الائتمان: Codenomicon
(رصيد الصورة: Codenomicon)

محدث 9:15 صباحًا بتوقيت شرق الولايات المتحدة يوم الخميس لإزالة Twitter من قائمة المواقع المتأثرة ، وإضافة OKCupid.

إذا كنت تتابع الأخبار خلال الـ 24 ساعة الماضية ، فمن المحتمل أنك سمعت عن خطأ Heartbleed الذي يؤثر على أمان ملايين مواقع الويب. إنها مشكلة كبيرة ، حيث يستخدم خبراء الأمن مصطلحات مثل "كارثي" و "مدمر".

لسوء الحظ ، لا يوجد الكثير الذي يمكن للمستخدم النهائي القيام به لإصلاح الأشياء. يخلق Heartbleed بشكل أساسي مشاكل على خوادم الويب والبريد الإلكتروني. لا تتأثر أجهزة الكمبيوتر الشخصي وأجهزة Mac والأجهزة المحمولة التي تعمل بنظام Windows بشكل مباشر ، ولا يؤثر برنامج مكافحة الفيروسات على Heartbleed. يتدافع مسؤولو الأنظمة لتصحيح برامج الخادم ، لكن مستخدمي الإنترنت العاديين يضطرون إلى انتظار انتهاء البرنامج.

أكثر: علة "Heartbleed" تقتل الأمن على ملايين المواقع الإلكترونية

ومع ذلك ، هناك بعض الأشياء التي يجب على كل مستخدم الإنترنت القيام بها الآن. (إذا كنت لا تستطيع الانتظار لمعرفة المواقع المتأثرة ، فانتقل إلى نهاية هذه القصة.)

قم بتغيير كلمات مرور Yahoo و Flickr و Tumblr.

مثل الملايين من مواقع الويب الأخرى ، كانت Yahoo والشركات التابعة لها Flickr و Tumblr عرضة لـ Heartbleed. على عكس العديد من المواقع البارزة ، لم تقم هذه المواقع بتصحيح أنظمتها قبل أن يصبح خطأ Heartbleed معرفة عامة مساء يوم الاثنين (7 أبريل).

استخدم باحثو الأمن بالأمس (8 أبريل) Heartbleed لالتقاط أسماء المستخدمين وكلمات المرور عندما قام أشخاص عشوائيًا بتسجيل الدخول إلى حسابات Yahoo Mail الخاصة بهم. إذا كان الأخيار يفعلون ذلك ، يمكنك المراهنة على الأشرار أيضًا.

إذا استخدمت تركيبة اسم مستخدم وكلمة مرور Yahoo لتسجيل الدخول إلى حسابات أخرى عبر الإنترنت ، فقم بتغيير كلمات السر على تلك الحسابات أيضًا.

ضع في اعتبارك تغيير كلمات مرور Google و Facebook و Dropbox.

استخدمت كل من هذه الخدمات البرنامج المتأثر وأكدت أنها كانت عرضة لخلل Heartbleed في العامين الماضيين. (قم بالتمرير لأسفل لرؤية قائمة بالمواقع المتأثرة البارزة الأخرى.)

لم نسمع عن أي شخص يحاول استخدام Heartbleed ضد تلك الخدمات ، لكن أحد الأشياء الصعبة حول استغلال Heartbleed هو أنه لن يترك أي أثر. لن يعرف مسؤولو النظام ببساطة ما إذا كانوا قد تعرضوا للهجوم.

أكثر: Heartbleed: مكان تغيير كلمات المرور الخاصة بك

على جهازك المحمول ، سجّل الخروج من جميع التطبيقات ، ثم سجّل الدخول مرة أخرى.

تستخدم تطبيقات الأجهزة المحمولة رموز التفويض للحفاظ على تسجيل دخولك بشكل دائم إلى Gmail و Dropbox و Yahoo Mail وما إلى ذلك. كان بإمكان المهاجمين استخدام Heartbleed لالتقاط تلك الرموز والوصول إلى حسابك. ولكن تسجيل الخروج يدويًا من خدمات الهاتف المحمول هذه ، ثم تسجيل الدخول مرة أخرى بعد بضع دقائق ، سيؤدي إلى مسح تلك الرموز المميزة القديمة واستبدالها بأخرى جديدة.

إذا طلبت منك إحدى الخدمات تغيير كلمة مرورك ، فافعل ذلك.

يخلق Heartbleed فوضى لمسؤولي النظام ، وقد تستغرق بعض المواقع أيامًا لفرز كل شيء. حتى إذا قمت بتغيير كلمات المرور الخاصة بك الآن ، فقد لا تزال بعض المواقع تعمل على حل المشكلة وقد ترغب في القيام بذلك مرة أخرى الأسبوع المقبل.

إذا كان لديك كمبيوتر سطح مكتب Linux ، فقم بتحديث نظام التشغيل.

Ubuntu Linux ضعيف ، مما يعني أن مشتقاته Linux Mint و SteamOS ربما تكون كذلك. استخدمت توزيعات Linux الأخرى أيضًا البرنامج المتأثر ؛ تتوفر قائمة أكثر اكتمالا في Heartbleed.com.

قم بإعداد المصادقة ذات العاملين في كل مكان يمكنك.

