హృదయస్రావం: ఇంటర్నెట్ ని వణికిస్తున్న తాజా క్రిమి

/ ఏప్రిల్ 09, 2014

heartbleed

తట్టుకోలేని దృశ్యం చూసినప్పుడు హృదయం ద్రవించిపోయింది అంటాం కదా! మొన్నామధ్య తెలంగాణ బిల్లు ఆమోదం పొందకుండా అడ్డుకోవడానికి సీమాంధ్ర ఎం.పి లు తీవ్ర గలాభా సృష్టిస్తున్నప్పుడు కూడా మన ప్రధాని ‘నా హృదయం ద్రవించిపోతోంది’ (My heart bleeds) అంటూ వాపోయారు. సరిగ్గా ఆ పేరుతోనే ఉన్న ఒక సాఫ్ట్ వేర్ క్రిమి (బగ్) అనేక పేరు పొందిన ఇంటర్నెట్ కంపెనీలను వణికిస్తోంది. ఇంటర్నెట్ రక్షణ కోసం ఏర్పరుచుకున్న ఎన్ క్రిప్షన్ వ్యవస్ధ లోనే ఈ క్రిమి ఉన్నట్లు కనుగొనడంతో మరో రక్షణ కోసం కంపెనీలు ఉరుకులు పరుగులు పెడుతున్నాయి.

ఈ క్రిమిని ప్రస్తుతం Heartbleed (మనం హృదయ స్రావం అందాం!) అని పిలుస్తున్నారు. ఇంటర్నెట్ రక్షణకు గుండెకాయ లాంటి ఎన్ క్రిప్షన్ వ్యవస్ధ లోకే చొరబడినందున దీనికి ఆ పేరు పెట్టారేమో తెలియదు. ప్రపంచ వ్యాపితంగా పేరు పొందిన ఐ.టి కంపెనీలకు చెందిన 10 మిలియన్ల సర్వర్లు ఈ క్రిమి బారిన పడ్డాయని ఐ.టి భద్రతా కంపెనీలు చెబుతున్నాయి.

OpenSSL అనే ఓపెన్ సోర్స్ భద్రతా కవచం ఇంటర్నెట్ లోని వ్యక్తిగత, రహస్య వివరాలను కాపాడుతూ ఉంటుంది. ఇంటర్నెట్ లో సర్వర్ల నుండి క్లయింట్లకు ప్రవహించే డిజిటల్ డేటా ప్యాకెట్లను SSL (Secure Socket Layer) కవచంలో భద్రపరిచడం ద్వారా హ్యాకర్లు, వైరస్ లు, ఇతర అవాంఛనీయ శక్తుల నుండి కాపాడతారు. ఈ కవచంలోనే బగ్ ఉందని తెలియడంతో డేటా ప్రవాహానికి భద్రత లేని సంగతి వెల్లడి అయింది.

బగ్ (లేదా క్రిమి) అంటే కంప్యూటర్ సాఫ్ట్ వేర్ వ్యవహారంలో వైరస్ అని కాదు. వైరస్ అంటే ఉద్దేశ్యపూర్వకంగా పూనుకుని తయారు చేసే సాఫ్ట్ వేర్. బగ్ అంటే ఒక సాఫ్ట్ వేర్ తయారు చేసేటప్పుడు తయారీదారులకు తెలియకుండా ఏర్పడే ఒక బలహీనత. సాఫ్ట్ వేర్ తయారు చేసి విస్తృత ఉపయోగంలో పెట్టే ముందు దానిని వాలంటీర్ల ద్వారా పరీక్షిస్తారు. మైక్రో సాఫ్ట్ లాంటి భారీ సంస్ధలు సైతం కొత్త ఆపరేటింగ్ సిస్టం తయారు చేసిన తర్వాత మొదట ట్రయల్ గా విడుదల చేసి పరీక్షకు పెడతాయి. ఈ పరీక్షల్లోనే చిన్న చిన్న సాఫ్ట్ వేర్ ప్రోగ్రామ్ లోపాలు తెలుసుకుని సరిచేస్తారు. పూర్తి స్ధాయి అమ్మకానికి పెట్టిన తర్వాత కూడా లోపాలు బైటపడితే అప్ డేట్స్ రూపంలో ప్యాచ్ లు విడుదల చేసి వాటిని సవరిస్తారు.

