সিকিউরিটি প্রো নতুন এসএলএল আক্রমণটি অনেক সাইট হিট করতে পারে বলে মনে করে।

সিয়াটেল কম্পিউটার নিরাপত্তা পরামর্শদাতা বলেছেন যে তিনি ইন্টারনেটে যোগাযোগ রক্ষা করতে ব্যবহৃত SSL প্রোটোকলের সম্প্রতি প্রকাশিত বাগকে কাজে লাগানোর একটি নতুন উপায় তৈরি করেছেন। হামলা চালানো কঠিন হলেও হামলাকারীদের একটি খুব শক্তিশালী ফিশিং আক্রমণের সম্মুখীন হতে পারে।

লেভিথান সিকিউরিটি গ্রুপের প্রধান নির্বাহী ফ্রাঙ্ক হেইডেট বলেছেন যে তার বিভিন্ন ওয়েবসাইটের বিভিন্ন ধরনের আক্রমণের জন্য "জেনেরিক" প্রমাণ-সংক্ষেপ কোড ব্যবহার করা যেতে পারে। । আক্রমণটি বন্ধ করা খুবই কঠিন কাজ হলেও - হ্যাকার প্রথমে প্রথমে একজন পুরুষ-ইন-দ্য-মিডিল আক্রমণটি বন্ধ করে দিতে হবে, কোডটি চালানো যা শিকারের নেটওয়ার্ককে আপোষ করে - এর ফলে বিধ্বংসী ফলাফল হতে পারে।

আক্রমণ SSL (সিকিউর সকেটস লেয়ার) প্রমাণীকরণ গ্যাপ বাগ, প্রথমটি 5 নভেম্বর প্রকাশিত। এসএলএল এর আবিষ্কারক একজন, ফোনফ্যাক্টের মার্শ রে বলেছেন, তিনি হিট্টের আক্রমণের একটি বিক্ষোভ দেখিয়েছেন এবং তিনি বিশ্বাস করতে পারেন যে এটি কাজ করতে পারে "তিনি আমার কাছে এটি দেখিয়েছেন এবং এটিই বাস্তব চুক্তি," রে বলেন।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

SSL প্রমাণীকরণ ত্রুটিটি আক্রমণকারীকে পাঠানো তথ্য পরিবর্তন করার একটি উপায় দেয় SSL সার্ভারে, কিন্তু তথ্য ফিরে আসার কোন উপায় এখনও আছে ফিরে আসছে। Heidt এমন একটি তথ্য পাঠায় যা SSL সার্ভারটি একটি পুনর্চালনা বার্তা ফেরত দেয় যার ফলে ওয়েব ব্রাউজার অন্য পৃষ্ঠায় পাঠায়। তারপর তিনি সেই পুনর্নির্দেশের বার্তাটিকে একটি অসুরক্ষিত সংযোগে স্থানান্তর করার জন্য ব্যবহার করেন যেখানে হিটের কম্পিউটারে পাঠানো হয় সেক্ষেত্রে হিটের কম্পিউটারের দ্বারা ওয়েব পেজগুলি পুনর্বিন্যস্ত করা যায়।

"ফ্রাঙ্ক এই অন্ধ সরল পাঠ্য ইনজেকশন আক্রমণকে উপভোগের উপায় দেখিয়েছেন ব্রাউজার এবং নিরাপদ সাইটে সংযোগের একটি সম্পূর্ণ আপস, "রে বলেন।

ইন্টারনেট কোম্পানিগুলির একটি কনসোর্টিয়ামটি ফ্লেক্সিটি ঠিক করার জন্য কাজ করছে কারণ ফোনফ্যাক্টর ডেভেলপাররা বেশ কয়েক মাস আগে এটি আবিষ্কার করেছেন। তাদের কাজটি নতুন উদ্দীপনা লাভ করে যখন বাগকে একটি আলোচনা তালিকাতে অজানাভাবে প্রকাশ করা হয়। গত সপ্তাহে আইবিএম গবেষক অনিল কুর্মাস দেখান যে ব্রাউজারে ব্যবহারকারীদের পাসওয়ার্ড রয়েছে এমন টুইটার বার্তা পাঠানোর জন্য এই ত্রুটিটি কীভাবে ব্যবহার করা যায়।

