تعتبر الثغرة الأمنية التي كشفت في بروتوكول تشفير البيانات المتبادلة على شبكة الإنترنت من أخطر الهفوات الأمنية في تاريخ شبكة الإنترنت والتي أدت خلال عامين إلى تسرب مفاتيح التشفير والاتصالات الخاصة بين المستخدمين ومعظم المواقع والخدمات على الشبكة.

كادت شبكة الإنترنت تغرق في جحيم فجوة أمنية بسبب تقنية لا يعرفها الجمهور العريض الذي يستخدمها يوميا: تقنيةOpenSSL،البروتوكول المستخدم على نطاق واسع لتشفير البيانات التي تنتقل على شبكة الإنترنت والتي خرقتها هفوة برمجية أمنية أطلق عليها اسم.Heartbleed

ما هي تقنية  OpenSSL؟
تقنيةOpenSSL، هي تقنية مفتوحة المصدر تحتوي أدوات التشفير المعروفة TSL و SSL.
Transport Layer Security أو بروتوكول طبقة المنافذ الآمنة، يستخدم خوارزميات تشفير فائقة القدرة وهو نسخة مطورة من بروتوكول SSL-Secure Sockets Layer   الذي يشفر البيانات المتبادلة على الشبكة.
فعندما يدخل المستخدم  مثلا موقعا ما يبدأ عنوانه بـHTTPS وفي أسفل الشاشة أيقونة قفل، فهذا يعني أن البيانات المتبادلة بين جهاز الكمبيوتر الخاص وخادم server الموقع مشفرة لحماية المعلومات الشخصية والسرية ككلمات المرور وأرقام بطاقات الائتمان وأرقام الحسابات المصرفية وغيرها.
ما هي ثغرة Heartbleed؟
Heartbleed هو الاسم الذي أطلقه على هذه الثغرة الأمنية خبراء أمن مؤسسة Codenomicon وخبير من GoogleSecurity. فالـHeartbleedهو كناية عن خطأ أو هفوة في تصميم بروتوكول OpenSSL.  إقترفها عن دون قصد المطور الألماني المتخصص بالأمن المعلوماتي  Robin Seggelmann عندما قام أواخر عام ديسمبر2011 بتصحيح هفوات برمجية في بروتوكول OpenSSL ولم يقم بمراجعة مقاطعه البرمجية من قبل مبرمجين أخرين، كما هو معهود و متعارف عليه في البرامج المفتوحة المصدر التي يتعاون على تطويرها مبرمجون من مختلف العالم، مما أدى إلى هذه الهفوة التي زعزت مواقع الإنترنت و شغلت وما زالت تشغل الإعلام المتخصص و خبراء الأمن  وأدت إلى إنتشار أخبار عن إستغلال وكالة الأمن القومي لهذه الثغرة طوال عامين رغم نفي الأخيرة هذه الأخبار التي نشرتها تقارير تلفزيون بلومبرغ.
خطورة هذه الهفوة تكمن بانها ضربت أسس أمن تبادل البيانات الشخصية والسرية على الشبكة.فمثلا إذا شخص ما يريد التحقق أن خادم موقعه نشط فيرسل ما يعرف بالـPing – Packet INternet Groper ، وهي مجموعة من حزم البيانات لفحص الاتصال، يطلقها مدير الموقع أو مدير الخوادم، لخادم ما وينتظر الرد وهنا الخادم الذي تعرض لثغرة Heartbleed بدل الرد بالصدىPong"" يقوم بإرسال كل البيانات المخزنة في ذاكراته من تسجيل الدخول إلى كلمة المرور وأرقام بطاقات الائتمان وغيرها من البيانات المشفرة، والأخطر أنه يمكن أن يرسل أيضا مفاتيح التشفير المستخدمة من قبل الموقع. وفي حال حاول قراصنة استغلال هذه الهفوة عليهم إرسال عدد كبير من الطلبات للخادم ليحصلوا على ما يثير اهتمامهم.
ما هي المواقع التي طالتها الثغرة؟
وفقا لخبراء الأمن الفنلننديين من مؤسسة Codenomicon الذين كشفوا هذه الهفوة الأمنية فإن أكثر من ثلثي خوادم الشبكة يستخدمون تقنية OpenSSL للتشفير.  وقد تم نشر تصحيح أولي و بشكل طارئ لتحديث الخوادم.و قد نشرموقع Mashableلائحة بالمواقع التي يجب على مستخدميها تغيير كلمات مرورهم بسرعة منها موقع "ياهو"  و خدماته المختلفة من البريد الإكتروني  إلى خدمة تبادل الصور "فليكر" إلى موقع التدوين "تمبلر"، كذلك موقع "فيس بوك" الذي لم يصرح علانية بتعرضه للثغرة غير أنه قام  بالإعلان عن قيامه  بتحديث خوادمه بسرعة قبل الإعلان عن الهفوة بشكل رسمي. كذلك من يستخدمون موقع Pinterest    و"انستغرام" وخدمات البريد الإلكتروني Gmail و خدمات يوتيوب و Soundcloud عليهم تغيير كلمات مرورهم .
ويبدو أن مواقع، مايكروسوفت،تويتر وأمازون بقيت محمية ولم تطالها تلك الثغرة. يبقى أن استغلال القراصنة لثغرةHeartbleed لا يترك أي آثر، لذلك لا يمكن بشكل قاطع معرفة ما إذا كان قد تم اختراق الخادم وأي نوع من البيانات قد سرقت.
أدوات مواجهة ثغرة "هارت بليد"
وضعت أداة لاختبار ما إذا كان الموقع يمكن أن يتعرض لخطر الهفوة Heartbleed، ولكنه لا يعمل مع جميع المواقع وفي حال اكتشفتم أن الموقع معرض للثغرة ينصح عدم إدخال معلومات تسجيل الدخول.
هذا و يتوفر حاليا إضافتين  واحدة لمتصفح فايرفوكس FoxBleed، التي تقوم بشكل آلي بفحص المواقع التي يزورها المستخدم وفي حال وجود خطر على زيارة هذا الموقع يتم تنبيه المستخدم مباشرة و الإضافة الأخرى لمتصفح  عوغل كروم .Chromebleed.
هذا و قد عملت مختلف المواقع على تحديث خوادمها و مراقبة حركة تبادل البيانات لردع إي عملية إختراق.
بطبيعة الحال من الأفضل  إعادة تعيين  جميع كلمات المرور الخاصة بكم و أن تقوموا بتغييرها بشكل دوري و جعلها كلمات مرور معقدة تزيد عن الثمانية أحرف وأن تكون مؤلفة من أحرف و من أرقام .
 لقد تم تجنب الأخطر غير أن الحذر مطلوب.