ഹാർട്ട്ബ്ലീഡ്
ഓപ്പൺ സോഴ്സ് ക്രിപ്റ്റോഗ്രാഫി ലൈബ്രറി ആയ ഓപ്പൺഎസ്.എസ്.എല്ലിലെ ഒരു സോഫ്റ്റ്വേർ ബഗ് ആണ് ഹാർട്ട്ബ്ലീഡ്. ഈ ബഗ് ദുരുപയോഗം ചെയ്ത് ഒരു ആക്രമണകാരിക്ക് വേണമെങ്കിൽ ഹോസ്റ്റ് കമ്പ്യൂട്ടറിലെ വിവരങ്ങൾ കാണാനും സ്വകാര്യമായതോ, പ്രശ്നകാരിയായതോ ആയ വിവരങ്ങൾ എടുക്കാനും സാധിക്കും[3][4][5][6]
ഗവേഷകർ ഓഡിറ്റ് ലോഗുകളിൽ നടത്തിയ പരിശോധനപ്രകാരം ബഗ് കണ്ടെത്തുന്നതിനും വിളംബരം ചെയ്യുന്നതിനും അഞ്ച് മാസം മുമ്പെങ്കിലും ചില ആക്രമണകാരികൾ ഈ പ്രശ്നം മുതലെടുത്തിട്ടുണ്ടാവാം[7][8][9]. അമേരിക്കൻ ഐക്യനാടുകളിലെ ദേശീയ സുരക്ഷാ ഏജൻസിയ്ക്ക് ഈ പ്രശ്നം തുടങ്ങി അധികം വൈകാതെ തന്നെ ഇതിനെക്കുറിച്ച് അറിയാമായിരുന്നു എന്നും, അത് സ്വന്തം നിലയ്ക്ക് മുതലെടുക്കാൻ വേണ്ടി അവരത് സ്വകാര്യമായി വെയ്ക്കുകയായിരുന്നു എന്നും പറയപ്പെടുന്നുണ്ട്[10].
നാൾവഴി
[തിരുത്തുക]2012 മാർച്ച് 14 മുതലുള്ള 1.0.1 പരമ്പരയിലുള്ള എല്ലാ ഓപ്പൺഎസ്.എസ്.എൽ. പതിപ്പുകളിലും ഉള്ള ഒരു സോഫ്റ്റ്വേർ ബഗിനെക്കുറിച്ച് ഗൂഗിൾ സെക്യൂരിറ്റിയിലെ നീൽ മേത്ത 2014 ഏപ്രിലിൽ റിപ്പോർട്ട് ചെയ്തു. ട്രാൻസ്പോർട്ട് ലെയർ സെക്യൂരിറ്റി നടപ്പിൽ വരുത്തുവാനുള്ള ഹാർട്ട്ബീറ്റ് എക്സ്റ്റെൻഷനിൽ ഉണ്ടായിരുന്ന ഗുരുതരമായ മെമ്മറി കൈകാര്യം ചെയ്യൽ പിഴവായിരുന്നു ഇത്[11][12]. കമ്പ്യൂട്ടറിലെ അല്ലെങ്കിൽ ഒരു കമ്പ്യൂട്ടർ ശൃംഖലയിലെ വിവിധ ഭാഗങ്ങളുടെ പ്രവർത്തനങ്ങൾ ഏകോപിപ്പിക്കാനും ഏകീകരിക്കാനുമുള്ള സൂചനയാണ് ഹാർട്ട്ബീറ്റ്. കൃത്യമായ ഇടവേളകളിൽ ഹാർട്ട്ബീറ്റുകൾ ഉണ്ടായിക്കൊണ്ടിരിക്കും. ഓരോ ഹാർട്ട്ബീറ്റിലും ആപ്ലിക്കേഷന്റെ മെമ്മറിയിൽ നിന്ന് 64 കിലോബൈറ്റ്സ് വെളിവാക്കിയെടുക്കാം എന്നതായിരുന്നു ഈ പിഴവ്[13]. ബഗ് CVE-2014-0160 എന്ന പേരിൽ സുരക്ഷാസംബന്ധിയായ ബഗുകളിലൊന്നായാണ് രജിസ്റ്റർ ചെയ്യപ്പെട്ടത്.[14]
ഈ പിഴവ് 2011 ഡിസംബർ 31 മുതൽ നിലവിലുണ്ടായിരുന്നു, 2012 മാർച്ച് 14-നു ഓപ്പൺഎസ്എസ്എല്ലിന്റെ പതിപ്പ് 1.0.1 പുറത്തിറങ്ങിയതോടെ പിഴവടങ്ങിയ പതിപ്പ് വ്യാപകമായി ഉപയോഗിക്കപ്പെട്ടുതുടങ്ങി[15][16][17]. ഡൂയിസ്ബർഗ്-എസെൻ സർവ്വകലാശാലയിലെ ഒരു ഗവേഷക വിദ്യാർത്ഥിയാണ് ബഗ് അടങ്ങിയ കോഡ് സമർപ്പിച്ചത്[18].
