7 अप्रैल 2014 को, दुनिया को पता चला कि इंटरनेट के इतिहास में संभवतः सबसे गंभीर सुरक्षा बग क्या है। इसे हार्टब्लीड कहा जाता है।
Google के सुरक्षा शोधकर्ता नील मेहता और फ़िनिश सुरक्षा फर्म द्वारा एक साथ इसकी खोज की गई कोडनोमिकॉन, बग आमतौर पर उपकरणों और वेबसाइटों द्वारा उपयोग किए जाने वाले सुरक्षा प्रोटोकॉल से समझौता करता है दुनिया भर। हार्टब्लीड एक हैकर के लिए डेटा को स्क्रैप करना संभव बनाता है मेमोरी से - जिसमें पासवर्ड, बैंक खाता नंबर और अंदर मौजूद कुछ भी शामिल है।
अनुशंसित वीडियो
बग की गंभीरता ने कई लोगों को आश्चर्यचकित कर दिया कि यह कैसे हो सकता है। ओपनएसएसएल, सुरक्षा प्रोटोकॉल जिसमें बग पाया गया था, का उपयोग पूरी दुनिया में किया जाता है। इसका उपयोग न केवल सर्वर में, बल्कि राउटर और यहां तक कि कुछ एंड्रॉइड स्मार्टफोन में भी किया जाता है। आप सोच सकते हैं कि किसी जिम्मेदार पार्टी के पास सुरक्षा शोधकर्ताओं की एक टीम है जो कोड की जांच और दोबारा जांच कर रही है, लेकिन वास्तव में, ओपनएसएसएल को एक छोटे समूह द्वारा प्रबंधित किया जाता है जिसमें ज्यादातर स्वयंसेवक शामिल होते हैं।
संबंधित
- एक नए वर्डप्रेस बग के कारण 2 मिलियन साइटें असुरक्षित हो सकती हैं
- ट्विटर के एसएमएस टू-फैक्टर प्रमाणीकरण में समस्या आ रही है। यहां तरीकों को बदलने का तरीका बताया गया है
- HiveNightmare एक ख़राब नया विंडोज़ बग है। यहां बताया गया है कि अपनी सुरक्षा कैसे करें
ओपनएसएसएल के लिए खुल रहा है
ओपनएसएसएल अपने नाम में अपने ओपन-सोर्स मूल का दावा करता है। 1998 में स्थापित, यह प्रोजेक्ट इंटरनेट सर्वर के लिए मुफ्त एन्क्रिप्शन टूल का एक सेट प्रदान करने के लिए बनाया गया था। यह एक महत्वपूर्ण लक्ष्य था; एन्क्रिप्शन महत्वपूर्ण और सामान्य है. यह सुनिश्चित करने के लिए कि इसे यथाशीघ्र अपनाया जाएगा, एक निःशुल्क मानक की आवश्यकता थी। यह परियोजना बेहद सफल रही और जल्द ही इंटरनेट के सबसे महत्वपूर्ण सुरक्षा उपकरणों में से एक बन गई।
फिर भी, सफलता का परिणाम विस्तार या मुनाफ़ा नहीं हुआ। ओपनएसएसएल केवल समर्थन अनुबंधों के माध्यम से आय उत्पन्न करता है, जो संगठन से ही समस्या निवारण और परामर्श तक पहुंच प्रदान करता है।
कुल मिलाकर केवल 11 लोग, जिनमें से अधिकांश स्वयंसेवक हैं, एक महत्वपूर्ण एन्क्रिप्शन मानक के लिए जिम्मेदार हैं।
इसके परिणामस्वरूप अनुमानतः छोटा स्टाफ हो जाता है। "कोर टीम" केवल चार व्यक्तियों से बनी है, और विकास टीम सूची में सात और नाम जोड़ती है। यह कुल मिलाकर केवल 11 लोग हैं, जिनमें से अधिकांश स्वयंसेवक हैं, जो एक महत्वपूर्ण एन्क्रिप्शन मानक के लिए जिम्मेदार हैं। उनमें से केवल एक, डॉ. स्टीफ़न हैनसन, पूरी तरह से ओपनएसएसएल पर ध्यान केंद्रित करते हैं। बाकी सभी के पास एक और पूर्णकालिक नौकरी है।
संगठन के पैसे का प्रबंधन करने वाले स्टीव मार्क्वेस ने इसे सबसे अच्छा कहा. “रहस्य यह नहीं है कि कुछ अधिक काम करने वाले स्वयंसेवक बग से चूक गए; रहस्य यह है कि ऐसा अधिक बार क्यों नहीं हुआ।
ग़लतियाँ हुईं
सारा संकट इसी पर आधारित है - एक गलती। यह त्रुटि हार्टबीट नामक ओपनएसएसएल एक्सटेंशन पर काम करने वाले एक जर्मन स्वयंसेवक रॉबिन सेगेलमैन द्वारा पेश की गई थी। उन्होंने नए साल की पूर्व संध्या, 2011 को कोड प्रस्तुत किया, और बाद में यह समीक्षा प्रक्रिया से गुज़र गया। हार्टब्लीड दो वर्षों से अधिक समय से जनता के लिए अज्ञात रूप से अस्तित्व में है।
प्रोजेक्ट के अन्य सदस्य समीक्षा के दौरान सबमिट किए गए कोड की दोबारा जांच करते हैं, लेकिन गलतियाँ होती हैं, इसलिए इसमें कोई आश्चर्य की बात नहीं है कि अंततः एक बग निकल गया। यहां तक कि माइक्रोसॉफ्ट और सिस्को जैसी अरबों डॉलर की कंपनियां भी अपने शर्मनाक कारनामों से प्रभावित हैं।
समस्या एक मान के अनुसार मेमोरी आवंटित करने से उत्पन्न होती है जिसे एक अनुरोध द्वारा परिभाषित किया जा सकता है। यदि उपयोगकर्ता वैध इनपुट प्रदान करता है, तो फ़ंक्शन इच्छानुसार काम करता है। हालाँकि, यदि कोई अमान्य अनुरोध किया जाता है, तो कोड मेमोरी में मौजूद कुछ चीज़ों को डंप कर देता है, जिसमें वह जानकारी भी शामिल होती है जिसे सुरक्षित और एन्क्रिप्टेड माना जाता है। यह वेब कॉमिक हार्टब्लीड को यह भी समझाता है कि क्या आपको विज़ुअलाइज़ेशन को उपयोगी समझना चाहिए।
कुछ सॉफ्टवेयर इंजीनियर ऐसा मानते हैं बग का अस्तित्व सी की सुरक्षा पर सवाल उठाता है, वह कोड जिसमें हार्टबीट एक्सटेंशन लिखा गया था। हालांकि लोकप्रिय, सी एक जटिल भाषा है जो मेमोरी प्रबंधन और मूल्यों के प्रबंधन में त्रुटियों के लिए बहुत सारे अवसर प्रदान करती है। एक अन्य ओपन-सोर्स एसएसएल कार्यान्वयन, जीएनयूटीएलएस में एक बग, हार्टब्लीड से एक महीने पहले सामने आया था, और सी में भी लिखा गया था। वह बग और भी पुराना था; इसके लिए जिम्मेदार कोड 2005 में जोड़ा गया था।
अगला कदम क्या है?
हार्टब्लीड के लिए अंततः मानवीय त्रुटि जिम्मेदार है, लेकिन दोष केवल एक कोडर के कंधों पर नहीं पड़ता है। ओपनएसएसएल फॉर्च्यून 500 कंपनियों, सरकारों और यहां तक कि सैन्य संगठनों द्वारा उपयोग किया जाने वाला मुफ्त सॉफ्टवेयर है, फिर भी ये संगठन लगभग कभी भी परियोजना के लिए धन या जनशक्ति का योगदान नहीं करते हैं।
कंपनियाँ और सरकारें बहुत चिंतित लगती हैं, फिर भी वास्तविक समर्थन के वादे अशुभ रूप से अनुपस्थित हैं।
दुनिया को भी इस गलती से सीखना चाहिए. ओपन-सोर्स प्रोजेक्ट में योगदान किए बिना उसका उपयोग करना, लंबी अवधि में, आपदा का एक नुस्खा है - खासकर जब प्रोजेक्ट नेटवर्क बुनियादी ढांचे का एक महत्वपूर्ण हिस्सा है। इंटरनेट की सुरक्षा को मुट्ठी भर स्वयंसेवकों द्वारा कायम नहीं रखा जाना चाहिए, जो अपना नाम समाचारों में तभी पाते हैं जब कुछ गलत होता है।
संपादकों की सिफ़ारिशें
- रैंसमवेयर हमलों में बड़े पैमाने पर वृद्धि हुई है। यहां सुरक्षित रहने का तरीका बताया गया है
- Reddit को हैक कर लिया गया था - यहां बताया गया है कि अपने खाते की सुरक्षा के लिए 2FA कैसे सेट करें
- स्पेसएक्स 100K स्टारलिंक ग्राहकों तक पहुंच गया है। साइन अप करने का तरीका यहां बताया गया है
- आपके डेल लैपटॉप में सुरक्षा भेद्यता हो सकती है। इसे ठीक करने का तरीका यहां बताया गया है।
- DNS सर्वर क्या है? यहां बताया गया है कि इंटरनेट आपके पसंदीदा को कैसे पेश करता है
अपनी जीवनशैली को उन्नत करेंडिजिटल ट्रेंड्स पाठकों को सभी नवीनतम समाचारों, मजेदार उत्पाद समीक्षाओं, व्यावहारिक संपादकीय और एक तरह की अनूठी झलक के साथ तकनीक की तेज़ गति वाली दुनिया पर नज़र रखने में मदद करता है।
