الإعلانات

إذا كنت أحد هؤلاء الأشخاص الذين اعتقدوا دائمًا أن التشفير مفتوح المصدر هو الطريقة الأكثر أمانًا للتواصل عبر الإنترنت ، فأنت في لحظة مفاجأة.

أبلغ نيل ميهتا ، عضو فريق أمان Google ، فريق التطوير في هذا الأسبوع OpenSSL أن برمجية إكسبلويت موجودة مع ميزة OpenBL "نبض القلب". اكتشف Google الخطأ عند العمل مع شركة Codenomicon الأمنية لمحاولة اختراق خوادمها الخاصة. بعد إشعار Google ، في 7 أبريل ، أصدر فريق OpenSSL إصدارًا خاصًا به نصائح أمنية إلى جانب التصحيح الطارئ للخطأ.

تم إعطاء الخطأ بالفعل لقب "Heartbleed" من قبل المحللين الأمنيين خبير الأمن بروس شناير حول كلمات المرور والخصوصية والثقةتعرف على المزيد حول الأمان والخصوصية في مقابلتنا مع خبير الأمن بروس شناير. اقرأ أكثر ، لأنه يستخدم ميزة "نبضات القلب" الخاصة بـ OpenSSL لخداع نظام يقوم بتشغيل OpenSSL للكشف عن المعلومات الحساسة التي يمكن تخزينها في ذاكرة النظام. في حين أن الكثير من المعلومات المخزنة في الذاكرة قد لا يكون لها قيمة كبيرة للمتسللين ، فإن الأحجار الكريمة سوف تلتقط المفاتيح نفسها التي يستخدمها النظام تشفير الاتصالات 5 طرق لتشفير ملفاتك بأمان في السحابة

instagram viewer
قد يتم تشفير ملفاتك أثناء النقل وعلى خوادم مزود الخدمة السحابية ، ولكن يمكن لشركة التخزين السحابي فك تشفيرها - ويمكن لأي شخص يمكنه الوصول إلى حسابك عرض الملفات. جانب العميل ... اقرأ أكثر .

بمجرد الحصول على المفاتيح ، يمكن للمتسللين فك تشفير الاتصالات والتقاط المعلومات الحساسة مثل كلمات المرور وأرقام بطاقات الائتمان والمزيد. الشرط الوحيد للحصول على تلك المفاتيح الحساسة هو استهلاك البيانات المشفرة من الخادم لفترة كافية لالتقاط المفاتيح. الهجوم غير قابل للاكتشاف ولا يمكن تعقبه.

خطأ OpenSSL Heartbeat

تداعيات هذا العيب الأمني ​​ضخمة. تم تأسيس OpenSSL لأول مرة في ديسمبر 2011 ، وسرعان ما أصبحت مكتبة تشفير تستخدم من قبل الشركات والمنظمات في جميع أنحاء الإنترنت لتشفير المعلومات الحساسة و مجال الاتصالات. إنه التشفير الذي يستخدمه خادم الويب Apache ، والذي تم بناء ما يقرب من نصف جميع مواقع الويب على الإنترنت.

وفقًا لفريق OpenSSL ، تأتي فجوة الأمان من خلل في البرامج.

"يمكن استخدام فحص الحدود المفقودة في معالجة امتداد نبضات TLS للكشف عن ما يصل إلى 64 كيلو بايت من الذاكرة لعميل أو خادم متصل. تتأثر الإصدارات 1.0.1 و 1.0.2-beta من OpenSSL بما في ذلك 1.0.1f و 1.0.2-beta1 ".

الماوس والمفتاح
دون ترك أي أثر على سجلات الخادم ، يمكن للمتسللين استغلال هذا الضعف للحصول على بيانات مشفرة من بعض الخوادم الأكثر حساسية على الإنترنت ، مثل خوادم الويب المصرفية ، وخوادم شركات بطاقات الائتمان ، ومواقع دفع الفواتير ، و أكثر.

على الرغم من ذلك ، يظل احتمال حصول المتسللين على المفاتيح السرية محل تساؤل ، لأن Adam Langley ، خبير أمان Google ، أرسل إلى تياره التغريد أن اختباره الخاص لم يظهر أي شيء حساس مثل مفاتيح التشفير السرية.

في 7 أبريل / نيسان ، أوصى فريق OpenSSL بنصيحته الأمنية ، بترقية فورية ، وإصلاح بديل لمسؤولي الخادم الذين لا يمكنهم الترقية.

"يجب على المستخدمين المتأثرين الترقية إلى OpenSSL 1.0.1g. يمكن للمستخدمين غير القادرين على الترقية على الفور إعادة ترجمة OpenSSL باستخدام -DOPENSSL_NO_HEARTBEATS. 1.0.2 سيتم إصلاحه في 1.0.2-beta2 ".

نظرًا لانتشار OpenSSL عبر الإنترنت على مدار العامين الماضيين ، فإن احتمال إعلان Google الذي يؤدي إلى هجمات وشيكة مرتفع إلى حد ما. ومع ذلك ، يمكن التخفيف من تأثير تلك الهجمات من خلال قيام العديد من مسؤولي الخادم ومديري الأمن بترقية أنظمة الشركة إلى OpenSSL 1.0.1g في أقرب وقت ممكن.

مصدر: OpenSSL

ريان حاصل على درجة البكالوريوس في الهندسة الكهربائية. لقد عمل 13 عامًا في هندسة الأتمتة ، و 5 سنوات في مجال تكنولوجيا المعلومات ، وهو الآن مهندس تطبيقات. محرر إداري سابق لـ MakeUseOf ، وقد تحدث في المؤتمرات الوطنية حول تصور البيانات وقد ظهر في التلفزيون والإذاعة الوطنية.