الأنترنت

ماهي الثغرة Heartbleed؟ وكيف يمكنك حلها!

هذا المقال مقدم من قبل المستضيفون العرب والتي تتحدث بشكل عام عن الثغرة التي لفتت أنتباه الكثير من الأشخاص والتي تعرف بأسم Heartbleed والتي تؤثر بشكل كبير على لغة OpenSSL والتي تعتمد بشكل كبير غلى سيرفرات الويب حيث تقوم بجمع معلومات تكون مشفرة مثل اسم المستخدم والرقم السرّي وغيرها من الحاسب إلى الموقع وبالتالي لايمكن لشخص رؤية هذه البيانات ولكن المشكلة أنه في شهر أبريل من العام 2012 تم أصدار تحديث برقم أصدار 1.0.1 وكانت هنالك مشكلة في هذا الأصدار يسمح للمستخدم أو الهاكرز من الحصول على هذه المعلومات السرّية.

The Heartbleed Bug

في الأسبوع الأول من شهر أبريل لهذا العام

أهتزت كل المجتمعات التقنية و المهتمة بأمن المعلومات لوجود ثغرة تسمى Heartbleed
ثغرة Heartbleed هي ضعف خطير في OpenSSL ،، و OpenSSL هي مكتبة برامج التشفير المعروفة.

هذه الثغرة تتيح سرقة المعلومات المشفرة في ظل ظروف طبيعية، من خلال التشفير SSL / TLS المستخدم لتأمين الإنترنت.

يوفر SSL / TLS الأمن و الخصوصية في اﻻتصالات عبر الإنترنت مثل اﻻتصال بالإنترنت والبريد الإلكتروني، والرسائل الفورية (IM) وبعض الشبكات الافتراضية (VPNs).

ثغرة Heartbleed تسمح لأي شخص على الإنترنت لقراءة الذاكرة/Ram للأنظمة التي تستخدم الإصدارات الضعيفة من OpenSSL. هذا الوضع ينال من المفاتيح السرية المستخدمة للتعرف على مقدمي الخدمة ولتشفير حركة المرور، وأسماء وكلمات المرور للمستخدمين والمحتوى الفعلي.

وهذا يسمح للمهاجمين للتنصت على الاتصالات، وسرقة البيانات مباشرة من الخدمات والمستخدمين و إنتحال الخدمات والمستخدمين في النظام.

HeartBleed-1

فيما تضع المستضيفون العرب معيار الأمن في الاعتبار.لذلك تم تحديث جميع الخدمات التى تستخدم بروتوكول SSL / TLS بشكل فورى بجميع خوادمها وخوادم العملاء بالاضافة الى خوادم الاستضافة المشتركة والسحابية, اذا كنت تستخدم احدى خدمات المستضيفون العرب فأنت خارج التهديد الأن من هذه الثغرة .

ما الذي تم تسريبه عند تجربة الثغرة Heartbleed ؟

اختبرنا ثغرة Heartbleed بعض الخدمات الخاصة بنا من وجهة نظر المهاجم. هاجمنا أنفسنا من الخارج، دون أن تترك أي أثر. دون استخدام أي معلومات سرية أو وثائق التفويض.

تمكنا من سرقة المفاتيح السرية الخاصة بنا المستخدمة للحصول على شهادات X.509 و أسماء المستخدمين و كلمات المرور و الرسائل الفورية و رسائل البريد الإلكتروني و الوثائق الهامة الأعمال و الاتصالات الخاصة بنا.

كيف أوقف هذا التسريب ؟

طالما أن النسخة الضعيفة من OpenSSL قيد الاستخدام ويمكن أن يتم استغلالها.

لقد تم الافراج عن نسخة لمستقرة و أمنة من OpenSSL والآن لا بد من نشرها و التحديث إليها لكلا من : أنظمة التشغيل و الأجهزة والبرامج المستقلة والأجهزة الشبكية والبرمجيات التي يستخدمونها.

أسلئلة و أجوبة عن ثغرة Heartbleed :

ماهو CVE-2014-0160 ؟
CVE-2014-0160 هو المرجع الرسمي لهذا الخطأ.

