ഹാർട്ട്ബ്ലീഡ്

വിക്കിപീഡിയ, ഒരു സ്വതന്ത്ര വിജ്ഞാനകോശം.
Jump to navigation Jump to search
ഹാർട്ട്ബ്ലീഡ് ലോഗോ.[1][2]

ഓപ്പൺ സോഴ്സ് ക്രിപ്റ്റോഗ്രാഫി ലൈബ്രറി ആയ ഓപ്പൺഎസ്.എസ്.എല്ലിലെ ഒരു സോഫ്റ്റ്‌വേർ ബഗ് ആണ് ഹാർട്ട്ബ്ലീഡ്. ഈ ബഗ് ദുരുപയോഗം ചെയ്ത് ഒരു ആക്രമണകാരിക്ക് വേണമെങ്കിൽ ഹോസ്റ്റ് കമ്പ്യൂട്ടറിലെ വിവരങ്ങൾ കാണാനും സ്വകാര്യമായതോ, പ്രശ്നകാരിയായതോ ആയ വിവരങ്ങൾ എടുക്കാനും സാധിക്കും[3][4][5][6]

ഗവേഷകർ ഓഡിറ്റ് ലോഗുകളിൽ നടത്തിയ പരിശോധനപ്രകാരം ബഗ് കണ്ടെത്തുന്നതിനും വിളംബരം ചെയ്യുന്നതിനും അഞ്ച് മാസം മുമ്പെങ്കിലും ചില ആക്രമണകാരികൾ ഈ പ്രശ്നം മുതലെടുത്തിട്ടുണ്ടാവാം[7][8][9]. അമേരിക്കൻ ഐക്യനാടുകളിലെ ദേശീയ സുരക്ഷാ ഏജൻസിയ്ക്ക് ഈ പ്രശ്നം തുടങ്ങി അധികം വൈകാതെ തന്നെ ഇതിനെക്കുറിച്ച് അറിയാമായിരുന്നു എന്നും, അത് സ്വന്തം നിലയ്ക്ക് മുതലെടുക്കാൻ വേണ്ടി അവരത് സ്വകാര്യമായി വെയ്ക്കുകയായിരുന്നു എന്നും പറയപ്പെടുന്നുണ്ട്[10].

നാൾവഴി[തിരുത്തുക]

2012 മാർച്ച് 14 മുതലുള്ള 1.0.1 പരമ്പരയിലുള്ള എല്ലാ ഓപ്പൺഎസ്.എസ്.എൽ. പതിപ്പുകളിലും ഉള്ള ഒരു സോഫ്റ്റ്‌വേർ ബഗിനെക്കുറിച്ച് ഗൂഗിൾ സെക്യൂരിറ്റിയിലെ നീൽ മേത്ത 2014 ഏപ്രിലിൽ റിപ്പോർട്ട് ചെയ്തു. ട്രാൻസ്പോർട്ട് ലെയർ സെക്യൂരിറ്റി നടപ്പിൽ വരുത്തുവാനുള്ള ഹാർട്ട്ബീറ്റ് എക്സ്റ്റെൻഷനിൽ ഉണ്ടായിരുന്ന ഗുരുതരമായ മെമ്മറി കൈകാര്യം ചെയ്യൽ പിഴവായിരുന്നു ഇത്[11][12]. കമ്പ്യൂട്ടറിലെ അല്ലെങ്കിൽ ഒരു കമ്പ്യൂട്ടർ ശൃംഖലയിലെ വിവിധ ഭാഗങ്ങളുടെ പ്രവർത്തനങ്ങൾ ഏകോപിപ്പിക്കാനും ഏകീകരിക്കാനുമുള്ള സൂചനയാണ് ഹാർട്ട്ബീറ്റ്. കൃത്യമായ ഇടവേളകളിൽ ഹാർട്ട്ബീറ്റുകൾ ഉണ്ടായിക്കൊണ്ടിരിക്കും. ഓരോ ഹാർട്ട്ബീറ്റിലും ആപ്ലിക്കേഷന്റെ മെമ്മറിയിൽ നിന്ന് 64 കിലോബൈറ്റ്സ് വെളിവാക്കിയെടുക്കാം എന്നതായിരുന്നു ഈ പിഴവ്[13]. ബഗ് CVE-2014-0160 എന്ന പേരിൽ സുരക്ഷാസംബന്ധിയായ ബഗുകളിലൊന്നായാണ് രജിസ്റ്റർ ചെയ്യപ്പെട്ടത്.[14]

