இதயக்கசிவு

இதயக்கசிவைக் குறித்துநிற்கும் சின்னம். பாதுகாப்பு நிறுவனமான கோடுநோமிக்கோன் (Codenomicon) மக்களிடையே விழிப்புணர்வை ஏற்படுத்துவதற்காக இச்சின்னத்தை அறிமுகப்படுத்தியது.^[1]

இதயக்கசிவு (Heartbleed) என்பது ஓப்பன் எசு. எசு. எல். மறையீட்டியல் நூலகத்தில் கண்டறியப்பட்ட ஒரு பாதுகாப்புத் தவறு ஆகும். 2012 இல் மென்பொருளினுள் கொண்டுவரப்பட்ட இத்தவறு குறித்து 2014 ஏப்பிரலில் அறிவிக்கப்பட்டது. தாக்குதலுக்குள்ளாகக்கூடிய ஓப்பன் எசு. எசு. எல். நிரலானது போக்குவரத்து அடுக்குப் பாதுகாப்பு (Transport Layer Security) வழங்கியாகவோ வாங்கியாகவோ எவ்வாறு இயங்கினாலும் இதயக்கசிவைச் செயற்படுத்தமுடியும். போக்குவரத்து அடுக்குப் பாதுகாப்பு இதயத்துடிப்பு (Heartbeat) நீட்சியைச் செய்முறைப்படுத்தும்போது, உள்ளீட்டுச் செல்லுபடியாக்கத்தில் எல்லைகளைச் சரிபார்க்காததால் இத்தவறு ஏற்படுகின்றது.^[2] இதன் காரணமாக, இத்தவற்றுக்கு இதயக்கசிவு என்ற பெயர் வழங்கப்பட்டது.

இதயக்கசிவு குறித்து அறிவிக்கப்பட்ட அதே நாளான ஏப்பிரல் 7, 2014 அன்றே திருத்திய ஓப்பன் எசு. எசு. எல். பதிப்பும் வெளியிடப்பட்டது. ஓப்பன் எசு. எசு. எல். தவிர்ந்த ஏனைய போக்குவரத்து அடுக்குப் பாதுகாப்புச் செய்முறைப்படுத்தல்களான குனு தி. எல். எசு, மொசில்லாவின் வலையமைப்புப் பாதுகாப்புச் சேவைகள், விண்டோசின் போக்குவரத்து அடுக்குப் பாதுகாப்புச் செய்முறைப்படுத்தல் போன்றவற்றில் இத்தவறு நிகழவில்லை.^[3] ஏனெனில், ஓப்பன் எசு. எசு. எல். செய்முறைப்படுத்தலிலே தவறு இருந்ததேயொழிய, நெறிமுறையில் தவறு இருக்கவில்லை.

நடத்தை[தொகு]

ஆர். எவ்வு. சி. 6520 இதயத்துடிப்பு நீட்சியானது போக்குவரத்து அடுக்குப் பாதுகாப்பு/தரவேட்டுப் போக்குவரத்து அடுக்குப் பாதுகாப்புக் (TLS/DTLS) காப்புத் தொடர்பாடல் இணைப்புகளைச் சோதிக்கப் பயன்படுகின்றது. இதன்போது, ஒரு முனையில் இணைக்கப்பட்டுள்ள கணினியானது, 16-நுண்மி முழு எண் நீளம் கொண்ட தரவை (பொதுவாக, ஓர் உரைச்சரம்) உள்ளடக்கிய ஓர் இதயத்துடிப்புச் செய்தியை அனுப்பிவைக்கும். செய்தியைப் பெறும் கணினியும் அதே தரவை அனுப்பிய கணினிக்கு அனுப்பவேண்டும்.

ஊறுபட்ட ஓப்பன் எசு. எசு. எல். பதிப்புகள் தரவின் அளவின் அடிப்படையில் நினைவகத் தாங்ககத்தை (Memory buffer) ஒதுக்காமல், வேண்டுகோள் செய்தியில் குறிப்பிடப்பட்டுள்ள நீளத்தின் அடிப்படையில் நினைவகத் தாங்ககத்தை ஒதுக்குகின்றன. சரிவர எல்லைகளைச் சரிபார்க்காததால், மீண்டும் பெறப்படும் செய்தியானது அனுப்பப்பட்ட தரவையும், அதற்கு மேலதிகமாக ஒதுக்கப்பட்ட நினைவகத் தாங்ககத்தில் இருந்த வேறு தரவையும் கொண்டிருக்கக்கூடும்.

