HTTPS ಮೇಲಿನ ಸಂಭಾವ್ಯ ದಾಳಿಗಳು ಮತ್ತು ಅವುಗಳ ವಿರುದ್ಧ ಹೇಗೆ ರಕ್ಷಿಸುವುದು

ಅರ್ಧದಷ್ಟು ಸೈಟ್ಗಳು HTTPS ಅನ್ನು ಬಳಸುತ್ತದೆ, ಮತ್ತು ಅವರ ಸಂಖ್ಯೆಯು ಸ್ಥಿರವಾಗಿ ಹೆಚ್ಚುತ್ತಿದೆ. ಪ್ರೋಟೋಕಾಲ್ ಟ್ರಾಫಿಕ್ ಪ್ರತಿಬಂಧದ ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ, ಆದರೆ ಪ್ರಯತ್ನದ ದಾಳಿಗಳನ್ನು ತೆಗೆದುಹಾಕುವುದಿಲ್ಲ. ನಾವು ಅವುಗಳಲ್ಲಿ ಕೆಲವು ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತೇವೆ - ಪೂಡ್ಲ್, ಬೀಸ್ಟ್, ಡ್ರೋನ್ ಮತ್ತು ಇತರರು - ಮತ್ತು ನಮ್ಮ ವಸ್ತುವಿನಲ್ಲಿ ರಕ್ಷಣೆಯ ವಿಧಾನಗಳು.

/ಫ್ಲಿಕ್ಕರ್/ ಸ್ವೆನ್ ಗ್ರೇಮ್ / CC ಬೈ SA

ಪೂಡ್ಲ್

ದಾಳಿಯ ಬಗ್ಗೆ ಮೊದಲ ಬಾರಿಗೆ ಪೂಡ್ಲ್ 2014 ರಲ್ಲಿ ಪ್ರಸಿದ್ಧವಾಯಿತು. SSL 3.0 ಪ್ರೋಟೋಕಾಲ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞ ಬೋಡೋ ಮೊಲ್ಲರ್ ಮತ್ತು Google ನ ಸಹೋದ್ಯೋಗಿಗಳು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ.

ಇದರ ಸಾರವು ಕೆಳಕಂಡಂತಿದೆ: ಸಂಪರ್ಕ ವಿರಾಮಗಳನ್ನು ಅನುಕರಿಸುವ ಮೂಲಕ SSL 3.0 ಮೂಲಕ ಸಂಪರ್ಕಿಸಲು ಹ್ಯಾಕರ್ ಕ್ಲೈಂಟ್ ಅನ್ನು ಒತ್ತಾಯಿಸುತ್ತಾನೆ. ನಂತರ ಅದು ಎನ್‌ಕ್ರಿಪ್ಟೆಡ್‌ನಲ್ಲಿ ಹುಡುಕುತ್ತದೆ ಸಿಬಿಸಿ-ಟ್ರಾಫಿಕ್ ಮೋಡ್ ವಿಶೇಷ ಟ್ಯಾಗ್ ಸಂದೇಶಗಳು. ನಕಲಿ ವಿನಂತಿಗಳ ಸರಣಿಯನ್ನು ಬಳಸಿಕೊಂಡು, ಆಕ್ರಮಣಕಾರನು ಕುಕೀಗಳಂತಹ ಆಸಕ್ತಿಯ ಡೇಟಾದ ವಿಷಯಗಳನ್ನು ಪುನರ್ನಿರ್ಮಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.

