علوم وتكنولوجيا

أمريكا تنفي استغلال "الأمن القومي" لثغرة بالإنترنت

(تعبيرية)

قال البيت الأبيض ووكالات المخابرات الأمريكية، الجمعة، إن وكالة الأمن القومي أو أي جزء آخر من الحكومة لم يكونوا على دراية قبل هذا الشهر بوجود ثغرة "هارتبيلد Heartbleed"، ونفيا تقريرا يقول إن وكالة التجسس استغلت الخلل في استخدام تقنية تشفير على الإنترنت تستخدم على نطاق واسع لجمع معلومات مخابرات.

وأصدر البيت الأبيض ووكالة الأمن القومي ومكتب مدير المخابرات القومية بيانات، بعدما قالت بلومبرج في تقرير إن وكالة المخابرات القومية على دراية بالثغرة منذ عامين على الأقل، واستغلتها للحصول على كلمات سر ومعلومات رئيسية أخرى استخدمت في عمليات تسلل.

واستشهد تقرير بلومبرج بمصدرين لم يذكر اسميهما، قال إنهما مطلعان على الموضوع.

وتعد ثغرة هارتبيلد واحدة من أخطر العيوب في أمن الإنترنت التي تكتشف في السنوات الأخيرة.

وقالت المتحدثة باسم مجلس الأمن القومي التابع للبيت الأبيض، كيتلين هايدن، في بيان إن "التقارير التي تقول إن وكالة الأمن القومي أو أي جزء آخر من الحكومة كان على دراية بما يسمى بضعف هارتبليد قبل أبريل 2014 خاطئة".

وأضافت هايدن: "تأخذ هذه الإدارة بجدية مسؤوليتها للمساعدة في الحفاظ على إنترنت مفتوح وقابل للتبادل واستخدام المعلومات وآمن وجدير بالثقة".

ولم يمكن التوصل إلى بلومبرج على الفور للحصول على تعليق.

وحث اكتشاف باحثين يعملون في شركة "جوجل" وشركة أمن صغيرة هي "كودنوميكون لهارتبيلد" وزارة الأمن الداخلي الأمريكية على تحذير الشركات، الخميس، لمراجعة خوادمهم لرؤية إذا ما كانوا يستخدمون نسخا ضعيفة من البرنامج المستخدم على نطاق واسع والمعروف باسم (اوبن إس إس إل OpenSSL)، ويستخدم (اوبن إس إس إل) لتشفير البريد الإلكتروني واتصالات أخرى ولحماية مواقع الإنترنت الخاصة بشركات الإنترنت الكبرى، بما في ذلك "فيسبوك" و"جوجل" و"ياهو".

وسمحت الثغرة التي اكتشفت الاثنين للمتسللين بسرقة بيانات دون اقتفاء أثر.

وتسارع شركات التكنولوجيا الآن لتحديد الأجزاء المعرضة للخطر من شفرة (أوبن إس إس إل) في قطاعات أخرى من بينها خوادم البريد الإلكتروني وأجهزة الكمبيوتر الشخصية العادية والهواتف.

وسارعت شركات مثل "سيسكو سيستمز" و"انتل" لإجراء عمليات تحديث للحماية من التهديد محذرة الزبائن من أنهم قد يكونون معرضين للخطر.

وجددت وكالة الأمن القومي الأميركية -التي كشف مستشارها السابق ادوارد سنودن العام الماضي عن قيامها بالتجسس على الإنترنت على نطاق واسع- رسميا نفيها أن تكون على علم بالثغرة أو استغلتها.

وأقر غاييه بأنه "ليس من السهل بعد مرور الوقت معرفة ما إذا تم استغلال الثغرة"، لأن ذلك "لا يترك أثرا على الملفات".

وعليه فإن قائمة الضحايا المفترضين طويلة جدا. ومن بين خدمات الإنترنت فإن مجموعة "ياهو!" و"غوغل" وشبكة "فيسبوك" و"إنستاغرام" لتقاسم الصور وموقع تسجيلات الفيديو "نتفليكس" وأيضا منصة لاستضافة المواقع "آير بي إن بي"، أكدت جميعها أنها اجرت مراجعة أمنية لمواقعها.

وأكد موقع "أمازون.كوم" وشبكة "لينكد إن" أنهما لم يتأثرا.

وأكدت "آبل" أن نظامي التشغيل لديها "آي أو أس" و"أو أس إكس" و"خدماتها على الإنترنت" لم تتأثر.

وكذلك الأمر بالنسبة إلى "غالبية" خدمات مايكروسوفت من ضمنها نظام "آوتلوك" للبريد الإلكتروني و"سكايب" للاتصال عبر الفيديو ومجموعة أنظمة "أوفس 365".

خطر الثغرة على المصارف الأمريكية

إلى جانب كبرى المواقع على النت، فإن المصارف الأميركية دعيت هي الأخرى إلى "إجراء مراجعة سريعة".

وأعلن مصرف "جاي بي مورغان"، الجمعة، أن مستخدمي موقعه بأمان.

وأوضح خبير الأمن لدى "نيو أميركا فاونديشن" ، تيم مورر، أن "المجموعات الكبرى تمكنت من حل المشكلة سريعا".

وأضاف "المؤسسات المتوسطة والصغيرة قد لا يكون لديها بالضرورة الإمكانات أو الخبراء لتحديث أنظمتها بسرعة".

والسبب الآخر الذي يثير مخاوف من أن المشكلة قد يكون حلها أصعب مما يبدو، هو إعلان شركات تزود بنى تحتية للشبكات المعلوماتية والاتصالات مثل "سيسكو" و"جانيبر" أن أنظمتها يمكن أن تتأثر بهذه الثغرة.

وإذا كان "غوغل" أعلن أن مستخدميه "ليسوا بحاجة لتغيير كلمات السر"، إلا أن العديد من الخبراء ينصحون بالقيام بذلك.

وأعلن موقع "فيسبوك" أنه "لم يرصد أي نشاط مشبوه" لكنه اقترح على منتسبيه "استغلال الفرصة ... لاعتماد كلمة سر فريدة بموقع فيسبوك لا يستخدمونها في أماكن أخرى على النت".

واقترح "ياهو!" إعطاء رقم هاتف كوسيلة ثانوية للتعريف عن النفس.

إلا أن خبير الأمن المعلوماتي، غراهام كلالي، حذر على موقعه من أن تغيير كل كلمات السر دون تمييز "نصيحة غير مفيدة".

وقال: "يجب فقط أن نغير كلمات السر في المواقع التي أكدت أنها حلت المشكلة. أما تغيير كل كلمات السر من شأنه أن يزيد من مخاطر أن يرصد قراصنة يريدون استغلال الثغرة لمعلوماتكم السرية".

وأضاف أن البعض يمكن أن يستغلوا "هارتبليد" لإجراء محاولات "فيشينغ"، أو إرسال رسائل إلكترونية تطلب تغيير كلمة السر، لكنها تحيل على نسخة مزيفة من المواقع الشعبية المعروفة.

وينصح الخبراء أيضا مستخدمي الإنترنت بمراقبة حساباتهم المصرفية لرصد أي معاملات مشبوهة.