क्लाउडबल लीक हमें ऑनलाइन सुरक्षा के बारे में क्या बताते हैं
वेबसाइटों की एक चौंकाने वाली राशि रिवर्स प्रॉक्सी और डीडीओएस शमन सेवाओं जैसे क्लाउडफ्लेयर (जैसे रेडडिट) का उपयोग करती है ताकि उन्हें बड़ी आपदाओं से बचाया जा सके और रोशनी लगातार चालू रहें। ये सेवाएं अक्सर सुरक्षा और प्रदर्शन में वृद्धि के प्रदाता के रूप में खुद को बाजार बनाती हैं।
फिर भी, 17 फरवरी 2017 को, इसके प्रत्यक्ष विरोधाभास में, क्लाउडफ्लारे के सॉफ़्टवेयर में एक बड़ी बग ने लाखों वेबसाइटों से किसी भी समय पहुंचने के लिए बड़ी संख्या में निजी डेटा का उपयोग किया। इनमें से कुछ डेटा वेबसाइटों की कैश की गई प्रतियों पर भी दिखाई दिया जो Google के खोज परिणामों में दिखाए गए। यह विशेष घटना, जिसे क्लाउडबलेड के नाम से जाना जाने लगा, ने प्रौद्योगिकी के सुरक्षित उपयोग पर चर्चा के लिए एक मूल्यवान अवसर प्रस्तुत किया है।
यह सब क्या है?!
अनियमित के लिए, क्लाउडफ्लर एक ऐसी सेवा है जो आपकी वेबसाइट और व्यापक इंटरनेट के बीच एक मध्यस्थ के रूप में कार्य करती है। जब आप किसी साइट पर जाते हैं जो सेवा का उपयोग करता है, तो आप वास्तव में क्लाउडफ्लारे से कनेक्ट होते हैं जो साइट से कनेक्ट होता है और आपके आउटपुट को आपके पास रिले करता है। यह कुछ अधिक बार देखे गए पृष्ठों को कैश करेगा ताकि साइट को प्रत्येक बार कनेक्ट होने पर जवाब देने की आवश्यकता न हो, जिससे स्थानीय सर्वर पर यातायात की बड़ी मात्रा में असर पड़ता है। इससे आपकी साइट पर सेवा के इनकार करने वाले डीडीओएस) हमलों के प्रभाव को कम करने में भी मदद मिलती है क्योंकि एक ऐसे मध्यस्थ व्यक्ति हैं जो इन हमलों की झटके को विफल कर सकते हैं, एक प्रकार की यातायात रोशनी के रूप में कार्य कर सकते हैं जो वैध आगंतुकों को उनके ट्रैक में बॉट्स को रोक देता है और रोक देता है । क्लाउडफ्लेयर और अन्य रिवर्स प्रॉक्सी सेवाएं (जैसे इंकापुला और अकामाई) अक्सर वेबसाइट सुरक्षा के purveyors के रूप में खुद को बाजार में बेच देंगे।
क्लाउडबल क्या है?
क्लाउडब्लेड एक ऐसी घटना है जिसमें क्लाउडफ्लेयर के सॉफ़्टवेयर में Google की प्रोजेक्ट ज़ीरो टीम के सदस्य द्वारा एक बग की खोज की गई थी, जिसने प्रमुख वेबसाइटों, ऑनलाइन पासवर्ड प्रबंधक डेटा और कई अन्य सर्वरों से पूर्ण HTTPS अनुरोधों से निजी संदेश खोले। कनेक्शन अनुरोधों के लिए क्लाउडफ्लेयर की प्रतिक्रिया अक्सर आवंटित बफर स्पेस को ओवरराउन कर देती है और उस समय वेबसाइटों तक पहुंचने वाले किसी भी अन्य ग्राहक से डेटा प्रस्तुत करती है। यह सबकुछ खुले में छोड़ देता है और सेवा पर निर्भर वेबसाइटों का उपयोग करने या मालिकों के लिए किसी भी व्यक्ति के लिए एक विनाशकारी सुरक्षा जोखिम प्रस्तुत करता है।
बग फरवरी के अंत में पैच किया गया था, हालांकि सेवा स्वीकार करती है कि डेटा लीक 22 सितंबर 2016 को अपने नए एचटीएमएल पार्सर की शुरुआत के रूप में शुरू हो रहा था।
सीख सीखी
यदि आप थोड़ी देर के लिए हमारी कहानियां पढ़ रहे हैं, तो आपको 2014 में हार्टबलेड बैक नामक एक बहुत ही समान घटना याद हो सकती है, जिसमें ओपनएसएसएल का उपयोग करने वाली वेबसाइटें एक शोषण के लिए कमजोर थीं जो निजी डेटा के टुकड़ों को झुकाव करने के लिए पार्टियों को छीनने के लिए प्रकट कर सकती थीं। यह हाल ही में क्लाउडबलेड केरफफल के साथ हमें एक मूल्यवान सबक सिखाता है: कुछ भी सौ प्रतिशत भरोसेमंद नहीं है, यहां तक कि आपकी सुरक्षा के स्पष्ट उद्देश्य के साथ सेवाएं भी नहीं।
यह क्लाउडफ्लेयर को बाश करने के लिए नहीं है। बग किसी भी सेवा के साथ हो सकता था। यहां बिंदु यह है कि इंटरनेट ऐसी जगह नहीं है जहां आपको सुरक्षा के गारंटीकृत स्तर की अपेक्षा करनी चाहिए। आप स्वयं को बचाने के लिए हर संभव प्रयास कर सकते हैं और फिर भी उस स्थिति से खुले में बाहर निकल सकते हैं जिस पर आपका कोई नियंत्रण नहीं है।
आपको क्या करना चाहिये?
सच्चाई यह है कि, इंकॉम के जोसेफ स्टीनबर्ग लिखते हैं, "वर्तमान जोखिम उस कीमत से बहुत छोटा है जो 'साइबर सुरक्षा परिपक्वता' में वृद्धि होगी, जिससे भविष्य में बहुत बड़ी समस्याएं आती हैं।" यहां उनका क्या मतलब है कि बग की प्रकृति इस संभावना को बनाती है कि आपका पासवर्ड इतना खगोलीय रूप से कम हो गया है कि इसे बदलने से आपको केवल नीचे पहनने का असर होगा। जब एक वास्तविक संकट हिट होता है, तो आप सभी शोर, आतंक और प्रचार से बहुत थक सकते हैं कि आप किसी महत्वपूर्ण क्षण में अपना पासवर्ड बदलने के लिए कॉल को अनदेखा कर सकते हैं। क्लाउडबल वह पल नहीं है। लेकिन हर तरह से, यदि आपको वास्तव में ऐसा करने की आवश्यकता महसूस होती है, तो अपना पासवर्ड बदलें।
इसके अलावा, केवल सतर्क रहें और अपनी पसंद की सेवाओं से ईमेल अनदेखा न करें। जिस क्षण संकट संकट होता है, वे आपको इसके बारे में जानने के लिए हर चीज के साथ एक दोस्ताना पत्र भेज देंगे और यह सुनिश्चित करने के लिए कि आपको प्रभावित नहीं होने के लिए आपको क्या करना चाहिए, इस पर सुझाव भी प्रदान कर सकते हैं।
क्या आपको लगता है कि स्टीनबर्ग सुझाव देते हैं कि साइबर सुरक्षा की थकान मौजूद है? क्या लोगों को आतंक के लिए पर्याप्त पर्याप्त औचित्य नहीं होने पर भी सतर्कता की स्थिति में रहना चाहिए? हमें बताएं कि आप एक टिप्पणी में क्या सोचते हैं!