සැබෑ වූ බියකරු සිහිනය | Heartbleed

මම ලිව්ව අන්තිම බ්ලොග් සටහන නතර කළේ හොල්මන් කතාවෙ තාක්ෂණික පසුබිම ගැන හොඳට පැහැදිලි කරනව කියල. නමුත් සතියකට විතර කලින් දවසක මතු වෙච්ච, අන්තර්ජාලයෙන් තුනෙන් දෙකකට විතර බලපාන බරපතල ප්‍රශ්නයක් නිසා මට හොල්මන් කතා ලිවිල්ල පැත්තක තියල ඒ ගැන පොඩ්ඩක් හොයල බලල ලියන්න හිතුණා. මේක තාක්ෂණික ලිපියක් වගේ පෙනුනට මේක ලියන්නෙ ටෙක්නිකල් අයට නෙමේ. එදිනෙදා බැංකු කටයුතු කරගන්න, සෙට් වෙන්න (social networking), ෂොපින් යන්න අන්තර්ජාලය පාවිච්චි කරන ඔන්ලයින් සාමාන්‍ය ජනතාව වෙනුවෙන්. :) (ඒ නිසා ටෙක්නිකල් පොරවල් වලට මේක බෝරිං වගේ පේන්නත් පුළුවන්)

Image courtesy: heartbleed.com

වැඩි විස්තර වලට යන්න කලින් කෙටිම හැඳින්වීමක් කළොත්, "හාට්බ්ලීඩ් කියන්නේ අන්තර්ජාලයේ වෙබ් අඩවි වලින් තුනෙන් දෙකක පමණ තොරතුරු ආරක්ෂාව පිළිබඳ මෘදුකාංගයක පවතින, දීර්ඝ කාලීනව හඳුනා නොගත් දෝෂයක් හේතුවෙන් රහසිගත දත්ත සූක්ෂම අයුරින් බාහිර පාර්ශව අතට පත් වීමේ අවදානමක්" ලෙස හඳුන්වන්න පුළුවන්. අන්න ඒක සිංහලෙන් විස්තර කරන්නයි මේ වෑයම.

කවුරුත් දන්නවනේ HTTPS කියන එක ගැන. Facebook යද්දි වෙබ් බ්‍රවුසරේ අර ඉබ්බා (padlock) මාක් එකක් එන්නේ... අන්න ඒ ඉබ්බා (ගෙ නිරූපිතය) කියල හිතාගන්නකො දැනට. සාමාන්‍යයෙන් අපි දන්න හැටියට මේ ඉබ්බා තියෙනව කියන්නෙ ඒ වෙබ් අඩවිය ආරක්ෂිතයි. වෙන අය කාටවත් අපි ජාලගත වෙලා කරන දේ හොයන්න බෑ. උදාහරණයක් විධියට, මම username/password දීලා Facebook එකට ලොග් වෙනව නං, මගේ පරිගණකය (client) සහ Facebook වෙබ් අඩවිය වැඩ කරන මැසිම (server) විතරයි ඒ username/password දැනගන්නේ මේ ඉබ්බා තියෙද්දි. ඉලෙක්ට්රොනික විධියට එහා මෙහා යන දත්ත, ෆෝන් ටැප් කරනව වගේ වැඩක් කරල තෙවැනි පාර්ශවයකට (හොරෙකුට) ග්‍රහණය කරගන්න පුළුවන් වුණත්, ඒ දත්ත රහස් අංකනයට (encrypt) ලක් කර ඇති නිසා ඒවා username/password ලෙස කියවන්න කිසිම බාහිර පාර්ශ්වයකට බැහැ.

