বিপজ্জনক নিরাপত্তা ফ্ল্যাক সম্ভবত সম্ভবত একটি ছোঁড়া

SANS ইন্টারনেট স্টর্ম সেন্টারের একজন বিশ্লেষকের মতে ইন্টারনেটে সার্ভারে সুরক্ষিতভাবে সংযুক্ত হওয়ার জন্য একটি প্রোগ্রামে সফটওয়্যার দুর্বলতা একটি হ্যাক হতে পারে।

প্রোগ্রাম, যা OpenSSH নামে পরিচিত সিকিউর শেল), দশটি সার্ভারে তৈরি করা হয় যেমন রেড হ্যাট, হিউলেট প্যাকার্ড, অ্যাপল এবং আইবিএম। এটি অন্য কম্পিউটারের সাথে এনক্রিপ্ট করা সংযোগ তৈরি করার জন্য অ্যাডমিনিস্ট্রেটরদের দ্বারা ব্যবহৃত হয় এবং দূরবর্তী অবস্থানগুলি আপডেট করার মতো কাজ করে OpenSSH হল মুক্ত-উৎস সংস্করণ, এবং প্রোগ্রামের বাণিজ্যিক সংস্করণ রয়েছে।

এই সপ্তাহের শুরুতে, SANS একটি শূন্য দিনের ঝুঁকির মুখে OpenSSH- এ একটি বেনামী ই-মেইল পেয়েছে, যার মানে সফ্টওয়্যারের একটি ত্রুটি ইতিমধ্যেই আছে এটা পাবলিক হয়ে হিসাবে শোষিত হচ্ছে এটির সবচেয়ে বিপজ্জনক ধরনের সফটওয়্যার দুর্বলতার কারণ এটি এখনও এর জন্য কোন সমাধান নেই এবং খারাপ লোকরা এটি সম্পর্কে জানে।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

একটি সত্য শূন্য দিনের দুর্বলতা OpenSSH ইন্টারনেটের জন্য বিধ্বংসী হতে পারে, যেহেতু হ্যাকাররা সার্ভার এবং পিসিগুলিতে অ্যাক্সেস করতে না পারায় একটি ওয়ার্কআরে বা প্যাচ তৈরি না হওয়া পর্যন্ত

"তাই আমি মনে করি মানুষ প্রকৃতপক্ষে একটি প্যানিকের বেশ কিছুটা তৈরি করছে" ইনফিগোর একটি সেন্স বিশ্লেষক এবং সিনিয়র তথ্য নিরাপত্তা পরামর্শদাতা Bojan Zdrnja, ক্রোয়েশিয়া জাগরেব, একটি নিরাপত্তা এবং অনুপ্রবেশ পরীক্ষার কোম্পানী। "জনগণকে এখনই ভীতি দেখা উচিত নয়। এই সময়ে কোনও বিষয় নেই যে বন্য পরিবেশে ব্যবহার করা হচ্ছে।"

সত্যিকারের শূন্য-দিনের দুর্বলতার প্রমাণ, OpenSSH দুর্বল, Zdrnja বলেন। এতদূর, বিশ্লেষকরা একটি ওয়াইফ সার্ভার নিয়ন্ত্রণ করতে পারবেন এমন একটি শূন্য দিন দেখতে পেয়েছে এমন একটি গোষ্ঠীকে বলা হয় এন্টি সেক নামে একটি গ্রুপ। হ্যাকের বিশদ বিবরণ সম্পূর্ণ ডিসক্লোজারে পোস্ট করা হয়েছে, যা নিরাপত্তার তথ্যের জন্য অনির্বাচিত ফোরাম।

আরও বিস্তারিত জানার জন্য, অ্যান্টি-সেকার অংশ হওয়ার দাবি করে একজন ব্যক্তি IDG নিউজ সার্ভিসে একটি ই-মেইল লিখেছে "আমি 'প্রকৃতপক্ষে শোষণের (অথবা কিনা তা বিদ্যমান না) নিয়ে আলোচনা করার অনুমতি দেওয়া হয়নি', '' অ্যানোনিমাস '' স্বাক্ষরিত হয়েছিল।

