இணையத்தை உலுக்கும் ஹார்ட்பிலீட்

heartbleedஹார்ட்பிலீட் என்றால் என்ன ? ஏன் இது இணைய உலகில் இத்தனை பரபரப்பை ஏற்படுத்தியிருக்கிறது என்ற கேள்விகள் உங்கள் மனதில் எழுந்திருக்கும். நீங்கள் அலட்சியம் செய்தாலும் கூட தொழில்நுட்ப இணையதளங்களும் செய்தி தளங்களும் ஹார்ட்பிலீட் பற்றி அலறிக்கொண்டிருப்பதை பார்த்து குழம்பியிருக்கலாம். அநேகமாக எல்லா முன்னணி தொழில்நுட்ப இணையதளங்களும் ஹார்ட்பிலீட் பற்றிய விளக்கத்தை வெளியிட்டுள்ளன. எல்லாவற்றிலுமே ,இது முழுமுழுக்க தொழில்நுட்பம் சார்ந்தது என்பதால் எளிதாக புரிந்து கொள்ள முடியாமல் குழப்பத்தை ஏற்படுத்தும் என்ற எச்சரிக்கை குறிப்புடன் முடிந்த வரை எளிதான விளக்கத்தை முன்வைத்துள்ளன.

புரியாத தொழில்நுட்பம் சார்ந்தது என்றாலும் பலவிதங்களில் சராசரி இணையவாசிகளை பாதிக்ககூடியது என்பதால் இது பற்றி தெரிந்து கொள்வது நலம்.

ஹார்ட்பிலீட் பற்றி ஒற்றை வரியில் சொல்வதானால் , இணையத்தில் பாதுகாப்பான தகவல் பரிமாற்றத்திற்காக பயன்படுத்தப்படும் சாப்ட்வேரில் ஏற்படுள்ள ஓட்டை . இந்த ஓட்டை வழியாக தாக்காளர்கள் பாஸ்வேர்டு முதல் கொண்டு கிரிடிட் கார்டு எண் வரை முக்கிய தகவல்களை களவாடிவிடக்கூடிய அபாயம் இருக்கிறது. இதில் மோசம் என்னவென்றால் இப்படி களவாடப்படுவது தெரியவே தெரியாது. 

இந்த அறிமுகம் எதையும் விளக்கவில்லை என்றால் இன்னும் விரிவாக பார்ப்போம். இணையத்தில் எப்போதும் ரகசிய கைகுலுக்கல்கள் நடந்து கொண்டே இருக்கின்றன. இந்த கைகுலுக்கல் தான் இணையத்தில் தகவல் பாதுகாப்பை உறுதி செய்கின்றன. உங்களது பிரவுசருக்கும் , சர்வருக்கும் இடையே இந்த டிஜிட்டல் குலுக்கல் நடக்கிறது. சாதாரணமாக இமெயிலுக்குள் நுழைய பாஸ்வேர்டு டைப் செய்வதில் இருந்து முக்கியமான தகவல்களை அனுப்பி வைப்பது வரை எல்லாவற்றையும் பாதுகாப்பாக மேற்கொள்ள இந்த கைகுலுக்கல் அவசியம். இந்த கைலுக்குகளின் போது என்ன நடக்கிறது என்றால் பிரவுசருக்கும் சர்வருக்கும் இடையே தொடர்பு உண்டாகிறது. பொதுவாக பாஸ்வேர்டு மற்றும் முக்கிய தகவல்கள் ( கிரிடிகார்டு எண்,வங்கி கணக்கி எண்) போன்றவை என்கிரிப்ட் செய்யப்பட்டு சங்கேத குறியீடுகளாக அனுப்பி வைக்கப்படுகின்றன. பிரவுசரில் இருந்து இந்த தகவல்கள் சர்வருக்கு போய் சேரும் போது , ஆம் சரியான இடத்தில் இருந்து தான் கோரிக்கை வந்திருக்கிறது என்பதை சர்வர் உறுதி செய்து கொண்டால் தான் இந்த பரிமாற்றத்தை அனுமதிக்கும் . அது தான் பாதுகாப்பாக இருக்கும். இல்லை என்றால் இணைய களவாணிகளுக்கு கொண்டாட்டமாகிவிடும். 

