হার্টবলিড ঠিক করার সময় কীভাবে ইন্টারনেট ব্যবহার করবেন?


119

অনেক ওয়েবসাইট বর্তমানে প্রবন নয়, কিন্তু আমি কোন ধারণা আছে যদি তারা ছিল অসহায় কয়েক দিন আগে।

উদাহরণ স্বরূপ:

  • টুইটার.কম: এখনই দুর্বল নয়, তবে শংসাপত্রটি মার্চ মার্চ 05 00:00:00 ইউটিসি 2014 এর
  • google.com: এখনই দুর্বল নয়, তবে শংসাপত্রটি মার্চ 12 মার্চ 09:53:40 ইউটিসি 2014 এর 2014
  • bankofamerica.com: এখনই দুর্বল নয়, তবে শংসাপত্রটি Thu ডিসেম্বর 05 00:00:00 ইউটিসি 2013 এর

আমি কি করব? এগুলি পুনরায় প্রকাশ না করা পর্যন্ত এগুলি ব্যবহার করবেন না? আমি কীভাবে জানতে পারি যে তারা নতুন কীগুলি দিয়ে শংসাপত্রটি পুনরায় প্রকাশ করবে? মনে হয় আমার পাসওয়ার্ড পরিবর্তন করতে এই সাইটগুলিতে লগইন করা উচিত হয়নি কারণ তারা আসল ওয়েবসাইট তা জানার উপায় নেই।


4
হার্টবেল্ড সম্পর্কে ব্যবহারকারীদের কী করা উচিত এর সম্ভাব্য সদৃশ ? সিকিউরিটি.সটাকেক্সচেঞ্জ.কম
ফিলিপ

উত্তর:


201

আপডেটস 2014-04-11

ক্লাউডফ্লেয়ার যাচাই করে নেওয়া চ্যালেঞ্জ সেট আপ করেছিল যে প্রাইভেট কী কী নিষ্কাশন আসলে সম্ভব ছিল। এটি প্রায় 100 হাজার অনুরোধের সাথে সম্পন্ন হয়েছে এবং এটি ভয়টিকে যাচাই করে। এটি আর তাত্ত্বিক নয়, প্রমাণিত । আপনি এটি সম্পর্কে পড়তে এখানে যেতে পারেন ।

এছাড়াও, ব্লুমবার্গ জানিয়েছে যে এনএসএ কমপক্ষে দুই বছর ধরে এই শোষণ সম্পর্কে জানে । এনএসএর এমন বিশ্লেষকদের নিয়োগের সংস্থান রয়েছে যার একমাত্র কাজ হ'ল এই জাতীয় সফটওয়্যারগুলির শোষণ অনুসন্ধান করা। এখন যেহেতু আমরা জানি যে মার্কিন সরকার এত দিন ধরে এটির ব্যবহার করে যাচ্ছিল যে অন্যান্য রাজ্যগুলি এটি জানত এবং শোষণ করেছিল তা যথেষ্ট তাৎপর্যপূর্ণ।


টিএল; ডিআর সংস্থা সংস্থাগুলির তাদের সিস্টেমগুলির স্থিতি সম্পর্কিত ঘোষণার জন্য নজর রাখে, আপনার সমস্ত পাসওয়ার্ড পরিবর্তন করে এবং ব্যাংকিং বা অন্যান্য আর্থিক সিস্টেমের মতো গুরুত্বপূর্ণ অ্যাকাউন্টগুলিতে জালিয়াতি / সন্দেহজনক কার্যকলাপের জন্য নজর রাখে।

পরিস্থিতি কেন এত বিপজ্জনক তা বুঝতে আমাদের প্রথমে বুঝতে হবে এই আক্রমণটি আসলে কী করে। CVE-2014-0160, একেএ হার্টলেবড, বাফার ওভারড্রিড বাগ যা আক্রমণকারীকে ওপেনএসএসএল এর একটি দুর্বল সংস্করণ চালিত সার্ভার থেকে 64 কেবি মেমরি পেতে দেয়।

