Saturday, April 19, 2014

Myanmar Youth Media Club 18 Apr 2014

MYMC - MYMHOT



Posted: 18 Apr 2014 06:17 AM PDT
Heartbleed Bug

ဒီတစ္ေခါက္ MYMHOT ကေတာ့ ခုရက္ပိုင္း အတြင္းမွာ အင္တာနက္ လံုၿခံဳေရးကို ၿခိမ္းေၿခာက္ေနတဲ့ HeartBleed bug အေၾကာင္းနဲ႔ HeartBleed bug ရဲ႕ေနာက္ဆံုးရ သတင္းမ်ားကို တင္ၿပေပး သြားမွာပါ။
HeartBleed ဆိုတာဘာလဲ။
HeartBleed အေၾကာင္း မေၿပာေသးခင္မွာ အင္တာနက္မွာ ကြ်န္ေတာ္တို႔ရဲ႕ အေၾကာင္းအရာေတြ (information) ေတြဘယ္လို အလုပ္လုပ္လဲ တစ္ခ်က္ ၾကည့္ပါမယ္။

အင္တာနက္ရဲ႕ လံုၿခံဳစိတ္ခ် ရတဲ့ ေနရာၾကီး တစ္ခုလံုးပာာ Secure Sockets Layer (SSL) လို႔ေခၚတဲ့ အစိတ္အပိုင္းနဲ႔ သူ႔ရဲ႕ညီငယ္ Transport Layer Security (TLS) တို႔ေပၚမွာ မွီခိုပါတယ္။ သူတို႔ ႏွစ္ခုက ေယဘံုယ် အားၿဖင့္ေတာ့ တူတူပါပဲ။ TLS/SSL တို႔ရဲ႕ ေက်းဇူးေၾကာင့္ ကြ်န္ေတာ္တို႔ တစ္ခ်ိဳ႕ website ေတြရဲ႕ web address/URL မွာ https:// ဆိုၿပီး ၿမင္ရပါတယ္။ ဒါပာာ အဲဒီ websiteပာာ ကြ်န္ေတာ္ တို႔ရဲ႕ အခ်က္အလက္ေတြ အတြက္ စိတ္ခ်ရတယ္ ဆိုတဲ့ သေဘာပါ။ TLS/SSL ဆိုတာ တစ္ကယ္ေတာ့ ပြဲစား သေဘာပါ။ သူတို႔က broswer နဲ႔ server ၾကားက ဝွက္စာေတြကို ဖလွယ္ေပး ပါတယ္။ ဒါပာာ ကြ်န္ေတာ္တို႔ ေန႔စဥ္ သံုးေနတဲ့ စိတ္ခ်ရတဲ့ website ေတြအေနာက္ က အသံုးၿပဳသူ သင္နဲ႔ အဲဒီ website ၾကားကိုယ္ေရး အခ်က္အလက္ ေတြကို ဖလွယ္တဲ့ ၿဖစ္ရပ္ပါ။



TLS/SSL ဆိုတာ ဒီေန႔ အင္တာနက္မွာ အေတာ္ အေရးၾကီးတဲ့ အပိုင္းၿဖစ္ၿပီး ေတာ္ေတာ္ေလးကို အလုပ္ေကာင္းေကာင္း လုပ္ပါတယ္။ ဒါနဲ႔ ဘယ္မွာ အႏၱရာယ္ ၿဖစ္ေစလဲ ဆိုေတာ့ OpenSSL လို႔ေခၚတဲ့ software library တစ္ခုမွာပါ။ OpenSSL ဆိုတာ open source package တစ္ခုၿဖစ္ၿပီး လူေတြပာာ TLS/SSL encryption လံုၿခံဳေရး စနစ္ကို လြယ္လြယ္ကူကူ ရႏုိင္တဲ့ ေနရာေပါ့။ ၿပႆနာက အဲဒီမွာ လံုၿခံဳေရး ယိုေပါက္တစ္ခု ကႏွစ္အေတာ္ၾကာ ရွိေနၿပီး သူ႔ကို Heartbleed လို႔ေခၚပါတယ္။

