প্রথমত , প্রকাশ করার আগে, নিশ্চিত হয়ে নিন যে এই দুর্বলতা আসলে আপনার জন্য প্রযোজ্য কিনা। আপনার যদি কোনও সার্ভার থাকে তবে টিএলএস ব্যবহার করে আসলেই কখনও কোনও অ্যাপ্লিকেশন আসে নি, তবে এটি ঠিক করা আপনার পক্ষে উচ্চ-অগ্রাধিকারের জিনিস নয়। অন্যদিকে, যদি আপনার কাছে কখনও টিএলএস-সক্ষম অ্যাপ্লিকেশন থাকে তবে ভাল আপনি কোনও ট্রিটের জন্য রয়েছেন। পড়তে:
CVE-2014-0160 ওরফে "হৃদয়যুক্ত" ঠিক কী?
এটি একটি বড় ঝাঁকুনির ঝামেলা, এটাই what সংক্ষেপে, ওপেনএসএসএল সংস্করণে 1.0.1f থেকে একটি দূরবর্তীভাবে-ব্যবহারযোগ্য দুর্বলতা আবিষ্কার করা হয়েছিল যার মাধ্যমে আক্রমণকারী সিস্টেম মেমোরির কিছু অংশ পড়তে পারে। সেই অংশগুলি হ'ল সংবেদনশীল ডেটা যেমন ব্যক্তিগত কী, প্রিশেড কী, পাসওয়ার্ড এবং অন্যান্য বিষয়গুলির মধ্যে উচ্চ মূল্যবান কর্পোরেট ডেটা রয়েছে।
গুগল সুরক্ষা (মার্চ 21, 2014) এর নীল মেহতা এবং ফিনিশ আইটি সুরক্ষা পরীক্ষামূলক সংস্থা কোডেনমিকন (2 এপ্রিল, 2014) দ্বারা বাগটি স্বাধীনভাবে আবিষ্কার করা হয়েছিল।
কারণটা কি?
ওয়েল, ওপেনএসএসএল এ ভ্রান্ত কোড। এখানে কমিট যে দুর্বলতার চালু, এবং এখানে কমিট যে দুর্বলতার সংশোধন করা হয়েছে। বাগটি ২০১১ সালের ডিসেম্বরে প্রদর্শিত হয়েছিল এবং এটি আজ, was ই এপ্রিল, ২০১৪ প্যাচ করা হয়েছিল।
বাগটি আরও বড় সমস্যার লক্ষণ হিসাবে দেখা যায়। সম্পর্কিত দুটি সমস্যা হ'ল (১) ভুল কোডটি কোনও কোড বেজে চালু করা হয়নি তা নিশ্চিত করার জন্য কোন প্রক্রিয়া চলছে এবং (২) প্রোটোকল এবং এক্সটেনশানগুলি কেন এত জটিল এবং পরীক্ষা করা শক্ত। আইটেম (1) ওপেনএসএসএল এবং অন্যান্য অনেক প্রকল্পের সাথে পরিচালনা এবং প্রক্রিয়া সম্পর্কিত সমস্যা। অনেক বিকাশকারী কোড কোড রিভিউ, বিশ্লেষণ এবং স্ক্যান করার মতো অনুশীলনগুলিকে কেবল প্রতিরোধ করেন। আইইটিএফ এর টিএলএস ডাব্লু জিএস নিয়ে আইটেম (2) নিয়ে আলোচনা হচ্ছে। দেখুন হার্টব্লিড / প্রোটোকল জটিলতা ।
ত্রুটিযুক্ত কোডটি কি দূষিতভাবে inোকানো হয়েছিল?
এটি সত্যই কোনও ভুল ছিল বা কোনও খারাপ অভিনেতার পক্ষে সম্ভবত কিছুটা কোড পিছলে গেছে কিনা তা নিয়ে আমি অনুমান করব না। যাইহোক, যে ব্যক্তি ওপেনএসএসএল এর জন্য কোডটি বিকাশ করেছেন তা বলেছেন যে এটি অজান্তেই ছিল। ম্যান দেখুন যিনি গুরুতর 'হৃদয়গ্রাহী' সুরক্ষা ত্রুটি চালু করেছিলেন তা অস্বীকার করেছেন তিনি ইচ্ছাকৃতভাবে এটি sertedোকালেন ।
ওপেনএসএসএল এর কোন ওএস এবং সংস্করণগুলি দুর্বল?
