কম্পিউটার
 Computer >> কম্পিউটার >  >> নেটওয়ার্কিং >> ইন্টারনেট

হার্টব্লিড, আমার হার্টব্লিড শোন, ওহ-ওহ

সাধারণত, আমি সফ্টওয়্যার নিরাপত্তা সম্পর্কে খুব সন্দিহান। আমি মনে করি প্রাসঙ্গিক সফ্টওয়্যার শিল্পের অন্যতম প্রধান উদ্দেশ্য হল নিরাপত্তা পণ্য কেনার জন্য লোকেদের ভয় দেখানো, যাতে তারা অনুমিতভাবে নিরাপদ বোধ করতে পারে। এর সর্বোত্তম উদাহরণ হবে উইন্ডোজ এক্সপির অবসানের আগে উইন্ডোজ ম্যালওয়্যার পরিস্থিতি সম্পর্কে বিরোধপূর্ণ মতামত, মাইক্রোসফ্টের একটি প্রতিবেদনে দেখানো হয়েছে যে কীভাবে তার অপারেটিং সিস্টেমের নতুন সংস্করণগুলি নিরাপদ, এবং একটি অ্যান্টি-ম্যালওয়্যার সংস্থাগুলি যেগুলি সঠিক দাবি করে। বিপরীত. এটি সর্বশেষ ওপেনএসএসএল ইস্যুটির বিষয়ে আমার দুর্গন্ধের চোখ নিয়ে আসে।

বেশ কিছু ব্যবহারকারী, অর্থাত্ একাধিক, আমার বরং শান্ত পদ্ধতির প্রেক্ষিতে আমাকে এই বিষয়ে বিস্তারিত বলতে বলেছেন। প্রকৃতপক্ষে, এটি উইন্ডোজ নয়, এটি লিনাক্স। এই ওয়েব. এটি সম্পূর্ণ অন্য কিছু। এই আকর্ষণীয় হতে হবে.

সংক্ষেপে হার্টব্লিড

মূলত, Heartbleed হল OpenSSL হার্টবিট এক্সটেনশনের একটি বাগ, যা একজন হার্টবিট অনুরোধকারীকে টার্গেট সিস্টেমে OpenSSL লাইব্রেরি মেমরি থেকে নির্বিচারে পেলোড গ্রহণ করতে দেয়। অন্য কথায়, TLS প্রোটোকল যোগাযোগের জন্য প্রয়োজনীয় ডেটা ফেরত দেওয়ার পরিবর্তে, পোল করা হোস্ট তার চেয়ে বেশি ফেরত দেয়। এর কার্যকরী অর্থ হল মেমরি পৃষ্ঠাগুলিতে অ্যাক্সেস যা অনুরোধকারীকে পাঠানোর জন্য নয়।

এবং এটাই. এখন, সমস্যা হল যে এটি একটি বিশাল সংখ্যক ওয়েব হোস্ট করা পরিষেবা এবং সাইটগুলিকে প্রভাবিত করে, যার একটি বড় গ্রাহক বেস রয়েছে৷ এখানেই হার্টব্লিড সমস্যাটি আরও একটি বাগ হয়ে ওঠে।

কেন এটা খারাপ

হ্যাঁ, আপনি এটা সঠিক শুনেছেন। আমি মনে করি এটি একটি গুরুতর সমস্যা। কিন্তু টার্গেট করা সাইট থেকে কি ধরনের ডাটা সংগ্রহ করা যেত সে কারণে নয়। যে, এবং সবসময় গোপনীয় তথ্য চুরি সমগ্র উদ্দেশ্য থেকে যাবে. যে বিন্দু পাশে.

ব্যাপারটা যেভাবে ইস্যুটি নিয়ে এসেছে তা হল। হার্টবিট বাগ দুটি প্রধান সমস্যার কারণে হয়েছিল। এক, খারাপ ইনপুট বৈধতা, প্রোগ্রামিং এর অপবিত্র গ্রেইল, যখন কোড ডেভেলপাররা তাদের ভেরিয়েবল শুরু করতে, সীমানা চেক করতে বা মান ফেরত দিতে ভুলে যায়। কিউবিকলে থাকা লোকেদের বিশ্বাস করা যায় না তার প্রধান কারণ। হায়, এটা এমনকি সেরা ঘটবে. হ্যালো ওয়ার্ল্ডের সুযোগের বাইরে গেলে আপনি কিছু করতে পারবেন না!

