বাড়ি Securitywatch হৃদয়যুক্তরা সহজেই শোষণ করা সহজ

হৃদয়যুক্তরা সহজেই শোষণ করা সহজ

ভিডিও: पहली बार में कुछ नहीं होता | Sonu Sharma | Best Motivational Video | For association : 7678481813 (নভেম্বর 2024)

ভিডিও: पहली बार में कुछ नहीं होता | Sonu Sharma | Best Motivational Video | For association : 7678481813 (নভেম্বর 2024)
Anonim

যে সপ্তাহে গবেষকরা ওপেনএসএসএলে হার্টবেল্ড দুর্বলতার বিষয়টি প্রকাশ করেছিলেন, ততদিনে বাগ বাগানের ব্যবহার করে কী ধরণের তথ্য আক্রমণকারীরা অর্জন করতে পারে তা নিয়ে অনেক আলোচনা হয়েছে। দেখা যাচ্ছে বেশ অনেকটা।

সিকিউরিটি ওয়াচ যেমন উল্লেখ করেছে যে হার্টবলিড হ'ল ওপেনএসএসএল-এর একটি বাগের নাম যা কম্পিউটারের স্মৃতিতে তথ্য ফাঁস করে। (ত্রুটিটি ব্যাখ্যা করে এক্স কেসিডির দুর্দান্ত কমিকটি দেখুন) গবেষকরা আবিষ্কার করেছেন যে লগইন শংসাপত্র, ব্যবহারকারীর তথ্য এবং অন্যান্য তথ্য ত্রুটিটি ব্যবহার করে বাধা দেওয়া যেতে পারে। বিশেষজ্ঞরা ভেবেছিলেন যে সার্ভারের ব্যক্তিগত কীটি এইভাবে পাওয়া সম্ভব হবে।

শংসাপত্র এবং ব্যক্তিগত কীগুলি কোনও কম্পিউটার (বা মোবাইল ডিভাইস) একটি বৈধ ওয়েবসাইটের সাথে সংযোগ স্থাপন করছে এবং পাস করা সমস্ত তথ্য এনক্রিপ্ট করা হয়েছে তা যাচাই করতে ব্যবহৃত হয়। ব্রাউজারগুলি প্যাডলকের সাথে একটি সুরক্ষিত সংযোগ নির্দেশ করে এবং শংসাপত্রটি অবৈধ থাকলে একটি সতর্কতা দেখায়। যদি আক্রমণকারীরা ব্যক্তিগত কীগুলি চুরি করতে পারে তবে তারা একটি নকল ওয়েবসাইট সেট আপ করতে পারে যা বৈধ এবং সংবেদনশীল ব্যবহারকারীর ডেটাটিকে দেখায়। তারা এনক্রিপ্ট হওয়া নেটওয়ার্ক ট্র্যাফিক ডিক্রিপ্ট করতে সক্ষম হবে।

সিকিউরিটি ওয়াচ টেস্ট

ওপেনএসএসএল-এর একটি দুর্বল সংস্করণ চালিত সার্ভারের সাথে আমরা কী করতে পারি তা জানতে আগ্রহী, আমরা কালি লিনাক্সের একটি উদাহরণ শুরু করেছি এবং র‌্যাপিড a থেকে অনুপ্রবেশ পরীক্ষার কাঠামো মেটাস্পপ্লাইটের জন্য হার্টবেল্ড মডিউলটি লোড করেছি। বাগটি শোষণ করার পক্ষে যথেষ্ট সহজ ছিল এবং আমরা দুর্বল সার্ভারের স্মৃতি থেকে ফিরে পেয়েছি। সার্ভারে বিভিন্ন কার্য সম্পাদন করার সময় পুনরাবৃত্ত অনুরোধগুলির সাথে সার্ভারটিকে আঘাত করা চালানোর জন্য আমরা প্রক্রিয়াটি স্বয়ংক্রিয়ভাবে চালিত করেছি। পরীক্ষা চালানোর পুরো দিন পরে, আমরা প্রচুর ডেটা সংগ্রহ করেছি।

ব্যবহারকারীর নাম, পাসওয়ার্ড এবং সেশন আইডি পাওয়া মোটামুটি সহজ হিসাবে প্রমাণিত হয়েছিল, যদিও এগুলি পুরোপুরি গব্লিবুকের মতো দেখায় buried বাস্তব জীবনের দৃশ্যে, আমি যদি আক্রমণকারী হয়ে থাকি তবে প্রচুর প্রযুক্তিগত দক্ষতার প্রয়োজন ছাড়াই শংসাপত্রগুলি খুব দ্রুত এবং চৌর্যতার সাথে চুরি করা যায়। ভাগ্যের একটি উপাদান জড়িত রয়েছে, যদিও যেহেতু অনুরোধটি সঠিক সময়ে সার্ভারে হিট করতে হয়েছিল যখন কেউ "স্মৃতিতে" তথ্য পাওয়ার জন্য সাইটটিতে লগ ইন করতে বা যোগাযোগ করাচ্ছিল। সার্ভারটিকে মেমরির ডান অংশটিও আঘাত করতে হয়েছিল এবং এখনও পর্যন্ত আমরা এটিকে নিয়ন্ত্রণ করার কোনও উপায় দেখিনি।

আমাদের সংগৃহীত ডেটাতে কোনও ব্যক্তিগত কী প্রদর্শিত হয়নি। ঠিক আছে, তাই না? এর অর্থ হ'ল আমাদের সবচেয়ে খারাপ পরিস্থিতি উদ্বেগ সত্ত্বেও, দুর্বল সার্ভারগুলির কী বা শংসাপত্রগুলি গ্রহণ করা সহজ নয়-এই পোস্ট-হার্টবেলড ওয়ার্ল্ডে আমাদের সকলের জন্য চিন্তিত হওয়া একটি কম বিষয়।

এমনকি ক্লাউডফ্লেয়ারের স্মার্ট লোকেরাও, ওয়েবসাইটগুলির জন্য সুরক্ষা পরিষেবা সরবরাহকারী সংস্থা, তাতে একমত হতে দেখা গেছে যে এটি কোনও সহজ প্রক্রিয়া নয়। অসম্ভব নয়, তবে করা শক্ত। ক্লাউডফ্লেয়ারের সিস্টেম ইঞ্জিনিয়ার নিক সুলিভান শুরুতে লিখেছিলেন, "হার্টলেডের মাধ্যমে কী কী উদ্ভাসিত হতে পারে তা নির্ধারণ করতে এবং বিশেষত প্রাইভেট এসএসএল কী ডেটা ঝুঁকিপূর্ণ ছিল কিনা তা বোঝার জন্য আমরা বিস্তৃত পরীক্ষা চালিয়ে বেশিরভাগ সময় ব্যয় করেছি।" কোম্পানির ব্লগ গত সপ্তাহে। "যদি এটি সম্ভব হয় তবে এটি ন্যূনতম সময়ে খুব কঠোর হয়, " সুলিভান আরও যোগ করেন।

সংস্থাটি গত সপ্তাহে একটি দুর্বল সার্ভার স্থাপন করেছে এবং সুরক্ষা সম্প্রদায়কে হার্টবেলড বাগটি ব্যবহার করে সার্ভারের ব্যক্তিগত এনক্রিপশন কীটি পাওয়ার চেষ্টা করতে বলেছে।

কিন্তু আসলে…

এখন আসে ভিড়সোর্সিংয়ের শক্তি। ক্লাউডফ্লেয়ার তার চ্যালেঞ্জ স্থাপনের নয় ঘন্টা পরে, একজন সুরক্ষা গবেষক সার্ভারে 2.5 মিলিয়ন অনুরোধ প্রেরণের পরে সফলভাবে ব্যক্তিগত কীটি অর্জন করেছিলেন। সুলিভান জানিয়েছেন, দ্বিতীয় গবেষক খুব কম অনুরোধে প্রায় একই কাজ করতে সক্ষম হন। উইকএন্ডে আরও দুজন গবেষক মামলা অনুসরণ করেছিলেন।

"এই ফলাফলটি জনগণের শক্তিকে অবমূল্যায়ন না করার জন্য আমাদের স্মরণ করিয়ে দেয় এবং এই দুর্বলতার ফলে সৃষ্ট বিপদকে জোর দিয়েছিল, " সুলিভান বলেছিলেন।

আমরা আমাদের পরীক্ষার সেটআপে ফিরে গেলাম। এবার, আমরা এরাটা সিকিউরিটির সিইও রবার্ট গ্রাহামের হার্টলাইচ প্রোগ্রামটি ব্যবহার করেছি। এটি ঘন্টা সময় নিয়েছে, প্রচুর পরিমাণে ব্যান্ডউইথ গ্রহণ করেছে এবং প্রচুর পরিমাণে ডেটা তৈরি করেছে তবে আমরা শেষ পর্যন্ত কীটি পেয়েছি। আমাদের এখন অন্য সার্ভারগুলির বিরুদ্ধে পরীক্ষা করা দরকার তা নিশ্চিত করার জন্য যে এটি কোনও প্রবণতা ছিল না। সিকিউরিটি ওয়াচ রাউটার এবং অন্যান্য নেটওয়ার্কিং সরঞ্জামগুলিতে ওপেনএসএসএল ইনস্টল করা হয়েছে কীভাবে এই ডিভাইসগুলিকে ঝুঁকির মধ্যে ফেলেছে তাও অনুসন্ধান করবে। আমাদের আরও ফলাফল পেলে আমরা আপডেট করব।

গ্রাহাম বলেছিলেন, "সম্ভাব্যতার চেয়ে সহজেই" যে কেউ সহজেই একটি প্রাইভেট-কী পেতে পারেন। এটি একটি ভীতিজনক চিন্তা।

হৃদয়যুক্তরা সহজেই শোষণ করা সহজ