ഈ പിഴവ് 2011 ഡിസംബർ 31 മുതൽ നിലവിലുണ്ടായിരുന്നു, 2012 മാർച്ച് 14-നു ഓപ്പൺഎസ്എസ്എല്ലിന്റെ പതിപ്പ് 1.0.1 പുറത്തിറങ്ങിയതോടെ പിഴവടങ്ങിയ പതിപ്പ് വ്യാപകമായി ഉപയോഗിക്കപ്പെട്ടുതുടങ്ങി[15][16][17]. ഡൂയിസ്ബർഗ്-എസെൻ സർവ്വകലാശാലയിലെ ഒരു ഗവേഷക വിദ്യാർത്ഥിയാണ് ബഗ് അടങ്ങിയ കോഡ് സമർപ്പിച്ചത്[18].

തെറ്റായ രൂപത്തിലുള്ള ഹാർട്ട്ബീറ്റ് അഭ്യർത്ഥന അയച്ച് അതേ ഡേറ്റാ ബഫറിലെ സെർവറിന്റെ പ്രതികരണം എടുക്കാൻ ബഗ് ദുരുപയോഗം ചെയ്ത് സാധിക്കുന്നതാണ്. ഓപ്പൺഎസ്.എസ്.എലിലെ ബഗ് ബാധിച്ചിട്ടുള്ള പതിപ്പുകളിൽ ബൗണ്ട്സ് ചെക്കിങ് (പരിധി പരിശോധന) നടത്താത്തതിനാൽ ഹാർട്ട്ബീറ്റ് റിക്വസ്റ്റിന്റെ വലിപ്പം പരിശോധിക്കാത്തതിനാൽ സെർവറിന്റെ മെമ്മറിയിൽ കാണാൻ ആക്രമണകാരിക്ക് കഴിയും[19]. 2011 ഡിസംബർ 31 മുതലെങ്കിലും ഈ പിഴവ് നിലവിലുണ്ട്, എന്നാൽ 2012 മാർച്ച് 14-നു ഓപ്പൺഎസ്.എസ്.എല്ലിന്റെ 1.0.1 പുറത്തിറങ്ങിയതോടെ വ്യാപകമായി ഉപയോഗിച്ചിട്ടുള്ള വിവിധ സാങ്കേതികവിദ്യകളേയും ബാധിച്ചു[15][20][17].

കോഡ്നോംഐകോൺ എന്ന ഫിന്നിഷ് സൈബർസുരക്ഷാ കമ്പനിയിലെ എഞ്ചിനീറാണ് ബഗിന് ഹാർട്ട്ബ്ലീഡ് എന്ന പേരിട്ടത്, അവർ തന്നെ ചോരയൊലിക്കുന്ന ഹൃദയത്തിന്റെ രൂപത്തിലുള്ള ഐകോണിനും രൂപം കൊടുക്കുകയും ബഗിനെക്കുറിച്ച് പൊതുജനങ്ങളെ ബോധവത്കരിക്കാനായി Heartbleed.com എന്ന ഡൊമൈൻ തുടങ്ങുകയും ചെയ്തു[21]. കോഡ്നോംഐകോൺ പറയുന്നതു പ്രകാരം ഗൂഗിൾ സെക്യൂരിറ്റിയിലെ നീൽ മേത്തയാണ് ബഗ് ആദ്യം റിപ്പോർട്ട് ചെയ്തതെങ്കിലും കോഡ്‌നോംഐകോണും ഇത് കണ്ടെത്തിയിരുന്നു[15] അവരുടെ പങ്ക് എന്താണെന്ന് വ്യക്തമാക്കിയില്ലെങ്കിലും മേത്തയും അവരെ അഭിനന്ദിച്ചിട്ടുണ്ട്[22].

