ما هو ضعف هارتبليد؟

منوعاتDec 19, 2021

واحدة من أكثر نقاط الضعف شهرة في منتصف عام 2010 كانت تسمى "Heartbleed". كان Heartbleed خطيرًا بشكل خاص لأنه البرنامج الذي أثر عليه "OpenSSL" ، مكتبة التشفير الرئيسية لاتصالات HTTPS ، والتي تُستخدم على نطاق واسع جدًا. لجعل الأمور أسوأ ، كانت الثغرة الأمنية موجودة في OpenSSL لأكثر من عامين من قبل تم اكتشافه ونشره وتصحيحه ، مما يعني أن الكثير من الأشخاص يستخدمون عنصرًا ضعيفًا إصدار.

كانت Heartbleed عبارة عن ثغرة أمنية في تسريب البيانات في امتداد Heartbeat عندما يتم استغلال البيانات المسربة من ذاكرة الوصول العشوائي من الخادم إلى العميل. يتم استخدام ملحق heartbeat للحفاظ على الاتصال بين خادم الويب والعميل دون طلب صفحة عادية.

في حالة OpenSSL ، يرسل العميل رسالة إلى الخادم ويبلغ الخادم بمدة الرسالة ، حتى 64 كيلو بايت. من المفترض أن يقوم الخادم بعد ذلك بترديد نفس الرسالة مرة أخرى. ولكن بشكل حاسم ، لم يتحقق الخادم في الواقع من أن الرسالة كانت طالما ادعى العميل أنها كانت كذلك. هذا يعني أنه يمكن للعميل إرسال رسالة بحجم 10 كيلوبايت ، وادعاء أنها كانت 64 كيلوبايت والحصول على استجابة 64 كيلوبايت ، مع وجود 54 كيلوبايت الإضافي الذي يتكون من 54 كيلوبايت من ذاكرة الوصول العشوائي التالية ، بغض النظر عن البيانات المخزنة هناك. يتم تصور هذه العملية بشكل جيد بواسطة

XKCD فكاهي # 1354.

الصورة مجاملة من xkcd.com.

من خلال تقديم الكثير من طلبات النبض الصغيرة ، والادعاء بأنها طلبات كبيرة ، يمكن للمهاجم تكوين صورة لمعظم ذاكرة الوصول العشوائي للخادم عن طريق تجميع الردود معًا. تتضمن البيانات المخزنة في ذاكرة الوصول العشوائي التي يمكن تسريبها مفاتيح التشفير وشهادات HTTPS بالإضافة إلى بيانات POST غير المشفرة مثل أسماء المستخدمين وكلمات المرور.

ملاحظة: إنها أقل شهرة ولكن بروتوكول نبضات القلب والثغرة عملت أيضًا في الاتجاه الآخر. ربما تم تكوين خادم ضار لقراءة ما يصل إلى 64 كيلوبايت من ذاكرة المستخدم لكل طلب نبضات.

تم اكتشاف هذه المشكلة من قبل العديد من الباحثين الأمنيين بشكل مستقل في الأول من أبريل 2014 وتم الكشف عنها بشكل خاص لـ OpenSSL حتى يمكن إنشاء تصحيح. تم الإعلان عن الخطأ عندما تم إصدار التصحيح في السابع من أبريل 2014. كان أفضل حل لحل المشكلة هو تطبيق التصحيح ، ولكن كان من الممكن أيضًا معالجة المشكلة عن طريق تعطيل ملحق Heartbeat إذا لم يكن التصحيح على الفور خيارًا.

لسوء الحظ ، على الرغم من أن الاستغلال أصبح عامًا ومعروفًا بشكل عام ، إلا أن العديد من مواقع الويب لم يتم تحديثها على الفور ، مع استمرار اكتشاف الثغرة الأمنية أحيانًا حتى بعد سنوات. أدى ذلك إلى عدد من حالات استغلال الثغرة للوصول إلى الحسابات أو تسرب البيانات.