हार्टब्लीड (Heartbleed) बग; आंतरजालावरील संस्थळावरील पासवर्ड बदलणे; काही शंका

माहितगार's picture
माहितगार in काथ्याकूट
12 Apr 2014 - 9:35 am
गाभा: 

आंतरजालाची २५ वर्षे झाली याचा आनंद साजरा होतो न होतो तोच मागोमाग फायरवॉल्स आणि अँटीव्हायरस आणि इतरही सुरक्षा वापरून निर्धास्त होऊ पहात असलेल्या सर्वांनाच हार्टब्लीड (Heartbleed) बग ही त्रुटी लक्षात येऊन मोठाच धक्का दिला आहे. जवळपास दोन तृतीयांश (२/३) वेबसाईट्सवर त्यात अगदी विश्वासार्ह समजल्या जाणार्‍या असंख्य वेबसाईट्स सहित अनेक ठिकाणी नोंदवलेले सदस्य नाव आणि पासवर्ड इतर व्यक्तीगत माहितीची गोपनीयता राखली न गेल्याची हादरवून टाकणारी शक्यता समोर आली आहे की ज्याबाबत सामान्य आंतरजाल उपयोगकर्ता काही म्हणजे काही करू शकत नाही. म्हणजे पाणि शीरलेल्या नौकेत आपण सगळ्यांसोबत होतो एवढेच समाधान.

मी या बातम्या गेल्या दोन दिवसात वाचल्या पण स्वतः या क्षेत्रातील तज्ञ नाही आणि मराठीत गूगलवर शोधून अद्याप काही माहिती दिसत नाही तेव्हा जाणकारांना मराठी बंधु भगिनींकरता मराठीतन अधिक माहिती या धाग्यावर दिल्यास सर्वांनाच बरे पडेल.

बातम्या वाचून मला पडलेल्या काही शंका अशा

१) तंत्रज्ञानाच्या एवढ्या प्रगत काळात अस काही होऊ कस शकत ? सॉफ्टवेअर प्रोग्रामींगच तंत्र विकसीत होण्यात अजूनही कच्चे दुवे कशामुळे आहेत ? सॉफ्टवेअर प्रॉग्रामींग योग्य पद्धतीने सुरक्षीत आहे हे तपासण्याचे मार्ग कोणते ?

२) सर्व सामान्यव्यक्ती अँटीव्हायरस फायरवॉल्सवर खर्च करतात या अँटीव्हायरस फायरवॉल्स विकणार्‍या कंपन्यांची कायदेशीर जबाबदारी लागू होते का नाही माहीत नाही पण नैतीक जबाबदारी म्हणून त्यांनी प्रयत्न करावयास नकोत का ?

३) या इश्यूजवर लक्ष ठेवण्यासाठी भारतीय संस्थांची (शैक्षणिक, शासकीय आणि खाजगी) सद्य स्थिती क्षमता काय आहेत सुधारणांना वाव आहे का ? असेल तर नेमका कोणता ?

३) मराठी संस्थळांची काय स्थिती आहे, खासकरून मायबोली मिपा मनोगत इत्यादी

४) सामान्य उपयोगकर्त्यांनी त्यांचे पासवर्ड केव्हा बदलावेत ?

* हार्टब्लीड बग इंग्रजी विकिपीडियावर
* न्युयॉर्क टाइम्स मधील लेख टिका Users’ Stark Reminder: As Web Grows, It Grows Less Secure

* अधिक माहिती करता गूगल न्यूज वर Heartbleed bug हे शब्द शोधावेत.
चर्चा सहभाग आनि विषयांतर टाळण्यासाठी धन्यवाद

प्रतिक्रिया

भाते's picture

12 Apr 2014 - 12:22 pm | भाते

आत्ताच मटामध्ये हार्टब्लीड संबंधित बातमी ही वाचली.
तज्ज्ञाशी संपर्क साधून 'ओपन एसएसएल'ची व्हर्जन '१.०.१जी' अशी अपग्रेड करून घ्यावी.
यावर कोणी जास्त माहिती देऊ / मदत करू शकेल का?