അനന്തരഫലങ്ങൾ[തിരുത്തുക]

വെബ് സെർവറിന്റെ മെമ്മറിയിലെ ഭാഗം ആക്രമണകാരിക്ക് വായിക്കാൻ കഴിയുമെന്നതിനാൽ ഇത് വെബ് സെർവറിന്റെയും അതിന്റെ ഉപയോക്താക്കളുടേയും സുരക്ഷ നഷ്ടപ്പെടാനും പ്രാധാന്യമുള്ള വിവരങ്ങൾ നഷ്ടപ്പെടാനിടയാക്കുന്നതുമാണ്. സെർവറിന്റെ പ്രൈവറ്റ് മാസ്റ്റർ കീ അടക്കമുള്ള വിവരങ്ങൾ ഇത്തരത്തിൽ നഷ്ടപ്പെടാൻ സാധ്യതയുള്ളതാണ്[15][17]. ഇത്തരം കീ ലഭിക്കുകയാണെങ്കിൽ ആക്രമണകാരിക്ക് സെർവറിലേക്കും തിരിച്ചുമുള്ള വിവരകൈമാറ്റങ്ങൾ ഡീക്രിപ്റ്റ് ചെയ്യാനും കാണാനും കഴിയും. പക്ഷേ കൃത്രിമ റിക്വസ്റ്റ് വഴി സെർവറിലെ വിവരങ്ങൾ എടുക്കാൻ കഴിയുമെങ്കിലും ഏത് വിവരമാണ് ലഭിക്കുക എന്ന് പറയാനാവില്ല. സെർവറിലെ മെമ്മറിയിൽ അപ്പോഴുള്ള വിവരങ്ങളുടെ ഒരു ഭാഗമാണ് തിരിച്ച് കിട്ടുക.

ഉപയോക്താവിന്റെ അഭ്യർത്ഥനയും അവയ്ക്കുള്ള പ്രതികരണത്തിലും ഉണ്ടാവുന്ന പോസ്റ്റ് ഡേറ്റ, സെഷൻ കുക്കികൾ, രഹസ്യവാക്കുകൾ തുടങ്ങിയവ ഉൾപ്പെടെയുള്ള എൻക്രിപ്റ്റ് ചെയ്യാത്ത ഭാഗങ്ങളും വെളിവാക്കപ്പെടാൻ ബഗ് കാരണമായേക്കാം. ഇത് സെഷൻ ഹൈജാക്ക് ചെയ്യാൻ ഉപയോഗിക്കപ്പെട്ടേക്കാം[23]. ബഗ് വെളിവായപ്പോൾ, ഇന്റർനെറ്റിലെ ആകെ സുരക്ഷിത വെബ് സെർവറുകളുടെ (വിവിധ സർട്ടിഫിക്കേറ്റ് അഥോറിറ്റികൾ സുരക്ഷിതമെന്ന് അംഗീകാരം നൽകിയ) 17% അല്ലെങ്കിൽ അഞ്ചുലക്ഷം വെബ് സെർവറുകളിൽ ഈ പിഴവ് ഉണ്ടായിരുന്നു[24]. ഇലക്ട്രോണിക് ഫ്രോണ്ടിയർ ഫൗണ്ടേഷൻ[25], ആർസ് ടെക്നിക[26], ബ്രൂസ് ഷ്നീയർ[27] തുടങ്ങിയവരെല്ലാം ബഗിനെ "ദുരന്തം" എന്നു വിശേഷിപ്പിച്ചു. ഫോർബ്സിലെ സൈബർ സുരക്ഷാ കോളമെഴുത്തുകാരനായ ജോസഫ് സ്റ്റീൻബെർഗ് ബഗിനെ "ഇന്റർനെറ്റ് വഴിയുള്ള വാണിജ്യാടിസ്ഥാനത്തിലുള്ള ഉപയോഗങ്ങൾ തുടങ്ങിയതിനു ശേഷം കണ്ടെത്തിയ ഏറ്റവും മാരകമായ ബഗ്" എന്ന് വിശേഷിപ്പിച്ചു[28].

