسها متروكة في العراء، تُحاول التحديث بأي وسيلة لإصلاح الثغرة وعندما نقول شركات فنحن لا نقصد الصغار، بل شركات مثل أمازون وياهو تُركت دون أن تعلم عن الثغرة حتى الإعلان الرسمي من OpenSSL عنها. حتى جوجل نفسها كانت بها بعض الخدمات التي لم يتم إصلاحها قبل الإعلان الرسمي.

وكالة الأمن القومي الأمريكية، والصيد في الماء العكر!
لم تكن تشبيه ثغرة HeartBleed بالصيد محض صدفة، ولأنّ وكالة الأمن القومي الأمريكية هوايتها الأولى هي الصيد في الماء العكر، فقد خرج تقرير من Bloomberyيفيد معرفة وكالة الأمن القومي بالثغرة منذ وجودها قبل عامين والاستفادة منها في جمع البيانات طوال هذه المدة دون تنبيه أيًا من الشركات التقنية إليها. وحسب المصادر المُسّربة للمعلومة فإنّ الثغرة تم الحفاظ عليها سريًا لفائدة وكالة الأمن القومي، بينما استخدمتها الوكالة لجمع كلمات المرور وبيانات أخرى، منذ بدء الثغرة في 2012.

الخطورة هنا أنّ وكالة الأمن القومي الأمريكية كان لها القدرة على الوصول بسهولة باستخدام الثغرة إلى بعضًا من أقوى الخدمات حمايةً مثل بريد جوجل وخدمات أمازون على الويب، لمدة عامين تقريبًا، بالإضافة إلى وصول وكالة الأمن القومي إلى ثُلثي البيانات المشفرة على الإنترنت. ويُقدّر أحد الباحثين أنّ الوكالة ليدها الآلاف من الثغرات المماثلة والتي لم يتم الكشف عنها بعد، حيث تقوم باستغلالها لصالحها في جمع البيانات.

وقد نفت وكالة الأمن القومي هذه المعلومات وأكّدت على أنّها لم تكن على علم بالثغرة قبل الكشف عنها رسميًا، كما صدر خطاب قوي من البيت الأبيض ينفي أيضًا هذه الادعاءات جاء فيه “إذا كانت الحكومة الفيدرالية، بما في ذلك أجهزة الاستخبارات، قد اكتشف هذه الثغرة الأمنية قبل الأسبوع الماضي، لكان قد تم الكشف عنها للمجتمع المسئول عن OpenSSL”. بالطبع هذا النفي مُجرد تحصيل حاصل، وإن كُنت تُصدّقه فأنصحك برؤية الطبيب!

من المعروف أنّه وعند الكشف عن الثغرات فإنّ أول من يقوم بترقيع خوادمه منها هي البنوك والمؤسسات المالية والحكومية لأنّها تحتوي على بيانات حساسة للمواطنين والعملاء لا يُمكن الكشف عنها بحال. ولكن هذا لم يكن الحال مع وزارة المالية الكندية التي تم استغلال الثغرة عليها والحصول على بيانات حساسة لعدد كبير من المواطنين يصل إلى 900 شخص، من ضمنها أرقام الضمان الاجتماعي. وقد استطاعت السلطات الكندية تتبع الشخص وراء هذا الاختراق والقبض عليه في لندن! وهو مراهق إنجليزي باسم Stephen Arthuro Solis-Reyes وبعد خمسة أيام من التحقيق معه تم توجيه بعض التُهم إليه وتشمل “الاستخدام الغير مصرّح به لجهاز كمبيوتر، وإلحاق الأذى فيما يتعلق بالبيانات”.

الوقاية خير من العلاج
بعد الفوضى الكبيرة التي خلفتها ثغرة HeartBleed بدأت الشركات التقنية الكبرى تنتبه إلى إمكانية حدوث ثغرات مماثلة في المستقبل، ولأنّ الوقاية خير من العلاج، قامت شركات جوجل ومايكروسوفت وفيسبوك بالتعاون معًا وجمع تمويل قدره 3.6 مليون دولار أمريكي لإطلاق مشروع باسم “مبادرة البنية التحتية الأساسية” برعاية مؤسسة لينكس ويتم تكريس هذا المشروع لاستثمار الأموال في البنية التحتية للبرامج الهامة، ويقول المدير التنفيذي لهذا المشروع أنّه بعد ثغرة HeartBleed أصبح شيئًا واضحًا الحاجة إلى التغيير، وأضاف أنّه يتمنى أن يكونوا قد فعلوا ذلك منذ وقت طويل.

انقر هنا لقراءة الخبر من مصدره.