كيف حدث خطأ تشفير بيانات Heartbleed OpenSSL؟

في 7 أبريل 2014، علم العالم بما قد يكون أخطر خطأ أمني في تاريخ الإنترنت. يطلق عليه "نزيف القلب".

تم اكتشافه في وقت واحد بواسطة نيل ميهتا، الباحث الأمني في جوجل، وشركة أمنية فنلندية Codenomicon، يؤدي هذا الخطأ إلى اختراق بروتوكول الأمان الذي تستخدمه عادةً الأجهزة ومواقع الويب في جميع أنحاء العالم. يتيح Heartbleed للمتسلل إمكانية استخراج البيانات من الذاكرة - بما في ذلك كلمات المرور وأرقام الحسابات المصرفية وأي شيء آخر عالق في الداخل.

مقاطع الفيديو الموصى بها

تركت خطورة الخطأ الكثير من الناس يتساءلون كيف يمكن أن يحدث ذلك. يتم استخدام OpenSSL، وهو بروتوكول الأمان الذي تم اكتشاف الخلل فيه، في جميع أنحاء العالم. ولا يتم استخدامه فقط في الخوادم، ولكن أيضًا في أجهزة التوجيه وحتى في بعض الهواتف الذكية التي تعمل بنظام Android. قد تعتقد أن بعض الأطراف المسؤولة لديها فريق من الباحثين الأمنيين الذين يقومون بفحص التعليمات البرمجية والتحقق منها مرة أخرى، ولكن في الحقيقة، تتم إدارة OpenSSL من قبل مجموعة صغيرة تتكون في معظمها من المتطوعين.

متعلق ب

ربما أدى خطأ جديد في WordPress إلى ترك 2 مليون موقع عرضة للخطر

تواجه المصادقة الثنائية عبر الرسائل النصية القصيرة على تويتر مشكلات. وإليك كيفية تبديل الأساليب
HiveNightmare هو خطأ جديد سيئ لنظام التشغيل Windows. إليك كيفية حماية نفسك

الانفتاح على OpenSSL

يفتخر OpenSSL بأصله مفتوح المصدر باسمه. تأسس المشروع عام 1998، وتم إنشاؤه لتوفير مجموعة من أدوات التشفير المجانية لخوادم الإنترنت. كان هذا هدفا مهما. التشفير أمر بالغ الأهمية وشائع. كانت هناك حاجة إلى معيار مجاني للتأكد من اعتماده في أسرع وقت ممكن. حقق المشروع نجاحًا كبيرًا، وسرعان ما أصبح أحد أهم أدوات الأمان على الإنترنت.

ومع ذلك، فإن النجاح لم يسفر عن التوسع أو الأرباح. يحقق OpenSSL الدخل فقط من خلال عقود الدعم، والتي توفر إمكانية الوصول إلى استكشاف الأخطاء وإصلاحها والاستشارات من المؤسسة نفسها.

يتولى 11 شخصًا فقط، معظمهم من المتطوعين، مسؤولية معيار التشفير المهم.

توفر هذه العقود تدفقًا بسيطًا من الإيرادات، لكن المشروع أبعد ما يكون عن التدفق النقدي. لم تكسب مؤسسة OpenSSL Software Foundation أبدًا أكثر من مليون دولار إجمالي الإيرادات السنوية. وكانت التبرعات ضعيفة أيضًا؛ تتلقى المنظمة عادة حوالي 2000 دولار كل عام.

وهذا يؤدي إلى عدد قليل من الموظفين بشكل متوقع. يتكون "الفريق الأساسي" من أربعة أفراد فقط، ويضيف فريق التطوير سبعة أسماء أخرى إلى القائمة. أي ما مجموعه 11 شخصًا فقط، معظمهم من المتطوعين، مسؤولين عن معيار التشفير المهم. واحد منهم فقط، الدكتور ستيفن هانسون، يركز على OpenSSL بالكامل. كل شخص آخر لديه وظيفة أخرى بدوام كامل.

أفضل ما قاله ستيف ماركيز، الذي يدير أموال المنظمة. "إن اللغز لا يكمن في أن عددًا قليلاً من المتطوعين المثقلين بالعمل قد فاتهم الخطأ؛ اللغز هو لماذا لم يحدث ذلك في كثير من الأحيان.

