ما هي ثغرة HeartBleed، ولماذا كل هذا الصخب حولها؟

إذا كنت متابعًا للتقنية وأخبارها بشغف فمن المؤكد أنك سمعت عن ثغرة HeartBleed على الأقل مرة واحدة خلال الآونة الأخيرة، الثغرة التي تسببت في قيام أكبر مُقدّمي خدمات الوب من أمثال جوجل وياهو في المسارعة بترقيعها بسبب خطورتها البالغة على بيانات المستخدمين الحساسة مثل بيانات الدخول والبيانات المالية.

تقع الثغرة بالأساس في برمجية مفتوحة المصدر باسم OpenSSL والتي تستخدمها أغلب الشركات في حماية خوادمها، مع هذه التقنية يُمكن للمواقع تزويد معلومات مشفرة إلى الزوار، بحيث تكون البيانات المنقولة (مثل كلمات المرور وأسماء المستخدمين والكوكيز) غير مرئية للآخرين بينما تذهب من حاسوبك إلى الموقع الإلكتروني. وبما أنّ OpenSSL هو مشروع مفتوح المصدر، فإنّه يتم تطويره بواسطة بعض المتبرعين المبدعين، بدون أي مقابل، لمساعدة المجتمع التقني.

جاءت الثغرة بسبب خطأ غير مقصود في الإصدار 1.0.1 الذي تم إطلاقه بتاريخ 19 أبريل 2012، ويسمح هذا الخطأ لأي شخص باسترجاع المعلومات الموجودة على ذاكرة خادم الويب بدون إمكانية تتبعه. جاء هذا الخطأ غير المقصود بينما كان المُبرمج الألماني الدكتور روبن سيجلمان يُضيف ميزة جديدة إلى OpenSSL. ومعروف عن سيجلمان مساهماته المستمرة في كود الحماية المفتوح المصدر.

خطورة ثغرة Heartbleed

بالنسبة لكثيرين من المستخدمين، قد يكون الحديث عن ثغرة في تقنية OpenSSL للحماية أمرًا اعتياديًا، ولكن بالنسبة للمطورين ومديري الخوادم فإنّ الأمر كارثي بسبب استخدام OpenSSL في اثنين من كل ثلاثة خوادم على الإنترنت. الكشف الفجائي عن الثغرة جعل الجميع يتخبطون لإصلاح الثغرة بأسرع وقت ممكن، حتى أنّ خبراء الحماية قد نصحوا مستخدمي ياهو بالتوقف عن استخدام خدمات الشركة حتى تُعلن عن إصلاح الثغرة رسميًا. وتسمح ثغرة HeartBleed التي اكتشفها أحد باحثي جوجل للمُهاجم بسحب 64 كيلوبايت من البيانات العشوائية من ذاكرة الخادم العاملة، الأمر أشبه بصيد السمك، تضع الطُعم في السنارة وتنتظر حتى تخرج لك بالصيد، وحسب حظك قد يكون صيدك ثمينًا أو قد يكون بلا قيمة، ومع تكرار العملية قد يحصل المُهاجم على بيانات حساسة عن المستخدمين دون أن يعلم مُدير الخادم أي شيء عن الأمر، حيث يتم الهجوم دون ترك أي أثر.

الثغرة حاليًا ليست بالخطورة التي كانت عليها قبل اكتشافها، حيث سارعت العديد من الشركات إلى إصلاحها فور اكتشافها، شركات مثل ياهو وجوجل وفيسبوك، كما بدأت الشركات الأصغر أيضًا بإصلاح الثغرة حتى أن شركة إعادة توجيه زوار المواقع CloudFlare أطلقت مُسابقة تحدي اختراق باستخدام ثغرة HeartBleed.

هذا وقد قامت شبكة توزيع المحتوى CloudFlare بنشر تصريح يُطمئن مُستخدميها بأنّ ثغرة HeartBleed قد لا تكون بالخطورة التي تخيلوها، بعد أن قامت الشبكة بإجراء اختبارات لمدة أسبوعين عليها، وأشارت أيضًا إلى أنّ الباحثين فشلوا في استغلال الثغرة للحصول على مفاتيح SSL السرية. وقامت الشبكة بعد ذلك بإطلاق تحدي إلى الهاكرز الأخلاقيين لمحاولة استغلال الثغرة في الحصول على المفاتيح السرية، ولسوء الحظ فقد استطاع اثنين من المخترقين الحصول عليها.

السرية أمر مستحيل عندما تكون الثغرة مسئولة عن تعريض البيانات الخاصة باثنين من كل ثلاثة خوادم على الإنترنت للخطر

حاولت الهيئة وراء مشروع OpenSSL فور اكتشاف الثغرة أن تقوم بترقيعها سريًا دون أن يعلم الرأي العام أي شيء عنها، ولكن هذا بالطبع أمر مستحيل عندما تكون الثغرة مسئولة عن تعريض البيانات الخاصة باثنين من كل ثلاثة خوادم على الإنترنت للخطر. وكانت أول مؤشرات الثغرة رسالة تحذيرية استلمها مهندس في CloudFlare من أحد الأصدقاء، ثم رسالة مماثلة إلى فيسبوك ليقوم بإصلاح الثغرة قبل انتشارها. ولكن مع استمرار الحديث والتحذيرات حول ثغرة HeartBleed لم تجد هيئة OpenSSL مفر من إصدار استشارة أمنية عامة تُحذّر فيها عملائها من الثغرة.

