वेब के एसएसएल सुरक्षा प्रोटोकॉल में अधिक छेद मिले

सुरक्षा शोधकर्ताओं ने कुछ पाया है सॉफ़्टवेयर में गंभीर त्रुटियां जो इंटरनेट पर संचार सुरक्षित करने के लिए उपयोग की जाने वाली एसएसएल (सिक्योर सॉकेट लेयर) एन्क्रिप्शन प्रोटोकॉल का उपयोग करती हैं।

गुरुवार को लास वेगास में ब्लैक हैट सम्मेलन में, शोधकर्ताओं ने कई हमलों का अनावरण किया जिसका उपयोग सुरक्षित समझौता करने के लिए किया जा सकता था ट्रैफिकर्स ने कहा कि इस प्रकार का हमला एक हमलावर को पासवर्ड चुरा सकता है, ऑनलाइन बैंकिंग सत्र को हाइजैक कर सकता है या यहां तक ​​कि एक फ़ायरफ़ॉक्स ब्राउज़र अपडेट भी डाल सकता है जिसमें दुर्भावनापूर्ण कोड है, शोधकर्ताओं ने कहा।

[आगे पढ़ने: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

समस्याएं इस तरह से झूठ बोलती हैं कि कई ब्राउज़रों ने एसएसएल लागू किया है, और X.50 9 सार्वजनिक कुंजी इंफ्रास्ट्रक्चर सिस्टम में भी इस्तेमाल किया गया है जो डिजिटल प्रमाणपत्रों का उपयोग करने के लिए उपयोग किया जाता है एसएसएल द्वारा यह निर्धारित करने के लिए कि कोई वेबसाइट भरोसेमंद है या नहीं।

एक सुरक्षा शोधकर्ता ने खुद को मोक्सी मार्लिन्सपाइक को बुलाकर एसएसएल यातायात को अवरुद्ध करने का एक तरीका दिखाया, जिसे वह शून्य-समाप्ति प्रमाणपत्र कहता है। अपने हमले के काम को करने के लिए, मार्लिन्सपीक को पहले अपने क्षेत्र को स्थानीय क्षेत्र नेटवर्क पर प्राप्त करना होगा। एक बार इंस्टॉल हो जाने पर, यह एसएसएल यातायात को धक्का देता है और क्लाइंट और सर्वर के बीच संचार को रोकने के लिए अपने शून्य टर्मिनेशन प्रमाण पत्र प्रस्तुत करता है। उन्होंने कहा कि इस प्रकार का मैन-इन-द-बीच हमला ज्ञानी नहीं है।

मार्लिन्सपाइक का हमला उल्लेखनीय रूप से एक अन्य आम हमले के समान है जो एसक्यूएल इंजेक्शन हमले के रूप में जाना जाता है, जो इसे विशेष रूप से तैयार किए गए डेटा को प्रोग्राम में छेड़छाड़ की उम्मीद में भेजता है कुछ ऐसा करना जो सामान्य रूप से नहीं करना चाहिए। उन्होंने पाया कि यदि उन्होंने अपने स्वयं के इंटरनेट डोमेन के लिए प्रमाण पत्र बनाए हैं जिनमें शून्य वर्ण शामिल हैं - अक्सर एक 0 के साथ प्रतिनिधित्व किया जाता है - कुछ प्रोग्राम प्रमाणपत्रों की गलत व्याख्या करेंगे।

ऐसा इसलिए है क्योंकि कुछ प्रोग्राम एक नल चरित्र देखते समय पाठ को पढ़ना बंद कर देते हैं। तो www.paypal.com 0.thoughtcrime.org को जारी प्रमाण पत्र www.paypal.com से संबंधित हो सकता है।

समस्या व्यापक है, मार्लिनस्पिक ने इंटरनेट एक्सप्लोरर, वीपीएन (वर्चुअल प्राइवेट नेटवर्क) सॉफ़्टवेयर को प्रभावित किया, ई-मेल क्लाइंट और इंस्टेंट मैसेजिंग सॉफ्टवेयर, और फ़ायरफ़ॉक्स संस्करण 3.

मामलों को और खराब बनाने के लिए, शोधकर्ता दान कामिंस्की और लेन ससमैन ने बताया कि उन्होंने पाया है कि बड़ी संख्या में वेब प्रोग्राम एक अप्रचलित क्रिप्टोग्राफ़िक का उपयोग करके जारी प्रमाणपत्रों पर निर्भर हैं एमडी 2 नामक तकनीक, जिसे लंबे समय तक असुरक्षित माना जाता है। कामिंस्की ने कहा कि एमडी 2 वास्तव में क्रैक नहीं किया गया है, लेकिन इसे निर्धारित हमलावर द्वारा महीनों के मामले में तोड़ दिया जा सकता है।

एमडी 2 एल्गोरिदम का इस्तेमाल 13 साल पहले वेरिसाइन द्वारा स्वयं हस्ताक्षर करने के लिए किया गया था "मूल रूट प्रमाणपत्रों में से एक ग्रह पर हर ब्राउज़र, "कामिंस्की ने कहा।

वेरीसिगन ने मई में एमडी 2 का उपयोग करके प्रमाणपत्रों पर हस्ताक्षर करना बंद कर दिया, वेरीसिगन में उत्पाद विपणन के उपाध्यक्ष टिम कॉलन ने कहा।

हालांकि," बड़ी संख्या में वेब साइटें इस रूट का उपयोग करती हैं, इसलिए हम वास्तव में इसे मार नहीं सकते हैं या हम वेब तोड़ देंगे, "कामिंस्की ने कहा।

सॉफ्टवेयर निर्माता, हालांकि, अपने उत्पादों को एमडी 2 प्रमाणपत्रों पर भरोसा नहीं कर सकते हैं; वे अपने उत्पादों को नल-टर्मिनेशन हमले के लिए कमजोर नहीं होने के लिए भी प्रोग्राम कर सकते हैं। हालांकि, आज तक, फ़ायरफ़ॉक्स 3.5 एकमात्र ब्राउज़र है जिसने नल-टर्मिनेशन मुद्दे को पैच किया है। शोधकर्ताओं ने कहा।

यह पिछले आधे साल में दूसरी बार है कि एसएसएल जांच के अधीन आ गया है। पिछले साल के आखिर में, शोधकर्ताओं ने एक दुष्ट प्रमाणपत्र प्राधिकरण बनाने का एक तरीका खोजा, जो बदले में फोनी एसएसएल प्रमाण पत्र जारी कर सकता है जिसे किसी भी ब्राउज़र द्वारा भरोसा किया जाएगा।

कामिंस्की और सस्मान कहते हैं कि एसएसएल प्रमाण पत्र के तरीके में समस्याएं हैं जारी किया कि उन्हें असुरक्षित बनाते हैं। सभी शोधकर्ता इस बात पर सहमत हुए कि SSL के लिए प्रमाण पत्र प्रबंधित करने के लिए उपयोग की जाने वाली x.50 9 प्रणाली पुरानी है और इसे ठीक करने की आवश्यकता है।