ബാധിച്ചിട്ടുള്ള പതിപ്പുകൾ[തിരുത്തുക]


അവലംബം[തിരുത്തുക]

  1. McKenzie, Patrick (April 9, 2014). "What Heartbleed Can Teach The OSS Community About Marketing". ശേഖരിച്ചത് April 10, 2014.
  2. Biggs, John (April 9, 2014). "Heartbleed, The First Security Bug With A Cool Logo". TechCrunch. ശേഖരിച്ചത് 10 April 2014.
  3. Perlroth, Nicole; Hardy, Quentin (April 11, 2014). "Heartbleed Flaw Could Reach to Digital Devices, Experts Say". New York Times. ശേഖരിച്ചത് April 11, 2014.
  4. Chen, Brian X. (April 9, 2014). "Q. and A. on Heartbleed: A Flaw Missed by the Masses". New York Times. ശേഖരിച്ചത് April 10, 2014.
  5. Wood, Molly (April 10, 2014). "Flaw Calls for Altering Passwords, Experts Say". New York Times. ശേഖരിച്ചത് April 10, 2014.
  6. Manjoo, Farhad (April 10, 2014). "Users' Stark Reminder: As Web Grows, It Grows Less Secure". New York Times. ശേഖരിച്ചത് April 10, 2014.
  7. Gallagher, Sean (April 9, 2014). "Heartbleed vulnerability may have been exploited months before patch". Ars Technica. ശേഖരിച്ചത് April 10, 2014.
  8. "No, we weren't scanning for hearbleed before April 7"
  9. "Were Intelligence Agencies Using Heartbleed in November 2013?", April 10, 2014, Peter Eckersley, EFF.org
  10. Riley, Michael. "NSA Said to Exploit Heartbleed Bug for Intelligence for Years". Bloomberg. ശേഖരിച്ചത് 2014-04-11.
  11. Seggelmann, R.; മറ്റുള്ളവർക്കൊപ്പം. (February 2012). "Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension". RFC 6520. Internet Engineering Task Force (IETF). ശേഖരിച്ചത് April 8, 2014. Explicit use of et al. in: |author= (help)
  12. OpenSSL.org (April 7, 2014). "OpenSSL Security Advisory [07 Apr 2014]". ശേഖരിച്ചത് April 9, 2014.
  13. OpenSSL (April 7, 2014). "TSL heartbeat read overrun (CVE-2014-0160)". ശേഖരിച്ചത് April 8, 2014.
  14. "CVE - CVE-2014-0160". Cve.mitre.org. ശേഖരിച്ചത് April 10, 2014.
  15. 15.0 15.1 15.2 15.3 Codenomicon Ltd (April 8, 2014). "Heartbleed Bug". ശേഖരിച്ചത് 2014-04-08.
  16. Goodin, Dan (April 8, 2014). "Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping". Ars Technica. ശേഖരിച്ചത് April 8, 2014.
  17. 17.0 17.1 17.2 Hagai Bar-El (April 9, 2014). ""OpenSSL Heartbleed bug: what's at risk on the server and what is not"". ശേഖരിച്ചത് April 9, 2014.
  18. "Meet the man who created the bug that almost broke the Internet". Globe and Mail. April 11, 2014.
  19. Troy Hunt (April 9, 2014). "Everything you need to know about the Heartbleed SSL bug". ശേഖരിച്ചത് April 10, 2014.
  20. Goodin, Dan (April 8, 2014). "Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping". Ars Technica. ശേഖരിച്ചത് April 8, 2014.
  21. ""Why is it called the 'Heartbleed Bug'?"".
  22. Mehta, Neel. "Don't forget to patch DTLS". Twitter. ശേഖരിച്ചത് 2014-04-11.
  23. "Why Heartbleed is dangerous? Exploiting CVE-2014-0160". IPSec.pl. 2014.
  24. Mutton, Paul (April 8, 2014). "Half a million widely trusted websites vulnerable to Heartbleed bug". Netcraft Ltd. ശേഖരിച്ചത് April 8, 2014.
  25. "Why the Web Needs Perfect Forward Secrecy More Than Ever | Electronic Frontier Foundation". Eff.org. March 18, 2011. ശേഖരിച്ചത് April 10, 2014.
  26. Goodin, Dan. "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style". Ars Technica. ശേഖരിച്ചത് April 10, 2014.
  27. "Schneier on Security: Heartbleed". Schneier.com. ശേഖരിച്ചത് April 10, 2014.
  28. Steinberg, Joseph. "Massive Internet Security Vulnerability -- Here's What You Need To Do". Forbes. ശേഖരിച്ചത് April 10, 2014.

പുറത്തേയ്ക്കുള്ള കണ്ണികൾ[തിരുത്തുക]

"https://ml.wikipedia.org/w/index.php?title=ഹാർട്ട്ബ്ലീഡ്&oldid=2202539" എന്ന താളിൽനിന്ന് ശേഖരിച്ചത്