ओपनएसएसएल हार्टबलेड बग क्या है और आपको इसकी परवाह क्यों करनी चाहिए?
एक नियमित इंटरनेट उपयोगकर्ता के रूप में, आप इंटरनेट की पृष्ठभूमि को बस काम करने की उम्मीद करते हैं । दृश्यों के पीछे जो कुछ भी चलता है, सभी एन्क्रिप्शन, सभी हैंडशेक, और हर छोटे लेन-देन से आपको अपने हर कदम पर हैकर्स के बारे में चिंता करने के बिना ऑनलाइन संचार करने और अपने व्यवसाय को सुरक्षित करने का एक सुरक्षित तरीका प्रदान करने में सक्षम होना चाहिए। दुर्भाग्यवश ऐसा नहीं है कि इंटरनेट कैसे काम करता है, और ओपनएसएसएल "हार्टबलेड" बग इसका निश्चित सबूत है। ऐसी कुछ चीजें हैं जिन्हें आपको इस बग के बारे में पता होना चाहिए क्योंकि, सभी संभावनाओं में, यह आपके विचार से कहीं अधिक है।
ओपनएसएसएल क्या है ?!
ठीक है, इसलिए मैंने ओपनएसएसएल का दो बार उल्लेख किया और आपको यह भी समझाया नहीं। जब आप "सुरक्षित" साइट दर्ज करते हैं तो क्या आप अपने ब्राउज़र पर " https: // " के बगल में छोटा लॉक आइकन देखते हैं? ऐसा लगता है कि Google के क्रोम वेब ब्राउजर पर ऐसा कुछ दिखता है:
जब आप इसे देखते हैं, तो आप सुरक्षित सॉकेट लेयर (एसएसएल) या ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) के रूप में जाने वाले एन्क्रिप्शन के एक विशेष रूप का उपयोग कर रहे हैं। इस एन्क्रिप्शन के साथ सेवाएं प्रदान करने के लिए, आपको एक एल्गोरिदम की आवश्यकता है जो आपके द्वारा सर्वर के साथ आने वाले पैकेट के लिए एन्क्रिप्शन / डिक्रिप्शन प्रदान करेगा। इसका मतलब है कि उन्हें आपके पाठ को अपठनीय गड़बड़ी में अनुवाद करने का एक तरीका होना चाहिए और उसके बाद इसे वापस अपने स्वयं के अंत में पठनीय रूप में अनुवाद करना होगा। इस तकनीक का उपयोग करना, यदि कोई हैकर किसी भी तरह से सर्वर से आपके कनेक्शन में हस्तक्षेप करने का प्रबंधन करता है, तो वह जो भी पढ़ेगा वह एक लंबी स्ट्रिंग है।
अब, हम भाग (अंत में) प्राप्त करते हैं जहां हम बताते हैं कि ओपनएसएसएल क्या है: यह एसएसएल / टीएलएस प्रोटोकॉल का एक मुक्त और मुक्त स्रोत कार्यान्वयन है। इस तकनीक के साथ, कोई भी आपको एन्क्रिप्टेड सेवाएं प्रदान कर सकता है। जिन कंपनियों के साथ आप खाते हैं, वे आपके डेटा को एन्क्रिप्ट करने के लिए ओपनएसएसएल का उपयोग कर सकते हैं।
लेकिन क्या होगा यदि ओपनएसएसएल में एक बग है जो पूरी तरह से एन्क्रिप्शन के उद्देश्य को हरा देता है?
बग समझाया
10 अप्रैल, 2014 को, एक पहचान सुरक्षा कंपनी परफेक्टक्लाउड के लोगों ने ओपनएसएसएल के कोडिंग में एक विशाल छेद पर "हार्टबलेड" बग के रूप में जाना जाता है। दो वर्षों तक, हमने ओपनएसएसएल का एक नया संस्करण नहीं देखा है, और उस समय के दौरान इसे अपने कोड में एक समस्या थी जिसने सर्वर मेमोरी का थोड़ा सा खुलासा किया। इस मेमोरी खंड में निजी कुंजी हो सकती है जिनका उपयोग डेटा को एन्क्रिप्ट / डिक्रिप्ट करने के लिए किया जाता है। आउच!
इसका अर्थ यह है कि एक हैकर सर्वर की क्रिप्टोग्राफिक कुंजी खोज सकता है और जो कुछ भी आप भेजते हैं उसे बस डिक्रिप्ट कर सकते हैं, जिसमें आपका उपयोगकर्ता नाम, आपका पासवर्ड और अन्य सभी महत्वपूर्ण और प्रिय हैं।
बग 7 अप्रैल, 2014 को तय किया गया था, लेकिन इसका मतलब यह नहीं है कि सभी को ओपनएसएसएल के कार्यान्वयन के अपडेट के साथ पीछा किया गया है। अमेज़ॅन और याहू जैसी प्रमुख इंटरनेट कंपनियों ने इस मुद्दे का ख्याल रखा है, लेकिन इसका मतलब यह नहीं है कि आप स्पष्ट हैं! किसी हैकर के पास किसी भी अन्य खाते तक पहुंचने का प्रयास करने के लिए अभी उपयोग करने के लिए तैयार होने वाली सूची में आपका उपयोगकर्ता नाम और पासवर्ड हो सकता है।
आपको क्या करना चाहिये?
इसलिए, अगर कोई कंपनी नवीनतम ओपनएसएसएल कार्यान्वयन में अपग्रेड करती है, तो भी आपको पिछले एक्सपोजर के लिए जोखिम हो रहा है। हालांकि, अगर कोई और हैकिंग प्रयास हैं, तो वे सफल नहीं होंगे। इस स्थिति में आप क्या कर सकते हैं हर जगह अपना पासवर्ड बदल सकते हैं। इसे प्रतीक्षा न करें। बस कुछ भी बदलें ताकि आप तैयार हो जाएं यदि कोई हैकर कभी भी आपके खाते को आजमाने का फैसला करता है।
कोई और विचार?
यह बग बस दिखाता है कि इंटरनेट कितना नाज़ुक और इंटरवॉवन है। अपनी उभरती सुरक्षा जागरूकता और अनियमित उत्कृष्टता के बावजूद, इंटरनेट अभी भी इंटरनेट है, और यह हमेशा घेराबंदी में होगा। ओपनएसएसएल का उपयोग करने वाली कंपनियों के लिए आपके पास क्या सिफारिशें हैं? सुरक्षा पारिस्थितिकी तंत्र की आपकी समझ कैसे बदल गई? क्या आप किसी चीज़ के बारे में उलझन में हैं? नीचे टिप्पणी क्षेत्र में ओपनएसएसएल से संबंधित किसी भी चीज़ पर अपने विचार पोस्ट करें!
![HEIF - उन्हें बदलने के लिए एक नई छवि प्रारूप [प्रौद्योगिकी समझाया गया]](http://moc9.com/img/HEIF-mte-JPEG.jpg)