SSL 3.0 ಹಳೆಯ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿದೆ. ಆದರೆ ಅವರ ಸುರಕ್ಷತೆಯ ಪ್ರಶ್ನೆ ಇನ್ನೂ ಪ್ರಸ್ತುತವಾಗಿದೆ. ಸರ್ವರ್‌ಗಳೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಯ ಸಮಸ್ಯೆಗಳನ್ನು ತಪ್ಪಿಸಲು ಗ್ರಾಹಕರು ಇದನ್ನು ಬಳಸುತ್ತಾರೆ. ಕೆಲವು ಮಾಹಿತಿಯ ಪ್ರಕಾರ, 7 ಸಾವಿರ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಸೈಟ್‌ಗಳಲ್ಲಿ ಸುಮಾರು 100% ಈಗಲೂ SSL 3.0 ಅನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ. ಸಹ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ ಹೆಚ್ಚು ಆಧುನಿಕ TLS 1.0 ಮತ್ತು TLS 1.1 ಅನ್ನು ಗುರಿಪಡಿಸುವ POODLE ಗೆ ಮಾರ್ಪಾಡುಗಳು. ಈ ವರ್ಷ ಕಾಣಿಸಿಕೊಂಡರು TLS 1.2 ರಕ್ಷಣೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಹೊಸ Zombie POODLE ಮತ್ತು GOLDENDOODLE ದಾಳಿಗಳು (ಅವು ಇನ್ನೂ CBC ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ನೊಂದಿಗೆ ಸಂಬಂಧ ಹೊಂದಿವೆ).

ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಿಕೊಳ್ಳುವುದು ಹೇಗೆ. ಮೂಲ POODLE ನ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು SSL 3.0 ಬೆಂಬಲವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬೇಕಾಗುತ್ತದೆ. ಆದಾಗ್ಯೂ, ಈ ಸಂದರ್ಭದಲ್ಲಿ ಹೊಂದಾಣಿಕೆ ಸಮಸ್ಯೆಗಳ ಅಪಾಯವಿದೆ. ಪರ್ಯಾಯ ಪರಿಹಾರವು TLS_FALLBACK_SCSV ಕಾರ್ಯವಿಧಾನವಾಗಿರಬಹುದು - ಇದು SSL 3.0 ಮೂಲಕ ಡೇಟಾ ವಿನಿಮಯವನ್ನು ಹಳೆಯ ಸಿಸ್ಟಮ್‌ಗಳೊಂದಿಗೆ ಮಾತ್ರ ನಡೆಸುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ. ಆಕ್ರಮಣಕಾರರು ಇನ್ನು ಮುಂದೆ ಪ್ರೋಟೋಕಾಲ್ ಡೌನ್‌ಗ್ರೇಡ್‌ಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ. Zombie POODLE ಮತ್ತು GOLDENDOODLE ವಿರುದ್ಧ ರಕ್ಷಿಸುವ ಒಂದು ಮಾರ್ಗವೆಂದರೆ TLS 1.2-ಆಧಾರಿತ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ CBC ಬೆಂಬಲವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದು. ಕಾರ್ಡಿನಲ್ ಪರಿಹಾರವು TLS 1.3 ಗೆ ಪರಿವರ್ತನೆಯಾಗಿರುತ್ತದೆ - ಪ್ರೋಟೋಕಾಲ್ನ ಹೊಸ ಆವೃತ್ತಿಯು CBC ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಬಳಸುವುದಿಲ್ಲ. ಬದಲಿಗೆ, ಹೆಚ್ಚು ಬಾಳಿಕೆ ಬರುವ AES ಮತ್ತು ChaCha20 ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.

ಬೀಸ್ಟ್

1.0 ರಲ್ಲಿ ಪತ್ತೆಯಾದ SSL ಮತ್ತು TLS 2011 ಮೇಲಿನ ಮೊಟ್ಟಮೊದಲ ದಾಳಿಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ಪೂಡ್ಲ್, ಬೀಸ್ಟ್‌ನಂತೆ ಉಪಯೋಗಿಸುತ್ತದೆ CBC ಗೂಢಲಿಪೀಕರಣದ ವೈಶಿಷ್ಟ್ಯಗಳು. ದಾಳಿಕೋರರು ಕ್ಲೈಂಟ್ ಗಣಕದಲ್ಲಿ JavaScript ಏಜೆಂಟ್ ಅಥವಾ Java ಆಪ್ಲೆಟ್ ಅನ್ನು ಸ್ಥಾಪಿಸುತ್ತಾರೆ, ಇದು TLS ಅಥವಾ SSL ಮೂಲಕ ಡೇಟಾವನ್ನು ರವಾನಿಸುವಾಗ ಸಂದೇಶಗಳನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ. ಆಕ್ರಮಣಕಾರರು "ಡಮ್ಮಿ" ಪ್ಯಾಕೆಟ್‌ಗಳ ವಿಷಯಗಳನ್ನು ತಿಳಿದಿರುವುದರಿಂದ, ಅವರು ಪ್ರಾರಂಭಿಕ ವೆಕ್ಟರ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮತ್ತು ದೃಢೀಕರಣ ಕುಕೀಗಳಂತಹ ಇತರ ಸಂದೇಶಗಳನ್ನು ಸರ್ವರ್‌ಗೆ ಓದಲು ಬಳಸಬಹುದು.