ارتكبت أخطاء

وهذا هو ما تتلخص فيه الأزمة برمتها، وهو الخطأ. تم تقديم الخطأ بواسطة Robin Seggelmann، وهو متطوع ألماني يعمل على ملحق OpenSSL يسمى Heartbeat. لقد أرسل الكود في ليلة رأس السنة الجديدة، 2011، وبعد ذلك مر عبر عملية المراجعة. لقد كان Heartbleed موجودًا، وغير معروف للعامة، منذ أكثر من عامين.

فتح SSL يقوم الأعضاء الآخرون في المشروع بفحص الكود المقدم أثناء المراجعة، ولكن تحدث أخطاء، لذلك ليس من المفاجئ أن يتسلل خطأ ما في النهاية. حتى الشركات التي تبلغ قيمتها مليارات الدولارات، مثل Microsoft وCisco، تتعرض لنصيبها العادل من الثغرات المحرجة.

تنبع المشكلة من تخصيص الذاكرة وفقًا لقيمة يمكن تحديدها بواسطة طلب. إذا قام المستخدم بتوفير إدخال صالح، تعمل الوظيفة على النحو المنشود. ومع ذلك، إذا تم تقديم طلب غير صالح، فإن الكود يتخلص من جزء مما هو موجود في الذاكرة، بما في ذلك المعلومات التي من المفترض أن تكون آمنة ومشفرة. هذا الكتاب الهزلي على شبكة الإنترنت يشرح أيضًا Heartbleed، إذا رأيت أن التصور مفيد.

يعتقد بعض مهندسي البرمجيات ذلك يثير وجود الخطأ تساؤلات حول أمان C، الكود الذي تم كتابة ملحق Heartbeat فيه. على الرغم من شعبيتها، إلا أنها لغة معقدة توفر الكثير من الفرص لحدوث أخطاء في إدارة الذاكرة ومعالجة القيم. خطأ في تطبيق SSL آخر مفتوح المصدر، GnuTLS، ظهرت قبل شهر من Heartbleed، وكُتبت أيضًا بلغة C. وكان هذا الخطأ أقدم من ذلك؛ تمت إضافة الكود المسؤول عنه في عام 2005.

ما هي الخطوة التالية؟

الخطأ البشري هو المسؤول في نهاية المطاف عن Heartbleed، لكن الخطأ لا يقع على عاتق مبرمج واحد فقط. OpenSSL هو برنامج مجاني تستخدمه شركات Fortune 500 والحكومات وحتى المنظمات العسكرية، ومع ذلك فإن هذه المؤسسات لا تساهم أبدًا في التمويل أو القوى العاملة في المشروع.

وتبدو الشركات والحكومات قلقة للغاية، لكن التعهدات بتقديم الدعم الحقيقي غائبة بشكل ينذر بالسوء.

وهذا فشل منهجي على نطاق مذهل، ومع ذلك فإن الحاجة الواضحة لمزيد من الرقابة لم تدفع الكثير من الناس إلى مناصب ذات ثروة كبيرة أو سلطة كبيرة للتحرك. يقول ستيف ماركيز، رجل المال التابع لمؤسسة OpenSSL Software Foundation، إن التبرعات زادت منذ اكتشاف الخطأ، ولكن اعتبارًا من 12 أبريل، لا يزال إجمالي التبرعات لا يزيد عن 9000 دولار لهذا العام. وجاء معظم ذلك من أفراد تعهدوا بمبلغ 5 أو 10 دولارات. وتبدو الشركات والحكومات قلقة للغاية، لكن التعهدات بتقديم الدعم الحقيقي غائبة بشكل ينذر بالسوء.

ويجب على العالم أيضاً أن يتعلم من هذا الخطأ. إن استخدام مشروع مفتوح المصدر دون المساهمة فيه يُعَد على المدى الطويل وصفة لكارثة ــ وخاصة عندما يشكل المشروع جزءا بالغ الأهمية من البنية التحتية للشبكة. لا ينبغي أن يتم دعم أمن الإنترنت من قبل حفنة من المتطوعين الذين لا يجدون أسمائهم في الأخبار إلا عندما يحدث خطأ ما.

توصيات المحررين

ارتفعت هجمات برامج الفدية بشكل كبير. إليك كيفية البقاء آمنًا
تم اختراق موقع Reddit — إليك كيفية إعداد المصادقة الثنائية (2FA) لحماية حسابك
يصل SpaceX إلى 100 ألف عميل Starlink. إليك كيفية التسجيل
قد يكون لدى الكمبيوتر المحمول Dell الخاص بك ثغرة أمنية. وإليك كيفية اصلاحها.
ما هو خادم DNS؟ إليك كيفية خدمة الإنترنت لمفضلاتك

ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.