हार्दिक बग लाखों उपयोगकर्ताओं को असुरक्षित छोड़ देता है

वेब प्रशासकों और कंप्यूटर सुरक्षा शोधकर्ताओं ने मंगलवार को हजारों वेब सर्वरों द्वारा उपयोग की जाने वाली ओपनएसएसएल एन्क्रिप्शन में एक गंभीर भेद्यता को ठीक करने के लिए हाथापाई की, जिसमें ईमेल और वेब चैट प्रदाता द्वारा चलाए जा रहे थे। बग, हार्टबल को डब किया गया, “इंटरनेट पर किसी को भी ओपनएसएसएल सॉफ्टवेयर के कमजोर संस्करणों द्वारा संरक्षित सिस्टम की मेमोरी पढ़ने की अनुमति देता है”।

दूसरे शब्दों में हैकर्स या साइबर अपराधी हार्टफुल बग का उपयोग सर्वर से निजी एन्क्रिप्शन कुंजी चोरी करने के लिए कर सकते हैं जो एसएसएल / टीएलएस एन्क्रिप्शन के ओपनएसएसएल प्रोटोकॉल का उपयोग कर रहा है और फिर पासवर्ड सहित उपयोगकर्ता डेटा पर स्नूप करता है। ऐसी खबरें हैं कि याहू, इमगुर और फ्लिकर के सर्वर प्रभावित हुए हैं। हालाँकि, यह दो साल पुरानी बग के आसपास है और इसलिए किसी को भी नहीं पता है कि कितने लोगों ने इसका इस्तेमाल किया है और कितने सर्वरों से समझौता किया है।

बग इतना गंभीर और व्यापक है कि टो प्रोजेक्ट, जो गुमनाम टोर नेटवर्क का प्रबंधन करता है, ने वेब उपयोगकर्ताओं को कुछ समय के लिए ऑफ़लाइन जाने की सलाह दी है। “यदि आपको इंटरनेट पर मजबूत गुमनामी या गोपनीयता की आवश्यकता है, तो आप अगले कुछ दिनों तक इंटरनेट से पूरी तरह से दूर रहना चाह सकते हैं, जबकि चीजें व्यवस्थित हो जाती हैं,” यह एक ब्लॉग पोस्ट में कहा गया है।

ओपनएसएसएल प्रोजेक्ट ने वेब उपयोगकर्ताओं और वेब स्वामी को बग के बारे में सूचित करने के लिए www.heartbleed.com नामक एक वेबसाइट बनाई है। “हार्टबल बग इंटरनेट पर किसी को भी ओपनएसएसएल सॉफ्टवेयर के कमजोर संस्करणों द्वारा संरक्षित सिस्टम की मेमोरी पढ़ने की अनुमति देता है।” सेवा प्रदाताओं की पहचान करने और उपयोगकर्ताओं और वास्तविक सामग्री के ट्रैफ़िक, नामों और पासवर्डों को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली गुप्त कुंजियों से समझौता करता है। यह हमलावरों को संचार पर ध्यान देने, सेवाओं और उपयोगकर्ताओं से सीधे डेटा चोरी करने और सेवाओं और उपयोगकर्ताओं को लगाने की अनुमति देता है। , “वेबसाइट पर पोस्ट किया गया एक नोट समझाया।

एक अलग नोट में ओपनएसएसएल प्रोजेक्ट ने कहा कि बग की खोज Google के साथ काम करने वाले एक सुरक्षा शोधकर्ता नील मेहता ने की थी। यह भी कहा कि “प्रभावित उपयोगकर्ताओं को OpenSSL 1.0.1g में अपग्रेड करना चाहिए”। यहां ध्यान देने योग्य बात यह है कि उपयोगकर्ताओं द्वारा ओपनएसएसएल का अर्थ वेब उपयोगकर्ताओं से नहीं बल्कि वेब सर्वर प्रशासकों से है जो ओपनएसएसएल प्रोटोकॉल का उपयोग करते हैं।
हार्टबल बग के कारण सर्वर व्यवस्थापकों और सुरक्षा शोधकर्ताओं में घबराहट हुई है क्योंकि यह सर्वरों को कैसे प्रभावित करता है। हार्टलेड वेबसाइट के हवाले से बताया, “इस बग ने बड़ी मात्रा में इंटरनेट से जुड़ी निजी कुंजी और अन्य रहस्यों को उजागर कर दिया है। लंबे एक्सपोज़र को देखते हुए, शोषण और हमलों को आसानी से छोड़ दिया जाना चाहिए।” “लीक (निजी) गुप्त चाबियाँ हमलावर को संरक्षित सेवाओं के लिए किसी भी अतीत और भविष्य के ट्रैफ़िक को डिक्रिप्ट करने और वसीयत में सेवा को लागू करने की अनुमति देती हैं।”