ஊறுபட்ட ஓப்பன் எசு. எசு. எல். நிறுவல்கள்[தொகு]

1.0.1 தொடக்கம் 1.0.1எவ்வு வரையான ஓப்பன் எசு. எசு. எல். பதிப்புகள் இதயக்கசிவால் ஊறுபட்டுள்ளன.^[4] இப்பதிப்புகளின் நிறுவல்கள் -DOPENSSL_NO_HEARTBEATS என்று தொகுக்கப்பட்டாலேயொழிய, இதயக்கசிவுக்காளாகக்கூடும்.^[5]

ஊறுபட்ட நிரல்களும் சார்புகளும்[தொகு]

t1_lib.c, d1_both.c ஆகிய நிரல் மூலக்கோப்புகளும் tls1_process_heartbeat(), dtls1_process_heartbeat() ஆகிய சார்புகளும் ஊறுபட்டுள்ளன.^[4]

ஒட்டு[தொகு]

தேவைக்கதிகமான தரவைக் கேட்கும் இதயத்துடிப்புச் செய்திகளைப் புறக்கணிப்பதன் மூலம் இச்சிக்கலைத் தீர்க்கமுடியும்.

ஓப்பன் எசு. எசு. எல். பதிப்பு 1.01சியில் (1.01g) சில எல்லைகளைச் சரிபார்ப்பதன் மூலம் இத்தவறு தவிர்க்கப்படுகின்றது. ஓர் இதயத்துடிப்பு வேண்டுகோளானது இதயக்கசிவை ஏற்படுத்துமா என்று பார்க்க, பின்வரும் சோதனை அறிமுகப்படுத்தப்பட்டது.

if (1 + 2 + payload + 16 > s->s3->rrec.length) return 0; /* ஆர். எவ்வு. சி. 6520 பகுதி 4 இற்கு ஏற்ப அமைதியாகப் புறக்கணி */

தாக்கம்[தொகு]

இதயக்கசிவுத் தாக்குதலில் பெறப்படும் தரவில் போக்குவரத்து அடுக்குப் பாதுகாப்புத் தரப்புகளிடையேயான மறைகுறியாக்கப்படாப் பரிமாற்றங்கள் இருக்கக்கூடும். கமுக்கமாக இருக்கவேண்டிய இத்தரவில் அமர்வு நினைவிகள், கடவுச்சொற்கள் போன்றவை இருக்கக்கூடும்.^[6] இவற்றைப் பயன்படுத்தி பயனர் ஒருவரைப் போல் ஆள் மாறாட்டம் செய்யமுடியும்.

தாக்குதலின்போது ஊறுபட்ட தரப்புகளின் தனிப்பட்ட விசைகளும் கிடைக்கக்கூடும்.^[7] தொடர்பாடல்களை மறையீடுநீக்க இவற்றைப் பயன்படுத்தமுடியும்.

ஊறுபட்ட முறைமைகள்[தொகு]

சிசுக்கோ சிசுற்றமிசு, அதன் 78 தயாரிப்புகள் ஊறுபாட்டுக்காளாகக்கூடியவை எனக் கண்டறிந்துள்ளது.^[8]

வலைத்தளங்களும் தொடரறாச் சேவைகளும்[தொகு]

கிற்றபில் (Github) ஏப்பிரல் 8, 2014 அன்று பதியப்பட்ட ஒரு பகுப்பாய்வின் மூலம் யாகூ!, இமேசர் (Imgur), தக்கு ஓவர்புலோ, சிலேற்று, இடக்குடக்கோ போன்ற தளங்களில் ஊறுபாடு இருப்பதாகக் கண்டறியப்பட்டது.^[9] சேவைகள் ஊறுபாட்டுக்காளாகிய தளங்களும் கடவுச்சொற்களை மாற்றுமாறு பயனர்களுக்குப் பரிந்துரைத்து அறிவிப்புவிடுத்த தளங்களும் பின்வருமாறு:

அக்கமை தெக்குனோலொசீசு (Akamai Technologies)
அமேசன் வலைச் சேவைகள்
ஆசு தெக்குனிக்கா (Ars Technica)
பிற்றுபக்கெற்று
பிறாண்டுவெரிற்றி
பிறீநோடு
கிற்றபு
இவ்வு திசு தென் தற்று (IFTTT)
இணைய ஆவணகம்
முயங்கு (Mojang)
மமிசுநெற்று (Mumsnet)
பியர்சே (PeerJ)
பிண்டறெசுற்று
பிறெசி
இறெடிற்று
சந்திங்கு ஓபுல் (Something Aweful)
சவுண்டுக்கிளவுடு
சோர்சுபோர்கி
பாக்குபண் (SparkFun)
திறைப்பு (Stripe)
தம்பிளர்
எல்லா விக்கிமீடிய நிறுவன விக்கிகளும்
உவுண்டருலிசுற்று (Wunderlist)