সত্যিই খারাপ লাগছে। এটি অনুশীলনে কীভাবে কাজ করে

আপনি ঠিক বলেছেন, এটি একটি গুরুতর ত্রুটি, তবে আমরা এটির পরে ফিরে আসব। এই মুহূর্তে আসুন কেন শোষণ কাজ করে তা নিয়ে কথা বলা যাক। পরিবহন স্তর সুরক্ষা (টিএলএস) HTTP ( HTTPS ) সহ অনেক অ্যাপ্লিকেশন দ্বারা তথ্য সুরক্ষিত করতে বা এসএমটিপি সুরক্ষিত করতে ব্যবহৃত হয়যদি উদাহরণস্বরূপ সক্ষম হয়। টিএলএসের মান নির্ধারণকারী আরএফসি 5246-তে, একটি কার্যকারিতা রয়েছে যা হার্টবিট হিসাবে পরিচিত। ক্লায়েন্ট এবং সার্ভার সংযোগটি বাঁচিয়ে রাখতে কিছু ডেটা পিছনে পিছনে প্রেরণ করে যাতে এটি পরে ব্যবহার করা যায়। এখন অনুশীলনে ক্লায়েন্ট কিছু ডেটা প্রেরণ করবে এবং সার্ভারটি কেবল এটি ফেরত পাঠাবে, এবং সবকিছু দুর্দান্ত। তবে ক্ষতিগ্রস্থ ওপেনএসএসএল সংস্করণগুলিতে ক্লায়েন্টটি এটি যে পরিমাণ ডেটা বলেছে তা আসলে পাঠিয়েছিল কিনা তা দেখার কোনও পরীক্ষা নেই। সুতরাং আমি যদি এটি 1 বাইট প্রেরণ করি এবং সার্ভারকে বলি যে আমি এটি 64 কেবি আসলে পাঠিয়েছি তবে এটি সুখে আমাকে 64 কেবি পাঠাতে চলেছে। এই অন্যান্য বাইট কোথা থেকে আসে? এটি ঠিক সেখানে সমস্যার মূল চাবিকাঠি। আপনার 1 বাইট কোথায় সংরক্ষণ করা হয়েছে তার উপর নির্ভর করে ওপেনএসএসএল আপনাকে 64 কেবি - 1 বাইটের মেমরির প্রক্রিয়ায় অ্যাক্সেস দিয়েছে এবং আপনি প্রাথমিকভাবে প্রেরণ করেননি আপনাকে ফেরত পাঠাতে চলেছে।ব্যক্তিগত কী উপাদান - সার্ভারটি ব্যবহারের জন্য ডিক্রিপ্ট করছে। এর উদাহরণগুলি হ'ল: পাসওয়ার্ড, ক্রেডিট কার্ডের তথ্য এবং / অথবা পিন

ঠিক আছে. তথ্য সুরক্ষার জন্য এর অর্থ কী? যদি আপনি বুঝতে পারেন যে কীভাবে অসম্পূর্ণ ক্রিপ্টোগ্রাফি কাজ করে তবে আপনি ইতিমধ্যে জানেন যে এটি মারাত্মক কারণ প্রকাশটি এনক্রিপশনকে অবহেলা ছাড়া আর কোনও রেন্ডার করে না। এর অর্থ হ'ল যদিও সার্ভারগুলি প্যাচ করা হতে পারে এবং মেমরি ফাঁস না করে, সেশনগুলি এখনও নিরাপদ হতে পারে। এটি সম্ভবত প্রকাশ্যে জানা যাওয়ার আগে বা প্যাচিংয়ের সময় এটি ব্যবহার করা হয়েছিল, তবে আক্রমণটি হয়েছে কিনা তা প্রমাণ করার জন্য বর্তমানে কোনও পদ্ধতি প্রমাণিত হয়নি। এটা সম্ভব যে আইডিএসের জন্য নিয়মগুলি উপলভ্য হয়ে উঠতে পারে, তবে এখনকার ক্ষেত্রে তা নয়। আইডিএস বিধি প্রকাশ করা হয়েছে । এটি নিজেই অত্যন্ত বিপজ্জনক, কারণ অপারেটররা তাদের কীগুলি এখনও নিরাপদ কিনা তা জানেন না।

আমরা ধরে নিতে বাধ্য হলাম যে কীগুলি ফাঁস হয়েছে, এর অর্থ এটি সম্ভব যে আপনি তারের মধ্য দিয়ে প্রেরণ করা সমস্ত কিছু তৃতীয় পক্ষের দ্বারা ডিক্রিপ্ট করা যেতে পারে। এটিকে প্রশমিত করার একমাত্র উপায় হ'ল পুরানোগুলি বাতিল করে দেওয়ার সময় কীগুলি পুনরায় জেনারেট করা এবং নতুন শংসাপত্রগুলি পুনরায় জারি করা। দুর্ভাগ্যক্রমে, এটি সময় নেয় কারণ এই মুহুর্তে সিএগুলি এই অনুরোধগুলির সাথে প্লাবিত হওয়ার সন্দেহ নেই। তবুও এটি মধ্য-মধ্যবর্তী আক্রমণ , বা অন্যান্য ফিশিংয়ের সুযোগের সম্ভাবনা ছেড়ে দেয় ।