(CVE : Common Vulnerabilities and Exposures) هو معيار للأسماء وجود ثغرة في أمن المعلومات و التي تحتفظ بها MITRE.

لماذا يطلق عليها ثغرة Heartbleed؟

الثغرة تتبع OpenSSL في تنفيذ “transport layer security protocols” المعروف بـ TLS/DTLS. عندما يتم استغلالها أنه يؤدي إلى تسرب محتويات الذاكرة/Ram من الخادم إلى العميل ومن العميل إلى الخادم.

لماذا Heartbleed هي الفريدة من نوعها ؟

الخلل في برنامج واحد OpenSSL يتم إصلاحها من خلال الإصدارات الجديدة. ولكن هذا الخطأ قد ترك كمية كبيرة من المفاتيح الخاصة وأسرار الآخرين المعرضين للتسريب على لشبكة الإنترنت. بالإضافة لسهولة الاستغلال دون ترك أي أثر لذلك تؤخذ على محمل الجد.

هل هذا عيب تصميم في بروتوكول SSL / TLS ؟

لا.. هذه مشكلة/خطأ في البرمجة مكتبة OpenSSL , التي تقدم خدمات التشفير مثل SSL / TLS إلى التطبيقات والخدمات علي اﻻنترنت.

heart_bleed

ماهي إصدارات OpenSSL المصابة ؟

  • OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
  • OpenSSL 1.0.1g is NOT vulnerable
  • OpenSSL 1.0.0 branch is NOT vulnerable
  • OpenSSL 0.9.8 branch is NOT vulnerable

ماذا عن أنظمة التشغيل؟

بعض التوزيعات من انظمة التشغيل من المحتمل أن تكون عرضة نسخة OpenSSL المصابة :

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

توزيعات و ا نظمو التشغيل مع الإصدارات التي ليست عرضة للثغرة :

  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
  • FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

كيف يمكن ان تكون OpenSSL مستقرة و أمنة ؟

قام فريق عمل OpenSSl بإصدار نسخة جديدة مستقرة وغير مصابة version 1.0.1g

يمكنك التحديث إليها .. او التحديث لأخر نسخة ممكنة

Heart-bleed-website1

كيف يمكنني التأكد من أن نظامي سليم ؟

يمكنك فحص موقعك او سيرفرك من الرابط التالي http://filippo.io/Heartbleed

من قام بإكتشاف الثغرة و الإبلاغ عنها لفريق OpenSSL ؟

قام إثنين بإكتشاف الثغرة وهم team of security engineers (Riku, Antti and Matti) at Codenomicon and Neel Mehta of Google Security

مراجع و معلومات عن الثغرة :

https://www.openssl.org/news/secadv_20140407.txt

https://www.cert.fi/en/reports/2014/vulnerability788210.html

الوسوم

مقالات ذات صلة

‫9 تعليقات

  1. في الأخبار والمواضيع المنقولة، أرى أحياناً الترجمة الحرفية لمصطلح ” Release ” : الإفراج عن ،،
    فيُنغص ذلك علي قراءة المقالة وأشعر كما لو أنها عن السجن وأموره 🙂

    إطلاق .. أجمل وأوفى للمعنى.
    وشكراً على المقال.

  2. الموضوع احسه مهم وأنا مهتم فيه وأود أن أقرأ المزيد عن ‘HEARTDEEP’!!!

    بس للأسف النص غير مفهوم وطريقة صياغته صعبة

    نتمنى من موقع التقنية بلا حدود أن يكتب مقال مشابه لمقال المستضيفون العرب بطريقة أفضل

  3. ياشباب مالها اي ترجمه وشرح اسهل من كدا
    هذي طبيعه الثغره
    سلطان انا عرفت انه حتى بالجيميل والياهو وخدمات كثيره لازم نغير الباسووردات

  4. اخ سلطان نشكرك على المقال

    بس ياليت لو كان بلغة بسيطة ومفهومة للجميع لان مو كل الناس تملع معلومات برمجية وشبكية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *