Myanmar Youth Media Club 18 Apr 2014
MYMC - MYMHOT |
Posted: 18 Apr 2014 06:17 AM PDT
ဒီတစ္ေခါက္ MYMHOT ကေတာ့ ခုရက္ပိုင္း အတြင္းမွာ အင္တာနက္ လံုၿခံဳေရးကို ၿခိမ္းေၿခာက္ေနတဲ့ HeartBleed bug အေၾကာင္းနဲ႔ HeartBleed bug ရဲ႕ေနာက္ဆံုးရ သတင္းမ်ားကို တင္ၿပေပး သြားမွာပါ။
HeartBleed ဆိုတာဘာလဲ။
HeartBleed အေၾကာင္း မေၿပာေသးခင္မွာ အင္တာနက္မွာ ကြ်န္ေတာ္တို႔ရဲ႕ အေၾကာင္းအရာေတြ (information) ေတြဘယ္လို အလုပ္လုပ္လဲ တစ္ခ်က္ ၾကည့္ပါမယ္။
အင္တာနက္ရဲ႕ လံုၿခံဳစိတ္ခ် ရတဲ့ ေနရာၾကီး တစ္ခုလံုးပာာ Secure Sockets Layer (SSL) လို႔ေခၚတဲ့ အစိတ္အပိုင္းနဲ႔ သူ႔ရဲ႕ညီငယ္ Transport Layer Security (TLS) တို႔ေပၚမွာ မွီခိုပါတယ္။ သူတို႔ ႏွစ္ခုက ေယဘံုယ် အားၿဖင့္ေတာ့ တူတူပါပဲ။ TLS/SSL တို႔ရဲ႕ ေက်းဇူးေၾကာင့္ ကြ်န္ေတာ္တို႔ တစ္ခ်ိဳ႕ website ေတြရဲ႕ web address/URL မွာ https:// ဆိုၿပီး ၿမင္ရပါတယ္။ ဒါပာာ အဲဒီ websiteပာာ ကြ်န္ေတာ္ တို႔ရဲ႕ အခ်က္အလက္ေတြ အတြက္ စိတ္ခ်ရတယ္ ဆိုတဲ့ သေဘာပါ။ TLS/SSL ဆိုတာ တစ္ကယ္ေတာ့ ပြဲစား သေဘာပါ။ သူတို႔က broswer နဲ႔ server ၾကားက ဝွက္စာေတြကို ဖလွယ္ေပး ပါတယ္။ ဒါပာာ ကြ်န္ေတာ္တို႔ ေန႔စဥ္ သံုးေနတဲ့ စိတ္ခ်ရတဲ့ website ေတြအေနာက္ က အသံုးၿပဳသူ သင္နဲ႔ အဲဒီ website ၾကားကိုယ္ေရး အခ်က္အလက္ ေတြကို ဖလွယ္တဲ့ ၿဖစ္ရပ္ပါ။
TLS/SSL ဆိုတာ ဒီေန႔ အင္တာနက္မွာ အေတာ္ အေရးၾကီးတဲ့ အပိုင္းၿဖစ္ၿပီး ေတာ္ေတာ္ေလးကို အလုပ္ေကာင္းေကာင္း လုပ္ပါတယ္။ ဒါနဲ႔ ဘယ္မွာ အႏၱရာယ္ ၿဖစ္ေစလဲ ဆိုေတာ့ OpenSSL လို႔ေခၚတဲ့ software library တစ္ခုမွာပါ။ OpenSSL ဆိုတာ open source package တစ္ခုၿဖစ္ၿပီး လူေတြပာာ TLS/SSL encryption လံုၿခံဳေရး စနစ္ကို လြယ္လြယ္ကူကူ ရႏုိင္တဲ့ ေနရာေပါ့။ ၿပႆနာက အဲဒီမွာ လံုၿခံဳေရး ယိုေပါက္တစ္ခု ကႏွစ္အေတာ္ၾကာ ရွိေနၿပီး သူ႔ကို Heartbleed လို႔ေခၚပါတယ္။
ပိုၿပီး နက္နက္နဲနဲ ၾကည့္ၾကည့္ရေအာင္။
OpenSSL ကသီအိုရီ အားၿဖင့္ေတာ့ အလုပ္ေကာင္းေကာင္း လုပ္ပါတယ္။ ဒါေပမယ့္ coding အမွား အေသးစားေလး ေတြရွိၿပီး အဲဒီကေန စတာပါပဲ။ ဝင္ေရာက္ တိုက္ခုိက္တဲ့ လူတစ္စု (Attackers) ကဒါကုိ အသံုးခ်ၿပီး နာမည္ၾကီးတဲ့ OpenSSL version ေတြက TLS/SSL codeက ထိန္းထား ေပးတဲ့ ကိုယ္ေရး အခ်က္အလက္ေတြ (private data) ေတြယူဖို႔ ၾကိဳးစား ခဲ့ပါတယ္။ အဲဒီအခါ မွာေတာ့ တုိက္ခိုက္သူ ေတြပာာ သင္ နဲ႔ website ႏွစ္ကုိယ္ၾကား သိတဲ့ အေၾကာင္းအရာ ေတြကို သိကုန္ပါ ေတာ့တယ္။
