වැඩි විස්තර වලට යන්න කලින් කෙටිම හැඳින්වීමක් කළොත්, “හාට්බ්ලීඩ් කියන්නේ අන්තර්ජාලයේ වෙබ් අඩවි වලින් තුනෙන් දෙකක පමණ තොරතුරු ආරක්ෂාව පිළිබඳ මෘදුකාංගයක පවතින, දීර්ඝ කාලීනව හඳුනා නොගත් දෝෂයක් හේතුවෙන් රහසිගත දත්ත සූක්ෂම අයුරින් බාහිර පාර්ශව අතට පත් වීමේ අවදානමක්” ලෙස හඳුන්වන්න පුළුවන්. අන්න ඒක සිංහලෙන් විස්තර කරන්නයි මේ වෑයම.කවුරුත් දන්නවනේ HTTPS කියන එක ගැන. Facebook යද්දි වෙබ් බ්රවුසරේ අර ඉබ්බා (padlock) මාක් එකක් එන්නේ… අන්න ඒ ඉබ්බා (ගෙ නිරූපිතය) කියල හිතාගන්නකො දැනට. සාමාන්යයෙන් අපි දන්න හැටියට මේ ඉබ්බා තියෙනව කියන්නෙ ඒ වෙබ් අඩවිය ආරක්ෂිතයි. වෙන අය කාටවත් අපි ජාලගත වෙලා කරන දේ හොයන්න බෑ. උදාහරණයක් විධියට, මම username/password දීලා Facebook එකට ලොග් වෙනව නං, මගේ පරිගණකය (client) සහ Facebook වෙබ් අඩවිය වැඩ කරන මැසිම (server) විතරයි ඒ username/password දැනගන්නේ මේ ඉබ්බා තියෙද්දි. ඉලෙක්ට්රොනික විධියට එහා මෙහා යන දත්ත, ෆෝන් ටැප් කරනව වගේ වැඩක් කරල තෙවැනි පාර්ශවයකට (හොරෙකුට) ග්රහණය කරගන්න පුළුවන් වුණත්, ඒ දත්ත රහස් අංකනයට (encrypt) ලක් කර ඇති නිසා ඒවා username/password ලෙස කියවන්න කිසිම බාහිර පාර්ශ්වයකට බැහැ.
ඊළඟ නරක ආරංචිය තමයි, ඉබ්බා කැඩුවා කියල අහු වෙන්නෙ නැතුව හොරෙකුට ෂේප් වෙලා යන්න පුළුවන්කම. ඒකත් මේ ආරක්ෂක දුර්වලතාවයෙ හැටියක්. සාමාන්යයෙන් වෙනින් ජාතියක හැක් කිරිල්ලක් නං, දක්ෂ හොරෙකුගෙ වැඩක් නෙමෙයි නං වැඩේ මාට්ටු වෙනවා. නමුත් මේක එහෙම ලේසියෙන් මාට්ටු වෙන ඉබ්බො ඇරිල්ලක් නෙමේ කියල තමයි තතු දත් අය කියන්නෙ. ඊළඟ නරක ආරංචිය, ලෝකෙ තියෙන වෙබ් අඩවි වලින් තුනෙන් දෙකකම මේ අවදානම තියෙනවා. ඒ කියන්නේ, අපි එදිනෙදා පාවිච්චි කරන වෙබ් අඩවි වලිනුත් සැලකිය යුතු ප්රමාණයක අවදානම තියෙනවා/ තිබුණා කියල එක. ලොකුම උදාහරණයක් තමයි Yahoo සහ Flickr. (මේ වෙලාව වෙනකොට නම් Yahoo සහ Flickr මේ අවදානම් තත්වය මඟඇරල අළුත් ඉබ්බෙක් දාලයි තියෙන්නෙ :) )
කාටත් තේරුම් ගන්න පුළුවන් කියල මට හිතුණු විධියට ලියනව නං, ඔන්න ඔය අවදානමට තමයි Heartbleed කියල නමක් දාගෙන තියෙන්නෙ. මේක වාර්තා වුණේ 2014 අප්රේල් 7 වෙනිදා.
