Wednesday, April 16, 2014

සැබෑ වූ බියකරු සිහිනය | Heartbleed

මම ලිව්ව අන්තිම බ්ලොග් සටහන නතර කළේ හොල්මන් කතාවෙ තාක්ෂණික පසුබිම ගැන හොඳට පැහැදිලි කරනව කියල. නමුත් සතියකට විතර කලින් දවසක මතු වෙච්ච, අන්තර්ජාලයෙන් තුනෙන් දෙකකට විතර බලපාන බරපතල ප්‍රශ්නයක් නිසා මට හොල්මන් කතා ලිවිල්ල පැත්තක තියල ඒ ගැන පොඩ්ඩක් හොයල බලල ලියන්න හිතුණා. මේක තාක්ෂණික ලිපියක් වගේ පෙනුනට මේක ලියන්නෙ ටෙක්නිකල් අයට නෙමේ. එදිනෙදා බැංකු කටයුතු කරගන්න, සෙට් වෙන්න (social networking), ෂොපින් යන්න අන්තර්ජාලය පාවිච්චි කරන ඔන්ලයින් සාමාන්‍ය ජනතාව වෙනුවෙන්. :) (ඒ නිසා ටෙක්නිකල් පොරවල් වලට මේක බෝරිං වගේ පේන්නත් පුළුවන්)

Image courtesy: heartbleed.com
වැඩි විස්තර වලට යන්න කලින් කෙටිම හැඳින්වීමක් කළොත්, "හාට්බ්ලීඩ් කියන්නේ අන්තර්ජාලයේ වෙබ් අඩවි වලින් තුනෙන් දෙකක පමණ තොරතුරු ආරක්ෂාව පිළිබඳ මෘදුකාංගයක පවතින, දීර්ඝ කාලීනව හඳුනා නොගත් දෝෂයක් හේතුවෙන් රහසිගත දත්ත සූක්ෂම අයුරින් බාහිර පාර්ශව අතට පත් වීමේ අවදානමක්" ලෙස හඳුන්වන්න පුළුවන්. අන්න ඒක සිංහලෙන් විස්තර කරන්නයි මේ වෑයම.

කවුරුත් දන්නවනේ HTTPS කියන එක ගැන. Facebook යද්දි වෙබ් බ්‍රවුසරේ අර ඉබ්බා (padlock) මාක් එකක් එන්නේ... අන්න ඒ ඉබ්බා (ගෙ නිරූපිතය) කියල හිතාගන්නකො දැනට. සාමාන්‍යයෙන් අපි දන්න හැටියට මේ ඉබ්බා තියෙනව කියන්නෙ ඒ වෙබ් අඩවිය ආරක්ෂිතයි. වෙන අය කාටවත් අපි ජාලගත වෙලා කරන දේ හොයන්න බෑ. උදාහරණයක් විධියට, මම username/password දීලා Facebook එකට ලොග් වෙනව නං, මගේ පරිගණකය (client) සහ Facebook වෙබ් අඩවිය වැඩ කරන මැසිම (server) විතරයි ඒ username/password දැනගන්නේ මේ ඉබ්බා තියෙද්දි. ඉලෙක්ට්රොනික විධියට එහා මෙහා යන දත්ත, ෆෝන් ටැප් කරනව වගේ වැඩක් කරල තෙවැනි පාර්ශවයකට (හොරෙකුට) ග්‍රහණය කරගන්න පුළුවන් වුණත්, ඒ දත්ත රහස් අංකනයට (encrypt) ලක් කර ඇති නිසා ඒවා username/password ලෙස කියවන්න කිසිම බාහිර පාර්ශ්වයකට බැහැ.

ඕක තමයි අපි මෙච්චර කාලයක් විශ්වාසයෙන් යුතුව පාවිච්චි කරපු සම්මුතිය (SSL/TLS protocol). හැබැයි, මෑතකදි පර්යේෂකයින් කණ්ඩායමක් හොයාගෙන තියෙනවා ඔය ඉබ්බා කඩන්න පුළුවන් කියල! නරකම ආරංචිය තමයි, ඉබ්බා කඩන්න පුළුවන් කියල ප්‍රසිද්ධියේ කවුරුත් නොදැන අවුරුදු දෙකක්ම ගෙවිලා ගිහින් කියන එක. ඒ කියන්නේ ඉබ්බා කඩන්න පුළුවන් කියල කවුරුහරි හොරෙක් (හැකර් කෙනෙක්) දැනගෙන, ඒ බව ප්‍රසිද්ධ නොකර හිටියා නම් ඒ හොරා සෑහෙන ප්‍රයෝජනයක් ඒ හැකියාවෙන් අරන් තියෙන්න ඉඩ තියෙනවා.