الهارت بليد Heartblead bug

المقال كما ذكره موقع http://nawarny.com/

 ‫في الكام يوم الأخرانيين انتشرت على مواقع الانترنت والتواصل الاجتماعي مشكلة الهارت بليد Heartbleed Bug على انها اكبر مشكلة سيكيوريتي حصلت في تاريخ الانترنت واتقال كلام تقني كتير مش مفهوم لغالبية الناس عن المشكلة واسبابها ومعناها الخ، فقررنا نعمل البوست القصير دا لشرح الموضوع باختصار وراعينا فيه انه يكون مكتوب للغير تقنيين ومبسط لأقصى درجة. الموضوع مهم جدا ان الناس تفهمه وتعرفه لانه متعلق بأمنك الشخصي على الانترنت.  ‫قبل ما نبدأ هقول كام تبسيط مخل لتعريفات مهمة في الموضوع عشان يتفهم بسهولة :

 ‫يعني ايه Bug اصلا ؟ 

‫بص يا سيدي، Bug ببساطه هي غلطة في كتابة البرنامج، غلطة في الكود بتاع البرنامج بتتسبب في منتج مكنش مطلوب من الأول.

 ‫يعني ايه SSL؟ وايه الOpenSSL دا؟

‫باختصار، الSSL دا بروتوكول تشفير ، طريقة لتشفير المعلومات على الانترنت والOpenSSL دا مجموعة برامج وادوات كدا مسموح باستخدامها من قبل المطورين لتحقيق السيكيوريتي والتشفير في البيانات على المواقع، يعني مثلا هنقول ان انت عايز تخش على اكاونتك في جوجل، فانت بتحط اليوزر والباسوورد وبتقوم دايس انتر يقوم باعت المعلومات دي خلال الانترنت للسيرفر بتاع جوجل عشان يقارنها بقاعدة البيانات الي عنده ويأكد انهم مظبوطين.  ‫فطبعا انهم يتبعتوا كدا خلال الانترنت خطر، لان ممكن ببساطه اي حد يشوفهم، خاصة بقى لو بتتكلم على انك داخل على البنك بتاعك مثلا ، بيانات مهمة لازم متتشافش، فالمواقع دي بتستخدم الOpenSSL عشان تشفر البيانات دي عشان وهي مبعوتة على الانترنت تبقى متأمنة، محدش يشوفها ولا يعرفها.

أظن كدا ممكن نبدأ نفهم هو ليه المشكلة خطيرة!.

تخيل ان البروتوكول بقى دا الي بنستخدمه للتشفير وبنعتبر استخدامه وسيلة لتأمين البيانات بقى وبنبعت على راحتنا وتقريبا 66% من مواقع الانترنت بتستخدمه فعليا فيه ثغرة بتتيح ان حد يشوف جوا الكلام الي انت فاكره متشفر دا ! مصيبة كبيرة !

لتبسيط اشد، تخيل مثلا انك في مكان ممنوع فيه التدخين، قمت انت داخل اوضة كدا وفي السر قعدت تدخن وفاكر انك محدش عارف انت بتعمل ايه ولا شايفك في حين ان الحقيقة ان الاوضة الي انت شايفها حيطان دي كلها اساسا ازاز وكل الناس شايفه انت بتعمل ايه !.

والمشكلة الأكبر ان اكتشاف الثغرة دي جه متأخر جدا!، لأن الثغرة دي موجودة في نسخة الOpenSSL الي اغلب المواقع بتستخدمها في تمين بياناتك من مايو 2012 !، يعني بيانات سيادتك مكشوفة للثغرة دي بقالها سنتين!. فدا عامل ازمة لأغلب خبراء التقنية لاننا ببساطه منعرفش كدا ايه اتسرب وايه متسربش وأصلا مش عارفين اذا حد عرف يستغل الثغرة دي ولا لأ، لأن وجود ثغرة مش معناها ان لازم حد يستغلها، لأن وجود ثغرة بيستلزم انه يتكتب برنامج ما لاستغلالها واحنا منعرفش حد كتب برنامج يعمل كدا ولا لأ اصلا، بس الخبر الكويس ان حتى الآن طبقا لأغلب الخبراء مفيش اي دليل على ان حد ان الهاكرز اكتشفوا الثغرة دي او استخدموها، لكن طبعا You can never know، ممكن يكونوا اكتشفوها وقدروا ميسيبوش اي أثر يدل. لكن الأكيد ان الثغرة دي بتتيح للي يعرف يستغلها انه يشوف كل بياناتك مع كل السيرفرات، الجديدة والقديمة كمان، ومن غير ما اي حد يقدر يعرف هو شاف ايه ومشافش ايه وشاف ولا لأ أصلا، وان الوضع دا بقاله سنتين!. وخطورة الموضوع جاية من سعة انتشاره الكبيرة.

 طب نعمل ايه دلوقتي؟

الخبر السخيف ان مفيش حاجه اوي تقدر انت تعملها، العبء الأكبر يقع دلوقتي على المواقع الكبيرة في انها تصلح الثغرة دي عندها وتعدل برامجها، وبشكل عام أغلب المواقع الكبيرة عملت كدا، بس عامة، موقعي Mashable و LastPass عاملين ليسته كاملة للمواقع الي لسه متأثرة بالثغرة، خش عليهم وشوف ايه لسه متأثر.  بس الي بينصح بيه بشكل عام، خش غير باسوورداتك كلها للاطمئنان لأن استغلال الثغرة معناها انه يقدر يشوف كل بياناتك وباسوورداتك ما قبل اصلاحها، فتغيير باسوورداتك مطلوب وكويس. بس خلي بالك، متغيرش الباسوورد غير لما الموقع دا يقولك انه خلاص صلح المشكلة عنده، لأن لو غيرتها والموقع لسه متأثر ملهاش معنى. 

نخاف ونقلق يعني ؟

الحقيقة لأ، متقلقش اوي، باختصار لو كان فيه حاجه حصلت فهي حصلت، و”المفروض” ان المشكلة في طريقها للحل، وأغلب المواقع الكبيرة خلاص حلتها، غير باسوورداتك بس وخلاص، الموضوع مش مخيف اوي زي ما الناس متخيلة.اطمئن

الNSA ليها علاقة بالموضوع ؟

الحقيقة مفيش اي مؤشرات بتقول كدا، الغلطة البرمجية الي مسببة الثغرة بسيطة وعبيطة والموضوع ما هو الا غلطة مصادفة، نظرية المؤامرة مش دايما اجابة لو عايز معلومات تقنية اوي عن الموضوع شوف اللينك دا شارح الموضوع بالتفصيل

 لو عايز كبسولة في رغيف كدا تفهمك فكرة الثغرة تقنيا ، الكوميك دا رائع :

والفيديو الي فوق دا شرح موقع Mashable للموضوع، شرح ممتاز.