ఎన్నాళ్లుగానో ఇంటర్నెట్ లో సర్వర్ల నుండి క్లయింట్ కంప్యూటర్లకు, క్లయింట్ల నుండి సర్వర్లకు ప్రవహించే డిజిటల్ డేటాను సంరక్షిస్తున్న SSL ఎన్ క్రిప్షన్ లోనే ఇలాంటి బలహీనత (vulnerability) ఉన్నట్లు తెలియడంతో ఒక్కసారిగా సంచలనం కలిగింది. ఈ బగ్ ని సవరించడానికి సోమవారం (ఏప్రిల్ 7) OpenSSL ప్రాజెక్ట్ వాళ్ళు ఒక అత్యవసర భద్రతా సలహా ప్రకటన విడుదల చేశారు.

ఈ క్రిమిని లేదా బలహీనతను వాడుకుని ఇంటర్నెట్ లో ప్రవహిస్తున్న డేటా ప్యాకెట్ల నుండి వ్యక్తిగత, రహస్య వివరాలను పిండుకునే సౌలభ్యం అవాంఛనీయ శక్తులకు లభించింది. ఇందులో యూజర్ నేమ్ లు, పాస్ వర్డ్ లు, ఇంకా ఇతర వ్యక్తిగత వివరాలు ఉండవచ్చు. కంపెనీలకు చెందిన రహస్య సమాచారం, కంపెనీల క్లయింట్లకు చెందిన రహస్య సమాచారం కూడా వీటిలో ఉండవచ్చు. సర్వర్లను అనుకరిస్తూ క్లయింట్ల సమాచారాన్ని సేకరించే సౌలభ్యం కూడా ‘హృదయస్రావం’ క్రిమి ద్వారా లభించిందని ఆయా సంస్ధలు తెలిపాయి.

ద వర్జ్ అనే సంస్ధ హార్ట్ బ్లీడ్ గురించి ఇలా తెలిపింది. “ఒక సర్వర్ లోని వర్కింగ్ మెమొరీ నుండి 64k మొత్తంలో డేటాను ఒకేసారి సంగ్రహించే అవకాశాన్ని ఇది కల్పిస్తుంది. ఇది ఫిషింగ్ (ఒక వెబ్ సైట్ గా అనుకరిస్తూ వినియోగదారుల వివరాలను సేకరించే వైరస్) తరహా లో ఉంటుంది తాము దొంగిలించిన డేటాలో తమకు వినియోగపడగల సమాచారం ఏ మేరకు ఉంటుందో ఆ దొంగలకు తెలియకపోవచ్చు. కానీ ఆ పనిని పదేపదే చేయగల సౌకర్యం ఉండడం వలన భారీ మొత్తంలో సున్నితమైన డేటా వారి చేతుల్లోకి వెళ్లవచ్చు. సర్వర్ యొక్క ప్రైవేట్ ఎన్ క్రిప్షన్ కీ లు ముఖ్యంగా దాడికి అనుకూలంగా ఉన్నాయి. ఎందుకంటే అవసరం రీత్యా వాటిని వర్కింగ్ మెమొరీ లోనే ఉంచుతారు. పైగా వివిధ డేటాల్లో వాటిని తేలికగా గుర్తించవచ్చు. ఫలితంగా అటూ ఇటూ ప్రవహించే ఇంటర్నెట్ ట్రాఫిక్ పైన కాపు కాచే అవకాశం దొంగలకు తేలికగా లభిస్తుంది. అంతే కాకుండా ఎన్ క్రీప్ట్ చేయబడి గతంలో దొంగిలించబడిన ట్రాఫిక్ ని కూడా డీ క్రీప్ట్ చేసి అర్ధం చేసుకోగల అవకాశం కూడా లభిస్తుంది.”

