Sunday, April 20, 2014

হার্টব্লিড বাগ নিয়ে একজন ননটেকির কিছু কথা

বাল্যকালে “ডাকঘর চাই” এই মর্মে একখান লেখা লিখে তা ছাপানোর জন্য বহুল আলোচিত দৈনিক পত্রিকার সম্পাদক বরাবর আরেকখানা আবেদনপত্র লিখতে হতো। তবে বাস্তবে না, পরীক্ষার খাতায়। বাংলা দ্বিতীয় পত্রে। ডাকঘর কেন চাই তার একটা অব্যর্থ যুক্তি হিসেবে দিতে হতো, “এলাকায় ডাকঘর না থাকাতে অনেক দূর থেকে পিয়ন চিঠি ও মানি অর্ডার নিয়ে আসে। অনেক সময় মানি অর্ডারের টাকা ‘পথিমধ্যে খোয়া যায়’।” পয়েন্ট টু বি নোটেড। এই অব্যর্থ বাক্যখানা লিখতে পারলে মনে হয় ডাকঘর স্থাপনের সম্ভাবনা বেড়ে যেত। যাই হোক, এখন ডিজিটাল যুগ। পথিমধ্যে মানি অর্ডারের টাকা খোয়া যাওয়ার সুযোগ নাই কিন্তু ইন্টারনেটের অবাধ তথ্য প্রবাহের মধ্যে ক্রেডিট কার্ড নাম্বারের তথ্য খোয়া যাওয়ার সম্ভাবনা দেখা দিয়েছে। আর এই সম্ভাবনা নিয়ে হাজির হয়েছে হার্টব্লিড নামক এক বাগ। ব্যাপক হৈচৈ অবস্থা। হালকা টেকি লোকজন এইটা নিয়ে রসায় রসায় নাতিদীর্ঘ বক্তৃতা দিয়ে ফেলছে। আমি টেকনিক্যাল লাইনের লোক না। প্রযুক্তি বুঝি কম। হার্টব্লিড সম্পর্কে বেশি কিছু জানি না তবে গুগলিং এর কল্যাণে যতটুকু জানলাম তা হলো এটা কোনো ভাইরাস না। কোনো দুষ্টু সফটওয়্যার এমপ্লয় করে তথ্য হাতিয়ে নেয়া বা সিস্টেম ধ্বংস করার কারবার এখানে নেই। ভূত সর্ষের মধ্যেই বসবাস করছেন।

heartbleed

ইন্টারনেটে আমরা বিভিন্ন সাইটে ঘুরে বেড়াই। কত জায়গায় লগইন করি, মেইল পাঠাই, অর্থ আদান-প্রদান করি। এখানে কিন্তু গোপনীয়তার প্রয়োজন রয়েছে। ইচ্ছা করলেই যেন আমি কোন ইউজার নেম ও পাসওয়ার্ড দিয়ে লগইন করছি তা যেন সবাই দেখতে না পারে সেজন্য কেন্দ্রীয়ভাবে নিরাপত্তা বলয় থাকে। ৬৪ শতাংশ ওয়েবপেইজ তথ্যের নিরাপত্তার জন্য ব্যবহার করে থাকে Open Security Sockets Layer বা OpenSSL সফটওয়্যার। এর কাজ হলো আমরা যখন কোনো তথ্য দিয়ে সার্ভারে হিট করি এবং বিনিময়ে আরেকটি তথ্য আমাদের কাছে আসে তখন পুরো প্রক্রিয়ায় তথ্য আদান-প্রদানকে নিরাপত্তার চাদরে ঢেকে দেয়া। অনেকটা মোর্স কোডের মতো। একটা শব্দ প্রথমে এনক্রিপ্ট করে পাঠানো হয়। গ্রাহকের কাছে গিয়ে তা ডিক্রিপ্টেড হয় তখন গ্রাহক তা পড়তে পারে। ইমেইল, ইনস্ট্যান্ট মেসেজিং (আইএম), ওয়েবপেইজে লগইন এ ধরণের সব কাজে আমরা ব্যক্তিগত বা গোপনীয় তথ্য আদানপ্রদান করে থাকি সিস্টেম বা অপর পাশে আরেকজনের সাথে। এখন এই তথ্য বাহিত হয় Transport Layer Security Protocol বা TLS এর মাধ্যমে। আর এই প্রোটোকলটি ব্যবহার করা হয় ওপেনসোর্স TLS সফটওয়্যার OpenSSL দিয়ে। ২০১১ সালে মুক্তি পাওয়া OpenSSL ভার্সন 1.0.1f এ একটি বাগ থাকে। জার্মান ডেভেলপার রবিন সেগেলম্যানের প্রোগ্রামিং এর ভুলের কারণে এই বাগের জন্ম হয়। সফটওয়্যারের নকশায় ভুল ছিল না। ভুলটি কোডিং করার সময় হয়। ধারণা করা হয়, হ্যাকাররা এই ভুলের সুযোগ নিয়ে অনেক তথ্য বিভিন্ন ওয়েবসাইট থেকে হাতিয়ে নিয়েছে। গুগলের সফটওয়্যার নিরাপত্তা বিভাগের কর্মকর্তা নিল মেহতা সম্প্রতি এ বাগ আবিষ্কার করেন। তখনই OpenSSL তাদের বাগ সারানোর কাজ শুরু করে। অবশেষে বাগমুক্ত করে গত ৭ এপ্রিল ভার্সন 1.0.1g ছাড়া হয়। বাগ ঠিক করেন অ্যাডাম ল্যাংলি এবং বোডো মোলার। বিভিন্ন ওয়েবপেইজ ও সিস্টেম সার্ভার সেবা প্রদানকারী সংস্থা তাদের নতুন ভার্সনে তাদের সিস্টেমকে উন্নীত করছেন। তবে হ্যাকাররা আগেই আপনার গোপনীয় তথ্য পেয়ে থাকতে পারে। সেজন্য অনলাইন ট্রানজেকশনে সকল ধরণের পাসওয়ার্ড এবং কি পরিবর্তন করে নেয়া উচিৎ। নয়তো আগে পেয়ে থাকা তথ্য ব্যবহার করে হ্যাকাররা ক্রেডিট কার্ড থেকে অর্থ হাতিয়ে নিতে পারে বা কোনো ওয়েবপেইজে ছদ্মবেশে আপনার হয়ে প্রবেশ করে আপনার ক্ষতি করতে পারে।

হার্টব্লিড বাগ সম্পর্কে আরো জানতে ঘুরে আসতে পারেন হার্টব্লিড.কম থেকে।

No comments:

Post a Comment