Heartbleed Bug

ပိုၿပီး နက္နက္နဲနဲ ၾကည့္ၾကည့္ရေအာင္။
OpenSSL ကသီအိုရီ အားၿဖင့္ေတာ့ အလုပ္ေကာင္းေကာင္း လုပ္ပါတယ္။ ဒါေပမယ့္ coding အမွား အေသးစားေလး ေတြရွိၿပီး အဲဒီကေန စတာပါပဲ။ ဝင္ေရာက္ တိုက္ခုိက္တဲ့ လူတစ္စု (Attackers) ကဒါကုိ အသံုးခ်ၿပီး နာမည္ၾကီးတဲ့ OpenSSL version ေတြက  TLS/SSL codeက ထိန္းထား ေပးတဲ့ ကိုယ္ေရး အခ်က္အလက္ေတြ (private data) ေတြယူဖို႔ ၾကိဳးစား ခဲ့ပါတယ္။ အဲဒီအခါ မွာေတာ့ တုိက္ခိုက္သူ ေတြပာာ သင္ နဲ႔ website ႏွစ္ကုိယ္ၾကား သိတဲ့ အေၾကာင္းအရာ ေတြကို သိကုန္ပါ ေတာ့တယ္။


Heartbleed Bug

ဒါက သင့္ကို ဘယ္လို အက်ိဳးသက္ေရာက္ ေစလဲ။
ကံေကာင္းစြာပဲ OpenSSL ရဲ႕ version အကုန္လံုးမွာ ဒါေတြပာာ ၿဖစ္ေနတာ မပာုတ္ပဲ ဒီယိုေပါက္ကို ၿပင္ဆင္တဲ့ version ကလည္း ထြက္ ၿပီးပါၿပီ။ ဒါေပမယ့္လည္း ဘယ္အခ်ိန္ ထဲက ေပါက္ေနမွန္း မသိတာ ေတြေၾကာင့္ စိတ္မလံုမၿခံဳ ၿဖစ္ေနရ ဆဲပါ။ ထိုးေဖာက္သူေတြ ရရွိထား တဲ့ package ေတြပာာ အမ်ားအၿပား ရွိႏုိင္ၿပီး ဘာေၿခရာ လက္ရာမွ မပ်က္တာကို ေတြ႔ေနရပါတယ္။ ဒါေၾကာင့္ ဘယ္ေလာက္ တိုက္ခိုက္ ၿပီးၿပီလဲ မသိႏုိင္ ေသးပါဘူး။ ဒါ့အၿပင္ ေအာက္က website တစ္ခုခုကို သင္သံုးမယ္ ဆိုရင္ေတာ့ သင့္ information ေတြပာာ အၿပင္ကို ေရာက္ႏွင့္ၿပီး ပါၿပီ။


ဒီ website ေတြပာာ ေပါက္ေနတဲ့ ယိုေပါက္ေတြကို ၿပင္ဆင္ၿပီးတာ ေတာင္မွ ၿပႆနာပာာ ေၿဖရွင္းႏုိင္ဖို႔ ေဝးေနဆဲပါ။ website ေတြပာာ သူတို႔ရဲ႕ ဝွက္စာေတြကို ေၿပာင္းလိုက္ၾက ပါၿပီ။ ဒါေတာင္မွပဲ တိုက္ခုိက္သူ ေတြလက္ထဲက မလြတ္ႏုိင္ ေသးဘူးလို႔ ယူဆရၿပီး မလံုၿခံဳမႈ ေတြက ရွိေန ဆဲပါ။

Heartbleed Bug

ေနာက္ဆက္တြဲ သတင္းမ်ား။
Canada ႏိုင္ငံမွာ online tax filing services ကို Heartbleed bug ထိထားတယ္လို႔ သံသယ ရွိတာေၾကာင့္ ခဏပိတ္ ထားပါတယ္။ အခု အင္တာနက္ ကုမၸဏီ ေတြဘက္က သူတို႔ရဲ႕ server ေတြကို update လုပ္ေနၿပီး ေၿဖရွင္းထား တာေၾကာင့္ သင့္ဘက္က password ေတြကို ေၿပာင္းသင့္ ေနပါၿပီ။ အခု Mashable က Heartbleed affected website ေတြကို ေၾကညာထား လိုက္ပါၿပီ။ Password ကိုခ်က္ခ်င္း ေၿပာင္းၿပီး သင့္ရဲ႕ ကိုယ္ေရး အခ်က္အလက္ ေတြကို ကာကြယ္ဖို႔ ေဆာ္ၾသထား ပါတယ္။ ဒီထဲမွာ ၿမန္မာႏုိင္ငံမွာ လူသံုး အမ်ားဆံုး gmail, facebookေတြ လည္း ပါ၀င္ပါတယ္။


