Tag Archives: bug

இணையத்தை உலுக்கும் ஹார்ட்பிலீட்

heartbleedஹார்ட்பிலீட் என்றால் என்ன ? ஏன் இது இணைய உலகில் இத்தனை பரபரப்பை ஏற்படுத்தியிருக்கிறது என்ற கேள்விகள் உங்கள் மனதில் எழுந்திருக்கும். நீங்கள் அலட்சியம் செய்தாலும் கூட தொழில்நுட்ப இணையதளங்களும் செய்தி தளங்களும் ஹார்ட்பிலீட் பற்றி அலறிக்கொண்டிருப்பதை பார்த்து குழம்பியிருக்கலாம். அநேகமாக எல்லா முன்னணி தொழில்நுட்ப இணையதளங்களும் ஹார்ட்பிலீட் பற்றிய விளக்கத்தை வெளியிட்டுள்ளன. எல்லாவற்றிலுமே ,இது முழுமுழுக்க தொழில்நுட்பம் சார்ந்தது என்பதால் எளிதாக புரிந்து கொள்ள முடியாமல் குழப்பத்தை ஏற்படுத்தும் என்ற எச்சரிக்கை குறிப்புடன் முடிந்த வரை எளிதான விளக்கத்தை முன்வைத்துள்ளன.

புரியாத தொழில்நுட்பம் சார்ந்தது என்றாலும் பலவிதங்களில் சராசரி இணையவாசிகளை பாதிக்ககூடியது என்பதால் இது பற்றி தெரிந்து கொள்வது நலம்.

ஹார்ட்பிலீட் பற்றி ஒற்றை வரியில் சொல்வதானால் , இணையத்தில் பாதுகாப்பான தகவல் பரிமாற்றத்திற்காக பயன்படுத்தப்படும் சாப்ட்வேரில் ஏற்படுள்ள ஓட்டை . இந்த ஓட்டை வழியாக தாக்காளர்கள் பாஸ்வேர்டு முதல் கொண்டு கிரிடிட் கார்டு எண் வரை முக்கிய தகவல்களை களவாடிவிடக்கூடிய அபாயம் இருக்கிறது. இதில் மோசம் என்னவென்றால் இப்படி களவாடப்படுவது தெரியவே தெரியாது. 

இந்த அறிமுகம் எதையும் விளக்கவில்லை என்றால் இன்னும் விரிவாக பார்ப்போம். இணையத்தில் எப்போதும் ரகசிய கைகுலுக்கல்கள் நடந்து கொண்டே இருக்கின்றன. இந்த கைகுலுக்கல் தான் இணையத்தில் தகவல் பாதுகாப்பை உறுதி செய்கின்றன. உங்களது பிரவுசருக்கும் , சர்வருக்கும் இடையே இந்த டிஜிட்டல் குலுக்கல் நடக்கிறது. சாதாரணமாக இமெயிலுக்குள் நுழைய பாஸ்வேர்டு டைப் செய்வதில் இருந்து முக்கியமான தகவல்களை அனுப்பி வைப்பது வரை எல்லாவற்றையும் பாதுகாப்பாக மேற்கொள்ள இந்த கைகுலுக்கல் அவசியம். இந்த கைலுக்குகளின் போது என்ன நடக்கிறது என்றால் பிரவுசருக்கும் சர்வருக்கும் இடையே தொடர்பு உண்டாகிறது. பொதுவாக பாஸ்வேர்டு மற்றும் முக்கிய தகவல்கள் ( கிரிடிகார்டு எண்,வங்கி கணக்கி எண்) போன்றவை என்கிரிப்ட் செய்யப்பட்டு சங்கேத குறியீடுகளாக அனுப்பி வைக்கப்படுகின்றன. பிரவுசரில் இருந்து இந்த தகவல்கள் சர்வருக்கு போய் சேரும் போது , ஆம் சரியான இடத்தில் இருந்து தான் கோரிக்கை வந்திருக்கிறது என்பதை சர்வர் உறுதி செய்து கொண்டால் தான் இந்த பரிமாற்றத்தை அனுமதிக்கும் . அது தான் பாதுகாப்பாக இருக்கும். இல்லை என்றால் இணைய களவாணிகளுக்கு கொண்டாட்டமாகிவிடும். 

இந்த உறுதியை தான் டிஜிட்டல் கைகுலுக்கல் சாத்தியமாக்கிகிறது. அதாவது பிரவசரில் இருந்து ஒரு இணையதுடிப்பு கேட்கும். சர்வரில் இருந்து ஒரு இதயத்துடிப்பு கேட்கும். பரஸ்பரம் கேட்கப்ட்ட பின் பரிவரத்தனைக்கு பச்சைக்கொடி காட்டப்படும். 

இந்த டிஜிட்டல் சரிபார்த்தலை மேற்கொள்ள எஸ்.எஸ் .எல் மற்றும் டி.எஸ்.எல் ஆகிய இரண்டு முறை பயன்படுதின்றன. சாப்ட்வேர் என்று வைத்துக்கொள்ளுங்களேன். இந்த சாப்ட்வேர் ஓபன் சோர்ஸ் முறையில் செயல்படுகிறது. இது வரை இந்த முறை நன்றாக தான் செயல்பட்டுக்கொண்டிருந்தது. இனியும் செயல்படப்போகிறது. ஆனால் இதனிடையே இந்த சாப்ட்வேரில் ஒரு ஓட்டை இருப்பது தெரிய வந்துள்ளது. இந்த ஓட்டை வழியே இணைய கள்வாணிகள் கைவரிசை காட்டலாம் என்று இணைய உலகம் பதட்டப்படுகிறது. இந்த ஓட்டைக்கு தான் ஹார்ட்பிலீட் என்று பெயர் .