দ্বিতীয় সমস্যাটি হল যে openSSL-এর বিকাশকারীরা তাদের নিজস্ব প্রয়োগ বিনামূল্যে এবং malloc ব্যবহার করেছে, দুটি রুটিন যা গতিশীলভাবে মেমরির অংশগুলি দখল এবং ছেড়ে দিতে ব্যবহৃত হয়। এর মানে তারা ভেবেছিল যে তারা অন্য সবার চেয়ে ভাল জানে।

তাই হ্যাঁ, যখন আপনি সমস্যাটি এভাবে ভেঙে ফেলেন, এটি বিরক্তিকর। প্রায় চেরনোবিল দুর্ঘটনার মতো। ছোট ছোট সমস্যাগুলির একটি স্ট্রিং যা একটি c.l.u.s.t.e.r. ডিজিটাল মিলনের তোড়া।

আপনি যা করতে পারেন - সঠিক দৃষ্টিকোণ

আপনার জন্য খুব কম আছে. সত্যি বলতে. সমস্যাটি বেশিরভাগই সার্ভারের দিকে। সত্য, এটি দুর্বল ওপেনএসএসএল লাইব্রেরি ব্যবহার করে এমন সমস্ত মেশিনকেও প্রভাবিত করে। কিন্তু নিজেকে জিজ্ঞাসা করুন যে আপনার ডিভাইসগুলি ওয়েব থেকে তথ্য পুনরুদ্ধার করা ছাড়া, হয়তো কোন গেমিং সার্ভারের সাথে সংযোগ করা ছাড়াও TLS ব্যবহার করে অন্যান্য হোস্টের সাথে কতবার সরাসরি যোগাযোগ করে?

যাইহোক, বড় সাইটগুলির জন্য, আমি ব্যক্তিগতভাবে মনে করি যে সেগুলি রক্তপাত করা হলেও, ট্র্যাফিকের পরিমাণ এত বেশি যে সমস্ত তথ্য প্রক্রিয়া করার জন্য এটি একটি উল্লেখযোগ্য পরিমাণ কম্পিউটিং শক্তি নেয় এবং মেমরির বিষয়বস্তুগুলি তৈরি করতে সম্ভবত খুব কম। একটি সুসংগত দৃষ্টিভঙ্গি।

এখন, এটি আমার ধারণা, গাণিতিক থিসিস নয়, তাই আপনার ভিট্রিয়ল থেকে দূরে থাকুন এবং কী না। চিন্তা করুন. উদাহরণস্বরূপ, Google নিন। এটির বিশাল কম্পিউট ফার্ম রয়েছে যেখানে হাজার হাজার সার্ভার রয়েছে যা ওয়েব-সম্পর্কিত পরিষেবাগুলি অফার করে, প্রতিটি সেকেন্ডে শত শত অনুরোধ পরিবেশন করে। সুতরাং আপনি এই সংস্থানগুলি হার্টবিট করলেও, সমস্ত ডেটা পেতে আপনার নিজের সার্ভারগুলির একটি গুচ্ছ লাগে৷ এছাড়াও, যদি কেউ এত সুন্দর SSL সামগ্রী পাওয়ার জন্য কঠোর পরিশ্রম করে, তবে তারা সম্ভবত এই সংস্থানগুলি করতে চান না। তৃতীয়ত, সমস্ত শংসাপত্র চুরি হয়ে গেলেও, একটি সুইচ নেটওয়ার্কে একটি অর্থপূর্ণ উপায়ে ট্র্যাফিক শুঁকানো সহজ জিনিস নয়।

আমি আপনাকে শান্ত করার জন্য এটি বোঝাতে চাই না। ঐটা আসল কথা না. আপনি শুধু একটি যুক্তিসঙ্গত পদ্ধতিতে সমস্যা পরীক্ষা করতে হবে. তাই হ্যাঁ, তাত্ত্বিকভাবে এবং সম্ভবত অনুশীলনে, নির্দিষ্ট SSL ডেটা ফাঁস হয়ে থাকতে পারে। সতর্কতা হিসাবে, কিছু ওয়েবসাইট আপনাকে আপনার পাসওয়ার্ড পরিবর্তন করার পরামর্শ দিয়েছে। এই বিবেচনা. এটি একটি খারাপ অভ্যাস না. তদুপরি, দ্বি-ফ্যাক্টর প্রমাণীকরণ এবং বিভিন্ন সাইটে বিভিন্ন পাসওয়ার্ড ব্যবহার করাও একটি ভাল ধারণা।