Heartbleed Bug

Social Networks: facebook နဲ႔ Tumblr တို႔ကို pw ေတြေၿပာင္းဖို႔ လိုအပ္ၿပီး LinkedIn ကေတာ့ မလိုအပ္ဘဲ twitter ကေတာ့ မေသခ်ာ ေသးပါဘူး။
Other Companies : Google နဲ႔ Yahoo က pw ေၿပာင္းဖို႔ လိုအပ္ၿပီး Microsoft နဲ႔ Amazon ကေတာ့ မလိုပါဘူးတဲ့။ Apple ကေတာ့ မေသခ်ာ unclear ပါ။
Email : Google နဲ႔ Yahoo ကိုေၿပာင္းဖို႔ လိုအပ္ၿပီး Hotmail / Outlook နဲ႔ AOL ေတြက OpenSSL ကိုမသံုးတာေၾကာင့္ မထိပါဘူး။
Stores and Commerce : Amazon Web Services (for website operators) ကေတာ့ ေၿပာင္းဖို႔ လိုအပ္ၿပီး Amazon, Target, Paypal ကေတာ့ မလိုပါဘူး။ eBay ကေတာ့ unclear ပါ။
Banks and Brokerages : ဘဏ္ေတြ ေတာ္ေတာ္မ်ားမ်ားက ခ်က္ခ်င္း ေၿပာင္းဖို႔ မလိုအပ္ ေပမယ့္ တခ်ိဳ႕ဘဏ္ ေတြကေတာ့ စစ္ေဆးဆဲပါ။
Government and Taxes : tax return လုပ္တဲ့ ေနရာမွာ အသံုးမ်ားတဲ့ Intuit (TurboTax) ကေတာ့ ေၿပာင္းဖို႔ လိုအပ္ၿပီး IRS နဲ႔ Healthcare .gov ကေတာ့ unclear ပါ။
တၿခား အသံုးမ်ားတဲ့ dropbox, LastPass, OKCupid, SoundCloud နဲ႔ Wunderlist ေတြကို ေၿပာင္းဖို႔ လိုအပ္ ပါတယ္။


Heartbleed Bug

ေနာက္ဆံုး သတင္းကေတာ့ Bloomberg media ကေၿပာၾကားခ်က္ အရ အေမရိကက National Security Agency (NSA) Heartbleed bug ကိုသိရွိထားတာ ႏွစ္ႏွစ္ေက်ာ္ ေလာက္ရွိေနၿပီး လို႔ဆိုထားပါတယ္။ NSA ပာာ Heartbleed bug နဲ႔သက္ဆိုင္ေနတယ္ လို႔ယူဆထားၿပီး အခ်က္ အလက္ ေတြကို ယူဖို႔ အသံုးခ် ေနလား ဆိုတဲ့ ေမးခြန္းေတြ ရွိေနပါတယ္။ NSA ကေတာ့ ဒီသတင္းကို ၿငင္းပယ္ ထားပါတယ္။

Images from digitaltrends, universitypost, wpmedia, mediabistro, globalnews, mashable. Source: gizmodo.com, theverge.com


Author

Noel

0 comments:

Post a Comment

စာမေရးျဖစ္ေတာ့တာေၾကာင့္ က်ေနာ္ႀကိဳက္ၿပီး ဖတ္ေစခ်င္တဲ့ စာေလးေတြကို တင္ထားပါတယ္ဗ်ာ

Followers

Total Pageviews

အမွာပါးစရာမ်ားရွိေနရင္

Pop up my Cbox

Blog Archive

အက္ဒမင္

အျခားက႑မ်ားကို ေလ့လာရန္

ရွာေဖြေလ ေတြ႔ရွိေလ

စာေပျမတ္ႏိုးသူမ်ား

free counters
Related Posts Plugin for WordPress, Blogger...