The Heartbleed Bug
في الأسبوع الأول من شهر أبريل لهذا العام
أهتزت كل المجتمعات التقنية و المهتمة بأمن المعلومات لوجود ثغرة تسمى Heartbleed
ثغرة Heartbleed هي ضعف خطير في OpenSSL ،، و OpenSSL هي مكتبة برامج التشفير المعروفة.
هذه الثغرة تتيح سرقة المعلومات المشفرة في ظل ظروف طبيعية، من خلال التشفير SSL / TLS المستخدم لتأمين الإنترنت.
يوفر SSL / TLS الأمن و الخصوصية في اﻻتصالات عبر الإنترنت مثل اﻻتصال بالإنترنت والبريد الإلكتروني، والرسائل الفورية (IM) وبعض الشبكات الافتراضية (VPNs).
ثغرة Heartbleed تسمح لأي شخص على الإنترنت لقراءة الذاكرة/Ram للأنظمة التي تستخدم الإصدارات الضعيفة من OpenSSL. هذا الوضع ينال من المفاتيح السرية المستخدمة للتعرف على مقدمي الخدمة ولتشفير حركة المرور، وأسماء وكلمات المرور للمستخدمين والمحتوى الفعلي.
وهذا يسمح للمهاجمين للتنصت على الاتصالات، وسرقة البيانات مباشرة من الخدمات والمستخدمين و إنتحال الخدمات والمستخدمين في النظام.
فيما تضع المستضيفون العرب معيار الأمن في الاعتبار.لذلك تم تحديث جميع الخدمات التى تستخدم بروتوكول SSL / TLS بشكل فورى بجميع خوادمها وخوادم العملاء بالاضافة الى خوادم الاستضافة المشتركة والسحابية, اذا كنت تستخدم احدى خدمات المستضيفون العرب فأنت خارج التهديد الأن من هذه الثغرة .
ما الذي تم تسريبه عند تجربة الثغرة Heartbleed ؟
اختبرنا ثغرة Heartbleed بعض الخدمات الخاصة بنا من وجهة نظر المهاجم. هاجمنا أنفسنا من الخارج، دون أن تترك أي أثر. دون استخدام أي معلومات سرية أو وثائق التفويض.
تمكنا من سرقة المفاتيح السرية الخاصة بنا المستخدمة للحصول على شهادات X.509 و أسماء المستخدمين و كلمات المرور و الرسائل الفورية و رسائل البريد الإلكتروني و الوثائق الهامة الأعمال و الاتصالات الخاصة بنا.
كيف أوقف هذا التسريب ؟
طالما أن النسخة الضعيفة من OpenSSL قيد الاستخدام ويمكن أن يتم استغلالها.
لقد تم الافراج عن نسخة لمستقرة و أمنة من OpenSSL والآن لا بد من نشرها و التحديث إليها لكلا من : أنظمة التشغيل و الأجهزة والبرامج المستقلة والأجهزة الشبكية والبرمجيات التي يستخدمونها.
أسلئلة و أجوبة عن ثغرة Heartbleed :
ماهو CVE-2014-0160 ؟
CVE-2014-0160 هو المرجع الرسمي لهذا الخطأ.
(CVE : Common Vulnerabilities and Exposures) هو معيار للأسماء وجود ثغرة في أمن المعلومات و التي تحتفظ بها MITRE.
لماذا يطلق عليها ثغرة Heartbleed؟
الثغرة تتبع OpenSSL في تنفيذ “transport layer security protocols” المعروف بـ TLS/DTLS. عندما يتم استغلالها أنه يؤدي إلى تسرب محتويات الذاكرة/Ram من الخادم إلى العميل ومن العميل إلى الخادم.
لماذا Heartbleed هي الفريدة من نوعها ؟
الخلل في برنامج واحد OpenSSL يتم إصلاحها من خلال الإصدارات الجديدة. ولكن هذا الخطأ قد ترك كمية كبيرة من المفاتيح الخاصة وأسرار الآخرين المعرضين للتسريب على لشبكة الإنترنت. بالإضافة لسهولة الاستغلال دون ترك أي أثر لذلك تؤخذ على محمل الجد.
هل هذا عيب تصميم في بروتوكول SSL / TLS ؟
لا.. هذه مشكلة/خطأ في البرمجة مكتبة OpenSSL , التي تقدم خدمات التشفير مثل SSL / TLS إلى التطبيقات والخدمات علي اﻻنترنت.
ماهي إصدارات OpenSSL المصابة ؟
- OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
- OpenSSL 1.0.1g is NOT vulnerable
- OpenSSL 1.0.0 branch is NOT vulnerable
- OpenSSL 0.9.8 branch is NOT vulnerable
ماذا عن أنظمة التشغيل؟
بعض التوزيعات من انظمة التشغيل من المحتمل أن تكون عرضة نسخة OpenSSL المصابة :
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
توزيعات و ا نظمو التشغيل مع الإصدارات التي ليست عرضة للثغرة :
- Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
- SUSE Linux Enterprise Server
- FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
- FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
- FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
- FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
كيف يمكن ان تكون OpenSSL مستقرة و أمنة ؟
قام فريق عمل OpenSSl بإصدار نسخة جديدة مستقرة وغير مصابة version 1.0.1g
يمكنك التحديث إليها .. او التحديث لأخر نسخة ممكنة
كيف يمكنني التأكد من أن نظامي سليم ؟
يمكنك فحص موقعك او سيرفرك من الرابط التالي http://filippo.io/Heartbleed
من قام بإكتشاف الثغرة و الإبلاغ عنها لفريق OpenSSL ؟
قام إثنين بإكتشاف الثغرة وهم team of security engineers (Riku, Antti and Matti) at Codenomicon and Neel Mehta of Google Security
مراجع و معلومات عن الثغرة :
https://www.openssl.org/news/secadv_20140407.txt
https://www.cert.fi/en/reports/2014/vulnerability788210.html
* تعريف الثغرة وتفاصيل المقالة مترجمة من Heartbleed.com
Common Vulnerabilities and Exposures
ترجمة سيئة جدا
ويش السالفة… يا تترجمون صح يا لا تترجمون!
لخبطتون معلومات الناس!
هل يمكن إختراق المواقع التي لا تستخدم SSL ؟ مثلا المواقع الإخبارية و مواقع الشركات والي تقدم فقط معلومات من دون أن ينشئ الزوار حسابات ؟
الثغرة ليست لإختراق المواقع و لكن للتنصت مثلا بإستخدام wireshark على نفس الشبكة مع الضحية بالنسبة للمواقع التي تستخدم OpenSSL لتشغيل خدمة https في خوادمها.
مكتــبة الكترونية
http://hruf.net/
المهم أنو جاب المهم . أشكركم على مجهودكم