ما هو Heartbleed Bug وكيف تحمي نفسك وتظل آمنة؟

يستخدم ما يقرب من 70٪ من حركة المرور على الإنترنت OpenSSL لتأمين عمليات نقل البيانات. هذا يترجم إلى جميع الخوادم الرئيسية تقريبا (اقرأ: المواقع) استخدام OpenSSL لتأمين البيانات الخاصة بك مثل بيانات اعتماد تسجيل الدخول. ومع ذلك ، عثر شخص ما من Google على خطأ في OpenSSL - خطأ برمجي بسيط ولكنه كبير بما يكفي للتخلي عن بياناتك للمتسللين - الأشخاص المستعدين لاستخدام بياناتك لأغراضهم. يسمى هذا الخطأ OpenSSL Heartbleed حيث أنه يرتبط ارتباطًا وثيقًا ببعض طبقة HeartBeat من OpenSLL.

ما هو Heartbleed Bug

معظم الخوادم تقبل البيانات المشفرة ، وفك تشفيرها باستخدام مفاتيح التشفير وإعادة التوجيه لتجهيزها. نظرًا لأن معظم الخوادم تستخدم طريقة FIFO (First in First Out) لخدمة المستخدمين النهائيين ، غالبًا ما تكون البيانات (بعد فك التشفير) موجودة في ذاكرة الخادم لفترة قبل أن يأخذها الخادم لمزيد من المعالجة.

The Heartbleed Bug is حالة من القلق تقريبا لجميع المواقع التجارية على الإنترنت وغيرها من بعض الأنواع الأخرى. ويمكّن هذا الخطأ في البرمجة المتسللين من التحقق من أي خادم يستخدم OpenSSL وقراءة / حفظ / استخدام البيانات غير المشفرة (البيانات غير المشفرة). لا يمتلك المتسللون الآن فقط إمكانية الوصول إلى بياناتك ، بل يمكنهم إعادة إنتاج شهادة موقع الإنترنت التي تجعل الإنترنت مكانًا أكثر خطورة. مع نسخة من شهادة الموقع ، يمكن للقراصنة إنشاء مواقع تحاكي: مواقع تشبه المواقع الأصلية. مع ذلك ، يمكنهم الوصول إلى بياناتك مثل تفاصيل بطاقة الائتمان ، المعلومات الشخصية ، إلخ.

الأصوات مخيفة ، أليس كذلك؟ هو - بالفعل - لأنه يمكن الوصول إلى المعلومات الخاصة بك ويمكن استخدام تلك المعلومات في أي نهاية.

ملاحظة : Heartbleed أيضا لديه اسم رمز CVE-2014-0160. CVE لتقف على نقاط الضعف المشترك والتعرض. هذه الرموز المتعلقة بمواطن الضعف ، الخ ، يتم تقديمها من قبل MITER ، وهي هيئة مستقلة تحافظ على مسارات البق والمشاكل المشابهة.

هل يجب ترقية My Anti-Virus أو شيء ما

لا يحتوي علة Heartbleed في OpenSSL على أي شيء مع برنامج مكافحة الفيروسات أو جدار الحماية. هذه ليست مشكلة جانب العميل حتى تتمكن من القيام بالكثير حيال ذلك. على الجانب الآخر ، يجب على الخوادم تطبيق تصحيح على نظام OpenSSL الذي يستخدمونه. يمكن القيام بذلك ، يمكن القول أن الموقع أكثر أمانًا للتفاعل.

ما يمكنك فعله كمستخدم هو تقليل عدد الزيارات إلى التجارة والمواقع المشابهة. ليس هذا أن علة يؤثر فقط على مواقع التجارة. وهي تساوي جميع أنواع مواقع الويب التي تستخدم OpenSSL. أقول تجنب المواقع التجارية لفترة من الوقت لأنها ستكون الهدف الرئيسي للمتسللين الذين يريدون تفاصيل بطاقتك الخ. وهو ما يعني أن الهدف الأساسي للمتسللين هو مواقع التجارة الإلكترونية باستخدام OpenSSL.

بمجرد الحصول على رسالة / تقرير أن يتم إصلاح الخطأ ، يمكنك المضي قدما كما كنت تفعل قبل اكتشاف الأخطاء. قام OpenSSL بإنشاء تصحيح ثم قام بإصداره لمالكي مواقع ويب لتأمين بيانات المستخدمين الخاصة بهم. حتى ذلك الحين ، حاول تجنب المواقع التي تضطر فيها إلى تقديم بياناتك بأي شكل من الأشكال - حتى بيانات اعتماد تسجيل الدخول. أنا متأكد من أن جميع مشرفي المواقع يجب أن يذهبون إلى التصحيح ، لكن لا تزال هناك مشكلة. بمجرد التأكد من عدم وجود ثغرات أو تم إصلاح نقاط الضعف هذه ، فقد يكون من الجيد تغيير كلمات المرور الخاصة بك.

وفي الوقت نفسه ، استخدم ملحقات المستعرض هذه لتحذيرك من المواقع المتضررة Heartbleed.

تم نسخ شهادات الموقع عبر Heartbleed تحتاج إلى معالجة

هناك فرص عالية لأن شهادات أمان موقع الويب قد تم نسخها لإنشاء مواقع ويب ضارة. نظرًا لأن شهادات الأمان كنسخ عامة ، قد لا تخبرك المستعرضات بالفرق. أنت الذي يجب أن يبقى حذرا. تجنب النقر فوق الارتباطات وبدلاً من ذلك ، اكتب عنوان URL الخاص بموقع ويب في شريط العناوين بحيث لا تتم إعادة توجيهك إلى موقع مزيّف آخر.

يمكن حل هذه المشكلة بطريقتين:

1. يجب أن تكون المتصفحات المتاحة في السوق ذكية بدرجة كافية لتحديد الشهادات المنسوخة وتنبيهك.
2. يقوم مشرفو المواقع بتغيير الشهادات بعد تطبيق التصحيح.

وبعبارة أخرى ، سيستغرق الأمر بعض الوقت لتنفيذ ما سبق ، على الرغم من أن مشرفي المواقع يطبقون التصحيح. أود أن أكرر التأكيد على عدم النقر على الروابط في رسائل البريد الإلكتروني أو المواقع غير المشهورة. ببساطة ، اكتب عنوان URL في شريط العنوان أو إذا كان موقعك الأصلي مرجعاً ، استخدم الإشارة المرجعية.

يحتوي قسم المراجع في نهاية هذه المقالة على قائمة غير شاملة لمواقع الويب المتأثرة. غير مكتمل لأنه قد يكون هناك المزيد من المواقع المتأثرة أكثر من تلك المدرجة هناك.

المراجع:

• Heart Bleed: Website
• OpenSSL: Security Advisory For Heart Bleed
• Git Hub: List of Affected Websites.