सुरक्षा प्रो कहते हैं कि नया एसएसएल अटैक कई साइटों को मार सकता है

एक सिएटल कंप्यूटर सुरक्षा सलाहकार का कहना है कि उसने इंटरनेट पर संचार सुरक्षित करने के लिए उपयोग किए गए एसएसएल प्रोटोकॉल में हाल ही में प्रकट बग का शोषण करने का एक नया तरीका विकसित किया है। हमले को निष्पादित करना मुश्किल था, हमलावरों को एक बहुत ही शक्तिशाली फ़िशिंग हमला दे सकता था।

लीविथन सुरक्षा समूह के सीईओ फ्रैंक हेडट ने कहा कि उनके "जेनेरिक" प्रमाण-अवधारणा कोड का उपयोग विभिन्न वेबसाइटों पर हमला करने के लिए किया जा सकता है । जबकि हमले को खींचना बेहद मुश्किल है - हैकर को सबसे पहले मैन-इन-द-बीच हमले को खींचना होगा, पीड़ित के नेटवर्क से समझौता करने वाला कोड चलाना होगा - इसमें विनाशकारी परिणाम हो सकते हैं।

हमला एसएसएल (सिक्योर सॉकेट लेयर) प्रमाणीकरण गैप बग का शोषण करता है, जिसे पहले 5 नवंबर को खुलासा किया गया था। एसएसएल बग के खोजकर्ताओं में से एक, फोनफैक्टर में मार्श रे, का कहना है कि उन्हें हेडेट के हमले का प्रदर्शन देखा गया है, और उन्हें आश्वस्त है कि यह काम कर सकता है। रे ने कहा, "उसने मुझे यह दिखाया और यह असली सौदा है।" 99

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

एसएसएल प्रमाणीकरण दोष हमलावर को भेजे जा रहे डेटा को बदलने का एक तरीका देता है एसएसएल सर्वर के लिए, लेकिन अभी भी आने वाली जानकारी को पढ़ने का कोई तरीका नहीं है। हेडट डेटा भेजता है जो SSL सर्वर को एक रीडायरेक्ट संदेश लौटाता है जो तब वेब ब्राउज़र को किसी अन्य पृष्ठ पर भेजता है। उसके बाद वह पीड़ित को एक असुरक्षित कनेक्शन में स्थानांतरित करने के लिए उस रीडायरेक्ट संदेश का उपयोग करता है जहां वेब पृष्ठों को पीड़ितों को भेजे जाने से पहले हेडट के कंप्यूटर द्वारा फिर से लिखा जा सकता है।

"फ्रैंक ने इस अंधेरे सादे पाठ इंजेक्शन हमले का लाभ उठाने का एक तरीका दिखाया है ब्राउज़र और सुरक्षित साइट के बीच कनेक्शन का एक पूर्ण समझौता, "रे ने कहा।

इंटरनेट कंपनियों का एक संघ दोषपूर्ण समाधान के लिए काम कर रहा है क्योंकि फोनफैक्टर डेवलपर्स ने इसे कई महीने पहले खोला था। चर्चा कार्य सूची में अनजाने में खुलासा होने पर उनके काम को नई तात्कालिकता मिली। सुरक्षा विशेषज्ञ इस नवीनतम एसएसएल दोष की गंभीरता पर बहस कर रहे हैं क्योंकि यह सार्वजनिक ज्ञान बन गया है।

पिछले हफ्ते, आईबीएम शोधकर्ता अनिल कुरमुस ने दिखाया कि ब्राउजर संदेशों को ट्विटर संदेशों को भेजने में दोषों का उपयोग कैसे किया जा सकता है जिसमें उपयोगकर्ता पासवर्ड शामिल हैं।

हेडेट ने कहा कि यह नवीनतम हमला दिखाता है कि सुरक्षित वेब साइटों से सभी प्रकार की संवेदनशील जानकारी चोरी करने के लिए दोष का उपयोग किया जा सकता है।

कमजोर होने के लिए, साइटों को एसएसएल के तहत क्लाइंट रीनेगोएशन नामक कुछ करने की ज़रूरत है और उनके लिए कुछ तत्व भी है सुरक्षित वेब पेज जो एक विशेष 302 रीडायरेक्ट संदेश उत्पन्न कर सकता है।

कई उच्च-प्रोफ़ाइल बैंकिंग और ई-कॉमर्स वेबसाइटें इस 302 रीडायरेक्ट संदेश को इस तरह से वापस नहीं लाएंगी, जिसका उपयोग किया जा सकता है, लेकिन साइटों की "बड़ी संख्या" हमला किया जा सकता है, हेडट ने कहा।

इतनी सारी वेबसाइटों के साथ दोष के जोखिम पर, हेडट का कहना है कि वह तुरंत अपना कोड जारी करने का इरादा नहीं रखता है।

पीड़ित के परिप्रेक्ष्य से, हमले के दौरान एकमात्र ध्यान देने योग्य परिवर्तन यह है कि ब्राउज़र नहीं लो नज़र ऐसा लगता है कि यह एक एसएसएल साइट से जुड़ा हुआ है। यह हमला इस साल की शुरुआत में एक सुरक्षा सम्मेलन में मोक्सी मार्लिन्सपाइक [सीक्यू] द्वारा प्रदर्शित एसएसएल स्ट्रिप हमले के समान है।

लेविथन सुरक्षा समूह ने एक ऐसा टूल बनाया है जो वेबमास्टर्स यह देखने के लिए उपयोग कर सकता है कि उनकी साइटें एसएसएल प्रमाणीकरण गैप के लिए कमजोर हैं या नहीं हमले।

क्योंकि एसएसएल, और इसके प्रतिस्थापन मानक, टीएलएस का उपयोग इंटरनेट प्रौद्योगिकियों की एक विस्तृत श्रृंखला में किया जाता है, बग के पास बहुत दूर प्रभाव पड़ता है।

जी-सेक के साथ एक सुरक्षा सलाहकार थियरी ज़ोलर का कहना है कि सैद्धांतिक रूप से, मेल सर्वर पर हमला करने के लिए दोष का उपयोग किया जा सकता है। एक त्वरित संदेश साक्षात्कार में उन्होंने कहा, "एक हमलावर संभावित रूप से सुरक्षित एसएमटीपी [सिंपल मेल ट्रांसफर प्रोटोकॉल] कनेक्शन पर भेजे गए मेल को उच्चजोर भेज सकता है, भले ही वे एक निजी प्रमाणपत्र द्वारा प्रमाणित हों।" 99

ज़ोलर, जिन्होंने लेविथन के कोड को नहीं देखा है, ने कहा कि यदि हमला विज्ञापन के रूप में काम करता है, तो यह किसी और के बारे में बताए जाने से पहले दिन का मामला होगा।