বেসিক ইন্টারনেট সুরক্ষার সাথে উপসাগরে পোডল রাখুন

সিকিউর সকেটস লেয়ারে (এসএসএল) গবেষকরা আরও একটি গুরুতর দুর্বলতা প্রকাশ করেছেন যা আমাদের তথ্য এবং যোগাযোগগুলি অনলাইনে কীভাবে সুরক্ষিত করা হয় তা প্রভাবিত করে। সুসংবাদটি হ'ল আপনি এই ত্রুটিটি ব্যবহার করে আক্রমণগুলি আটকাতে নির্দিষ্ট পদক্ষেপ নিতে পারেন।

গুগল গবেষকগণ বোডো মোলার, থাই ডুং এবং ক্রিজিসটফ কোটোভিজ ওপেনএসএসএল.কম-এ পোস্ট করা একটি সুরক্ষা উপদেষ্টায় প্যাডিং ওরাকল অন ডাউনড্রেড লেগ্যাসি এনক্রিপশন (পুডল) আক্রমণের বিবরণটির রূপরেখা দিয়েছেন। দুর্বলতাটি এসএসএল 3.0.০ এ রয়েছে, যা ১৯৯, সালে প্রবর্তিত হয়েছিল এবং ১৯৯৯ সালে ট্রান্সপোর্ট লেয়ার সিকিউরিটি (টিএলএস) দ্বারা প্রতিস্থাপিত হয়েছিল P পুডল এই সুবিধাটি গ্রহণ করে যে ক্লায়েন্ট - ওয়েব ব্রাউজারগুলি অন্তর্ভুক্ত রয়েছে - পুরানো, কম সুরক্ষিত, প্রোটোকলগুলিতে ডাউনগ্রেড হবে একটি সুরক্ষিত সংযোগ স্থাপন করতে অক্ষম। ডাউনগ্রেডটি নেটওয়ার্ক গ্লোচে পাশাপাশি সক্রিয় আক্রমণকারীদের দ্বারা ট্রিগার করা যেতে পারে।

"যেহেতু একটি নেটওয়ার্ক আক্রমণকারী সংযোগ ব্যর্থতার কারণ হতে পারে, তারা এসএসএল 3.0 এর ব্যবহার শুরু করতে পারে এবং তারপরে এই সমস্যাটি কাজে লাগাতে পারে, " মোলার মঙ্গলবার বিকেলে গুগল অনলাইন সুরক্ষা টিমের ব্লগে লিখেছিলেন।

পুডল সেশন কুকিজ উন্মোচিত করে। আক্রমণকারীরা অ্যাকাউন্ট বা অন্যান্য অনলাইন পরিষেবাগুলিতে ইমেলের ব্যবহারকারীর পাসওয়ার্ড পাবে না, তবে সেশন কুকিটি বৈধ হওয়ার পরেও ব্যবহারকারী হিসাবে লগ ইন করতে সক্ষম হবে। "এইভাবে, আপনি স্টারবাকসে থাকাকালীন, আপনার পাশের কিছু হ্যাকার আপনার টুইটার অ্যাকাউন্টে টুইট পোস্ট করতে এবং আপনার সমস্ত জিমেইল বার্তাগুলি পড়তে সক্ষম হবেন, " ইরতা সিকিউরিটির রবার্ট গ্রাহাম বলেছেন।

প্রতিরক্ষা প্রথম লাইন

পোডল আক্রমণটি শিকারের ইন্টারনেট সংযোগ নিয়ন্ত্রণ দখল করার জন্য প্রথমে শত্রুদের বিরুদ্ধে একটি মধ্যযুগীয় আক্রমণ স্থাপনের উপর নির্ভর করে। এটি করার একটি উপায় হ'ল কোফিশপের মতো কোনও সর্বজনীন স্থানে দূষিত Wi-Fi অ্যাক্সেস পয়েন্ট স্থাপন করা। আক্রমণকারীদের ভুক্তভোগীর ব্রাউজারের ভিতরে জাভাস্ক্রিপ্ট কোড চালাতে সক্ষম হওয়া দরকার।

"এটি শোষণের জন্য একজনকে মধ্যবিত্ত হতে হবে This এর অর্থ আপনি সম্ভবত বাড়িতে হ্যাকার থেকে নিরাপদ, যদিও এনএসএ থেকে নিরাপদ নয় However তবে, যখন স্থানীয় স্টারবাকস বা অন্য এনক্রিপ্টেড ওয়াই-ফাইতে থাকবেন আপনি "এই হ্যাক থেকে গুরুতর বিপদে আছে, " গ্রাহাম লিখেছেন।

সুতরাং সম্ভাব্য পোডেল আক্রমণ সফল হতে আটকাতে ইতিমধ্যে কয়েকটি জিনিস আপনি করতে পারেন। আমরা যেমন সময় এবং সময় আবার বলেছি, আপনার চেনেন না এমন লোকেরা দ্বারা চালিত পাবলিক ওয়াই-ফাই নেটওয়ার্ক বা অতিথি নেটওয়ার্কগুলিতে উইল-নিল নেবেন না। আপনি পডল সম্পর্কে উদ্বিগ্ন না হলেও, মধ্য-মধ্যের আক্রমণগুলি গুরুতর এবং আপনি কী নেটওয়ার্কগুলিতে সংযুক্ত হন সে সম্পর্কে যত্নবান হয়ে নিজেকে রক্ষা করুন।

আপনার যদি কোনও পাবলিক নেটওয়ার্কে উঠতে হয় তবে আপনার কর্মক্ষেত্র থেকে পাওয়া বা ভিপিএন উপলব্ধ যে কোনও একটিরও হোক না কেন, ভিপিএন ব্যবহার করুন। প্রাইভেটইন্টারনেট অ্যাক্সেস, সাইবারঘস্টভিপিএন, এবং অ্যাঙ্করফ্রির হটস্পট শিল্ডের মতো কয়েকটি নাম লেখানোর জন্য এখানে বেশ কয়েকটি রয়েছে।

আক্রমণকারীরা সম্ভবত ব্যবহারকারীদের বিশেষভাবে তৈরি করা জাভাস্ক্রিপ্ট কোড কার্যকর করার জন্য ডিজাইন করা একটি দূষিত ওয়েব পৃষ্ঠায় দেখার জন্য প্রতারিত করবে। আপনি কোন সাইটগুলি ভিজিট করেন সে সম্পর্কে সতর্ক হন এবং ফিশিং সাইটগুলির সন্ধানে থাকুন।

আমাদের এখনও এসএসএল 3.0 রয়েছে কেন?

বেশিরভাগ আধুনিক সার্ভার এবং অ্যাপ্লিকেশনগুলি টিএলএস 1.1 বা 1.2 ব্যবহার করে তবে লিগ্যাসি অ্যাপ্লিকেশন এবং সিস্টেমগুলিকে সমর্থন করার জন্য এসএসএল 3.0 এখনও বহুল ব্যবহৃত হয়। ইন্টারনেট এক্সপ্লোরার 6 এর একটি ভাল উদাহরণ। আই আই 6 এটি আগের মতো দৃশ্যমান না হলেও এটি দীর্ঘ সময় ধরে ঘুরে বেড়ায়, তাই আরও সুরক্ষিত টিএলএস সহ SSL 3.0 সমর্থন করার জন্য বেশ কয়েকটি সার্ভার এবং অ্যাপ্লিকেশন তৈরি করা হয়েছিল। নেটক্রাফ্ট অনুমান করেছে যে এসএসএল ওয়েব সার্ভারগুলির প্রায় 97 শতাংশ ঝুঁকিপূর্ণ হতে পারে।

সিকিউরিটি গবেষক ট্রয় হান্ট লিখেছেন, "আপনি আজ বেশিরভাগ জায়গায় এটিকে বেশ মারতে পারেন, " তবে এটি সমস্যার একমাত্র অংশ, কারণ সেখানে ক্লায়েন্ট রয়েছে যারা এসএসএল 3.0 এ ফিরে যাওয়ার ক্ষমতাকে নির্ভর করতে পারে। আমরা জানি না তারা কোনটি, সংস্থাগুলি কেবল প্লাগ টানতে কম ইচ্ছুক। উদাহরণস্বরূপ, টুইটারের প্রতিবেদন ছিল যে উইন্ডোজের জনপ্রিয় টুইটার ক্লায়েন্ট মেট্রোউইট এসএসএল 3.0 এর উপর নির্ভর করেছে এবং মঙ্গলবার সন্ধ্যায় টুইটারকে এসএসএল 3.0 সমর্থন নিষ্ক্রিয় করার পরে কাজ করা বন্ধ করে দিয়েছে (মেট্রোউইট হটফিক্স প্রকাশ করেছে, সুতরাং আপনার ক্লায়েন্টকে আপডেট করা উচিত) ।