இந்த ஓட்டை இரண்டு ஆண்டுகளாக இருப்பதும் இது வரை கண்டுபிடிக்கப்படாமெலே இருப்பதும் தான் , ஹார்ட்பிலீட் வழக்கமான ஓட்டை அல்ல, வெறும் சாப்ட்
வேர் பேட்சால் இதை ஒட்டு சரி செய்து விட முடியாது என அலற வைத்துள்ளது. இரண்டு ஆண்டுகளுக்கும் மேலாக இருப்பதால் இதுவரை என்ன எல்லாம் நடந்த்தோ தெரியாது என்கின்றனர். கண்டுபிடிக்கப்படாமல் இருந்த்தால் இனியும் கூட களவாணிகள் தவறாக பயன்படுத்தினால் தெரியாமலே இருக்கலாம் என்பதால் ரிஸ்கோ ரிஸ்க் என்கின்றனர்.

விபரீதமான விஷயம்  என்றாலும் இதற்காக எஸ் எஸ் எல் முறையை குற்றம் சொல்வதற்கில்லை என்கின்றனர். ஓப்ன சோர்ஸ் மீதும் பழி போட வேண்டாம் என்கின்றனர். கோடு எழுதுவதில் ஏற்பட்ட பிழை தான் இதற்கு காரணம் என்கின்றனர்.

சரி, இதனால் என்ன ஆகும்? என்ன வேண்டுமானால் ஆகலாம். இமெயில் பாஸ்வேர்டு பறிபோகலாம். கிரிடிட் கார்டு விஷமிகள் கைக்கு போகலாம்.  இணைய பாதுகாப்பிற்கான ரகசிய திறவுகோள்கள் வேண்டாதவர்களிடம் கிடைத்தால் என்ன எல்லாம் நடக்குமோ அத்தனை விபரீதமும் நிகழலாம்.

சரி, இதை தடுக்க முடியாத?முடியும் . அதற்கான தீர்வுகளை முன்வைத்து வருகின்றனர். ஆனால் இணையவாசிகளால் நேரடியாக எதுவும் செய்ய முடியாது. இணைவாசிகளுக்கு சேவை வழங்கும் இணையதளங்கள் பாதிப்பு இருக்கிறதா என பார்த்து சரி செய்தாக வேண்டும். இணைவாசிகள் ஒரு பாதுகாப்பிற்காக தங்கள் பாஸ்வேர்டுகளை மாற்றிக்கொள்ளலாம். நீங்கள் பயன்படுத்தும் இணையதளத்திற்கு பாதிப்பு உண்டா என்று அறிந்து கொள்வதற்கான பட்டியலை மாஷபில் வெளியிட்டுள்ளது. இங்கே பார்க்காவும் ; http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

கண்ணில் படாமலே இருந்த இந்த சாப்ட்வேர் ஓட்டையை கோட்னோனிகான் எனும் இணைய பாதுகாப்பு நிறுவனம் கண்டுபிடித்துள்லது.கூகிள் பொறியாளர் ஒருவரும் இதை கண்டுபிடித்துள்ளார். இந்நிறுவனம் ( Codenomicon ) ஹார்ட்ப்லீடை விளக்க இதே பெயரில் இணையதளம் ஒன்றை அமைத்துள்ளது. ( http://heartbleed.com/) . கொஞ்சம் ரிஸ்க் எடுத்து படித்து புரிந்து கொள்ள பாருங்கள்.

இந்த கண்டுபிடிப்பாளர்களுக்கு ஒரு சபாஷ். ஹார்ட்பிலீட் பற்றிய விளக்க கட்டுரைகளில் இது கொஞ்சம் பரவாயில்லை: http://www.gizmodo.in/Gizmodo/Heartbleed-Why-the-Internets-Gaping-Security-Hole-Is-So-Scary/articleshow/33462151.cms

——

பி.கு; முற்றிலும் தொழில்நுட்பம் சார்ந்த விஷ்யத்தை அதன் பயன்பாடு கருதி இயன்றவரை புரிந்து கொள்ள முற்பட்டு அதை பகிர்ந்து கொண்டிருக்கிறேன். பயனுள்ளதாக உள்ளதா என சொல்லவும். தவிர பாஸ்வேர்டு மற்றும் பாதுகாப்பு பற்றி தொடர்ந்து எழுதி வருவதாலும் இந்த முக்கிய இணைய பாதுகாப்பு அச்சுறுத்தல் பற்றி பதிவு செய்திருக்கிறேன். சும்மாயில்லை நவீன் இணையவரலாற்றில் மிகப்பெரிய பாதுகாப்பு பிரச்சனை என்கின்றனர். 

 

————

பயனுள்ள இணையதளங்கள் பற்றிய விரிவான அறிமுகம் அடங்கிய எனது தொகுப்பு நூல்: http://www.dialforbooks.in/reviews/innaiyaththal-innaivom.html