हार्टब्लीड (Heartbleed) बग; आंतरजालावरील संस्थळावरील पासवर्ड बदलणे; काही शंका

म

माहितगार

Sat, 04/12/2014 - 06:05

आंतरजालाची २५ वर्षे झाली याचा आनंद साजरा होतो न होतो तोच मागोमाग फायरवॉल्स आणि अँटीव्हायरस आणि इतरही सुरक्षा वापरून निर्धास्त होऊ पहात असलेल्या सर्वांनाच हार्टब्लीड (Heartbleed) बग ही त्रुटी लक्षात येऊन मोठाच धक्का दिला आहे. जवळपास दोन तृतीयांश (२/३) वेबसाईट्सवर त्यात अगदी विश्वासार्ह समजल्या जाणार्‍या असंख्य वेबसाईट्स सहित अनेक ठिकाणी नोंदवलेले सदस्य नाव आणि पासवर्ड इतर व्यक्तीगत माहितीची गोपनीयता राखली न गेल्याची हादरवून टाकणारी शक्यता समोर आली आहे की ज्याबाबत सामान्य आंतरजाल उपयोगकर्ता काही म्हणजे काही करू शकत नाही. म्हणजे पाणि शीरलेल्या नौकेत आपण सगळ्यांसोबत होतो एवढेच समाधान. मी या बातम्या गेल्या दोन दिवसात वाचल्या पण स्वतः या क्षेत्रातील तज्ञ नाही आणि मराठीत गूगलवर शोधून अद्याप काही माहिती दिसत नाही तेव्हा जाणकारांना मराठी बंधु भगिनींकरता मराठीतन अधिक माहिती या धाग्यावर दिल्यास सर्वांनाच बरे पडेल. बातम्या वाचून मला पडलेल्या काही शंका अशा १) तंत्रज्ञानाच्या एवढ्या प्रगत काळात अस काही होऊ कस शकत ? सॉफ्टवेअर प्रोग्रामींगच तंत्र विकसीत होण्यात अजूनही कच्चे दुवे कशामुळे आहेत ? सॉफ्टवेअर प्रॉग्रामींग योग्य पद्धतीने सुरक्षीत आहे हे तपासण्याचे मार्ग कोणते ? २) सर्व सामान्यव्यक्ती अँटीव्हायरस फायरवॉल्सवर खर्च करतात या अँटीव्हायरस फायरवॉल्स विकणार्‍या कंपन्यांची कायदेशीर जबाबदारी लागू होते का नाही माहीत नाही पण नैतीक जबाबदारी म्हणून त्यांनी प्रयत्न करावयास नकोत का ? ३) या इश्यूजवर लक्ष ठेवण्यासाठी भारतीय संस्थांची (शैक्षणिक, शासकीय आणि खाजगी) सद्य स्थिती क्षमता काय आहेत सुधारणांना वाव आहे का ? असेल तर नेमका कोणता ? ३) मराठी संस्थळांची काय स्थिती आहे, खासकरून मायबोली मिपा मनोगत इत्यादी ४) सामान्य उपयोगकर्त्यांनी त्यांचे पासवर्ड केव्हा बदलावेत ? * हार्टब्लीड बग इंग्रजी विकिपीडियावर * न्युयॉर्क टाइम्स मधील लेख टिका Users’ Stark Reminder: As Web Grows, It Grows Less Secure * अधिक माहिती करता गूगल न्यूज वर Heartbleed bug हे शब्द शोधावेत. चर्चा सहभाग आनि विषयांतर टाळण्यासाठी धन्यवाद

10996 वाचन

💬 प्रतिसाद (8)

भ

भाते Sat, 04/12/2014 - 08:52 नवीन

आत्ताच मटामध्ये हार्टब्लीड संबंधित बातमी ही वाचली. तज्ज्ञाशी संपर्क साधून 'ओपन एसएसएल'ची व्हर्जन '१.०.१जी' अशी अपग्रेड करून घ्यावी. यावर कोणी जास्त माहिती देऊ / मदत करू शकेल का?

म

मी नाशिककर Sat, 04/12/2014 - 10:19 नवीन

हा अ‍ॅटॅक फक्त सर्व्हर एन्ड वर आहे. जरी एखाद्या सर्व्हर वर अ‍ॅटॅक झाला नसेल तरी तुमचे सगळे पासवर्ड्स रीसेट करावे. http://filippo.io/Heartbleed ही लींक वापरुन तुम्ही तुमचा सर्व्हर/वेबसाईट चेक करु शकतात. जर रिझल्ट पॉझीटीव आला तर OpenSSL अपग्रेड करणे हा एकच उपाय आहे. टिपः मिपा, माबो, मनोगत सेफ आहेत. ================================================================= १००+ सर्व्हर्स वर OpenSSL अपग्रेड करुन प्रतिसाद टंकनारा !!!

आ

आत्मशून्य Sat, 04/12/2014 - 12:31 नवीन

१) तंत्रज्ञानाच्या एवढ्या प्रगत काळात अस काही होऊ कस शकत ? सॉफ्टवेअर प्रोग्रामींगच तंत्र विकसीत होण्यात अजूनही कच्चे दुवे कशामुळे आहेत ?

शेवटी संगणक हे एक यंत्र आहे म्हणून. विमाने कोसळतात, गाड्यांचे अपघात होता, संगणक हॅ़क होउ शकतात.

सॉफ्टवेअर प्रॉग्रामींग योग्य पद्धतीने सुरक्षीत आहे हे तपासण्याचे मार्ग कोणते ?

रिगरस टेस्टींग, पुन्हा पुन्हा पुन्हा.

२) सर्व सामान्यव्यक्ती अँटीव्हायरस फायरवॉल्सवर खर्च करतात या अँटीव्हायरस फायरवॉल्स विकणार्‍या कंपन्यांची कायदेशीर जबाबदारी लागू होते का नाही माहीत नाही पण नैतीक जबाबदारी म्हणून त्यांनी प्रयत्न करावयास नकोत का ?

व्यावसायीक हित सांभाळत, प्रयत्न चालु असतात.

३) या इश्यूजवर लक्ष ठेवण्यासाठी भारतीय संस्थांची (शैक्षणिक, शासकीय आणि खाजगी) सद्य स्थिती क्षमता काय आहेत सुधारणांना वाव आहे का ? असेल तर नेमका कोणता ?

न बोललेले बरे.

३) मराठी संस्थळांची काय स्थिती आहे, खासकरून मायबोली मिपा मनोगत इत्यादी

अजिबातच न बोललेले बरे.

४) सामान्य उपयोगकर्त्यांनी त्यांचे पासवर्ड केव्हा बदलावेत ?

मी सांगेन तेंव्हा ;)

