গবেষক: গুরুতর দুর্বলতাগুলির সাথে নিরাপত্তা ডিভাইসগুলি ঢুকে পড়েছে

ইমেল এবং ওয়েব গেটওয়ে, ফায়ারওয়াল, দূরবর্তী অ্যাক্সেস সার্ভার, UTM (সংযুক্ত হুমকি ব্যবস্থাপনা) সিস্টেম এবং অন্যান্য নিরাপত্তা যন্ত্রপাতি অধিকাংশ একটি নিরাপত্তা গবেষক, যিনি একাধিক বিক্রেতাদের থেকে পণ্য বিশ্লেষণ অনুযায়ী, গুরুতর দুর্বলতা আছে। এনএনসি গ্রুপের একটি অনুপ্রবেশ পরীক্ষক, বেন উইলিয়ামস, অনুযায়ী তার সবচেয়ে বড় নিরাপত্তা ডিভাইসগুলি তাদের উপর ইনস্টল করা অসুরক্ষিত ওয়েব অ্যাপ্লিকেশনগুলির সাথে লিনাক্স সিস্টেমে খারাপভাবে পরিচালিত হয়, যারা তার অ্যামস্টারডামে ব্ল্যাক হ্যাট ইউরোপ ২013 এর নিরাপত্তা সম্মেলনে বৃহস্পতিবার আবিষ্কার তাঁর বক্তৃতাটি "নিরাপত্তা পণ্যর বিকৃত শোষণ" শিরোনামের অন্তর্ভুক্ত ছিল।

উইলিয়ামস কয়েকজন প্রধান নিরাপত্তা বিক্রেতাদের কাছ থেকে পণ্যগুলি অনুসন্ধান করেছিলেন, সায়েন্টেক, সোফস, ট্রেন্ড মাইক্রো, সিএসও, বারকুডা, ম্যাকাফি এবং সিট্রিক্স। কিছু কিছু অনুপ্রবেশ পরীক্ষা অংশ হিসাবে বিশ্লেষণ, কিছু গ্রাহকদের জন্য পণ্য মূল্যায়ন অংশ হিসাবে, এবং অন্যদের তাদের অতিরিক্ত সময়।

[আরও পড়া: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার অপসারণ কিভাবে]

80% এর বেশি পরীক্ষিত পণ্য গুরুতর দুর্বলতা যে তুলনায় খুঁজে পাওয়া সহজ ছিল, অন্তত একটি অভিজ্ঞ গবেষক জন্য, উইলিয়ামস বলেন। এসব দুর্বলতাগুলি পণ্যগুলির ওয়েব ভিত্তিক ব্যবহারকারীর ইন্টারফেসে ছিল। তিনি বলেন।

প্রায় সব পরীক্ষিত নিরাপত্তা যন্ত্রের ইন্টারফেসের ফলে ব্রাইট-ফোর্স পাসওয়ার্ড ক্র্যাকিংয়ের বিরুদ্ধে কোনও সুরক্ষা ছিল না এবং ক্রস-সাইট স্ক্রিপ্টিং সংক্রান্ত ত্রুটিগুলি ছিল যা সেশন অপহরণের অনুমোদন দেয় । বেশিরভাগ ব্যবহারকারীই অবাঞ্ছিত ব্যবহারকারীদের কাছে পণ্যের মডেল এবং সংস্করণ সম্পর্কে তথ্য প্রকাশ করেন, যা আক্রমণকারীগুলিকে অপ্রয়োজনীয় বলে পরিচিত ডিভাইসগুলি আবিষ্কার করতে সহজ করে তুলতে পারে।

যেমন ইন্টারফেসে পাওয়া আরেকটি সাধারণ ধরনের দুর্বলতা ক্রস-সাইট অনুরোধ জালিয়াতি এই ধরনের ত্রুটিগুলি আক্রমণকারীরা দূষিত ওয়েবসাইটগুলিতে গিয়ে প্রমাণিত প্রশাসককে তিরস্কার করে প্রশাসনের ক্রিয়াকলাপগুলি অ্যাক্সেস করতে অনুমতি দেয়। অনেক ইন্টারফেসের দুর্বলতা ছিল যে কমান্ড ইনজেকশন এবং বিশেষাধিকার বর্ধিতকরণের অনুমতি দেয়।