ඕක තමයි අපි මෙච්චර කාලයක් විශ්වාසයෙන් යුතුව පාවිච්චි කරපු සම්මුතිය (SSL/TLS protocol). හැබැයි, මෑතකදි පර්යේෂකයින් කණ්ඩායමක් හොයාගෙන තියෙනවා ඔය ඉබ්බා කඩන්න පුළුවන් කියල! නරකම ආරංචිය තමයි, ඉබ්බා කඩන්න පුළුවන් කියල ප්‍රසිද්ධියේ කවුරුත් නොදැන අවුරුදු දෙකක්ම ගෙවිලා ගිහින් කියන එක. ඒ කියන්නේ ඉබ්බා කඩන්න පුළුවන් කියල කවුරුහරි හොරෙක් (හැකර් කෙනෙක්) දැනගෙන, ඒ බව ප්‍රසිද්ධ නොකර හිටියා නම් ඒ හොරා සෑහෙන ප්‍රයෝජනයක් ඒ හැකියාවෙන් අරන් තියෙන්න ඉඩ තියෙනවා.

ඊළඟ නරක ආරංචිය තමයි, ඉබ්බා කැඩුවා කියල අහු වෙන්නෙ නැතුව හොරෙකුට ෂේප් වෙලා යන්න පුළුවන්කම. ඒකත් මේ ආරක්ෂක දුර්වලතාවයෙ හැටියක්. සාමාන්‍යයෙන් වෙනින් ජාතියක හැක් කිරිල්ලක් නං, දක්ෂ හොරෙකුගෙ වැඩක් නෙමෙයි නං වැඩේ මාට්ටු වෙනවා. නමුත් මේක එහෙම ලේසියෙන් මාට්ටු වෙන ඉබ්බො ඇරිල්ලක් නෙමේ කියල තමයි තතු දත් අය කියන්නෙ. ඊළඟ නරක ආරංචිය, ලෝකෙ තියෙන වෙබ් අඩවි වලින් තුනෙන් දෙකකම මේ අවදානම තියෙනවා. ඒ කියන්නේ, අපි එදිනෙදා පාවිච්චි කරන වෙබ් අඩවි වලිනුත් සැලකිය යුතු ප්‍රමාණයක අවදානම තියෙනවා/ තිබුණා කියල එක. ලොකුම උදාහරණයක් තමයි Yahoo සහ Flickr. (මේ වෙලාව වෙනකොට නම් Yahoo සහ Flickr මේ අවදානම් තත්වය මඟඇරල අළුත් ඉබ්බෙක් දාලයි තියෙන්නෙ :) )

කාටත් තේරුම් ගන්න පුළුවන් කියල මට හිතුණු විධියට ලියනව නං, ඔන්න ඔය අවදානමට තමයි Heartbleed කියල නමක් දාගෙන තියෙන්නෙ. මේක වාර්තා වුණේ 2014 අප්‍රේල් 7 වෙනිදා.

---

කොහොමද මේ Heartbleed දෝෂය ඇති වෙන්නෙ?

Image courtesy: imgarcade.com

Heartbleed කියන එක පැහැදිලි කරන්න කලින් මම මුලින්ම කියන්නම් Heartbeat කියන එක ගැන. ඒ කිව්වෙ අපේ ශරීර වල සිද්ධ වෙන හාට්බීට් එක නෙමේ. ඔය ඉබි සිස්ටම් එකෙන් (HTTPS) අපි වෙබ් අඩවියක් එක්ක වැඩ කරද්දි දත්ත එහාමෙහා හුවමාරු වෙන සම්මුතියක් (protocol) තියෙනවා. අපි ඒකට SSL protocol කියමු. SSL protocol එකේදි, වෙබ් බ්‍රවුසරය (user), වෙබ් සර්වරය (website) එක්ක සම්බන්ධ (connect) වුණාට පස්සෙ වෙබ් බ්‍රවුසරයට අවශ්‍ය නම් සැරින් සැරේ පොඩි සිග්නල් එක ගානෙ සර්වර් එකට යවලා තමන් තවමත් සම්බන්ධ වෙලා ඉන්න බව සර්වර් එකට කියන්න පුළුවන්. ඒ විධියට තමන් තවමත් “රැඳී ඉන්න” බව සැරින් සැරේ නොපෙන්නුවාත්, සමහර වෙලාවට මේ connection එක කැඩෙන්න පුළුවන්.