উপরে উল্লিখিত হিসাবে, যে কোনও অপারেটিং সিস্টেম যা ব্যবহার করছে বা অ্যাপ্লিকেশন যা ওপেনএসএসএল 1.0.1 এর মাধ্যমে 1.0.1f এর সাথে লিঙ্কযুক্ত রয়েছে।
লক্ষণগুলি কী কী, কোনও সফল শোষণ সনাক্তকরণের কোনও পদ্ধতি কি?
এটি ভীতিজনক অংশ। আমরা যতদূর জানি, এই দুর্বলতাকে কাজে লাগানো হয়েছে কি না তা সনাক্ত করার কোনও সঠিক উপায় নেই। তাত্ত্বিকভাবে সম্ভব যে আইডিএস স্বাক্ষরগুলি শীঘ্রই প্রকাশ করা হবে যা এই শোষণটি সনাক্ত করতে পারে, তবে এই লেখার হিসাবে, সেগুলি পাওয়া যায় না।
এমন প্রমাণ রয়েছে যে, ২০১৪ সালের নভেম্বরের শুরুতেই হার্টবেল্ড সক্রিয়ভাবে বন্যে ব্যবহার করা হয়েছিল। EFF এর ওয়াইল্ড এ হার্ট দেখুন: গোয়েন্দা সংস্থাগুলি নভেম্বর 2013 এ হার্টলেবল ব্যবহার করেছিল? এবং ব্লুমবার্গ জানিয়েছে যে দুর্বলতা প্রবর্তনের খুব শীঘ্রই এনএসএ শোষণকে অস্ত্র প্রয়োগ করেছিল। বছরের পর বছর ধরে গোয়েন্দার জন্য হার্টলেবল বাগের শোষণ করতে এনএসএ বলেছিলেন দেখুন । তবে মার্কিন গোয়েন্দা সম্প্রদায় ব্লুমবার্গের দাবি অস্বীকার করেছে। দেখুন রেকর্ডে আইসি ।
আমার সিস্টেমটি প্রভাবিত হয়েছে কিনা তা আমি কীভাবে পরীক্ষা করতে পারি?
আপনি যদি আপনার সিস্টেমে ওপেনএসএসএল বজায় রাখছেন তবে আপনি কেবল ইস্যু করতে পারেন openssl version
:
$ openssl version
OpenSSL 1.0.1g 7 Apr 2014
তাহলে বন্টন দ্বারা OpenSSL বজায় রাখার করা হয়, তাহলে আপনি সম্ভবত দ্বারা OpenSSL সংস্করণ ফিরে ব্যবহার প্যাচিং কারণে নির্ধারণ করতে পারি না openssl
আদেশ বা প্যাকেজ তথ্যের (উদাহরণস্বরূপ, apt-get
, dpkg
, yum
বা rpm
)। বেশিরভাগ (সমস্ত?) বিতরণগুলির দ্বারা ব্যবহৃত ব্যাক প্যাচিং প্রক্রিয়া কেবলমাত্র বেস সংস্করণ নম্বর ব্যবহার করে (উদাহরণস্বরূপ, "1.0.1e"); এবং কার্যকর সুরক্ষা সংস্করণ অন্তর্ভুক্ত করে না (উদাহরণস্বরূপ, "1.0.1g")।
যখন প্যাকেজগুলি ব্যাকপ্যাচ করা হয় তখন ওপেনএসএসএল এবং অন্যান্য প্যাকেজগুলির জন্য কার্যকর সুরক্ষা সংস্করণ নির্ধারণ করার জন্য সুপার ব্যবহারকারীর উপর একটি মুক্ত প্রশ্ন রয়েছে। দুর্ভাগ্যক্রমে, কোনও কার্যকর উত্তর নেই (ডিস্ট্রোর ওয়েবসাইট পরীক্ষা করা ব্যতীত)। দেখুন নির্ধারণ কার্যকরী নিরাপত্তা সংস্করণ যখন Backpatching সম্মুখীন ।
থাম্বের নিয়ম হিসাবে: আপনি যদি কখনও আক্রান্ত সংস্করণগুলির মধ্যে একটি ইনস্টল করে রেখেছেন এবং টিএলএস সহায়তার জন্য ওপেনএসএসএল এর সাথে লিঙ্কযুক্ত এমন কোনও প্রোগ্রাম বা পরিষেবাগুলি চালিয়ে গেছেন তবে আপনি ঝুঁকিপূর্ণ।
দুর্বলতার জন্য পরীক্ষা করার জন্য আমি কোথায় একটি প্রোগ্রাম পাব?