এটি কখন নিরাপদ থাকবে? এটি কখন নিরাপদ হবে তা জানা শক্ত প্রশ্ন। কিছু জিনিস যা আমি দেখার পরামর্শ দিচ্ছি তা জনসাধারণের ঘোষণাগুলি হ'ল ব্যাখ্যা করে যে বাগটি তাদের পরিবেশে প্যাচ করা হয়েছে বা সেগুলি কখনও ঝুঁকিপূর্ণ নয়, কারণ তারা প্রভাবিত সংস্করণগুলি কখনও ব্যবহার করেনি। যখন তারা ঘোষণা করেছে যে তারা ওপেনএসএসএল এর একটি নতুন সংস্করণে আপগ্রেড করেছে আমি নিশ্চিত হয়েছি যে তারা 2014-04-07-এর শোষণের প্রকাশের তারিখের পরে স্বাক্ষরিত একটি নতুন শংসাপত্র ব্যবহার করছে ।

** নোট করুন যে আগে রেকর্ড করা ট্র্যাফিকটি ডিক্রিপ্ট করা যেতে পারে যদি পরে ব্যক্তিগত কীটি ফাঁস হয়।

নিজেকে রক্ষার জন্য আমি ব্যবহারকারী হিসাবে কী করতে পারি

পরবর্তী কয়েক দিন আপনি যদি অনলাইন ব্যাংকিং বা অনলাইন মেডিকেল চার্ট অ্যাক্সেসের মতো সমালোচনামূলক সাইটগুলি এড়াতে পারেন তবে আমি আপনাকে এটি করার পরামর্শ দিচ্ছি। যদি আপনার অবশ্যই এটি বুঝতে হয় যে আপনার সেশনটি সম্ভাব্য ঝুঁকির মধ্যে রয়েছে এবং এর পরিণতিগুলি মেনে নিতে প্রস্তুত। এছাড়াও, সংস্থাগুলি ঘোষণা করে যে তারা আর অরক্ষিত নয় আপনার নিজের পাসওয়ার্ড পরিবর্তন করা উচিত ; একটি পাসওয়ার্ড ব্যবস্থাপক ব্যবহার সাহায্য করতে পারে। আপনার ব্যাঙ্কের বিবরণ বা ক্রেডিট কার্ড নম্বরগুলির মতো আপনি যে কোনও তথ্য ব্যবহার করেছেন তা পরিবর্তন করতে বা নিরীক্ষণের জন্যও প্রস্তুত হওয়া উচিত।

কর্মীদের বিশেষ নোটিশ

টোর সহ ওপেনএসএসএল ব্যবহার করে এমন কোনও কিছুই আক্রান্ত হতে পারে । এটি সম্ভব যে দু'বছর আগে ওপেনএসএসএল প্রকাশের ক্ষেত্রে সরকারগুলি এই ত্রুটিটি ব্যবহার করতে সক্ষম হয়েছে কারণ তাদের এরূপ শোষণের জন্য প্রয়োজনীয় বিস্তৃত সংস্থান থাকবে এবং যেমন আপনাকে প্রস্তুত থাকতে হবে যাতে তথ্যগুলি পারে আর ব্যক্তিগত থাকবেন না।

** নোট করুন যে পূর্বে রেকর্ডকৃত ট্র্যাফিকটি ডিক্রিপ্ট করা যেতে পারে যদি প্রাইভেট কীটি পরে লিক না করা হত নিখুঁত ফরোয়ার্ড সিকিউরিটি (পিএফএস) প্রয়োগ না করা হয়।

¹- এমন দাবি করা হয়েছে যে এটি সম্ভবত ব্যক্তিগত কীগুলি মেমরির মধ্যে থাকবে না, তবে একই সময়ে সফল কী নিষ্কাশনের দাবিও রয়েছে। এই মুহুর্তে এটি অনিশ্চিত যে কোন দিকটি সঠিক।


45
আমি এই নতুন হট-পাগল-সমালোচনামূলক হার্টবেলড আক্রমণ (অন্য সমস্ত নিবন্ধ / ব্লগ / সংবাদ পোস্টগুলিতে কেবল বিট এবং তথ্যের টুকরো সম্বলিত) সম্পর্কে পড়েছি এটি পাঠের সর্বাধিক তথ্যপূর্ণ অংশ। সুন্দর কাজ :) .
রাদু মুর্জিয়া

4
আমরা কীভাবে জানতে পারি যে একটি নতুন কী ব্যবহার করে নতুন শংসাপত্র তৈরি করা হয়?

