ভিডিও: ये कà¥?या है जानकार आपके à¤à¥€ पसीने छà¥?ट ज (নভেম্বর 2024)
TLS (ট্রান্সপোর্ট লেয়ার সিকিউরিটি) এবং এসএসএল (সিকিউর সকেটস লেয়ার) এর মতো অভিনব সংক্ষিপ্ত শব্দগুলি নেটওয়ার্ক যোগাযোগগুলিতে প্রশিক্ষণপ্রাপ্ত নয় তাদের পক্ষে জটিল শব্দ। আপনি আশা করতেন যে সুরক্ষিত যোগাযোগের ক্ষেত্রে বাগের সুবিধা গ্রহণকারী হার্টবেলড আক্রমণটি অবিশ্বাস্যরকম জটিল এবং তীব্র আকার ধারণ করবে। ভাল, এটা না। আসলে এটি হাস্যকরভাবে সহজ।
যখন এটি সঠিকভাবে কাজ করছে
প্রথম, একটি সামান্য পটভূমি। আপনি যখন কোনও সুরক্ষিত (এইচটিটিপিএস) ওয়েবসাইটের সাথে সংযুক্ত হন, নিরাপদ সেশনটি সেট আপ করার জন্য একধরণের হ্যান্ডশেক হয়। আপনার ব্রাউজারটি অনুরোধ করে এবং সাইটের শংসাপত্র যাচাই করে, সুরক্ষিত সেশনের জন্য একটি এনক্রিপশন কী উত্পন্ন করে এবং সাইটের পাবলিক কী ব্যবহার করে এটিকে এনক্রিপ্ট করে। সাইটটি এটি সম্পর্কিত ব্যক্তিগত কী ব্যবহার করে ডিক্রিপ্ট করে এবং সেশনটি শুরু হয়।
একটি সাধারণ এইচটিটিপি সংযোগ হ'ল সম্পর্কিত সম্পর্কযুক্ত ইভেন্টগুলির একটি সিরিজ। আপনার ব্রাউজারটি সাইট থেকে ডেটা অনুরোধ করে, সাইটটি সেই ডেটা ফেরত দেয় এবং পরবর্তী অনুরোধ না হওয়া পর্যন্ত এটিই। তবে এটি নিরাপদ সংযোগের উভয় পক্ষের পক্ষে অন্যটি এখনও সক্রিয় কিনা তা নিশ্চিত হওয়া সহায়ক। টিএলএসের জন্য হার্টবিট এক্সটেনশানটি কেবলমাত্র একটি ডিভাইস অন্য নির্দিষ্ট ডিভাইসটি যেটি ফেরত পাঠায় তা নির্দিষ্ট পেডলোড প্রেরণের মাধ্যমে অন্যটির অবিরত উপস্থিতি নিশ্চিত করতে দেয়।
একটি বড় স্কুপ
হার্টবিট পেডলোড হ'ল ডেটা প্যাকেট যা অন্যান্য জিনিসের মধ্যে রয়েছে, এমন ক্ষেত্র যা প্যালোডের দৈর্ঘ্যকে সংজ্ঞায়িত করে। একটি হৃদয়গ্রাহী আক্রমণে পে-লোড দৈর্ঘ্যের সম্পর্কে মিথ্যা বলা জড়িত। ত্রুটিযুক্ত হার্টবিট প্যাকেটটি বলেছে এর দৈর্ঘ্য K৪ কেবি, সর্বাধিক সম্ভব। যখন বগি সার্ভার সেই প্যাকেটটি গ্রহণ করে, তখন সেই পরিমাণ পরিমাণের ডেটা মেমরি থেকে প্রতিক্রিয়া প্যাকেটে অনুলিপি করে সাড়া দেয়।
ঠিক সেই স্মৃতিতে কী আছে? ঠিক আছে, বলার উপায় নেই। আক্রমণকারীটিকে নিদর্শনগুলির সন্ধানের জন্য এটির মাধ্যমে চিরুনি দিতে হবে। তবে এনক্রিপশন কী, লগইন শংসাপত্র এবং আরও অনেক কিছু সহ সম্ভাব্য কিছু ক্যাপচার করা যেতে পারে। ফিক্সটি সহজ - প্রেরক প্যাকেটের দৈর্ঘ্য সম্পর্কে মিথ্যাচার করছেন না তা পরীক্ষা করে দেখুন। খুব খারাপ তারা প্রথম দিকে এটি করার কথা ভাবেনি।
দ্রুত প্রতিক্রিয়া
যেহেতু এই বাগের শোষণের কোনও চিহ্ন খুঁজে পাওয়া যায় না, তাই অনুমিত-নিরাপদ ডেটা কত চুরি হয়েছে তা আমরা সত্যিই বলতে পারি না। সাইবার সুরক্ষার জন্য বিএই সিস্টেমস অ্যাপ্লাইড ইন্টেলিজেন্সের সিটিও ডাঃ ডেভিড বেইলি বলেছিলেন, "ডিজিটাল অপরাধীরা সংবেদনশীল ব্যক্তিগত ডেটা অর্জন করতে, ব্যবহারকারীর অ্যাকাউন্ট এবং পরিচয় নিতে এবং অর্থ চুরি করতে এটি ব্যবহার করতে সক্ষম কিনা তা কেবল সময়ই বলে দেবে। এই নির্দিষ্ট সমস্যাটি পাস করবে তবে এটি সংযুক্ত বিশ্বের একটি গুরুত্বপূর্ণ বৈশিষ্ট্যকে হাইলাইট করে এবং ব্যবসায় এবং সুরক্ষা সরবরাহকারী উভয়কে যেমন তারা এই জাতীয় সমস্যাগুলি মোকাবেলা করে এবং বুদ্ধিমত্তা-ভিত্তিক কৌশলগুলি গ্রহণ করে যা দুর্বল দাগ আক্রমণ করার আগে প্রতিরক্ষা উন্নত করে তাদের প্রয়োজনীয়তার চিত্র তুলে ধরে।"
দেখে মনে হচ্ছে বেশিরভাগ ওয়েবসাইটগুলি এই ক্ষেত্রে প্রয়োজনীয় চতুরতা প্রদর্শন করছে। বিএই রিপোর্ট করেছে যে ৮ ই এপ্রিল এটি শীর্ষস্থানীয় 10, 000 ওয়েবসাইটগুলির মধ্যে 628 টির ঝুঁকিপূর্ণ খুঁজে পেয়েছে। গত এপ্রিল 9, এ, এই সংখ্যাটি 301 এ নেমে এসেছিল this এবং আজ সকালে এটি কমে দাঁড়িয়েছে 180 টি That's এটি একটি দুর্দান্ত দ্রুত প্রতিক্রিয়া; আসুন আশা করি শীঘ্রই বাগ ঠিক করাতে হোল্ডআউটগুলি ব্যস্ত হয়ে পড়বে।
নীচের ইনফোগ্রাফিকটি ঠিক কীভাবে হার্টবেলড কাজ করে তা চিত্রিত করে। আরও বড় দেখার জন্য এটিতে ক্লিক করুন।