"এটি অনিশ্চয়তা যা প্রারম্ভিক প্রজন্মের প্রযুক্তিগুলিকে বাঁচিয়ে রাখে, " হান্ট বলেছেন।

ব্রাউজার সমস্যা ঠিক করুন

একটি আধুনিক, মানক সম্মতিযুক্ত ওয়েব ব্রাউজার ব্যবহার করুন। 25 নভেম্বর, প্রত্যাশিত ফায়ারফক্সের পরবর্তী সংস্করণে মজিলা ডিফল্টরূপে এসএসএল 3.0 অক্ষম করবে এবং গুগল ক্রোম থেকে এটি স্ক্রাব করছে। সাফারি এসএসএলকে অটো-সক্ষম করে, তবে অ্যাপল ব্রাউজারের জন্য তার পরিকল্পনাগুলিতে এখনও বিবেচনা করতে পারে নি। মাইক্রোসফ্ট উইন্ডোজ ডেস্কটপ এবং সার্ভারগুলি থেকে এসএসএল 3.0 অক্ষম করার নির্দেশাবলী সহ একটি পরামর্শক পোস্ট করেছে।

নেটওয়াকের সমাধান স্থপতি গারভে হেইস বলেছিলেন, "মাইক্রোসফ্টকে ঘৃণা করার দরকার নেই, যেমন ইন্টারনেট এক্সপ্লোরার 10 বা 11 করবে।"

আপনি ইন্টারনেট অপশন মেনুতে উন্নত ট্যাবগুলির অধীনে এসএসএল 3.0 বাক্সটি আন-চেক করে ম্যানুয়ালি আইইএস এ এসএসএল 3.0 বন্ধ করতে পারেন। ফায়ারফক্স ব্যবহারকারীদের ব্রাউজারে About.config- এ যেতে হবে, এবং security.tls.version.min এর মান 1 এ পরিবর্তন করতে হবে তারা এসএসএল 3.0 অক্ষম করতে একটি মজিলা অ্যাড-অনও ডাউনলোড করতে পারে। ক্রোম ব্যবহারকারীরা যারা এসএসএল 3.0 অক্ষম করতে চান তারা ব্রাউজারে কমান্ড লাইন পতাকা --ssl-version-min = tls1 যোগ করতে পারেন।

সাফারি ব্যবহারকারীদের যখনই এটি আসবে আপডেটের জন্য অপেক্ষা করতে হবে। অস্থায়ীভাবে সাফারি বন্ধ রাখলে পোডল আক্রমণের সম্ভাবনা হ্রাস পাবে।

মাইক্রোসফ্ট যখন এপ্রিলে উইন্ডোজ এক্সপিকে সমর্থন দেওয়া বন্ধ করে দিয়েছিল, তখনও এমন কিছু আউটপুট রয়েছে যারা দাবি করেছিল যে তারা অপারেটিং সিস্টেমে আপগ্রেড করার কোনও কারণ দেখেনি। যদি সেই ব্যবহারকারীরা এখনও ইন্টারনেট এক্সপ্লোরার 6 ব্যবহার করে থাকেন তবে তারা অনলাইনে জিনিসগুলি ভাঙ্গতে দেখবেন। ক্লাউডফ্লেয়ার মুক্ত পরিকল্পনা ব্যবহার করে এমন 2 মিলিয়ন সাইটগুলি সহ এটি হোস্ট করা সমস্ত সাইটের জন্য ডিফল্টরূপে SSL 3.0 অক্ষম করেছে। এই সিদ্ধান্তটি এর সাইটে সমস্ত ট্র্যাফিকের 1 শতাংশেরও কম প্রভাব ফেলবে বলে ক্লাউডফ্লেয়ার জানিয়েছেন। অনেক সংস্থা সম্ভবত টুইটারের উদাহরণ অনুসরণ করবে এবং তাদের সাইটে সমর্থন বন্ধ করবে। আপনি যদি এখনও আই 6 বা উইন্ডোজ এক্সপি ব্যবহার করেন তবে আপনার সত্যিই আপগ্রেড করা দরকার।

হান্ট লিখেছেন, "আপনি যদি আজ 6 আইই চালাচ্ছেন (হ্যাঁ, এখনও কিছু আছে) এবং আপগ্রেড করার কোনও বিকল্প আপনার কারণ নেই কারণ 'কারণগুলি', আপনি স্টাফ করছেন, " হান্ট লিখেছিলেন।