කොහොමද මේ Heartbleed දෝෂය ඇති වෙන්නෙ?
 |
| Image courtesy: imgarcade.com |
ඔන්න ඔය සැරින් සැරේ යවන සිග්නල් එකට තමා හාට්බීට් කියන්නේ. හරියට මෙන්න මේ වගේ, A සහ B කියල යාළුවො දෙන්නෙක් ඉන්නවා… A කියන්නෙ බ්රවුසරය, B කියන්නෙ සර්වරය කියල හිතමුකො. මේ ඒ දෙන්නගෙ දුරකථන සංවාදය.
A: මචං මට අහවල් කොම්පැණියෙ ෆෝන් නම්බරේ හොයල දීපංකො.
B: හරි… ලයින් එකේ ඉඳපන්… මං හොයල දෙන්නම්.
A: (විනාඩියකට පසු) මචං උඹ නිදිද?
B: නෑ… තාම හොයනවා පොඩ්ඩක් හිටු.
A: (විනාඩියකට පසු) උඹ මැරිලද බං?
B: මැරුන් නෑ යකෝ තාම හොයනවා හිටපන් පොඩ්ඩක්.
A: (විනාඩියකට පසු) මෙච්චර වෙලා මක් කරනවද?
B: මෙච්චර වෙලා…. &%$%&#%^*%#!!!.
B: හරි.. හම්බවුණා.. ලියාගනින්… 0712755777
යාළුවො දෙන්නෙක් සැබෑ ජීවිතේ ඔහොම කතා කළාට, OpenSSL Heartbeat එකේදි ඔය යාළුවො දෙන්නගෙ කතාව සිද්ධ වෙන විධිය ටිකක් යාන්ත්රිකයි, මෙන්න මෙහෙම.
A: මට අහවල් කොම්පැණියේ ෆෝන් නම්බර් එක එවන්න.
B: රැඳී සිටින්න
A: නිදිද? (තහවුරු කරගැනීමේ කේතය ABC – අකුරු තුනයි)
B: නිදි නැත (ABC)
A: නිදිද? (තහවුරු කරගැනීමේ කේතය WXYZ – අකුරු හතරයි)
B: නිදි නැත (WXYZ)
B: 0712755777
සරලව කිව්වොත් ඔන්න ඔය කහ පාටින් මාක් කරපු ටිකේ වෙන දේ තමයි හාට්බීට් කියන්නෙ. එතකොට
Heartbleed? උඩින් තියෙන එක පැහැදිලිව බැලුවොත් පෙනේවි, හැම වෙලාවෙම A යවන කේතයෙ ප්රමාණයත් Bට කියනවා. B, ඒ කේතය ආපහු Aට එවනවා.
 |
| le ඇම්ඩන් :-) |
A: නිදිද? (තහවුරු කරගැනීමේ කේතය AB, අකුරු තිහයි)
B: නිදි නැත (ABsecretkey=thqckbrfxjpovldgx!)
ඇම්ඩා යවන්නෙ අකුරු දෙකයි. හැබැයි බොරුවට කියනවා අකුරු තිහක් එව්වා කියල. දැන් B, අපේ වෙබ් සර්වර් එක වැඩිය හොයන්නෙ බලන්නෙ නැතුව ඒ වෙලාවෙ තමන්ගෙ මතකයෙ තියෙන තව මොනවහරි අකුරු විසි අටකුත් අර අකුරු දෙකට අමුණල යවනව.
අන්න ඒ වැඩිපුර යවන අකුරු විසි අට!!!! ඒක ඇතුලෙ අර ඉලෙක්ට්රොනික ඉබ්බව අරින ඉලෙක්ට්රොනික යතුර තිබුණොත් මොකද වෙන්නෙ? දැන් ඇම්ඩා ඒක දන්නවා. ඉබ්බගෙ යතුර හොයා ගත්තා කියන්නේ දැන් අපි ආරක්ෂිතයි කියල හිතාගෙන සන්නිවේදනය කරපුව ඇම්ඩටත් බලන්න පුළුවන්.
Username/password – ක්රෙඩිට් කාඩ් අංක – ඊ මේල් පණිවුඩ – රහසිගත විය යුතු දේවල් හැම දෙයක්ම අනතුරේ!!!
