محققین کو شیعہ غیر قابل استعمال فشنگ ماضی

گرافک: ڈیاگو اگروائر سیکیورٹی محققین کی بین الاقوامی ٹیم کے بارے میں 200 سونی سونی پلے اسٹیشنوں کی مدد سے محفوظ ویب سائٹس کی حفاظت کے لئے استعمال ہونے والی الگورتھم کو کمزور کرنے کا ایک طریقہ تیار کیا گیا ہے اور اس سے تقریبا ایک غیر قابل استعمال فشمی حملے شروع ہوسکتا ہے.

ایسا کرنے کے لئے، انہوں نے ایک مسئلے کا استعمال کیا ہے ویب سائٹس کی طرف سے استعمال ہونے والے ڈیجیٹل سرٹیفکیٹ اس بات کو ثابت کرنے کے لئے کہ وہ یہ ہیں کہ وہ کون ہیں. ایم ڈی 5 میں مشہور غلطیوں کا فائدہ اٹھا کر ان میں سے کچھ سرٹیفکیٹ بنانے کے لئے استعمال کیا جاتا ہے، محققین ویریسینج کی RapidSSL.com سرٹیفیکیشن اتھارٹی کو ہیک کرنے اور انٹرنیٹ پر کسی بھی ویب سائٹ کے لئے جعلی ڈیجیٹل سرٹیفکیٹ بنانے میں کامیاب تھے.

ہشوں کا استعمال کیا جاتا ہے ایک دستاویز کے لئے "فنگر پرنٹ" بنانے کے لئے، ایک مخصوص دستاویز کو شناخت کرنے کی ضرورت ہوتی ہے اور اس بات کی تصدیق کی جاتی ہے کہ ٹرانزٹ میں دستاویز میں ترمیم نہیں کی گئی ہے. تاہم، MD5 hashing الگورتھم غلط ہے، بنانے کے لئے یہ ممکن ہے کہ دو مختلف دستاویزات پیدا کرنے کے لئے ممکن ہے کہ اسی ہیش کی قیمت ہے. اس طرح کسی کو کسی فنگر پرنٹ کی ایک فنگر پرنٹ کے طور پر ایک ہی فنگر پرنٹ کے طور پر حقیقی سائٹ کے سرٹیفکیٹ کی حیثیت سے ایک سرٹیفکیٹ بنایا جا سکتا ہے.

[مزید پڑھنے: آپ ونڈوز پی سی سے کیسے ہٹا دیں]

ان پلے اسٹیشن 3 مشینوں کا استعمال کرتے ہوئے ، محققین نے ایک "روگ سرٹیفکیٹ اتھارٹی" بنائے جو باگس سرٹیفکیٹس کو توثیق کرسکتا ہے جو کہ کسی بھی براؤزر کی طرف سے قابل اعتماد ہوگا. پلے اسٹیشن کے سیل پروسیسر کو کوڈ بریکر کے ساتھ مقبول ہے کیونکہ یہ کرٹیٹوگرافک افعال انجام دینے میں خاص طور پر اچھا ہے.

وہ منگل کے روز برلن میں منعقد ہونے والی گفتگو میں چیف مواصلات کانگریس ہیکر کانفرنس میں ان کے نتائج پیش کرنے کا ارادہ رکھتے ہیں. انٹرنیٹ سیکورٹی کمیونٹی میں کچھ تعصب کی.

تحقیقاتی کام بین الاقوامی ٹیم کی طرف سے کیا گیا تھا جس میں آزاد محققین یعقوب اپیلبم اور الیگزینڈر طوطوف سمیت دیگر سائنسدانوں نے سینٹریم وسکنڈئ اور انفارمیٹیٹیکا کے کمپیوٹر سائنسدانوں، ایکل پولی ٹیکنیکک فیڈلرر ڈی لوزین، ایہوننوون یونیورسٹی آف ٹیکنالوجی اور برکلی یونیورسٹی، برکلے.

اگرچہ محققین کا خیال ہے کہ ان کی تکنیکوں کا استعمال کرتے ہوئے حقیقی دنیا پر حملہ ممکن نہیں ہے، وہ کہتے ہیں کہ ان کے کام سے پتہ چلتا ہے کہ MD5 hashing الگورتھم کو اب تک استعمال نہیں کرنا چاہئے. سرٹیفکیٹ اتھارٹی کمپنیاں جو ڈیجیٹل سرٹیفکیٹ جاری کرتے ہیں ڈیوڈ مولر نے بریکلے کے ایک گریجویٹ طالب علم کو اس منصوبے پر کام کیا جس نے اس منصوبے پر کام کیا. "

RapidRl.com، TC TrustCenter AG، RSA Data Security، Thawte اور Verisign.co کے علاوہ. محققین کا کہنا ہے کہ jp تمام اپنے سرٹیفکیٹس کی تخلیق کرنے کیلئے MD5 استعمال کرتے ہیں.

