গবেষকরা: পাসওয়ার্ড ক্র্যাক লক্ষ লক্ষ ব্যক্তিকে প্রভাবিত করতে পারে

গবেষকরা ন্যাটেন লসন এবং টেইলর নেলসন বলে যে তাদের আবিষ্কৃত হয়েছে। দুইজন নিরাপত্তা বিশেষজ্ঞের মতে, আসন্ন নিরাপত্তা সম্মেলনে সমস্যাটির কথা আলোচনা করার জন্য হ্যাকাররা ব্যবহার করে হ্যাকাররা লক্ষ লক্ষ ব্যবহারকারীর দ্বারা ব্যবহৃত ওয়েব অ্যাপ্লিকেশনগুলিতে লগ ইন করতে ব্যবহার করে।

একটি মৌলিক নিরাপত্তা ত্রুটি যা ওএইথ ও ওপিডিড স্ট্যান্ডার্ডগুলি প্রয়োগ করে সফ্টওয়্যার দ্বারা ব্যবহৃত সফ্টওয়্যার লাইব্রেরিতে কয়েক ডজন উন্মুক্ত-উৎস সফ্টওয়্যার লাইব্রেরীকে প্রভাবিত করে - যেগুলি ওয়েবসাইটগুলিতে লগ ইন করার সময় পাসওয়ার্ডগুলি এবং ব্যবহারকারীর নামগুলি চেক করতে ব্যবহৃত হয়। OAuth এবং OpenID প্রমাণীকরণ জনপ্রিয় ওয়েবসাইট যেমন টুইটার এবং Digg দ্বারা গৃহীত হয়।

তারা এই লগইন সিস্টেমের কিছু সংস্করণ একটি টাইমিং আক্রমণ হিসাবে পরিচিত হয় কি অপ্রতুল যে পাওয়া যায় নি ক্রিপ্টোগ্রাফাররা ২5 বছর ধরে সময়সীমার আক্রমণ সম্পর্কে জানতে পেরেছে, কিন্তু সাধারণত তারা একটি নেটওয়ার্ক বন্ধ করে ফেলতে খুব কঠিন বলে মনে করা হয়। গবেষকরা লক্ষ্য করেন যে এই ক্ষেত্রে নয়।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

আক্রমণগুলি এত কঠিন বলে মনে করা হয় কারণ তাদের খুব সঠিক পরিমাপ প্রয়োজন। তারা একটি লগইন অনুরোধে প্রতিক্রিয়া জানানোর জন্য একটি কম্পিউটারের জন্য এটি সময় সময় পরিমাপ করে পাসওয়ার্ডগুলি ক্র্যাক করে। কিছু লগইন সিস্টেমে, কম্পিউটার একসাথে পাসওয়ার্ড অক্ষর পরীক্ষা করবে, এবং পাসওয়ার্ড হিসাবে একটি খারাপ চরিত্রটি স্পর্শ করে যত তাড়াতাড়ি "লগইন ব্যর্থ" বার্তাটি প্রত্যাহার করবে। এটি একটি কম্পিউটার একটি সম্পূর্ণ খারাপ লগইন প্রচেষ্টা একটি লগইন থেকে একটি ক্ষুদ্র বিট দ্রুততর ফিরে যেখানে পাসওয়ার্ড প্রথম অক্ষর সঠিক হয় ফিরে আসে।

বারবার লগ ইন করার চেষ্টা করে, অক্ষর মাধ্যমে সাইক্লিং এবং সময় এটি জন্য সময় পরিমাপ কম্পিউটারে প্রতিক্রিয়া দেখানোর জন্য হ্যাকাররা সঠিক পাসওয়ার্ডগুলি খুঁজে বের করতে পারে।

এই সমস্ত খুব তাত্ত্বিক বলে মনে হয়, তবে সময়সীমার আক্রমণ প্রকৃতপক্ষে বাস্তব জগতে সফল হতে পারে। তিন বছর আগে, মাইক্রোসফটের এক্সবক্স 360 গেমিং সিস্টেম হ্যাক করতে ব্যবহার করা হতো, এবং যারা স্মার্ট কার্ড তৈরি করত তারা বছর ধরে সময় আক্রমণের সুরক্ষা যোগ করেছে।

কিন্তু ইন্টারনেট ডেভেলপাররা দীর্ঘদিন ধরে ধরে রেখেছেন যে অনেকগুলি কারণ রয়েছে - নেটওয়ার্ক জেট নামে পরিচিত - যে ধীর গতির বা প্রতিক্রিয়া বার গতি বাড়াতে এবং এটি একটি অসম্পূর্ণ ফলাফল পেতে ধরনের প্রায় অসম্ভব, যেখানে একটি সফল টাইমিং আক্রমণের জন্য প্রয়োজন nanoseconds একটি পার্থক্য করতে হবে।

যারা অনুমান ভুল, লসন অনুযায়ী, প্রতিষ্ঠাতা নিরাপত্তা পরামর্শদাতা রুট ল্যাবস তিনি ও নেলসন ইন্টারনেট, স্থানীয় এলাকার নেটওয়ার্ক এবং ক্লাউড কম্পিউটিং পরিবেশের উপর হামলা চালায় এবং তারা জালিয়াতি বন্ধ করার জন্য অ্যালগরিদম ব্যবহার করে সব পরিবেশে পাসওয়ার্ডগুলি ক্র্যাক করতে সক্ষম হয়েছে।