ಇಂದಿನವರೆಗೆ, BEAST ದುರ್ಬಲತೆಗಳು ಉಳಿದಿವೆ ಹಲವಾರು ನೆಟ್ವರ್ಕ್ ಉಪಕರಣಗಳು ಒಳಗಾಗುತ್ತವೆ: ಸ್ಥಳೀಯ ಇಂಟರ್ನೆಟ್ ಗೇಟ್‌ವೇಗಳನ್ನು ರಕ್ಷಿಸಲು ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್‌ಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು.

ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಿಕೊಳ್ಳುವುದು ಹೇಗೆ. ಡೇಟಾವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಆಕ್ರಮಣಕಾರರು ನಿಯಮಿತ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸಬೇಕಾಗುತ್ತದೆ. VMware ನಲ್ಲಿ ಶಿಫಾರಸು ಮಾಡಿ SSLSessionCacheTimeout ಅವಧಿಯನ್ನು ಐದು ನಿಮಿಷಗಳಿಂದ (ಡೀಫಾಲ್ಟ್ ಶಿಫಾರಸು) 30 ಸೆಕೆಂಡುಗಳಿಗೆ ಕಡಿಮೆ ಮಾಡಿ. ಈ ವಿಧಾನವು ಆಕ್ರಮಣಕಾರರಿಗೆ ತಮ್ಮ ಯೋಜನೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿಸುತ್ತದೆ, ಆದರೂ ಇದು ಕಾರ್ಯಕ್ಷಮತೆಯ ಮೇಲೆ ಕೆಲವು ನಕಾರಾತ್ಮಕ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, BEAST ದುರ್ಬಲತೆಯು ಶೀಘ್ರದಲ್ಲೇ ತನ್ನದೇ ಆದ ಹಿಂದಿನ ವಿಷಯವಾಗಬಹುದು ಎಂದು ನೀವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು - 2020 ರಿಂದ, ಅತಿದೊಡ್ಡ ಬ್ರೌಸರ್ಗಳು ನಿಲ್ಲಿಸು TLS 1.0 ಮತ್ತು 1.1 ಗೆ ಬೆಂಬಲ. ಯಾವುದೇ ಸಂದರ್ಭದಲ್ಲಿ, ಎಲ್ಲಾ ಬ್ರೌಸರ್ ಬಳಕೆದಾರರಲ್ಲಿ 1,5% ಕ್ಕಿಂತ ಕಡಿಮೆ ಜನರು ಈ ಪ್ರೋಟೋಕಾಲ್‌ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುತ್ತಾರೆ.

ಮುಳುಗಿಸಿ

ಇದು 2-ಬಿಟ್ RSA ಕೀಗಳೊಂದಿಗೆ SSLv40 ಅನುಷ್ಠಾನದಲ್ಲಿ ದೋಷಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಅಡ್ಡ-ಪ್ರೋಟೋಕಾಲ್ ದಾಳಿಯಾಗಿದೆ. ಆಕ್ರಮಣಕಾರರು ಗುರಿಯ ನೂರಾರು TLS ಸಂಪರ್ಕಗಳನ್ನು ಆಲಿಸುತ್ತಾರೆ ಮತ್ತು ಅದೇ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಬಳಸಿಕೊಂಡು SSLv2 ಸರ್ವರ್‌ಗೆ ವಿಶೇಷ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಕಳುಹಿಸುತ್ತಾರೆ. ಬಳಸಿ ಬ್ಲೀಚೆನ್‌ಬಾಚರ್ ದಾಳಿ, ಹ್ಯಾಕರ್ ಸುಮಾರು ಸಾವಿರ ಕ್ಲೈಂಟ್ TLS ಸೆಷನ್‌ಗಳಲ್ಲಿ ಒಂದನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಬಹುದು.

