ثغرة أمنية خطيرة في نظام تشفير بيانات شبكة الإنترنت

كُشفت ثغرة أمنية خطيرة في بروتوكول الحماية للبيانات المتبادلة على شبكة الإنترنت تسرب مفاتيح التشفير والإتصالات الخاصة بين المستخدمين ومعظم المواقع والخدمات على الشبكة. وقد تم نشر تصحيح أولي وبشكل طارئ لتحديث الخوادم. ربما قد تم تجنب الأخطر غير أن الحذر مطلوب.  بينما كان العالم مشغولا بوقف مايكروسوفت لدعمها التقني لويندوز XP، كادت شبكة الإنترنت تغرق في جحيم فجوة أمنية بسبب تقنية لا يعرفها الجمهور العريض الذي يستخدمها يوميا: تقنية OpenSSL،البروتوكول المستخدم على نطاق واسع لتشفير البيانات التي تنتقل على شبكة الإنترنت والتي خرقتها هفوة برمجية أمنية أطلق عليها اسم .Heartbleed تقنية OpenSSL، هي تقنية مفتوحة المصدر تحتوي أدوات التشفير المعروفة TSL و SSL. Transport Layer Security أو بروتوكول طبقة المنافذ الآمنة، يستخدم خوارزميات تشفير فائقة القدرة وهو نسخة مطورة من بروتوكول SSL- Secure Sockets Layer   الذي يشفر البيانات المتبادلة على الشبكة. فعندما تدخلون مثلا موقعا ما يبدأ عنوانه بـHTTPS وفي أسفل الشاشة أيقونة قفل، فهذا يعني أن البيانات المتبادلة بين جهاز الكمبيوتر الخاص بكم وخادم server الموقع مشفرة لحماية المعلومات الشخصية والسرية ككلمات المرور وأرقام بطاقات الائتمان وأرقام حساباتكم المصرفية وغيرها. Heartbleed هو الاسم الذي أطلقه على هذه الثغرة الأمنية خبراء أمن مؤسسة Codenomicon وخبير من Google Security. فالـHeartbleed هو كناية عن خطأ أو هفوة في تصميم بروتوكول OpenSSL. فمثلا إذا شخص ما يريد التحقق أن خادم موقعه نشط فيرسل ما يعرف بالـPing – Packet INternet Groper ، وهي مجموعة من حزم البيانات لفحص الاتصال، يطلقها مدير الموقع أو مدير الخوادم، لخادم ما وينتظر الرد وهنا الخادم الذي تعرض لثغرة Heartbleed بدل الرد بالصدى Pong"" يقوم بإرسال كل البيانات المخزنة في ذاكراته من تسجيل الدخول إلى كلمة المرور وأرقام بطاقات الائتمان وغيرها من البيانات المشفرة، والأخطر أنه يمكن أن يرسل أيضا مفاتيح التشفير المستخدمة من قبل الموقع. وفي حال حاول قراصنة استغلال هذه الهفوة عليهم إرسال عدد كبير من الطلبات للخادم ليحصلوا على ما يثير اهتمامهم. وفقا لخبراء الأمن الفنلننديين من مؤسسة Codenomicon الذين كشفوا هذه الهفوة الأمنية فإن أكثر من ثلثي خوادم الشبكة يستخدمون تقنية OpenSSL للتشفير. والهفوة تطال بالتحديد نسخة مطورة عام 2011. حسب مؤسسة NetCraft فإن عدد المواقع التي تعرضت لهذه الهفوة يصل عددها إلى نصف مليون موقع منها موقع Yahoo و KickAss و Torrent وأيضا موقع مكتب التحقيق الفدرالي الأمريكي FBI. ويبدو أن مواقع غوغل، مايكروسوفت ،فيس بوك ،تويتر وأمازون بقيت محمية ولم تطالها تلك الثغرة. وقد تم نشر أول تحديث لتصحيح الهفوة ليل الإثنين-الثلاثاء 8 أبريل، فعلى مديري الخوادم تحديث برامج خوادمهم. كذلك نصح القائمون على نفق TOR، الذي يتييح استخدام شبكة الإنترنت دون كشف الهوية، بعدم استخدام الإنترنت لبضعة أيام حتى تتمكن الخوادم المختلفة من تحديث برامجها وتصحيح الثغرة. وقد وضعت أداة لاختبار ما إذا كان الموقع يمكن أن يتعرض لخطر الهفوة Heartbleed، ولكنه لا يعمل مع جميع المواقع وفي حال اكتشفتم أن الموقع معرض للثغرة ينصح عدم إدخال معلومات تسجيل الدخول. بطبيعة الحال من لديهم حسابات في موقع ياهو ربما سيطلب منكم في الأيام المقبلة إعادة تعيين كلمات المرور الخاصة بكم. النصيحة تبقى بتغيير جميع كلمات المرور بشكل دوري.