3
Note that previously recorded traffic may be decrypted if the private key was later leaked. যদি সার্ভারটি ফরোয়ার্ড গোপনীয়তার সাথে একটি সাইফার ব্যবহার করে।
ওয়েজ

2
@ ওয়েস আপনি সঠিক যে পিএফএস সম্ভবত ট্র্যাফিক নিরাপদ রাখতে পারে। আমি মানুষকে বিভ্রান্ত না করে পরিস্থিতি ব্যাখ্যা করার জন্য সূক্ষ্ম লাইন ধরে চলার চেষ্টা করছিলাম। দুর্ভাগ্যক্রমে পিএফএস ব্যাপকভাবে মোতায়েন করা হয়নি।
জ্যাকব 23

6
আপ সংকলনে what is heartbleed bug xkcd.com/1354
GoodSp33d

14

এই দুর্বলতার ফলে যে ঝুঁকি রয়েছে তা অতিরিক্ত চাপ দেওয়া হচ্ছে। আমি এটি বলছি কারণ এমন জেরো প্রমাণ রয়েছে যে 2 দিন আগে গবেষকরা প্রকাশের আগে এই দুর্বলতাটি জানা ছিল বা তাদের শোষণ করা হয়েছিল।

আমার পরিষ্কার হয়ে উঠুন, এটি জরুরি যে দুর্বল ওয়েবসাইটগুলি, বিশেষত ইন্টারনেটে সংবেদনশীল ডেটা লেনদেনকারীদের প্যাচ করা উচিত। আক্রমণটির স্বাক্ষরগুলি আইডিএস এবং ম্যালওয়ার সুরক্ষা সরঞ্জামগুলিতে লোড করা সমান জরুরি ur আইটির অভ্যন্তরে, আমাদের এই দুর্বলতার সর্বাধিক অগ্রাধিকার দিয়ে সাড়া দেওয়া উচিত।

এই কথাটি বলে, আমি মনে করি না যে পাবলিক প্রেসের দ্বারা এই দুর্বলতার সাথে যুক্ত ঝুঁকির স্তরটি ন্যায়সঙ্গত।

নিজেকে রক্ষা করার জন্য ব্যক্তিদের কী করা উচিত? ওপেনএসএসএল এর দুর্বল সংস্করণগুলি চলছে এমন সাইটগুলি ব্যবহার করবেন না।

যতক্ষণ না এবং প্রমাণ না পাওয়া পর্যন্ত যে এই দুর্বলতাটি কাজে লাগানো হয়েছিল ততক্ষণ পরবর্তী কোনও পদক্ষেপ অর্থহীন এবং এফইউডি ছাড়া আর কিছুই দ্বারা অনুপ্রাণিত হয়। আপনি একমত না? প্রতি মাস বা ত্রৈমাসিকের মধ্যে প্রকাশিত অনেক দুর্বলতাগুলি বিবেচনা করুন যা স্বেচ্ছাসেবী কোড কার্যকর করার অনুমতি দেয় । যারা আক্রমণকারীকে মূল বা সিস্টেমের স্তরের সুবিধা দেয় বা আক্রমণাত্মকরা পরবর্তীতে সুবিধাবঞ্চিতকরণের মাধ্যমে এগুলি অর্জন করতে পারে সেখানে এই দুর্বলতা উপস্থাপিত হওয়ার কারণে দুর্বল সিস্টেমগুলি দ্বারা পরিচালিত সমস্ত ডেটার সুরক্ষার জন্য আরও বেশি ঝুঁকি রয়েছে।

অনেক ক্ষেত্রে, এই দুর্বলতাগুলি সফ্টওয়্যার বিক্রেতা বা গবেষকরা আবিষ্কার করেন যারা বিক্রেতাকে অবহিত করেন। বিক্রেতা একটি প্যাচ তৈরি করে এবং দুর্বলতার বিবরণ প্রকাশ না করে বাজারে ছেড়ে দেয়। কিছু ক্ষেত্রে, বিশদটি প্রকাশিত হয় এবং শোষণগুলি পরীক্ষার সরঞ্জামগুলিতে ব্যবহারের জন্য সুরক্ষা সম্প্রদায় দ্বারা প্রকাশিত হয়। "আমাদের সমস্ত গোপন রহস্য উন্মোচিত হয়ে গেছে" বলে আমরা এই অনেকগুলি দুর্বলতার প্রতি প্রতিক্রিয়া জানাই না!

যদি শোষণের প্রমাণ থাকে তবে আমাদের অবশ্যই এটিতে যথাযথ প্রতিক্রিয়া জানাতে হবে। যারা এই দুর্বলতা ঘোষণা করেছিলেন এবং যারা গবেষকদের আলগা কথাবার্তাটি প্রশস্ত করেছেন তাদের গবেষকদের অত্যধিক ঝুঁকির বিষয়টি আমি দেখছি। তারা নেকড়ে কাঁদে।

- এল ভাইজো


9
এই উত্তরটি আরও আইএমওতে ভোট দেওয়া উচিত। আছে প্রচুর প্রতি মাসে যে মানুষ সার্ভার 'ব্যক্তিগত কী চুরি করতে সম্ভব হবে প্রকাশিত দুর্বলতা, এবং অতিরিক্ত মনোযোগ অনেকটা তাদের সম্পর্কে তৈরি করা হয়। এই এক হয় আরো গড়ের তুলনায় OpenSSL- এর সর্বব্যাপিতা কারণে গুরুতর, কিন্তু এটি এখনও ওভার কৃত্রিম উপায়ে উত্তেজিত হচ্ছে।
অ্যালিস্টায়ার

2
"যতক্ষণ না এই দুর্বলতা কাজে লাগানো হয়েছিল এমন প্রমাণ না পাওয়া পর্যন্ত" "যদি শোষণের প্রমাণ থাকে তবে আমাদের অবশ্যই এটিকে যথাযথভাবে প্রতিক্রিয়া জানাতে হবে।" আপনি শোষণের প্রমাণ সম্পর্কে অনেক কথা বলেন। তবুও হার্টবেল্ড বাগ সম্পর্কে একটি ভীতিকর বিষয় হ'ল সফল শোষণ সত্যের পরে অন্বেষণযোগ্য (যদি না আপনি আগত হার্টবিট বার্তাটি প্রতিবারে পুরোপুরি স্থায়ীভাবে সংরক্ষণ করেন, এবং তবুও এটি গ্যারান্টিযুক্ত নয় যে সফল শোষণটি লঙ্ঘিত করেছিল নিরাপত্তা)। বাগের সফল শোষণের সত্য প্রমাণের পরে আপনি কীভাবে প্রস্তাব করবেন?
একটি সিভিএন

6
-1 কারণ এই লেখক আসলেই আক্রমণগুলির প্রকৃতি বুঝতে পারে না বলে আমি মনে করি না। একটির জন্য, আক্রমণকারীদের যাদের এই ধরণের অ্যাক্সেস ছিল তারা এটিকে গোপন রাখতে এবং তাদের অনুপ্রবেশের প্রমাণ প্রকাশ না পেতে খুব কঠোর পরিশ্রম করবে। এই ধরণের একটি ত্রুটি যা ইন্টারনেটে প্রায় অর্ধেক সুরক্ষিত ট্র্যাফিকের সুরক্ষাকে কাটিয়ে তোলে w এটি আমার মনে হয় একটি অত্যন্ত গুরুতর বিষয়।
উপবৃত্তাকার দর্শন

19
আমি যখন আইটি সুরক্ষার কথা আসি তখন আমি ব্রুস শ্নিয়ারকে সর্বোচ্চ সম্মানের সাথে ধারণ করি। হৃদয়গ্রাহী দুর্বলতার বিষয়ে তাঁর ব্লগ পোস্টটি উদ্ধৃত করার জন্য : "বিপর্যয়কর" সঠিক শব্দ। 1 থেকে 10 এর স্কেলে, এটি একটি 11 । আপনার সমস্যাটি সম্পর্কে আপনার ডাউনপ্লে সম্পর্কে দৃ strongly়ভাবে একমত হওয়ার পক্ষে এটিই আমার পক্ষে যথেষ্ট।
এস্ট্রাস্ট্রাক

8
এই পোস্টটি ডাউনগ্রেড করা উচিত। সমস্যাটি খুব বেশি বোঝা যাচ্ছে না, এটি ওপেনএসএসএল একটি বিপর্যয়কর ব্যর্থতা, এর বাইরে এটি প্রকাশ্যে ঘোষণা না করা পর্যন্ত ব্যবহার না করা হলেও, খারাপ খেলোয়াড়রা পরবর্তীতে এর সাথে অবশ্যই সাইটের আপস করেছে। এনএসএ খুব সম্ভবত এটি সম্পর্কে জানত (তবে এটি প্রমাণিত হতে পারে না)। এটি একটি ইচ্ছাকৃত আপোস হিসাবে ইঙ্গিত করছে এমন বিশ্বাসযোগ্য তত্ত্ব রয়েছে যদিও লেখক এটি অস্বীকার করে।
ডেভিডগো

