இதயத்தில் ஒரு கசிவு (Heart Bleed)

எப்பொருள் எத்தன்மைத் தாயினும் அப்பொருள்
மெய்ப்பொருள் காண்ப தறிவு
– திருக்குறள்

இன்றைய காலக்கட்டத்தில் மென்பொருள் பயன்பாடுகளுக்கு மேற்கண்ட குறள் மிகவும் பொருந்தும். பலரும் தங்கள் அறிவையும், நேரத்தையும் செலவிட்டு உருவாக்கும் மென்பொருட்களில், நாம் அறியாது இருக்கும் சிறு வழு (Bug) கூட வலுவானதாகி, மாபெரும் அச்சுறுத்தல் ஆகி விடுகிறது. அப்படி, சமீபத்தில் கண்டறியப்பட்டு உலகத்தையே ஒரு கலக்கு கலக்கிய பாதுகாப்பு குறைபாடுதான் இதயக் கசிவு (Heart Bleed) ஆகும்.

இதயக் கசிவு ஒரு வழு (Bug) மட்டுமே… நச்சுநிரல் (Virus) அல்ல!!!

heartbleed

இதயக் கசிவு (Heart Bleed) என்றால் என்ன?

Transport Layer Security (TLS) மற்றும் Secure Sockets Layer (SSL) ஆகியவை மறைகுறியீட்டு நெறிமுறைகள் (cryptographic protocols) ஆகும். இவை மின்னஞ்சல், அரட்டை செய்தி, உடன் செய்தி (IM), மெய்நிகர் தனியார் பிணையம் (Virtual Private Network) முதலிய பல இணையப் பயன்பாடுகளுக்குத் தொடர்புப் பாதுகாப்பு மற்றும் தகவல் பாதுகாப்பு ஆகியவற்றை வழங்குகின்றன.

இதயக் கசிவு (Heart Bleed) என்பது Open SSL என்னும் பாதுகாப்புக் கட்டமைப்பின் மறைகுறியீட்டு தகவலரங்கத்தில் உள்ள ஒரு வழு (Bug) ஆகும். இந்த வழுவைப் பயன்படுத்தி, SSL / TLS மூலம் பாதுகாக்கப்பட்ட இணையத் தகவல்களை யார் வேண்டுமானாலும் திருடலாம்.

இந்த வழுவைக் கொண்டு Open SSL பாதுகாப்பு பெறும் எந்தக் கருவியின் நினைவகத்தையும் படிக்கலாம். அப்படிப் பெறப்படும் தகவல்களுள் ரகசியக் குறியீடுகள், பயனர் பெயர், கடவுச்சொல் உட்பட அனைத்தும் அடங்கும். அதிகபட்சமாக 64 கி.பைட் தரவினைப் பெற முடியும்.

இதயம் கசிவது எப்படி?

நமது ஊரில் போட்டு வாங்குவது என்று சொல்வார்களே… அதே தான் இங்கும் நடக்கிறது.. சிலரது வாயைக் கிண்டினால், ஊர்க்கதை, உலகக் கதை எல்லாமே தானே வெளிவரும். உங்களுக்குத் தெரிந்தவற்றை விட தெரியாதவை அதிகம் இருக்க வாய்ப்பு உண்டு. இது தான் கசிவிற்கு காரணம்.

madhan_comedy1

உதாரணமாக, பயணம் செய்யும்போது, அருகில் இருப்பவரிடம் பேச்சு கொடுக்கிறீர்கள். முதலில் அளவாகப் பேசுபவர்கள் முதலில் அளவாக பேசுபவர்கள் ஒரு கட்டத்திற்கு மேல், பக்கத்து வீட்டு பாட்டி பாமாயில் வாங்கியதில் துவங்கி, எதிர் வீட்டு ஏகாம்பரம் ஏரோப்பிளேனில் ஏறியது வரை பேசுவார்கள்.

இதே நிலைதான் இதயக் கசிவு மூலம் இணையத்தில் ஏற்படுகிறது. அதனை எளிதாய் விளக்கும் ஒரு படத்தைக் கீழே காணலாம்.

Simplified_Heartbleed_explanation.svg

கண்டறிந்தவர்கள்:
‘முட்டாள்கள் தினம்’ என்று உலகெங்கும் கொண்டாடப்படும் ஏப்ரல் 1 (2014) அன்றுதான் பலரையும் முட்டாள் ஆக்கிய இந்த வழு கண்டறியப்பட்டது. கூகிள் நிறுவனத்தின் பாதுகாப்புத் துறையில் இருக்கும் நீல் மேத்தா (Neel Mehta) இதனைக் கண்டறிந்தார்.
அதே நேரத்தில், Codenomicon என்னும் நிறுவனத்தில் உள்ள ஒரு பொறியாளர் ஒருவரும் தனியாக இதனைக் கண்டறிந்தார். தாங்களே உள்நுழைத் தாக்குனர்களாக மாறி (Crackers) சோதனை செய்த போது Codenomicon இந்தக் குறைபாட்டினைக் கண்டறிந்தது. மேலும், இதனைப் பற்றி பலரும் அறியும் பொருட்டு, இதயக் கசிவு பற்றிய வலைப்பக்கத்தையும் (heartbleed.com), அதற்கென ஒரு சின்னத்தையும் (Logo) உருவாக்கியது.