المصادقة ذات العاملين ، والمعروفة أيضًا باسم المصادقة المكونة من خطوتين أو التحقق المكون من خطوتين ، تجعلك أدخل رمزًا تم إرساله إلى هاتفك المحمول في كل مرة تقوم فيها بتسجيل الدخول إلى خدمة من جهاز كمبيوتر جديد أو جهاز. ما لم يكن المهاجم ، حتى الشخص الذي استخدم Heartbleed لالتقاط اسم المستخدم وكلمة المرور الخاصين بك ، لديه حرفياً هاتفك ، فلن يتمكن من تسجيل الدخول.

تقدم كل من Google و Facebook و Twitter و Yahoo و Dropbox Microsoft و LinkedIn مصادقة ثنائية ، وتوفرها Apple لحسابات iTunes (ولكن ليس iCloud).

أكثر: كيفية تشغيل التحقق بخطوتين

تحقق من مواقع الويب بنفسك بحثًا عن نقاط ضعف Heartbleed.

ظهرت خدمات مختلفة للتحقق من مواقع الويب التي تأثرت بـ Heartbleed. هناك قائمة جمعها أمس مصطفى البسام ، مخترق LulzSec السابق ، تخبرك بأي من أفضل 10000 موقع على الويب معرضة لـ Heartbleed; هناك أيضا مدقق Heartbleed في الوقت الحقيقي يخبرك بالمواقع المعرضة للهجوم الآن ، وحتى ملحق متصفح Chrome يسمى كرومبليد بناء على هذا المدقق.

ومع ذلك ، لا يمكن لأي من هؤلاء إخبارك بما إذا كان أحد المواقع عرضة للهجوم في الماضي. لذلك ، استخدم أداة تقرير موقع Netcraft's. أدخل عنوان URL ثم تحقق من النتائج: ستبحث عن "امتدادات TLS المدعومة" ضمن عنوان "SSL / TLS". إذا تم إدراج "RFC6520 heartbeat" ، فهذا يعني أن الموقع معرض للخطر ويجب عليك التفكير في تغيير كلمة المرور الخاصة به.

(تحذير: اجتاز Facebook اختبار Netcraft ، ولكن أخبرنا ممثل Facebook أن الموقع استخدم بالفعل البرنامج المتأثر قبل الكشف عن خطأ Heartbleed.)

ننظر إلى الجانب المشرق.

صدق أو لا تصدق ، هناك بعض الأخبار الجيدة في كل هذا. لم تتأثر معظم الخوادم التي تشغل برامج Microsoft بـ Heartbleed ، ولم تتأثر أيضًا الكثير من المواقع الأخرى ، بما في ذلك Apple و Amazon و eBay و Paypal ومعظم البنوك الكبرى.

سيحظى مسؤولو الأنظمة بأسبوع حافل ، لكنها ستكون فرصة لهم لتنفيذ ترقيات أمنية أخرى كانوا يؤجلونها. يجب أن تفعل الشيء نفسه عن طريق إنشاء كلمات مرور جديدة وقوية لكل خدمة مهمة عبر الإنترنت تستخدمها ، وتنفيذ المصادقة الثنائية حيثما أمكنك ذلك. ضع في اعتبارك استخدام مدير كلمات المرور ، قطعة من البرامج يمكنها إنشاء وإدارة كلمات مرور قوية وفريدة من نوعها لكل حساب على الإنترنت لديك.

من كان ومن لم يتأثر بـ Heartbleed

مواقع وخدمات بارزة هاجمت علنًا باستخدام Heartbleed، التي يجب عليك تغيير كلمات المرور الخاصة بها: Yahoo ، وبالشراكة مع الشركات التابعة لها Flickr و Tumblr.

المواقع البارزة التي أرسلت رسائل بريد إلكتروني لتغيير كلمات المرور متعلقة بـ Heartbleed: آرس تكنيكا ، IFTTT.com.

المواقع والخدمات البارزة التي كانت عرضة لهجمات Heartbleed سابقًا، والتي ربما يتعين عليك تغيير كلمات المرور الخاصة بها: Blogger / Blogspot و Dropbox و Facebook و Electronic Frontier Foundation و Etsy و Google و Imgur و Instagram و Netflix و OKCupid و Pinterest و Stack Overflow و Wikipedia و Woot و Wordpress.com/Wordpress.org و موقع YouTube.

المواقع والخدمات البارزة التي لا يبدو أنها كانت عرضة لمخاطر Heartbleed (لكن لا يمكننا التأكد): Amazon و AOL و Apple و Ask.com و Bank of America و Bing و Buzzfeed و Capital One و Chase و CNET و Craigslist و eBay و ESPN و Evernote و GoDaddy و Hotmail ، HSBC و Huffington Post و Intuit و LinkedIn و Live.com و Microsoft و Newegg و The New York Times و PayPal و Reddit و Salesforce و Target و TD Bank و Twitter و Walmart و Wells Fargo و زيلو.

إذا كنت ترغب في الحصول على تفاصيل تقنية دموية حول ماهية Heartbleed وكيف يعمل ، فتفضل بزيارة Heartbleed.com ، واقرأ هذا تفسير ممتاز لكن كثيف لـ Heartbleed بواسطة الباحث الأمني ​​الأسترالي تروي هانت أو شاهد هذا الفيديو للباحث الأمني ​​ذو الفقار رمضان.

اتبع Paul Wagenseil في تضمين التغريدة. اتبع دليل توم على تضمين التغريدة، على موقع التواصل الاجتماعي الفيسبوك و على Google+.

  • أفضل برنامج مكافحة فيروسات للكمبيوتر الشخصي لعام 2014
  • كيفية تشفير الملفات والمجلدات الخاصة بك
  • أفضل 10 أدوات حظر الإعلانات وإضافات الخصوصية