തെറ്റായ രൂപത്തിലുള്ള ഹാർട്ട്ബീറ്റ് അഭ്യർത്ഥന അയച്ച് അതേ ഡേറ്റാ ബഫറിലെ സെർവറിന്റെ പ്രതികരണം എടുക്കാൻ ബഗ് ദുരുപയോഗം ചെയ്ത് സാധിക്കുന്നതാണ്. ഓപ്പൺഎസ്.എസ്.എലിലെ ബഗ് ബാധിച്ചിട്ടുള്ള പതിപ്പുകളിൽ ബൗണ്ട്സ് ചെക്കിങ് (പരിധി പരിശോധന) നടത്താത്തതിനാൽ ഹാർട്ട്ബീറ്റ് റിക്വസ്റ്റിന്റെ വലിപ്പം പരിശോധിക്കാത്തതിനാൽ സെർവറിന്റെ മെമ്മറിയിൽ കാണാൻ ആക്രമണകാരിക്ക് കഴിയും[19]. 2011 ഡിസംബർ 31 മുതലെങ്കിലും ഈ പിഴവ് നിലവിലുണ്ട്, എന്നാൽ 2012 മാർച്ച് 14-നു ഓപ്പൺഎസ്.എസ്.എല്ലിന്റെ 1.0.1 പുറത്തിറങ്ങിയതോടെ വ്യാപകമായി ഉപയോഗിച്ചിട്ടുള്ള വിവിധ സാങ്കേതികവിദ്യകളേയും ബാധിച്ചു[15][20][17].
കോഡ്നോംഐകോൺ എന്ന ഫിന്നിഷ് സൈബർസുരക്ഷാ കമ്പനിയിലെ എഞ്ചിനീറാണ് ബഗിന് ഹാർട്ട്ബ്ലീഡ് എന്ന പേരിട്ടത്, അവർ തന്നെ ചോരയൊലിക്കുന്ന ഹൃദയത്തിന്റെ രൂപത്തിലുള്ള ഐകോണിനും രൂപം കൊടുക്കുകയും ബഗിനെക്കുറിച്ച് പൊതുജനങ്ങളെ ബോധവത്കരിക്കാനായി Heartbleed.com എന്ന ഡൊമൈൻ തുടങ്ങുകയും ചെയ്തു[21]. കോഡ്നോംഐകോൺ പറയുന്നതു പ്രകാരം ഗൂഗിൾ സെക്യൂരിറ്റിയിലെ നീൽ മേത്തയാണ് ബഗ് ആദ്യം റിപ്പോർട്ട് ചെയ്തതെങ്കിലും കോഡ്നോംഐകോണും ഇത് കണ്ടെത്തിയിരുന്നു[15] അവരുടെ പങ്ക് എന്താണെന്ന് വ്യക്തമാക്കിയില്ലെങ്കിലും മേത്തയും അവരെ അഭിനന്ദിച്ചിട്ടുണ്ട്[22].
അനന്തരഫലങ്ങൾ
[തിരുത്തുക]വെബ് സെർവറിന്റെ മെമ്മറിയിലെ ഭാഗം ആക്രമണകാരിക്ക് വായിക്കാൻ കഴിയുമെന്നതിനാൽ ഇത് വെബ് സെർവറിന്റെയും അതിന്റെ ഉപയോക്താക്കളുടേയും സുരക്ഷ നഷ്ടപ്പെടാനും പ്രാധാന്യമുള്ള വിവരങ്ങൾ നഷ്ടപ്പെടാനിടയാക്കുന്നതുമാണ്. സെർവറിന്റെ പ്രൈവറ്റ് മാസ്റ്റർ കീ അടക്കമുള്ള വിവരങ്ങൾ ഇത്തരത്തിൽ നഷ്ടപ്പെടാൻ സാധ്യതയുള്ളതാണ്[15][17]. ഇത്തരം കീ ലഭിക്കുകയാണെങ്കിൽ ആക്രമണകാരിക്ക് സെർവറിലേക്കും തിരിച്ചുമുള്ള വിവരകൈമാറ്റങ്ങൾ ഡീക്രിപ്റ്റ് ചെയ്യാനും കാണാനും കഴിയും. പക്ഷേ കൃത്രിമ റിക്വസ്റ്റ് വഴി സെർവറിലെ വിവരങ്ങൾ എടുക്കാൻ കഴിയുമെങ്കിലും ഏത് വിവരമാണ് ലഭിക്കുക എന്ന് പറയാനാവില്ല. സെർവറിലെ മെമ്മറിയിൽ അപ്പോഴുള്ള വിവരങ്ങളുടെ ഒരു ഭാഗമാണ് തിരിച്ച് കിട്ടുക.