DROWN ಮೊದಲು 2016 ರಲ್ಲಿ ತಿಳಿದುಬಂದಿದೆ - ನಂತರ ಅದು ಬದಲಾಯಿತು ಮೂರನೇ ಒಂದು ಭಾಗದಷ್ಟು ಸರ್ವರ್‌ಗಳು ಪರಿಣಾಮ ಬೀರುತ್ತವೆ ಜಗತ್ತಿನಲ್ಲಿ. ಇಂದು ಅದು ತನ್ನ ಪ್ರಸ್ತುತತೆಯನ್ನು ಕಳೆದುಕೊಂಡಿಲ್ಲ. 150 ಸಾವಿರ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಸೈಟ್‌ಗಳಲ್ಲಿ, 2% ಇನ್ನೂ ಇವೆ ಬೆಂಬಲ SSLv2 ಮತ್ತು ದುರ್ಬಲ ಗೂಢಲಿಪೀಕರಣ ಕಾರ್ಯವಿಧಾನಗಳು.

ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಿಕೊಳ್ಳುವುದು ಹೇಗೆ. SSLv2 ಬೆಂಬಲವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಲೈಬ್ರರಿಗಳ ಡೆವಲಪರ್‌ಗಳು ಪ್ರಸ್ತಾಪಿಸಿದ ಪ್ಯಾಚ್‌ಗಳನ್ನು ಸ್ಥಾಪಿಸುವುದು ಅವಶ್ಯಕ. ಉದಾಹರಣೆಗೆ, OpenSSL ಗಾಗಿ ಅಂತಹ ಎರಡು ಪ್ಯಾಚ್‌ಗಳನ್ನು ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ (2016 ರಲ್ಲಿ ಇವು ನವೀಕರಣಗಳಾಗಿವೆ 1.0.1 ಸೆ ಮತ್ತು 1.0.2 ಗ್ರಾಂ). ಅಲ್ಲದೆ, ದುರ್ಬಲ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ನವೀಕರಣಗಳು ಮತ್ತು ಸೂಚನೆಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ ಕೆಂಪು ಟೋಪಿ, ಅಪಾಚೆ, ಡೆಬಿಯನ್.

"ಮೇಲ್ ಸರ್ವರ್‌ನಂತಹ SSLv2 ನೊಂದಿಗೆ ಮೂರನೇ-ಪಕ್ಷದ ಸರ್ವರ್‌ನಿಂದ ಅದರ ಕೀಗಳನ್ನು ಬಳಸಿದರೆ ಸಂಪನ್ಮೂಲವು DROWN ಗೆ ಗುರಿಯಾಗಬಹುದು" ಎಂದು ಅಭಿವೃದ್ಧಿ ವಿಭಾಗದ ಮುಖ್ಯಸ್ಥರು ಹೇಳುತ್ತಾರೆ. IaaS ಪೂರೈಕೆದಾರ 1cloud.ru ಸೆರ್ಗೆಯ್ ಬೆಲ್ಕಿನ್. - ಹಲವಾರು ಸರ್ವರ್‌ಗಳು ಸಾಮಾನ್ಯ SSL ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸಿದರೆ ಈ ಪರಿಸ್ಥಿತಿಯು ಸಂಭವಿಸುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು ಎಲ್ಲಾ ಯಂತ್ರಗಳಲ್ಲಿ SSLv2 ಬೆಂಬಲವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬೇಕಾಗುತ್ತದೆ."

ವಿಶೇಷವನ್ನು ಬಳಸಿಕೊಂಡು ನಿಮ್ಮ ಸಿಸ್ಟಮ್ ಅನ್ನು ನವೀಕರಿಸಬೇಕೆ ಎಂದು ನೀವು ಪರಿಶೀಲಿಸಬಹುದು ಉಪಯುಕ್ತತೆಗಳು - DROWN ಅನ್ನು ಕಂಡುಹಿಡಿದ ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಇದನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ್ದಾರೆ. ಈ ರೀತಿಯ ದಾಳಿಯ ವಿರುದ್ಧ ರಕ್ಷಣೆಗೆ ಸಂಬಂಧಿಸಿದ ಶಿಫಾರಸುಗಳ ಕುರಿತು ನೀವು ಇನ್ನಷ್ಟು ಓದಬಹುದು OpenSSL ವೆಬ್‌ಸೈಟ್‌ನಲ್ಲಿ ಪೋಸ್ಟ್ ಮಾಡಿ.

ಹೃದಯವಂತರು

ಸಾಫ್ಟ್‌ವೇರ್‌ನಲ್ಲಿನ ದೊಡ್ಡ ದೋಷಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ ಹೃದಯವಂತರು. ಇದನ್ನು 2014 ರಲ್ಲಿ OpenSSL ಲೈಬ್ರರಿಯಲ್ಲಿ ಕಂಡುಹಿಡಿಯಲಾಯಿತು. ದೋಷ ಪ್ರಕಟಣೆಯ ಸಮಯದಲ್ಲಿ, ದುರ್ಬಲ ವೆಬ್‌ಸೈಟ್‌ಗಳ ಸಂಖ್ಯೆ ಅರ್ಧ ಮಿಲಿಯನ್ ಎಂದು ಅಂದಾಜಿಸಲಾಗಿದೆ - ಇದು ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಸಂರಕ್ಷಿತ ಸಂಪನ್ಮೂಲಗಳ ಸರಿಸುಮಾರು 17% ಆಗಿದೆ.

ಸಣ್ಣ ಹೃದಯ ಬಡಿತ TLS ವಿಸ್ತರಣೆ ಮಾಡ್ಯೂಲ್ ಮೂಲಕ ದಾಳಿಯನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ. TLS ಪ್ರೋಟೋಕಾಲ್ ಡೇಟಾವನ್ನು ನಿರಂತರವಾಗಿ ರವಾನಿಸುವ ಅಗತ್ಯವಿದೆ. ದೀರ್ಘಕಾಲದ ಅಲಭ್ಯತೆಯ ಸಂದರ್ಭದಲ್ಲಿ, ವಿರಾಮ ಸಂಭವಿಸುತ್ತದೆ ಮತ್ತು ಸಂಪರ್ಕವನ್ನು ಮರುಸ್ಥಾಪಿಸಬೇಕು. ಸಮಸ್ಯೆಯನ್ನು ನಿಭಾಯಿಸಲು, ಸರ್ವರ್‌ಗಳು ಮತ್ತು ಕ್ಲೈಂಟ್‌ಗಳು ಚಾನಲ್ ಅನ್ನು ಕೃತಕವಾಗಿ "ಶಬ್ದ" ಮಾಡುತ್ತವೆ (RFC 6520, p.5), ಯಾದೃಚ್ಛಿಕ ಉದ್ದದ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ರವಾನಿಸುತ್ತದೆ. ಇದು ಸಂಪೂರ್ಣ ಪ್ಯಾಕೆಟ್‌ಗಿಂತ ದೊಡ್ಡದಾಗಿದ್ದರೆ, ಓಪನ್‌ಎಸ್‌ಎಸ್‌ಎಲ್‌ನ ದುರ್ಬಲ ಆವೃತ್ತಿಗಳು ನಿಗದಿಪಡಿಸಿದ ಬಫರ್‌ನ ಆಚೆಗೆ ಮೆಮೊರಿಯನ್ನು ಓದುತ್ತವೆ. ಈ ಪ್ರದೇಶವು ಖಾಸಗಿ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಕೀಗಳು ಮತ್ತು ಇತರ ಸಂಪರ್ಕಗಳ ಕುರಿತು ಮಾಹಿತಿ ಸೇರಿದಂತೆ ಯಾವುದೇ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಿರಬಹುದು.

ದುರ್ಬಲತೆಯು ಲೈಬ್ರರಿಯ ಎಲ್ಲಾ ಆವೃತ್ತಿಗಳಲ್ಲಿ 1.0.1 ಮತ್ತು 1.0.1f ಒಳಗೊಂಡಂತೆ, ಹಾಗೆಯೇ ಹಲವಾರು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ ಕಂಡುಬಂದಿದೆ - ಉಬುಂಟು 12.04.4 ವರೆಗೆ, CentOS 6.5 ಕ್ಕಿಂತ ಹಳೆಯದು, OpenBSD 5.3 ಮತ್ತು ಇತರವುಗಳು. ಸಂಪೂರ್ಣ ಪಟ್ಟಿ ಇದೆ ಹಾರ್ಟ್‌ಬ್ಲೀಡ್‌ಗೆ ಮೀಸಲಾಗಿರುವ ವೆಬ್‌ಸೈಟ್‌ನಲ್ಲಿ. ಈ ದುರ್ಬಲತೆಯ ವಿರುದ್ಧದ ತೇಪೆಗಳನ್ನು ಅದರ ಆವಿಷ್ಕಾರದ ನಂತರ ತಕ್ಷಣವೇ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದ್ದರೂ, ಸಮಸ್ಯೆಯು ಇಂದಿಗೂ ಪ್ರಸ್ತುತವಾಗಿದೆ. 2017 ರಲ್ಲಿ ಹಿಂತಿರುಗಿ ಸುಮಾರು 200 ಸಾವಿರ ಸೈಟ್‌ಗಳು ಕಾರ್ಯನಿರ್ವಹಿಸಿವೆ, ಹಾರ್ಟ್‌ಬ್ಲೀಡ್‌ಗೆ ಒಳಗಾಗುತ್ತದೆ.

ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಿಕೊಳ್ಳುವುದು ಹೇಗೆ. ಇದು ಅಗತ್ಯ OpenSSL ಅನ್ನು ನವೀಕರಿಸಿ ಆವೃತ್ತಿ 1.0.1g ಅಥವಾ ಹೆಚ್ಚಿನದವರೆಗೆ. DOPENSSL_NO_HEARTBEATS ಆಯ್ಕೆಯನ್ನು ಬಳಸಿಕೊಂಡು ನೀವು ಹಸ್ತಚಾಲಿತವಾಗಿ ಹೃದಯ ಬಡಿತ ವಿನಂತಿಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು. ನವೀಕರಣದ ನಂತರ, ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಶಿಫಾರಸು ಮಾಡಿ SSL ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಮರುಬಿಡುಗಡೆ ಮಾಡಿ. ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಕೀಗಳಲ್ಲಿನ ಡೇಟಾ ಹ್ಯಾಕರ್‌ಗಳ ಕೈಯಲ್ಲಿ ಕೊನೆಗೊಂಡರೆ ಬದಲಿ ಅಗತ್ಯವಿದೆ.

ಪ್ರಮಾಣಪತ್ರ ಪರ್ಯಾಯ

ಕಾನೂನುಬದ್ಧ SSL ಪ್ರಮಾಣಪತ್ರದೊಂದಿಗೆ ನಿರ್ವಹಿಸಲಾದ ನೋಡ್ ಅನ್ನು ಬಳಕೆದಾರ ಮತ್ತು ಸರ್ವರ್ ನಡುವೆ ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸಕ್ರಿಯವಾಗಿ ಪ್ರತಿಬಂಧಿಸುತ್ತದೆ. ಈ ನೋಡ್ ಮಾನ್ಯವಾದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಪ್ರಸ್ತುತಪಡಿಸುವ ಮೂಲಕ ಕಾನೂನುಬದ್ಧ ಸರ್ವರ್ ಅನ್ನು ಅನುಕರಿಸುತ್ತದೆ ಮತ್ತು MITM ದಾಳಿಯನ್ನು ಕೈಗೊಳ್ಳಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.

