আপনার ফেসবুক একাউন্টটি চুরি করতে পারে এমন একটি ছবি

লাস ভেগাসে ব্ল্যাক হ্যাট কম্পিউটার নিরাপত্তা সম্মেলনে আগামী সপ্তাহে গবেষকরা তাদের উন্নত সফটওয়্যারটি প্রদর্শন করবে যা জনপ্রিয় ওয়েব সাইট যেমন ফেসবুক, ইবে এবং গুগল থেকে অনলাইন শংসাপত্র চুরি করতে পারবে।

আক্রমণটি একটি নতুন ধরনের হাইব্রিড ফাইলের উপর নির্ভর করে যা বিভিন্ন প্রোগ্রামের বিভিন্ন জিনিসগুলির মত দেখাচ্ছে। ওয়েব ফাইলগুলিতে এই ফাইলগুলি স্থাপন করে ব্যবহারকারীরা তাদের নিজস্ব ইমেজ আপলোড করতে পারবেন, গবেষকরা নিরাপত্তার ব্যবস্থাকে প্রতিহত করতে এবং এই সাইটগুলি ব্যবহার করে এমন ওয়েব সার্ফারের অ্যাকাউন্টগুলি গ্রহণ করতে পারে।

"আমরা একটি জাভা দিয়ে আসার চেষ্টা করেছি এনএইচএস সফটওয়্যারের গবেষণা বিভাগের সহ-সভাপতি জন হেসম্যান বলেন, "এই ধরনের ফাইলটি জিআইএফএর (GIFAR), জিআইএফ (গ্রাফিক্স ইন্টারচেঞ্জ ফরম্যাট) এবং জার (জাভা আর্কাইভ) এর সংকোচন বলে।), মিশ্রিত দুটি ফাইল-ধরনের। ব্ল্যাক হ্যাট এ, গবেষকরা অংশগ্রহণকারীদের দেখাবে যে কোনও বৃহৎ আক্রমণে তা অবিলম্বে ব্যবহার করা থেকে আটকানোর জন্য কিছু কী বিশদ বিবরণ বাদ দিয়ে GIFAR তৈরি করা যায়।

ওয়েব সার্ভারে, ফাইলটি.gif ফাইলের মতই দেখায়, তবে একটি ব্রাউজারের জাভা ভার্চুয়াল মেশিনটি এটি একটি জাভা আর্কাইভ ফাইল হিসাবে খুলবে এবং তারপর এটি একটি অ্যাপলেট হিসাবে চালাবে। যে আক্রমণকারীর ব্রাউজারে জাভা কোড চালানোর একটি সুযোগ দেয় এর অংশে, ব্রাউজার এই দূষিত অ্যাপলেটটি ব্যবহার করে যেমনটি ওয়েব সাইট এর ডেভেলপারদের দ্বারা লিখিত হয়।

এখানে কীভাবে একটি আক্রমণ কাজ করবে: খারাপ লোকরা এই জনপ্রিয় ওয়েব সাইটগুলির একটি প্রোফাইল তৈরি করবে - উদাহরণস্বরূপ ফেসবুক - এবং সাইটে একটি ইমেজ হিসাবে তাদের GIFAR আপলোড। তারপর তারা শিকারকে একটি দূষিত ওয়েব সাইটে পরিদর্শন করতে চাইবে, যা শিকারের ব্রাউজারকে GIFAR খুলতে বলবে। সেই সময়ে, অ্যাপলেটটি ব্রাউজারে চালানো হবে, যার ফলে খারাপ লোকরা ফেসবুকে অ্যাকাউন্ট অ্যাক্সেসের সুযোগ পাবে।

যে কোনও সাইট যে ব্যবহারকারীরা ফাইলগুলি আপলোড করতে পারবেন, সেগুলি সম্ভবত আপলোড করার জন্য ব্যবহৃত ওয়েব সাইটগুলিতেও। ব্যাংকিং কার্ডের ফটোগুলি বা এমনকি আমাজন ডটকম। তারা বলে।

জিআইএফয়ারগুলি জাভা দ্বারা খোলা হয় কারণ, অনেক ধরনের ব্রাউজারে এটি খোলা যায়।

এক ধরা আছে, তবে আক্রমণকারীকে কাজ করার জন্য ইমেজ হোস্ট করার জন্য ওয়েব সাইটে লগ ইন করতে হবে। "দীর্ঘসময় ধরে আপনি লগ ইন করেন যেখানেই আক্রমণটি আপনার পক্ষে সবচেয়ে ভালভাবে কাজ করে যাচ্ছে," হেসম্যান বলেন।

GIFAR আক্রমণকে হ্রাস করা যেতে পারে এমন কয়েকটি উপায় আছে। ওয়েব সাইটগুলি তাদের ফিল্টারিং সরঞ্জামগুলিকে গুনতে পারে যাতে তারা হাইব্রিড ফাইলগুলিকে স্পট করে। বিকল্পভাবে, সূর্য এই ঘটনায় বাধা দেওয়ার জন্য জাভা রানটাইম পরিবেশকে শক্ত করে তুলতে পারে। গবেষকরা আশা করেন যে সূর্যকে তার ব্ল্যাক হ্যাট টক এর পরেও ফিক্স করা হবে না।

কিন্তু গবেষকরা বলছেন যে যখন একটি জাভা ফিক্স এই এক আক্রমণ ভেক্টরকে নিষ্ক্রিয় করে দেয়, তখন বৈধ ওয়েব অ্যাপ্লিকেশনের উপর স্থাপিত দূষিত সামগ্রী সমস্যাটি অনেক বেশি বড় এবং thornier সমস্যা। "অন্য প্রযুক্তির সাথে এটি করার অন্য উপায় থাকবে," গিফার ডেভেলপার নাথান ম্যাকফেটস বলেন, "আর্নেস্ট অ্যান্ড ইয়াং'স অ্যাডভান্সড সিকিউরিটি সেন্টারের একজন গবেষক।

" দীর্ঘমেয়াদে ওয়েব অ্যাপলিকেশনগুলি নিয়ন্ত্রণ করতে হবে বিষয়বস্তু, "McFeters বলেন। "এটি একটি ওয়েব অ্যাপ্লিকেশন বিষয়। আমরা বর্তমানে ব্যবহার করা হয় যে জাভা আক্রমণ যে শুধুমাত্র একটি ভেক্টর হয়।"

তিনি এবং তার সহকর্মী ব্ল্যাক হ্যাট উপস্থাপক তাদের আলাপ হয় ইন্টারনেট বিরতি আছে।

পরিশেষে, ব্রাউজার নির্মাতারা হবে তাদের সফটওয়্যারে কিছু মৌলিক পরিবর্তনের জন্যও, হোয়াইট হ্যাট সিকিউরিটির প্রধান টেকনোলজি কর্মকর্তা জেরোমিয়া গ্রসম্যান বলেন। "এটা না যে ইন্টারনেট ভাঙ্গা হয় না," তিনি বলেন। "এটা যে ব্রাউজার সুরক্ষা ভাঙ্গা হয়। ব্রাউজার সুরক্ষা সত্যিই একটি অক্সিজেন।"