انتشرت منذ عدة أيام ثغرة أصابت معظم المواقع التي تستخدم تشفير SSL، هذه الثغرة موجودة في برمجية OpenSSL، وتم إصدار تحديث من قبل الشركة المبرمجة لإغلاق هذه الثغرة.
تقوم هذه الثغرة باستخراج الجلسات المشفرة عشوائياً ومن ثم فك تشفيرها من دون الحاجة إلى أي وصول إلى الخادم أو إلى مفاتيح التشفير، كما تمكّن في بعض الحالات الشخص المهاجم من الحصول على مفاتيح التشفير والمعلومات المخزنة في الجلسة مثل اسم المستخدم أو البريد الإلكتروني وكلمات السر.
ووفقاً للإحصاءات، فقد أصابت هذه الثغرة نصف مليون موقع تقريباً، ومنها مواقع ضخمة مثل أمازون وغوغل وفيس بوك وياهو، إلا أن معظم هذه الشركات والمواقع قامت بالتحديث لإغلاق الثغرة.
أصحاب المواقع
في حال كنتم تملكون موقعاً يستخدم برمجية OpenSSL بين الإصدار 1.0.1 وحتى الإصدار 1.0.1f فهذا يعني أنكم مصابون بهذه الثغرة ولإغلاقها قوموا بالخطوات التالية:
– التأكد من إصابة موقعكم بالثغرة عبر الموقع http://filippo.io/Heartbleed وفي حال كنتم مصابين قوموا بالتالي:
– تحديث برمجيلة OpenSSL إلى الإصدار 1.0.1g
– إعادة توليد مفاتيح التشفير والشهادة عبر الموقع الذي قمتم بشراء الشهادة منه.
في حال واجهتم أي مشكلات أو صعوبة في حل المشكلة وإغلاق الثغرة بإمكانكم التواصل معنا عبر صفحتنا على الفيسبوك من هنا
المستخدمون العاديّون
أما في حال كنتم مستخدمون لهذه الخدمات فإننا ننصحكم بالتالي:
– التأكد من كافة المواقع التي اشتركتم بها من أنها قامت بإصلاح هذه الثغرة، يوجد قائمة بالمواقع المصابة وإن قامت بإصلاح الثغرة أم لا عبر هذا الموقع
– في حال كان الموقع قد أصلح الثغرة، قوموا بتغيير كلمات المرور.
– في حال لم يقم الموقع أو الشركة بإصلاح الثغرة، قوموا بإلغاء حساباتكم وامسحوا أي معلومات مهمة منه حتى يتم إصلاح هذه الثغرة.
كما ينصح فريق سايبر آرابز المستخدمين بتغيير كلمات السر لديهم بشكل دوري خلال فترات لا تتعدى الثلاثة أشهر، كما ننصح باستخدام كلمات سر فريدة وطويلة، بإمكانكم قراءة المزيد عن كلمات السر وكيفية اختيارها من هنا
أصحاب الهواتف النقّالة
المواقع والمخدّمات ليست وحدها المعرّضة لخطر هذه الثغرة، إذ إنها تتواجد أيضاً في العديد من الهواتف الذكية التي تعمل على نظام التشغيل “أندرويد”، لاعتبار مكتبة OpenSSL جزءاً من هذا النظام.
حتى اللحظة لا يوجد حل للثغرة الموجودة في “أندرويد”. الحل الثغرة الوحيد متمثّل بالتحديثات التي تصدرها الشركات المصنّعة مثل “سامسونغ” أو “سوني” أو “غوغل”، إلخ، ولكن من الجيد معرفة ما إذا كان هاتفكم الذكي مصاباً بهذه الثغرة أم لا، لمعرفة ذلك قوموا بالتالي:
1- تحميل وتنصيب تطبيق Heartbleed security scanner من هنا الذي قامت ببرمجته شركة Lookout Mobile Security المعروفة بتصنيعها لعدة تطبيقات تؤمن جهازكم وبياناتكم المخزّنة من سوء الاستخدام أو السرقة عبر عدّة أدوات. لا يقوم تطبيق Heartbleed security scanner بإصلاح الثغرة، ولكنه قادر على إخباركم إن كان جهازكم مصاباً بها أم لا.
2- بعد تنصيب التطبيق قوموا بفتحه حيث يبدأ تلقائياً بالفحص. وبعد انتهاء الفحص يخبركم إن كان جهازكم مصاباً بالثغرة أم لا، كما يظهر في الصورة على الجانب الأيمن، نتيجة الفحص على جهاز مصاب بالثغرة. إذا كان الجهاز سليماً سترون رسالة مثل تلك التي تظهر على الجهة اليسرى.
3- في حال كان جهازكم مصاباً، تحققوا مما إذا كانت الشركة أصدرت تحديثاً لنظام التشغيل لتفادي الثغرة. بإمكانكم الذهاب إلى التحديثات عبر الذهاب إلى “إعدادات” من القائمة الرئيسية ثم “المزيد” ثم “حول الجهاز” ثم تحديث البرنامج والنقر على “تحديث”، أو Settings > More > About device > Software updates > Update.
