بنیادی انٹرنیٹ حفاظت کے ساتھ خلیج پر پوڈل رکھیں

محققین نے سیکیئر ساکٹس لیئر (ایس ایس ایل) میں ایک اور سنگین خطرے کا انکشاف کیا ہے جس سے یہ معلوم ہوتا ہے کہ ہماری معلومات اور مواصلات کو آن لائن کیسے محفوظ کیا جاتا ہے۔ اچھی خبر یہ ہے کہ آپ اس خامی کو بروئے کار لاتے ہوئے حملوں کو روکنے کے لئے مخصوص اقدامات کرسکتے ہیں۔

گوگل کے محققین بوڈو مولر ، تھائی ڈونگ اور کرزیزٹوف کوٹوچ نے اوپن ایس ایس ایل آر ایس پر پوسٹ کردہ سیکیورٹی ایڈوائزری میں پیڈنگ اوریکل آن ڈاونگریڈ لیگیسی انکرپشن (پوڈلی) حملے کی تفصیلات کا خاکہ پیش کیا۔ کمزوری ایس ایس ایل 3.0 میں ہے ، جسے 1996 میں متعارف کرایا گیا تھا ، اور اس کی جگہ 1999 میں ٹرانسپورٹ لیئر سیکیورٹی (ٹی ایل ایس) نے لے لی تھی۔ پوڈل اس حقیقت کا فائدہ اٹھاتے ہیں کہ کلائنٹ - ویب براؤزرز شامل ہیں the پرانے ، کم محفوظ ، پروٹوکول کی حیثیت سے کم ہوجائیں گے محفوظ کنکشن قائم کرنے سے قاصر ہے۔ ڈاون گریڈ کو نیٹ ورک کی خرابیوں کے ساتھ ساتھ فعال حملہ آوروں کے ذریعہ بھی متحرک کیا جاسکتا ہے۔

مولر نے منگل کی سہ پہر گوگل آن لائن سیکیورٹی ٹیم کے بلاگ پر لکھا ، "چونکہ نیٹ ورک پر حملہ آور کنکشن کی ناکامی کا سبب بن سکتا ہے ، لہذا وہ ایس ایس ایل 3.0 کے استعمال کو متحرک کرسکتے ہیں اور پھر اس مسئلے کا استحصال کرسکتے ہیں۔"

پوڈل نے سیشن کوکیز کو بے نقاب کیا۔ حملہ آوروں کو صارف کا پاس ورڈ ای میل اکاؤنٹس یا دیگر آن لائن خدمات پر نہیں ملے گا ، لیکن پھر بھی صارف کے بطور لاگ ان کرسکیں گے جب تک کہ سیشن کی کوکی درست ہو۔ اریٹا سیکیورٹی کے رابرٹ گراہم نے کہا ، "اس طرح ، جب آپ اسٹاربکس میں رہتے ہیں تو ، آپ کے ساتھ ہی کچھ ہیکر اپنے ٹویٹر اکاؤنٹ میں ٹویٹس پوسٹ کرنے اور آپ کے جی میل کے تمام پیغامات پڑھنے کے قابل ہو جائے گا۔"

دفاع کی پہلی لائن

پوڈل حملہ متاثرہ شخص کے انٹرنیٹ کنکشن پر قابو پانے کے ل first پہلے پہل میں درمیانی درمیانی حملہ قائم کرنے پر انحصار کرتا ہے۔ اس کا ایک طریقہ یہ ہے کہ کسی عوامی مقام جیسے کوفیو شاپ میں بدنیتی پر مبنی Wi-Fi رسائی نقطہ مرتب کرنا ہے۔ حملہ آوروں کو بھی جاوا اسکرپٹ کوڈ کو متاثرہ شخص کے براؤزر کے اندر چلانے کے قابل ہونا چاہ.۔

"اس کا استحصال کرنے کے ل someone کسی کو درمیانی درجے کا ہونا ضروری ہے۔ اس کا مطلب ہے کہ آپ شاید گھر میں ہیکرز سے محفوظ ہیں ، اگرچہ این ایس اے سے محفوظ نہیں ہیں۔ تاہم ، جب مقامی اسٹار بکس یا دوسرے غیر خفیہ کردہ وائی فائی میں ، آپ "اس ہیک سے شدید خطرہ ہے ،" گراہم نے لکھا۔

لہذا پہلے ہی کچھ چیزیں ہیں جو آپ پوڈل کے ممکنہ حملوں کو کامیاب ہونے سے روکنے کے ل do کرسکتے ہیں۔ جیسا کہ ہم نے بار بار کہا ہے ، عوامی وائی فائی نیٹ ورکس یا ایسے لوگوں کے ذریعہ چلائے جانے والے مہمان نیٹ ورکوں پر ولی نیلی مت لگائیں جو آپ نہیں جانتے ہیں۔ یہاں تک کہ اگر آپ پوڈل کے بارے میں فکر مند نہیں ہیں تو ، درمیانی درمیانی حملہ سنجیدہ ہیں اور آپ اس بات سے محتاط رہ کر اپنے آپ کو بچاتے ہیں کہ آپ کس نیٹ ورک سے جڑے ہیں۔

اگر آپ کو کسی عوامی نیٹ ورک پر جانے کی ضرورت ہے تو ، VPN استعمال کریں ، چاہے وہ آپ کے کام کی جگہ سے ہو یا بہت سی VPN دستیاب خدمات میں سے ہو۔ پرائیویٹ انٹرنیٹ ایکسیس ، سائبرگھوسٹ وی پی این ، اور اینکرفری کی ہاٹ اسپاٹ شیلڈ جیسے کچھ نام ہیں۔

حملہ آور صارفین کو ممکنہ طور پر تیار کردہ جاوا اسکرپٹ کوڈ کو عملی جامہ پہنانے کے لئے ڈیزائن کیے گئے ایک بدنصیب ویب پیج پر جانے کی طرف راغب کریں گے۔ محتاط رہیں کہ آپ کس سائٹ پر جاتے ہیں اور فشنگ سائٹوں کی تلاش میں رہتے ہیں۔

ہمارے پاس ابھی بھی ایس ایس ایل 3.0 کیوں ہے؟

زیادہ تر جدید سرور اور ایپلی کیشنز TLS 1.1 یا 1.2 کا استعمال کرتے ہیں ، لیکن میراثی ایپلی کیشنز اور سسٹم کی حمایت کے لئے ایس ایس ایل 3.0 اب بھی بڑے پیمانے پر استعمال ہوتا ہے۔ انٹرنیٹ ایکسپلورر 6 ایک اچھی مثال ہے۔ اگرچہ IE 6 اتنا دکھائی نہیں دیتا ہے جتنا پہلے ہوتا تھا ، یہ کافی عرصے سے لٹکتا رہتا ہے ، لہذا زیادہ محفوظ TLS کے ساتھ ساتھ SSL 3.0 کی مدد کے لئے بہت سارے سرورز اور ایپلی کیشنز بنائے گئے تھے۔ نیٹ ورک نے اندازہ لگایا ہے کہ ایس ایس ایل کے تقریبا 97 فیصد سرور خطرے سے دوچار ہیں۔

سیکیورٹی کے محقق ٹرائے ہنٹ نے لکھا ، "آپ آج زیادہ تر جگہوں پر اس کو بہت زیادہ مار ڈال سکتے ہیں ، لیکن یہ اس مسئلے کا صرف ایک حصہ ہے کیونکہ وہاں کلائنٹ موجود ہیں جو ایس ایس ایل 3.0 پر واپس آنے کی صلاحیت پر منحصر ہوسکتے ہیں۔ ہم نہیں جانتے کہ وہ کون سے ہیں ، کمپنیاں صرف پلگ کھینچنے پر راضی ہیں۔ مثال کے طور پر ، ایسی ٹویٹر اطلاعات تھیں کہ ونڈوز کے مقبول ٹویٹر کلائنٹ میٹرو ٹوٹ نے ایس ایس ایل 3.0 پر انحصار کیا اور ٹویٹر کو ایس ایس ایل 3.0 کی معاونت کے بعد منگل کی شام کو کام کرنا چھوڑ دیا (میٹرو ٹوٹ نے ، ہاٹ فکس جاری کیا ہے ، لہذا آپ کو اپنے موکل کو اپ ڈیٹ کرنا چاہئے) .