ফ্লেস যে উইলিয়ামস কম ঘন ঘন ঘন ঘন প্রত্যক্ষ প্রত্যক্ষ প্রমাণীকরণ বাইপাস, আউট-অফ-ব্যান্ড ক্রস-সাইট স্ক্রিপ্টিং, অন সাইট অনুরোধ জালিয়াতি, পরিষেবা অস্বীকার এবং SSH মিসফর্মেশনের । তিনি আরও বলেন, আরও অনেক অস্পষ্ট বিষয় রয়েছে।

তার উপস্থাপনার সময়, উইলিয়ামস সোফস, সিমান্টেক এবং ট্রেন্ড মাইক্রো থেকে যে ডিভাইসগুলিতে সম্পূর্ণ নিয়ন্ত্রণ অর্জন করতে ব্যবহার করা হতো পণ্যগুলির উপর বিক্রেতাদের এবং ব্যবহারকারীদের জন্য তার ফলাফল এবং সুপারিশ সম্পর্কে আরও বিস্তারিত জানার সাথে একটি সাদা কাগজে এনসিসি গ্রুপ ওয়েবসাইটে প্রকাশিত হয়।

প্রায়ই ট্রেড শোতে, বিক্রেতারা দাবি করে যে তাদের পণ্যগুলি "কঠিনীকৃত" লিনাক্সে চালনা করে, উইলিয়ামস অনুযায়ী। তিনি বলেন, "আমি অসম্মতি করছি।"

বেশিরভাগ পরীক্ষিত যন্ত্রগুলি আসলে লিনাক্স সিস্টেমে পুরানো এবং পুরনো এবং অপ্রয়োজনীয় প্যাকেজ ইনস্টল করা হয়েছে, এবং অন্যান্য দুর্বল কনফিগারেশনের সাথে লিনাক্স সিস্টেমে খারাপভাবে পরিচালিত হয়েছে, উইলিয়ামস বলেন। তাদের ফাইল সিস্টেমগুলি "কঠিনীভূত" হয় না, যেমন কোনও অখণ্ডতা পরীক্ষা করা হয় না, SELinux বা AppArmour কার্নেলের নিরাপত্তা বৈশিষ্ট্যগুলি না, এবং এটি অ-লেখাযোগ্য বা অ এক্সেক্সেবল ফাইল সিস্টেমে পাওয়া অসম্ভব।

একটি বড় সমস্যা হল যে কোম্পানিগুলি প্রায়ই বিশ্বাস করে যে এই সরঞ্জামগুলি নিরাপত্তার বিক্রেতাদের দ্বারা তৈরি নিরাপত্তা পণ্যগুলি, তারা স্বতঃস্ফূর্তভাবে নিরাপদ, যা নিশ্চিতভাবে ভুল, উইলিয়ামস বলেন।

উদাহরণস্বরূপ, কোনও আক্রমণকারী যিনি একটি ইমেল নিরাপত্তা প্রয়োগে রুট অ্যাক্সেস পান তার চেয়ে আরও বেশি কিছু করতে পারে প্রকৃত প্রশাসক পারেন, তিনি বলেন। প্রশাসক ইন্টারফেসের মাধ্যমে কাজ করে এবং শুধুমাত্র স্প্যাম হিসাবে পতাকাঙ্কিত ইমেলগুলি পড়তে পারে, কিন্তু রুট শেল দিয়ে একটি আক্রমণকারী প্রয়োগের মাধ্যমে যে সমস্ত ইমেইল ট্র্যাফিক পাচ্ছে তা ক্যাপচার করতে পারে, তিনি বলেন। একবার আপস করা হলে, নিরাপত্তা ডিভাইস নেটওয়ার্ক স্ক্যান এবং নেটওয়ার্কের উপর অন্য দুর্বল সিস্টেমগুলির বিরুদ্ধে আক্রমণের জন্য বেস হিসেবেও কাজ করতে পারে।

ডিভাইসগুলিতে কীভাবে আক্রমণ করা যায় সেটি কীভাবে নেটওয়ার্কের ভিতরে স্থাপন করা যায় তা নির্ভর করে। পরীক্ষিত পণ্যগুলির 50 শতাংশেরও বেশি, বাহ্যিক নেটওয়ার্ক ইন্টারফেসে ওয়েব ইন্টারফেস চালু হয়, উইলিয়ামস বলেন।

