سارعت جميع مواقع الإنترنت البارزة لإصلاح ثغرة “هارت بليد” الأمنية التي اكتشفتها “غوغل” الأسبوع الماضي بمعاونة شركة فنلندية لأمن المعلومات، للحد من وصول الهاكرز للبيانات المشفرة لمستخدمي تلك المواقع.
ومع ذلك، فإن تلك الخطوات قد لا تكفي للقضاء على خطر الثغرة، خاصة مع محدودية قدرة أصحاب المواقع الصغيرة على اتخاذ إجراءات أمنية على نفس الدرجة من الكفاءة، وهذا يعني أن تلك الثغرة قد تظل تهدد أمن الإنترنت لسنوات، وربما إلى الأبد.
حيث أن خطورة الثغرة تكمن بأنه في حالة تكرار استخدامها، قد يتوصل الهاكرز للشفرة التي يستخدمها الموقع لحفظ جميع بياناته، وهذا لا يعني أنه سيتوصل فقط لجميع البيانات المسجلة على الموقع، إنما قد يصمم نسخا زائفة من الموقع للاستيلاء على البيانات الحساسة لمستخدميه، وأسوأ ما في ذلك الأمر هو أنه من الصعب تحديد ما إذا تعرض الموقع للاختراق، وكذلك هوية المخترق.
فريق أمني ينجح باختراق مستشعر البصمة في “غالكسي إس 5”
كشف فريق من شركة “SRLaps” للأبحاث الأمنية عن نجاحه في اختراق نظام التعرف على بصمة الإصبع المزود به هاتف “Galaxy S5” الجديد من “سامسونغ”.
واستخدم الفريق في عملية الاختراق نفس الطريقة التي كان قد نجح من خلالها، العام الماضي، في اختراق نظام “TouchID” للتحقق عبر البصمة الموجود في هاتف “آيفون 5 إس”، وذلك باستخدام بصمة مزيفة.
ونجح الفريق الأمني في إنتاج البصمة المزيفة عبر تصوير بصمة المستخدم الأصلية من الهاتف، حيث تكون مطبوعة من أثر الإستخدام إما على الشاشة أو على مستشعر قراءة البصمة أو على الجزء الخلفي من الجهاز.
وقام الفريق الأمني بتثبيت البصمة المطبوعة على قطعة من المعدن ومن ثم قاموا بتعريضها لضوء عالٍ لزيادة دقتها وتهيئتها للطباعة على طبقة من المطاط والغراء الأبيض، وهي الطبقة التي تستخدم فيما بعض كمنتج نهائي لخداع مستشعر قراءة البصمة.
تسجيل أول هجوم إلكتروني يستغل ثغرة “هارتبليد”
اعلنت “شرطة الخيالة الملكية الكندية” RCMP الأربعاء إنها اعتلقت شابًا يبلغ من العمر 19 عاماً يدعى ستيفن سوليس ريس متهماً باستغلال الثغرة الأمنية المعروفة باسم “Heartbleed” في سرقة بيانات لدافعي الضرائب من موقع حكومي.
وفي ما يبدو أنه أول حالة لهجوم إلكتروني باستخدام ثغرة “هارتبليد” التي اكتشفت أخيرًا، قالت وكالة الإيرادات الكندية “CRA” هذا الأسبوع إن نحو 900 من أرقام التأمين الاجتماعي، وربما غيرها من البيانات، قد سرقت نتيجة لهجوم إلكتروني تعرض له موقعها.
واعتقل المشتبه به من منزله في أونتاريو يوم الأربعاء، ويواجه الآن اتهامات جنائية بالاستخدام غير المصرح به لجهاز حاسب وإلحاق الأذى فيما يتعلق بالبيانات.
ومن جهتها قالت شرطة الخيالة الملكية الكندية في بيان لها “يعتقد أن سوليس ريس كان قادرًا على استخراج المعلومات الخاصة التي تحتفظ بها وكالة الإيرادات الكندية من خلال استغلال ثغرة هارتبليد”.
وقامت الشرطة أيضًا بمصادرة جهاز الحاسب الخاص بسوليس رايس، ومن المقرر مثوله أمام المحكمة في 17 تموز القادم.
يأتي هذا التقرير في وقت تسعى فيه شركات الإنترنت ومزودي التقنية والشركات والوكالات الحكومية لمعرفة ما إذا كانت أنظمتها عرضة للهجوم منذ اكتشاف ثغرة “هارتبليد” التي توصف بأنها الأخطر في تاريخ الويب.
