ویڈیو: دس ÙÙ†ÛŒ لمØات جس ميں لوگوں Ú©ÛŒ کيسے دوڑيں لگتی ÛÙŠÚº ™,999 ÙÙ†ÛŒ (اکتوبر 2024)
TLS (ٹرانسپورٹ پرت سیکیورٹی) اور ایس ایس ایل (سیکور ساکٹ لیئر) جیسے فینسی مخففات نیٹ ورک مواصلات میں تربیت یافتہ افراد کے لئے پیچیدہ نہیں ہیں۔ آپ کو توقع ہوگی کہ ہارٹلیڈ اٹیک ، جو محفوظ مواصلات میں کسی مسئلے کا فائدہ اٹھاتا ہے ، یہ حیرت انگیز حد تک پیچیدہ اور دلدل ہوگا۔ ٹھیک ہے ، ایسا نہیں ہے۔ در حقیقت ، یہ مضحکہ خیز آسان ہے۔
جب یہ صحیح کام کر رہا ہے
سب سے پہلے ، ایک چھوٹا سا پس منظر۔ جب آپ کسی محفوظ (HTTPS) ویب سائٹ سے رابطہ کرتے ہیں تو ، محفوظ سیشن ترتیب دینے کے لئے ایک قسم کی مصافحہ ہوتا ہے۔ آپ کا براؤزر سائٹ کے سرٹیفیکیٹ سے درخواست کرتا ہے اور اس کی تصدیق کرتا ہے ، محفوظ سیشن کے لئے ایک انکرپشن کی کلید تیار کرتا ہے ، اور سائٹ کی پبلک کلید کا استعمال کرکے اس کو خفیہ کاری کرتا ہے۔ سائٹ اسی نجی کلید کا استعمال کرتے ہوئے اس کو ڈکراتی ہے ، اور سیشن کا آغاز ہوتا ہے۔
ایک عام HTTP کنکشن غیر متعلقہ واقعات کی ایک سیریز ہے۔ آپ کا براؤزر سائٹ سے ڈیٹا کی درخواست کرتا ہے ، سائٹ اس اعداد و شمار کو واپس کرتی ہے ، اور اگلی درخواست تک یہ بات ہو جاتی ہے۔ تاہم ، یہ محفوظ کنیکشن کے دونوں اطراف کے لئے اس بات کا یقین کرنے میں مددگار ہے کہ دوسرا ابھی بھی سرگرم ہے۔ TLS کے لئے دل کی دھڑکن میں توسیع سے ایک ڈیوائس دوسرے پلے بوجھ کو بھیج کر ایک مخصوص پے لوڈ بھیج کر دوسرے کی مسلسل موجودگی کی تصدیق کرتا ہے۔
ایک بڑا سکوپ
دل کی دھڑکن پے لوڈ ایک ڈیٹا پیکٹ ہے جس میں دوسری چیزوں کے علاوہ ، ایک فیلڈ شامل ہوتا ہے جو پے لوڈ کی لمبائی کی وضاحت کرتا ہے۔ ایک دل سے حملے میں پے لوڈ کی لمبائی کے بارے میں جھوٹ بولنا شامل ہے۔ خراب خراب دل کی دھڑکن کے پیکٹ کا کہنا ہے کہ اس کی لمبائی 64KB ہے ، زیادہ سے زیادہ ممکن ہے۔ جب چھوٹی سرور اس پیکٹ کو حاصل کرتا ہے ، تو وہ میموری سے اس مقدار کے اعداد و شمار کو جوابی پیکٹ میں کاپی کرکے جواب دیتا ہے۔
بس اس یاد میں کیا ہے؟ ٹھیک ہے ، بتانے کا کوئی طریقہ نہیں ہے۔ حملہ آور کو نمونوں کی تلاش میں اس کے ذریعے کنگھا کرنا پڑے گا۔ لیکن ممکنہ طور پر کچھ بھی قبضہ میں لیا جاسکتا ہے ، بشمول انکرپشن کیز ، لاگ ان کی اسناد اور بہت کچھ۔ درست کرنا آسان ہے۔ یہ یقینی بنانے کے لئے چیک کریں کہ بھیجنے والے پیکٹ کی لمبائی کے بارے میں جھوٹ نہیں بول رہے ہیں۔ بہت بری بات ہے کہ انہوں نے ایسا کرنے کا سوچا نہیں تھا۔
فوری ردعمل
چونکہ اس مسئلے کے استحصال سے کوئی سراغ نہیں ملتا ، لہذا ہم واقعی یہ نہیں بتاسکتے ہیں کہ محفوظ شدہ ڈیٹا کتنا چوری کیا گیا ہے۔ ڈاکٹر ڈیوڈ بیلی ، بی اے ای سسٹمز اپلائیڈ انٹلیجنس کے سی ٹی او برائے سائبر سیکیورٹی ، نے کہا ، "صرف وقت ہی یہ بتائے گا کہ آیا ڈیجیٹل مجرم حساس ذاتی ڈیٹا حاصل کرنے ، صارف کے اکاؤنٹ اور شناختوں پر قبضہ کرنے اور رقم چوری کرنے کے لئے اس کا استحصال کرنے میں کامیاب ہیں یا نہیں۔ یہ مخصوص مسئلہ گزرے گا لیکن اس سے منسلک دنیا کی ایک اہم خصوصیت کو اجاگر کیا گیا ہے اور کاروبار اور سیکیورٹی فراہم کرنے والے دونوں کو فکرمند رہنے کی ضرورت کی وضاحت کی گئی ہے کہ وہ ان جیسے معاملات کو کس طرح حل کرتے ہیں اور خفیہ مقام پر مبنی تکنیک اپناتے ہیں جو کمزور مقامات پر حملہ کرنے سے پہلے دفاع کو بہتر بناتے ہیں۔ "
ایسا لگتا ہے کہ زیادہ تر ویب سائٹیں اس معاملے میں مطلوبہ فرتیلی کا مظاہرہ کررہی ہیں۔ بی اے ای نے اطلاع دی ہے کہ 8 اپریل کو اس نے 10،000 سب سے اوپر کی ویب سائٹوں میں سے 628 کو کمزور پایا۔ 9 اپریل ، کل ، یہ تعداد کم ہوکر 301 ہوگئی تھی۔ اور آج صبح یہ گھٹ کر 180 ہو گئی تھی۔ یہ ایک بہت ہی تیز ردعمل ہے۔ آئیے امید کرتے ہیں کہ جلد بازیاں بگ کو جلد ٹھیک کرنے میں مصروف ہوجائیں گے۔
ذیل میں انفوگرافک مثال دیتا ہے کہ کس طرح ہارلیڈڈ کام کرتا ہے۔ بڑے نظارے کے لئے اس پر کلک کریں۔