மேற்கோள்கள்[தொகு]

↑ John Biggs (9 ஏப்ரல் 2014). "Heartbleed, The First Security Bug With A Cool Logo". TechCrunch. 19 மே 2018 அன்று பார்க்கப்பட்டது.
↑ Chris Williams (9 ஏப்ரல் 2014). "Anatomy of OpenSSL's Heartbleed: Just four bytes trigger horror bug". Register. 20 மே 2018 அன்று பார்க்கப்பட்டது.
↑ Tracey Pretorius (10 ஏப்ரல் 2014). "Microsoft Services unaffected by OpenSSL "Heartbleed" vulnerability". Microsoft Secure. 2018-02-08 அன்று மூலம் பரணிடப்பட்டது. 20 மே 2018 அன்று பார்க்கப்பட்டது.
↑ ^4.0 ^4.1 "Cyberoam Users Need not Bleed over Heartbleed Exploit". Cyberoam. 11 ஏப்ரல் 2014. Archived from the original on 2014-04-15. 20 மே 2018 அன்று பார்க்கப்பட்டது.CS1 maint: unfit url (link)
↑ "TLS heartbeat read overrun (CVE-2014-0160)". OpenSSL. 7 ஏப்ரல் 2014. 20 மே 2018 அன்று பார்க்கப்பட்டது.
↑ Pawel Krawczyk (8 ஏப்ரல் 2014). "Why Heartbleed is dangerous? Exploiting CVE-2014-0160". IPSec. 2018-08-31 அன்று மூலம் பரணிடப்பட்டது. 20 மே 2018 அன்று பார்க்கப்பட்டது.
↑ "The Heartbleed Bug". Synopsys. 29 ஏப்ரல் 2014. 20 மே 2018 அன்று பார்க்கப்பட்டது.
↑ "OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products". Cisco. 9 ஏப்ரல் 2014. 20 மே 2018 அன்று பார்க்கப்பட்டது.
↑ Jason Cipriani (9 ஏப்ரல் 2014). "Heartbleed bug: Check which sites have been patched". CNET. 20 மே 2018 அன்று பார்க்கப்பட்டது.

[techcrunch-1] John Biggs (9 ஏப்ரல் 2014). "Heartbleed, The First Security Bug With A Cool Logo". TechCrunch. 19 மே 2018 அன்று பார்க்கப்பட்டது.

[register-2] Chris Williams (9 ஏப்ரல் 2014). "Anatomy of OpenSSL's Heartbleed: Just four bytes trigger horror bug". Register. 20 மே 2018 அன்று பார்க்கப்பட்டது.

[microsoft-3] Tracey Pretorius (10 ஏப்ரல் 2014). "Microsoft Services unaffected by OpenSSL "Heartbleed" vulnerability". Microsoft Secure. 2018-02-08 அன்று மூலம் பரணிடப்பட்டது. 20 மே 2018 அன்று பார்க்கப்பட்டது.

[cyberoam-4] 4.0 ^4.1 "Cyberoam Users Need not Bleed over Heartbleed Exploit". Cyberoam. 11 ஏப்ரல் 2014. Archived from the original on 2014-04-15. 20 மே 2018 அன்று பார்க்கப்பட்டது.CS1 maint: unfit url (link)

[openssl-5] "TLS heartbeat read overrun (CVE-2014-0160)". OpenSSL. 7 ஏப்ரல் 2014. 20 மே 2018 அன்று பார்க்கப்பட்டது.

[ipsec-6] Pawel Krawczyk (8 ஏப்ரல் 2014). "Why Heartbleed is dangerous? Exploiting CVE-2014-0160". IPSec. 2018-08-31 அன்று மூலம் பரணிடப்பட்டது. 20 மே 2018 அன்று பார்க்கப்பட்டது.

[heartbleed-7] "The Heartbleed Bug". Synopsys. 29 ஏப்ரல் 2014. 20 மே 2018 அன்று பார்க்கப்பட்டது.

[cisco-8] "OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products". Cisco. 9 ஏப்ரல் 2014. 20 மே 2018 அன்று பார்க்கப்பட்டது.

[cnet-9] Jason Cipriani (9 ஏப்ரல் 2014). "Heartbleed bug: Check which sites have been patched". CNET. 20 மே 2018 அன்று பார்க்கப்பட்டது.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]