ಪ್ರಕಾರ ಸಂಶೋಧನೆ Mozilla, Google ಮತ್ತು ಹಲವಾರು ವಿಶ್ವವಿದ್ಯಾನಿಲಯಗಳ ತಂಡಗಳು, ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಸುಮಾರು 11% ಸುರಕ್ಷಿತ ಸಂಪರ್ಕಗಳನ್ನು ಕದ್ದಾಲಿಕೆ ಮಾಡಲಾಗಿದೆ. ಇದು ಬಳಕೆದಾರರ ಕಂಪ್ಯೂಟರ್‌ಗಳಲ್ಲಿ ಅನುಮಾನಾಸ್ಪದ ಮೂಲ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಸ್ಥಾಪಿಸಿದ ಫಲಿತಾಂಶವಾಗಿದೆ.

ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಿಕೊಳ್ಳುವುದು ಹೇಗೆ. ವಿಶ್ವಾಸಾರ್ಹ ಸೇವೆಗಳನ್ನು ಬಳಸಿ SSL ಪೂರೈಕೆದಾರರು. ಸೇವೆಯನ್ನು ಬಳಸಿಕೊಂಡು ನೀವು ಪ್ರಮಾಣಪತ್ರಗಳ "ಗುಣಮಟ್ಟ" ವನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಪ್ರಮಾಣಪತ್ರ ಪಾರದರ್ಶಕತೆ (CT). ಕ್ಲೌಡ್ ಪೂರೈಕೆದಾರರು ಕದ್ದಾಲಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಸಹಾಯ ಮಾಡಬಹುದು; ಕೆಲವು ದೊಡ್ಡ ಕಂಪನಿಗಳು ಈಗಾಗಲೇ TLS ಸಂಪರ್ಕಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ವಿಶೇಷ ಪರಿಕರಗಳನ್ನು ನೀಡುತ್ತವೆ.

ರಕ್ಷಣೆಯ ಮತ್ತೊಂದು ವಿಧಾನವು ಹೊಸದಾಗಿರುತ್ತದೆ ಪ್ರಮಾಣಿತ ACME, ಇದು SSL ಪ್ರಮಾಣಪತ್ರಗಳ ಸ್ವೀಕೃತಿಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸುತ್ತದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಸೈಟ್ನ ಮಾಲೀಕರನ್ನು ಪರಿಶೀಲಿಸಲು ಇದು ಹೆಚ್ಚುವರಿ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಸೇರಿಸುತ್ತದೆ. ಅದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ನಾವು ನಮ್ಮ ಹಿಂದಿನ ವಸ್ತುಗಳಲ್ಲಿ ಒಂದನ್ನು ಬರೆದಿದ್ದೇವೆ.

/ಫ್ಲಿಕ್ಕರ್/ ಯೂರಿ ಸಮೋಯಿಲೋವ್ / CC BY

HTTPS ಗಾಗಿ ನಿರೀಕ್ಷೆಗಳು

ಹಲವಾರು ದುರ್ಬಲತೆಗಳ ಹೊರತಾಗಿಯೂ, ಐಟಿ ದೈತ್ಯರು ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಪ್ರೋಟೋಕಾಲ್‌ನ ಭವಿಷ್ಯದಲ್ಲಿ ವಿಶ್ವಾಸ ಹೊಂದಿದ್ದಾರೆ. HTTPS ನ ಸಕ್ರಿಯ ಅನುಷ್ಠಾನಕ್ಕಾಗಿ ವಕೀಲರು WWW ಸೃಷ್ಟಿಕರ್ತ ಟಿಮ್ ಬರ್ನರ್ಸ್-ಲೀ. ಅವರ ಪ್ರಕಾರ, ಕಾಲಾನಂತರದಲ್ಲಿ TLS ಹೆಚ್ಚು ಸುರಕ್ಷಿತವಾಗುತ್ತದೆ, ಇದು ಸಂಪರ್ಕಗಳ ಸುರಕ್ಷತೆಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಸುಧಾರಿಸುತ್ತದೆ. ಬರ್ನರ್ಸ್-ಲೀ ಸಹ ಸೂಚಿಸಿದ್ದಾರೆ ಭವಿಷ್ಯದಲ್ಲಿ ಕಾಣಿಸುತ್ತದೆ ಗುರುತಿನ ದೃಢೀಕರಣಕ್ಕಾಗಿ ಕ್ಲೈಂಟ್ ಪ್ರಮಾಣಪತ್ರಗಳು. ದಾಳಿಕೋರರಿಂದ ಸರ್ವರ್ ರಕ್ಷಣೆಯನ್ನು ಸುಧಾರಿಸಲು ಅವರು ಸಹಾಯ ಮಾಡುತ್ತಾರೆ.

