खतरनाक सुरक्षा दोष शायद ही एक होक्स

एसएएनएस इंटरनेट स्टॉर्म सेंटर के एक विश्लेषक के अनुसार, इंटरनेट पर सर्वर से सुरक्षित रूप से कनेक्ट करने के लिए प्रयुक्त प्रोग्राम में सॉफ़्टवेयर भेद्यता का दावा संभवतः एक धोखाधड़ी है।

कार्यक्रम जिसे ओपनएसएसएच कहा जाता है (सिक्योर शैल), रेड हैट, हेवलेट-पैकार्ड, ऐप्पल और आईबीएम जैसे विक्रेताओं द्वारा किए गए लाखों सर्वरों पर स्थापित है। इसका उपयोग प्रशासकों द्वारा अन्य कंप्यूटरों के साथ एन्क्रिप्टेड कनेक्शन बनाने और फ़ाइलों को दूरस्थ रूप से अपडेट करने जैसे कार्यों को करने के लिए किया जाता है। ओपनएसएसएच ओपन-सोर्स संस्करण है, और कार्यक्रम के वाणिज्यिक संस्करण हैं।

इस सप्ताह की शुरुआत में, एसएएस को ओपनएसएसएच में शून्य-दिन की भेद्यता का दावा करने वाला एक अज्ञात ई-मेल प्राप्त हुआ, जिसका अर्थ है कि सॉफ्टवेयर में कोई दोष पहले से ही है शोषण किया जा रहा है क्योंकि यह सार्वजनिक हो जाता है। यह सॉफ़्टवेयर भेद्यता का सबसे खतरनाक प्रकार है क्योंकि इसका मतलब है कि इसके लिए अभी कोई फिक्स नहीं है और बुरे लोगों को इसके बारे में पता है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

एक वास्तविक शून्य-दिन भेद्यता ओपनएसएसएच में इंटरनेट के लिए विनाशकारी हो सकता है, जिससे हैकर्स को वर्कअराउंड या पैच तैयार होने तक सर्वर और पीसी तक कार्टे ब्लैंच पहुंच मिल सकती है।

"यही कारण है कि मुझे लगता है कि लोग वास्तव में एक आतंक का निर्माण कर रहे हैं," बोस्न ज़्रड्नजा, एक सैन्स विश्लेषक और इन्फिगो में वरिष्ठ सूचना सुरक्षा सलाहकार, क्रोएशिया के ज़ाग्रेब में एक सुरक्षा और प्रवेश परीक्षण कंपनी। "लोगों को अभी घबराहट नहीं करना चाहिए। इस समय कुछ भी नहीं बताता है कि जंगली में एक शोषण का उपयोग किया जा रहा है।"

ओपनएसएसएच में एक वास्तविक शून्य-दिन की भेद्यता का सबूत कमजोर है, ज़ेड्रांजा ने कहा। अब तक, विश्लेषकों ने एक कामकाजी शोषण नहीं देखा है, चिंता के बावजूद कि एंटी-सेक नामक समूह को शून्य दिन मिल गया है जिसने उन्हें वेब सर्वर को नियंत्रित करने की अनुमति दी है। हैक पर ब्योरा पूर्ण प्रकटीकरण पर पोस्ट किया गया था, जो सुरक्षा सूचना के लिए एक अनियंत्रित मंच है।

अधिक जानकारी के लिए दबाए जाने पर, एंटी-सेक का हिस्सा होने का दावा करने वाले व्यक्ति ने आईडीजी न्यूज सर्विस को एक ई-मेल लिखा था, "मैं वास्तव में शोषण (या चाहे यह मौजूद है) पर चर्चा करने की अनुमति नहीं है, "जिसे" बेनामी "पर हस्ताक्षर किया गया था।

ज़ेड्रांजा ने कहा कि उसी समूह ने हाल ही में एक और सर्वर से समझौता किया है, लेकिन यह एक क्रूर बल हमले के खिलाफ प्रतीत होता है OpenSSH। एक ब्रूट-फोर्स अटैक वह है जहां एक हैकर सर्वर तक पहुंच प्राप्त करने के लिए प्रमाणीकरण प्रमाण-पत्रों के कई संयोजनों की कोशिश करता है। यदि कोई व्यवस्थापक उपयोग कर रहा है तो सरल लॉग-इन और पासवर्ड का उपयोग कर रहा है, यह एक सर्वर को ब्रूट-फोर्स अटैक के लिए अधिक असुरक्षित बनाता है, दोनों समझौता किए गए सर्वर एक ही व्यक्ति द्वारा चलाए जाते थे। ज़ेड्रांजा ने कहा, "मुझे लगता है कि हम यहां क्या कर रहे हैं, उनके बीच एक युद्ध में दो हैकर्स हैं।" 99

लेकिन अन्य कारक हैं जो ओपनएसएसएच के लिए शून्य दिन का संकेत नहीं देते हैं। यदि शून्य-दिन अस्तित्व में था, तो हैकर्स शायद सबसे अधिक प्रोफ़ाइल वाले समझौते के मुकाबले अधिक उच्च प्रोफ़ाइल सर्वर के खिलाफ इसका इस्तेमाल करने की अधिक संभावना रखते हैं, ज़ेड्रांजा ने कहा।

ओपनएसएसएच के डेवलपर्स में से एक, डेमियन मिलर ने ठंडे पानी को भी फेंक दिया शून्य दिन की संभावना पर। मिलर ने बुधवार को ओपनएसएसएच मंच पर लिखा कि उन्होंने शून्य दिन के कथित शिकार के साथ ई-मेल का आदान-प्रदान किया, लेकिन हमले "सरल क्रूर बल" दिखाई दिए।

"तो, मुझे यह नहीं माना जाता कि शून्य दिन बिल्कुल मौजूद है, "मिलर ने लिखा। "अब तक केवल एक ही सबूत कुछ अज्ञात अफवाहें और अविश्वसनीय घुसपैठ प्रतिलेख हैं।"

कथित शून्य-दिन और ओपनएसएसएच में एक अलग भेद्यता के बीच कुछ भ्रम भी प्रतीत होता है, ज़ेड्रांजा ने कहा। यूके के एक सलाहकार के मुताबिक, उस भेद्यता, जो कि अभी तक बिना छेड़छाड़ की गई है, हमलावर को मानक कॉन्फ़िगरेशन में एसएसएच प्रोटोकॉल का उपयोग करके सुरक्षित कनेक्शन से सिफर टेक्स्ट के एक मनमानी ब्लॉक से सादे पाठ के 32 बिट तक पुनर्प्राप्त करने की अनुमति दे सकती है। एस नेशनल इंफ्रास्ट्रक्चर (सीपीएनआई) के संरक्षण केंद्र।

सीपीएनआई के अनुसार, भेद्यता की गंभीरता को उच्च माना जाता है, लेकिन सफल शोषण का मौका कम है। Zdrnja ने कहा कि प्रशासक एक सफल हमले के खिलाफ सुरक्षा के लिए सार्वजनिक और निजी कुंजी का उपयोग कर ओपनएसएसएच में मजबूत प्रमाणीकरण तंत्र लागू कर सकते हैं। एक सलाहकार में, ओपनएसएसएच ने यह भी कहा कि सफल हमले की संभावना कम थी।