ہنٹ نے کہا ، "یہ غیر یقینی صورتحال ہے جو نسل کی ان ابتدائی ٹیکنالوجیز کو زندہ رکھتی ہے۔"

براؤزر کا مسئلہ حل کریں

ایک جدید ، معیار کے مطابق ویب براؤزر استعمال کریں۔ متوقع طور پر 25 نومبر کو متوقع فائرفاکس کے اگلے ورژن میں موزیلا SSL 3.0 کو بطور ڈیفالٹ غیر فعال کردے گی ، اور گوگل اسے کروم سے صاف کررہا ہے۔ سفاری نے ایس ایس ایل کو خود کار طریقے سے قابل بنادیا ، لیکن ایپل نے ابھی براؤزر کے اپنے منصوبوں پر غور کرنا ہے۔ مائیکرو سافٹ نے ونڈوز ڈیسک ٹاپس اور سرورز سے ایس ایس ایل 3.0 کو غیر فعال کرنے کے بارے میں ہدایات کے ساتھ ایک ایڈوائزری پوسٹ کی۔

"مائیکرو سافٹ سے نفرت کرنے کی ضرورت نہیں ہے ، کیونکہ انٹرنیٹ ایکسپلورر 10 یا 11 انجام دے گا۔"

آپ انٹرنیٹ آپشنز مینو میں ایڈوانسڈ ٹیبز کے تحت SSL 3.0 باکس کو غیر چیک کرکے IE میں دستی طور پر SSL 3.0 کو آف کر سکتے ہیں۔ فائر فاکس صارفین براؤزر کے بارے میں کوونفگ پر جائیں ، اور سیکیورٹی .tls.version.min کی قدر 1 میں تبدیل کریں۔ وہ ایس ایس ایل 3.0 کو غیر فعال کرنے کے لئے موزیلا کا ایڈون ڈاؤن لوڈ کرسکتے ہیں۔ کروم صارفین جو ایس ایس ایل 3.0 کو غیر فعال کرنا چاہتے ہیں وہ براؤزر میں کمانڈ لائن فلیگ --ssl-version-min = tls1 شامل کرسکتے ہیں۔

سفاری استعمال کرنے والوں کو جب کبھی بھی تازہ کاری کا انتظار کرنا پڑے گا۔ عارضی طور پر سفاری سے دور رہنے سے پوڈل کے حملے کے امکانات کم ہوجائیں گے۔

جب مائیکرو سافٹ نے اپریل میں ونڈوز ایکس پی کی حمایت کرنا چھوڑ دی تھی ، تب بھی ہولڈ آؤٹ تھے جنہوں نے دعوی کیا تھا کہ وہ آپریٹنگ سسٹم میں اپ گریڈ کرنے کی کوئی وجہ نہیں دیکھتے ہیں۔ اگر وہ صارفین اب بھی انٹرنیٹ ایکسپلورر 6 کا استعمال کررہے ہیں تو ، وہ آن لائن چیزوں کو ٹوٹتے دیکھنا شروع کردیں گے۔ کلاؤڈفلیئر نے اپنی میزبانی والی تمام سائٹوں کے لئے SSL 3.0 کو بطور ڈیفالٹ غیر فعال کردیا ہے ، بشمول 2 ملین سائٹیں جو مفت منصوبے کا استعمال کرتی ہیں۔ کلاؤڈ فلایر نے کہا کہ اس فیصلے سے اس کی سائٹس پر آنے والی تمام ٹریفک کا 1 فیصد سے بھی کم متاثر ہوگا۔ بہت ساری کمپنیاں ٹویٹر کی مثال پر عمل کریں گی اور اپنی سائٹوں پر تعاون بند کردیں گی۔ اگر آپ اب بھی IE 6 یا ونڈوز ایکس پی استعمال کرتے ہیں تو ، آپ کو واقعی اپ گریڈ کرنے کی ضرورت ہے۔

ہنٹ نے لکھا ، "اگر آپ آج IE 6 چلا رہے ہیں (ہاں ، ابھی بھی کچھ باقی ہیں) اور آپ کو اپ گریڈ کرنے کا انتخاب نہیں ہوگا کیونکہ 'وجوہات' کی بناء پر ، آپ کو بھرا ہوا ہے ،" ہنٹ نے لکھا۔