ඔන්න ඔය සැරින් සැරේ යවන සිග්නල් එකට තමා හාට්බීට් කියන්නේ. හරියට මෙන්න මේ වගේ, A සහ B කියල යාළුවො දෙන්නෙක් ඉන්නවා... A කියන්නෙ බ්‍රවුසරය, B කියන්නෙ සර්වරය කියල හිතමුකො. මේ ඒ දෙන්නගෙ දුරකථන සංවාදය.

A: මචං මට අහවල් කොම්පැණියෙ ෆෝන් නම්බරේ හොයල දීපංකො.
B: හරි... ලයින් එකේ ඉඳපන්... මං හොයල දෙන්නම්.
A: (විනාඩියකට පසු) මචං උඹ නිදිද?
B: නෑ... තාම හොයනවා පොඩ්ඩක් හිටු.
A: (විනාඩියකට පසු) උඹ මැරිලද බං?
B: මැරුන් නෑ යකෝ තාම හොයනවා හිටපන් පොඩ්ඩක්.
A: (විනාඩියකට පසු) මෙච්චර වෙලා මක් කරනවද?
B: මෙච්චර වෙලා.... &%$%&#%^*%#!!!.
B: හරි.. හම්බවුණා.. ලියාගනින්... 0712755777

යාළුවො දෙන්නෙක් සැබෑ ජීවිතේ ඔහොම කතා කළාට, OpenSSL Heartbeat එකේදි ඔය යාළුවො දෙන්නගෙ කතාව සිද්ධ වෙන විධිය ටිකක් යාන්ත්‍රිකයි, මෙන්න මෙහෙම.

A: මට අහවල් කොම්පැණියේ ෆෝන් නම්බර් එක එවන්න.
B: රැඳී සිටින්න
A: නිදිද? (තහවුරු කරගැනීමේ කේතය ABC - අකුරු තුනයි)
B: නිදි නැත (ABC)
A: නිදිද? (තහවුරු කරගැනීමේ කේතය WXYZ - අකුරු හතරයි)
B: නිදි නැත (WXYZ)
B: 0712755777

සරලව කිව්වොත් ඔන්න ඔය කහ පාටින් මාක් කරපු ටිකේ වෙන දේ තමයි හාට්බීට් කියන්නෙ. එතකොට
Heartbleed? උඩින් තියෙන එක පැහැදිලිව බැලුවොත් පෙනේවි, හැම වෙලාවෙම A යවන කේතයෙ ප්‍රමාණයත් Bට කියනවා. B, ඒ කේතය ආපහු Aට එවනවා.

le ඇම්ඩන් :-)

දැන් හිතන්න B ටිකක් හොයල බලන්නෙ නැතුව වැඩක් කරන කෙනෙක් කියල. අපි හිතමු එයාට කපටි A කෙනෙක් (ඇම්ඩන් කෙනෙක්) සෙට් වෙනව කියල. කපටි A මෙන්න මෙහෙම වැඩක් කරනවා.

A: නිදිද? (තහවුරු කරගැනීමේ කේතය AB, අකුරු තිහයි)
B: නිදි නැත (ABsecretkey=thqckbrfxjpovldgx!) 

ඇම්ඩා යවන්නෙ අකුරු දෙකයි. හැබැයි බොරුවට කියනවා අකුරු තිහක් එව්වා කියල. දැන් B, අපේ වෙබ් සර්වර් එක වැඩිය හොයන්නෙ බලන්නෙ නැතුව ඒ වෙලාවෙ තමන්ගෙ මතකයෙ තියෙන තව මොනවහරි අකුරු විසි අටකුත් අර අකුරු දෙකට අමුණල යවනව.

