இணையத்தை உலுக்கும் ஹார்ட்பிலீட்

heartbleedஹார்ட்பிலீட் என்றால் என்ன ? ஏன் இது இணைய உலகில் இத்தனை பரபரப்பை ஏற்படுத்தியிருக்கிறது என்ற கேள்விகள் உங்கள் மனதில் எழுந்திருக்கும். நீங்கள் அலட்சியம் செய்தாலும் கூட தொழில்நுட்ப இணையதளங்களும் செய்தி தளங்களும் ஹார்ட்பிலீட் பற்றி அலறிக்கொண்டிருப்பதை பார்த்து குழம்பியிருக்கலாம். அநேகமாக எல்லா முன்னணி தொழில்நுட்ப இணையதளங்களும் ஹார்ட்பிலீட் பற்றிய விளக்கத்தை வெளியிட்டுள்ளன. எல்லாவற்றிலுமே ,இது முழுமுழுக்க தொழில்நுட்பம் சார்ந்தது என்பதால் எளிதாக புரிந்து கொள்ள முடியாமல் குழப்பத்தை ஏற்படுத்தும் என்ற எச்சரிக்கை குறிப்புடன் முடிந்த வரை எளிதான விளக்கத்தை முன்வைத்துள்ளன.

புரியாத தொழில்நுட்பம் சார்ந்தது என்றாலும் பலவிதங்களில் சராசரி இணையவாசிகளை பாதிக்ககூடியது என்பதால் இது பற்றி தெரிந்து கொள்வது நலம்.

ஹார்ட்பிலீட் பற்றி ஒற்றை வரியில் சொல்வதானால் , இணையத்தில் பாதுகாப்பான தகவல் பரிமாற்றத்திற்காக பயன்படுத்தப்படும் சாப்ட்வேரில் ஏற்படுள்ள ஓட்டை . இந்த ஓட்டை வழியாக தாக்காளர்கள் பாஸ்வேர்டு முதல் கொண்டு கிரிடிட் கார்டு எண் வரை முக்கிய தகவல்களை களவாடிவிடக்கூடிய அபாயம் இருக்கிறது. இதில் மோசம் என்னவென்றால் இப்படி களவாடப்படுவது தெரியவே தெரியாது. 

இந்த அறிமுகம் எதையும் விளக்கவில்லை என்றால் இன்னும் விரிவாக பார்ப்போம். இணையத்தில் எப்போதும் ரகசிய கைகுலுக்கல்கள் நடந்து கொண்டே இருக்கின்றன. இந்த கைகுலுக்கல் தான் இணையத்தில் தகவல் பாதுகாப்பை உறுதி செய்கின்றன. உங்களது பிரவுசருக்கும் , சர்வருக்கும் இடையே இந்த டிஜிட்டல் குலுக்கல் நடக்கிறது. சாதாரணமாக இமெயிலுக்குள் நுழைய பாஸ்வேர்டு டைப் செய்வதில் இருந்து முக்கியமான தகவல்களை அனுப்பி வைப்பது வரை எல்லாவற்றையும் பாதுகாப்பாக மேற்கொள்ள இந்த கைகுலுக்கல் அவசியம். இந்த கைலுக்குகளின் போது என்ன நடக்கிறது என்றால் பிரவுசருக்கும் சர்வருக்கும் இடையே தொடர்பு உண்டாகிறது. பொதுவாக பாஸ்வேர்டு மற்றும் முக்கிய தகவல்கள் ( கிரிடிகார்டு எண்,வங்கி கணக்கி எண்) போன்றவை என்கிரிப்ட் செய்யப்பட்டு சங்கேத குறியீடுகளாக அனுப்பி வைக்கப்படுகின்றன. பிரவுசரில் இருந்து இந்த தகவல்கள் சர்வருக்கு போய் சேரும் போது , ஆம் சரியான இடத்தில் இருந்து தான் கோரிக்கை வந்திருக்கிறது என்பதை சர்வர் உறுதி செய்து கொண்டால் தான் இந்த பரிமாற்றத்தை அனுமதிக்கும் . அது தான் பாதுகாப்பாக இருக்கும். இல்லை என்றால் இணைய களவாணிகளுக்கு கொண்டாட்டமாகிவிடும். 