ഉപയോക്താവിന്റെ അഭ്യർത്ഥനയും അവയ്ക്കുള്ള പ്രതികരണത്തിലും ഉണ്ടാവുന്ന പോസ്റ്റ് ഡേറ്റ, സെഷൻ കുക്കികൾ, രഹസ്യവാക്കുകൾ തുടങ്ങിയവ ഉൾപ്പെടെയുള്ള എൻക്രിപ്റ്റ് ചെയ്യാത്ത ഭാഗങ്ങളും വെളിവാക്കപ്പെടാൻ ബഗ് കാരണമായേക്കാം. ഇത് സെഷൻ ഹൈജാക്ക് ചെയ്യാൻ ഉപയോഗിക്കപ്പെട്ടേക്കാം[23]. ബഗ് വെളിവായപ്പോൾ, ഇന്റർനെറ്റിലെ ആകെ സുരക്ഷിത വെബ് സെർവറുകളുടെ (വിവിധ സർട്ടിഫിക്കേറ്റ് അഥോറിറ്റികൾ സുരക്ഷിതമെന്ന് അംഗീകാരം നൽകിയ) 17% അല്ലെങ്കിൽ അഞ്ചുലക്ഷം വെബ് സെർവറുകളിൽ ഈ പിഴവ് ഉണ്ടായിരുന്നു[24]. ഇലക്ട്രോണിക് ഫ്രോണ്ടിയർ ഫൗണ്ടേഷൻ[25], ആർസ് ടെക്നിക[26], ബ്രൂസ് ഷ്നീയർ[27] തുടങ്ങിയവരെല്ലാം ബഗിനെ "ദുരന്തം" എന്നു വിശേഷിപ്പിച്ചു. ഫോർബ്സിലെ സൈബർ സുരക്ഷാ കോളമെഴുത്തുകാരനായ ജോസഫ് സ്റ്റീൻബെർഗ് ബഗിനെ "ഇന്റർനെറ്റ് വഴിയുള്ള വാണിജ്യാടിസ്ഥാനത്തിലുള്ള ഉപയോഗങ്ങൾ തുടങ്ങിയതിനു ശേഷം കണ്ടെത്തിയ ഏറ്റവും മാരകമായ ബഗ്" എന്ന് വിശേഷിപ്പിച്ചു[28].
ബാധിച്ചിട്ടുള്ള പതിപ്പുകൾ
[തിരുത്തുക]- ഓപ്പൺഎസ്എസ്എൽ 1.0.2-ബീറ്റ
- ഓപ്പൺഎസ്എസ്എൽ 1.0.1 – ഓപ്പൺഎസ്എസ്എൽ 1.0.1f
- പരിഹാരമായ CVE-2014-0160 എന്ന പാച്ച് ഇൻസ്റ്റോൾ ചെയ്യാത്ത ഓപ്പറേറ്റിങ് സിസ്റ്റങ്ങൾ, അതായത് ഡെബിയൻ (വ്യുൽപ്പന്നങ്ങളായ ഉബുണ്ടു, ലിനക്സ് മിന്റ് തുടങ്ങിയവ ഉൾപ്പെടെ), ഫ്രീ ബി.എസ്.ഡി., റെഡ്ഹാറ്റ് എന്റർപ്രൈസ് ലിനക്സ് (വ്യുൽപ്പന്നങ്ങളായ സെന്റ്ഓഎസ്, ആമസോൺ ലിനക്സ് ഉൾപ്പെടെ).
അവലംബം
[തിരുത്തുക]- ↑ McKenzie, Patrick (April 9, 2014). "What Heartbleed Can Teach The OSS Community About Marketing". Retrieved April 10, 2014.
- ↑ Biggs, John (April 9, 2014). "Heartbleed, The First Security Bug With A Cool Logo". TechCrunch. Retrieved 10 April 2014.