5

প্রতিটি ওয়েবসাইটই এইচটিটিপিএসের জন্য ওপেনএসএসএল লাইব্রেরি ব্যবহার করে না (উদাহরণস্বরূপ GnuTLS এবং পোলারএসএলও রয়েছে), এবং ওপেনএসএসএল এর প্রতিটি সংস্করণ দুর্বল ছিল না (পুরানো সংস্করণগুলি ছিল না)। এর অর্থ হল যে আপনি যে ওয়েবসাইটগুলি উল্লেখ করেছেন সেগুলিতে শংসাপত্র পরিবর্তন হয়নি কারণ তাদের প্রয়োজনের দরকার নেই chance খেজুরের শংসাপত্রগুলি জারি করা ছিল তা কেবল আপনাকে জানায় না।

এমন অনেকগুলি সরঞ্জাম এবং সাইট রয়েছে যা আপনাকে কোনও ওয়েবসাইটের ঝুঁকিপূর্ণ কিনা তা পরীক্ষা করতে সহায়তা করতে পারে, উদাহরণস্বরূপ: - http://fPLo.io/Heartbleed - https://gist.github.com/mitsuhiko/10130454 - https: / /www.ssllabs.com/ssltest/

দুর্ভাগ্যক্রমে, যেমন আপনি ইতিমধ্যে বলেছিলেন, এটি আপনাকে জানায় না যে তারা ছিল কিনা। আমি এখানে মূল সমস্যাটি হ'ল আশ্বাস: কোন এসএসএল লাইব্রেরি তারা অভ্যন্তরীণ তথ্য ব্যতীত ব্যবহার করে এবং ব্যবহার করে তা যাচাই করার উপায় নেই objective আপনাকে আশা করতে হবে যে তারা যা করার দরকার তা করেছে (কারণ এটি সঠিক জিনিস, অথবা এমনকি তারা জনসাধারণের অবমাননার আশঙ্কায়ও) এবং যদি তারা তা করে থাকে তবে কেবল তারা আশা করতে পারেন যে তারা এ সম্পর্কে উন্মুক্ত।

অবশ্যই, আপনি সর্বদা এই ওয়েবসাইটগুলিকে প্রভাবিত হওয়ার বিষয়ে জিজ্ঞাসা করতে পারেন, আমি বেশ কয়েকটি ওয়েবসাইট দেখেছি যে এ সম্পর্কে সর্বজনীন বিবৃতি জারি করে। টুইটার বা ফেসবুকের মতো সামাজিক মিডিয়া ব্যবহার করে প্রকাশ্যে জিজ্ঞাসা করা প্রায়শই কাজ করে।

সুতরাং আমি যে সর্বোত্তম পরামর্শ দিতে পারি তা হ'ল সাধারণ পরামর্শের এক অংশ: আপনি ইন্টারনেটে কী রেখে যাবেন এবং আপনার ব্যক্তিগত তথ্য দিয়ে কোন ওয়েবসাইটগুলিতে আপনি বিশ্বাস রাখবেন সে সম্পর্কে সতর্ক থাকুন।


3
অনিবার্য PolarSSL বাগ জন্য অপেক্ষা করছে প্রদর্শিত (এটা হল তালিকায় পরবর্তী ...)
strugee

1

প্রাইভেট কীগুলি উদ্ভাসিত হওয়া সম্পর্কে এটি যুক্তিযুক্ত, যদিও কেউ এখন কোনও এনক্রিপ্ট হওয়া সেশনে ডেটা ডিক্রিপ্ট করতে সক্ষম হতে পারে, কারণ তাদের কাছে এখন ব্যক্তিগত কী রয়েছে, তখনও তাদের অধিবেশনটির মাঝখানে লোক হিসাবে নিজেকে প্রতিষ্ঠিত করতে হবে । শুধু ইন্টারনেটের কেউই এটি করতে পারে না।

