ويستخدم نحو ثلثي خوادم الإنترنت في العالم برنامج (اوبن اس.اس.ال.) لكن الأمر ظل بعيداً عن الأنظار لنحو عامين، الأمر الذي عزز المخاوف من خطر هذا الاكتشاف والاضرار الكبيرة التي ألحقها بالمستخدمين.
وتصيب هذه الثغرة النسخ الصادرة بعد اذار 2012 لبرنامج (اوبن اس.اس.ال.) للتشفير والمستخدم في العديد من مواقع الانترنت وملقمات الرسائل القصيرة وغيرها من وسائل الاتصال عن بعد في الشركات من نوع “في بي ان”.
وقال توما غاييه خبير مكافحة الجرائم المعلوماتية لدى شركة “ليكسي” الفرنسية لاستشارات الامن المعلوماتي “مما لا شك فيه انها ثغرة خطيرة”. واضاف “هناك انظمة معرضة منذ العام 2012 وعلى الارجح حصل تسريب للبيانات”.
وتابع غاييه ان القراصنة لا يمكنهم تحديد اهداف هجماتهم بدقة لكن “اذا كان هناك اشخاص على علم بهذه الثغرة خلال العامين الماضيين واستغلوها فان ذلك من شانه زيادة حظوظهم في الحصول على معلومات حساسة”.
تقنية OpenSSL، هي تقنية مفتوحة المصدر تحتوي على أدوات التشفير المعروفة TSL و SSL. Transport Layer Security أو بروتوكول طبقة المنافذ الآمنة، يستخدم خوارزميات تشفير فائقة القدرة، وهو نسخة مطورة من بروتوكول SSL - Secure Sockets Layer الذي يشفر البيانات المتبادلة على الشبكة.
فعندما تدخلون مثلاً موقعاً ما يبدأ عنوانه بـHTTPS وفي أسفل الشاشة أيقونة قفل، فهذا يعني أن البيانات المتبادلة بين جهاز الكمبيوتر الخاص بكم وخادم server الموقع مشفرة لحماية المعلومات الشخصية والسرية ككلمات المرور وأرقام بطاقات الائتمان وأرقام حساباتكم المصرفية وغيرها.
والخطر الأكبر الذي نتج من «هارتبليد» الخلل في تكنولوجيا التشفير المستخدمة بكثرة على الشبكة الدولية، فيما يقول خبراء إن هذا أحد أخطر العيوب الأمنية المكتشفة في السنوات الأخيرة.
ودفع اكتشاف خلل «هارتبليد» ــ الذي توصل إليه باحثون من شركة غوغل وشركة كودينوميكون للأمن ــ إلى صدور توصيات رسمية اميركية للشركات بمراجعة خوادمها لمعرفة ما إذا كانت تستخدم نسخاً ضعيفة لبرنامج (اوبن اس.اس.ال.). وانشغلت الشركات بالبحث عن التحديثات المتاحة لمواجهة ضعف هذا النوع من البرنامج الذي قد يتيح لمهاجمين عن بعد الوصول إلى بيانات حساسة، بما في ذلك كلمات السر والمفاتيح السرية التي تفك شيفرة المرور عبر الإنترنت.
وقال كيرت باومجارتنر الباحث في شركة كاسبرسكاي لاب لبرامج الأمن الإلكتروني إن شركته كشفت عن أدلة على قيام مجموعات يعتقد أنها ضالعة في نشاط تجسس إلكتروني برعاية دولة ما بعمليات المسح بعد قليل من الإعلان عن الثغرة الأمنية التي أطلق عليها اسم «هارتبليد».
ويستخدم برنامج (اوبن اس.اس.ال.) في الخوادم التي تستضيف مواقع إلكترونية وليس في أجهزة الكمبيوتر أو الأجهزة المحمولة، ولهذا فإن القائمين على هذه المواقع هم الذين يجب أن يصلحوا الخلل.