இந்த உறுதியை தான் டிஜிட்டல் கைகுலுக்கல் சாத்தியமாக்கிகிறது. அதாவது பிரவசரில் இருந்து ஒரு இணையதுடிப்பு கேட்கும். சர்வரில் இருந்து ஒரு இதயத்துடிப்பு கேட்கும். பரஸ்பரம் கேட்கப்ட்ட பின் பரிவரத்தனைக்கு பச்சைக்கொடி காட்டப்படும். 

இந்த டிஜிட்டல் சரிபார்த்தலை மேற்கொள்ள எஸ்.எஸ் .எல் மற்றும் டி.எஸ்.எல் ஆகிய இரண்டு முறை பயன்படுதின்றன. சாப்ட்வேர் என்று வைத்துக்கொள்ளுங்களேன். இந்த சாப்ட்வேர் ஓபன் சோர்ஸ் முறையில் செயல்படுகிறது. இது வரை இந்த முறை நன்றாக தான் செயல்பட்டுக்கொண்டிருந்தது. இனியும் செயல்படப்போகிறது. ஆனால் இதனிடையே இந்த சாப்ட்வேரில் ஒரு ஓட்டை இருப்பது தெரிய வந்துள்ளது. இந்த ஓட்டை வழியே இணைய கள்வாணிகள் கைவரிசை காட்டலாம் என்று இணைய உலகம் பதட்டப்படுகிறது. இந்த ஓட்டைக்கு தான் ஹார்ட்பிலீட் என்று பெயர் .

இந்த ஓட்டை இரண்டு ஆண்டுகளாக இருப்பதும் இது வரை கண்டுபிடிக்கப்படாமெலே இருப்பதும் தான் , ஹார்ட்பிலீட் வழக்கமான ஓட்டை அல்ல, வெறும் சாப்ட்
வேர் பேட்சால் இதை ஒட்டு சரி செய்து விட முடியாது என அலற வைத்துள்ளது. இரண்டு ஆண்டுகளுக்கும் மேலாக இருப்பதால் இதுவரை என்ன எல்லாம் நடந்த்தோ தெரியாது என்கின்றனர். கண்டுபிடிக்கப்படாமல் இருந்த்தால் இனியும் கூட களவாணிகள் தவறாக பயன்படுத்தினால் தெரியாமலே இருக்கலாம் என்பதால் ரிஸ்கோ ரிஸ்க் என்கின்றனர்.

விபரீதமான விஷயம்  என்றாலும் இதற்காக எஸ் எஸ் எல் முறையை குற்றம் சொல்வதற்கில்லை என்கின்றனர். ஓப்ன சோர்ஸ் மீதும் பழி போட வேண்டாம் என்கின்றனர். கோடு எழுதுவதில் ஏற்பட்ட பிழை தான் இதற்கு காரணம் என்கின்றனர்.

சரி, இதனால் என்ன ஆகும்? என்ன வேண்டுமானால் ஆகலாம். இமெயில் பாஸ்வேர்டு பறிபோகலாம். கிரிடிட் கார்டு விஷமிகள் கைக்கு போகலாம்.  இணைய பாதுகாப்பிற்கான ரகசிய திறவுகோள்கள் வேண்டாதவர்களிடம் கிடைத்தால் என்ன எல்லாம் நடக்குமோ அத்தனை விபரீதமும் நிகழலாம்.

