ما هي ثغرة نزيف القلب؟
تشير ثغرة نزيف القلب إلى نقطة ضعف في بعض تطبيقات OpenSSL، وهي مكتبة تشفير مفتوحة المصدر لبروتوكول أمان طبقة النقل (TLS). وتم الإعلان عن الثغرة من قبل الباحثين في 7 أبريل/ نيسان 2014 وتم تصحيحها في الشهر نفسه.
ما الذي سبب ثغرة نزيف القلب؟
كان سبب الثغرة هو سوء كتابة الشيفرة البرمجية، وقد تم اكتشافها في اليوم نفسه من قبل باحثي أمان جوجل وكود نوميكون (Codenomicon) الذين أدركوا بسرعة أن المتسللين بإمكانهم استغلال الخطأ لتسريب المحتوى المشفر وأسماء المستخدمين وكلمات المرور والمفاتيح الخاصة للشهادات X.509.
حجم الأضرار
حتى عام 2014، تم استخدام تطبيقات OpenSSL من قبل ما يقرب من 66% من جميع مواقع الويب النشطة على الإنترنت، لتكون ثغرة نزيف القلب أحد أسوأ الأخطاء الأمنية في تاريخ الإنترنت وفق وصف الخبراء.
الشركات المتضررة من ثغرة نزيف القلب
تضمنت الشركات المتضررة قائمة طويلة من الشركات ومن أبرزها شركة جوجل وياهو ونتفليكس وميتا وتمبلر، بينما أعلنت شركات أخرى مثل لينكدإن ومايكروسوفت وآبل وتويتر أنها لم تتضرر من ثغرة نزيف القلب.
كيف يمكن منع الثغرات المشابهة من الحدوث؟
توجد 4 نصائح رئيسية لتطوير البرمجيات وصيانتها والحد من الثغرات الأمنية في الشيفرات البرمجية:
- دمج الأنشطة الأمنية اللازمة لإنشاء برمجيات آمنة في التطبيقات.
- إرسال تغذية راجعة لجميع البرامج والمكونات مفتوحة المصدر كمراجعة أمنية شاملة لتجنب المكونات ذات نقاط الضعف المعروفة وإصلاحها.
- عدم الوثوق في المدخلات الواردة من أي نظام خارجي.
- إجراء التحقق من صحة المدخلات من جانب الخادم.