আপডেটস 2014-04-11
ক্লাউডফ্লেয়ার যাচাই করে নেওয়া চ্যালেঞ্জ সেট আপ করেছিল যে প্রাইভেট কী কী নিষ্কাশন আসলে সম্ভব ছিল। এটি প্রায় 100 হাজার অনুরোধের সাথে সম্পন্ন হয়েছে এবং এটি ভয়টিকে যাচাই করে। এটি আর তাত্ত্বিক নয়, প্রমাণিত । আপনি এটি সম্পর্কে পড়তে এখানে যেতে পারেন ।
এছাড়াও, ব্লুমবার্গ জানিয়েছে যে এনএসএ কমপক্ষে দুই বছর ধরে এই শোষণ সম্পর্কে জানে । এনএসএর এমন বিশ্লেষকদের নিয়োগের সংস্থান রয়েছে যার একমাত্র কাজ হ'ল এই জাতীয় সফটওয়্যারগুলির শোষণ অনুসন্ধান করা। এখন যেহেতু আমরা জানি যে মার্কিন সরকার এত দিন ধরে এটির ব্যবহার করে যাচ্ছিল যে অন্যান্য রাজ্যগুলি এটি জানত এবং শোষণ করেছিল তা যথেষ্ট তাৎপর্যপূর্ণ।
টিএল; ডিআর
সংস্থা সংস্থাগুলির তাদের সিস্টেমগুলির স্থিতি সম্পর্কিত ঘোষণার জন্য নজর রাখে, আপনার সমস্ত পাসওয়ার্ড পরিবর্তন করে
এবং ব্যাংকিং বা অন্যান্য আর্থিক সিস্টেমের মতো গুরুত্বপূর্ণ অ্যাকাউন্টগুলিতে জালিয়াতি / সন্দেহজনক কার্যকলাপের জন্য নজর রাখে।
পরিস্থিতি কেন এত বিপজ্জনক তা বুঝতে আমাদের প্রথমে বুঝতে হবে এই আক্রমণটি আসলে কী করে। CVE-2014-0160, একেএ হার্টলেবড, বাফার ওভারড্রিড বাগ যা আক্রমণকারীকে ওপেনএসএসএল এর একটি দুর্বল সংস্করণ চালিত সার্ভার থেকে 64 কেবি মেমরি পেতে দেয়।
সত্যিই খারাপ লাগছে। এটি অনুশীলনে কীভাবে কাজ করে
আপনি ঠিক বলেছেন, এটি একটি গুরুতর ত্রুটি, তবে আমরা এটির পরে ফিরে আসব। এই মুহূর্তে আসুন কেন শোষণ কাজ করে তা নিয়ে কথা বলা যাক। পরিবহন স্তর সুরক্ষা (টিএলএস) HTTP ( HTTPS ) সহ অনেক অ্যাপ্লিকেশন দ্বারা তথ্য সুরক্ষিত করতে বা এসএমটিপি সুরক্ষিত করতে ব্যবহৃত হয়যদি উদাহরণস্বরূপ সক্ষম হয়। টিএলএসের মান নির্ধারণকারী আরএফসি 5246-তে, একটি কার্যকারিতা রয়েছে যা হার্টবিট হিসাবে পরিচিত। ক্লায়েন্ট এবং সার্ভার সংযোগটি বাঁচিয়ে রাখতে কিছু ডেটা পিছনে পিছনে প্রেরণ করে যাতে এটি পরে ব্যবহার করা যায়। এখন অনুশীলনে ক্লায়েন্ট কিছু ডেটা প্রেরণ করবে এবং সার্ভারটি কেবল এটি ফেরত পাঠাবে, এবং সবকিছু দুর্দান্ত। তবে ক্ষতিগ্রস্থ ওপেনএসএসএল সংস্করণগুলিতে ক্লায়েন্টটি এটি যে পরিমাণ ডেটা বলেছে তা আসলে পাঠিয়েছিল কিনা তা দেখার কোনও পরীক্ষা নেই। সুতরাং আমি যদি এটি 1 বাইট প্রেরণ করি এবং সার্ভারকে বলি যে আমি এটি 64 কেবি আসলে পাঠিয়েছি তবে এটি সুখে আমাকে 64 কেবি পাঠাতে চলেছে। এই অন্যান্য বাইট কোথা থেকে আসে? এটি ঠিক সেখানে সমস্যার মূল চাবিকাঠি। আপনার 1 বাইট কোথায় সংরক্ষণ করা হয়েছে তার উপর নির্ভর করে ওপেনএসএসএল আপনাকে 64 কেবি - 1 বাইটের মেমরির প্রক্রিয়ায় অ্যাক্সেস দিয়েছে এবং আপনি প্রাথমিকভাবে প্রেরণ করেননি আপনাকে ফেরত পাঠাতে চলেছে।ব্যক্তিগত কী উপাদান - সার্ভারটি ব্যবহারের জন্য ডিক্রিপ্ট করছে। এর উদাহরণগুলি হ'ল: পাসওয়ার্ড, ক্রেডিট কার্ডের তথ্য এবং / অথবা পিন ।
ঠিক আছে. তথ্য সুরক্ষার জন্য এর অর্থ কী?
যদি আপনি বুঝতে পারেন যে কীভাবে অসম্পূর্ণ ক্রিপ্টোগ্রাফি কাজ করে তবে আপনি ইতিমধ্যে জানেন যে এটি মারাত্মক কারণ প্রকাশটি এনক্রিপশনকে অবহেলা ছাড়া আর কোনও রেন্ডার করে না। এর অর্থ হ'ল যদিও সার্ভারগুলি প্যাচ করা হতে পারে এবং মেমরি ফাঁস না করে, সেশনগুলি এখনও নিরাপদ হতে পারে। এটি সম্ভবত প্রকাশ্যে জানা যাওয়ার আগে বা প্যাচিংয়ের সময় এটি ব্যবহার করা হয়েছিল, তবে আক্রমণটি হয়েছে কিনা তা প্রমাণ করার জন্য বর্তমানে কোনও পদ্ধতি প্রমাণিত হয়নি। এটা সম্ভব যে আইডিএসের জন্য নিয়মগুলি উপলভ্য হয়ে উঠতে পারে, তবে এখনকার ক্ষেত্রে তা নয়। আইডিএস বিধি প্রকাশ করা হয়েছে । এটি নিজেই অত্যন্ত বিপজ্জনক, কারণ অপারেটররা তাদের কীগুলি এখনও নিরাপদ কিনা তা জানেন না।
আমরা ধরে নিতে বাধ্য হলাম যে কীগুলি ফাঁস হয়েছে, এর অর্থ এটি সম্ভব যে আপনি তারের মধ্য দিয়ে প্রেরণ করা সমস্ত কিছু তৃতীয় পক্ষের দ্বারা ডিক্রিপ্ট করা যেতে পারে। এটিকে প্রশমিত করার একমাত্র উপায় হ'ল পুরানোগুলি বাতিল করে দেওয়ার সময় কীগুলি পুনরায় জেনারেট করা এবং নতুন শংসাপত্রগুলি পুনরায় জারি করা। দুর্ভাগ্যক্রমে, এটি সময় নেয় কারণ এই মুহুর্তে সিএগুলি এই অনুরোধগুলির সাথে প্লাবিত হওয়ার সন্দেহ নেই। তবুও এটি মধ্য-মধ্যবর্তী আক্রমণ , বা অন্যান্য ফিশিংয়ের সুযোগের সম্ভাবনা ছেড়ে দেয় ।
এটি কখন নিরাপদ থাকবে?
এটি কখন নিরাপদ হবে তা জানা শক্ত প্রশ্ন। কিছু জিনিস যা আমি দেখার পরামর্শ দিচ্ছি তা জনসাধারণের ঘোষণাগুলি হ'ল ব্যাখ্যা করে যে বাগটি তাদের পরিবেশে প্যাচ করা হয়েছে বা সেগুলি কখনও ঝুঁকিপূর্ণ নয়, কারণ তারা প্রভাবিত সংস্করণগুলি কখনও ব্যবহার করেনি। যখন তারা ঘোষণা করেছে যে তারা ওপেনএসএসএল এর একটি নতুন সংস্করণে আপগ্রেড করেছে আমি নিশ্চিত হয়েছি যে তারা 2014-04-07-এর শোষণের প্রকাশের তারিখের পরে স্বাক্ষরিত একটি নতুন শংসাপত্র ব্যবহার করছে ।
** নোট করুন যে আগে রেকর্ড করা ট্র্যাফিকটি ডিক্রিপ্ট করা যেতে পারে যদি পরে ব্যক্তিগত কীটি ফাঁস হয়।
নিজেকে রক্ষার জন্য আমি ব্যবহারকারী হিসাবে কী করতে পারি
পরবর্তী কয়েক দিন আপনি যদি অনলাইন ব্যাংকিং বা অনলাইন মেডিকেল চার্ট অ্যাক্সেসের মতো সমালোচনামূলক সাইটগুলি এড়াতে পারেন তবে আমি আপনাকে এটি করার পরামর্শ দিচ্ছি। যদি আপনার অবশ্যই এটি বুঝতে হয় যে আপনার সেশনটি সম্ভাব্য ঝুঁকির মধ্যে রয়েছে এবং এর পরিণতিগুলি মেনে নিতে প্রস্তুত। এছাড়াও, সংস্থাগুলি ঘোষণা করে যে তারা আর অরক্ষিত নয় আপনার নিজের পাসওয়ার্ড পরিবর্তন করা উচিত ; একটি পাসওয়ার্ড ব্যবস্থাপক ব্যবহার সাহায্য করতে পারে। আপনার ব্যাঙ্কের বিবরণ বা ক্রেডিট কার্ড নম্বরগুলির মতো আপনি যে কোনও তথ্য ব্যবহার করেছেন তা পরিবর্তন করতে বা নিরীক্ষণের জন্যও প্রস্তুত হওয়া উচিত।
কর্মীদের বিশেষ নোটিশ
টোর সহ ওপেনএসএসএল ব্যবহার করে এমন কোনও কিছুই আক্রান্ত হতে পারে । এটি সম্ভব যে দু'বছর আগে ওপেনএসএসএল প্রকাশের ক্ষেত্রে সরকারগুলি এই ত্রুটিটি ব্যবহার করতে সক্ষম হয়েছে কারণ তাদের এরূপ শোষণের জন্য প্রয়োজনীয় বিস্তৃত সংস্থান থাকবে এবং যেমন আপনাকে প্রস্তুত থাকতে হবে যাতে তথ্যগুলি পারে আর ব্যক্তিগত থাকবেন না।
** নোট করুন যে পূর্বে রেকর্ডকৃত ট্র্যাফিকটি ডিক্রিপ্ট করা যেতে পারে যদি প্রাইভেট কীটি পরে লিক না করা হত নিখুঁত ফরোয়ার্ড সিকিউরিটি (পিএফএস) প্রয়োগ না করা হয়।
¹- এমন দাবি করা হয়েছে যে এটি সম্ভবত ব্যক্তিগত কীগুলি মেমরির মধ্যে থাকবে না, তবে একই সময়ে সফল কী নিষ্কাশনের দাবিও রয়েছে। এই মুহুর্তে এটি অনিশ্চিত যে কোন দিকটি সঠিক।