අන්න ඒ වැඩිපුර යවන අකුරු විසි අට!!!! ඒක ඇතුලෙ අර ඉලෙක්ට්රොනික ඉබ්බව අරින ඉලෙක්ට්රොනික යතුර තිබුණොත් මොකද වෙන්නෙ? දැන් ඇම්ඩා ඒක දන්නවා. ඉබ්බගෙ යතුර හොයා ගත්තා කියන්නේ දැන් අපි ආරක්ෂිතයි කියල හිතාගෙන සන්නිවේදනය කරපුව ඇම්ඩටත් බලන්න පුළුවන්.

Username/password - ක්‍රෙඩිට් කාඩ් අංක - ඊ මේල් පණිවුඩ - රහසිගත විය යුතු දේවල් හැම දෙයක්ම අනතුරේ!!!

සුළු දෝෂයක් ඔච්චර බරපතල වෙන්නෙ කොහොමද?

Heartbleed දෝෂය නිසා පහර වදින්නෙ පරිගණක දත්ත වල ආරක්ෂාවෙ මර්මස්ථානයකට. සේප්පුවක් ඇතුලට යතුරු ගොඩක් දාලා ඒක වහනවා. සේප්පුවෙ යතුර හොරෙක් ගත්තොත් මොකද වෙන්නෙ? උදාහරණයක් විධියට මෙහෙම හිතන්න... යම් බැංකුවක ඉලෙක්ට්රොනික ගනුදෙනු වෙබ් අඩවියත් ඒ අඩවිය පාවිච්චි කරන අයත් අතර හුවමාරු වෙන දත්ත කියවන හැටි හැකර් කෙනෙක් හොයා ගන්නවා. හැබැයි කවුරුත් ඒක දන්නෙ නැහැ. දැන් එයාට දවස් ගණනාවක් වුණත් නිශ්ශබ්දව බලාගෙන ඉන්න පුළුවන් බැංකුවත් එක්ක ගනුදෙනු කරන අයගෙ වැඩ දිහා... ගනුදෙනුකරුවන්ගේ පාස්වර්ඩ්... ක්‍රෙඩිට් කාඩ් අංක... මේ හැම එකක්ම දිහා එයා බලාගෙන ඉන්නවා. අපේ පාස්වර්ඩ් එක වෙන කෙනෙක් හොයා ගත්තා කියන්නෙ සොරි ඩොට් කොම්. අන්න ඒ නිසා තමයි OpenSSL ඉංජිනේරුවන් අතින් සිද්ධ වෙච්ච අත්වැරදීම සුළු වුණාට ප්‍රතිපලය භයානක වෙලා තියෙන්නෙ.

හාට්බීට් එකේ අවුලක් නිසාම හාට් එකෙන් ලේ ගලනවා... ඒ නිසා තමයි Heartbleed කියල නමක් දාගෙන තියෙන්නෙ. මේක බැලු බැල්මට සුළු දෝෂයක් වගේ පේන්න පුළුවන්. නමුත් ඒ නිසා සෘජුව හා වක්‍රව පරිගණක වෘත්තිකයන්ට සහ ඉංජිනේරුවන්ට විසඳන්න සිද්ධ වෙලා තියෙන ප්‍රශ්න ටිකක් සංකීර්ණයි. මම ඒවා හැම එකක්ම මෙතන පැහැදිලි කරන්නෙ නැහැ, ඒ සංකීර්ණතා ගැන සොයා බලලා ගැටළු විසඳීම පරිගණක ඉංජිනේරුවන් කළ යුතු දෙයක් නිසා.

---

අපි මොකක්ද මේකට කරන්න ඕනෙ?