एक सवाल के जवाब में – क्या मैं बग से प्रभावित हूं? – ओपनएसएसएल वेबसाइट नोट करती है, “आपको प्रत्यक्ष या अप्रत्यक्ष रूप से प्रभावित होने की संभावना है”।

“ओपनएसएसएल सबसे लोकप्रिय ओपन सोर्स क्रिप्टोग्राफिक लाइब्रेरी और टीएलएस कार्यान्वयन है जिसका उपयोग इंटरनेट पर ट्रैफ़िक को एन्क्रिप्ट करने के लिए किया जाता है। आपकी लोकप्रिय सोशल साइट, आपकी कंपनी की साइट, कॉमर्स साइट, हॉबी साइट, साइट जिसे आप सॉफ़्टवेयर इंस्टॉल करते हैं या आपकी सरकार द्वारा संचालित साइटें भी हो सकती हैं। असुरक्षित ओपनएसएसएल का उपयोग करना। ऑनलाइन सेवाओं में से कई टीएलएस का उपयोग आप दोनों को खुद को पहचानने और आपकी गोपनीयता और लेनदेन की रक्षा करने के लिए करते हैं। आपके पास टीएलएस के इस छोटी गाड़ी के कार्यान्वयन से सुरक्षित लॉगिन वाले नेटवर्क हो सकते हैं, “वेबसाइट ने नोट किया।

उपभोक्ताओं को:

ऐसी जटिल स्थितियां हैं कि क्या आपका डेटा पुनर्प्राप्त हो सकता है या नहीं भी हो सकता है, और आपको यह अनुमान लगाना चाहिए कि पासवर्ड चोरी हो गए हों, लेकिन हर चीज का अंधा रीसेट वास्तव में यह अधिक संभावना बना सकता है कि आप अपना विवरण खो दें। प्रदाता द्वारा पैच किए जाने के बाद आपको पासवर्ड रीसेट करने की आवश्यकता होती है।

हमलावर जल्द ही मदद या जादू के समाधान की पेशकश करने के बहाने नकली सूचनाएं और लिंक भेजना शुरू कर सकते हैं। वेब पर अतिरिक्त सतर्क रहें, न केवल हार्टबल के कारण, बल्कि साइबर अपराधियों को भी बुरा कोड और माध्यमिक हमले अभियान शुरू करने के लिए गर्म विषयों पर कूदना पड़ता है।

फिक्स / समाधान:
प्रभावित उपयोगकर्ताओं को OpenSSL 1.0.1g में अपग्रेड करना चाहिए। वैकल्पिक रूप से अपग्रेड करने में असमर्थ उपयोगकर्ता वैकल्पिक रूप से OpenSSL को -DOPENSSL_NO_HEARTBEATS के साथ फिर से जोड़ सकते हैं

शमन का परिप्रेक्ष्य:

एक तकनीकी शमन परिप्रेक्ष्य से, जांचें कि आपकी आईटी सुरक्षा टीम निम्नलिखित कार्य करती है। यदि आप बस उस पैच को लागू करते हैं जो आपने जोखिम को कम नहीं किया है। कुछ मामलों में भेद्यता ने हमलावरों को अन्य संवेदनशील सुरक्षा जानकारी या टोकन तक पहुंच की अनुमति दी हो सकती है, इसलिए अतिरिक्त चरणों की आवश्यकता हो सकती है।