इन्टरनेट सेक्युरिटीमा हालै देखिएको कमजोरी र सावधानता
गत हप्ता इन्टरनेटको दुनियाँ एउटा तहल्का मचियो। इन्टरनेट सपिंग , बैकिग आदि संवेदनशील कुराहरुमा प्रयोग भएको इन्टरनेट प्रोटोकल खुल्ला एस एस एल प्रोटोकलमा एउटा कमजोरी देखियो रे।
के हो खुल्ला एस एस एल प्रोटोकल
खुल्ला एस एस एल प्रोटोकल संसारभरिका आइ ती इन्जिनियर , वैज्ञानिक , विधार्थीले स्वयम सेवाको रुपमा तयार गरेको इन्टरनेट प्रोटोकल हो। यो सार्वजनिक चापी पूर्वाधार मा आधारित प्रोटोकल रही फराकिलो अर्थमा भन्दा अहिलेको इन्टरनेट यो प्रोटोकल मा अडेको छ।
जस्तो कि तपाईले कुनै सपिङ्ग साइट या बैकको पेजमा एक्सेस गर्नु भयो भने लगिन गर्दा खेरि ब्राउजरको एडरेस बारमा सानो साँचोको आइकन देख्नु भएको छ ? त्यहाँ एस एस एल प्रोटोकल प्रयोग गरिएको हुन्छ। साधारण त व्यक्तिगत सूचना , क्रेडिट कार्ड आदि पठाउन पर्ने व्यवसायिक कम्पनी , सरकारी संस्थाको वेब सिस्टम हुनै पर्दछ।
किन एस एस एल प्रोटोकल सुरक्षित छ
एस एस एल प्रोटोकलमा कुनै व्यक्तिले पठाएको नाम , क्रेडिट कार्ड या अरु सूचनाहरु जस्ताको तस्तै नपठाई एकचोटि नबुझिने भाषामा एन्क्रिप्शन गरिएको हुन्छ। त्यो एन्क्रिप्शन गर्न एउटा सफ्टवेयर रुपी चापी प्रयोग गरिएको हुन्छ , त्यो चापी पनि विश्वस्त चापी र प्रमाण पत्र वितरक कम्पनीबाट किनेर प्रयोग गरिएको हुन्छ।
अत तपाईले पठाएको व्यक्तिगत सुचनाहरु इन्टरनेटमा कसैले ढुकेर बसेर फेला परे पनि त्यो भित्र के लेखिएको छ , पत्ता लगाउन सक्दैन। अत तपाईंले पृथ्वीको अर्को कुनामा रहेर पनि नेपालको आफ्नो नगरपालिकाको वेव पेजमा एक्सेस गरी आफ्नो नगर पालिका या गाउँको बैंकको काम गर्न सक्नु हुनेछ।
साधारण त सबै वेव पेज एस एस एल प्रोटोकलबाट सुर्क्षित हुदैनन्। जस्तै नेपाली अनलाइन मिडियाहरु एस एस एल प्रोटोकल राखिएका छैनन् र आवश्यक पनि छैन। तर तपाइले त्यहाँबाट पठाएको डाटा , जस्तो कि कमेन्टहरु इन्टरनेटमा चाहियो भने अरुले बटुलेर भित्र के पठाइएको अक्षरश पढ्न मिल्दछ।
यसपालि खुल्ला एस एस एल प्रोटोकलमा के समस्या देखियो त
खुल्ला एस एस एल प्रोटोकलमा युजर र सर्वर वीचको संचार ग्यारेन्टी गर्न हार्ट बीट (स्पन्दन )
अनुरोध गर्ने र सर्वरले त्यसमा उत्तर दिई आफू संचारको लागि तयार रहेको जानकारी गराउने सिस्टम हुन्छ।
युजरले अनुरोध गर्दा केही डाटा र त्यो डाटाको साइज पठाउछ र सर्वरले पनि युजरको अनुरोध बमोजिम आफ्नो मेमोरीमा
खुल्ला गरी युजरले हेर्न सक्ने बनाउछ।
यसपालिको समस्या के हो भने ,
युजरले वास्तविक रुपमा १ बाइट पठाएर त्यसको साइज जस्तै ६४ हजार लेखेर पठायो भने सर्वरले साइज मात्रै हेरी वास्तविक डाटा नहेरी ६४ हजार बाइट मेमोरी खुल्ला गरी युजरलाई पठाउँछ। त्यो ६४ हजार बाइटमा हुन सक्छ युजरको क्रेडिट कार्ड , पासवर्ड अथवा अरु सुचना हुन्छ।
यसरी आफ्नो उपस्थिति मात्रै जनाउन सर्वरले प्रयोग गरिएको संचारलाई गलत प्रयोग गरी अरू सूचना पनि युजरले बटुल्न्न सकेको हुन्छ।
तलको चित्र हेर्नुहोस्।
कसरी समाधान हुन्छ त यो समस्या
ठूला ठुला इन्टरनेटका कम्पनीहरुले यो आफ्नो सर्भरमा एस एस एल प्रोटोकलको सफ्वेयर परिवर्तन गरिसकेकोले आतिनु पर्दैन।
तर नेपालका बैकहरूले के गरेका छन् अलिकति सरोकार राख्नु पर्नेछ। किनभने नेपालको एउटा राष्ट्रिय बैकको केही
वर्ष सम्म एस एस एल प्रोटोकल नै प्रयोग गरेको थिएन।
साधारण व्यक्तिले यो कमजोरीमा सोसियल नेटवर्क सर्विस ( फेसबुक , ट्ववीटर ), बैकको पासवर्डहरु परिवर्तन गर्न सुझाव दिइएको छ तर यो कमजोरी हुँदा सोसियल नेटवर्क सर्विसको पासवर्ड लिक भएको सूचना आएको छैन।
अन्तमा ,
सेक्युरिटी भनेको कसैलाई विश्वाश गर्ने हो। जब कोही पहरेदार , या त्यो प्रमाण पत्र या चापी वितरक कम्पनी या प्रोटोकलको सफ्टवेयरमा समस्या आउँछ , यस्त्ता समस्या यसपछि पनि आइरहने छन्। सवैभन्दा ठूलो कुरा आखिरी
सबैको इमान्दारी नै हो जस्तो लाग्दछ ।
*** *** ***
Comments