ویڈیو: ‫۱۰ مرد Ú©Ù‡ شاید آدم باورش نشه واقعی هستند‬ YouTube1 (اکتوبر 2024)
سی ایس ایل ، جو سکیورٹ ساکٹس لیئر کے لئے مختصر ہے ، وہی ہے جو ایس ٹی ٹی پی ایس میں رکھتا ہے۔ ویب سائٹ پر کوئی حساس معلومات داخل کرنے سے پہلے سیوی استعمال کنندہ ایڈریس بار میں ایچ ٹی ٹی پی ایس تلاش کرنا جانتے ہیں۔ ہماری سیکیورٹی واچ پوسٹس اکثر ان اینڈرائیڈ ایپس کو عذاب دیتے ہیں جو ایس ایس ایل کا استعمال کیے بغیر ذاتی ڈیٹا منتقل کرتے ہیں۔ افسوس ، حال ہی میں دریافت کیا گیا "ہارٹلیبلڈ" بگ حملہ آوروں کو ایس ایس ایل سے محفوظ مواصلات کو روکنے کی اجازت دیتا ہے۔
اس مسئلے کو ہارٹلیڈ کہا جاتا ہے کیونکہ یہ دل کی دھڑکن نامی ایک خصوصیت پر پگی بیک بیک کرتا ہے ، جو بڑے پیمانے پر استعمال ہونے والی اوپن ایس ایس ایل کریپٹوگرافک لائبریری کے مخصوص ورژن کو متاثر کرتا ہے۔ ہارٹلیڈ پر رپورٹ کرنے کے لئے بنائی گئی ویب سائٹ کے مطابق ، اوپن ایس ایل کا استعمال کرنے والے دو سب سے بڑے اوپن سورس ویب سرورز کا مشترکہ مارکیٹ شیئر 66 فیصد سے زیادہ ہے۔ اوپن ایس ایل کا استعمال ای میل ، چیٹ سرورز ، وی پی این ، اور "کلائنٹ سافٹ ویئر کی ایک بہت سی قسم" کو محفوظ بنانے کے لئے بھی کیا جاتا ہے۔ یہ سب جگہ پر ہے۔
یہ برا ہے ، واقعی برا
اس بگ کا فائدہ اٹھانے والا حملہ آور متاثرہ سرور کی میموری میں موجود ڈیٹا کو پڑھنے کی اہلیت حاصل کرتا ہے ، بشمول تمام اہم خفیہ کاری والی چابیاں۔ صارفین کے نام اور پاس ورڈ اور خفیہ کردہ مواد کی مجموعی کو بھی پکڑا جاسکتا ہے۔ سائٹ کے مطابق ، "اس سے حملہ آور مواصلات پر روشنی ڈال سکتے ہیں ، خدمات اور صارفین سے براہ راست ڈیٹا چوری کر سکتے ہیں اور خدمات اور صارفین کو نقالی بنا سکتے ہیں۔"
سائٹ پر یہ بات جاری ہے کہ خفیہ چابیاں پکڑنے سے "حملہ آور کو گذشتہ اور مستقبل کے ٹریفک کو محفوظ خدمات میں ڈیریکٹ کرنے کی اجازت ملتی ہے۔" واحد حل یہ ہے کہ اوپن ایس ایل کے بالکل تازہ ترین ورژن میں تازہ کاری کریں ، چوری شدہ چابیاں منسوخ کریں ، اور نئی چابیاں جاری کریں۔ اس کے بعد بھی ، اگر حملہ آور نے ماضی میں انکرپٹ ٹریفک کو روکا اور ذخیرہ کرلیا تو ، قبضہ کی گئی چابیاں اس کو خفیہ کردیں گی۔
کیا کیا جا سکتا ہے؟
اس مسئلے کو دو مختلف گروہوں ، کوڈینومکون کے محققین کی ایک جوڑی اور گوگل سیکیورٹی محقق نے آزادانہ طور پر دریافت کیا تھا۔ ان کا سخت مشورہ یہ ہے کہ اوپن ایس ایل نے ایسا ورژن جاری کیا جو دل کی دھڑکن کی خصوصیت کو مکمل طور پر غیر فعال کردیتا ہے۔ اس نئے ایڈیشن کے آغاز کے ساتھ ہی ، کمزور تنصیبات کا پتہ چل سکا کیونکہ صرف وہ دل کی دھڑکن کے اشارے کا جواب دیں گے ، جس سے "خطرناک خدمات کے مالکان تک پہنچنے میں بڑے پیمانے پر مربوط جواب دیا جاسکتا ہے۔"
سیکیورٹی برادری اس مسئلے کو سنجیدگی سے لے رہی ہے۔ مثال کے طور پر ، آپ کو US-CERT (ریاستہائے متحدہ امریکہ کی کمپیوٹر ایمرجنسی ریڈیینس ٹیم) کی ویب سائٹ پر اس کے بارے میں نوٹ ملیں گے۔ آپ اپنے سرورز کو یہ جانچ کرنے کے ل. دیکھ سکتے ہیں کہ آیا وہ کمزور ہیں یا نہیں۔
افسوس ، اس کہانی کا اختتام خوش نہیں ہے۔ حملے کا کوئی سراغ نہیں چھوڑتا ، لہذا کسی ویب سائٹ نے اس مسئلے کو ٹھیک کرنے کے بعد بھی ، کوئی اطلاع نہیں دی ہے کہ آیا بدمعاشوں نے نجی ڈیٹا کو ٹیپ کیا ہے یا نہیں۔ ہارٹلیڈ ویب سائٹ کے مطابق ، کسی آئی پی ایس (انٹروژن پریونشن سسٹم) کے لئے حملے کو باقاعدہ خفیہ کردہ ٹریفک سے ممتاز کرنا مشکل ہوگا۔ مجھے نہیں معلوم کہ یہ کہانی کیسے ختم ہوتی ہے۔ جب میں بتانے کے لئے اور بھی ہوں تو میں واپس اطلاع دوں گا۔
