HeartBleed Bug
ဒီတစ္ေခါက္ MYMHOT ကေတာ့ ခုရက္ပိုင္း အတြင္းမွာ အင္တာနက္ လံုၿခံဳေရးကို ၿခိမ္းေၿခာက္ေနတဲ့ HeartBleed bug အေၾကာင္းနဲ႔ HeartBleed bug ရဲ႕ေနာက္ဆံုးရ သတင္းမ်ားကို တင္ၿပေပး သြားမွာပါ။
HeartBleed ဆိုတာဘာလဲ။
HeartBleed အေၾကာင္း မေၿပာေသးခင္မွာ အင္တာနက္မွာ ကြ်န္ေတာ္တို႔ရဲ႕ အေၾကာင္းအရာေတြ (information) ေတြဘယ္လို အလုပ္လုပ္လဲ တစ္ခ်က္ ၾကည့္ပါမယ္။ အင္တာနက္ရဲ႕ လံုၿခံဳစိတ္ခ် ရတဲ့ ေနရာၾကီး တစ္ခုလံုးပာာ Secure Sockets Layer (SSL) လို႔ေခၚတဲ့ အစိတ္အပိုင္းနဲ႔ သူ႔ရဲ႕ညီငယ္ Transport Layer Security (TLS) တို႔ေပၚမွာ မွီခိုပါတယ္။ သူတို႔ ႏွစ္ခုက ေယဘံုယ် အားၿဖင့္ေတာ့ တူတူပါပဲ။ TLS/SSL တို႔ရဲ႕ ေက်းဇူးေၾကာင့္ ကြ်န္ေတာ္တို႔ တစ္ခ်ိဳ႕ website ေတြရဲ႕ web address/URL မွာ https:// ဆိုၿပီး ၿမင္ရပါတယ္။ ဒါပာာ အဲဒီ websiteပာာ ကြ်န္ေတာ္ တို႔ရဲ႕ အခ်က္အလက္ေတြ အတြက္ စိတ္ခ်ရတယ္ ဆိုတဲ့ သေဘာပါ။ TLS/SSL ဆိုတာ တစ္ကယ္ေတာ့ ပြဲစား သေဘာပါ။ သူတို႔က broswer နဲ႔ server ၾကားက ဝွက္စာေတြကို ဖလွယ္ေပး ပါတယ္။ ဒါပာာ ကြ်န္ေတာ္တို႔ ေန႔စဥ္ သံုးေနတဲ့ စိတ္ခ်ရတဲ့ website ေတြအေနာက္ က အသံုးၿပဳသူ သင္နဲ႔ အဲဒီ website ၾကားကိုယ္ေရး အခ်က္အလက္ ေတြကို ဖလွယ္တဲ့ ၿဖစ္ရပ္ပါ။
TLS/SSL ဆိုတာ ဒီေန႔ အင္တာနက္မွာ အေတာ္ အေရးၾကီးတဲ့ အပိုင္းၿဖစ္ၿပီး ေတာ္ေတာ္ေလးကို အလုပ္ေကာင္းေကာင္း လုပ္ပါတယ္။ ဒါနဲ႔ ဘယ္မွာ အႏၱရာယ္ ၿဖစ္ေစလဲ ဆိုေတာ့ OpenSSL လို႔ေခၚတဲ့ software library တစ္ခုမွာပါ။ OpenSSL ဆိုတာ open source package တစ္ခုၿဖစ္ၿပီး လူေတြပာာ TLS/SSL encryption လံုၿခံဳေရး စနစ္ကို လြယ္လြယ္ကူကူ ရႏုိင္တဲ့ ေနရာေပါ့။ ၿပႆနာက အဲဒီမွာ လံုၿခံဳေရး ယိုေပါက္တစ္ခု ကႏွစ္အေတာ္ၾကာ ရွိေနၿပီး သူ႔ကို Heartbleed လို႔ေခၚပါတယ္။
ပိုၿပီး နက္နက္နဲနဲ ၾကည့္ၾကည့္ရေအာင္။
OpenSSL ကသီအိုရီ အားၿဖင့္ေတာ့ အလုပ္ေကာင္းေကာင္း လုပ္ပါတယ္။ ဒါေပမယ့္ coding အမွား အေသးစားေလး ေတြရွိၿပီး အဲဒီကေန စတာပါပဲ။ ဝင္ေရာက္ တိုက္ခုိက္တဲ့ လူတစ္စု (Attackers) ကဒါကုိ အသံုးခ်ၿပီး နာမည္ၾကီးတဲ့ OpenSSL version ေတြက TLS/SSL codeက ထိန္းထား ေပးတဲ့ ကိုယ္ေရး အခ်က္အလက္ေတြ (private data) ေတြယူဖို႔ ၾကိဳးစား ခဲ့ပါတယ္။ အဲဒီအခါ မွာေတာ့ တုိက္ခိုက္သူ ေတြပာာ သင္ နဲ႔ website ႏွစ္ကုိယ္ၾကား သိတဲ့ အေၾကာင္းအရာ ေတြကို သိကုန္ပါ ေတာ့တယ္။
ဒါက သင့္ကို ဘယ္လို အက်ိဳးသက္ေရာက္ ေစလဲ။
ကံေကာင္းစြာပဲ OpenSSL ရဲ႕ version အကုန္လံုးမွာ ဒါေတြပာာ ၿဖစ္ေနတာ မပာုတ္ပဲ ဒီယိုေပါက္ကို ၿပင္ဆင္တဲ့ version ကလည္း ထြက္ ၿပီးပါၿပီ။ ဒါေပမယ့္လည္း ဘယ္အခ်ိန္ ထဲက ေပါက္ေနမွန္း မသိတာ ေတြေၾကာင့္ စိတ္မလံုမၿခံဳ ၿဖစ္ေနရ ဆဲပါ။ ထိုးေဖာက္သူေတြ ရရွိထား တဲ့ package ေတြပာာ အမ်ားအၿပား ရွိႏုိင္ၿပီး ဘာေၿခရာ လက္ရာမွ မပ်က္တာကို ေတြ႔ေနရပါတယ္။ ဒါေၾကာင့္ ဘယ္ေလာက္ တိုက္ခိုက္ ၿပီးၿပီလဲ မသိႏုိင္ ေသးပါဘူး။ ဒါ့အၿပင္ ေအာက္က website တစ္ခုခုကို သင္သံုးမယ္ ဆိုရင္ေတာ့ သင့္ information ေတြပာာ အၿပင္ကို ေရာက္ႏွင့္ၿပီး ပါၿပီ။
yahoo.com
imgur.com
flickr.com
redtube.com
kickass.to
okcupid.com
steamcommunity.com
hidemyass.com
wettransfer.com
usmagazine.com
500px.com
ဒီ website ေတြပာာ ေပါက္ေနတဲ့ ယိုေပါက္ေတြကို ၿပင္ဆင္ၿပီးတာ ေတာင္မွ ၿပႆနာပာာ ေၿဖရွင္းႏုိင္ ဖို႔ ေဝးေန ဆဲပါ။ website ေတြပာာ သူတို႔ရဲ႕ ဝွက္စာေတြကို ေၿပာင္းလိုက္ၾက ပါၿပီ။ ဒါေတာင္မွပဲ တိုက္ခုိက္သူ ေတြလက္ထဲက မလြတ္ႏုိင္ ေသးဘူးလို႔ ယူဆရၿပီး မလံုၿခံဳမႈ ေတြက ရွိေန ဆဲပါ။
ေနာက္ဆက္တြဲ သတင္းမ်ား။
Canada ႏိုင္ငံမွာ online tax filing services ကို Heartbleed bug ထိထားတယ္လို႔ သံသယ ရွိတာေၾကာင့္ ခဏပိတ္ ထားပါတယ္။ အခု အင္တာနက္ ကုမၸဏီ ေတြဘက္က သူတို႔ရဲ႕ server ေတြကို update လုပ္ေနၿပီး ေၿဖရွင္းထား တာေၾကာင့္ သင့္ဘက္က password ေတြကို ေၿပာင္းသင့္ ေနပါၿပီ။ အခု Mashable က Heartbleed affected website ေတြကို ေၾကညာထား လိုက္ပါၿပီ။ Password ကိုခ်က္ခ်င္း ေၿပာင္းၿပီး သင့္ရဲ႕ ကိုယ္ေရး အခ်က္အလက္ ေတြကို ကာကြယ္ဖို႔ ေဆာ္ၾသထား ပါတယ္။ ဒီထဲမွာ ၿမန္မာႏုိင္ငံမွာ လူသံုး အမ်ားဆံုး gmail, facebookေတြ လည္း ပါ၀င္ပါတယ္။
Social Networks: facebook နဲ႔ Tumblr တို႔ကို pw ေတြေၿပာင္းဖို႔ လိုအပ္ၿပီး LinkedIn ကေတာ့ မလိုအပ္ဘဲ twitter ကေတာ့ မေသခ်ာ ေသးပါဘူး။
Other Companies : Google နဲ႔ Yahoo က pw ေၿပာင္းဖို႔ လိုအပ္ၿပီး Microsoft နဲ႔ Amazon ကေတာ့ မလိုပါဘူးတဲ့။ Apple ကေတာ့ မေသခ်ာ unclear ပါ။
Email : Google နဲ႔ Yahoo ကိုေၿပာင္းဖို႔ လိုအပ္ၿပီး Hotmail / Outlook နဲ႔ AOL ေတြက OpenSSL ကိုမသံုးတာေၾကာင့္ မထိပါဘူး။
Stores and Commerce : Amazon Web Services (for website operators) ကေတာ့ ေၿပာင္းဖို႔ လိုအပ္ၿပီး Amazon, Target, Paypal ကေတာ့ မလိုပါဘူး။ eBay ကေတာ့ unclear ပါ။
Banks and Brokerages : ဘဏ္ေတြ ေတာ္ေတာ္မ်ားမ်ားက ခ်က္ခ်င္း ေၿပာင္းဖို႔ မလိုအပ္ ေပမယ့္ တခ်ိဳ႕ဘဏ္ ေတြကေတာ့ စစ္ေဆးဆဲပါ။
Government and Taxes : tax return လုပ္တဲ့ ေနရာမွာ အသံုးမ်ားတဲ့ Intuit (TurboTax) ကေတာ့ ေၿပာင္းဖို႔ လိုအပ္ၿပီး IRS နဲ႔ Healthcare .gov ကေတာ့ unclear ပါ။
တၿခား အသံုးမ်ားတဲ့ dropbox, LastPass, OKCupid, SoundCloud နဲ႔ Wunderlist ေတြကို ေၿပာင္းဖို႔ လိုအပ္ ပါတယ္။
ေနာက္ဆံုး သတင္းကေတာ့ Bloomberg media ကေၿပာၾကားခ်က္ အရ အေမရိကက National Security Agency (NSA) Heartbleed bug ကိုသိရွိထားတာ ႏွစ္ႏွစ္ေက်ာ္ ေလာက္ရွိေနၿပီး လို႔ဆိုထားပါတယ္။ NSA ပာာ Heartbleed bug နဲ႔သက္ဆိုင္ေနတယ္ လို႔ယူဆထားၿပီး အခ်က္ အလက္ ေတြကို ယူဖို႔ အသံုးခ် ေနလား ဆိုတဲ့ ေမးခြန္းေတြ ရွိေနပါတယ္။ NSA ကေတာ့ ဒီသတင္းကို ၿငင္းပယ္ ထားပါတယ္။
Images from digitaltrends, universitypost, wpmedia, mediabistro, globalnews, mashable. Source: gizmodo.com, theverge.com
Author Noel
MYMC
HeartBleed ဆိုတာဘာလဲ။
HeartBleed အေၾကာင္း မေၿပာေသးခင္မွာ အင္တာနက္မွာ ကြ်န္ေတာ္တို႔ရဲ႕ အေၾကာင္းအရာေတြ (information) ေတြဘယ္လို အလုပ္လုပ္လဲ တစ္ခ်က္ ၾကည့္ပါမယ္။ အင္တာနက္ရဲ႕ လံုၿခံဳစိတ္ခ် ရတဲ့ ေနရာၾကီး တစ္ခုလံုးပာာ Secure Sockets Layer (SSL) လို႔ေခၚတဲ့ အစိတ္အပိုင္းနဲ႔ သူ႔ရဲ႕ညီငယ္ Transport Layer Security (TLS) တို႔ေပၚမွာ မွီခိုပါတယ္။ သူတို႔ ႏွစ္ခုက ေယဘံုယ် အားၿဖင့္ေတာ့ တူတူပါပဲ။ TLS/SSL တို႔ရဲ႕ ေက်းဇူးေၾကာင့္ ကြ်န္ေတာ္တို႔ တစ္ခ်ိဳ႕ website ေတြရဲ႕ web address/URL မွာ https:// ဆိုၿပီး ၿမင္ရပါတယ္။ ဒါပာာ အဲဒီ websiteပာာ ကြ်န္ေတာ္ တို႔ရဲ႕ အခ်က္အလက္ေတြ အတြက္ စိတ္ခ်ရတယ္ ဆိုတဲ့ သေဘာပါ။ TLS/SSL ဆိုတာ တစ္ကယ္ေတာ့ ပြဲစား သေဘာပါ။ သူတို႔က broswer နဲ႔ server ၾကားက ဝွက္စာေတြကို ဖလွယ္ေပး ပါတယ္။ ဒါပာာ ကြ်န္ေတာ္တို႔ ေန႔စဥ္ သံုးေနတဲ့ စိတ္ခ်ရတဲ့ website ေတြအေနာက္ က အသံုးၿပဳသူ သင္နဲ႔ အဲဒီ website ၾကားကိုယ္ေရး အခ်က္အလက္ ေတြကို ဖလွယ္တဲ့ ၿဖစ္ရပ္ပါ။
TLS/SSL ဆိုတာ ဒီေန႔ အင္တာနက္မွာ အေတာ္ အေရးၾကီးတဲ့ အပိုင္းၿဖစ္ၿပီး ေတာ္ေတာ္ေလးကို အလုပ္ေကာင္းေကာင္း လုပ္ပါတယ္။ ဒါနဲ႔ ဘယ္မွာ အႏၱရာယ္ ၿဖစ္ေစလဲ ဆိုေတာ့ OpenSSL လို႔ေခၚတဲ့ software library တစ္ခုမွာပါ။ OpenSSL ဆိုတာ open source package တစ္ခုၿဖစ္ၿပီး လူေတြပာာ TLS/SSL encryption လံုၿခံဳေရး စနစ္ကို လြယ္လြယ္ကူကူ ရႏုိင္တဲ့ ေနရာေပါ့။ ၿပႆနာက အဲဒီမွာ လံုၿခံဳေရး ယိုေပါက္တစ္ခု ကႏွစ္အေတာ္ၾကာ ရွိေနၿပီး သူ႔ကို Heartbleed လို႔ေခၚပါတယ္။
ပိုၿပီး နက္နက္နဲနဲ ၾကည့္ၾကည့္ရေအာင္။
