جو Ú©Ûتا ÛÛ’ مجھے Ûنسی Ù†ÛÛŒ آتی ÙˆÛ Ø§ÛŒÚ© بار ضرور دیکھے۔1
محققین نییٹ لاسن اور ٹیلر نیلسن کہتے ہیں کہ ایک بنیادی سلامتی کی خرابی جس پر درجنوں کھلی منبع سوفٹ ویئر لائبریریوں پر اثر انداز ہوتا ہے - بشمول ان سافٹ ویئر کے ذریعہ جو OAuth اور OpenID معیار کو لاگو کرتی ہے بشمول لوگوں کو ویب سائٹ میں لاگ ان کرتے وقت پاس ورڈ اور صارف کے ناموں کو چیک کرنے کے لئے استعمال کیا جاتا ہے. OAuth اور OpenID تصدیق مقبول ویب سائٹس جیسے ٹویٹر اور ڈیگ جی کے ذریعہ قبول کئے جاتے ہیں.
انہوں نے پایا کہ ان لاگ ان کے نظام کے کچھ ورژن ایک وقت کے حملے کے طور پر جانا جاتا ہے کے لئے خطرناک ہیں. Cryptographers نے 25 سال تک حملوں کے وقت کے بارے میں معلوم کیا ہے، لیکن وہ عام طور پر نیٹ ورک پر دستخط کرنے کے لئے بہت سخت سوچتے ہیں. محققین کا مقصد یہ ظاہر کرنے کا مقصد ہے کہ یہ معاملہ نہیں ہے.
[مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]
حملوں کو بہت مشکل سمجھا جاتا ہے کیونکہ انہیں انتہائی عین مطابق پیمائش کی ضرورت ہوتی ہے. وہ لاگ ان کی درخواست کا جواب دینے کے لئے کمپیوٹر کے لۓ وقت لیتے وقت پاس ورڈ کو ٹوٹ ڈالتے ہیں. کچھ لاگ ان کے نظام پر، کمپیوٹر ایک وقت میں پاس ورڈ کے حروف کو چیک کرے گا، اور جیسے ہی اس پاس ورڈ میں خراب کردار پھیلتا ہے، ایک "لاگ ان ناکام" پیغام کو واپس لینا. اس کا مطلب یہ ہوتا ہے کہ کمپیوٹر ایک مکمل طور پر خراب لاگ ان کو لاگ ان سے تھوڑا تھوڑا سا تیز کرنے کی کوشش کرتا ہے جہاں پاس ورڈ میں پہلا کردار درست ہے.دوبارہ بار بار لاگ ان کرنے کی کوشش کر کے، حروف کے ذریعہ سائیکلنگ اور اس وقت کی پیمائش کرنا کمپیوٹر کا جواب دینے کے لئے، ہیکرز صحیح طور پر صحیح پاس ورڈ لکھ سکتے ہیں.
یہ سب بہت نظریاتی آواز لگاتی ہے، لیکن وقت کے حملوں کو اصل دنیا میں اصل میں کامیابی حاصل ہوتی ہے. تین سال پہلے، مائیکروسافٹ کے ایکس باکس 360 گیمنگ کے نظام کو ہیک کرنے کے لئے استعمال کیا گیا تھا، اور اسمارٹ کارڈ بنانے والوں نے سالوں کے لئے ٹائمنگ حملوں کو تحفظ فراہم کیا ہے.
لیکن انٹرنیٹ کے ڈویلپرز نے طویل عرصے سے یہ فرض کیا ہے کہ بہت سے دوسرے عوامل ہیں جنہیں نیٹ ورک جھنڈر کہتے ہیں - جس کا رد عمل کا وقت سست ہو یا تیز ہوجائے اور اسے مناسب ناممکن نتائج حاصل کرنے کے لئے تقریبا ناممکن بناؤ، جہاں نیناسیکنڈ کسی فرق کو مرتب کرتے ہیں، کامیاب وقت پر حملہ کرنے کی ضرورت ہے.