நோய்வாய்ப்பட்டவர்கள்:

இந்த வழுவின் மூலம் பாதிக்கப்பட்ட பயன்பாடுகள் ஏராளம். அவற்றில் திறவூற்றுப் பயன்பாடுகள், காப்புரிமைப் பயன்பாடுகள் என்று எந்த வேறுபாடும் இல்லை.

இன்று பரவலாக உலா வரும் ஆண்ட்ராய்ட் (Android) சாதனங்களில் Jellybean எனப்படும் Android 4.1.1 இயங்குதளம் இருக்கும் அனைத்துக் கருவிகளும் அந்த வழுவால் பாதிக்கப்பட்டு இருக்கின்றன.

GitHub, Source Forge, Wikipedia, Yahoo!, Pinterest, Tumblr, Amazon,Reddit, Imgur, Stack Overflow, DuckDuckGo முக்கிய இணையத்தளங்களும் பாதிக்கப்பட்டவைகளில் வர்களில் அடக்கம். McAfee நச்சுநிரல் நீக்கியும் இதற்குத் தப்பவில்லை.
Steam போன்ற விளையாட்டுகள், Libre Office 4.2.2, Vmware முதலியவையும் பாதிக்கப்பட்டுள்ளன.

கசிந்தவை:

ஏப்ரல் 8, 2014 அன்று கனடாவின் வருவாய்த் துறை (Canada Revenue Agency) தனது தரவுதளத்தில் உள்ள சுமார் 900 வரிதாரர்களின் (Tax Payers) தகவல் திருடப்பட்டு விட்டதாக அறிவித்தது. இதனைத் தடுக்க, தீர்வு வரும் வரை, தனது வலைத்தளத்தை மூடி விட்டது. மேலும், வரி கட்டுவதற்கான காலக்கெடுவையும் நீட்டித்தது.

Screen Shot 2014-04-09 at 12.41.43 PM.jpg

அமெரிக்காவின் தேசியப் பாதுகாப்பு ஆணையத்திற்கு (National Security Agency – NSA) இந்தக் கசிவைப் பற்றி முன்பே தெரிந்திருக்கக்கூடுமோ என்ற அச்சமும் ஏற்படுகிறது. NSA இந்த ஓட்டையைப் பயன்படுத்தித் தகவல்களைத் திருடினார்களா என்று யாருக்கும் தெரியவில்லை. NSA இதனை மறுத்தாலும், அவர்கள் கூற்றை யாரும் நம்புவதற்கில்லை என்ற கருத்தும் நிலவுகிறது.

கசிவைத் தடுத்தல்:

இதயக் கசிவைத் தடுப்பதற்கான நிரல் கட்டளைகள் எழுதப்பட்டு விட்டன. மாற்றங்களை git.openssl.org என்னும் முகவரியில் காணலாம். மாற்றங்களை உள்ளடக்கிய OpenSSL 1.0.1g வெளியாகியுள்ளது.
எனினும், இந்த மாற்றங்களால் எதிர்காலத்தில் நடப்பதை மட்டுமே தடுக்க இயலும். எனவே, பயனர்கள் தங்கள் கடவுச்சொற்களையும், ரகசியக் குறியீடுகளையும் மாற்றிக் கொள்வது நல்லது.

நக்கலும், பதிலும் :

இணைய நண்பர் ஒருவர், ” Heart Bleed போன்ற அபாயகர Bug எல்லாம் Open Source இல் இருக்கு. அதனை எப்படி நம்புவது?” என்று கேட்டார்.. ‘Open Source ஆக இருந்ததால் தான் யாரோ செய்த பிழையை வேறு ஒருவரால் கண்டறிய முடிந்தது. அதற்கான தீர்வை இன்னொருவரால் விரைவாக கொடுக்க முடிந்தது. உங்கள் Licensed Software இல் இருக்கும் பிழைகளுக்கு இது சாத்தியமா?” என்று கேட்டேன். என்ன…. நான் கேட்டது சரி தானே?

நன்றி:

Heart Bleed இணையதளம்
விக்கிபீடியா கட்டுரை
Hacker News

கார்டூனிஸ்ட் மதன் அவர்கள்
கூகிள் தேடல்

%d bloggers like this: