الباعة الجهاد لإصلاح خلل في الأمن نت

صناع البرمجيات حول يتدافع العالم لإصلاح خلل خطير في التكنولوجيا المستخدمة لنقل المعلومات بأمان على الإنترنت.

يقع الخطأ في بروتوكول SSL ، المعروف باسم التكنولوجيا المستخدمة للتصفح الآمن على مواقع الويب التي تبدأ بـ HTTPS ، ويتيح يعترض المهاجمون اتصالات SSL الآمنة (Secure Sockets Layer) بين أجهزة الكمبيوتر باستخدام ما يعرف بهجوم الرجل في الوسط.

على الرغم من أنه لا يمكن استغلال الخلل إلا في ظروف معينة ، إلا أنه يمكن استخدامه في اختراق الخوادم المشتركة استضافة البيئات وخوادم البريد وقواعد البيانات والعديد من التطبيقات الآمنة الأخرى ، وفقًا لكريس باجت ، الباحث الأمني ​​الذي درس المشكلة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

"إنها عيب في مستوى البروتوكول ". وقال باغيت ، كبير المسؤولين عن التكنولوجيا مع شركة استشارات أمنية تسمى H4rdw4re. وقال "هناك مجموعة كبيرة من الاشياء التي سيكون لديك للحصول على ثابت على هذا واحد: متصفحات الويب، خوادم الويب، موازنات تحميل ويب، مسرعات ويب، وملقمات البريد وخوادم SQL، والسائقين ODBC والبروتوكولات الند للند"

على الرغم من أن المهاجم سيحتاج أولاً إلى اختراق شبكة الضحية لإطلاق هجوم الرجل في الوسط ، فإن النتائج ستكون مدمرة - خاصة إذا تم استخدامها في هجوم مستهدف للوصول إلى قاعدة بيانات أو خادم بريد وقال باجيت.

لأنه يستخدم على نطاق واسع ، SSL باستمرار تحت المجهر من الباحثين الأمن. في أواخر العام الماضي ، وجد الباحثون طريقة لإنشاء شهادات SSL مزيفة يمكن الوثوق بها من قبل أي متصفح ، وفي أغسطس كشف الباحثون عن عدد قليل من الهجمات الجديدة التي يمكن أن تضر بحركة مرور SSL. ولكن بخلاف تلك الهجمات ، التي لها علاقة بالبنية التحتية المستخدمة لإدارة الشهادات الرقمية لطبقة المقابس الآمنة ، يقع هذا الخطأ الأخير في بروتوكول SSL نفسه وسيكون من الأصعب إصلاحه.

الأمر الأكثر تعقيدًا هو حقيقة أن الخطأ كان غير مقصود تم الكشف عنها في قائمة بريدية غامضة يوم الأربعاء ، مما أجبر البائعين على التدافع المجنون لتصحيح منتجاتهم.

تم اكتشاف هذه المشكلة في Auguust من قبل الباحثين في PhoneFactor ، وهي شركة أمنية للهاتف المحمول. لقد عملوا طوال الشهرين الماضيين مع كونسورتيوم من بائعي التكنولوجيا يسمى ICASI (اتحاد صناعة من أجل تقدم الأمن على الإنترنت) لتنسيق إصلاح واسع لهذه المشكلة ، أطلق عليه اسم "مشروع Mogul".

ولكنهم وألقيت خطط حذرة في حالة من الفوضى يوم الاربعاء عندما تعثر مارتن ساكس مهندس ساب عبر الحشرة من تلقاء نفسه. على ما يبدو غير مدرك لخطورة القضية ، نشر ملاحظاته حول هذه القضية إلى قائمة مناقشة IETF (Internet Engineering Task Force). ثم نشرها باحث أمن HD Moore.

بعد ظهر الأربعاء ، كان هناك عدد كاف من الناس يتحدثون عن القضية التي قررها PhoneFactor للكشف عن نتائجهم. وقالت سارة فندر ، نائبة مدير التسويق في "فاينفاكتور": "في تلك المرحلة شعرنا بأن الأشرار كانوا على علم ، وشعرنا بأننا نتحمل مسؤولية الأخيار بين الرجال الجيدين."

لم يستطع فيندر أن يقول من كان مستعدًا للتصحيح. القضية ، لكنها لاحظت أن عددا من المنتجات مفتوحة المصدر "حريصة" لطرد التصحيح. وقالت "أعتقد أننا سنرى بعض الترقيع في المستقبل القريب."

لم يتسن الوصول إلى ICASI للتعليق مساء الأربعاء.

على الرغم من أن خبراء الأمن يقولون إن الخلل ربما كان موجودًا لسنوات ، يعتقد أنه تم استغلاله في أي هجمات.

"على الرغم من أننا نعتبرها نقطة ضعف مادي ، إلا أنها ليست نهاية العالم" ، قال فيندر.