ویب کے ایس ایس ایل سیکیورٹی پروٹوکول میں ملازمت کے زیادہ سوراخ

سیکورٹی محققین نے کچھ پایا ہے سافٹ ویئر میں سنگین خامیوں جو ایس ایس ایل (سیکورٹ ساکٹ پرت) خفیہ کاری پروٹوکول کو انٹرنیٹ پر مواصلات کو محفوظ بنانے کے لئے استعمال کرتی تھیں.

لیز وگاس میں جمعہ کو سیاہ ویک کانفرنس میں، محققین نے کئی ایسے حملوں کا اعلان کیا جو محفوظ سمجھوتہ کرنے کے لئے استعمال کیا جا سکتا ہے. محققین نے ویب سائٹس اور براؤزرز کے درمیان ٹریفک کا دورہ کیا.

اس قسم کے حملے پر حملہ آور پاسورڈ چوری کر سکتا ہے، آن لائن بینکنگ سیشن کو ہجرت کر سکتا ہے یا فائر فاکس کے براؤزر اپ ڈیٹ کو بھی دھکا دے گا جس میں خرابی کا کوڈ موجود ہے. مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

اس مسئلے میں جھوٹ بولتا ہے کہ بہت سے براؤزر نے ایس ایس ایل کو لاگو کیا ہے، اور X.509 عوامی کلیدی بنیادی ڈھانچے کے نظام میں بھی استعمال کیا جاتا ہے جو ڈیجیٹل سرٹیفکیٹ کا استعمال کرنے کے لئے استعمال کیا جاتا ہے. SSL کی طرف سے اس بات کا تعین کرنے کے لئے کہ ویب ویب سائٹ قابل اعتماد ہے.

ایک سیکورٹی محقق نے اپنے آپ کو فون کرتے ہوئے ماکسی مارلنسکی نے ایس ایس ایل ٹریفک کو روکنے کا ایک طریقہ ظاہر کیا جس کے ذریعے وہ غیر معتبر سرٹیفکیٹ کہتے ہیں. اپنے حملے کا کام کرنے کے لئے مارشلپنکی کو پہلے ہی اپنے سافٹ ویئر مقامی علاقائی نیٹ ورک پر ملنا چاہیے. ایک بار انسٹال کرنے کے بعد، یہ ایس ایس ایل ٹریفک کی جگہ لے لیتا ہے اور کلائنٹ اور سرور کے درمیان مواصلات کو روکنے کے لۓ ان کے اختتامی سرٹیفکیٹ پیش کرتا ہے. انہوں نے کہا کہ اس طرح کے انسان میں اندرونی حملے ناقابل برداشت ہے.

مارلنسکی کا حملہ ایک قابل عام حملہ ہے جس میں SQL انجیکشن حملے کے طور پر جانا جاتا ہے، جس میں اس پروگرام کو خصوصی طور پر تیار کردہ اعداد و شمار بھیجنے کی امید میں بھیجتا ہے. کچھ ایسا کرنا جو عام طور پر نہیں کرنا چاہئے. انہوں نے محسوس کیا کہ اگر اس نے اپنے انٹرنیٹ ڈومین کے لئے سرٹیفکیٹ بنائے ہیں جن میں نچلے حروف شامل ہوتے ہیں - اکثر "کچھ پروگراموں کے ساتھ نمائندگی کرتے ہیں تو سرٹیفکیٹس کو غلطی کا اظہار کریں گے.

یہی وجہ ہے کہ کچھ پروگراموں کو متن پڑھنے پر رکھنا پڑتا ہے جب وہ نچلے کردار کو دیکھتے ہیں. لہذا www.paypal.com 0.thoughtcrime.org پر جاری ایک سرٹیفکیٹ www.paypal.com سے متعلق کے طور پر پڑھا جا سکتا ہے.

مسئلہ بڑے پیمانے پر ہے، مارلنسکی نے کہا، انٹرنیٹ ایکسپلورر، وی پی این (مجازی نجی نیٹ ورک) سافٹ ویئر پر اثر انداز ، ای میل کلائنٹس اور فوری پیغام رسانی سافٹ ویئر، اور فائر فاکس ورژن 3.

معاملات کو بدتر کرنے کے لئے، محققین ڈین کامسسککی اور لین ساسمان نے رپورٹ کیا کہ انھوں نے یہ پتہ چلا ہے کہ بڑی تعداد میں ویب پروگرام ایک غیر معمولی کرپٹیٹوگرافک کا استعمال کرتے ہوئے جاری کردہ سرٹیفکیٹ پر منحصر ہیں. MD2 کہا جاتا ٹیکنالوجی، جو طویل عرصے سے غیر محفوظ سمجھا جاتا ہے. کامسنکی نے بتایا کہ ایم ڈی 2 اصل میں ٹوٹ گیا نہیں ہے، لیکن اس کی تعیناتی حملہ آور کے ذریعہ مہینے کے معاملے میں یہ ٹوٹ سکتا ہے.

MD2 الورجیتھم 13 سال پہلے ویری سیز خود کو دستخط میں استعمال کیا گیا تھا "میں بنیادی جڑ سرٹیفکیٹ میں سے ایک کامیسیسی نے کہا کہ "سیارے پر ہر براؤزر".

ویرسیج میں مصنوعات کی مارکیٹنگ کے نائب صدر ٹیم کالان نے کہا کہ ویرسی نے مئی میں MD2 کا استعمال کرتے ہوئے سرٹیفکیٹ کو دستخط کر دیا.

تاہم، "بڑی تعداد میں ویب سائٹس اس جڑ کا استعمال کرتے ہیں. کامنسی نے کہا کہ ہم اصل میں اسے نہیں مار سکتے یا ہم ویب کو توڑ دیں گے.

سافٹ ویئر سازوں کو اپنی مصنوعات کو MD2 سرٹیفکیٹ پر بھروسہ نہ کرنے کے لئے بتا سکتے ہیں؛ وہ اپنی مصنوعات کو بھی پروگرام کو بھی روک سکتے ہیں کہ وہ غیر ملکی خاتمے کے خاتمے کے لۓ کمزور نہ ہوں. محققین نے کہا کہ، تاہم، فائر فاکس 3.5 ایک واحد براؤزر ہے جس نے نوک ختم ہونے والے مسئلے کو حل کیا ہے.

یہ پچھلے آٹھ سال میں دوسرا وقت ہے کہ ایس ایس ایل کی جانچ پڑتال کی گئی ہے. گزشتہ سال کے آخر میں، محققین نے شگاف سرٹیفیکیشن اتھارٹی بنانے کا ایک طریقہ پایا، جو کسی بھی براؤزر کی طرف سے قابل اعتماد ثابت ہو جائے گا.

Kaminsky اور Sassaman کا کہنا ہے کہ SSL سرٹیفکیٹ کے راستے میں مسائل کی بنیاد پر ہیں. جاری ہے کہ ان کو غیر محفوظ بنا. تمام محققین نے اتفاق کیا ہے کہ X.509 نظام جو ایس ایس ایل کے سرٹیفکیٹس کو منظم کرنے کے لئے استعمال کیا جاتا ہے اس سے باہر ہے اور اسے مقرر کرنے کی ضرورت ہے.