এই সর্বশেষ আক্রমণটি দেখায় যে, নিরাপদ ওয়েব সাইটগুলি থেকে সব ধরনের সংবেদনশীল তথ্য চুরি করার জন্য ত্রুটিটি ব্যবহার করা যেতে পারে। হেইটট বলেন।

দুর্বল হতে হলে, সাইটগুলিকে ক্লায়েন্ট রিনিগিয়েটিসেশন নামক কিছু কিছু SSL- এর অধীনে করতে হবে এবং তাদের জন্য কিছু উপাদান থাকতে হবে নিরাপদ ওয়েব পেজগুলি যে কোনও নির্দিষ্ট 302 পুনঃনির্দেশিত বার্তা তৈরি করতে পারে।

অনেক উচ্চ-প্রোফাইল ব্যাংকিং এবং ই-কমার্স ওয়েব সাইট এই 302 টি পুনঃনির্দেশিত বার্তাটি এমন ভাবে ফিরিয়ে দেবে না যা শোষিত হতে পারে, কিন্তু সাইটগুলির "বিশাল সংখ্যা" হিট্ট বললো, হেইট্ট বলছে।

অনেক ওয়েব সাইট গুলির ঝুঁকির ঝুঁকি নিয়ে, হেইট বলছেন যে তিনি অবিলম্বে তার কোডটি প্রকাশ করতে চান না।

শিকারের দৃষ্টিকোণ থেকে, আক্রমণের সময় একমাত্র দৃষ্টিভঙ্গি হল যে ব্রাউজার না দেখুন এটি একটি SSL সাইট থেকে সংযুক্ত হিসাবে যদিও nger দেখায় হামলা এসএসএল স্ট্রিপ হামলার অনুরূপ, এই বছরের শুরুতে একটি নিরাপত্তার কনফারেন্সে মোক্সি মার্লিনস্পাইক [সিকা] দ্বারা প্রদর্শিত হয়।

লিভিথিয়ন সিকিউরিটি গ্রুপ একটি টুল তৈরি করেছে যা ওয়েবমাস্টাররা তাদের সাইটগুলিকে একটি এসএসএল প্রমাণীকরণ গ্যাপ আক্রমণ।

যেহেতু এসএসএল এবং তার প্রতিস্থাপনের মান, টিএলএস, ইন্টারনেট প্রযুক্তির বিস্তৃত ব্যাগে ব্যবহার করা হয় তাই বাগ দূরবর্তী প্রভাব রয়েছে।

জি-সেকের সাথে নিরাপত্তা পরামর্শদাতা থিয়েরি জোলার বলেছেন যে তত্ত্বগতভাবে, ত্রুটি সার্ভারগুলি আক্রমণ করতে ব্যবহার করা যেতে পারে "একটি আক্রমণকারী সম্ভাব্য মেইল ​​নিরাপদ SMTP [সিম্পল মেইল ​​ট্রান্সফার প্রোটোকল] সংযোগগুলি প্রেরণ করতে পারে, এমনকি যদি তারা একটি প্রাইভেট সার্টিফিকেট দ্বারা প্রমাণিত হয়," তিনি একটি তাত্ক্ষণিক বার্তায় সাক্ষাত্কারে বলেন।

জোলার, যিনি লেভেরিয়নের কোড দেখেনি, বলেন যে যদি আক্রমণটি বিজ্ঞাপন হিসাবে কাজ করে, তাহলে এটি অন্য কোন দিন কীভাবে এটি করা যায় তা নির্ধারণের কয়েক দিন আগে হবে।