రష్యా టుడే పత్రిక ప్రకారం ప్రపంచంలోని మొత్తం ఇంటర్నెట్ లోని సర్వర్లలో 66 శాతం OpenSSL ఎన్ క్రిప్షన్ ని ఉపయోగిస్తాయి. యూజర్ నేమ్ లు, పాస్ వర్డ్ లను SSL కవచంలోనే ఉంచి అటూ ఇటూ పంపుతారు. ఆయా సర్వర్లు అప్ డేట్ చేసిన SSL వర్షన్ ను ఇన్ స్టాల్ చేసుకుని ఈ బగ్ నుండి బైటపడేందుకు పరుగులు పెడుతున్నాయి. అయితే ఇది ఇక నుండి రక్షణ పొందడానికి ఉపయోగపడుతుంది గానీ ఇప్పటికే దొంగిలించిన డేటా ను డీ క్రీప్ట్ చేయకుండా అడ్డుకోజాలదు. అనగా దొంగలు ఇప్పటికే దొంగిలించిన సమాచారాన్ని హార్ట్ బ్లీడ్ ద్వారా సంపాదించిన ఎన్ క్రిప్షన్ కీ ల సహాయంతో తెరిచి చూడగల సౌకర్యం తమ చేతుల్లో ఉంచుకున్నట్లే. ఈ విధంగా కొన్ని పదుల కొద్దీ మిలియన్ల సర్వర్ల లోని సమాచారం హఠాత్తుగా దొంగల చేతికి వెళ్ళినట్లయింది.

హార్ట్ బ్లీడ్ కి గురయిన ఐ.టి కంపెనీల్లో యాహూ అతి పెద్దది అని తెలుస్తోంది. హార్ట్ బ్లీడ్ ని కనిపెట్టి 2 సంవత్సరాలు అయిందిట. కానీ పెద్ద మొత్తంలో వినియోగదారుల దృష్టికి వచ్చింది మాత్రం ఈ వారమే. గూగుల్ కంపెనీలో పని చేస్తున్న నీల్ మెహతా అనే పరిశోధకుడు హార్ట్ బ్లీడ్ ను మొట్టమొదట కనిపెట్టారని ఆర్.టి తెలిపింది. తమ సర్వర్లను విజయవంతంగా అప్ డేట్ చేశామని యాహూ ఈ రోజు ఒక ప్రకటన విడుదల చేసింది. యాహూ హోమ్ పేజీ, యాహూ సర్చ్, యాహూ మెయిల్, యాహూ ఫైనాన్స్, యాహూ స్పోర్ట్స్, యాహూ ఫుడ్, యాహూ టెక్, ఫ్లికర్, టంబ్లర్ సర్వర్లను తాజా సాఫ్ట్ వేర్ తో అప్ డేట్ చేశామని యాహూ తెలిపింది. ఇతర సర్వీసుల సర్వర్లను అప్ డేట్ చేసే ప్రక్రియలో ఉన్నామని తెలిపింది.

యాపిల్, గూగుల్, మైక్రో సాఫ్ట్ తదితర పెద్ద ఈ-బ్యాంకింగ్ సర్వీసులకు వచ్చిన ప్రమాదం ఏమీ లేదని నిపుణులు చెబుతున్నారు. టార్ (అజ్ఞాత బ్రౌజర్) ప్రాజెక్ట్ కి చెందిన నిపుణులు మాత్రం మరో కొద్ది రోజుల వరకు ఇంటర్నెట్ జోలికి పోకపోవడమే ఉత్తమమని, అలా చేస్తేనే హార్ట్ బ్లీడ్ బారిన పడకుండా తప్పించుకోవచ్చని హెచ్చరించింది. హార్ట్ బ్లీడ్ కి విరుగుడుగా విడుదల చేసిన ప్యాచ్ ని అమలు చేసినప్పటికీ ప్రైవేటు ఎన్ క్రిప్షన్ కీ లు ఇప్పటికీ దాడికి అనుకూలంగా ఉన్నట్లేనని నిపుణులు హెచ్చరిస్తున్నారు. ఆయా సైట్ల SSL సర్టిఫికేట్ లను పూర్తి స్ధాయిలో నవీకరించిన తర్వాతనే పాస్ వర్డ్ లను మార్చుకోవాలని లేనట్లయితే కొత్త పాస్ వర్డ్ లు కూడా దొంగల చేతికి వెళ్లవచ్చని వారు హెచ్చరించారు.

సంబంధిత టపాలు

వ్యాఖ్యానించండి