হার্টবেলড ঘোষণার কয়েক ঘণ্টার মধ্যেই ইন্টারনেটে বেশ কয়েকটি ব্যক্তি প্রকাশ্যে অ্যাক্সেসযোগ্য ওয়েব অ্যাপ্লিকেশনগুলি প্রচার করেছিলেন যা সম্ভবত এই দুর্বলতার উপস্থিতির জন্য কোনও সার্ভার পরীক্ষা করতে ব্যবহার করা যেতে পারে। এই লেখা হিসাবে, আমি কোনও পর্যালোচনা করি নি, তাই আমি তাদের অ্যাপ্লিকেশনগুলি আর প্রকাশ করব না। আপনার পছন্দসই সার্চ ইঞ্জিনের সাহায্যে এগুলি তুলনামূলকভাবে সহজেই পাওয়া যাবে।
এই দুর্বলতা কীভাবে হ্রাস করা যায়?
অ-দুর্বল সংস্করণে আপগ্রেড করুন এবং দুর্বল ডেটা পুনরায় সেট করুন বা সুরক্ষিত করুন। হার্টবেলড সাইটে উল্লিখিত হিসাবে , উপযুক্ত প্রতিক্রিয়া পদক্ষেপগুলি ব্যাপকভাবে:
- প্যাচ দুর্বল সিস্টেমগুলি।
- নতুন ব্যক্তিগত কী পুনরায় তৈরি করুন ne
- আপনার সিএতে নতুন সিএসআর জমা দিন।
- নতুন স্বাক্ষরিত শংসাপত্র প্রাপ্ত এবং ইনস্টল করুন।
- অবৈধ সেশন কী এবং কুকিজ
- পাসওয়ার্ড এবং ভাগ করা গোপনীয়তা পুনরায় সেট করুন
- পুরানো শংসাপত্রগুলি প্রত্যাহার করুন।
আরও বিশদ বিশ্লেষণ এবং উত্তরের জন্য দেখুন একটি ওয়েবসাইট অপারেটর হৃদয়যুক্ত ওপেনএসএসএল শোষণ সম্পর্কে কী করা উচিত? সুরক্ষা স্ট্যাক এক্সচেঞ্জ এ।
আমার কী বা অন্যান্য ব্যক্তিগত ডেটা আপোষ করা হয়েছে তা নিয়ে কি আমাকে উদ্বিগ্ন হওয়া উচিত? আমার অন্যান্য কোন পার্শ্ব প্রতিক্রিয়া সম্পর্কে উদ্বিগ্ন হওয়া উচিত?
একেবারে। সিস্টেম অ্যাডমিনিস্ট্রেটররা ধরে নিতে হবে যে তাদের সার্ভারগুলি যা দুর্বল ওপেনএসএসএল সংস্করণগুলি ব্যবহার করেছে তা সত্যই আপস করে এবং তদনুসারে প্রতিক্রিয়া জানায়।
দুর্বলতা প্রকাশের অল্পক্ষণের পরে, ক্লাউডফেয়ার একটি চ্যালেঞ্জের প্রস্তাব দিয়েছিল যে কোনও সার্ভারের ব্যক্তিগত কী বাস্তবায়নে পুনরুদ্ধার করা যেতে পারে কিনা তা দেখার জন্য। চ্যালেঞ্জটি স্বাধীনভাবে ফেডর ইন্ডুতিনি এবং ইলকা মাতিলা জিতেছিলেন। দেখুন হার্টব্লিড চ্যালেঞ্জ ।
আমি আরও তথ্য কোথায় পেতে পারি?
লিঙ্ক ডাম্প, আরও বিশদ অনুসন্ধানের জন্য:
হৃদয়গ্রাহী প্রকাশের টাইমলাইনে প্রকাশের ইভেন্টগুলির পরিবর্তে একটি বিস্তারিত সময়রেখা পাওয়া যাবে : কে কখন এবং কখন জানত ।
আপনি যদি প্রোগ্রামার হন এবং ওপেনএসএসএলের msg_cb
কলব্যাকের মাধ্যমে হার্টবেলড আক্রমণ সনাক্ত করার মতো বিভিন্ন প্রোগ্রামিংয়ের কৌশলগুলিতে আগ্রহী হন , তবে ওপেনএসএসএল এর সুরক্ষা উপদেষ্টা 2014047 দেখুন ।