ان خیالات غلط ہیں، قانون کے بانی کے مطابق، بانی سیکورٹی کنسلٹنٹس روٹ لیبز. وہ اور نیلسن نے انٹرنیٹ، مقامی علاقائی نیٹ ورک اور کلاؤڈ کمپیوٹنگ کے ماحول میں حملوں کا تجربہ کیا اور پایا کہ وہ نیٹ ورک کے جھنڈے سے الگ ہونے والی الگورتھم کو استعمال کرنے کے ذریعے تمام ماحول میں پاس ورڈ کو کچلنے میں کامیاب تھے.
وہ اپنے حملوں پر تبادلہ خیال کرنے کی منصوبہ بندی کرتے ہیں. لسنسن نے کہا کہ اس ماہ کے آخر تک سیاہ ہا کانفرنس لاس ویگاس میں ہے.
"میں واقعی میں سوچتا ہوں کہ لوگوں کو اس کا استحصال دیکھنے کی ضرورت ہے کہ یہ ایک مسئلہ ہے جو انہیں ٹھیک کرنے کی ضرورت ہے." انہوں نے کہا کہ وہ ان قسم کے ویب ایپلی کیشنز پر توجہ مرکوز کر رہے ہیں، کیونکہ وہ اکثر وقت کے حملوں کے لئے ناقابل قبول سوچتے ہیں. انہوں نے کہا کہ "میں ان لوگوں تک پہنچنا چاہتا ہوں جو کم از کم اس سے واقف ہوں،" انہوں نے کہا.
محققین نے یہ بھی معلوم کیا ہے کہ ان سوالات جن میں پطرون یا روبی جیسے تشریح شدہ زبانوں میں لکھا جاتا ہے وہ ویب پر بہت مقبول ہیں. دیگر قسم کی زبانوں جیسے سی یا اسمبلی کی زبان کے مقابلے میں آہستہ آہستہ ردعمل، وقت کے حملوں کو زیادہ ممنوع بنانے کے. لانسن نے کہا کہ "زبانوں کے بارے میں تشریح کی جاتی ہے، آپ لوگوں کے خیال سے زیادہ وقت کی فرق کے ساتھ ختم ہو جاتے ہیں."
اب بھی، یہ حملوں کو کچھ بھی نہیں ہے کہ زیادہ تر لوگوں کے بارے میں فکر کرنا چاہئے، معیارات کے مطابق یاہو ہتھوڑا- Lahav ، OAuth اور اوپنڈ دونوں منصوبوں میں ایک شراکت دار. انہوں نے ایک ای میل پیغام میں لکھا "مجھے اس کے بارے میں کوئی تعلق نہیں ہے." "مجھے نہیں لگتا کہ کسی بھی بڑے کو فروغ دینے والے سرور کے ضمنی عمل درآمد کے لئے کسی بھی کھلی منبع لائبریریوں کا استعمال کررہے ہیں، اور یہاں تک کہ اگر انہوں نے کیا تو، یہ عملدرآمد کرنے کا ایک چھوٹا سا حملہ نہیں ہے."
لسنسن اور نیلسن نے اس مسئلے سے متاثر سافٹ ویئر ڈویلپرز کو مطلع کیا ہے، لیکن جب تک وہ مقررہ وقت تک خطرناک مصنوعات کے ناموں کو جاری نہیں کریں گے. زیادہ تر لائبریریوں کے اثرات کے لئے، فکس آسان ہے: صحیح اور غلط دونوں پاس ورڈ دونوں کو واپس کرنے کے لئے ایک ہی وقت لگانے کا نظام پروگرام. لانسن نے کہا کہ یہ کوڈ کے بارے میں چھ لائنوں میں کیا جا سکتا ہے.
دلچسپی سے، محققین نے محسوس کیا کہ کلاؤڈ پر مبنی ایپلی کیشنز کو ان قسم کے حملوں سے زیادہ خطرناک ہوسکتا ہے کیونکہ ایمیزون EC2 اور Slicehost جیسے خدمات کو حملہ کرنے کے لئے ایک راستہ فراہم کرتا ہے. ان کے اہداف کے قریب، اس طرح نیٹ ورک کے جھنڈے کو کم کرنا.