ಯಂತ್ರ ಕಲಿಕೆಯನ್ನು ಬಳಸಿಕೊಂಡು SSL/TLS ತಂತ್ರಜ್ಞಾನವನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಸಹ ಯೋಜಿಸಲಾಗಿದೆ - ದುರುದ್ದೇಶಪೂರಿತ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲು ಸ್ಮಾರ್ಟ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳು ಜವಾಬ್ದಾರರಾಗಿರುತ್ತವೆ. HTTPS ಸಂಪರ್ಕಗಳೊಂದಿಗೆ, ಮಾಲ್‌ವೇರ್‌ನಿಂದ ವಿನಂತಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವುದು ಸೇರಿದಂತೆ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಂದೇಶಗಳ ವಿಷಯಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ನಿರ್ವಾಹಕರಿಗೆ ಯಾವುದೇ ಮಾರ್ಗವಿಲ್ಲ. ಈಗಾಗಲೇ ಇಂದು, ನ್ಯೂರಲ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು ಸಂಭಾವ್ಯ ಅಪಾಯಕಾರಿ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು 90% ನಿಖರತೆಯೊಂದಿಗೆ ಫಿಲ್ಟರ್ ಮಾಡಲು ಸಮರ್ಥವಾಗಿವೆ. (ಪ್ರಸ್ತುತಿ ಸ್ಲೈಡ್ 23).

ಸಂಶೋಧನೆಗಳು

HTTPS ಮೇಲಿನ ಹೆಚ್ಚಿನ ದಾಳಿಗಳು ಪ್ರೋಟೋಕಾಲ್‌ನೊಂದಿಗಿನ ಸಮಸ್ಯೆಗಳಿಗೆ ಸಂಬಂಧಿಸಿಲ್ಲ, ಆದರೆ ಹಳೆಯ ಗೂಢಲಿಪೀಕರಣ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬೆಂಬಲಿಸಲು. ಐಟಿ ಉದ್ಯಮವು ಹಿಂದಿನ ಪೀಳಿಗೆಯ ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಕ್ರಮೇಣ ತ್ಯಜಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತಿದೆ ಮತ್ತು ದೋಷಗಳನ್ನು ಹುಡುಕಲು ಹೊಸ ಸಾಧನಗಳನ್ನು ನೀಡುತ್ತದೆ. ಭವಿಷ್ಯದಲ್ಲಿ, ಈ ಉಪಕರಣಗಳು ಹೆಚ್ಚು ಬುದ್ಧಿವಂತವಾಗುತ್ತವೆ.

ವಿಷಯದ ಕುರಿತು ಹೆಚ್ಚುವರಿ ಲಿಂಕ್‌ಗಳು:

• ಕ್ಲೌಡ್‌ನಲ್ಲಿ ಅಭಿವೃದ್ಧಿ, ಮಾಹಿತಿ ಭದ್ರತೆ ಮತ್ತು ವೈಯಕ್ತಿಕ ಡೇಟಾ: 1 ಕ್ಲೌಡ್‌ನಿಂದ ಡೈಜೆಸ್ಟ್ ಮಾಡಿ
• SSL ಡೈಜೆಸ್ಟ್: ಹ್ಯಾಬ್ರೆ ಮತ್ತು ಹೆಚ್ಚಿನವುಗಳಲ್ಲಿ ಅತ್ಯುತ್ತಮ ಪ್ರಾಯೋಗಿಕ ವಸ್ತುಗಳು
• VPN ಡೈಜೆಸ್ಟ್: ಹಬ್ರೆ ಮತ್ತು ಹೆಚ್ಚಿನವುಗಳಲ್ಲಿ ಪರಿಚಯಾತ್ಮಕ ಲೇಖನಗಳು

ಮೂಲ: www.habr.com