ثغرة خطيرة في نظام تشفير البيانات تهدد خصوصية المستعمل

heartbleed

بينما انشغل العالم مع توقيف مكروسوفت لدعم الويندوز كانت شبكة الانترنيت تغرق في جحيم ثغرة (openSSL) , هذه ثغرة تفتح شهية الهاكرز لاستغلالها في حين يدعو اخصائيو الحماية مدراء المواقع لترقيع منصات (Heartbleed) تقنية (OpenSSL) المفتوحة المصدرتضم ادوات التشفير المعروفة (TSL & SSL) برتوكول طبقة المنافذ الامنة او ما يسمى ب (Trosport Layer Socket ) النسخة المطورة لبرتوكول(Secure Sockets Layer )هو المسؤول على تشفر البيانات المتبادلة على الشبكة العنكبوتية "heartbleed" هو الاسم الذي أطلقه على هذه الثغرة الأمنية خبراء أمن مؤسسة "Codenomicon" وخبير من"Google Security"  . فثغرة"heartbleed" هي كناية عن هفوة في تصميم بروتوكول "OpenSSL",فعادة إذآ اراد شخص  التحقق أن خادم موقعه نشط يرسل ما يعرف  ب " Ping"  وينتظر الرد وهنا الخادم الذي تعرض لثغرة "heartbleed"  بدل الرد ب "Pong"  يقوم بإرسال كل البيانات المخزنة في ذاكراته من تسجيل الدخول إلى كلمة المرور وأرقام بطاقات الائتمان وغيرها من البيانات المشفرة، والأخطر أنه يمكن أن يرسل أيضا مفاتيح التشفير المستخدمة من قبل الموقع. وفي حال حاول قراصنة استغلال هذه الهفوة عليهم إرسال عدد كبير من الطلبات للخادم ليحصلوا على ما يثير اهتمامه.فطبقا لمؤسسة "NetCraft"  فإن عدد المواقع التي تعرضت لهذه الثغرة  يصل عددها إلى نصف مليون موقع منها "Yahoo"","Torrent", "KickAss"  وأيضا موقع مكتب التحقيق الفدرالي الأمريكي "FBI", وقد تم نشر أول تحديث لتصحيح الهفوة ليل الثلاثاء 8 أبريل، فعلى مديري الخوادم تحديث برامج خوادمهم,  حيث وضعت أداة لاختبار ما إذا كان الموقع يمكن أن يتعرض لخطر د، ولكنه لا يعمل مع جميع المواقع وفي حال اكتشفتم أن الموقع معرض للثغرة  Heartbleed" ينصح عدم إدخال معلومات تسجيل الدخول

الكاتبة : يسرى شقور

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي