Heartbleed

Heartbleed သည္မွာ အြန္လိုင္းေပၚက ဝက္ဘ္ဆိုက္ သံုးပံု ႏွစ္ပံုနီးပါးခန္႔တြင္ ရိွေသာ အေရးႀကီးသည့္ လံုၿခံဳေရး အားနည္းခ်က္တစ္ခု၏ အမည္ျဖစ္သည္။ ၎အားနည္းခ်က္သည္ သံုးစြဲသူ၏ login အခ်က္အလက္ ျဖစ္ေသာ username ႏွင့္ password အျပင္ အျခား အေရးႀကီး အခ်က္အလက္မ်ားကို ေပါက္ၾကားေစႏိုင္သည္။

တစ္ခ်ိဳ႕သူမ်ားက Heartbleed ကို ဗိုင္းရပ္စ္တစ္မ်ိဳးႏွင့္ ထင္မွတ္မွားၾကသည္။ Heartbleed က ဗိုင္းရပ္စ္ မဟုတ္ပါ။ ၎သည္ သံုးစြဲသူ၏ နာမည္ေက်ာ္ အြန္လိုင္း ဝန္ေဆာင္မႈမ်ားက ေထာက္ပံ့ေပးထားေသာ ဆာဗာမ်ား ၾကားရိွ standard encrypting ဆက္သြယ္မႈ ျဖစ္သည့္ OpenSSL တြင္ရိွေသာ အားနည္းခ်က္တစ္ခု ျဖစ္သည္။ ၎ အားနည္းခ်က္မွတစ္ဆင့္ ဟက္ကာမ်ားက သံုးစြဲသူမ်ား၏ username မ်ား၊ password မ်ားႏွင့္ အျခား အေရးႀကီး အခ်က္အလက္မ်ား ပါဝင္သည့္ database အမ်ားအျပားကို ရယူႏိုင္သည္။

Heartbleed အားနည္းခ်က္ကို မရွင္းျပမီ SSL ႏွင့္ OpenSSL အေၾကာင္းကို ရွင္းျပလိုပါသည္။ SSL ဆိုသည္မွာ Secure Sockets Layer ကို အတိုေကာက္ ေခၚဆိုထားျခင္း ျဖစ္သည္။ လံုၿခံဳေရး စံသတ္မွတ္ခ်က္တစ္ခု ျဖစ္သည့္ SSL သည္ သံုးစြဲသူႏွင့္ ဝန္ေဆာင္မႈ အၾကား third-party ၾကားဝင္ေႏွာင့္ယွက္မႈမ်ား မရိွဘဲ အခ်က္အလက္ကို လံုၿခံဳစြာ ေပးပို႔ေသာ စနစ္ ျဖစ္သည္။ OpenSSL မွာ open-source အေနျဖင့္ အဆင့္ျမႇင့္ထားၿပီး ပ႐ိုဂရမ္မာ အသိုက္အဝန္းႏွင့္ ေစတနာ ဝန္ထမ္းမ်ားက ျပင္ဆင္ထိန္းသိမ္းေပးသည္။

SSL လုပ္ေဆာင္ရန္အတြက္ ကြန္ပ်ဴတာက ဆာဗာတစ္ခုႏွင့္ ခ်ိတ္ဆက္ရန္ လိုသည္။ ထိုသို႔ ခ်ိတ္ဆက္ရာတြင္ heartbeat ဟုေခၚေသာ အရာမ်ားကို ေပးပို႔သည္။ Heartbeat သည္ ဆာဗာ အြန္လိုင္းျဖစ္ေနသည့္အခါ ၎ထံ signal တစ္ခုကို ေပးပို႔သည္။ ဆာဗာ အြန္လိုင္း ျဖစ္ေနသည့္အခါတြင္ signal ကို ကြန္ပ်ဴတာထံ ျပန္လည္ေပးပို႔ၿပီး လံုၿခံဳေသာ ဆက္သြယ္မႈႏွင့္ အသံုးျပဳေစႏိုင္သည္။ ကြန္ပ်ဴတာေရာ ဆာဗာကပါ အြန္လိုင္း ျဖစ္ေနစဥ္အတြင္း heartbeat ေတြကို ပံုမွန္ ကာလအပိုင္းအျခား အေနႏွင့္ ေပးပို႔သည္။

Heartbleed သည္ ဆာဗာမ်ားထံ အႏၲရာယ္ရိွေသာ hearbeat signal ကို ေပးပို႔ၿပီး အသံုးခ်ႏိုင္သည့္ အားနည္းခ်က္ ျဖစ္သည္။ အႏၲရာယ္ရိွေသာ heartbeat သည္ ဆာဗာအတြင္းသို႔ လွည့္ျဖားဝင္ေရာက္ၿပီး အႏၲရာယ္ရိွသည့္ heartbeat ေပးပို႔သူထံ email လိပ္စာမ်ား၊ username မ်ားႏွင့္ password မ်ား ပါဝင္ေသာ memory ကို ေပးပို႔ကာ အခ်က္အလက္မ်ားကို ရယူႏိုင္သည္။