একটি জিনিস যা আপনার ভয়কে কিছুটা প্রশমিত করতে পারে তা হল কর্পোরেট জগতের বেশিরভাগ বিশ্বব্যাপী ইনস্টল বেস এন্টারপ্রাইজ ফ্লেভারের পুরানো সংস্করণগুলি চালাচ্ছে, যা বেশিরভাগই প্রভাবিত হয়নি। আপনি পুরানো সেন্টোস এবং এগুলিকে বিভ্রান্ত করতে পারেন, কারণ তারা আধুনিক এবং দুর্দান্ত নয়, তবে এই ক্ষেত্রে, তাদের কিছু ব্যবহার রয়েছে।

শেষ ব্যবহারকারী হিসাবে

এখন, আপনি যদি একজন ভালো ট্রুপার হতে চান, তাহলে কিছু জিনিস আছে যা আপনি করতে পারেন। আপনার জনপ্রিয় সাইটগুলি এখনও খারাপ সংস্করণ ব্যবহার করছে কিনা তা পরীক্ষা করুন। যদি তাই হয়, রিপোর্ট করুন, বৃদ্ধি করুন, একটি সমাধানের জন্য জিজ্ঞাসা করুন। যে ব্যবহারকারী পক্ষ থেকে এটি সম্পর্কে.

পাসওয়ার্ড, হ্যাঁ আমরা সেগুলি আগে উল্লেখ করেছি। শুধু মনে রাখবেন যে এই সূক্ষ্ম বাগটি 2012 সালের শুরু থেকে, দুই বছরেরও বেশি আগে থেকে বিদ্যমান। আপনি এই সমস্ত সময় এটি সম্পর্কে সচেতন ছিলেন না, যার অর্থ সম্ভবত সমস্যাটির একটি বিস্তৃত, গোপন প্রকাশ ছিল না। And if it did, then anywhere between two years back and now, information may have been leaked. So you should put things into the right perspective.

If you are running your own site, you can responsibly update the system, stop and start the affected services in order to load new libraries into the memory, and most importantly, make sure you do not have any crappy applications developed by mediocre consultant companies that use their own, statically-compiled openSSL, which effectively means that they will not be seeing or using your updates.

Conspiracy

Naturally, there is a fresh new NSA surveillance conspiracy, which claims that the three-letter agency knew about this bug for years. If you ask me, this is doubtful because two different companies, including Google's engineers and a Finnish (i.e. not American) company Codenomicon, reported the bug almost simultaneously. This means that something new came about.

So, if you are worried about NSA, then here's a remedy. Are you familiar with Michael Mann? He's the dude who directed Miami Vice, check, Heat, check, and many other great movies, including Manhunter, a much, much better version of the Hannibal Lecter thingie than Red Dragon. And the theme song is Heartbeat, also featured in one of Miami Vice's many stellar episodes. Now, if you listen to the song, you will understand it perfectly clearly.

Heartbeat, heartbeat, listen to my hearbeat, oh-oh

উপসংহার

This is probably the first time you will hear Dedoimedo say that there is a real security issue that people should treat seriously, rather than the usual scaremongering. Yes, the memory leak caused by Heartbleed is not just your everyday malware nonsense. On the same note, it is also an issue that will primarily have to be addressed by companies and service providers. Your role in this game is small. The important thing is to stay calm and rational.

Just remember, when the Internet backbones aches, lean back and watch. It does not happen every day, and it is a refreshing change from the usual your PC might be at risk bullcrap. In this case, it's bigger than you. So relax.

চিয়ার্স।


  1. মটোরোলা ওয়ান জুম এবং Android 10 এ আপগ্রেড করুন

  2. Android, iOS, Windows Phone - কোনটি সেরা?

  3. আমার নতুন পরীক্ষার বাক্স - এবং এটি কীভাবে ছিল না

  4. Windows 10 আপডেট - এক ধাপ এগিয়ে, এক ধাপ পিছিয়ে