आज दुनिया के लगभग सभी क्षेत्रों में कम्प्यूटर का प्रयोग किया जा रहा है क्योंकि कम्प्यूटर एक इंसान के तुलना में ज्यादा अधिक काम करता है और विश्वसनीय होता है। कम्प्यूटर हमारे व्यक्तिगत डाटा को सुरक्षित रखता है। उसे कोई दूसरा अवैध इंसान प्राप्त नहीं कर सकता।  हम सभी, किसी न किसी रूप में कम्प्यूटर का प्रयोग करते हैं और अपने डाटा को आवश्यकतानुसार एक जगह से दूसरे जगह भेजते हैं। जैसे ई-मेल, फेसबुक, ट्विटर, ई-कॉमर्स इत्यादि-इत्यादि।

      जब कोई व्यक्ति इंटरनेट पर अपना एकाउंट बनाता है, तो उसे एक यूजर नेम और पासवर्ड प्रदान किया जाता है। यह यूजर नेम और पासवर्ड व्यक्तिगत और गोपनीय होता है जो उसके डाटा को अवैध प्रयोग से बचाता है। उदाहरण के लिए जब आप ई-मेल या फेसबुक का प्रयोग करते हैं तो सर्वप्रथम आपको लॉगिन होना पड़ता है, अर्थात आपको खुद का यूजरनेम एवं पासवर्ड डालना पड़ता है। जब यूजरनेम और पासवर्ड सही होता है तब आप लॉगिन हो जाते हैं, नहीं तो आपको गलत यूजरनेम और पासवर्ड का संदेश दिखाई पड़ता है। अतः हम इस इंटरनेट की दुनिया में अपने डाटा को सुरक्षित रखने के लिए यूजरनेम एवं पासवर्ड का प्रयोग करते हैं।

लेकिन सोचिए, अगर आपका यूजरनेम और पासवर्ड किसी और को पता चल जाये तो क्या होगा ? आपके बैंक खाते से रूपये चुराये जा सकते हैं। आपके आई.डी. से किसी को गलत संदेश भेजा जा सकता है। आपकी व्यक्तिगत जानकारी चुरायी जा सकती है, जिसका प्रयोग अपराधिक कार्यों में हो सकता है। आपकी पहचान को गलत तरीकों से पेश किया जा सकता है न जाने कितने अन्य अवैध कार्य किये जा सकते हैं। जब कभी हम अपना एकांउट बनाते हैं तो उसी समय अपना यूजरनेम और पासवर्ड सेलेक्ट करते हैं, यह यूजरनेम और पासवर्ड उस इंटरनेट सर्विस प्रोवाइटर के डाटाबेस में सेव हो जाता है। जैसे जी-मेल एक इंटरनेट सर्विस प्रोवाइडर है जो ई-मेल सेवा प्रदान करती है। वह आपका यूजरनेम और पासवर्ड को खुद के डाटाबेस में सेव रखती है। अब इस यूजरनेम और पासवर्ड को हैकर से बचाने के लिए कुछ सिक्यूरिटी तकनीक का प्रयोग किया जाता है, जो डाटा के अवैध प्रयोग से बचाता है।

आज से महज कुछ महीने पहले एक ऐसी घटना सामने आई जिसने लगभग सभी इंटरनेट सर्विस प्रोवाइडर एवं इंटरनेट यूजर की नींद उड़ा दी। इस घटना का नाम था - हार्ट ब्लीड।

हार्ट ब्लीड एक ऐसा वायरस बॅग है जो आपका व्यक्तिगत डाटा जैसे यूजरनेम और पासवर्ड को लीक कर देता है, जिससे आपकी सभी व्यक्तिगत जानकारी हैकर को प्राप्त होती है। जैसे ए.टी.एम. का पिन, इंटरनेट बैंकिंग का यूजरनेम एवं पासवर्ड, जी-मेल पासवर्ड, फेसबुक पासवर्ड अर्थात इंटरनेट पर मौजूद आपके सभी डाटा को आसानी से चुराया जा सकता है।

हार्ट ब्लीड वायरस किसी के द्वारा बनाया नहीं गया है बल्कि यह एक सॉफ्टवेयर कोडिंग की प्रॉब्लम है अर्थात यह एक प्रोग्रामिंग मिस्टेक है। यह बॅग सबसे मशहूर सिक्योरिटी तकनीक ओपन एसएलएल क्रिपटोग्राफिक सॉफ्टवेयर लायब्रेरी में पाई गई है। दुनिया के हर तीन इंटरनेट सर्विस प्रोवाइडर में से दो एसएसएल का प्रयोग करते हैं। इस वायरस को हार्ट ब्लीड कहा गया क्योंकि यह बग TLS/DTLS जो हार्टबीट एक्सटेंशन है और यह मेमोरी कंटेट को लीक कर देता है। हार्ट ब्लीड बॅग नया नहीं है बल्कि यह बग दिसंबर 2011 से है जब Open SSL की कोडिंग की गई थी और इससे प्रभावित वर्जन Vi.O.i है जो मार्च 2012 में रिलीज किया गया था।

यह एसएसएल इंक्रीप्ट करने का तरीका है। यह 128 बिट ओपन एसएसएल कहलाता है जो ट्रांपोर्ट लेयर में काम करता है। इंक्रीप्सन का प्रयोग डाटा को गोपनीय व सुरक्षित रखने के लिए किया जाता है।

प्राथमिक कुंजी सामग्री: इस प्रक्रिया के तहत जब सेंडर कोई संदेश भेजता है तो उसे इंक्रीप्ट करता है। इंक्रीप्सन में वह एक गोपनीय कुंजी का प्रयोग करता है जो सिर्फ सेंडर और रिसीवर को पता होता है जैसे मुझे AISECT लिखना हो और में उसे +2 से इंक्रीप्ट करना चाहूं तो उसका इंक्रीप्टेड रूप होगा CKUGEV यहां +2 कुंजी कहलाता है। चंूकि रिसीवर को ज्ञात है तो वह CKUGEV को -2 से डिक्रीटर करेगा तब उसे मूल संदेश AISECT  प्राप्त होगा। माध्यमिक कुंजी सामग्री: इस तरीके में डाटा को सुरक्षित रखने एवं अवैध प्रयोग से बचने के लिए हमें सर्विस प्रोवाइडर के द्वारा यूजर नेम और पासवर्ड प्रदान किया जाता है। जब हम यूजर नेम और पासवर्ड अंकित करते हैं तब उसके प्रामाणित होने में दिल धड़कने की अवधि से भी कम समय लगता है। यह तकनीक एसएसएल 128 बिट में प्रयुक्त होती है। स्टेट बैंक ऑफ इंडिया की नेटबैंकिग सुविधा 128 बिट एसएसएल तकनीक का प्रयोग करती है जिसमें वह संदेश को 128 बिट फॉर्मेट में परिवर्तित करके डाटा भेजती है।

सुरक्षित सामग्री:

इस सुविधा के तहत इंटरनेट सर्विस प्रोवाइड हमारे संदेश को भेजनेे से पहले उसे अपठनीय रूप में परिवर्तित करता है। तत्पश्चात उसे नेटवर्क के द्वारा प्रेषित करता है। वह संदेश  रिसीवर तक पहुंचने के पूर्व पुनः मूल रूप में परिवर्तित होता है। यह तरीका मशीनीकृत होता है।

अप्रकाशित सामग्री:

इस प्रक्रिया अथवा घटना में हैकर मेमोरी एड्रेस का पता लगा लेता है। वह एक बार 64 के बी डाटा प्राप्त करता है और इस प्रक्रिया को बार-बार दोहरा कर जानकारी चुरा लेता है। चंूकि उसके पास कुंजी होती है अतः प्रयोक्ता को होने वाले नुकसान का जिम्मेदार कोई नहीं होता। हैकर सबूतों के अभाव में सुरक्षित रहता है और उस पर कोई अपराध सिद्ध नहीं होता। इन्ही चार बिंदुओं के आधार पर कम्प्यूटर प्रोग्राम बनाए जाते हैं जो इंक्रीप्सन के लिए प्रयोग किए जाते हैं। चंूकि दूसरे बिन्दु माध्यमिक कुजी सामग्री के आधार पर कम्प्यूटर प्रोग्राम बनाया गया था जो एसएसएल 128 बिट में भी प्रयुक्त हुई थी। जब एसएसएल की प्रोग्रामिंग की गई थी तो उसमें कोडिंग की त्रुटि हो गई थी जो पूर्व परीक्षण के दौरान समझ में नहीं आयी। यह त्रुटि वायरस की तरह सिद्ध हुई जो इंक्रीप्सन की कंुजी को लीक कर देती थी। इसी घटना को हाट ब्लीड कहा जाता है।

इस खतरनाक बग की खोज सेक्यूरिटीज टीम कंडेनमीकॉन एवं गूगल सेक्यूरिटी टीम के सदस्य नील मेहता के द्वारा 1 अप्रैल 2014 को की गई। इस बग के कारण हैकर एक बार में 64 के.बी. डाटा चुरा सकता है। यह समय सर्वर और क्लांइट के बीच कनेक्शन के लिए होता है, जिसे एक हार्टबीट से तुलना किया जा सकता है। ऐसे तो 64 के.बी. डाटा ज्यादा मालूम नहीं पड़ता है लेकिन इस प्रक्रिया को बार-बार प्रयोग करके सर्वाधिक मात्रा मेें डाटा चुराया जा सकता है और जरूरी जानकारी प्राप्त की जा सकती है जैसे यूजरनेम और पासवर्ड। दुनिया के मशहूर सर्वर जैसे Apache and Nginx, open SSL तकनीक का प्रयोग करती है, जिस कारण से आधा मिलियन वेबसाइट खतरे में थी जैसे yahoo, pocket, flicker, Gifhub, lmgvr इत्यादि। इस बग को दूर करने के लिए वचमद ैैस् च्तवजवबवस की लेटेस्ट फीक्स वर्जन (V1.0.19) 7 अप्रैल 2014 को रिलीज़ की गई।

अगर आप अपने सर्वर की टेस्टिंग करना चाहते हैं तो आप निम्नलिखित टूल का प्रयाग कर सकते हैं जिससे आप जान सकते हैं कि आपका सर्वर हार्ट ब्लीड से ग्रसित है या नहीं।

Lastpass's heartbleed test : https://lastpass.com/heartbleed/

Filippo's server test :https/filippo.io/heart/

Qualys ssl labs : https/www.sslabs.com/ssltest/

अगर आप यूजर हैं, तो आप अपना पासवर्ड रीसेट कर सकते हैं।

अगर आप एक इंटरनेट सर्विस प्रोवाइडर हैं, तो open SSL का फिक्सड वर्जन का प्रयोग करंे।

दुनिया के बड़े नाम जैसे google और yahoo ने भी अपने यूजर्स को पासवर्ड बदलने की सलाह दी है।

एलआईजी 59, कोटरा सुल्तानाबाद, भोपाल

ndkmehta@gmail.com