سیکورٹی پرو کا کہنا ہے کہ نیا ایس ایس ایل حملہ کئی سائٹس کو مار سکتا ہے

سیئٹل کمپیوٹر سیکورٹی کنسلٹنٹ کا کہنا ہے کہ انہوں نے انٹرنیٹ پر مواصلات کو محفوظ رکھنے کے لئے استعمال کیا، ایس ایس ایل پروٹوکول میں حال ہی میں ظاہر کردہ بگ کا استحصال کرنے کا ایک نیا طریقہ تیار کیا ہے. حملہ، جب تک عملدرآمد کرنا مشکل ہے، حملہ آوروں کو بہت طاقتور فشائشی حملے دے سکتا ہے.

لیہاتھن سیکیورٹی گروپ کے سی ای او فرینک ہیڈت کہتے ہیں کہ ان کی "عام" ثبوت کا تصور کوڈ مختلف ویب سائٹس پر حملہ کرنے کے لئے استعمال کیا جا سکتا ہے.. اگرچہ حملے ختم کرنے میں بہت مشکل ہے - ہیکر پہلے سب سے پہلے ایک مرد میں اندرونی حملے کو چلانا پڑے گا، چلانے والی کوڈ جو شکار کے نیٹ ورک سے تعلق رکھتا ہے. اس کے نتیجے میں تباہ کن نتائج ہوسکتے ہیں.

حملے ایس ایس ایس (سیکورٹ ساکٹ پرت) مستند گیپ بگ کا استحصال کرتا ہے، سب سے پہلے نومبر کو ظاہر کیا. 5. ایس ایس ایل بگ کے دریافتوں میں سے ایک، فون فیکٹری میں مارش رے کہتے ہیں کہ اس نے ہیڈٹ کے حملے کا مظاہرہ دیکھا ہے، اور وہ اس بات کا یقین کر سکتے ہیں کہ یہ کام کر سکتا ہے. رے نے کہا کہ "اس نے مجھے یہ دکھایا اور یہ حقیقی سودا ہے."

[مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

ایس ایس ایل توثیق کی غلطی نے حملہ آور کو ڈیٹا بھیجنے کے لئے ایک راستہ فراہم کیا ہے. SSL سرور پر، لیکن واپس آنے والی معلومات کو پڑھنے کا کوئی طریقہ نہیں ہے. وہ ڈیٹا بھیجتا ہے جو ایس ایس ایس سرور کو ایک ریڈ ای میل بھیجنے کا سبب بنتا ہے جس کے بعد کسی دوسرے صفحے پر ویب براؤزر بھیجتا ہے. اس کے بعد وہ متاثرہ پیغام استعمال کرتا ہے جسے متاثرین کو غیر محفوظ کنکشن میں منتقل کرنے کے لۓ استعمال کیا جاتا ہے جہاں ویب صفحات ہیجٹ کے کمپیوٹر کے ذریعہ وہ شکار کو بھیجے گئے ہیں.

"فرینک نے اس اندھے سادہ متن انجکشن حملے کا فائدہ اٹھایا ہے. براؤزر اور محفوظ سائٹ کے درمیان کنکشن کے مکمل معاہدے، "رے نے کہا.

انٹرنیٹ کمپنیوں کے ایک کنسورومیم کو فکسڈ کو ٹھیک کرنے کے لئے کام کر رہا ہے کیونکہ فونفیکٹور ڈویلپرز نے اس سے قبل کئی مہینے قبل اسے بے نقاب کیا. جب ان کے کام نے غیر معمولی بحث بحث کی فہرست پر مبنی طور پر ظاہر کیا تو ان کے کام نے نئے فوری طور پر حاصل کی. آئی پی ایم کے محققین انیل کورم نے ظاہر کیا کہ سیکورٹی ماہرین نے اس تازہ ترین ایس ایس ایس کی غلطی کے بارے میں بہت ساری بحث کی ہے جس میں عوامی علم بن گیا.

پچھلے ہفتہ، آئی بی ایم کے محققین انیل کورم نے ظاہر کیا کہ براؤزر کو ٹویٹر کے پیغامات کو بھیجنے کے لئے کس طرح غلط استعمال کیا جا سکتا ہے جس میں صارف کا پاسورڈ موجود ہے. ہیڈٹ نے کہا کہ اس تازہ ترین حملے سے پتہ چلتا ہے کہ محفوظ ویب سائٹس سے ہر قسم کے سنجیدگی سے حساس معلومات کو چوری کرنے کے لئے استعمال کیا جا سکتا ہے.

خطرناک ہونے کے لئے، سائٹس کو ایس ایس ایل کے تحت کلائنٹ رینجویشن نامی نام میں کچھ کرنے کی ضرورت ہے اور ان پر کچھ عنصر بھی محفوظ ویب صفحات جو ایک خاص 302 ری ڈائریکٹر پیغام پیدا کرسکتا ہے.

بہت زیادہ اعلی ترین بینکنگ اور ای کامرس ویب سائٹس کو اس 302 ری ڈائریکٹر پیغام کو اس طرح سے استحصال نہیں کیا جاسکتا ہے جس سے استحصال کیا جاسکتا ہے، لیکن سائٹس کی "بڑی تعداد" Heidt نے کہا کہ حملہ کیا جائے.

غلطی کے خطرے میں بہت سے ویب سائٹس کے ساتھ، Heidt کا کہنا ہے کہ وہ فوری طور پر ان کے کوڈ کو جاری کرنے کا ارادہ نہیں رکھتا.

شکار کے نقطہ نظر سے، حملے کے دوران صرف قابل تبدیلی ہے کہ براؤزر نہیں ایسا لگتا ہے کہ ایس ایس ایس سائٹ سے منسلک ہے. حملے اس سال کے پہلے سیکورٹی کانفرنس میں مائکسی مارلنسپیک [سی آر] کی طرف سے دکھایا گیا ہے جس میں ایس ایس ایس پٹی حملے کی طرح ہے.

لیہاتھن سیکیورٹی گروپ نے یہ آلہ بنا دیا ہے کہ ویب ماسٹر یہ دیکھنے کے لئے استعمال کرسکتے ہیں کہ ان سائٹس کو ایک ایس ایس ایس توثیق وقفے سے خطرناک ہے حملے.

کیونکہ ایس ایس ایل، اور اس کے متبادل معیار، TLS، انٹرنیٹ ٹیکنالوجیوں کی ایک بڑی حد میں استعمال کیا جاتا ہے جو مسئلے سے دور تک پہنچنے والے اثرات ہیں.

G-Sec کے ساتھ ایک سیکورٹی مشیر تھریری زولر کہتے ہیں کہ نظریاتی طور پر، میل سرور پر حملہ کرنے کے لئے غلط استعمال کیا جا سکتا ہے. انہوں نے ایک فوری پیغام انٹرویو میں کہا کہ "ایک حملہ آور ممکنہ طور پر محفوظ SMTP [سادہ میل ٹرانسمیشن پروٹوکول] کے کنکشن پر بھیج سکتے ہیں،" اگرچہ وہ ایک نجی سرٹیفکیٹ کے ذریعہ تصدیق کر رہے ہیں. "

زولر، جو لیواہات کے کوڈ کو نہیں دیکھا ہے، کہا گیا ہے کہ اگر حملہ اشتہار کے طور پر کام کرتا ہے، تو اس کا کوئی بھی شخص اس بات کا اندازہ کرتا ہے کہ یہ کس طرح کرنا ہے.