කැමැත්තෙන් හෝ අකමැත්තෙන්, අන්තර්ජාලය හරහා වැදගත් වැඩ කරගන්න එක ටික දවසකට පරිස්සමෙන් කරන්න වෙනවා. විශේෂයෙන්ම බැංකු කටයුතු, භාණ්ඩ මිළ දී ගැනීම් වගේ වැඩ.

වෙබ් අඩවි පවත්වාගෙන යන අයට නිර්දේශ කරල තියෙනවා පරණ ඉබ්බා මාරු කරල අළුත් මොඩල් එකේ ඉබ්බෙක් දාන්න කියල. තාක්ෂණික බාසාවෙන් කිව්වොත්, OpenSSL මෘදුකාංගයෙ අළුත් නිකුතුව ස්ථාපනය කරලා SSL certificate එක අළුත් කරන්න. Yahoo, SoundCloud වගේ වෙබ් අඩවි දැනටමත් එහෙම කරල තියෙනවා. යම් වෙබ් අඩවියක් ඔන්න ඔය ටික කළාට පස්සෙ එයාලගෙ පැත්තෙන් ප්‍රශ්නය විසඳෙනව. ප්‍රශ්නය විසඳීමෙදි වැඩි වැඩ කොටසක් කරන්න වෙලා තියෙන්නෙ පරිගණක පද්ධති ඉංජිනේරුවන්ට. නමුත් පරිගණක ආරක්ෂාව කියන්නෙ පරිගණක පද්ධති පාවිච්චි කරන හැම දෙනාගෙම වගකීම. මේ වගේ වෙලාවක අපි අන්තර්ජාලය පාවිච්චි කරන අය හැටියට අපේ වැඩ කොටසත් කරන්න ඕනේ. එහෙම නොකර පස්සෙ දවසක “මගෙ එකවුන්ට් එකත් හැක් කරලනෙ” කියල නාහෙන් අඬන්න වෙන්න වැඩ සිද්ධ කරගන්නෙ නැතුව කළ යුතු දේ දැන්ම කරන්න ඕනේ.

කරන්න තියෙන්නෙ පොඩි දෙයයි. අන්තර්ජාලයෙ අපි පාවිච්චි කරන වෙබ් අඩවි එකින් එකේ පාස්වර්ඩ් වෙනස් කරන්නයි ඕනේ. හැබැයි හදිසි නොවී පොඩ්ඩිත්තක් ඉවසන්න වෙනවා. Heartbleed ගැටළුව තවමත් විසඳා නැති වෙබ් අඩවි වල පාස්වර්ඩ් වෙනස් කළාට වැඩක් නැහැ. පැච් එක නොදා ටියුබ් එකට හුළං ගහනව වගේ වැඩක් ඒක. ඒ නිසා ඒ ඒ වෙබ් අඩවිය විසින් දැනුම් දීමක් කරනකම් ටිකක් ඉවසන්න වෙනවා.

මෙන්න මේ ප්‍රවෘත්ති වෙබ් අඩවියෙ තියෙනවා අන්තර්ජාලයේ වැඩියෙන්ම ජනප්‍රිය වෙබ් අඩවි වලින් දැනට පාස්වර්ඩ් වෙනස් කරන්න ඕනෙ මොන අඩවි වලද කියල.

• http://mashable.com/2014/04/09/heartbleed-bug-websites-affected

Google වගේ සමහර වෙබ් අඩවි Heartbleed ගැන කරල තියෙන ප්‍රකාශයන් වල ටිකක් දෙපැත්තට වැනෙන පරස්පර විරෝධී ගතියක් තියෙනවා. ඒ නිසා Google/ Gmail පාස්වර්ඩ් අනිවාර්යයෙන් වෙනස් කරන්න. අවදානමට ලක් වෙනවට වඩා ඒක හොඳයිනේ. ඊ මේල් එකවුන්ට් එකක් වෙන කෙනෙකුගේ අතට ගියා කියන්නේ, ඒ ඊ මේල් එකවුන්ට් එක පාවිච්චි කරල වෙනින් වෙබ් අඩවි (උදා. Facebook, PayPal) වල හදාගනිපු එකවුන්ට් වලටත් ෂොට් එක හම්බවෙනවා. (PayPal වලට Heartbleed දෝෂය සෘජුවම බලපෑවේ නැතත්, ඊ මේල් එකවුන්ට් එකේ තත්වය අවදානම් කියන්නෙ PayPal එකවුන්ට් එකටත් අවදානම වක්‍රව බලපානවා කියන එක) ඒ නිසා ඊ මේල් පාස්වර්ඩ් අනිවාර්යයෙන් වෙනස් කරන්න.

