बड़ी संख्या में वेबसाइटें रिवर्स प्रॉक्सी और डीडीओएस शमन सेवाओं जैसे क्लाउडफ्लेयर (जैसे रेडिट) का उपयोग करती हैं ताकि उन्हें बड़ी तबाही से बचाया जा सके और रोशनी को लगातार चालू रखा जा सके। ये सेवाएं अक्सर सुरक्षा और प्रदर्शन में वृद्धि के प्रदाताओं के रूप में खुद की मार्केटिंग करती हैं।
फिर भी, इसके सीधे विरोधाभास में, 17 फरवरी 2017 को, क्लाउडफ्लेयर के सॉफ़्टवेयर में एक प्रमुख बग के कारण लाखों वेबसाइटों से निजी डेटा की भारी मात्रा में किसी भी समय पहुंच योग्य हो गया। इनमें से कुछ डेटा Google के खोज परिणामों में दिखाई देने वाली वेबसाइटों की कैश्ड प्रतियों पर भी दिखाई दिया। क्लाउडब्लीड के नाम से मशहूर इस विशेष घटना ने प्रौद्योगिकी के सुरक्षित उपयोग पर चर्चा के लिए एक मूल्यवान अवसर प्रस्तुत किया है।
यह सब क्या है?!
अशिक्षित लोगों के लिए, Cloudflare एक ऐसी सेवा है जो आपकी वेबसाइट और व्यापक इंटरनेट के बीच एक बिचौलिए के रूप में कार्य करती है। जब आप किसी ऐसी साइट पर जाते हैं जो सेवा का उपयोग करती है, तो आप वास्तव में क्लाउडफ्लेयर से जुड़ रहे होते हैं जो साइट से जुड़ता है और इसके आउटपुट को आप तक पहुंचाता है। यह कुछ अधिक बार देखे जाने वाले पृष्ठों को कैश करेगा ताकि साइट को हर बार किसी के कनेक्ट होने पर जवाब न देना पड़े, जिससे स्थानीय सर्वर पर बड़ी मात्रा में ट्रैफ़िक का प्रभाव कम हो। यह आपकी साइट पर डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विस (DDoS) हमलों के प्रभाव को कम करने में भी मदद करता है क्योंकि एक बिचौलिया है जो इन हमलों के झटके को विफल कर सकता है, एक प्रकार की ट्रैफिक लाइट के रूप में कार्य करता है जो वैध आगंतुकों को उनके ट्रैक में बॉट्स के माध्यम से रोकता है और रोकता है . Cloudflare और अन्य रिवर्स प्रॉक्सी सेवाएं (जैसे Incapsula और Akamai) अक्सर वेबसाइट सुरक्षा के पैरोकारों के रूप में खुद की मार्केटिंग करती हैं।
क्लाउड ब्लीड क्या है?
Cloudbleed एक ऐसी घटना है जिसमें Google की प्रोजेक्ट ज़ीरो टीम के एक सदस्य द्वारा Cloudflare के सॉफ़्टवेयर में एक बग की खोज की गई थी, जिसने प्रमुख वेबसाइटों के निजी संदेशों, ऑनलाइन पासवर्ड प्रबंधक डेटा और कई अन्य सर्वरों से पूर्ण HTTPS अनुरोधों को उजागर किया था। कनेक्शन अनुरोधों के लिए क्लाउडफ्लेयर की प्रतिक्रिया अक्सर उनके आवंटित बफर स्थान को खत्म कर देती है और उस समय वेबसाइटों तक पहुंचने वाले किसी भी अन्य ग्राहकों से डेटा प्रस्तुत करती है। यह सब कुछ खुले में छोड़ देता है और सेवा पर भरोसा करने वाली वेबसाइटों का उपयोग करने या स्वामित्व रखने वाले किसी भी व्यक्ति के लिए एक विनाशकारी सुरक्षा जोखिम प्रस्तुत करता है।
बग को फरवरी के अंत में ठीक कर दिया गया था, हालांकि सेवा स्वीकार करती है कि डेटा लीक 22 सितंबर 2016 को अपने नए HTML पार्सर की शुरुआत के साथ ही चल रहा होगा।
सबक सीखा
यदि आप हमारी कहानियों को कुछ समय से पढ़ रहे हैं, तो आपको 2014 में हार्टब्लिड के नाम से जानी जाने वाली एक बहुत ही समान घटना याद आ सकती है, जिसमें ओपनएसएसएल का उपयोग करने वाली वेबसाइटें एक ऐसे शोषण की चपेट में थीं जो निजी डेटा के अंशों को जासूसी पार्टियों के सामने उजागर कर सकती थी। यह हाल के क्लाउडब्लीड केरफफल के साथ हमें एक मूल्यवान सबक सिखाता है:कुछ भी सौ प्रतिशत विश्वसनीय नहीं है, यहां तक कि आपकी सुरक्षा के स्पष्ट उद्देश्य वाली सेवाएं भी नहीं।
यह Cloudflare को कोसने के लिए नहीं है। बग किसी भी सेवा में हो सकता था। यहां मुद्दा यह है कि इंटरनेट ऐसी जगह नहीं है जहां आपको सुरक्षा के गारंटीकृत स्तर की उम्मीद करनी चाहिए। आप अपनी रक्षा के लिए हर संभव प्रयास कर सकते हैं और फिर भी ऐसी स्थिति से खुले में छूट जाते हैं जिस पर आपका कोई नियंत्रण नहीं है।
आपको क्या करना चाहिए?
सच्चाई यह है कि, जैसा कि Inc.Com के जोसेफ स्टाइनबर्ग लिखते हैं, "वर्तमान जोखिम उस कीमत से बहुत छोटा है जो 'साइबर सुरक्षा थकान' में वृद्धि में भुगतान किया जाएगा, जिससे भविष्य में बहुत बड़ी समस्याएं हो सकती हैं।" यहां उनके कहने का मतलब यह है कि बग की प्रकृति इस संभावना को बनाती है कि आपका पासवर्ड खगोलीय रूप से इतना कम लीक हो जाए कि इसे बदलने से आपको केवल नीचे पहनने का प्रभाव पड़ेगा। जब कोई वास्तविक संकट आता है, तो आप सभी शोर, घबराहट और प्रचार से बहुत थक जाते हैं कि आप एक महत्वपूर्ण क्षण में अपना पासवर्ड बदलने के लिए कॉल को अनदेखा कर सकते हैं। Cloudbleed वह क्षण नहीं है। लेकिन हर तरह से, यदि आप वास्तव में ऐसा करने की आवश्यकता महसूस करते हैं, तो अपना पासवर्ड बदल दें।
इसके अलावा, बस सतर्क रहें और अपनी पसंद की सेवाओं के ईमेल को नज़रअंदाज़ न करें। जिस क्षण कोई संकट आता है, वे आपको इसके बारे में जानने के लिए आवश्यक सभी चीजों के साथ एक दोस्ताना पत्र भेजेंगे और यह सुनिश्चित करने के लिए आपको क्या करना चाहिए, इस पर सुझाव भी दे सकते हैं।
क्या आपको लगता है कि स्टाइनबर्ग के सुझाव के अनुसार साइबर सुरक्षा थकान मौजूद है? क्या घबराहट के लिए पर्याप्त पर्याप्त औचित्य न होने पर भी लोगों को लगातार सतर्क रहना चाहिए? आप क्या सोचते हैं हमें कमेंट में बताएं!