ဒါက သင့္ကို ဘယ္လို အက်ိဳးသက္ေရာက္ ေစလဲ။
ကံေကာင္းစြာပဲ OpenSSL ရဲ႕ version အကုန္လံုးမွာ ဒါေတြပာာ ၿဖစ္ေနတာ မပာုတ္ပဲ ဒီယိုေပါက္ကို ၿပင္ဆင္တဲ့ version ကလည္း ထြက္ ၿပီးပါၿပီ။ ဒါေပမယ့္လည္း ဘယ္အခ်ိန္ ထဲက ေပါက္ေနမွန္း မသိတာ ေတြေၾကာင့္ စိတ္မလံုမၿခံဳ ၿဖစ္ေနရ ဆဲပါ။ ထိုးေဖာက္သူေတြ ရရွိထား တဲ့ package ေတြပာာ အမ်ားအၿပား ရွိႏုိင္ၿပီး ဘာေၿခရာ လက္ရာမွ မပ်က္တာကို ေတြ႔ေနရပါတယ္။ ဒါေၾကာင့္ ဘယ္ေလာက္ တိုက္ခိုက္ ၿပီးၿပီလဲ မသိႏုိင္ ေသးပါဘူး။ ဒါ့အၿပင္ ေအာက္က website တစ္ခုခုကို သင္သံုးမယ္ ဆိုရင္ေတာ့ သင့္ information ေတြပာာ အၿပင္ကို ေရာက္ႏွင့္ၿပီး ပါၿပီ။
ဒီ website ေတြပာာ ေပါက္ေနတဲ့ ယိုေပါက္ေတြကို ၿပင္ဆင္ၿပီးတာ ေတာင္မွ ၿပႆနာပာာ ေၿဖရွင္းႏုိင္ဖို႔ ေဝးေနဆဲပါ။ website ေတြပာာ သူတို႔ရဲ႕ ဝွက္စာေတြကို ေၿပာင္းလိုက္ၾက ပါၿပီ။ ဒါေတာင္မွပဲ တိုက္ခုိက္သူ ေတြလက္ထဲက မလြတ္ႏုိင္ ေသးဘူးလို႔ ယူဆရၿပီး မလံုၿခံဳမႈ ေတြက ရွိေန ဆဲပါ။
ေနာက္ဆက္တြဲ သတင္းမ်ား။
Canada ႏိုင္ငံမွာ online tax filing services ကို Heartbleed bug ထိထားတယ္လို႔ သံသယ ရွိတာေၾကာင့္ ခဏပိတ္ ထားပါတယ္။ အခု အင္တာနက္ ကုမၸဏီ ေတြဘက္က သူတို႔ရဲ႕ server ေတြကို update လုပ္ေနၿပီး ေၿဖရွင္းထား တာေၾကာင့္ သင့္ဘက္က password ေတြကို ေၿပာင္းသင့္ ေနပါၿပီ။ အခု Mashable က Heartbleed affected website ေတြကို ေၾကညာထား လိုက္ပါၿပီ။ Password ကိုခ်က္ခ်င္း ေၿပာင္းၿပီး သင့္ရဲ႕ ကိုယ္ေရး အခ်က္အလက္ ေတြကို ကာကြယ္ဖို႔ ေဆာ္ၾသထား ပါတယ္။ ဒီထဲမွာ ၿမန္မာႏုိင္ငံမွာ လူသံုး အမ်ားဆံုး gmail, facebookေတြ လည္း ပါ၀င္ပါတယ္။
Social Networks: facebook နဲ႔ Tumblr တို႔ကို pw ေတြေၿပာင္းဖို႔ လိုအပ္ၿပီး LinkedIn ကေတာ့ မလိုအပ္ဘဲ twitter ကေတာ့ မေသခ်ာ ေသးပါဘူး။
Other Companies : Google နဲ႔ Yahoo က pw ေၿပာင္းဖို႔ လိုအပ္ၿပီး Microsoft နဲ႔ Amazon ကေတာ့ မလိုပါဘူးတဲ့။ Apple ကေတာ့ မေသခ်ာ unclear ပါ။
Email : Google နဲ႔ Yahoo ကိုေၿပာင္းဖို႔ လိုအပ္ၿပီး Hotmail / Outlook နဲ႔ AOL ေတြက OpenSSL ကိုမသံုးတာေၾကာင့္ မထိပါဘူး။