ومع الإعلان عن الثغرة وجدت بعض الشركات نفسها متروكة في العراء، تُحاول التحديث بأي وسيلة لإصلاح الثغرة وعندما نقول شركات فنحن لا نقصد الصغار، بل شركات مثل أمازون وياهو تُركت دون أن تعلم عن الثغرة حتى الإعلان الرسمي من OpenSSL عنها. حتى جوجل نفسها كانت بها بعض الخدمات التي لم يتم إصلاحها قبل الإعلان الرسمي.

وكالة الأمن القومي الأمريكية، والصيد في الماء العكر!

لم تكن تشبيه ثغرة HeartBleed بالصيد محض صدفة، ولأنّ وكالة الأمن القومي الأمريكية هوايتها الأولى هي الصيد في الماء العكر، فقد خرج تقرير من Bloomberyيفيد معرفة وكالة الأمن القومي بالثغرة منذ وجودها قبل عامين والاستفادة منها في جمع البيانات طوال هذه المدة دون تنبيه أيًا من الشركات التقنية إليها. وحسب المصادر المُسّربة للمعلومة فإنّ الثغرة تم الحفاظ عليها سريًا لفائدة وكالة الأمن القومي، بينما استخدمتها الوكالة لجمع كلمات المرور وبيانات أخرى، منذ بدء الثغرة في 2012.

الخطورة هنا أنّ وكالة الأمن القومي الأمريكية كان لها القدرة على الوصول بسهولة باستخدام الثغرة إلى بعضًا من أقوى الخدمات حمايةً مثل بريد جوجل وخدمات أمازون على الويب، لمدة عامين تقريبًا، بالإضافة إلى وصول وكالة الأمن القومي إلى ثُلثي البيانات المشفرة على الإنترنت. ويُقدّر أحد الباحثين أنّ الوكالة ليدها الآلاف من الثغرات المماثلة والتي لم يتم الكشف عنها بعد، حيث تقوم باستغلالها لصالحها في جمع البيانات.

وقد نفت وكالة الأمن القومي هذه المعلومات وأكّدت على أنّها لم تكن على علم بالثغرة قبل الكشف عنها رسميًا، كما صدر خطاب قوي من البيت الأبيض ينفي أيضًا هذه الادعاءات جاء فيه “إذا كانت الحكومة الفيدرالية، بما في ذلك أجهزة الاستخبارات، قد اكتشف هذه الثغرة الأمنية قبل الأسبوع الماضي، لكان قد تم الكشف عنها للمجتمع المسئول عن OpenSSL”. بالطبع هذا النفي مُجرد تحصيل حاصل، وإن كُنت تُصدّقه فأنصحك برؤية الطبيب!

من المعروف أنّه وعند الكشف عن الثغرات فإنّ أول من يقوم بترقيع خوادمه منها هي البنوك والمؤسسات المالية والحكومية لأنّها تحتوي على بيانات حساسة للمواطنين والعملاء لا يُمكن الكشف عنها بحال. ولكن هذا لم يكن الحال مع وزارة المالية الكندية التي تم استغلال الثغرة عليها والحصول على بيانات حساسة لعدد كبير من المواطنين يصل إلى 900 شخص، من ضمنها أرقام الضمان الاجتماعي. وقد استطاعت السلطات الكندية تتبع الشخص وراء هذا الاختراق والقبض عليه في لندن! وهو مراهق إنجليزي باسم Stephen Arthuro Solis-Reyes وبعد خمسة أيام من التحقيق معه تم توجيه بعض التُهم إليه وتشمل “الاستخدام الغير مصرّح به لجهاز كمبيوتر، وإلحاق الأذى فيما يتعلق بالبيانات”.

الوقاية خير من العلاج

بعد الفوضى الكبيرة التي خلفتها ثغرة HeartBleed بدأت الشركات التقنية الكبرى تنتبه إلى إمكانية حدوث ثغرات مماثلة في المستقبل، ولأنّ الوقاية خير من العلاج، قامت شركات جوجل ومايكروسوفت وفيسبوك بالتعاون معًا وجمع تمويل قدره 3.6 مليون دولار أمريكي لإطلاق مشروع باسم “مبادرة البنية التحتية الأساسية” برعاية مؤسسة لينكس ويتم تكريس هذا المشروع لاستثمار الأموال في البنية التحتية للبرامج الهامة، ويقول المدير التنفيذي لهذا المشروع أنّه بعد ثغرة HeartBleed أصبح شيئًا واضحًا الحاجة إلى التغيير، وأضاف أنّه يتمنى أن يكونوا قد فعلوا ذلك منذ وقت طويل.