OpenSSL ကသီအိုရီ အားၿဖင့္ေတာ့ အလုပ္ေကာင္းေကာင္း လုပ္ပါတယ္။ ဒါေပမယ့္ coding အမွား အေသးစားေလး ေတြရွိၿပီး အဲဒီကေန စတာပါပဲ။ ဝင္ေရာက္ တိုက္ခုိက္တဲ့ လူတစ္စု (Attackers) ကဒါကုိ အသံုးခ်ၿပီး နာမည္ၾကီးတဲ့ OpenSSL version ေတြက TLS/SSL codeက ထိန္းထား ေပးတဲ့ ကိုယ္ေရး အခ်က္အလက္ေတြ (private data) ေတြယူဖို႔ ၾကိဳးစား ခဲ့ပါတယ္။ အဲဒီအခါ မွာေတာ့ တုိက္ခိုက္သူ ေတြပာာ သင္ နဲ႔ website ႏွစ္ကုိယ္ၾကား သိတဲ့ အေၾကာင္းအရာ ေတြကို သိကုန္ပါ ေတာ့တယ္။
ဒါက သင့္ကို ဘယ္လို အက်ိဳးသက္ေရာက္ ေစလဲ။
ကံေကာင္းစြာပဲ OpenSSL ရဲ႕ version အကုန္လံုးမွာ ဒါေတြပာာ ၿဖစ္ေနတာ မပာုတ္ပဲ ဒီယိုေပါက္ကို ၿပင္ဆင္တဲ့ version ကလည္း ထြက္ ၿပီးပါၿပီ။ ဒါေပမယ့္လည္း ဘယ္အခ်ိန္ ထဲက ေပါက္ေနမွန္း မသိတာ ေတြေၾကာင့္ စိတ္မလံုမၿခံဳ ၿဖစ္ေနရ ဆဲပါ။ ထိုးေဖာက္သူေတြ ရရွိထား တဲ့ package ေတြပာာ အမ်ားအၿပား ရွိႏုိင္ၿပီး ဘာေၿခရာ လက္ရာမွ မပ်က္တာကို ေတြ႔ေနရပါတယ္။ ဒါေၾကာင့္ ဘယ္ေလာက္ တိုက္ခိုက္ ၿပီးၿပီလဲ မသိႏုိင္ ေသးပါဘူး။ ဒါ့အၿပင္ ေအာက္က website တစ္ခုခုကို သင္သံုးမယ္ ဆိုရင္ေတာ့ သင့္ information ေတြပာာ အၿပင္ကို ေရာက္ႏွင့္ၿပီး ပါၿပီ။
yahoo.com
imgur.com
flickr.com
redtube.com
kickass.to
okcupid.com
steamcommunity.com
hidemyass.com
wettransfer.com
usmagazine.com
500px.com
ဒီ website ေတြပာာ ေပါက္ေနတဲ့ ယိုေပါက္ေတြကို ၿပင္ဆင္ၿပီးတာ ေတာင္မွ ၿပႆနာပာာ ေၿဖရွင္းႏုိင္ ဖို႔ ေဝးေန ဆဲပါ။ website ေတြပာာ သူတို႔ရဲ႕ ဝွက္စာေတြကို ေၿပာင္းလိုက္ၾက ပါၿပီ။ ဒါေတာင္မွပဲ တိုက္ခုိက္သူ ေတြလက္ထဲက မလြတ္ႏုိင္ ေသးဘူးလို႔ ယူဆရၿပီး မလံုၿခံဳမႈ ေတြက ရွိေန ဆဲပါ။
ေနာက္ဆက္တြဲ သတင္းမ်ား။
Canada ႏိုင္ငံမွာ online tax filing services ကို Heartbleed bug ထိထားတယ္လို႔ သံသယ ရွိတာေၾကာင့္ ခဏပိတ္ ထားပါတယ္။ အခု အင္တာနက္ ကုမၸဏီ ေတြဘက္က သူတို႔ရဲ႕ server ေတြကို update လုပ္ေနၿပီး ေၿဖရွင္းထား တာေၾကာင့္ သင့္ဘက္က password ေတြကို ေၿပာင္းသင့္ ေနပါၿပီ။ အခု Mashable က Heartbleed affected website ေတြကို ေၾကညာထား လိုက္ပါၿပီ။ Password ကိုခ်က္ခ်င္း ေၿပာင္းၿပီး သင့္ရဲ႕ ကိုယ္ေရး အခ်က္အလက္ ေတြကို ကာကြယ္ဖို႔ ေဆာ္ၾသထား ပါတယ္။ ဒီထဲမွာ ၿမန္မာႏုိင္ငံမွာ လူသံုး အမ်ားဆံုး gmail, facebookေတြ လည္း ပါ၀င္ပါတယ္။
Social Networks: facebook နဲ႔ Tumblr တို႔ကို pw ေတြေၿပာင္းဖို႔ လိုအပ္ၿပီး LinkedIn ကေတာ့ မလိုအပ္ဘဲ twitter ကေတာ့ မေသခ်ာ ေသးပါဘူး။
Other Companies : Google နဲ႔ Yahoo က pw ေၿပာင္းဖို႔ လိုအပ္ၿပီး Microsoft နဲ႔ Amazon ကေတာ့ မလိုပါဘူးတဲ့။ Apple ကေတာ့ မေသခ်ာ unclear ပါ။
Email : Google နဲ႔ Yahoo ကိုေၿပာင္းဖို႔ လိုအပ္ၿပီး Hotmail / Outlook နဲ႔ AOL ေတြက OpenSSL ကိုမသံုးတာေၾကာင့္ မထိပါဘူး။
Stores and Commerce : Amazon Web Services (for website operators) ကေတာ့ ေၿပာင္းဖို႔ လိုအပ္ၿပီး Amazon, Target, Paypal ကေတာ့ မလိုပါဘူး။ eBay ကေတာ့ unclear ပါ။
Banks and Brokerages : ဘဏ္ေတြ ေတာ္ေတာ္မ်ားမ်ားက ခ်က္ခ်င္း ေၿပာင္းဖို႔ မလိုအပ္ ေပမယ့္ တခ်ိဳ႕ဘဏ္ ေတြကေတာ့ စစ္ေဆးဆဲပါ။
Government and Taxes : tax return လုပ္တဲ့ ေနရာမွာ အသံုးမ်ားတဲ့ Intuit (TurboTax) ကေတာ့ ေၿပာင္းဖို႔ လိုအပ္ၿပီး IRS နဲ႔ Healthcare .gov ကေတာ့ unclear ပါ။
တၿခား အသံုးမ်ားတဲ့ dropbox, LastPass, OKCupid, SoundCloud နဲ႔ Wunderlist ေတြကို ေၿပာင္းဖို႔ လိုအပ္ ပါတယ္။
ေနာက္ဆံုး သတင္းကေတာ့ Bloomberg media ကေၿပာၾကားခ်က္ အရ အေမရိကက National Security Agency (NSA) Heartbleed bug ကိုသိရွိထားတာ ႏွစ္ႏွစ္ေက်ာ္ ေလာက္ရွိေနၿပီး လို႔ဆိုထားပါတယ္။ NSA ပာာ Heartbleed bug နဲ႔သက္ဆိုင္ေနတယ္ လို႔ယူဆထားၿပီး အခ်က္ အလက္ ေတြကို ယူဖို႔ အသံုးခ် ေနလား ဆိုတဲ့ ေမးခြန္းေတြ ရွိေနပါတယ္။ NSA ကေတာ့ ဒီသတင္းကို ၿငင္းပယ္ ထားပါတယ္။
Images from digitaltrends, universitypost, wpmedia, mediabistro, globalnews, mashable. Source: gizmodo.com, theverge.com
Author Noel
MYMC