नेट की सुरक्षा में बग को ठीक करने के लिए विक्रेता स्कैम्बलिंग

सॉफ्टवेयर निर्माताओं के आसपास दुनिया इंटरनेट पर सुरक्षित रूप से जानकारी स्थानांतरित करने के लिए उपयोग की जाने वाली तकनीक में एक गंभीर बग को ठीक करने के लिए डरावनी है।

दोष एसएसएल प्रोटोकॉल में निहित है, जिसे एचटीटीपीएस से शुरू होने वाली वेबसाइटों पर सुरक्षित ब्राउज़िंग के लिए उपयोग की जाने वाली तकनीक के रूप में जाना जाता है, और चलो हमलावरों ने कंप्यूटर के बीच सुरक्षित एसएसएल (सिक्योर सॉकेट लेयर) संचार को अवरुद्ध कर दिया है जो कि मैन-इन-द-बीच हमले के रूप में जाना जाता है।

हालांकि कुछ परिस्थितियों में दोष का शोषण किया जा सकता है, लेकिन इसे साझा करने में सर्वरों में हैक करने के लिए इस्तेमाल किया जा सकता है इस समस्या का अध्ययन करने वाले एक सुरक्षा शोधकर्ता क्रिस पागेट के मुताबिक वातावरण, मेल सर्वर, डेटाबेस और कई अन्य सुरक्षित अनुप्रयोगों को होस्ट करना।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

"यह एक है प्रोटोकॉल-स्तर दोष। " एक सुरक्षा सलाहकार के साथ मुख्य प्रौद्योगिकी अधिकारी पागेट ने कहा, जिसे H4rdw4re कहा जाता है। "इसमें बहुत सारी चीजें हैं जिन्हें इस पर तय करना होगा: वेब ब्राउज़र, वेब सर्वर, वेब लोड बैलेंसर्स, वेब एक्सेलेरेटर, मेल सर्वर, एसक्यूएल सर्वर, ओडीबीसी ड्राइवर, पीयर-टू-पीयर प्रोटोकॉल।"

हालांकि किसी हमलावर को सबसे पहले पीड़ित के नेटवर्क में मैन-इन-द-बीच हमले को लॉन्च करने के लिए हैक करना होगा, फिर परिणाम विनाशकारी होंगे - खासकर अगर किसी लक्षित हमले में किसी डेटाबेस या मेल सर्वर तक पहुंच प्राप्त करने के लिए उपयोग किया जाता है, पैगेट ने कहा।

क्योंकि यह इतना व्यापक रूप से उपयोग किया जाता है, एसएसएल लगातार सुरक्षा शोधकर्ताओं के सूक्ष्मदर्शी के अधीन है। पिछले साल देर से, शोधकर्ताओं को फर्जी एसएसएल प्रमाण पत्र बनाने का एक तरीका मिला जो कि किसी भी ब्राउज़र द्वारा भरोसा किया जाएगा, और अगस्त में शोधकर्ताओं ने कुछ नए हमलों का अनावरण किया जो एसएसएल यातायात से समझौता कर सकते थे। लेकिन उन हमलों के विपरीत, जिन्हें एसएसएल के डिजिटल सर्टिफिकेट्स को प्रबंधित करने के लिए उपयोग किए जाने वाले बुनियादी ढांचे के साथ किया जाना था, यह नवीनतम बग एसएसएल प्रोटोकॉल में ही निहित है और इसे ठीक करना मुश्किल होगा।

और जटिल बात यह है कि बग अनजाने में था बुधवार को एक अस्पष्ट मेलिंग सूची पर खुलासा किया, विक्रेताओं को अपने उत्पादों को पैच करने के लिए पागल भटकने के लिए मजबूर किया।

मोबाइल फोन सुरक्षा कंपनी फोनफैक्टर में शोधकर्ताओं द्वारा एगुस्ट में यह मुद्दा खोजा गया था। वे पिछले दो महीनों से प्रौद्योगिकी विक्रेताओं के एक संघ के साथ काम कर रहे थे, जिसमें आईसीएएसआई (इंटरनेट पर सुरक्षा के लिए उद्योग कंसोर्टियम) को समस्या के लिए उद्योग के व्यापक समाधान को समन्वयित करने के लिए बुलाया गया था, जिसे "परियोजना मुगल" कहा जाता है।

लेकिन उनके सावधानीपूर्वक योजनाओं को बुधवार को अव्यवस्थित कर दिया गया था जब एसएपी इंजीनियर मार्टिन रेक्स ने खुद को बग में फेंक दिया था। स्पष्ट रूप से इस मुद्दे की गंभीरता से अनजान, उन्होंने इस मुद्दे पर आईईटीएफ (इंटरनेट इंजीनियरिंग टास्क फोर्स) चर्चा सूची में अपने अवलोकन पोस्ट किए। इसके बाद इसे सुरक्षा शोधकर्ता एचडी मूर द्वारा प्रचारित किया गया।

बुधवार दोपहर तक, पर्याप्त लोग इस मुद्दे के बारे में बात कर रहे थे कि फोनफैक्टर ने अपने निष्कर्षों के साथ सार्वजनिक होने का फैसला किया। फोनफैक्टर के मार्केटिंग के उपाध्यक्ष सारा फेंडर ने कहा, "उस समय हमें लगा कि बुरे लोगों को पता था और हमें लगा कि अच्छे लोगों को भी यह जानने की ज़िम्मेदारी है।" 99

फेंडर यह नहीं कह सकता कि पैच के लिए तैयार कौन था मुद्दा, लेकिन उसने नोट किया कि कई खुले स्रोत उत्पाद पैच को धक्का देने के लिए "चिंतित" हैं। उन्होंने कहा, "मुझे लगता है कि हम निकट भविष्य में कुछ पैचिंग देखेंगे।" 99

आईसीएएसआई बुधवार की शाम टिप्पणी के लिए पहुंचा नहीं जा सका।

हालांकि सुरक्षा विशेषज्ञों का कहना है कि दोष शायद वर्षों से अस्तित्व में है, यह नहीं है माना जाता है कि किसी भी हमले में शोषण किया गया है।

"जबकि हम इसे एक भौतिक भेद्यता मानते हैं, यह दुनिया का अंत नहीं है," फेंडर ने कहा।