আমার বোধগম্যতা হল তারা আপনার স্থানীয় ল্যান এবং এআরপি স্পুফিংয়ের মাধ্যমে বা ইন্টারনেট রাউটারগুলিতে মিথ্যা রুটগুলির বিজ্ঞাপন দিয়ে হাইজ্যাক / ট্র্যাফিক পুনর্নির্দেশের দ্বারা ট্র্যাফিককে বাধা দেওয়ার দরকার হবে । এই ধরণের আক্রমণগুলি এই দুর্বলতা ছাড়াই বরাবরই সম্ভব হয়েছে।


2
হার্টবলিডের সাথে অগত্যা সত্য নয়। বাগটি উপস্থিত রয়েছে কারণ র‌্যামটি অ্যাক্সেস করে (যা এনক্রিপ্ট করা উচিত) ডেটা প্রকাশ করা যেতে পারে। অতএব, এই দুর্বলতা কাজে লাগাতে তাদের ট্র্যাফিককে বাধা / স্নিফ করার দরকার নেই। যাইহোক, সার্ভার বা ক্লায়েন্ট উভয়ই কিছু দূষিত সফ্টওয়্যার ইনস্টল করা প্রয়োজন এবং র‌্যামটি অ্যাক্সেস করার জন্য এটির যথাযথ অ্যাক্সেসের প্রয়োজন হবে।
ub3rst4r

তাই না। এটি একটি ম্যান-ইন-দ্য-মিডল আক্রমণ দ্বারাও আপস হতে পারে। এছাড়াও মেমরি ডাম্প কেবলমাত্র সেই অধিবেশনকেই প্রভাবিত করে না, সমস্ত ট্র্যাফিকের [এমআইটিএম আক্রমণ দ্বারা] ডিকোডিংয়ের সুবিধার্থে ব্যক্তিগত কী ছাড়াও অন্য ব্যবহারকারীদের এনক্রিপ্ট করা ব্যবহারকারীর নাম এবং পাসওয়ার্ডগুলি দেখা (মেমরি ব্লকের সামগ্রীর উপর নির্ভর করে) সম্ভব
ডেভিডগো

আমি অনুমান করি যে আমার একটু পরিষ্কার হওয়া উচিত ছিল যে আমি সার্ভারটি প্যাচ করার পরে মূলত আপোষযুক্ত কীগুলি ব্যবহারের কথা উল্লেখ করছি।
পিটারজে

0

আপনি লাস্টপাস হার্টবেল্ড চেকারে কোনও সাইটের জন্য ইউআরএল প্রবেশ করতে পারেন এবং এটি আপনাকে বলবে যে সাইটটি এখনও দুর্বল ছিল কি না এবং এর শংসাপত্রটি আপডেট হওয়ার পরে।

ক্রোম্বেলড নামে একটি ক্রোম এক্সটেনশান রয়েছে যা আপনাকে সতর্ক করে দেবে যদি আপনি হার্টবেলড দ্বারা আক্রান্ত এমন কোনও সাইটে যান তবে।

Mashable.com এর সুপরিচিত সাইটগুলির একটি তালিকা রয়েছে, সেগুলি প্রভাবিত হয়েছিল কিনা এবং আপনার নিজের পাসওয়ার্ড পরিবর্তন করা উচিত। মজার বিষয় হল, ব্যাংক এবং ব্রোকারেজ তালিকার কোনও সাইটের প্রভাব পড়েনি।


0

আমি নিম্নলিখিত সাইটটিও পরিদর্শন করতাম:

https://www.ivpn.net/blog/heartbleed-passwords-change

তাদের কাছে জনপ্রিয় সাইটগুলির একটি তালিকা রয়েছে যা প্রভাবিত হয়েছে এবং কখন এবং কোথায় আপনার পাসওয়ার্ড পরিবর্তন করা উচিত


-1

সামগ্রিকভাবে, আমি বলব যে প্যারানোইয়া আপনার কাছে আসতে দেবেন না। বাস্তবিকভাবে কেবল ট্র্যাফিকের ডিক্রিপ্ট করা এবং আপনার পাসওয়ার্ড প্রাপ্ত করতে সক্ষম হওয়াই বাস্তবে এটি করার মতো নয়।

আপনি যদি টুইটার, ফেসবুক, জিমেইল এবং আপনার ব্যাংকিংয়ের মতো সাইটগুলিতে দ্বি-ফ্যাক্টর প্রমাণীকরণ (এবং আপনার হওয়া উচিত) ব্যবহার করেন তবে আপনার অত্যধিক উদ্বিগ্ন হওয়া উচিত নয় এবং আপনি সম্ভবত ঠিক হিসাবে নাও থাকলেও।

আপনি যদি আপনার সমস্ত পাসওয়ার্ড পরিবর্তন করার প্রয়োজন বোধ করেন তবে আপনাকে এগিয়ে যেতে হবে এবং যেখানে আপনার নিজের প্রয়োজন মনে হয় সেখানে এটি করতে হবে। সত্যিই এটি আছে।


1
দ্বি-ফ্যাক্টর প্রমাণীকরণ কোনও দূষিত পক্ষকে এই শোষণের আশেপাশে সম্ভব এমন কিছু করতে বাধা দেবে না। আপনি যে কারণে এনেছিলেন তা নিশ্চিত নই। আপনার সামাজিক অ্যাকাউন্টগুলিতে অ্যাক্সেস অর্জন সত্যিই এমন কারও উদ্বেগের বিষয় নয় যে কোনওভাবেই ওপেনএসএসএলে এই শোষণের সুযোগ নিতে পারে।
রামহাউন্ড

1
@ রেহাউন্ড আমি মন্তব্যগুলি মুছে ফেলার আগে মন্তব্যে উল্লেখ করেছি, দুটি কারণ ফ্যাক্টর সাহায্য করে কারণ কোনও সাইটের কোনও নতুন সার্টি জারি করা হলে আক্রমণকারীটির কোনও পাসওয়ার্ড আর কার্যকর হয় না। কারণ একটি নতুন পাসওয়ার্ড জারি হওয়ার পরে এবং পাসওয়ার্ড পরিবর্তন করার কোনও অর্থ নেই (এবং সার্ভারগুলি প্যাচ করে) আপনি যা অর্জন করেন তা হ'ল তাত্ক্ষণিকভাবে সম্ভাব্য শংসাপত্র ফাঁস থেকে অ্যাকাউন্টটি পুনরায় সিকিউর করা যা আক্রমণকারীর ব্যক্তিগত কী থাকা অবস্থায় ঘটেছিল। এছাড়াও, টুইটার এবং ফেসবুক গুরুত্বপূর্ণ কারণ এগুলি আরও অনেক ওয়েবসাইটের জন্য সিঙ্গল সাইন হিসাবে ব্যবহার করা যেতে পারে (এই যে আমি বিশ্বাস করি এটি সহ)?
সাইরেক্স

পাসওয়ার্ডটি এখনও সহায়ক কারণ লোকেরা একই পাসওয়ার্ড ব্যবহার করে, হ্যাঁ, এমনকি 2-গুণক প্রমাণীকরণ ব্যবহার করে এমন লোকও ব্যবহার করে। যতক্ষণ আক্রমণকারী মূলত সেশন ডেটা ডাম্প করতে সক্ষম হয় ততক্ষণ তারা আপনার বিরুদ্ধে একটি এমআইটিএম আক্রমণ করতে পারে।
রামহাউন্ড

হ্যাঁ, তবে পাসওয়ার্ড পুনরায় ব্যবহার করা একটি পৃথক ব্যর্থতা। আমার কথাটি ছিল দুটি কারণ যা পরবর্তীকালের তীব্রতা এবং দীর্ঘায়ু হ্রাস করতে সহায়তা করে, তবে হ্যাঁ এটি সত্যিকারের বাগটি শোষণে সহায়তা করবে না।
সাইরেক্স

@ সিরেক্স যতদূর আমি কোনও সাইটকে বলতে পারি না যে আমি দ্বি-ফ্যাক্টর লেখার সাহায্যে লগ ইন করেছি আমার মেশিনের কুকিগুলিকে অবৈধ করেছে। এটি অবশ্যই তাদের পক্ষ থেকে ব্যর্থতা, তবে আমার বক্তব্যটি এই মুহুর্তে দ্বি-গুণক এথ কোনও ত্রাণকর্তা নয়। একজন আক্রমণকারী কুকিগুলি খুব সহজেই আটকাতে পারে এবং তাদের নিজস্ব অনুরোধে সেগুলি ব্যবহার করতে পারে। তদতিরিক্ত, যেহেতু এই বাগটি কেউ ব্যবহার করেছে কিনা তা জানার কোনও উপায় নেই (এমনকি সিস্টেম প্রশাসকদের জন্যও) কেবলমাত্র নিরাপদ অনুমান যে এটি ব্যবহার করা হয়েছিল। আমি উদাহরণস্বরূপ জানি যে বুধবার সকাল পর্যন্ত চেজ ডট কম এখনও দুর্বল ছিল। সম্ভবত আক্রমণকারীরা সেটিকে মিস করেছিল।
ক্রেজিস্টাস্টা
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.