සුළු දෝෂයක් ඔච්චර බරපතල වෙන්නෙ කොහොමද?Heartbleed දෝෂය නිසා පහර වදින්නෙ පරිගණක දත්ත වල ආරක්ෂාවෙ මර්මස්ථානයකට. සේප්පුවක් ඇතුලට යතුරු ගොඩක් දාලා ඒක වහනවා. සේප්පුවෙ යතුර හොරෙක් ගත්තොත් මොකද වෙන්නෙ? උදාහරණයක් විධියට මෙහෙම හිතන්න… යම් බැංකුවක ඉලෙක්ට්රොනික ගනුදෙනු වෙබ් අඩවියත් ඒ අඩවිය පාවිච්චි කරන අයත් අතර හුවමාරු වෙන දත්ත කියවන හැටි හැකර් කෙනෙක් හොයා ගන්නවා. හැබැයි කවුරුත් ඒක දන්නෙ නැහැ. දැන් එයාට දවස් ගණනාවක් වුණත් නිශ්ශබ්දව බලාගෙන ඉන්න පුළුවන් බැංකුවත් එක්ක ගනුදෙනු කරන අයගෙ වැඩ දිහා… ගනුදෙනුකරුවන්ගේ පාස්වර්ඩ්… ක්රෙඩිට් කාඩ් අංක… මේ හැම එකක්ම දිහා එයා බලාගෙන ඉන්නවා. අපේ පාස්වර්ඩ් එක වෙන කෙනෙක් හොයා ගත්තා කියන්නෙ සොරි ඩොට් කොම්. අන්න ඒ නිසා තමයි OpenSSL ඉංජිනේරුවන් අතින් සිද්ධ වෙච්ච අත්වැරදීම සුළු වුණාට ප්රතිපලය භයානක වෙලා තියෙන්නෙ.
හාට්බීට් එකේ අවුලක් නිසාම හාට් එකෙන් ලේ ගලනවා… ඒ නිසා තමයි Heartbleed කියල නමක් දාගෙන තියෙන්නෙ. මේක බැලු බැල්මට සුළු දෝෂයක් වගේ පේන්න පුළුවන්. නමුත් ඒ නිසා සෘජුව හා වක්රව පරිගණක වෘත්තිකයන්ට සහ ඉංජිනේරුවන්ට විසඳන්න සිද්ධ වෙලා තියෙන ප්රශ්න ටිකක් සංකීර්ණයි. මම ඒවා හැම එකක්ම මෙතන පැහැදිලි කරන්නෙ නැහැ, ඒ සංකීර්ණතා ගැන සොයා බලලා ගැටළු විසඳීම පරිගණක ඉංජිනේරුවන් කළ යුතු දෙයක් නිසා.
අපි මොකක්ද මේකට කරන්න ඕනෙ?
කැමැත්තෙන් හෝ අකමැත්තෙන්, අන්තර්ජාලය හරහා වැදගත් වැඩ කරගන්න එක ටික දවසකට පරිස්සමෙන් කරන්න වෙනවා. විශේෂයෙන්ම බැංකු කටයුතු, භාණ්ඩ මිළ දී ගැනීම් වගේ වැඩ.
වෙබ් අඩවි පවත්වාගෙන යන අයට නිර්දේශ කරල තියෙනවා පරණ ඉබ්බා මාරු කරල අළුත් මොඩල් එකේ ඉබ්බෙක් දාන්න කියල. තාක්ෂණික බාසාවෙන් කිව්වොත්, OpenSSL මෘදුකාංගයෙ අළුත් නිකුතුව ස්ථාපනය කරලා SSL certificate එක අළුත් කරන්න. Yahoo, SoundCloud වගේ වෙබ් අඩවි දැනටමත් එහෙම කරල තියෙනවා. යම් වෙබ් අඩවියක් ඔන්න ඔය ටික කළාට පස්සෙ එයාලගෙ පැත්තෙන් ප්රශ්නය විසඳෙනව. ප්රශ්නය විසඳීමෙදි වැඩි වැඩ කොටසක් කරන්න වෙලා තියෙන්නෙ පරිගණක පද්ධති ඉංජිනේරුවන්ට. නමුත් පරිගණක ආරක්ෂාව කියන්නෙ පරිගණක පද්ධති පාවිච්චි කරන හැම දෙනාගෙම වගකීම. මේ වගේ වෙලාවක අපි අන්තර්ජාලය පාවිච්චි කරන අය හැටියට අපේ වැඩ කොටසත් කරන්න ඕනේ. එහෙම නොකර පස්සෙ දවසක “මගෙ එකවුන්ට් එකත් හැක් කරලනෙ” කියල නාහෙන් අඬන්න වෙන්න වැඩ සිද්ධ කරගන්නෙ නැතුව කළ යුතු දේ දැන්ම කරන්න ඕනේ.
