Heartbleed

Heartbleed OpenSSL में एक security hole होता है, जिसे Finnish security firm Codenomicon द्वारा खोजा गया था, और 7 अप्रैल 2014 को प्रचारित किया गया था। OpenSSL encryption तकनीक है, जिसका उपयोग HTTPS पर सुरक्षित website कनेक्शन बनाने, VPN स्थापित करने और कई अन्य protocol को encrypt करने के लिए किया जाता है। चूंकि OpenSSL का उपयोग लगभग दो-तिहाई web server द्वारा किया जाता है, इसलिए vulnerability को वेब की शुरुआत के बाद से खोजे गए सबसे महत्वपूर्ण security hole में से एक माना जाता है।

heartbleed की पिक्चर

Heartbleed कैसे काम करता है?

Heartbleed, client और server के बीच initial communication का लाभ उठाता है। इस प्रारंभिक चरण को आमतौर पर “handshake” कहा जाता है, हालांकि openSSL “heartbeat “ नामक भिन्नता प्रदान करता है। सुरक्षित कनेक्शन स्थापित करने के लिए heartbeat का उपयोग किया जाता है, लेकिन heartbeat के दौरान transmitted data सुरक्षित रूप से नहीं भेजा जाता है।

एक server को गलत सूचना भेजकर, एक hacker सर्वर के cash से 64 kilobyte data को पुनः प्राप्त कर सकता है। हालांकि यह डेटा की एक छोटी राशि है, इसमें user name, password या अन्य गोपनीय जानकारी शामिल करने के लिए पर्याप्त है। एक पंक्ति में कई अनुरोध करके, एक हैकर संभावित रूप से एक सर्वर की memory में कैश की गई बड़ी मात्रा में निजी डेटा को capture कर सकता है।

heartbleed bug OpenSSL 1.0.1 से 1.0.1f और version 1.0.2-beta1 के लिए विशिष्ट है। OpenSSL के अन्य संस्करण और अन्य प्रकार के TLS (transport layer security) कार्यान्वयन प्रभावित नहीं होते हैं। 7 अप्रैल को bug का पता चलने के बाद, कई web server को 1.0.1g version के साथ तुरंत patch कर दिया गया था। हालांकि, यह अज्ञात है कि कितने सर्वर प्रभावित हुए और कितने अभी भी OpenSSL के कमजोर संस्करण का उपयोग कर रहे हैं।

Heartbleed हमें कैसे प्रभावित करता है?

यह संभावना नहीं है कि आप सीधे Heartbleed बग से प्रभावित हों। जबकि दो साल तक security hole का पता नहीं चला, इस बात के बहुत कम सबूत हैं कि शोषण का व्यापक रूप से उपयोग किया गया है। फिर भी, सुरक्षित रहने के लिए, आप वेबसाइट login, email account और अन्य online सेवाओं के लिए अपने पासवर्ड update करके अपनी सुरक्षा कर सकते हैं।