গবেষকরা ডেভিয়েট ফাইন্ডিং আক্রমণের শিকার হন

গ্রাফিক: ডিয়েগো অ্যাগুইরে প্রায় ২00 সোনি প্লেস্টেশনগুলির সাহায্যকারী, একটি আন্তর্জাতিক নিরাপত্তা সুরক্ষার দল নিরাপদ ওয়েব সাইটগুলি সুরক্ষিত করার জন্য আলগোরিদমকে দুর্বল করার একটি উপায় তৈরি করেছে এবং এটি প্রায় নিরীক্ষণশীল ফিশিং আক্রমণ চালায়।

এটি করার জন্য, তারা একটি বাগ ব্যবহার করেছে ওয়েব সাইট দ্বারা ব্যবহৃত ডিজিটাল সার্টিফিকেটগুলি প্রমাণ করার জন্য তারা যে তারা দাবি করে এমডি 5 হ্যাশিং অ্যালগরিদমের পরিচিত ত্রুটিগুলি তুলে ধরে এই কয়েকটি সার্টিফিকেট তৈরি করতে ব্যবহার করা হয়েছে, গবেষকরা হতাশ হচ্ছেন ওয়েরিসাইনের র্যাপিডসএলএল.কম সার্টিফিকেট কর্তৃপক্ষ এবং ইন্টারনেটে যেকোনো ওয়েব সাইটে জাল ডিজিটাল সার্টিফিকেট তৈরি করতে পারবেন।

হ্যাশস ব্যবহার করা হয় একটি নথি জন্য একটি "আঙ্গুলের ছাপ" তৈরি করতে, একটি সংখ্যা যে একটি নির্দিষ্ট নথি সনাক্ত করা অনুমিত অনুমিত হয় এবং সহজে যাচাই করা হয় যে নথি ট্রানজিট মধ্যে সংশোধন করা হয় নি। এমডি 5 হ্যাশিং অ্যালগরিদম, যদিও, একই হ্যাশ ভ্যালু আছে এমন দুটি পৃথক নথি তৈরি করা সম্ভব করে তোলে, এটি ত্রুটিপূর্ণ। এইভাবে কেউ ফিশিং সাইটের জন্য একটি শংসাপত্র তৈরি করতে পারেন যা একই ফিঙ্গারপ্রিন্টটি জেনুইন সাইটের জন্য শংসাপত্র হিসাবে রয়েছে।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

প্লেস্টেশন 3 মেশিনের তাদের খামার ব্যবহার করে, গবেষকরা একটি "দুর্বৃত্ত প্রাতিষ্ঠানিক কর্তৃপক্ষ" তৈরি করে যা পরে বোগাস সার্টিফিকেটগুলি প্রকাশ করতে পারে যা কার্যত কোনও ব্রাউজারের দ্বারা বিশ্বস্ত হবে। প্লেস্টেশন এর সেল প্রসেসর কোড ব্রেকার্সের সাথে জনপ্রিয় কারণ এটি বিশেষ করে ক্রিপ্টোগ্রাফিক ফাংশনগুলি সম্পাদন করে।

তারা বার্লিনের মঙ্গলবার অনুষ্ঠিত ক্যাসিয়াস কমিউনিকেশন কংগ্রেসের হ্যাকার কনফারেন্সে তাদের গবেষণার উপস্থাপন করার পরিকল্পনা করছে, যা ইতিমধ্যেই একটি বিষয় ছিল ইন্টারনেট নিরাপত্তা সম্প্রদায়ের কিছু ধারণা।

গবেষণা কাজটি একটি আন্তর্জাতিক দল দ্বারা পরিচালিত হয়েছিল যার মধ্যে রয়েছে স্বাধীন গবেষক জ্যাকব অ্যাপেলবাম এবং আলেকজান্ডার সোরিরোভ, পাশাপাশি সেন্ট্রাম উইস্কান্দ ও ইনফরম্যাটিকের কম্পিউটার বিজ্ঞানীরা, ইক্লে প্লেটেকনিক ফেডারেল ডি লাউসেন, প্রযুক্তির আন্ডোভেন ইউনিভার্সিটি এবং ক্যালিফোর্নিয়া ইউনিভার্সিটি, বার্কলে।

যদিও গবেষকরা বিশ্বাস করেন যে তাদের প্রযুক্তি ব্যবহার করে একটি বাস্তব-বিশ্বের আক্রমণ অসম্ভাব্য, তারা বলে যে তাদের কাজটি দেখায় যে MD5 হ্যাশিং এলগরিদমটি আর ব্যবহার করা উচিত নয় ডিজিটাল সার্টিফিকেট ইস্যু করে এমন শংসাপত্র কর্তৃপক্ষ সংস্থা। "এটি এখনও MD5 ব্যবহার করে কেউ জন্য একটি জাগা আপ কল," ডেভিড Molnar একটি বার্কলে স্নাতক ছাত্র প্রকল্পের উপর কাজ করে বলেন,.