කරන්න තියෙන්නෙ පොඩි දෙයයි. අන්තර්ජාලයෙ අපි පාවිච්චි කරන වෙබ් අඩවි එකින් එකේ පාස්වර්ඩ් වෙනස් කරන්නයි ඕනේ. හැබැයි හදිසි නොවී පොඩ්ඩිත්තක් ඉවසන්න වෙනවා. Heartbleed ගැටළුව තවමත් විසඳා නැති වෙබ් අඩවි වල පාස්වර්ඩ් වෙනස් කළාට වැඩක් නැහැ. පැච් එක නොදා ටියුබ් එකට හුළං ගහනව වගේ වැඩක් ඒක. ඒ නිසා ඒ ඒ වෙබ් අඩවිය විසින් දැනුම් දීමක් කරනකම් ටිකක් ඉවසන්න වෙනවා.
Google වගේ සමහර වෙබ් අඩවි Heartbleed ගැන කරල තියෙන ප්රකාශයන් වල ටිකක් දෙපැත්තට වැනෙන පරස්පර විරෝධී ගතියක් තියෙනවා. ඒ නිසා Google/ Gmail පාස්වර්ඩ් අනිවාර්යයෙන් වෙනස් කරන්න. අවදානමට ලක් වෙනවට වඩා ඒක හොඳයිනේ. ඊ මේල් එකවුන්ට් එකක් වෙන කෙනෙකුගේ අතට ගියා කියන්නේ, ඒ ඊ මේල් එකවුන්ට් එක පාවිච්චි කරල වෙනින් වෙබ් අඩවි (උදා. Facebook, PayPal) වල හදාගනිපු එකවුන්ට් වලටත් ෂොට් එක හම්බවෙනවා. (PayPal වලට Heartbleed දෝෂය සෘජුවම බලපෑවේ නැතත්, ඊ මේල් එකවුන්ට් එකේ තත්වය අවදානම් කියන්නෙ PayPal එකවුන්ට් එකටත් අවදානම වක්රව බලපානවා කියන එක) ඒ නිසා ඊ මේල් පාස්වර්ඩ් අනිවාර්යයෙන් වෙනස් කරන්න.
ලංකාවෙ බැංකු ගැන තමයි ඊළඟට වද වෙන්න තියෙන්නෙ. ලංකාවෙ බැංකු කීපයක්ම දැන් අන්තර්ජාලය හරහා ගනුදෙනු කරන්න අවස්ථාව සලසා දීලයි තියෙන්නෙ. නමුත් මට ලොකු විශ්වාසයක් නෑ අපේ බැංකු වලින් කීයක් Heartbleed ගැන උනන්දු වෙලා ඒ දෝෂය නිවැරදි කරලා පාරිභෝගිකයින්ට දන්වයිද කියන එක. E-banking සේවා නිතර පාවිච්චි කරනවනම්, බැංකුවට ඊ මේල් එකක් යවලා මේ ගැන විමසීමක් කරන්න ඕනෙ කියන එකයි මගෙ අදහස. (Heartbleed දෝෂ නිරාකරණය කරල නැත්තං හොඳට ඇහැ ඇරලා බලන්න කියන https ඉබ්බගෙන් වැඩක් නෑ)
ඔන්න ඔහොම තමයි මෑත ඉතිහාසයේ අන්තර්ජාලය මුහුණදුන් බරපතලම අනතුර ගැන සටහන් වෙන්නේ
0 comments:
Post a Comment