म

मदनबाण Sun, 04/13/2014 - 05:19 नवीन

जवळपास दोन तृतीयांश (२/३) वेबसाईट्सवर त्यात अगदी विश्वासार्ह समजल्या जाणार्‍या असंख्य वेबसाईट्स सहित अनेक ठिकाणी नोंदवलेले सदस्य नाव आणि पासवर्ड इतर व्यक्तीगत माहितीची गोपनीयता राखली न गेल्याची हादरवून टाकणारी शक्यता समोर आली आहे की ज्याबाबत सामान्य आंतरजाल उपयोगकर्ता काही म्हणजे काही करू शकत नाही. म्हणजे पाणि शीरलेल्या नौकेत आपण सगळ्यांसोबत होतो एवढेच समाधान. आतंरजाल किती असुरक्षित आहे याची निदान कल्पना तरी या घटनेने सामान्य वापरकर्त्यास यावी ! खरं तर "पासवर्ड" हा अकाउंट शी संबंधीत आहे,आणि अकाउंटचा चा तुमच्या माहितीशी.आता स्वतःला एक प्रश्न विचारुन पहा,तुमचे किती / कोणते / कोठे / कशासाठी / अकाउंट्स आहेत ? आणि यासाठी किती पासवर्ड्स आहेत ? यात तुमच्या मेल अकाउंट पासुन बँक अकाउंट आणि सोशल साईट अकाउंट पासुन सॉफ्टवेअर डाउनलोड अकाउंटस इं.इं येतात. या वरुन तुम्हाला याची व्याप्ती किती आहे हे लगेच कळेल. असे अनेक अकाउंटस असतात जे तात्पुरते बनवले जातात आणि नंतर कधीही त्याचा वापर केला जात नाही किंवा झालाच तर तो क्वचित असतो.अश्या सर्व अकाउंट्स चे पासवर्ड लक्षात ठेवणे ही या डिजीटल युगातली सर्वात कठीण आणि तापदायक गोष्ट आहे आणि असे पासवर्ड विसरणे /गहाळ होणे ही त्याहुन अधिक तापदायक गोष्ट आहे आणि यातुन निर्माण होणार्‍या अनेक शक्यता आहेत आणि त्याने होउ शकणारी हानी हा चिंतेचा विषय ठरावा. जाता जाता :- आपण या डिजीटल विचासरणीत मागे आहोत का ?"डिजीटल विचासरणी" म्हणजे डिजीटल युगात वावरताना आणि डिजीटल उत्पादन वापरताना त्यासंबंधी केला जाणारा विचार...{ही मी माझ्या पुरती आणि माझ्यासाठी केलेली छोटीशी व्याख्या आहे } म्हणजे एक उदा. देतो... समजा उद्या बाईक अपघातात माझा मॄत्यू झाला तर माझ्या पश्चात माझ्या डिजीटल डेटा चे काय ? त्यावर कोणाचा अधिकार राहिल ? समजा, माझे एखाद्या मेल अकाउंट मधे महत्वाचे दस्तावेज असतील तर त्याचे काय ? कारण त्या अकाउंटची सगळी माहिती आणि अर्थातच पासवर्ड { जर हॅक झाला नसेल तर...} माझ्या बरोबरच ढगात जाइल ! ;) तर मग त्या महत्वाच्या डेटाचे हस्तातंरण कसे होइल ? इं विषयां संबंधी आपल्या देशात विचार केला जातो आहे का ? तुम्ही कधी केला आहे का ?

म

मदनबाण Tue, 04/15/2014 - 05:23 नवीन

आज लोकसत्ता मधे आलेली बातमी :- 'हार्टब्लीड'मुळे अँड्रॉइड फोनला सर्वाधिक धोका!

म

मदनबाण Tue, 04/15/2014 - 06:50 नवीन

हार्टब्लीड चा फटका अ‍ॅन्ड्रॉइड फोनला सुद्धा बसला आहे आणि यांचे इन्फेक्शन चेक करण्यासाठी गुगल स्टोअर अ‍ॅप्स उपलब्ध झाले आहेत. या संबंधी माहिती आणि दुवे खाली देतो आहे, तसेच हा प्रतिसाद तुमच्या अ‍ॅन्ड्रॉईडसाठी... या धाग्यात सुद्धा देतो आहे,म्हंणजे अ‍ॅन्ड्रॉइड अ‍ॅपसाठी तो धागा उघडणार्‍यांना याची माहिती मिळेल. दुवे :- Android devices and apps affected by Heartbleed: Check if your smartphone is vulnerable Heartbleed Bug Impacts Mobile Devices अ‍ॅप्स :- Heartbleed Detector Bluebox Heartbleed Scanner

म

माहितगार Tue, 04/15/2014 - 07:47 नवीन

श्री.: भाते, मी नाशिककर, आत्मशून्य, मदनबाण आपणा सर्वांना चर्चा सहभाग घेऊन मार्गदर्शना बद्दल धन्यवाद. धागा विषयाचे महत्व लक्षात घेता धाग्यास ६५०० पेक्षा अधिक हिट्स म्हणजे वाचक बर्‍या पैकी दिसताहेत तरी पण मिपावरील सर्वांपर्यंत विषय पोहोचण्या साठी अधिक वाचकांच्या वाचनांची गरज आहे असे वाटते. वाचकांच्या शंकाही नाहीत या अर्थाने वाचक अनुपस्थित आहेत.

स

सुहास झेले Tue, 04/15/2014 - 08:25 नवीन

McAfee ने यासाठी एक फ्री टूल उपलब्ध करून दिलेले आहे... त्याचा दुवा देतोय खाली आणि Heartbleed Vulnerability चे जे काही अपडेट्स असतील, ते नॉर्टनच्या वेबसाईटवर उपलब्ध आहेत. दोन्ही दुवे देतोय. १. McAfee True Intelligence Feed (Beta) २. Heartbleed: Information from Symantec on OpenSSL Vulnerability