حال ہی میں لچکدار بلاگ پر ، جس کی اطلاع ہے کہ Elasticsearch کے اہم حفاظتی افعال، جو ایک سال سے زیادہ پہلے اوپن سورس اسپیس میں جاری کیے گئے تھے، اب صارفین کے لیے مفت ہیں۔
آفیشل بلاگ پوسٹ میں "درست" الفاظ شامل ہیں جو اوپن سورس مفت ہونے چاہئیں اور یہ کہ پروجیکٹ کے مالکان اپنے کاروبار کو دوسرے اضافی فنکشنز پر بناتے ہیں جو وہ انٹرپرائز حل کے لیے پیش کرتے ہیں۔ اب ورژن 6.8.0 اور 7.1.0 کی بنیادی تعمیرات میں درج ذیل حفاظتی افعال شامل ہیں، جو پہلے صرف سونے کی رکنیت کے ساتھ دستیاب تھے:
- خفیہ کردہ مواصلات کے لیے TLS۔
- صارف کے اندراجات بنانے اور ان کا انتظام کرنے کے لیے فائل اور مقامی دائرہ۔
- API اور رول پر مبنی کلسٹر تک صارف کی رسائی کا نظم کریں۔ Kibana Spaces کا استعمال کرتے ہوئے Kibana تک کثیر صارف کی رسائی کی اجازت ہے۔
تاہم، حفاظتی افعال کو مفت سیکشن میں منتقل کرنا کوئی وسیع اشارہ نہیں ہے، بلکہ تجارتی مصنوعات اور اس کے بنیادی مسائل کے درمیان فاصلہ پیدا کرنے کی کوشش ہے۔
اور اس کے پاس کچھ سنجیدہ ہیں۔
استفسار "ایلاسٹک لیک" گوگل پر 13,3 ملین تلاش کے نتائج دیتا ہے۔ متاثر کن، ہے نا؟ پراجیکٹ کے حفاظتی افعال کو اوپن سورس پر جاری کرنے کے بعد، جو کبھی ایک اچھا خیال لگتا تھا، لچکدار کو ڈیٹا لیک کے ساتھ سنگین مسائل کا سامنا کرنا شروع ہوا۔ درحقیقت، بنیادی ورژن ایک چھلنی میں تبدیل ہو گیا، کیونکہ کسی نے بھی ان ہی حفاظتی افعال کی حمایت نہیں کی۔
ایک لچکدار سرور سے سب سے زیادہ بدنام ڈیٹا لیک ہونے کا نتیجہ امریکی شہریوں کے 57 ملین ڈیٹا کا ضائع ہونا تھا، جس کے بارے میں دسمبر 2018 میں (بعد میں پتہ چلا کہ 82 ملین ریکارڈ دراصل لیک ہوئے تھے)۔ اس کے بعد دسمبر 2018 میں برازیل میں ایلاسٹک کے ساتھ سیکیورٹی مسائل کی وجہ سے 32 ملین افراد کا ڈیٹا چوری کیا گیا۔ مارچ 2019 میں، "صرف" 250 خفیہ دستاویزات، بشمول قانونی دستاویزات، ایک اور لچکدار سرور سے لیک ہو گئیں۔ اور جس سوال کا ہم نے ذکر کیا ہے اس کے لیے یہ صرف پہلا سرچ پیج ہے۔
درحقیقت، ہیکنگ آج تک جاری ہے اور اس کا آغاز اس کے فوراً بعد ہوا جب ڈیولپرز نے خود حفاظتی افعال کو ہٹا کر اوپن سورس کوڈ میں منتقل کر دیا۔
قاری تبصرہ کر سکتا ہے: "تو کیا؟ ٹھیک ہے، انہیں سیکورٹی کے مسائل ہیں، لیکن کون نہیں؟"
اور اب توجہ۔
سوال یہ ہے کہ اس پیر سے پہلے، ایلاسٹک نے صاف ضمیر کے ساتھ، سیکیورٹی فنکشنز نامی ایک چھلنی کے لیے کلائنٹس سے پیسے لیے، جسے اس نے فروری 2018 میں، یعنی تقریباً 15 مہینے پہلے اوپن سورس میں جاری کیا۔ ان فنکشنز کو سپورٹ کرنے کے لیے کوئی خاص لاگت اٹھائے بغیر، کمپنی ان کے لیے انٹرپرائز کلائنٹ سیگمنٹ سے سونے اور پریمیم سبسکرائبرز سے باقاعدگی سے رقم لیتی تھی۔
کسی وقت، سیکورٹی کے مسائل کمپنی کے لیے اتنے زہریلے ہو گئے، اور گاہک کی شکایات اتنی خطرناک ہو گئیں، کہ لالچ نے پیچھے کی جگہ لے لی۔ تاہم، ترقی کو دوبارہ شروع کرنے اور اپنے پروجیکٹ میں سوراخوں کو "پیچ" کرنے کے بجائے، جس کی وجہ سے لاکھوں دستاویزات اور عام لوگوں کے ذاتی ڈیٹا عوامی رسائی میں چلے گئے، ایلاسٹک نے حفاظتی افعال کو elasticsearch کے مفت ورژن میں پھینک دیا۔ اور وہ اسے اوپن سورس کاز میں ایک عظیم فائدہ اور شراکت کے طور پر پیش کرتا ہے۔
اس طرح کے "موثر" حلوں کی روشنی میں، بلاگ پوسٹ کا دوسرا حصہ انتہائی عجیب لگتا ہے، جس کی وجہ سے ہم نے درحقیقت اس کہانی پر توجہ دی۔ اس کے بارے میں - Elasticsearch اور Kibana کے لیے سرکاری Kubernetes آپریٹر۔
ڈویلپرز، اپنے چہروں پر مکمل طور پر سنجیدہ تاثرات کے ساتھ، کہتے ہیں کہ elasticsearch سیکیورٹی فنکشنز کے بنیادی مفت پیکج میں سیکیورٹی فنکشنز کو شامل کرنے کی وجہ سے، ان سلوشنز کے صارف ایڈمنسٹریٹرز پر بوجھ کم ہو جائے گا۔ اور عام طور پر، سب کچھ بہت اچھا ہے.
"ہم اس بات کو یقینی بنا سکتے ہیں کہ ECK کے ذریعے شروع کیے گئے اور ان کا انتظام کیے جانے والے تمام کلسٹرز کو لانچ سے پہلے سے ہی محفوظ رکھا جائے گا، منتظمین پر کوئی اضافی بوجھ نہیں پڑے گا،" آفیشل بلاگ میں کہا گیا ہے۔
کس طرح حل، ترک کر دیا گیا اور اصل ڈویلپرز کی طرف سے حمایت نہیں کی گئی، جو پچھلے ایک سال کے دوران ایک عالمگیر کوڑے مارنے والے لڑکے میں تبدیل ہو چکا ہے، صارفین کو تحفظ فراہم کرے گا، ڈویلپرز خاموش ہیں۔
ماخذ: www.habr.com