Stores and Commerce : Amazon Web Services (for website operators) ကေတာ့ ေၿပာင္းဖို႔ လိုအပ္ၿပီး Amazon, Target, Paypal ကေတာ့ မလိုပါဘူး။ eBay ကေတာ့ unclear ပါ။
Banks and Brokerages : ဘဏ္ေတြ ေတာ္ေတာ္မ်ားမ်ားက ခ်က္ခ်င္း ေၿပာင္းဖို႔ မလိုအပ္ ေပမယ့္ တခ်ိဳ႕ဘဏ္ ေတြကေတာ့ စစ္ေဆးဆဲပါ။
Government and Taxes : tax return လုပ္တဲ့ ေနရာမွာ အသံုးမ်ားတဲ့ Intuit (TurboTax) ကေတာ့ ေၿပာင္းဖို႔ လိုအပ္ၿပီး IRS နဲ႔ Healthcare .gov ကေတာ့ unclear ပါ။
တၿခား အသံုးမ်ားတဲ့ dropbox, LastPass, OKCupid, SoundCloud နဲ႔ Wunderlist ေတြကို ေၿပာင္းဖို႔ လိုအပ္ ပါတယ္။
ေနာက္ဆံုး သတင္းကေတာ့ Bloomberg media ကေၿပာၾကားခ်က္ အရ အေမရိကက National Security Agency (NSA) Heartbleed bug ကိုသိရွိထားတာ ႏွစ္ႏွစ္ေက်ာ္ ေလာက္ရွိေနၿပီး လို႔ဆိုထားပါတယ္။ NSA ပာာ Heartbleed bug နဲ႔သက္ဆိုင္ေနတယ္ လို႔ယူဆထားၿပီး အခ်က္ အလက္ ေတြကို ယူဖို႔ အသံုးခ် ေနလား ဆိုတဲ့ ေမးခြန္းေတြ ရွိေနပါတယ္။ NSA ကေတာ့ ဒီသတင္းကို ၿငင္းပယ္ ထားပါတယ္။
Images from digitaltrends, universitypost, wpmedia, mediabistro, globalnews, mashable. Source: gizmodo.com, theverge.com
HeartBleed အေၾကာင္း မေၿပာေသးခင္မွာ အင္တာနက္မွာ ကြ်န္ေတာ္တို႔ရဲ႕ အေၾကာင္းအရာေတြ (information) ေတြဘယ္လို အလုပ္လုပ္လဲ တစ္ခ်က္ ၾကည့္ပါမယ္။
အင္တာနက္ရဲ႕ လံုၿခံဳစိတ္ခ် ရတဲ့ ေနရာၾကီး တစ္ခုလံုးပာာ Secure Sockets Layer (SSL) လို႔ေခၚတဲ့ အစိတ္အပိုင္းနဲ႔ သူ႔ရဲ႕ညီငယ္ Transport Layer Security (TLS) တို႔ေပၚမွာ မွီခိုပါတယ္။ သူတို႔ ႏွစ္ခုက ေယဘံုယ် အားၿဖင့္ေတာ့ တူတူပါပဲ။ TLS/SSL တို႔ရဲ႕ ေက်းဇူးေၾကာင့္ ကြ်န္ေတာ္တို႔ တစ္ခ်ိဳ႕ website ေတြရဲ႕ web address/URL မွာ https:// ဆိုၿပီး ၿမင္ရပါတယ္။ ဒါပာာ အဲဒီ websiteပာာ ကြ်န္ေတာ္ တို႔ရဲ႕ အခ်က္အလက္ေတြ အတြက္ စိတ္ခ်ရတယ္ ဆိုတဲ့ သေဘာပါ။ TLS/SSL ဆိုတာ တစ္ကယ္ေတာ့ ပြဲစား သေဘာပါ။ သူတို႔က broswer နဲ႔ server ၾကားက ဝွက္စာေတြကို ဖလွယ္ေပး ပါတယ္။ ဒါပာာ ကြ်န္ေတာ္တို႔ ေန႔စဥ္ သံုးေနတဲ့ စိတ္ခ်ရတဲ့ website ေတြအေနာက္ က အသံုးၿပဳသူ သင္နဲ႔ အဲဒီ website ၾကားကိုယ္ေရး အခ်က္အလက္ ေတြကို ဖလွယ္တဲ့ ၿဖစ္ရပ္ပါ။