وقال ميكو هايبونن، كبير الباحثين في شركة اف سيكيور للأمن الالكتروني، «ما من شيء يمكن أن يفعله المستخدمون لإصلاح أجهزتهم».
وأعلنت مواقع فايسبوك وغوغل وياهو أنها اتخذت خطوات لتخفيف الضرر على المستخدمين.
وقالت دوروثي تشو المتحدثة باسم غوغل «أصلحنا هذا الخلل مبكراً ومستخدمو غوغل ليسوا بحاجة إلى تغيير كلمات السر». واكدت “آبل” ان نظامي التشغيل لديها “آي او اس” و”او اس اكس” و”خدماتها على الانترنت” لم تتاثر.
وذكر هايبونن أن مستخدمي الكمبيوتر يمكنهم تغيير كلمات السر على الفور، لكنهم قد يضطرون إلى فعل ذلك مرة أخرى إذا أبلغهم القائمون على المواقع الإلكترونية أنهم معرضون للخطر.
وقال «اهتموا بكلمات السر المهمة جداً بالنسبة لكم، غيّروها الآن، وإذا شعرتم بالقلق على بطاقات الائتمان فتابعوا فواتيرها دوما».
البعض يمكن ان يستغلوا «هارتبليد» لاجراء محاولات «فيشينغ»وأعلنت شركة كودينوميكون على موقع صممته لتقديم معلومات عن التهديد (heartbleed.com) «اختبرنا بعض خدماتنا من منظور المهاجم. هاجمنا أنفسنا من الخارج من دون ترك أثر».
وقال مايكل كوتس، مدير أمن المنتجات في شركة شيب سكيورتي، «إذا كان موقع على الإنترنت عرضة للخطر يمكنني الوصول إلى أشياء مثل كلمة السر والبيانات المصرفية وبيانات الرعاية الصحية وأنت تعتقد أنك ترسلها إلى موقعك بشكل آمن».
بدورها أعلنت متحدثة باسم شركة ياهو أن خدمة ياهو ميل عرضة للهجوم، لكنها قالت إن الموقع يجري إصلاحه مع مواقع ياهو الرئيسية الأخرى. ولقد تضررت أيضاً خدمات محرك البحث ومواقع الأخبار والمال والأعمال والتقنية وفليكر وتمبلر، وقالت الشركة إنها ستقوم بسد الثغر في باقي خدماتها الثانوية تباعاً. واقترح “ياهو!” “اعطاء رقم هاتف كوسيلة ثانوية للتعريف عن النفس”. وعلى الرغم من أن غالبية المواقع التي تستخدم برنامج OpenSSL قامت بسد الثغرة وإصلاحها، شدد الخبراء على ضرورة تغيير كلمات المرور احتياطاً. وفي حين تمكنت الشركات الكبرى من حل المشكلة سريعا”، فإن المؤسسات المتوسطة والصغيرة قد لا يكون لديها بالضرورة الامكانات او الخبراء لتحديث انظمتها بسرعة”. والسبب الاخر الذي يثير مخاوف من ان المشكلة قد يكون حلها اصعب مما يبدو هو اعلان شركات تزود بنى تحتية لشبكات المعلوماتية والاتصالات مثل “سيسكو” و”جانيبر” ان انظمتها يمكن ان تتاثر بهذه الثغرة.
ومن غير المعروف بعد مدى تضرر موقع تويتر من الثغرة، على الرغم من أنه يستخدم OpenSSL، كذلك لا توجد مؤشرات عن سرقة حسابات ولم يقترح الموقع تغيير كلمة المرور باعتباره لا يزال يراقب الوضع، في حين لم تتضرر شبكة لينكدإن لأنها لا تستخدم OpenSSL وموقع سلايد شير للعروض التقديمية التي تملكه. ونجا أكبر سوق للتجارة الإلكترونية، وهو موقع أمازون، من هذه الكارثة لأنه لا يستخدم OpenSSL، وكذلك نجت شركة مايكروسوفت التي لا تستخدم بروتوكول طبقة الحماية OpenSSL في مواقعها وخدماتها. أما متجر النطاقات GoDaddy فثبت تضرره من الثغرة، وتعمل الشركة على تحديث خدماتها، ولقد أوصت بضرورة تغيير كلمة مرور الحساب. وليس معلوماً مدى استخدام متجر eBay للبروتوكول، لكنه أعلن أن الغالبية العظمى من الخدمات لم تتأثر. وأكدت بوابة الدفع الإلكتروني Paypal أنها لم تتضرر من الثغرة ولا حاجة إلى تغيير كلمة المرور. وأعلنت dropbox أنها أغلقت الثغرة في خدماتها وستتابع عملها على حماية ملفات المستخدمين.
ولا تستخدم خدمة الملاحظات Evernote بروتوكول OpenSSL للتشفير، لكن خدمة تحميل الملفات الصوتية SoundCloud قامت بتسجيل خروج كافة الحسابات، وعند تسجيل الدخول لاحقاً يتم سد الثغرة. وأكدت أنه ليس هناك أي دلائل على تسرب بيانات الحسابات، لكن يوصى بتغيير كلمة المرور.
الا ان غراهام كلالي خبير الامن المعلوماتي حذر على موقعه من ان تغيير كل كلمات السر دون تمييز “نصيحة غير مفيدة”. وقال “يجب فقط ان نغير كلمات السر في المواقع التي اكدت انها حلت المشكلة. اما تغيير كل كلمات السر من شانه ان يزيد من مخاطر ان يرصد قراصنة يريدون استغلال الثغرة لمعلوماتكم السرية”.
واضاف ان البعض يمكن ان يستغلوا “هارتبليد” لاجراء محاولات “فيشينغ” او ارسال رسائل الكترونية تطلب تغيير كلمة السر لكنها تحيل على نسخة مزيفة من المواقع الشعبية المعروفة.
وينصح الخبراء ايضا مستخدمي الانترنت بمراقبة حساباتهم المصرفية لرصد اي معاملات مشبوهة.
يمكنكم متابعة بسام القنطار عبر | http://about.me/bassam.kantar
وكالة الأمن القومي استغلت «هارتبيلد»
رغم اعلان البيت الأبيض ووكالات المخابرات الأمريكية يوم الجمعة إن وكالة الأمن القومي أو أي جزء أخر من الحكومة لم يكونوا على دراية قبل هذا الشهر بوجود ثغرة “هارتبيلد Heartbleed”، فان انعدام الثقة بالمعلومات الصادرة عن وكالة الامن القومي خصوصاً اثر كشف مستشارها السابق ادوارد سنودن العام الماضي عن قيامها بالتجسس على الانترنت على نطاق واسع.
ونفى البيت الابيض تقرير لوكالة بلومبرغ يقول إن وكالة التجسس استغلت الخلل في استخدام تقنية تشفير على الانترنت تستخدم على نطاق واسع لجمع معلومات مخابرات.
وأصدر البيت الأبيض ووكالة الأمن القومي ومكتب مدير المخابرات القومية بيانات بعدما قالت بلومبرغ في تقرير إن وكالة المخابرات القومية على دراية بالثغرة منذ عامين على الأقل واستغلتها للحصول على كلمات سر ومعلومات رئيسية أخرى استخدمت في عمليات تسلل. واستشهد تقرير بلومبرغ بمصدرين لم يذكر اسميهما قال إنهما مطلعان على الموضوع.
وقالت كيتلين هايدن المتحدثة باسم مجلس الأمن القومي التابع للبيت الأبيض في بيان إن “التقارير التي تقول إن وكالة الأمن القومي أو أي جزء آخر من الحكومة كان على دراية بما يسمى بضعف هارتبليد قبل أبريل 2014 خاطئة.”