জেনারন্যজা বলেন যে একই দলটি সম্প্রতি আরেকটি সার্ভারের সাথে আপোস করেছিল, তবে এটি একটি প্রাণঘাতী আক্রমণ OpenSSH- র। একটি প্রাণঘাতী বল আক্রমণ যেখানে একটি সার্ভার অ্যাক্সেস পেতে একটি হ্যাকার প্রমাণীকরণ প্রমাণপত্রাদি অনেক সমন্বয় চেষ্টা করে। যদি কোন অ্যাডমিনিস্ট্রেটর সহজ লগইন এবং পাসওয়ার্ডগুলি ব্যবহার করে থাকেন তবে এটি সার্ভারটিকে একটি প্রাণঘাতী আক্রমণের শিকারে পরিণত করে, Zdrnja বলেন।

আপোসহীন সার্ভার উভয়ই একই ব্যক্তির দ্বারা চালানো হয়েছিল। "আমি মনে করি আমরা এখানে যেভাবে কাজ করছি তা হল নিজেদের মধ্যে একটি যুদ্ধে দুটি হ্যাকার," Zdrnja বলেন।

কিন্তু এমন কিছু কারণ রয়েছে যা OpenSSH এর জন্য শূন্য দিন নির্দেশ করে না। যদি জিরো-ডে অস্তিত্ব হ'ল, হ্যাকাররা সম্ভবত এটি একটি সাম্প্রতিকতম ব্রাউজারের তুলনায় আরো বেশি হিপ-প্রোফাইল সার্ভারের তুলনায় বেশি ব্যবহার করতে পারে, যা ZDRNJA এর সাথে আপোস করেছিল।

OpenSSH এর ডেভেলপার, ড্যামিয়েন মিলারের একটি, এছাড়াও ঠান্ডা পানি ছুঁড়েছে একটি শূন্য দিনের সম্ভাবনা নেভিগেশন মিলার একটি OpenSSH ফোরামে বুধবার লিখেছিলেন যে তিনি শূন্য দিনের একটি অভিযুক্ত শিকারের সাথে ই-মেইলগুলি বিনিময় করেছিলেন, কিন্তু হামলা "সহজ শত্রু বাহিনী" হওয়ার কথা বলেছিলেন।

"সুতরাং, আমি দৃঢ়ভাবে বিশ্বাস করি না যে শূন্য দিন সব সময়ে বিদ্যমান, "মিলার লিখেছেন। "কেবলমাত্র কিছু অজ্ঞাত পরিস্ফুটন এবং অযৌক্তিক অনুপ্রবেশের লিপি রয়েছে।"

শূন্য দিন এবং শূন্য দিনে একটি ভিন্ন ঝুঁকির মধ্যেও কিছু বিভ্রান্তি আছে বলে মনে হয়, জেড্রারঞ্জা বলেন। যে দুর্বলতা, যা এখনও unpatched হিসাবে, একটি আক্রমণকারী যাও স্ট্যান্ডার্ড কনফিগারেশনে SSH প্রোটোকল ব্যবহার করে সুরক্ষিত একটি সংযোগ থেকে একটি সাইফ্ট টেক্সটের একটি অবাধ ব্লক থেকে প্লেইন টেক্সট 32 বিট আপ পুনরুদ্ধার করতে পারে, ইউকে ' ন্যাশনাল ইনফ্রাস্ট্রাকচার অব সুরক্ষা (সিপিএনআই) এর কেন্দ্র।

সিপিএনআই অনুযায়ী, দুর্বলতার তীব্রতাটি উচ্চ বিবেচনা করা হলেও, সফল শোষণের সম্ভাবনা কম। Zdrnja বলেন প্রশাসকদের একটি সফল আক্রমণের বিরুদ্ধে সুরক্ষার জন্য পাবলিক এবং প্রাইভেট কী ব্যবহার করে OpenSSH মধ্যে শক্তিশালী প্রমাণীকরণ প্রক্রিয়া বাস্তবায়ন করতে পারেন একটি অ্যাডভাইসারিতে, OpenSSH বলেছে যে সফল আক্রমণের সম্ভাবনা কম ছিল।