இந்த உறுதியை தான் டிஜிட்டல் கைகுலுக்கல் சாத்தியமாக்கிகிறது. அதாவது பிரவசரில் இருந்து ஒரு இணையதுடிப்பு கேட்கும். சர்வரில் இருந்து ஒரு இதயத்துடிப்பு கேட்கும். பரஸ்பரம் கேட்கப்ட்ட பின் பரிவரத்தனைக்கு பச்சைக்கொடி காட்டப்படும். 

இந்த டிஜிட்டல் சரிபார்த்தலை மேற்கொள்ள எஸ்.எஸ் .எல் மற்றும் டி.எஸ்.எல் ஆகிய இரண்டு முறை பயன்படுதின்றன. சாப்ட்வேர் என்று வைத்துக்கொள்ளுங்களேன். இந்த சாப்ட்வேர் ஓபன் சோர்ஸ் முறையில் செயல்படுகிறது. இது வரை இந்த முறை நன்றாக தான் செயல்பட்டுக்கொண்டிருந்தது. இனியும் செயல்படப்போகிறது. ஆனால் இதனிடையே இந்த சாப்ட்வேரில் ஒரு ஓட்டை இருப்பது தெரிய வந்துள்ளது. இந்த ஓட்டை வழியே இணைய கள்வாணிகள் கைவரிசை காட்டலாம் என்று இணைய உலகம் பதட்டப்படுகிறது. இந்த ஓட்டைக்கு தான் ஹார்ட்பிலீட் என்று பெயர் .

இந்த ஓட்டை இரண்டு ஆண்டுகளாக இருப்பதும் இது வரை கண்டுபிடிக்கப்படாமெலே இருப்பதும் தான் , ஹார்ட்பிலீட் வழக்கமான ஓட்டை அல்ல, வெறும் சாப்ட்வேர் பேட்சால் இதை ஒட்டு சரி செய்து விட முடியாது என அலற வைத்துள்ளது. இரண்டு ஆண்டுகளுக்கும் மேலாக இருப்பதால் இதுவரை என்ன எல்லாம் நடந்த்தோ தெரியாது என்கின்றனர். கண்டுபிடிக்கப்படாமல் இருந்த்தால் இனியும் கூட களவாணிகள் தவறாக பயன்படுத்தினால் தெரியாமலே இருக்கலாம் என்பதால் ரிஸ்கோ ரிஸ்க் என்கின்றனர்.

விபரீதமான விஷயம்  என்றாலும் இதற்காக எஸ் எஸ் எல் முறையை குற்றம் சொல்வதற்கில்லை என்கின்றனர். ஓப்ன சோர்ஸ் மீதும் பழி போட வேண்டாம் என்கின்றனர். கோடு எழுதுவதில் ஏற்பட்ட பிழை தான் இதற்கு காரணம் என்கின்றனர்.

சரி, இதனால் என்ன ஆகும்? என்ன வேண்டுமானால் ஆகலாம். இமெயில் பாஸ்வேர்டு பறிபோகலாம். கிரிடிட் கார்டு விஷமிகள் கைக்கு போகலாம்.  இணைய பாதுகாப்பிற்கான ரகசிய திறவுகோள்கள் வேண்டாதவர்களிடம் கிடைத்தால் என்ன எல்லாம் நடக்குமோ அத்தனை விபரீதமும் நிகழலாம்.