ලංකාවෙ බැංකු ගැන තමයි ඊළඟට වද වෙන්න තියෙන්නෙ. ලංකාවෙ බැංකු කීපයක්ම දැන් අන්තර්ජාලය හරහා ගනුදෙනු කරන්න අවස්ථාව සලසා දීලයි තියෙන්නෙ. නමුත් මට ලොකු විශ්වාසයක් නෑ අපේ බැංකු වලින් කීයක් Heartbleed ගැන උනන්දු වෙලා ඒ දෝෂය නිවැරදි කරලා පාරිභෝගිකයින්ට දන්වයිද කියන එක. E-banking සේවා නිතර පාවිච්චි කරනවනම්, බැංකුවට ඊ මේල් එකක් යවලා මේ ගැන විමසීමක් කරන්න ඕනෙ කියන එකයි මගෙ අදහස. (Heartbleed දෝෂ නිරාකරණය කරල නැත්තං හොඳට ඇහැ ඇරලා බලන්න කියන https ඉබ්බගෙන් වැඩක් නෑ)

---

ඔන්න ඔහොම තමයි මෑත ඉතිහාසයේ අන්තර්ජාලය මුහුණදුන් බරපතලම අනතුර ගැන සටහන් වෙන්නේ. පරිගණක පද්ධති වල නිර්වද්‍යතාවයත්, ආරක්ෂාවත්, නිසි පැවැත්මත් බලාගන්න එක රැකියාව වෙච්චි මම වගේ අයට Heartbleed කියන්නෙ සැබෑ වෙච්ච නරක හීනයක්.

සුභ අළුත් අවුරුද්දේ අන්තර්ජංජාලය ගැන මුලින්ම කතා කරන්න සිද්ධ වුණේ නරක ආරංචියක්. ඒ කෙසේ වෙතත්,

උදා වෙච්ච සිංහල දෙමළ අළුත් අවුරුද්දේ අන්තර්ජාලය වඩා හොඳ තැනක් වේවා කියල මගේ අන්තර්ජාල යාළුවන් වෙනුවෙන් ප්‍රාර්ථනා කරනවා වගේම....

ආපහු මතක් කරනවා....

අවුරුද්දට වැඩ අල්ලන්නත් එක්ක පාස්වර්ඩ් ටික ඔන්න ඔහෙ වෙනස් කරලම දාන්න. :D
ඕං මං ගියා!


මේවා කියවන්න - වැඩිදුර දැනුවත් වෙන්න:

• http://heartbleed.com  
• http://en.wikipedia.org/wiki/Heartbleed
• What is ‘Heartbleed’ and should I be worried? [ http://www.thestarphoenix.com/technology/What+Heartbleed+should+worried/9720665/story.html ]
• Heartbleed: Critical Internet security flaw puts two-thirds of the Web at risk [ http://tech.firstpost.com/news-analysis/heartbleed-critical-internet-security-flaw-puts-two-thirds-of-the-web-at-risk-221496.html ]
• What Is Heartbleed? The Video [ http://techcrunch.com/2014/04/08/what-is-heartbleed-the-video ] (මේ වීඩියෝ එක අනිවාර්යයෙන් බලන්න)
• http://mashable.com/2014/04/09/heartbleed-bug-websites-affected