1. MR.CAPTCHA

    MR.CAPTCHA Expert Developer ExpErt DeveloPer

    الأنتساب:
    ‏30 أغسطس 2014
    المشاركات:
    1,786
    الإعجابات المتلقاة:
    14
    نقاط الجائزة:
    38
    الوظيفة:
    I.T Student
    الإقامة:
    IRAQ
    السلام عليكم ورحمة الله و بركاته

    [​IMG]

    اليوم قرأت عن ثغرة HeartBleed و اعجبني ان اشارككم المعلومة

    في البداية فإن الثغرة تكون موجودة في السيرفرات التي تستضيف المواقع او خدمات الويب
    اي انها ليست ثغرة في حاسوبك

    [NOTE] الشرح باللغة الانكليزية لذلك سأوضح الأشياء المهمة في هذه الثغرة باللغة العربية و الباقي للجيدين باللغة الانكليزية [/NOTE]

    سبب الثغرة : خطأ برمجي في مكتبة
    [
    OpenSSL cryptographic software library ]

    تسبب هذه الثغرة سرقة البيانات من المستخدمين و كذلك كلمات المرور الخاصة بهم و التي تكون في الحالة الطبيعية محمية بتشفير SSL/TLS لحماية المستخدمين على الانترنت

    [TLS : Transport Layer Security Protocol]
    [SSL : Secure Sockets Layer]

    يستخدم تشفير SSL/TLS لحماية الاتصالات عبر الانترنت وكل مايتم ارساله خلال الانترنت وكذلك تطبيقات الانترنت مثل :
    Web - Email - Instant Messaging(IM) - Some Virtual Private Networks (VPN)

    تسمح هذه الثغرة لأي احد على شبكة الانترنت ان يتمكن من قرائة ذاكرة المرور العشوائي (RAM) للأنظمة المحمية بالنسخة المصابة من برنامج OpenSSL.

    مما يعرض مفاتيح التشفير الى السرقة
    [ أغلب عمليات التشفير تستخدم مفتاح يتوجب وجوده عند المستلم لكي يتمكن من فك تشفير البيانات المرسلة اليه وفي بعض الاحيان يكون لكل مستخدم للخدمة مفتاح معيّن يختلف عن الباقين ليمنع فك شفرة البيانات المرسلة اليه حتى في حالة سرقتها من قبل احد المستخدمين]
    كذلك تتعرض حسابات المستخدمين للسرقة و ايضاً البيانات التي يقومون بإرسالها الى السيرفر المصاب .
    كما تسمح هذه الثغرة للمخترق ان يتجسس على الاتصال بين المستخدم و السيرفر المصاب و كذلك سرقة البيانات مباشرةً من السيرفر او من المستخدم ( من ذواكر المرور العشوائية لديهم )

    ومن مخاطرها انها لا تترك اي دليل على الاطلاق عن المخترق
    لذلك لايمكن معرفة من قام بسرقة المعلومات منك و لا متى و لا كيف

    طبعاً النسخة المصابة من OpenSSL هي [
    OpenSSL 1.0.1]
    اما النسخ التالية فهي غير مصابة :

    OpenSSL 1.0.1g

    OpenSSL 1.0.0

    OpenSSL 0.9.8


    يرمز لهذه الثغرة
    CVE-2014-0160
    حيث CVE تعني
    [
    Common Vulnerabilities and Exposures]

    للمعلومة فإن تسميتها بنزيف القلب HeartBleed تعود الى ان استغلالها يؤدي الى ان الذاكرة ستقوم بتسريب محتوياتها الى المخترق .
    [ في الحقيقة فإن الثغرة تقوم فقط بإرسال 64K من المعلومات المخزنة في الذاكرة و لكن يمكن اختيار المنطقة التي يريد المخترق قرائتها من الذاكرة عبر تحديد عنوان اول Byte يريد قرائته .. وبهذا يمكنه قرائة الذاكرة بأكملها بتكرار عملية القرائة اكثر من مرة ولكن بتغيير العنوان ]

    و المعلومة الاخيرة ان النسخة المصابة كانت موجودة منذ 2011 و تم اصلاح الثغرة في الشهر السابع 2014
    لهذا فإن الثغرة كانت موجودة لفترة طويلة ولا يُعرف كم من البيانات تمت سرقتها عن طريق هذه الثغرة