சரி, இதை தடுக்க முடியாத?முடியும் . அதற்கான தீர்வுகளை முன்வைத்து வருகின்றனர். ஆனால் இணையவாசிகளால் நேரடியாக எதுவும் செய்ய முடியாது. இணைவாசிகளுக்கு சேவை வழங்கும் இணையதளங்கள் பாதிப்பு இருக்கிறதா என பார்த்து சரி செய்தாக வேண்டும். இணைவாசிகள் ஒரு பாதுகாப்பிற்காக தங்கள் பாஸ்வேர்டுகளை மாற்றிக்கொள்ளலாம். நீங்கள் பயன்படுத்தும் இணையதளத்திற்கு பாதிப்பு உண்டா என்று அறிந்து கொள்வதற்கான பட்டியலை மாஷபில் வெளியிட்டுள்ளது. இங்கே பார்க்காவும் ; http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

கண்ணில் படாமலே இருந்த இந்த சாப்ட்வேர் ஓட்டையை கோட்னோனிகான் எனும் இணைய பாதுகாப்பு நிறுவனம் கண்டுபிடித்துள்லது.கூகிள் பொறியாளர் ஒருவரும் இதை கண்டுபிடித்துள்ளார். இந்நிறுவனம் ( Codenomicon ) ஹார்ட்ப்லீடை விளக்க இதே பெயரில் இணையதளம் ஒன்றை அமைத்துள்ளது. ( http://heartbleed.com/) . கொஞ்சம் ரிஸ்க் எடுத்து படித்து புரிந்து கொள்ள பாருங்கள்.

இந்த கண்டுபிடிப்பாளர்களுக்கு ஒரு சபாஷ். ஹார்ட்பிலீட் பற்றிய விளக்க கட்டுரைகளில் இது கொஞ்சம் பரவாயில்லை: http://www.gizmodo.in/Gizmodo/Heartbleed-Why-the-Internets-Gaping-Security-Hole-Is-So-Scary/articleshow/33462151.cms

——

பி.கு; முற்றிலும் தொழில்நுட்பம் சார்ந்த விஷ்யத்தை அதன் பயன்பாடு கருதி இயன்றவரை புரிந்து கொள்ள முற்பட்டு அதை பகிர்ந்து கொண்டிருக்கிறேன். பயனுள்ளதாக உள்ளதா என சொல்லவும். தவிர பாஸ்வேர்டு மற்றும் பாதுகாப்பு பற்றி தொடர்ந்து எழுதி வருவதாலும் இந்த முக்கிய இணைய பாதுகாப்பு அச்சுறுத்தல் பற்றி பதிவு செய்திருக்கிறேன். சும்மாயில்லை நவீன் இணையவரலாற்றில் மிகப்பெரிய பாதுகாப்பு பிரச்சனை என்கின்றனர். 

 

————

பயனுள்ள இணையதளங்கள் பற்றிய விரிவான அறிமுகம் அடங்கிய எனது தொகுப்பு நூல்: http://www.dialforbooks.in/reviews/innaiyaththal-innaivom.html

Advertisements

9 responses to “இணையத்தை உலுக்கும் ஹார்ட்பிலீட்

  1. ஹார்ட்பிலீட்…. முதன் முதலில் கேள்விப்படுகிறேன். இணையத்தைப் பயன்படுத்துவதில் இப்படிக்கூட பிரச்சினை இருக்கிறதா?

    பயனுள்ள தகவல்களுக்கு நன்றி.

    • இன்றைய தேதியில் இணையத்தில் இந்த பிரச்ச்னை பற்றி தான் பிரதானமாக பேசுகின்றனர். இணையம் வளர வளர இது போன்ற பிரச்சனைகளும் வளரும். ஆனால் இதற்கான கண்கொத்தி பாம்பாக கண்காணித்து எச்சரிக்கும் இணைய பாதுகாப்பு நிபுணர்களை பாராட்ட வேண்டும்.

      அன்புடன் சிம்மன்

  2. Pingback: ஹார்ட்பிலீட் அப்டேட் | Cybersimman's Blog·

மறுமொழியொன்றை இடுங்கள்

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / மாற்று )

Twitter picture

You are commenting using your Twitter account. Log Out / மாற்று )

Facebook photo

You are commenting using your Facebook account. Log Out / மாற்று )

Google+ photo

You are commenting using your Google+ account. Log Out / மாற்று )

Connecting to %s