ایک حملے کا آغاز مشکل ہے، کیونکہ برا لوگ پہلے شکار ہونے والے ویب سائٹ پر جعلی ڈیجیٹل سرٹیفکیٹ کی میزبانی کرنے میں ایک شکار کو چال کرنا ضروری ہے. تاہم یہ کیا جا سکتا ہے، اس کا استعمال کرتے ہوئے کیا جا سکتا ہے جسے انسان میں اندرونی حملے کہا جاتا ہے. گزشتہ اگست، سیکورٹی محقق دان ڈین کامسکی نے ظاہر کیا کہ انٹرنیٹ کے ڈومین نام کے نظام میں ایک بڑی غلطی کس طرح انسان میں اندرونی حملوں کو شروع کرنے کے لئے استعمال کیا جا سکتا ہے. اس تازہ ترین تحقیق کے ساتھ، اب یہ ویب سائٹس کے خلاف اس قسم کے حملے شروع کرنے کے لئے آسان بن گیا ہے SSL (Secure Sockets Layer) خفیہ کاری کا استعمال کرتے ہوئے محفوظ کیا جاتا ہے، جو قابل اعتماد ڈیجیٹل سرٹیفکیٹ پر منحصر ہے.

"آپ اس کے ساتھ مل کر کامنسککی ڈی این ایس بگ استعمال کرسکتے ہیں. مولن نے کہا. "9

" یہ کیا ہو سکتا ہے کے بارے میں پائی میں اندر آسمان کی بات نہیں ہے یا جو کوئی بھی ایسا کرنے میں کامیاب ہوسکتا ہے، یہ اس کا مظاہرہ ہے کہ وہ اصل میں کیا کرتے ہیں اس بلاگ پر غلط استعمال کی اطلاع دیتے ہوئے ایرر آ گیا ہے. براہ مہربانی دوبارہ کوشش کریں. اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں. اس ویڈیو پر غلط استعمال کی اطلاع دیتے ہوئے ایرر آ گیا ہے. براہ مہربانی دوبارہ کوشش کریں. اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں. غلط استعمال کی اطلاع دیتے ہوئے ایرر آ گیا ہے. یونیورسٹی کے وانگ زیاؤن نے الگورتھم میں غلطیوں کا مظاہرہ کیا.

MD5 میں تحقیق کی حالت کو دیکھتے ہوئے، سرٹیفیکیشن حکام کو زیادہ محفوظ الگورتھم کے طور پر اپ گریڈ کرنا چاہئے جیسا کہ SHA-1 (سیکور ہش الورجیتھم -1) "سال پہلے" نے بی ٹی سی کے ساتھ ایک تحریری کرپٹ گرافک ماہر اور چیف سیکورٹی ٹیکنالوجی افسر بروس شننیر نے کہا.

ریڈ ایس ایس ایل.com جنوری کے اختتام تک ایم ڈی 5 سرٹیفکیٹ جاری کرنے سے روکیں گے اور اس کے بعد اپنے صارفین کو نئے ڈیجیٹل سرٹیفکیٹس منتقل کرنے کی حوصلہ افزائی کی جا رہی ہے، ویسیسینج کے ساتھ مصنوعات کے مارکیٹنگ کے نائب ٹیم کالن نے کہا.

لیکن سب سے پہلے، کمپنی اس تازہ ترین تحقیق پر ایک اچھی نظر ڈالنا چاہتا ہے. مولر اور ان کی ٹیم نے ان کے نتائج کو مائیکروسافٹ کے ذریعہ، غیر مستقیم طور پر ویزیسینج پر بات چیت کی ہے، لیکن انہوں نے براہ راست وییریسینج سے بات نہیں کی ہے، اس سے کہ کمپنی اپنی گفتگو کو مسترد کرنے کے لۓ قانونی کارروائی کر سکتی ہے. ماضی میں، کمپنیوں نے کبھی کبھی عدالتوں کے حکموں کو حاصل کرنے کے لئے محققین کو ہیکنگ کرنے سے متعلق محققین سے بچنے کی روک تھام کی ہے.

کالان نے کہا کہ اس کی خواہش تھی کہ ویریسس کو مزید معلومات ملی ہے. "میں یہ کیسے کہہ سکتا ہوں کہ کس طرح مایوسی ہوئی ہے کہ میں اس بلاگرز اور صحافیوں کو اس پر آگاہ کیا جا رہا ہے لیکن ہم نہیں ہیں، اس پر غور کریں کہ ہم ایسے لوگ ہیں جو اصل میں جواب دینا چاہتے ہیں." ​​

شنکیر نے کہا کہ جب تک وہ متاثرہ اس تازہ ترین تحقیق کے پیچھے ریاضی، انہوں نے کہا کہ انٹرنیٹ پر بہت زیادہ اہم سیکورٹی مسائل موجود ہیں - کمزوریاں جو حساس معلومات کے بڑے ڈیٹا بیس کو بے نقاب کرتی ہیں، مثال کے طور پر.

"آپ کو جعلی MD5 سرٹیفکیٹ حاصل نہیں ، کیونکہ آپ نے کبھی بھی اپنے سرٹوں کو کبھی بھی چیک نہیں کیا، "انہوں نے کہا. "جعلی ہونے کے کئی طریقے ہیں اور یہ ابھی تک ایک دوسرے ہے."