சரி, இதை தடுக்க முடியாத?முடியும் . அதற்கான தீர்வுகளை முன்வைத்து வருகின்றனர். ஆனால் இணையவாசிகளால் நேரடியாக எதுவும் செய்ய முடியாது. இணைவாசிகளுக்கு சேவை வழங்கும் இணையதளங்கள் பாதிப்பு இருக்கிறதா என பார்த்து சரி செய்தாக வேண்டும். இணைவாசிகள் ஒரு பாதுகாப்பிற்காக தங்கள் பாஸ்வேர்டுகளை மாற்றிக்கொள்ளலாம். நீங்கள் பயன்படுத்தும் இணையதளத்திற்கு பாதிப்பு உண்டா என்று அறிந்து கொள்வதற்கான பட்டியலை மாஷபில் வெளியிட்டுள்ளது. இங்கே பார்க்காவும் ; http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

கண்ணில் படாமலே இருந்த இந்த சாப்ட்வேர் ஓட்டையை கோட்னோனிகான் எனும் இணைய பாதுகாப்பு நிறுவனம் கண்டுபிடித்துள்லது.கூகிள் பொறியாளர் ஒருவரும் இதை கண்டுபிடித்துள்ளார். இந்நிறுவனம் ( Codenomicon ) ஹார்ட்ப்லீடை விளக்க இதே பெயரில் இணையதளம் ஒன்றை அமைத்துள்ளது. ( http://heartbleed.com/) . கொஞ்சம் ரிஸ்க் எடுத்து படித்து புரிந்து கொள்ள பாருங்கள்.

இந்த கண்டுபிடிப்பாளர்களுக்கு ஒரு சபாஷ். ஹார்ட்பிலீட் பற்றிய விளக்க கட்டுரைகளில் இது கொஞ்சம் பரவாயில்லை: http://www.gizmodo.in/Gizmodo/Heartbleed-Why-the-Internets-Gaping-Security-Hole-Is-So-Scary/articleshow/33462151.cms

——

பி.கு; முற்றிலும் தொழில்நுட்பம் சார்ந்த விஷ்யத்தை அதன் பயன்பாடு கருதி இயன்றவரை புரிந்து கொள்ள முற்பட்டு அதை பகிர்ந்து கொண்டிருக்கிறேன். பயனுள்ளதாக உள்ளதா என சொல்லவும். தவிர பாஸ்வேர்டு மற்றும் பாதுகாப்பு பற்றி தொடர்ந்து எழுதி வருவதாலும் இந்த முக்கிய இணைய பாதுகாப்பு அச்சுறுத்தல் பற்றி பதிவு செய்திருக்கிறேன். சும்மாயில்லை நவீன் இணையவரலாற்றில் மிகப்பெரிய பாதுகாப்பு பிரச்சனை என்கின்றனர். 

 

————

பயனுள்ள இணையதளங்கள் பற்றிய விரிவான அறிமுகம் அடங்கிய எனது தொகுப்பு நூல்: http://www.dialforbooks.in/reviews/innaiyaththal-innaivom.html

9 thoughts on “இணையத்தை உலுக்கும் ஹார்ட்பிலீட்”

  1. ஹார்ட்பிலீட்…. முதன் முதலில் கேள்விப்படுகிறேன். இணையத்தைப் பயன்படுத்துவதில் இப்படிக்கூட பிரச்சினை இருக்கிறதா?

    பயனுள்ள தகவல்களுக்கு நன்றி.

    1. இன்றைய தேதியில் இணையத்தில் இந்த பிரச்ச்னை பற்றி தான் பிரதானமாக பேசுகின்றனர். இணையம் வளர வளர இது போன்ற பிரச்சனைகளும் வளரும். ஆனால் இதற்கான கண்கொத்தி பாம்பாக கண்காணித்து எச்சரிக்கும் இணைய பாதுகாப்பு நிபுணர்களை பாராட்ட வேண்டும்.

      அன்புடன் சிம்மன்

  2. We have to thank the google team and Codenomicon for this .. But anyway we can see some some patch file in internet for Open SSL fix

Leave a Reply

Your email address will not be published. Required fields are marked *