मी नाशिककर's picture

12 Apr 2014 - 1:49 pm | मी नाशिककर

हा अ‍ॅटॅक फक्त सर्व्हर एन्ड वर आहे. जरी एखाद्या सर्व्हर वर अ‍ॅटॅक झाला नसेल तरी तुमचे सगळे पासवर्ड्स रीसेट करावे.
http://filippo.io/Heartbleed
ही लींक वापरुन तुम्ही तुमचा सर्व्हर/वेबसाईट चेक करु शकतात.
जर रिझल्ट पॉझीटीव आला तर OpenSSL अपग्रेड करणे हा एकच उपाय आहे.

टिपः मिपा, माबो, मनोगत सेफ आहेत.

=================================================================

१००+ सर्व्हर्स वर OpenSSL अपग्रेड करुन प्रतिसाद टंकनारा !!!

आत्मशून्य's picture

12 Apr 2014 - 4:01 pm | आत्मशून्य

१) तंत्रज्ञानाच्या एवढ्या प्रगत काळात अस काही होऊ कस शकत ? सॉफ्टवेअर प्रोग्रामींगच तंत्र विकसीत होण्यात अजूनही कच्चे दुवे कशामुळे आहेत ?

शेवटी संगणक हे एक यंत्र आहे म्हणून. विमाने कोसळतात, गाड्यांचे अपघात होता, संगणक हॅ़क होउ शकतात.

सॉफ्टवेअर प्रॉग्रामींग योग्य पद्धतीने सुरक्षीत आहे हे तपासण्याचे मार्ग कोणते ?

रिगरस टेस्टींग, पुन्हा पुन्हा पुन्हा.

२) सर्व सामान्यव्यक्ती अँटीव्हायरस फायरवॉल्सवर खर्च करतात या अँटीव्हायरस फायरवॉल्स विकणार्‍या कंपन्यांची कायदेशीर जबाबदारी लागू होते का नाही माहीत नाही पण नैतीक जबाबदारी म्हणून त्यांनी प्रयत्न करावयास नकोत का ?

व्यावसायीक हित सांभाळत, प्रयत्न चालु असतात.

३) या इश्यूजवर लक्ष ठेवण्यासाठी भारतीय संस्थांची (शैक्षणिक, शासकीय आणि खाजगी) सद्य स्थिती क्षमता काय आहेत सुधारणांना वाव आहे का ? असेल तर नेमका कोणता ?

न बोललेले बरे.

३) मराठी संस्थळांची काय स्थिती आहे, खासकरून मायबोली मिपा मनोगत इत्यादी

अजिबातच न बोललेले बरे.

४) सामान्य उपयोगकर्त्यांनी त्यांचे पासवर्ड केव्हा बदलावेत ?

मी सांगेन तेंव्हा ;)

मदनबाण's picture

13 Apr 2014 - 8:49 am | मदनबाण

जवळपास दोन तृतीयांश (२/३) वेबसाईट्सवर त्यात अगदी विश्वासार्ह समजल्या जाणार्‍या असंख्य वेबसाईट्स सहित अनेक ठिकाणी नोंदवलेले सदस्य नाव आणि पासवर्ड इतर व्यक्तीगत माहितीची गोपनीयता राखली न गेल्याची हादरवून टाकणारी शक्यता समोर आली आहे की ज्याबाबत सामान्य आंतरजाल उपयोगकर्ता काही म्हणजे काही करू शकत नाही. म्हणजे पाणि शीरलेल्या नौकेत आपण सगळ्यांसोबत होतो एवढेच समाधान.
आतंरजाल किती असुरक्षित आहे याची निदान कल्पना तरी या घटनेने सामान्य वापरकर्त्यास यावी !
खरं तर "पासवर्ड" हा अकाउंट शी संबंधीत आहे,आणि अकाउंटचा चा तुमच्या माहितीशी.आता स्वतःला एक प्रश्न विचारुन पहा,तुमचे किती / कोणते / कोठे / कशासाठी / अकाउंट्स आहेत ? आणि यासाठी किती पासवर्ड्स आहेत ? यात तुमच्या मेल अकाउंट पासुन बँक अकाउंट आणि सोशल साईट अकाउंट पासुन सॉफ्टवेअर डाउनलोड अकाउंटस इं.इं येतात. या वरुन तुम्हाला याची व्याप्ती किती आहे हे लगेच कळेल. असे अनेक अकाउंटस असतात जे तात्पुरते बनवले जातात आणि नंतर कधीही त्याचा वापर केला जात नाही किंवा झालाच तर तो क्वचित असतो.अश्या सर्व अकाउंट्स चे पासवर्ड लक्षात ठेवणे ही या डिजीटल युगातली सर्वात कठीण आणि तापदायक गोष्ट आहे आणि असे पासवर्ड विसरणे /गहाळ होणे ही त्याहुन अधिक तापदायक गोष्ट आहे आणि यातुन निर्माण होणार्‍या अनेक शक्यता आहेत आणि त्याने होउ शकणारी हानी हा चिंतेचा विषय ठरावा.