TLS/SSL ဆိုတာ ဒီေန႔ အင္တာနက္မွာ အေတာ္ အေရးၾကီးတဲ့ အပိုင္းၿဖစ္ၿပီး ေတာ္ေတာ္ေလးကို အလုပ္ေကာင္းေကာင္း လုပ္ပါတယ္။ ဒါနဲ႔ ဘယ္မွာ အႏၱရာယ္ ၿဖစ္ေစလဲ ဆိုေတာ့ OpenSSL လို႔ေခၚတဲ့ software library တစ္ခုမွာပါ။ OpenSSL ဆိုတာ open source package တစ္ခုၿဖစ္ၿပီး လူေတြပာာ TLS/SSL encryption လံုၿခံဳေရး စနစ္ကို လြယ္လြယ္ကူကူ ရႏုိင္တဲ့ ေနရာေပါ့။ ၿပႆနာက အဲဒီမွာ လံုၿခံဳေရး ယိုေပါက္တစ္ခု ကႏွစ္အေတာ္ၾကာ ရွိေနၿပီး သူ႔ကို Heartbleed လို႔ေခၚပါတယ္။
ပိုၿပီး နက္နက္နဲနဲ ၾကည့္ၾကည့္ရေအာင္။
OpenSSL ကသီအိုရီ အားၿဖင့္ေတာ့ အလုပ္ေကာင္းေကာင္း လုပ္ပါတယ္။ ဒါေပမယ့္ coding အမွား အေသးစားေလး ေတြရွိၿပီး အဲဒီကေန စတာပါပဲ။ ဝင္ေရာက္ တိုက္ခုိက္တဲ့ လူတစ္စု (Attackers) ကဒါကုိ အသံုးခ်ၿပီး နာမည္ၾကီးတဲ့ OpenSSL version ေတြက TLS/SSL codeက ထိန္းထား ေပးတဲ့ ကိုယ္ေရး အခ်က္အလက္ေတြ (private data) ေတြယူဖို႔ ၾကိဳးစား ခဲ့ပါတယ္။ အဲဒီအခါ မွာေတာ့ တုိက္ခိုက္သူ ေတြပာာ သင္ နဲ႔ website ႏွစ္ကုိယ္ၾကား သိတဲ့ အေၾကာင္းအရာ ေတြကို သိကုန္ပါ ေတာ့တယ္။
ဒါက သင့္ကို ဘယ္လို အက်ိဳးသက္ေရာက္ ေစလဲ။
ကံေကာင္းစြာပဲ OpenSSL ရဲ႕ version အကုန္လံုးမွာ ဒါေတြပာာ ၿဖစ္ေနတာ မပာုတ္ပဲ ဒီယိုေပါက္ကို ၿပင္ဆင္တဲ့ version ကလည္း ထြက္ ၿပီးပါၿပီ။ ဒါေပမယ့္လည္း ဘယ္အခ်ိန္ ထဲက ေပါက္ေနမွန္း မသိတာ ေတြေၾကာင့္ စိတ္မလံုမၿခံဳ ၿဖစ္ေနရ ဆဲပါ။ ထိုးေဖာက္သူေတြ ရရွိထား တဲ့ package ေတြပာာ အမ်ားအၿပား ရွိႏုိင္ၿပီး ဘာေၿခရာ လက္ရာမွ မပ်က္တာကို ေတြ႔ေနရပါတယ္။ ဒါေၾကာင့္ ဘယ္ေလာက္ တိုက္ခိုက္ ၿပီးၿပီလဲ မသိႏုိင္ ေသးပါဘူး။ ဒါ့အၿပင္ ေအာက္က website တစ္ခုခုကို သင္သံုးမယ္ ဆိုရင္ေတာ့ သင့္ information ေတြပာာ အၿပင္ကို ေရာက္ႏွင့္ၿပီး ပါၿပီ။
- yahoo.com
- imgur.com
- flickr.com
- redtube.com
- kickass.to
- okcupid.com
- steamcommunity.com
- hidemyass.com
- wettransfer.com
- usmagazine.com
- 500px.com
ဒီ website ေတြပာာ ေပါက္ေနတဲ့ ယိုေပါက္ေတြကို ၿပင္ဆင္ၿပီးတာ ေတာင္မွ ၿပႆနာပာာ ေၿဖရွင္းႏုိင္ဖို႔ ေဝးေနဆဲပါ။ website ေတြပာာ သူတို႔ရဲ႕ ဝွက္စာေတြကို ေၿပာင္းလိုက္ၾက ပါၿပီ။ ဒါေတာင္မွပဲ တိုက္ခုိက္သူ ေတြလက္ထဲက မလြတ္ႏုိင္ ေသးဘူးလို႔ ယူဆရၿပီး မလံုၿခံဳမႈ ေတြက ရွိေန ဆဲပါ။
ေနာက္ဆက္တြဲ သတင္းမ်ား။
Canada ႏိုင္ငံမွာ online tax filing services ကို Heartbleed bug ထိထားတယ္လို႔ သံသယ ရွိတာေၾကာင့္ ခဏပိတ္ ထားပါတယ္။ အခု အင္တာနက္ ကုမၸဏီ ေတြဘက္က သူတို႔ရဲ႕ server ေတြကို update လုပ္ေနၿပီး ေၿဖရွင္းထား တာေၾကာင့္ သင့္ဘက္က password ေတြကို ေၿပာင္းသင့္ ေနပါၿပီ။ အခု Mashable က Heartbleed affected website ေတြကို ေၾကညာထား လိုက္ပါၿပီ။ Password ကိုခ်က္ခ်င္း ေၿပာင္းၿပီး သင့္ရဲ႕ ကိုယ္ေရး အခ်က္အလက္ ေတြကို ကာကြယ္ဖို႔ ေဆာ္ၾသထား ပါတယ္။ ဒီထဲမွာ ၿမန္မာႏုိင္ငံမွာ လူသံုး အမ်ားဆံုး gmail, facebookေတြ လည္း ပါ၀င္ပါတယ္။
Social Networks: facebook နဲ႔ Tumblr တို႔ကို pw ေတြေၿပာင္းဖို႔ လိုအပ္ၿပီး LinkedIn ကေတာ့ မလိုအပ္ဘဲ twitter ကေတာ့ မေသခ်ာ ေသးပါဘူး။
Other Companies : Google နဲ႔ Yahoo က pw ေၿပာင္းဖို႔ လိုအပ္ၿပီး Microsoft နဲ႔ Amazon ကေတာ့ မလိုပါဘူးတဲ့။ Apple ကေတာ့ မေသခ်ာ unclear ပါ။
Email : Google နဲ႔ Yahoo ကိုေၿပာင္းဖို႔ လိုအပ္ၿပီး Hotmail / Outlook နဲ႔ AOL ေတြက OpenSSL ကိုမသံုးတာေၾကာင့္ မထိပါဘူး။
Stores and Commerce : Amazon Web Services (for website operators) ကေတာ့ ေၿပာင္းဖို႔ လိုအပ္ၿပီး Amazon, Target, Paypal ကေတာ့ မလိုပါဘူး။ eBay ကေတာ့ unclear ပါ။
Banks and Brokerages : ဘဏ္ေတြ ေတာ္ေတာ္မ်ားမ်ားက ခ်က္ခ်င္း ေၿပာင္းဖို႔ မလိုအပ္ ေပမယ့္ တခ်ိဳ႕ဘဏ္ ေတြကေတာ့ စစ္ေဆးဆဲပါ။
Government and Taxes : tax return လုပ္တဲ့ ေနရာမွာ အသံုးမ်ားတဲ့ Intuit (TurboTax) ကေတာ့ ေၿပာင္းဖို႔ လိုအပ္ၿပီး IRS နဲ႔ Healthcare .gov ကေတာ့ unclear ပါ။
တၿခား အသံုးမ်ားတဲ့ dropbox, LastPass, OKCupid, SoundCloud နဲ႔ Wunderlist ေတြကို ေၿပာင္းဖို႔ လိုအပ္ ပါတယ္။
ေနာက္ဆံုး သတင္းကေတာ့ Bloomberg media ကေၿပာၾကားခ်က္ အရ အေမရိကက National Security Agency (NSA) Heartbleed bug ကိုသိရွိထားတာ ႏွစ္ႏွစ္ေက်ာ္ ေလာက္ရွိေနၿပီး လို႔ဆိုထားပါတယ္။ NSA ပာာ Heartbleed bug နဲ႔သက္ဆိုင္ေနတယ္ လို႔ယူဆထားၿပီး အခ်က္ အလက္ ေတြကို ယူဖို႔ အသံုးခ် ေနလား ဆိုတဲ့ ေမးခြန္းေတြ ရွိေနပါတယ္။ NSA ကေတာ့ ဒီသတင္းကို ၿငင္းပယ္ ထားပါတယ္။
Images from digitaltrends, universitypost, wpmedia, mediabistro, globalnews, mashable. Source: gizmodo.com, theverge.com
0 comments:
Post a Comment