आम तौर पर, मैं सॉफ़्टवेयर सुरक्षा को लेकर बहुत संशय में रहता हूँ। मुझे लगता है कि प्रासंगिक सॉफ़्टवेयर उद्योग का एक मुख्य उद्देश्य लोगों को सुरक्षा उत्पाद खरीदने के लिए डराना है, ताकि वे कथित रूप से सुरक्षित महसूस कर सकें। इसका सबसे अच्छा उदाहरण विंडोज एक्सपी के बंद होने से पहले विंडोज मालवेयर की स्थिति पर परस्पर विरोधी विचार होंगे, माइक्रोसॉफ्ट की एक रिपोर्ट में दिखाया गया है कि इसके ऑपरेटिंग सिस्टम के नए संस्करण कैसे सुरक्षित हैं, और एक एंटी-मैलवेयर कंपनियों द्वारा सटीक दावा किया गया है। विलोम। यह मेरी बदबूदार नज़र को नवीनतम ओपनएसएसएल मुद्दे के विषय पर लाता है। पी>
कई उपयोगकर्ताओं, यानी एक से अधिक ने, मेरे शांत दृष्टिकोण को देखते हुए मुझे इस पर विस्तार से बताने के लिए कहा। दरअसल, यह विंडोज़ नहीं है, यह लिनक्स है। यह वेब है। यह पूरी तरह से कुछ और है। यह दिलचस्प होना चाहिए। पी>
पी>
हार्टब्लीड संक्षेप में
अनिवार्य रूप से, हार्टलेड ओपनएसएसएल हार्टबीट एक्सटेंशन में एक बग है, जो हार्टबीट अनुरोधकर्ता को लक्ष्य प्रणाली पर ओपनएसएसएल लाइब्रेरी मेमोरी से मनमाना पेलोड प्राप्त करने की अनुमति देता है। दूसरे शब्दों में, केवल टीएलएस प्रोटोकॉल संचार के लिए आवश्यक डेटा वापस करने के बजाय, पोल किए गए होस्ट इससे अधिक रिटर्न देते हैं। इसका प्रभावी रूप से अर्थ है स्मृति पृष्ठों तक पहुंच, जो अनुरोधकर्ता को भेजे जाने के लिए नहीं है। पी>
और बस। अब, समस्या यह है कि यह एक बड़े ग्राहक आधार के साथ बड़ी संख्या में वेब होस्टेड सेवाओं और साइटों को प्रभावित करता है। यहीं पर हार्टब्लीड का मुद्दा एक और बग से बढ़कर बन जाता है। पी>
यह खराब क्यों है
हां, आपने इसे सही सुना। मुझे लगता है कि यह एक गंभीर मसला है। लेकिन इसलिए नहीं कि लक्षित साइटों से किस तरह का डेटा एकत्र किया जा सकता था। यानी गोपनीय जानकारी चुराने का पूरा उद्देश्य हमेशा बना रहेगा। ये अलग बात है। पी>
मायने यह रखता है कि मामला किस तरह सामने आया। हार्टबीट बग दो मुख्य समस्याओं के कारण होता है। एक, खराब इनपुट सत्यापन, प्रोग्रामिंग की अपवित्र कब्र, जब कोड डेवलपर्स अपने वेरिएबल्स को इनिशियलाइज़ करना, सीमाओं की जाँच करना या मूल्यों को वापस करना भूल जाते हैं। क्यूबिकल्स में लोगों पर भरोसा नहीं करने का मुख्य कारण है। काश, यह सबसे अच्छे के लिए भी होता। जब आप हैलो वर्ल्ड के दायरे से बाहर जाते हैं तो आप बहुत कम कर सकते हैं! पी>
दूसरा मुद्दा यह है कि ओपनएसएसएल के डेवलपर्स ने मुफ्त और मॉलोक के अपने स्वयं के कार्यान्वयन का उपयोग किया, दो रूटीन जिनका उपयोग गतिशील रूप से मेमोरी को हड़पने और जारी करने के लिए किया जाता है। इसका मतलब है कि उन्हें लगा कि वे बाकी सभी से बेहतर जानते हैं। पी>
तो हाँ, जब आप समस्या को इस तरह तोड़ते हैं, तो यह कष्टप्रद होता है। लगभग चेरनोबिल दुर्घटना की तरह। छोटे मुद्दों की एक श्रृंखला जो एक c.l.u.s.t.e.r में ढेर हो जाती है। डिजिटल इंटरकोर्स का गुलदस्ता। पी>
आप क्या कर सकते हैं - सही दृष्टिकोण
आपके लिए करने के लिए बहुत कम है। ईमानदारी से। समस्या ज्यादातर सर्वर साइड में होती है। सच है, यह उन सभी मशीनों को भी प्रभावित करता है जो कमजोर ओपनएसएसएल पुस्तकालयों का उपयोग करती हैं। लेकिन अपने आप से पूछें कि आपके डिवाइस वेब से जानकारी प्राप्त करने के अलावा, शायद किसी गेमिंग सर्वर से कनेक्ट करने के अलावा, टीएलएस का उपयोग करके अन्य होस्ट के साथ कितनी बार सीधे संवाद करते हैं, और इसी तरह? पी>
हालाँकि, बड़ी साइटों के लिए, मुझे व्यक्तिगत रूप से लगता है कि भले ही उन्हें ब्लीड किया गया हो, ट्रैफ़िक की मात्रा इतनी बड़ी है कि सभी सूचनाओं को संसाधित करने के लिए कंप्यूटिंग शक्ति का एक महत्वपूर्ण हिस्सा लगता है, और मेमोरी सामग्री शायद बनाने के लिए बहुत विरल है एक सुसंगत दृष्टिकोण। पी>
अब, यह मेरा कूबड़ है, गणितीय थीसिस नहीं है, इसलिए अपने व्यंग्य से दूर रहें और क्या नहीं। इसके बारे में सोचो। उदाहरण के लिए, Google को लें। इसमें वेब से संबंधित सेवाओं की पेशकश करने वाले हजारों सर्वरों के साथ विशाल कंप्यूट फ़ार्म हैं, जिनमें से प्रत्येक प्रति सेकंड सैकड़ों अनुरोधों को पूरा करता है। इसलिए यदि आप इन संसाधनों को दिल से लगाते हैं, तो भी सभी डेटा प्राप्त करने के लिए आपके स्वयं के सर्वरों का एक गुच्छा लगता है। साथ ही, यदि कोई एसएसएल सामग्री प्राप्त करने के लिए कड़ी मेहनत कर रहा है, तो वे शायद इन संसाधनों को डीओएस नहीं करना चाहते हैं। तीसरा, भले ही सभी क्रेडेंशियल्स चोरी हो गए हों, एक स्विच नेटवर्क पर ट्रैफ़िक को सार्थक तरीके से सूँघना कोई आसान बात नहीं है। पी>
