728x90 شفرة ادسنس

    • اخر الاخبار

    14‏/7‏/2014
    Home > أمن وحماية > كل ما تود معرفته عن ثغرة Heartbleed

    كل ما تود معرفته عن ثغرة Heartbleed



    أهتزت كل المجتمعات التقنية و المهتمة بأمن المعلومات لوجود ثغرة تسمى Heartbleed هذه الثغرة التي تسببت في قيام أكبر مُقدّمي خدمات الوب من أمثال جوجل وياهو في المسارعة بترقيعها بسبب خطورتها البالغة على بيانات المستخدمين الحساسة مثل بيانات الدخول والبيانات المالية.
    تقع الثغرة بالأساس في برمجية مفتوحة المصدر باسم OpenSSL والتي تستخدمها أغلب الشركات في حماية خوادمها، مع هذه التقنية يُمكن للمواقع تزويد معلومات مشفرة إلى الزوار، بحيث تكون البيانات المنقولة (مثل كلمات المرور وأسماء المستخدمين والكوكيز) غير مرئية للآخرين بينما تذهب من حاسوبك إلى الموقع الإلكتروني. وبما أنّ OpenSSL هو مشروع مفتوح المصدر، فإنّه يتم تطويره بواسطة بعض المتبرعين المبدعين، بدون أي مقابل، لمساعدة المجتمع التقني.
    جاءت الثغرة بسبب خطأ غير مقصود في الإصدار 1.0.1 الذي تم إطلاقه بتاريخ 19 أبريل 2012، ويسمح هذا الخطأ لأي شخص باسترجاع المعلومات الموجودة على ذاكرة خادم الويب بدون إمكانية تتبعه. وبذلك يسمح للمهاجمين للتنصت على الاتصالات، وسرقة البيانات مباشرة من الخدمات والمستخدمين و إنتحال الخدمات والمستخدمين في النظام. وأيضا جاء هذا الخطأ بينما كان المُبرمج الألماني الدكتور روبن سيجلمان يُضيف ميزة جديدة إلى OpenSSL. ومعروف عن سيجلمان مساهماته المستمرة في كود الحماية المفتوح المصدر.

    _ خطورة ثغرة  Heartbleed
    بالنسبة لكثيرين من المستخدمين، قد يكون الحديث عن ثغرة في تقنية OpenSSL للحماية أمرًا اعتياديًا، ولكن بالنسبة للمطورين ومديري الخوادم فإنّ الأمر كارثي بسبب استخدام OpenSSL في اثنين من كل ثلاثة خوادم على الإنترنت. الكشف الفجائي عن الثغرة جعل الجميع يتخبطون لإصلاح الثغرة بأسرع وقت ممكن، حتى أنّ خبراء الحماية قد نصحوا مستخدمي ياهو بالتوقف عن استخدام خدمات الشركة حتى تُعلن عن إصلاح الثغرة رسميًا. وتسمح ثغرة HeartBleed التي اكتشفها أحد باحثي جوجل للمُهاجم بسحب 64 كيلوبايت من البيانات العشوائية من ذاكرة الخادم العاملة، الأمر أشبه بصيد السمك، تضع الطُعم في السنارة وتنتظر حتى تخرج لك بالصيد، وحسب حظك قد يكون صيدك ثمينًا أو قد يكون بلا قيمة، ومع تكرار العملية قد يحصل المُهاجم على بيانات حساسة عن المستخدمين دون أن يعلم مُدير الخادم أي شيء عن الأمر، حيث يتم الهجوم دون ترك أي أثر.
    الثغرة حاليًا ليست بالخطورة التي كانت عليها قبل اكتشافها، حيث سارعت العديد من الشركات إلى إصلاحها فور اكتشافها، شركات مثل ياهو وجوجل وفيسبوك، كما بدأت الشركات الأصغر أيضًا بإصلاح الثغرة حتى أن شركة إعادة توجيه زوار المواقع CloudFlare أطلقت مُسابقة تحدي اختراق باستخدام ثغرة HeartBleed.


    _ أسلئلة و أجوبة عن ثغرة Heartbleed :
    • - لماذا يطلق عليها ثغرة Heartbleed؟

    الثغرة تتبع OpenSSL في تنفيذ “transport layer security protocols” المعروف بـ TLS/DTLS. عندما يتم استغلالها يؤدي إلى تسرب محتويات الذاكرة/Ram من الخادم إلى العميل ومن العميل إلى الخادم.

    • - لماذا Heartbleed هي الفريدة من نوعها ؟

    الخلل في برنامج واحد OpenSSL يتم إصلاحها من خلال الإصدارات الجديدةولكن هذا الخطأ قد ترك كمية كبيرة من المفاتيح الخاصة وأسرارالآخرين المعرضين للتسريب على لشبكة الإنترنتبالإضافة لسهولة الاستغلال دون ترك أي أثر لذلك تؤخذ على محمل الجد.

    • - هل هذا عيب تصميم في بروتوكول SSL / TLS ؟

    لا.. هذه مشكلة/خطأ في البرمجة مكتبة OpenSSL , التي تقدم خدمات التشفير مثل SSL / TLS  إلى التطبيقات والخدمات علي اﻻنترنت.

    • - ماهي إصدارات OpenSSL المصابة ؟

    OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
    OpenSSL 1.0.1g is NOT vulnerable
    OpenSSL 1.0.0 branch is NOT vulnerable
    OpenSSL 0.9.8 branch is NOT vulnerable

    • - ماذا عن أنظمة التشغيل؟

    • بعض التوزيعات من انظمة التشغيل من المحتمل أن تكون عرضة نسخة  OpenSSLالمصابة :

    Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
    Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
    CentOS 6.5, OpenSSL 1.0.1e-15
    Fedora 18, OpenSSL 1.0.1e-4
    OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
    FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
    NetBSD 5.0.2 (OpenSSL 1.0.1e)
    OpenSUSE 12.2 (OpenSSL 1.0.1c)
    • توزيعات و ا نظمة التشغيل مع الإصدارات التي ليست عرضة للثغرة :

    Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
    SUSE Linux Enterprise Server
    FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
    FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
    FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
    FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

    • - كيف يمكن ان تكون OpenSSL مستقرة و أمنة ؟

    قام فريق عمل OpenSSl بإصدار نسخة جديدة مستقرة وغير مصابة version 1.0.1g
    يمكنك التحديث إليها .. او التحديث لأخر نسخة ممكنة.

    • - كيف يمكنني التأكد من أن نظامي سليم ؟

    يمكنك فحص موقعك او سيرفرك من الرابط التالي http://filippo.io/Heartbleed

    مرسلة بواسطة في 11:15:00 ص
    • تعليقات بلوجر
    • تعليقات الفيس بوك

    0 التعليقات :

    إرسال تعليق

    Item Reviewed: كل ما تود معرفته عن ثغرة Heartbleed Rating: 5 Reviewed By: محمد أيوب
    الاشتراك في: تعليقات الرسالة ( Atom )
    Scroll to Top