تورسن اور نیلسن سیاہ ہٹ پر ان کی بات کرنے سے پہلے نہیں کہہ رہے ہیں کہ ان کے وقت کی پیمائش کی پیمائش کی گئی تھی، لیکن اصل وجہ یہ ہیں کہ یہ اس قسم کے حملے کو دور کرنے کے لئے مشکل ہوسکتا ہے سکاٹ موریسن کے مطابق بادل، پرت 7 ٹیکنالوجیز کے ساتھ CTO، کلاؤڈ کمپیوٹنگ سیکورٹی فراہم کنندہ.
کیونکہ مختلف مختلف مجازی نظام اور ایپلی کیشن کلاؤڈ میں وسائل کو کمپیوٹنگ کے لئے مقابلہ کر رہے ہیں، یہ قابل اعتماد نتائج حاصل کرنے کے لئے مشکل ہوسکتا ہے، وہ کہا. "ان تمام چیزوں کو اس خاص طور پر کم کرنے میں مدد کرنے کے لئے کام کرنا ہے … پر حملہ کرنا کیونکہ یہ صرف پورے نظام کو غیر متوقع طور پر جوڑتا ہے."
پھر بھی، انہوں نے کہا کہ اس قسم کی تحقیق ضروری ہے کیونکہ یہ ظاہر ہوتا ہے کہ حملہ کس طرح، واقعی میں کام کر سکتا ہے.
رابرٹ میکلین نے
آئی ڈی جی نیوز سروس کے لئے کمپیوٹر سیکورٹی اور جنرل ٹیکنالوجی کو توڑنے کا احاطہ کیا. bobmcmillan پر ٹویٹر پر ٹویٹر پر عمل کریں. رابرٹ کا ای میل پتہ [email protected] ہے
KeePass پاس ورڈ کے ساتھ محفوظ اور پیدا کردہ پاسورڈز KeePass پاس ورڈ محفوظ جائزہ: محفوظ پاس ورڈ
KeePass پاس ورڈ محفوظ ایک ونڈوز کے لئے ایک مفت پاس ورڈ مینیجر ہے، یقینی بنانے کے لئے صارفین کو ایک مضبوط اور محفوظ پاسورڈ ہے بنانے کے لئے ڈیزائن کیا ہے. . اس کا جائزہ لیں اور اسے ڈاؤن لوڈ کریں.
پاس ورڈ گوریلا کے لئے ایک مفت پاس ورڈ مینیجر: ونڈوز 7 کے لئے ایک مفت پاس ورڈ مینیجر <7 9>> مدد کرنے کے لئے ونڈوز 7 کے لئے ایک کھلا ذریعہ مفت پاس ورڈ منیجر پاس ورڈ ڈاؤن لوڈ کریں. آپ اپنے لاگ ان اور پاس ورڈز کو منظم کرتے ہیں.
کیا آپ نے ابھی تک اپنے مختلف اکاؤنٹس کے اپنے پاس ورڈ یاد رکھے ہیں اور آپ ان کو ایک ہی جگہ پر محفوظ کرنا چاہتے ہیں؟ اس کے بعد آپ صحیح جگہ پر ہیں، کیونکہ یہ مضمون مفت پاس ورڈ مینیجر کے بارے میں بتاتا ہے،
وائی فائی پاس ورڈ ڈمپ اور وائی فائی پاس ورڈ ڈیکپٹور کے ساتھ وائی فائی پاس ورڈ کے ساتھ ونڈوز میں وائی فائی پاس ورڈ دوبارہ حاصل کریں
وائی فائی پاس ورڈ ڈمپ اور وائی فائی پاس ورڈ ڈیکپٹیٹر دو فریویئر ہیں. آپ ونڈوز 8 میں بھول گئے Wi-Fi پاسورڈز کو بحال کرنے میں مدد کریں گے 7. ان کو مفت ڈاؤن لوڈ کریں.