Monday, July 21, 2014

​ေခတ္စားလာတဲ့ Heartbleed လႈံျခဳံေရးအားနည္းခ်က္အေၾကာင္း

Heartbleed ဆိုတဲ့ အသံုးအႏႈန္း ထြက္ေပၚလာတာ လပိုင္းေလာက္ပဲ ရွိပါေသးတယ္။  ဒါေပမဲ့ လူအမ်ားစုက Heartbleed ဆိုတာဘာလဲ။ Heartbleed ကိုဘာေၾကာင့္ သတိထားသင့္သလဲ ဆိုတာနဲ႔ ပတ္သက္ၿပီး စိတ္ဝင္စား လာၾကပါတယ္။ ဒါေၾကာင့္ Heartbleed နဲ႔ ပတ္သက္ၿပီး သိထားသင့္တဲ့ အေၾကာင္းအရာေတြကို စာဖတ္သူမ်ား သိရွိႏုိင္ေအာင္ ေဖာ္ျပေပးလိုက္ပါတယ္။

Heartbleed ဆိုတာ

Heartbleed ဆိုတာကေတာ့ အြန္လိုင္းေပၚက ဝက္ဘ္ဆိုက္သံုး ပံုႏွစ္ပံု နီးပါးခန္႔မွာရွိတဲ့ အေရးႀကီးတဲ့ လံုၿခံဳေရး အားနည္းခ်က္ တစ္ခုရဲ႕အမည္ျဖစ္ပါတယ္။ ဒီအားနည္းခ်က္ဟာ သံုးစြဲသူရဲ႕ login အခ်က္ အလက္ျဖစ္တဲ့ username နဲ႔ password အျပင္ အျခားအေရးႀကီး အခ်က္အလက္ေတြကို ေပါက္ၾကားေစႏုိင္ပါတယ္။

တခ်ိဳ႕သူေတြက Heartbleed ဆိုတာကို ဗိုင္းရပ္စ္ တစ္မ်ိဳးဆိုၿပီး ထင္မွတ္မွားၾကပါတယ္။ Heartbleed က ဗိုင္းရပ္စ္ မဟုတ္ပါဘူး။ ၎ဟာ သံုးစြဲသူနဲ႔ နာမည္ေက်ာ္ အြန္လိုင္း ဝန္ေဆာင္မႈေတြက ေထာက္ပံ့ေပးထားတဲ့ ဆာဗာမ်ားၾကားမွာရွိတဲ့ standard encrypting ဆက္သြယ္မႈျဖစ္တဲ့ OpenSSL မွာရွိတဲ့ အားနည္းခ်က္ တစ္ခုျဖစ္ပါတယ္။ ဒီအားနည္းခ်က္ကေန တစ္ဆင့္ ဟက္ကာမ်ားက သံုးစြဲသူမ်ားရဲ႕ username ေတြ၊ password ေတြနဲ႔ အျခားအေရးႀကီး အခ်က္အလက္ေတြ ပါဝင္တဲ့ database အမ်ားအျပားကို ရယူႏုိင္ပါတယ္။

Heartbleed အားနည္းခ်က္ကို မရွင္းျပမီ SSl နဲ႔ OpenSSL အေၾကာင္းကို ရွင္းျပခ်င္ပါတယ္။ SSL ဆိုတာဟာ Secure Sockets Layer ကို အတိုေကာက္ ေခၚဆိုထားတာပါ။ လံုၿခံဳေရး စံသတ္မွတ္ခ်က္ တစ္ခုျဖစ္တဲ့ SSL ဟာ သံုးစြဲသူနဲ႔ ဝန္ေဆာင္မႈအၾကား third-party ၾကားဝင္ ေႏွာင့္ယွက္မႈေတြ မရွိတာေၾကာင့္ အခ်က္အလက္ကို လံုၿခံဳစြာ ေပးပို႔တဲ့စနစ္ ျဖစ္ပါတယ္။ Open-SSL ကေတာ့ open-source အေနနဲ႔ အဆင့္ျမႇင့္ထားၿပီး ပ႐ိုဂရမ္မာေတြရဲ႕ အသိပညာ အစုအဖြဲ႕နဲ႔ ေစတနာ့ ဝန္ထမ္းေတြက ျပင္ဆင္ ထိန္းသိမ္းေပးတာ ျဖစ္ပါတယ္။

SSL လုပ္ေဆာင္ဖို႔အတြက္ ကြန္ပ်ဴတာက ဆာဗာတစ္ခုနဲ႔ ခ်ိတ္ဆက္ဖို႔ လို႔ပါတယ္။ အဲ့ဒီလို ခ်ိတ္ဆက္တဲ့အခါမွာ heartbeat လို႔ ေခၚတဲ့ အရာေတြကို ေပးပို႔ပါတယ္။ Heartbeat ဟာ ဆာဗာအြန္လိုင္း ျဖစ္ေနတဲ့အခါ ၎ထံ signal တစ္ခု ေပးပို႔ပါတယ္။ ဆာဗာအြန္လိုင္း ျဖစ္ေနတဲ့အခါမွာ signal ကို ကြန္ပ်ဴတာထံ ျပန္လည္ေပးပို႔ၿပီး လံုၿခံဳတဲ့ ဆက္သြယ္မႈနဲ႔ အသံုးျပဳႏုိင္ေစပါတယ္။ ကြန္ပ်ဴတာေရာ ဆာဗာကပါ အြန္လိုင္း ျဖစ္ေနစဥ္အတြင္း heartbeatေတြကို ပံုမွန္ကာလ အပိုင္းအျခား အေနနဲ႔ ေပးပို႔ပါတယ္။

Heartbleed ဟာဆာဗာမ်ားထံ အႏၲရာယ္ရွိတဲ့ hearbeat signal ကို ေပးပို႔ၿပီး အသံုးခ်ႏုိင္တဲ့ အားနည္းခ်က္ ျဖစ္ပါတယ္။ အႏၲရာယ္ရွိတဲ့ heartbeat ဟာ ဆာဗာအတြင္းသို႔ လွည့္ျဖားဝင္ေရာက္ၿပီး အႏၲရာယ္ရွိတဲ့ heartbeat ေပးပို႔သူထံ email လိပ္စာမ်ား၊ user-name မ်ားနဲ႔ password မ်ားပါဝင္တဲ့ memory ကို ေပးပို႔ပါတယ္။ ဒီနည္းလမ္းနဲ႔ ဟက္ကာေတြက အခ်က္အလက္ေတြကို ရယူႏုိင္ပါတယ္။

Heartbleed အားနည္းခ်က္ကို ဘယ္လိုကာကြယ္ရမလဲ

ပထမဦးဆံုး အေနနဲ႔ အသံုးျပဳ ေနတဲ့ အြန္လိုင္းဝန္ေဆာင္မႈ (ဥပမာ Yahoo, PayPal) ရဲ႕ ဆာဗာေတြကို Heartbleed အားနည္းခ်က္ကို ျပင္ဆင္ၿပီး အဆင့္ျမႇင့္ထားျခင္း ရွိ၊ မရွိ စစ္ေဆးရပါမယ္။ မစစ္ေဆးမီ အခ်ိန္အတြင္း password ကို မေျပာင္းလဲသင့္ပါဘူး။ အျခားေသာ သတင္းေဖာ္ျပခ်က္ေတြက password ကို အလ်န္အျမန္ ေျပာင္းလဲဖို႔ လိုအပ္တယ္လို႔ ဆိုၾကေပမယ့္ Heartbleed ရဲ႕အဓိက အက်ိဳးသက္ေရာက္မႈက ဆာဗာနဲ႔ ဆက္သြယ္ခ်ိန္မွာ ျဖစ္တဲ့အတြက္ ဆာဗာကို အဆင့္ျမႇင့္တင္ထားျခင္း မရွိေသးဘဲ password ေျပာင္းလဲတဲ့အခါ ဘာမွထူးျခားသြားမွာ မဟုတ္ပါဘူး။

Heartbleed အားနည္းခ်က္က ဘယ္လိုစစ္ေဆးမလဲ

Mashable ဟာ Hearbleed အားနည္းခ်က္ရွိတဲ့ နာမည္ေက်ာ္ ဝက္ဘ္ဆိုက္စာရင္းကို ထုတ္ျပန္ထားပါတယ္။ အဲဒီစာရင္းကို http://goo.gl/pZcIiv ကေနေလ့လာၾကည့္႐ႈႏုိင္ပါတယ္။ ေနာက္ၿပီး အဲ့ဒီစာရင္းမွာ အားနည္းခ်က္ကို ျပင္ဆင္ထားတဲ့ အြန္လိုင္းဝန္ေဆာင္မႈေတြနဲ႔ password ခ်က္ခ်င္းေျပာင္းလဲရမယ့္ ဝန္ေဆာင္မႈေတြကို ေဖာ္ျပထားပါတယ္။ တကယ္လို႔ သံုးစြဲသူအေနနဲ႔ ဝက္ဘ္ဆိုက္တစ္ခုခုနဲ႔ ပတ္သက္ၿပီး စိုးရိမ္ေနတယ္ဆိုရင္ McAfee ရဲ႕ Heartbleed Test Tool ကို အသံုးျပဳၿပီး စစ္ေဆးႏုိင္ပါတယ္။ တကယ္လို႔  ဝက္ဘ္ဆိုက္တစ္ခုဟာ ထိန္းခ်ဳပ္ခံထားရတယ္လို႔ ေဖာ္ျပထားရင္ အဲ့ဒီ ဝက္ဘ္ဆိုက္ဟာ အဆင့္ျမႇင့္တက္မႈ ျပဳလုပ္ထားျခင္း မရွိေသးတာေၾကာင့္ passwrod ေျပာင္းလဲဖို႔ကို ေစာင့္ဆိုင္းသင့္ပါတယ္။

ေနာက္ၿပီး Heartbleed အားနည္းခ်က္ကို ျပင္ဆင္ထားတဲ့ အြန္လိုင္းဝန္ေဆာင္မႈေတြကလည္း ၎တို႔ရဲ႕ ဆာဗာကို အဆင့္ျမႇင့္တင္ၿပီးတဲ့ အခါမွာ email ကေန တစ္ဆင့္ အေၾကာင္းၾကားၾကပါတယ္။ ဒါေၾကာင့္  email နဲ႔ အေၾကာင္းၾကားလာတဲ့အခါမွသာ password ကို ေျပာင္းလဲသင့္ပါတယ္။ ဒီေနရာမွာ phishing တိုက္ခုိက္မႈေတြကို သတိျပဳသင့္ပါတယ္။ အဆိုပါ phishing တိုက္ခိုက္မႈေတြဟာ အြန္လုိင္းဝန္ေဆာင္မႈ ေတြက ေပးပို႔တဲ့ email ပံုစံဖန္တီး ၿပီး သံုးစြဲသူတြရဲ႕ အခ်က္အလက္ေတြကို ခိုးယူသြားႏုိင္ပါတယ္။ ဒါေၾကာင့္ email ေတြ ဝင္ေရာက္လာတဲ့ အခါမွာ message ကို ေသခ်ာဖတ္ၾကည့္သင့္ပါတယ္။

Phishing  တိုက္ခိုက္မႈ ဟုတ္မဟုတ္ စစ္ေဆးခ်င္ရင္ေတာ့ သဒၵါ အထားအသို ညံ့ဖ်င္းမႈ၊ သံသယျဖစ္ဖြယ္ ဂရပ္ဖစ္မ်ားနဲ႔ သံုးစြဲသူရဲ႕ password နဲ႔ username ေတြကို ထည့္သြင္းေစခိုင္းခ်က္ေတြကို ၾကည့္႐ႈၿပီး စစ္ေဆးႏုိင္ပါတယ္။ Heartbleed အားနည္းခ်က္ရွိတဲ့ အခ်ိဳ႕ ဝန္ေဆာင္မႈေတြကေတာ့ အလိုအေလ်ာက္ log out ျဖစ္သြားတတ္ပါတယ္။ အခ်ိဳ႕ကေတာ့ password ေျပာင္းလဲဖို႔အတြက္ link ေတြကို ေပးပို႔ၾကပါတယ္။ Phishing တိုက္ခိုက္မႈက ကာကြယ္ခ်င္ရင္ေတာ့ အဆိုပါ link ေတြကို မႏွိပ္ဘဲ ဝက္ဘ္ဆိုက္ကိုသြားၿပီး password ကို ေျပာင္းလဲသင့္ပါတယ္။

Password ေျပာင္းလဲရာတြင္ သတိထားရမည့္ အခ်က္မ်ား

ဝက္ဘ္ဆိုက္တစ္ခုစီအတြက္ ထူးျခားတဲ့ password ေတြကို ဖန္တီးရပါမယ္။ Password တိုင္းမွာ စာလံုး၊ နံပါတ္နဲ႔ သေကၤတ အပါအဝင္ အနည္းဆံုး ၈ လံုး ရွိရပါမယ္။ ဝက္ဘ္ဆိုက္တစ္ခုနဲ႔တစ္ခု မတူညီတဲ့ password ကိုသာ ဖန္တီးသင့္ပါတယ္။
Password manager ကို အသံုးျပဳပါ။ Password manager ကို အသံုးျပဳျခင္းေၾကာင့္ မိမိရဲ႕ password ေမ့သြားျခင္းေဘးမွ ကင္းေဝးေစပါလိမ့္မယ္။ ဝက္ဘ္ဆိုက္တိုင္းအတြက္ မတူညီတဲ့ passwrod ေတြကို မွတ္မိဖို႔ဆိုတာ လြယ္ကူတဲ့ ကိစၥမဟုတ္ပါဘူး။ ဒါေၾကာင့္ password manager ကို အသံုးျပဳျခင္းျဖင့္ password ေမ့ျခင္းမွ ကာကြယ္ႏုိင္သလို keystroke ေတြကို မွတ္သားႏုိင္တဲ့ အႏၲရာယ္ရွိတဲ့ softare ေဘးမွလည္း ကာကြယ္ၿပီးသား ျဖစ္ပါလိမ့္မယ္။
Two-factor authentication ကို အသံုးျပဳပါ။ Two-factor authentication  ဟာလံုၿခံဳေရး နည္းပညာတစ္ခုျဖစ္ပါတယ္။ ဝက္ဘ္ဆိုက္အားလံုးမွာ  ဒီလံုၿခံဳ ေရးနည္းပညာမပါဝင္ေပမယ့္၎င္း ကို  enable  လုပ္ၿပီးအသံုးျပဳႏုိင္ပါ တယ္။ ဒီနည္းလမ္းဟာလည္း သံုးစြဲ သူအခ်က္အလက္ ခိုးယူခံရျခင္းမွ ကာကြယ္ေပးမယ့္ နည္းလမ္းလည္း ျဖစ္သည္။

ဘမ္ဘီ

internetjournal

1 comment: