ডিজিটালভাবে সাইন করা জাভা ব্যবহার করে ব্যবহারকারীদের হ্যাক করার জন্য সাইবার অপরাধীরা

সিকিউরিটি গবেষকরা সাবধান করে দেয় যে, স্যামসংক্রাইমরা জাভা কম্পিউটার ব্যবহার করে দূষিত কোডকে ব্রাউজারের ভিতরে চালানোর অনুমতি দিয়ে ব্যবহারকারীদের ঠকানোর জন্য ডিজিটাল সার্টিফিকেট দিয়ে স্বাক্ষর করে।

একটি স্বাক্ষরিত জাভা শোষণ সোমবার আবিষ্কার করা হয়েছিল জার্মানির প্রযুক্তি বিশ্ববিদ্যালয়ের চেমনিট্স বিশ্ববিদ্যালয়ের ওয়েবসাইটটি জি01 প্যাক নামে একটি ওয়েব শোষণের টুলকিট দ্বারা সংক্রমিত হয়েছে, নিরাপত্তা গবেষক এরিক রোমাং মঙ্গলবার একটি ব্লগ পোস্টে বলেছেন।

"এটি অবশ্যই 1 ম প্যাক," হুমকি বুদ্ধির পরিচালক জিন্দ্রিচ কুবেক অ্যান্টিভাইরাস বিক্রেতার আভস্ত, ইমেল মাধ্যমে বলেন এই স্বাক্ষরিত জাভা শোষণের প্রথম নমুনাটি ২8 ফেব্রুয়ারি সনাক্ত করা হয়। তিনি বলেন।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

এটি অবিলম্বে পরিষ্কার না হলে লক্ষ্যমাত্রাটি নতুন দুর্বলতা বা একটি পুরানো জাভা ফাঁক যে ইতিমধ্যে প্যাচ করা হয়েছে। ওরাকল সোমবার নতুন জাভা নিরাপত্তা আপডেটগুলি দুটি জটিল দুর্বলতা মোকাবেলার জন্য মুক্তি দেয়, যার মধ্যে একটি আক্রমণকারীরা দ্বারা সক্রিয়ভাবে শোষিত হচ্ছে।

জাভা শোষণ ঐতিহ্যগতভাবে স্বতন্ত্র অ্যাপলেট-জাভা ওয়েব অ্যাপ্লিকেশনের মাধ্যমে বিতরণ করা হয়েছে। জাভা সংস্করণে স্বয়ংক্রিয়ভাবে ব্যবহৃত এই অ্যাপলেটগুলি স্বয়ংক্রিয়ভাবে ব্যবহার করা হতো, যা হ্যাকাররা ড্রাইভ-দ্বারা ডাউনলোড আক্রমণ চালানোর অনুমতি দেয় যা শিকারের জন্য সম্পূর্ণ স্বচ্ছ ছিল।

জাভাতে শংসাপত্রের প্রত্যাহার পরীক্ষার সেটিংস 7

জানুয়ারীর রিলিজের শুরুতে জাভা 7 আপডেট 11 এর, ওয়েব-ভিত্তিক জাভা কন্টেন্টের জন্য ডিফল্ট নিরাপত্তা নিয়ন্ত্রণ উচ্চতর হয়, অ্যাপলেটগুলি ব্রাউজারের ভিতরে চালানোর আগে ব্যবহারকারীদের নিশ্চিত করার জন্য অনুরোধ করে, তারা ডিজিটাল স্বাক্ষরিত বা না থাকুক না কেন।

স্বাক্ষরযুক্ত স্বত্বাধিকারীগুলির উপর স্বাক্ষরিত নিরীক্ষণের মাধ্যমে আক্রমণকারীদের জন্য উপকারিতা প্রদান করা হয়, কারণ দুটি ক্ষেত্রে জাভা দ্বারা প্রদর্শিত নিশ্চিতকরণ ডায়ালগগুলি বেশ ভিন্ন। স্বাক্ষরিত জাভা অ্যাপলেটগুলির জন্য ডায়ালগগুলি আসলে "সিকিউরিটি সতর্কীকরণ" শিরোনাম।

ডিজিটাল স্বাক্ষরটি ব্যবহারকারীদের আশ্বস্ত করার একটি গুরুত্বপূর্ণ অংশ। এন্টিভাইরাস বিক্রেতার বিটডেফেন্ডারের একজন সিনিয়র ই-হুমকি বিশ্লেষক Bogdan Botezatu, ইমেলের মাধ্যমে বলেন, তারা আপনার কোড বিশ্বাস করতে পারে। স্বাক্ষরিত কোডের জন্য প্রদর্শিত নিশ্চিতকরণ ডায়ালগটি অনেক বেশি আলাদা এবং স্বতঃস্ফূর্ত কোডে প্রদর্শিত হ'ল হুমকি। তিনি বলেন।

"অতিরিক্তভাবে, জাভা নিজে স্বাক্ষরিত এবং স্বাক্ষরযুক্ত কোডগুলি স্বতন্ত্রভাবে পরিচালনা করে এবং নিরাপত্তামূলক বিধিনিষেধগুলি যথাযথভাবে প্রয়োগ করে," বোতজাতু মো। উদাহরণস্বরূপ, যদি জাভা নিরাপত্তা সেটিংসগুলি "খুব উচ্চ" -এ সেট করা হয়, তবে সাইন ইন করা অ্যাপলেটটি সব সময়ে চালানো হবে না, যদি ব্যবহারকারীর অ্যাকশন নিশ্চিত করা হলে সেগুলি অ্যাপলেট প্রদর্শিত হবে। কর্পোরেট পরিবেশে যেখানে খুব উচ্চ জাভা সুরক্ষা সেটিংস কার্যকর করা হয়, আক্রমণাত্মকদের লক্ষ্যবস্তু সিস্টেমে একটি দূষিত অ্যাপলেট চালানোর জন্য কোড সাইনিং একমাত্র উপায় হতে পারে, তিনি বলেন।

জাভাতে সাইন ইন করা জাভা অ্যাপলেটের জন্য নিরাপত্তা সতর্কতা উদাহরণ 7 আপডেট 17

এই নতুন জাভা ব্যাবহার এছাড়াও সত্য যে জাভা ডিফল্ট দ্বারা ডিজিটাল সার্টিফিকেট পুনর্বিবেচনার জন্য চেক করা হয় না আনা হয়েছে।

গবেষকরা পাওয়া শোষণ সোমবার সম্ভবত ডিজিটাল শংসাপত্রের সঙ্গে স্বাক্ষরিত হয় যে সম্ভবত চুরি করা হয় শংসাপত্রটি গ ড্যাডি কর্তৃক অস্টিন, টেক্সাসের ক্লিয়ারেজসাল্ট কনসাল্টিং নামে একটি কোম্পানীকে জারি করা হয় এবং পরবর্তীতে এটি 7 ডিসেম্বর ২01২ তারিখের মধ্যে প্রত্যাহার করা হয়েছিল।

শংসাপত্র পুনর্বিবেচনাগুলি পূর্বাভাসের সাথে প্রয়োগ করতে পারে এবং এটি ঠিক নয় যখন ড্যাডি প্রত্যাহারের জন্য শংসাপত্র যাইহোক, ২5 ফেব্র "য়ারি, এই শোষণের সবচেয়ে প্রাচীন নমুনাটি তিন দিন আগে সনাক্ত করা হয়েছিল, কোম্পানী দ্বারা প্রকাশিত শংসাপত্র প্রত্যাহার তালিকায় প্রত্যাখ্যাত হিসাবে সার্টিফিকেট ইতিমধ্যে তালিকাভুক্ত ছিল, কুবেক বলেছিলেন। এই সত্ত্বেও, জাভা সার্টিফিকেটটি বৈধ হিসাবে দেখায়।

"উন্নত নিরাপত্তা সেটিংস" বিভাগের অধীন জাভা কন্ট্রোল প্যানেলে "উন্নত" ট্যাবটিতে "শংসাপত্র প্রত্যাহার তালিকাগুলি ব্যবহার করে প্রত্যাহারের জন্য সার্টিফিকেট চেক করুন" (CRLs)) "এবং" অনলাইন শংসাপত্র বৈধকরণ সক্ষম করুন "- দ্বিতীয় বিকল্পটি OCSP (অনলাইন শংসাপত্র স্থিতি প্রোটোকল) ব্যবহার করে। এই অপশনগুলির উভয়ই ডিফল্টভাবে অক্ষম।

ওরাকলের এই সমস্যা সম্পর্কে কোনও মন্তব্য নেই, যুক্তরাজ্যে ওকল্যাণ্ডের পিআর এজেন্সি মঙ্গলবার ইমেল মাধ্যমে।

"সুবিধার জন্য নিরাপত্তা বেদনাদায়ক একটি গুরুতর নিরাপত্তা নিরীক্ষণ, বিশেষ করে জাভা সবচেয়ে নিখরচায় তৃতীয় পক্ষের অংশ নভেম্বর 2012 থেকে সফটওয়্যারের "বোতসাতু বলেন। যাইহোক, ওরাকল এইরকমই নয়, গবেষক বলেন, অ্যাডোব অ্যাডোব রিডার 11 এর একটি গুরুত্বপূর্ণ স্যান্ডবক্স মেকানিজমের সাথে ব্যবহারযোগ্যতা কারণে ডিফল্টভাবে নিষ্ক্রিয় করা হয়েছে।

Botezatu এবং Kubec উভয়ই বিশ্বাস করে যে আক্রমণকারীগণ ডিজিটালরূপে স্বাক্ষরিত জাভা ব্যবহার শুরু করবে জাভা এর নতুন নিরাপত্তা সীমাবদ্ধতা আরও সহজে বজায় রাখার জন্য ব্যবহার করে।

নিরাপত্তা ফার্ম বিট 9 সম্প্রতি হ্যাকাররা তার ডিজিটাল সার্টিফিকেটের একটি আপোষ করেছে এবং ম্যালওয়ার সাইন ইন করার জন্য এটি ব্যবহার করেছে। গত বছর, হ্যাকাররা অ্যাডোব থেকে একটি আপোস ডিজিটাল সার্টিফিকেট দিয়ে একই কাজ করেছিল।

সেইসব ঘটনা এবং এই নতুন জাভা ব্যাবহার হল প্রমাণ যে বৈধ ডিজিটাল সার্টিফিকেটগুলি বিদ্বেষপূর্ণ কোড সাইন আপ করতে পারে, Botezatu বলেন। এই প্রসঙ্গে, সার্টিফিকেট পুনর্বিবেচনাগুলি সক্রিয়ভাবে চেক করা বিশেষত গুরুত্বপূর্ণ কারণ এটি শংসাপত্রের আপোষের ক্ষেত্রে কেবলমাত্র ক্ষয়ক্ষতির জন্য উপলব্ধ। তিনি বলেন।

ব্যবহারকারীরা প্রতিদিন একটি ব্রাউজারে জাভা প্রয়োজন এমন গ্রাহককে শংসাপত্রের প্রত্যাহার চেকটি কার্যকর করা উচিত চুরি করা সার্টিফিকেটের শোষণের আক্রমণ থেকে রক্ষা করে, ইমেলের মাধ্যমে পোলিশ দুর্বলতা গবেষণা ফার্ম সিকিউরিটি এক্সপ্লোরেশনের প্রতিষ্ঠাতা অ্যাডাম গাউদিক বলেন নিরাপত্তা আবিষ্কারের গবেষকরা গত বছরের 50 জাভা দুর্বলতা খুঁজে পেয়েছেন এবং রিপোর্ট করেছেন।

ব্যবহারকারীরা অবশ্যই এই শংসাপত্রের প্রত্যাহারের বিকল্পগুলি সক্ষম করতে পারবেন, তাদের মধ্যে অনেকেই মনে করবে না যে তারা নিরাপত্তা আপডেটগুলি ইনস্টল করবেন না, Kubec বলেন । গবেষক আশা করেন যে ভবিষ্যতে আপডেটে Oracle স্বয়ংক্রিয়ভাবে ফিচারটি চালু করবে।