जाता जाता :- आपण या डिजीटल विचासरणीत मागे आहोत का ?"डिजीटल विचासरणी" म्हणजे डिजीटल युगात वावरताना आणि डिजीटल उत्पादन वापरताना त्यासंबंधी केला जाणारा विचार...{ही मी माझ्या पुरती आणि माझ्यासाठी केलेली छोटीशी व्याख्या आहे } म्हणजे एक उदा. देतो... समजा उद्या बाईक अपघातात माझा मॄत्यू झाला तर माझ्या पश्चात माझ्या डिजीटल डेटा चे काय ? त्यावर कोणाचा अधिकार राहिल ? समजा, माझे एखाद्या मेल अकाउंट मधे महत्वाचे दस्तावेज असतील तर त्याचे काय ? कारण त्या अकाउंटची सगळी माहिती आणि अर्थातच पासवर्ड { जर हॅक झाला नसेल तर...} माझ्या बरोबरच ढगात जाइल ! ;) तर मग त्या महत्वाच्या डेटाचे हस्तातंरण कसे होइल ? इं विषयां संबंधी आपल्या देशात विचार केला जातो आहे का ? तुम्ही कधी केला आहे का ?

मदनबाण's picture

15 Apr 2014 - 10:20 am | मदनबाण

हार्टब्लीड चा फटका अ‍ॅन्ड्रॉइड फोनला सुद्धा बसला आहे आणि यांचे इन्फेक्शन चेक करण्यासाठी गुगल स्टोअर अ‍ॅप्स उपलब्ध झाले आहेत. या संबंधी माहिती आणि दुवे खाली देतो आहे, तसेच हा प्रतिसाद तुमच्या अ‍ॅन्ड्रॉईडसाठी... या धाग्यात सुद्धा देतो आहे,म्हंणजे अ‍ॅन्ड्रॉइड अ‍ॅपसाठी तो धागा उघडणार्‍यांना याची माहिती मिळेल.

दुवे :-
Android devices and apps affected by Heartbleed: Check if your smartphone is vulnerable
Heartbleed Bug Impacts Mobile Devices
अ‍ॅप्स :-
Heartbleed Detector
Bluebox Heartbleed Scanner

माहितगार's picture

15 Apr 2014 - 11:17 am | माहितगार

श्री.: भाते, मी नाशिककर, आत्मशून्य, मदनबाण आपणा सर्वांना चर्चा सहभाग घेऊन मार्गदर्शना बद्दल धन्यवाद. धागा विषयाचे महत्व लक्षात घेता धाग्यास ६५०० पेक्षा अधिक हिट्स म्हणजे वाचक बर्‍या पैकी दिसताहेत तरी पण मिपावरील सर्वांपर्यंत विषय पोहोचण्या साठी अधिक वाचकांच्या वाचनांची गरज आहे असे वाटते. वाचकांच्या शंकाही नाहीत या अर्थाने वाचक अनुपस्थित आहेत.

सुहास झेले's picture

15 Apr 2014 - 11:55 am | सुहास झेले

McAfee ने यासाठी एक फ्री टूल उपलब्ध करून दिलेले आहे... त्याचा दुवा देतोय खाली आणि Heartbleed Vulnerability चे जे काही अपडेट्स असतील, ते नॉर्टनच्या वेबसाईटवर उपलब्ध आहेत. दोन्ही दुवे देतोय.

१. McAfee True Intelligence Feed (Beta)
२. Heartbleed: Information from Symantec on OpenSSL Vulnerability