যদিও, ইন্টারফেস ইন্টারনেট থেকে সরাসরি অ্যাক্সেসযোগ্য না থাকলেও, চিহ্নিত ত্রুটিগুলি প্রতিফলিত আক্রমণগুলির জন্য অনেকগুলি অনুমতি দেয়, যেখানে আক্রমণকারী স্থানীয় নেটওয়ার্কে অ্যাডমিনিস্ট্রেটর বা কোন ব্যবহারকারীকে একটি দূষিত পাতা দেখার জন্য বা একটি বিশেষভাবে পরিকল্পিত লিঙ্কটিতে ক্লিক করে যা তাদের ব্রাউজারের মাধ্যমে প্রয়োগের বিরুদ্ধে আক্রমণ চালায়।

কিছু ইমেল গেটওয়ের ক্ষেত্রে, আক্রমণকারী বিষয় লাইনে একটি ক্রস সাইট স্ক্রিপ্টিং দুর্বলতা জন্য কোড শোষণ একটি নৈপুণ্য এবং একটি ইমেল পাঠাতে পারেন। যদি ইমেল স্প্যাম হিসাবে অবরুদ্ধ থাকে এবং প্রশাসক এটি প্রয়োগের ইন্টারফেসে নজরদারি করে তবে কোডটি স্বয়ংক্রিয়ভাবে চালানো হবে।

এই ধরনের দুর্বলতাগুলি নিরাপত্তার পণ্যগুলিতে বিদ্যমান রয়েছে তা বিদ্রূপাত্মক, উইলিয়ামস বলেন। তবে, অ-নিরাপত্তা পণ্য নিয়ে পরিস্থিতি সম্ভবত খারাপ। তিনি বলেন।

এটা অসম্ভব যে, এই ধরনের ঝুঁকিগুলি গণআন্দোলনে শোষিত হবে, তবে নির্দিষ্ট কোম্পানীর বিরুদ্ধে লক্ষ্যবস্তু আক্রমণগুলিতে ব্যবহার করা যেতে পারে যা দুর্বল প্রবণতা ব্যবহার করে। শিল্প গুপ্তচরবৃত্তি লক্ষ্য সঙ্গে রাষ্ট্র স্পন্সর আক্রমণকারীদের দ্বারা, গবেষক বলেন।

চীনা নেটওয়ার্কিং বিক্রেতা Huawei চীনা সরকার অনুরোধে তার পণ্য লুকানো backdoors ইনস্টল করা হতে পারে বলে কিছু আওয়াজ আছে, উইলিয়ামস বলেন। তবে, বেশিরভাগ পণ্যগুলিতে ইতিমধ্যেই বিদ্যমান দুর্বলতার মতো, একটি সরকার সম্ভবত আরও বেশি যোগ করতে হবে না। তিনি বলেন।

নিজেদের রক্ষা করার জন্য, কোম্পানিগুলিকে ওয়েব ইন্টারফেস বা এসএসএল পরিষেবা চালু করা উচিত নয় পণ্য ইন্টারনেটে, গবেষক বলেন। ইন্টারফেস অ্যাক্সেস অভ্যন্তরীণ নেটওয়ার্কের জন্য সীমাবদ্ধ করা উচিত কারণ কিছু আক্রমণ প্রতিফলিত প্রকৃতি।

অ্যাডমিনিস্ট্রেটরদের সাধারণ ব্রাউজিং এবং ওয়েব ইন্টারফেসের মাধ্যমে সরঞ্জাম পরিচালনার জন্য একটি পৃথক এক ব্রাউজার ব্যবহার করা উচিত, তিনি বলেন। তিনি বলেন, ফায়ারফক্সের মতো ব্রাউজার ব্যবহার করে নক্সক্রাইটিস নিরাপত্তা এক্সটেনশন ইনস্টল করা উচিত। তিনি বলেন।

উইলিয়ামস বলেন তিনি ক্ষতিগ্রস্ত বিক্রেতাদের কাছে যে দুর্বলতাগুলি আবিষ্কার করেছেন তা তিনি উল্লেখ করেছেন। তাদের প্রতিক্রিয়া বিভিন্ন, কিন্তু সাধারণভাবে বড় বিক্রেতারা রিপোর্ট পরিচালনার, ত্রুটিগুলি ফিক্স এবং তাদের গ্রাহকদের সাথে তথ্য ভাগ করে নেওয়ার সর্বোত্তম কাজ করে। তিনি বলেন।