ثغرة “نزيف القلب” قد تعرض أمنك للخطر على آلاف المواقع

تعلم بلا شك أن ثغرة أمن المعلومات مسألة جدية عندما يناقشها المدير في NPR ديفيد جرين في الساعة الثامنة صباحاً، وهكذا كانت الحال هذا الصباح، مع قصة تدفق جدي للتشفيرات

قلب

تعلم بلا شك أن ثغرة أمن المعلومات مسألة جدية عندما يناقشها المدير في NPR ديفيد جرين في الساعة الثامنة صباحاً، وهكذا كانت الحال هذا الصباح، مع قصة تدفق جدي للتشفيرات في قنوات SSL المفتوحة، تدعى بنزيف القلب. وإذا كنت قلقاً بشأن غموض ما قرأته للتو، فلا تقلق، إذ أنني سأقوم بتوضيح القصة في السطور التالية.

لدى انشائك اتصالاً مشفراً على الموقع الالكتروني، سواء كان جوجل أو فيسبوك أو فرع حسابك المصرفي على الإنترنت، فيتم تشفير البيانات ضمن بروتوكول SSL/TLS. وتستخدم الكثير من خوادم المواقع المشهورة مكتبة المصدر المفتوح SSL لتنفيذ هذه المهمة. وقد أعلن القائمون على صيانة المصدر المفتوح SSL بداية هذا الأسبوع عن مشكلة جدية، تتعلق بتثبيت خاصية TLS وتدعى “نبض القلب”، والتي قد تؤدي إلى كشف 64 كيلوبايت من ذاكرة الخادم للمهاجم.

وبكلمات أخرى، فقد يتيح هذا التدفق لأي شخص على الإنترنت قراءة ذاكرة الآلة، والتي تكون محمية من قبل نسخة من هذه المكتبة. وفي أسوأ الحالات، فقد يحتوي هذا الجزء الصغير من الذاكرة على عناصر حساسة، مثل أسماء المستخدمين، كلمات المرور، أو حتى المفتاح الخاص الذي يتم استخدامه من قبل الخادم لإبقاء الاتصال مشفراً. وإضافة إلى ذلك، فإن نشر نزيف القلب لا يترك أي علامات، لذا لا يمكن حسم ما إذا كان الخادم قد تعرض للقرصنة، ونوع البيانات التي تمت سرقتها.

وتأتي هنا الأخبار الجيدة: تم إصلاح المشكلة من قبل المصدر المفتوح SSL، إنما الأخبار السيئة هي عدم وجود ضمانة بقيام المواقع والخدمات المتأثرة بنزيف القلب بزراعة نسخ تخفف من آثارها. والمزيد من الأخبار السيئة تنص على سهولة انتشار المشكلة، وقد تكون موجودة منذ سنتين، ويعني هذا الأمر احتمال سرقة العديد من الشهادات الأمنية للكثير من المواقع المشهورة، إضافة إلى بيانات المستخدمين الحساسة، بما يتضمن كلمات المرور.

خطة العمل للمستخدم

تأكد ما إذا كان موقعك المفضل تعرض لهذه المشكلة: هناك وسائل على الإنترنت للتأكد من وجود المشكلة، ولكن يجب عليك التأكد أيضاً ما إذا كانت موجودة من قبل. ولحسن الحظ، فهناك قائمة طويلة من المواقع المشهورة التي تم تفقدها، والأخبار الجيدة هي عدم تأثر جوجل وفيسبوك، أما الأخبار السيئة فهي تأثر ياهو وفليكر ودكدكجو ولاست باس وريد تيوب واوك كيوبيد وهايدمايس و500بكس والكثير من المواقع الأخرى. استعد للتحرك إذا كنت تملك حساباً على إحدى هذه المواقع.

تأكد إذا كان الموقع تعرض للمشكلة الآن: وهناك وسيلة بسيطة لفعل هذا الأمر.

نزيف القلب ١

لدى معالجة أصحاب الموقع للمشكلة، فعليهم التأكد من إعادة إصدار شهادات للموقع أيضاً، لذا كن مستعداً لمراقبة شهادة الخادم، وتأكد من استخدام شهادة جديدة (صدرت في 8 أبريل فما بعد)، ولفعل هذا الأمر، قم بتفعيل إلغاء الشهادة في المتصفح. وفيما يلي مثال من إعدادات جوجل كروم:

نزيف القلب ٢

ستمنع هذه الخطوة متصفحك من استخدام شهادات قديمة. ولتفقد تاريخ إصدار الشهادة يدوياً، انقر على القفل الأخضر في شريط العنوان وانقر على رابط “المعلومات” ضمن قائمة “الاتصال”:

نزيف القلب ٣

وأهم خطوة هي، أن تغير كلمة المرور فوراً لدى إطلاق السيرفر وتحديث الشهادة. واستغل هذه الفرصة لمراجعة سياسة كلمة المرور، وابدأ باستخدام كلمات مرور قوية إنما سهلة التذكر في نفس الوقت، كما يمكنك أن تتفقد مدى قوة كلمة المرور الخاصة بك باستخدام Password Checker.

هاش

أعاجيب “الهاش”

تعمل خاصية “الهاش” كخوارزمية حسابية، والتي تقوم بتحويل أي مجموعة بيانات إلى سلسلة من العناصر الجديدة بطول محدد. وبغض النظر عن طول البيانات المدخلة، فإن نفس نوع الهاش سينتج دائماً

هاش
النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!