- ↑ Perlroth, Nicole; Hardy, Quentin (April 11, 2014). "Heartbleed Flaw Could Reach to Digital Devices, Experts Say". New York Times. Retrieved April 11, 2014.
- ↑ Chen, Brian X. (April 9, 2014). "Q. and A. on Heartbleed: A Flaw Missed by the Masses". New York Times. Retrieved April 10, 2014.
- ↑ Wood, Molly (April 10, 2014). "Flaw Calls for Altering Passwords, Experts Say". New York Times. Retrieved April 10, 2014.
- ↑ Manjoo, Farhad (April 10, 2014). "Users' Stark Reminder: As Web Grows, It Grows Less Secure". New York Times. Retrieved April 10, 2014.
- ↑ Gallagher, Sean (April 9, 2014). "Heartbleed vulnerability may have been exploited months before patch". Ars Technica. Retrieved April 10, 2014.
- ↑ "No, we weren't scanning for hearbleed before April 7"
- ↑ "Were Intelligence Agencies Using Heartbleed in November 2013?", April 10, 2014, Peter Eckersley, EFF.org
- ↑ Riley, Michael. "NSA Said to Exploit Heartbleed Bug for Intelligence for Years". Bloomberg. Retrieved 2014-04-11.
- ↑ Seggelmann, R.; et al. (February 2012). "Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension". RFC 6520. Internet Engineering Task Force (IETF). Retrieved April 8, 2014.
{{cite web}}
: Explicit use of et al. in:|author=
(help) - ↑ OpenSSL.org (April 7, 2014). "OpenSSL Security Advisory [07 Apr 2014]". Archived from the original on 2014-04-08. Retrieved April 9, 2014.
- ↑ OpenSSL (April 7, 2014). "TSL heartbeat read overrun (CVE-2014-0160)". Archived from the original on 2014-04-08. Retrieved April 8, 2014.
- ↑ "CVE - CVE-2014-0160". Cve.mitre.org. Retrieved April 10, 2014.
- ↑ 15.0 15.1 15.2 15.3 Codenomicon Ltd (April 8, 2014). "Heartbleed Bug". Archived from the original on 2014-04-07. Retrieved 2014-04-08.
- ↑ Goodin, Dan (April 8, 2014). "Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping". Ars Technica. Retrieved April 8, 2014.
- ↑ 17.0 17.1 17.2 Hagai Bar-El (April 9, 2014). ""OpenSSL Heartbleed bug: what's at risk on the server and what is not"". Archived from the original on 2014-04-13. Retrieved April 9, 2014.
- ↑ "Meet the man who created the bug that almost broke the Internet". Globe and Mail. April 11, 2014.
- ↑ Troy Hunt (April 9, 2014). "Everything you need to know about the Heartbleed SSL bug". Retrieved April 10, 2014.
- ↑ Goodin, Dan (April 8, 2014). "Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping". Ars Technica. Retrieved April 8, 2014.
- ↑ ""Why is it called the 'Heartbleed Bug'?"".
- ↑ Mehta, Neel. "Don't forget to patch DTLS". Twitter. Retrieved 2014-04-11.
- ↑ "Why Heartbleed is dangerous? Exploiting CVE-2014-0160". IPSec.pl. 2014. Archived from the original on 2014-04-08. Retrieved 2014-04-12.
- ↑ Mutton, Paul (April 8, 2014). "Half a million widely trusted websites vulnerable to Heartbleed bug". Netcraft Ltd. Retrieved April 8, 2014.
- ↑ "Why the Web Needs Perfect Forward Secrecy More Than Ever | Electronic Frontier Foundation". Eff.org. March 18, 2011. Retrieved April 10, 2014.
- ↑ Goodin, Dan. "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style". Ars Technica. Retrieved April 10, 2014.
- ↑ "Schneier on Security: Heartbleed". Schneier.com. Retrieved April 10, 2014.
- ↑ Steinberg, Joseph. "Massive Internet Security Vulnerability -- Here's What You Need To Do". Forbes. Retrieved April 10, 2014.
പുറത്തേയ്ക്കുള്ള കണ്ണികൾ
[തിരുത്തുക]- Heartbleed BUG in OPENSSL
- Summary and Q&A about the bug, Archived 2014-04-07 at the Wayback Machine. – by Codenomicon Ltd
- Video (08:40) - Explanation of the Heartbleed bug
- PCMAG - Change Your Passwords
- 'Heartbleed' Bug: The Most Serious Bug in Recent Years Archived 2014-04-13 at the Wayback Machine.
- Has the NSA Been Using the Heartbleed Bug as an Internet Peephole?—Wired (April 10, 2014)