मेरा मतलब आपको शांत करने के लिए नहीं है। ये मुद्दा नहीं है। आपको केवल तर्कसंगत तरीके से समस्या की जांच करने की आवश्यकता है। तो हाँ, सिद्धांत रूप में और शायद व्यवहार में, कुछ एसएसएल डेटा लीक हो सकते हैं। एहतियात के तौर पर, कुछ वेबसाइटों ने अनुशंसा की है कि आप अपना पासवर्ड बदल लें। इस पर विचार करो। यह कोई बुरी प्रथा नहीं है। इसके अलावा, दो-कारक प्रमाणीकरण और विभिन्न साइटों पर अलग-अलग पासवर्ड का उपयोग भी एक अच्छा विचार है। पी>
एक बात जो आपके डर को थोड़ा कम कर सकती है, वह यह है कि कॉर्पोरेट जगत में दुनिया भर में स्थापित अधिकांश आधार एंटरप्राइज फ्लेवर के पुराने संस्करण चला रहे हैं, जो ज्यादातर प्रभावित नहीं हुए हैं। आप पुराने सेंटोस आदि को नापसंद कर सकते हैं, क्योंकि वे आधुनिक और शांत नहीं हैं, लेकिन इस मामले में, उनके लिए कुछ उपयोग है। पी>
अंतिम उपयोगकर्ता के रूप में
अब, यदि आप एक अच्छे सैनिक बनना चाहते हैं, तो कुछ चीज़ें हैं जो आप कर सकते हैं। जांचें कि आपकी लोकप्रिय साइटें अभी भी खराब संस्करण का उपयोग कर रही हैं या नहीं। यदि ऐसा है, तो रिपोर्ट करें, आगे बढ़ें, ठीक करने के लिए कहें। यह इसके बारे में उपयोगकर्ता की ओर से है। पी>
पासवर्ड, हाँ हमने पहले उनका उल्लेख किया था। बस याद रखें कि यह ठीक बग 2012 की शुरुआत से मौजूद है, दो साल से भी पहले। आप इस पूरे समय इसके बारे में नहीं जानते थे, जिसका अर्थ है कि समस्या का व्यापक, गुप्त रूप से प्रकट होना नहीं था। और अगर ऐसा होता, तो दो साल पहले और अब के बीच कहीं भी जानकारी लीक हो सकती थी। So you should put things into the right perspective. पी>
If you are running your own site, you can responsibly update the system, stop and start the affected services in order to load new libraries into the memory, and most importantly, make sure you do not have any crappy applications developed by mediocre consultant companies that use their own, statically-compiled openSSL, which effectively means that they will not be seeing or using your updates. पी>
Conspiracy
Naturally, there is a fresh new NSA surveillance conspiracy, which claims that the three-letter agency knew about this bug for years. If you ask me, this is doubtful because two different companies, including Google's engineers and a Finnish (i.e. not American) company Codenomicon, reported the bug almost simultaneously. This means that something new came about. पी>
So, if you are worried about NSA, then here's a remedy. Are you familiar with Michael Mann? He's the dude who directed Miami Vice, check, Heat, check, and many other great movies, including Manhunter, a much, much better version of the Hannibal Lecter thingie than Red Dragon. And the theme song is Heartbeat, also featured in one of Miami Vice's many stellar episodes. Now, if you listen to the song, you will understand it perfectly clearly. पी>
Heartbeat, heartbeat, listen to my hearbeat, oh-oh
निष्कर्ष
This is probably the first time you will hear Dedoimedo say that there is a real security issue that people should treat seriously, rather than the usual scaremongering. Yes, the memory leak caused by Heartbleed is not just your everyday malware nonsense. On the same note, it is also an issue that will primarily have to be addressed by companies and service providers. Your role in this game is small. The important thing is to stay calm and rational. पी>
Just remember, when the Internet backbones aches, lean back and watch. It does not happen every day, and it is a refreshing change from the usual your PC might be at risk bullcrap. In this case, it's bigger than you. So relax. पी>
प्रोत्साहित करना। पी>