ওয়েবের SSL নিরাপত্তা প্রোটোকলের মধ্যে পাওয়া আরও হোল্ড

নিরাপত্তা গবেষকরা কিছু খুঁজে পেয়েছেন ইন্টারনেটে যোগাযোগ নিরাপদ করার জন্য SSL (সিকিউর সকেটস লেয়ার) এনক্রিপশন প্রোটোকল ব্যবহার করে এমন সফ্টওয়্যারের গুরুতর ত্রুটিগুলি।

বৃহস্পতিবার লাস ভেগাসের ব্ল্যাক হ্যাট কনফারেন্সে, গবেষকরা কয়েকটি আক্রমণের সূচনা করে যা নিরাপত্তার সাথে আপস করতে পারে ওয়েব সাইট এবং ব্রাউজারের মধ্যে ট্র্যাফিক ট্র্যাফিক।

এই ধরনের আক্রমণ আক্রমণকারীকে পাসওয়ার্ডগুলি চুরি করতে, অন-লাইন ব্যাংকিং সেশনে হাইজ্যাক করতে পারে বা এমনকি ফায়ারফক্স ব্রাউজারের আপডেটকেও জাগ্রত করে, যা দূষিত কোডে রয়েছে। গবেষকরা বলেন।

[আরও পড়ুন: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

অনেক ব্রাউজার এসএলএল বাস্তবায়িত যে ভাবে মিথ্যা, এবং X.509 পাবলিক কী পরিকাঠামো সিস্টেম যা ব্যবহৃত ডিজিটাল সার্টিফিকেট পরিচালনা করতে ব্যবহৃত হয় একটি ওয়েব সাইট নির্ভরযোগ্য কিনা তা নির্ধারণের জন্য এসএসএল দ্বারা।

নিজেকে সুরক্ষিত করে একটি নিরাপত্তা গবেষক মোক্সি মার্লিনপাইক একটি এসএলএল ট্র্যাফিক ব্যবহার করে একটি নল-টার্মিনেশন শংসাপত্রকে ব্যবহার করে দেখায়। তার আক্রমণ কাজ করতে, Marlinspike প্রথমে একটি স্থানীয় এলাকার নেটওয়ার্কের উপর তার সফ্টওয়্যার পেতে হবে। একবার ইনস্টল করা হলে, এটি এসএলএল ট্র্যাফ্ট স্পট করে এবং ক্লায়েন্ট এবং সার্ভারের মধ্যে যোগাযোগ ছিন্ন করার জন্য তার বাতিল পরিসমাপ্তি সনদটি উপস্থাপন করে। এই ধরনের ম্যান-ইন-দ্য মিডিয়াল আক্রমণটি নিরীক্ষণযোগ্য নয়। তিনি বলেন।

মার্লিনসপিকের আক্রমণটি আরেকটি সাধারণ আক্রমণের অনুরূপ, যা এসকিউএল ইনজেকশন হামলার নামে পরিচিত, যা প্রোগ্রামে বিশেষভাবে তৈরি করা তথ্য পাঠায় যাতে এটিকে টিকিয়ে রাখার আশা এটা সাধারণত এটি করা উচিত নয় কিছু করছেন। তিনি দেখেছেন যে যদি তিনি তার নিজের ইন্টারনেট ডোমেনের জন্য সার্টিফিকেট তৈরি করেন যা নাল অক্ষরগুলি অন্তর্ভুক্ত করে - প্রায়ই একটি 0- এর সাথে প্রতিনিধিত্ব করে থাকে - কিছু প্রোগ্রাম শংসাপত্রগুলির ভুল ব্যাখ্যা দেয়।

যেহেতু কিছু প্রোগ্রাম একটি নকল অক্ষর দেখতে পায় তখন পাঠ করা বন্ধ করে দেয়। তাই www.paypal.com 0.thoughtcrime.org- এর কাছে জারি করা একটি শংসাপত্র www.paypal.com- এর সাথে সম্পর্কিত হিসাবে পড়তে পারে।

সমস্যাটি ব্যাপক, ইন্টারনেট এক্সপ্লোরার, ভিপিএন (ভার্চুয়াল প্রাইভেট নেটওয়ার্ক) সফটওয়্যারকে প্রভাবিত করে মার্লিনপাইক বলেছেন, ই-মেইল ক্লায়েন্ট এবং তাত্ক্ষণিক মেসেজিং সফটওয়্যার এবং ফায়ারফক্স সংস্করণ 3.

বিষয়টিকে আরও খারাপ করার জন্য গবেষকরা ড্যান কামিনস্কি এবং লেন সাসামম্যান রিপোর্ট করেছেন যে তারা বেশিরভাগ ওয়েব প্রোগ্রামগুলি অপ্রচলিত ক্রিপ্টোগ্রাফিক ব্যবহার করে জারিকৃত সার্টিফিকেটগুলির উপর নির্ভরশীল। প্রযুক্তি MD2 বলা হয়, যা দীর্ঘকাল অনিরাপদ বলে মনে করা হয়। এমডি ২ আসলে আসলে ফাটল ছিল না, কিন্তু এটি একটি নির্ধারিত আক্রমণকারী দ্বারা কয়েক মাসের মধ্যে ভেঙ্গে যেতে পারে, কামিনস্কি বলেন।

MD2 অ্যালগরিদম 13 বছর আগে ওয়ারিএসাইন দ্বারা স্ব-স্বাক্ষর করা হয়েছিল "কোর রুট সার্টিফিকেটগুলির মধ্যে একটি

ভেরিএসগনে পণ্য বিপণনের সহ-সভাপতি টিম কলান বলেন, "বৃহৎ সংখ্যক ওয়েব সাইট এই রুট ব্যবহার করে, সুতরাং আমরা প্রকৃতপক্ষে এটিকে হত্যা করতে পারি না বা আমরা ওয়েব ভেঙ্গে ফেলব না, "কামিনস্কি বলেন।

সফটওয়্যার নির্মাতারা তাদের পণ্যের MD2 সার্টিফিকেট বিশ্বাস করতে পারে না; তারা নাল-টার্মিনেশন আক্রমণের জন্য ঝুঁকিপূর্ণ না হওয়ার জন্য তাদের পণ্যগুলি প্রোগ্রাম করতে পারে। তবে আজ পর্যন্ত, ফায়ারফক্স 3.5 হচ্ছে একমাত্র ব্রাউজার যা বাতিলের সমস্যা সমাধান করেছে। গবেষকরা বলেছিলেন।

গত অর্ধ বছরে এটি দ্বিতীয়বার যে SSLটি যাচাইয়ের অধীনে এসেছে। গত বছরের শেষের দিকে গবেষকরা একটি প্রতারণাপূর্ণ সার্টিফিকেট কর্তৃপক্ষ তৈরির একটি উপায় খুঁজে পেয়েছেন, যেগুলি ফোনে এসএসএল সার্টিফিকেটের মুখোমুখি হতে পারে যা কোনও ব্রাউজারের দ্বারা বিশ্বাসযোগ্য হবে।

কামিনস্কি এবং সাসমান বলেছেন যে এসএসএল সার্টিফিকেটগুলি জারি যে তাদের অসুরক্ষিত। সমস্ত গবেষকরা একমত যে SSL- র জন্য সার্টিফিকেট পরিচালনার জন্য ব্যবহৃত x.509 সিস্টেমটি পুরনো নয় এবং এটি ঠিক করতে হবে।