Rapidssl.com ছাড়াও, টিসি ট্রাস্টসেন্টার এজি, আরএসএ ডাটা নিরাপত্তা, Thawte এবং Verisign.co। jp সমস্ত তাদের সার্টিফিকেট উৎপন্ন MD5 ব্যবহার করে, গবেষকরা বলছেন।

একটি আক্রমণ আরম্ভ করা কঠিন, কারণ খারাপ মানুষ অবশ্যই জাল ডিজিটাল সার্টিফিকেট হোস্ট যে দূষিত ওয়েব সাইট পরিদর্শন মধ্যে শিকার নিক্ষেপ করা আবশ্যক। এটি করা যেতে পারে, তবে, একটি মধ্য-দম্পতির মধ্যকার আক্রমণকে কী বলা হয় তা ব্যবহার করে। গত আগস্টে নিরাপত্তা গবেষক ড্যান কমমানস্কি দেখিয়েছেন যে, ইন্টারনেটের মধ্যম আক্রমনের জন্য ইন্টারনেটের ডোমেন নাম ব্যবস্থার একটি প্রধান ত্রুটি কীভাবে ব্যবহার করা যেতে পারে। এই সাম্প্রতিক গবেষণার সাথে, এটি এখন ওয়েব সাইটগুলির বিরুদ্ধে এই ধরণের আক্রমণ চালানোর জন্য সহজ হয়ে উঠেছে যা SSL (সিকিউর সকেটস লেয়ার) এনক্রিপশন ব্যবহার করে সুরক্ষিত হয়, যা নির্ভরযোগ্য ডিজিটাল সার্টিফিকেটগুলির উপর নির্ভর করে।

"আপনি কিমিনস্কি এর DNS bug ব্যবহার করতে পারেন মোনালভার বলেন। "

" এটি কোনও পিয়-ইন-দ্য আকাশের আলোচনার বিষয় নয় যা কি ঘটতে পারে বা কেউ কি করতে সক্ষম হতে পারে, এটি আসলে কি আসলেই একটি বিক্ষোভ। এটি প্রমাণ করতে ফলাফলগুলি, "এইচডি মুর, ব্রেকিংপয়েন্ট সিস্টেমে নিরাপত্তা গবেষণায় বক্তৃতা পোস্টে একটি ব্লগ পোস্ট করেছে।

ক্রিপ্টোগ্রাফাররা ২004 সাল থেকে এমডি 5-এর নিরাপত্তা নিয়ে ক্রমাগতভাবে চিবুচ্ছে, যখন একটি দল শানডং বিশ্ববিদ্যালয় এর ওয়াং Xiaoyun অ্যালগরিদম মধ্যে ত্রুটি প্রকাশ।

এমডি 5-র গবেষণায় বিশ্লেষণ করা হয়েছে, বিটি শাখার বিশিষ্ট ক্রিপ্টোগ্রাফি বিশেষজ্ঞ ব্রুস শ্যানিয়ার এবং প্রধান নিরাপত্তা টেকনোলজি অফিসার এস এম এ -1 (সিকিউর হ্যাশ অ্যালগরিদম -২) -এর মতো আরও নিরাপদ অ্যালগরিদম যেমন "SHA-1" তে আপগ্রেড করা উচিত। ।

জানুয়ারির শেষের দিকে র্যাফিডসএলএলএলটি এমডি5 সার্টিফিকেট জারি করা বন্ধ করে দেবে এবং তার গ্রাহকদেরকে নতুন ডিজিটাল সার্টিফিকেটে যাওয়ার জন্য উত্সাহিত করার চেষ্টা করছে, সেটি পরে, ওয়েইসিজিনের সাথে পণ্য বিপণনের সহ-সভাপতি টিম কলান বলেন।

কিন্তু প্রথমত, এই সাম্প্রতিক গবেষণায় কোম্পানিটি ভালভাবে দেখতে চায়। Molnar এবং তার দল মাইক্রোসফ্ট মাধ্যমে, পরোক্ষভাবে Verisign তাদের ফলাফল যোগাযোগ ছিল, কিন্তু তারা Verisign সঙ্গে সরাসরি কথা না, ভয়ে যে কোম্পানীর তাদের বক্তব্য প্রত্যাখান আইনি আইন গ্রহণ করতে পারে আউট। অতীতে, কখনো কখনো কোম্পানি হ্যাকিং কনফারেন্সে কথা বলার জন্য গবেষকরাকে প্রতিরোধ করার জন্য আদালতের আদেশগুলি গ্রহণ করে।

কলান বলেন যে তিনি আশা করেছিলেন যে, Verisign আরও তথ্য দেওয়া হয়েছে। "আমি এই ব্লগে ব্লগার ও সাংবাদিকদেরকে কীভাবে হতাশ করা যায় তা প্রকাশ করতে পারি না, কিন্তু আমরা তা করছি না, এ বিষয়ে আমরা ভাবছি যে আমরা আসলেই এমন ব্যক্তি।"

যখন শ্যানিয়ার বলেছিলেন যে তিনি এই সর্বশেষ গবেষণা পিছনে গণিত, তিনি বলেন যে ইন্টারনেটে ইতিমধ্যে অনেক গুরুত্বপূর্ণ নিরাপত্তা সমস্যা আছে - দুর্বলতা যে সংবেদনশীল তথ্য বড় ডাটাবেস প্রকাশ, উদাহরণস্বরূপ।

"আপনি একটি জাল MD5 শংসাপত্র পেতে হলে এটি কোন ব্যাপার না, কারণ আপনি আপনার certs চেক না কখনও ", তিনি বলেন,. "জালের কয়েকটি উপায় আছে এবং এটি অন্য আরেকটি।"