তারা তাদের আক্রমণের বিষয়ে আলোচনা করার পরিকল্পনা করছে লাস ভেগাসে এই মাসের শেষের দিকে ব্ল্যাক হ্যাট কনফারেন্স।

"আমি সত্যিই মনে করি, জনগণকে তাদের এই সিদ্ধান্তের কথা বিবেচনা করতে হবে যে এটি একটি সমস্যা যা তারা ঠিক করতে হবে," লসন বলেন। তিনি বলেন, তিনি এই ধরনের ওয়েব অ্যাপ্লিকেশনের উপর দৃষ্টি নিবদ্ধ করে যথোপযুক্তভাবে উল্লেখ করেছেন কারণ তারা প্রায়ই সময়জ্ঞান আক্রমণের জন্য অসামঞ্জস্যপূর্ণ বলে মনে করে। "আমি যাদের অন্তত সচেতন ছিলাম তাদের কাছে পৌঁছতে চেয়েছিলাম", তিনি বলেন।

গবেষকরা আরও দেখিয়েছেন যে, পাইথন বা রুবি হিসাবে ব্যাখ্যাকৃত ভাষায় লিখিত প্রোগ্রামগুলির জন্য প্রশ্নগুলি তৈরি করা হয়েছে - ওয়েব উভয়ই জনপ্রিয় - জেনারেটেড প্রতিক্রিয়া আরও ধীরে ধীরে অন্য ধরনের ভাষা যেমন সি বা সমাবেশের ভাষা হিসাবে, সময়জ্ঞান আক্রমণ আরও কার্যকর করা। লাউসন বলেন, "যেসব ভাষা ব্যাখ্যা করা হয়েছে, তাদের জন্য আপনি মানুষদের চিন্তাভাবনার চেয়ে অনেক বেশি সময় পার্থক্যের পার্থক্য পরিত্যাগ করেন।"

স্ট্রাইন্ডস ইয়ারান হ্যামার-লাহা ইয়াহুর পরিচালক ড।, OAuth এবং OpenID উভয় প্রকল্পের একটি অবদানকারী। "আমি এর দ্বারা উদ্বিগ্ন নই," তিনি একটি ই-মেইল বার্তায় লিখেছিলেন। "আমি মনে করি না যে কোনও বৃহৎ সরবরাহকারী তাদের সার্ভার-পার্শ্ব বাস্তবায়নের জন্য কোনও ওপেন সোর্স লাইব্রেরিগুলি ব্যবহার করছে, এমনকি যদি তারা করে তবে এটি চালানো একটি তুচ্ছ আক্রমণ নয়।"

লসন এবং নেলসন সমস্যাটি দ্বারা প্রভাবিত সফটওয়্যার ডেভেলপারদের নোটিফিকেশন করেছেন, কিন্তু তারা সংশোধন না হওয়া পর্যন্ত ঝুঁকিপূর্ণ পণ্যের নামগুলি প্রকাশ করবেন না। বেশিরভাগ লাইব্রেরির ক্ষতি করার জন্য, ফিক্সটি সহজ: প্রোগ্রামটি সঠিক এবং ভুল পাসওয়ার্ড উভয়ই ফেরত দেওয়ার জন্য একই পরিমাণ সময় নেয়। এটি প্রায় ছয় লাইন কোডে করা যেতে পারে, লসন বলেন।

স্পষ্টতই, গবেষকরা দেখেছেন যে ক্লাউড-ভিত্তিক অ্যাপ্লিকেশনগুলি এই ধরনের হামলার জন্য আরো ঝুঁকির কারণ হতে পারে কারণ এ্যামেক্স ইসি ২ এবং স্লাইসহোস্টের মতো আক্রমণকারীরা আক্রমণকারীদের একটি উপায় পেতে পারে তাদের লক্ষ্যের কাছাকাছি চলে, এইভাবে নেটওয়ার্ক ঘর্ষণ হ্রাস।

লাসসন এবং নেলসন ব্ল্যাক হ্যাট এ তাদের বক্তব্যের আগে বলছেন না যে তাদের সময়জ্ঞান পরিমাপ কতটা সঠিক ছিল, তবে আসলে এই ধরনের হামলা বন্ধ করার জন্য এটি সম্ভবত কঠিন। ক্লাউড-টেকনোলজিসের সাথে সিটিও স্টোক মরিসন অনুযায়ী ক্লাউড-কম্পিউটিং সিকিউরিটি প্রোভাইডার।

যেহেতু বিভিন্ন ভার্চুয়াল সিস্টেম এবং অ্যাপ্লিকেশন ক্লাউড কম্পিউটিং রিসোর্সের জন্য প্রতিদ্বন্দ্বিতা করছে, তাই নির্ভরযোগ্য ফলাফল পেতে কঠিন হতে পারে মো। "এই সমস্ত জিনিসগুলি এই বিশেষ আক্রমণকে সাহায্য করার জন্য কাজ করে … এটি সম্পূর্ণ সিস্টেমের জন্য অনিশ্চয়তা যোগ করে।"

এখনও, তিনি বলেছেন এই ধরনের গবেষণা গুরুত্বপূর্ণ কারণ এটি দেখায় কিভাবে একটি আক্রমণ, যা কিছুটা প্রায় অসম্ভব বলে মনে হয়, সত্যিই কাজ করতে পারে।

রবার্ট ম্যাকমিলন