    و الآن اترككم مع رابط الموقع الذي انشأه المختصون لتعريف الجميع بهذه الثغرة
    و الذي يحتوي الكثير من الاسئلة و الاجابات عنها
    [HIDE]
    Heartbleed Bug
    [/HIDE]
    اتمنى ان اكون وفقت في الشرح المبسط
    :{2!}:
    الى اللقاء في شرح جديد ان شاء الله

     
    1 person likes this.
  2. Ameer Eagle

    Ameer Eagle V • I • P

    الأنتساب:
    ‏7 يونيو 2014
    المشاركات:
    3,233
    الإعجابات المتلقاة:
    2,779
    نقاط الجائزة:
    113
    الجنس:
    ذكر
    الوظيفة:
    Student
    الإقامة:
    IraQ
    رد: ماهي ثغرة نزيف القلب [The Heartbleed Bug]

    عشات ايدك صديقي :{2!}:
     
  3. MR.CAPTCHA

    MR.CAPTCHA Expert Developer ExpErt DeveloPer

    الأنتساب:
    ‏30 أغسطس 2014
    المشاركات:
    1,786
    الإعجابات المتلقاة:
    14
    نقاط الجائزة:
    38
    الوظيفة:
    I.T Student
    الإقامة:
    IRAQ
    رد: ماهي ثغرة نزيف القلب [The Heartbleed Bug]

    وايدك امير الورد
    نورت الموضوع والله
    [​IMG][​IMG][​IMG][​IMG]
     
  4. SiL3nT M4n

    SiL3nT M4n Developer

    الأنتساب:
    ‏19 مايو 2012
    المشاركات:
    55
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الإقامة:
    im Syrian
    رد: ماهي ثغرة نزيف القلب [The Heartbleed Bug]

    مشكوووور يا بطل , {1!$8}
     
  5. CoBrA-M

    CoBrA-M Developer

    الأنتساب:
    ‏2 مايو 2014
    المشاركات:
    100
    الإعجابات المتلقاة:
    3
    نقاط الجائزة:
    18
    رد: ماهي ثغرة نزيف القلب [The Heartbleed Bug]

    الله يعطيك العافية
     
  6. MR.CAPTCHA

    MR.CAPTCHA Expert Developer ExpErt DeveloPer

    الأنتساب:
    ‏30 أغسطس 2014
    المشاركات:
    1,786
    الإعجابات المتلقاة:
    14
    نقاط الجائزة:
    38
    الوظيفة:
    I.T Student
    الإقامة:
    IRAQ
    رد: ماهي ثغرة نزيف القلب [The Heartbleed Bug]

    نورت الموضوع ياغالي

    ويعطيك الف عافية
    :{y.}:{y.}
     
  7. Y-WaLiS

    Y-WaLiS Developer

    الأنتساب:
    ‏8 يوليو 2012
    المشاركات:
    30
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    nador
    رد: ماهي ثغرة نزيف القلب [The Heartbleed Bug]

    تسلم يالحبيب وجاري التقييم ان امكن
     
  8. MR.CAPTCHA

    MR.CAPTCHA Expert Developer ExpErt DeveloPer

    الأنتساب:
    ‏30 أغسطس 2014
    المشاركات:
    1,786
    الإعجابات المتلقاة:
    14
    نقاط الجائزة:
    38
    الوظيفة:
    I.T Student
    الإقامة:
    IRAQ
    رد: ماهي ثغرة نزيف القلب [The Heartbleed Bug]

    متقصر ياغالي
    {1!$0}
     
  9. ТUЯКł ΛŁ HΛЯБł

    ТUЯКł ΛŁ HΛЯБł DeveloPer Plus

    الأنتساب:
    ‏17 يوليو 2012
    المشاركات:
    111
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    16
    الوظيفة:
    طآلب جآمعي :(
    الإقامة:
    السعودية
    رد: ماهي ثغرة نزيف القلب [The Heartbleed Bug]

    بارك الله فيك والله يعطيك الف عافيه
     
  10. رئيس عصابة

    رئيس عصابة Developer

    الأنتساب:
    ‏17 ديسمبر 2011
    المشاركات:
    23
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    الإقامة:
    العراق
    رد: ماهي ثغرة نزيف القلب [The Heartbleed Bug]

    الف شكر اخي تسلم يداك
     

مشاركة هذه الصفحة