পবিত্র ক্রাপ! প্রথম KRACK এবং এখন রোকা? অনুমান করুন এটি "রাজ্যের সুরক্ষাকারীদের" পক্ষে অনুকূল একটি সপ্তাহ নয়!
সাইবারসিকিউরিটি বিশ্বে এটি একটি উদ্বেগজনক সপ্তাহ হয়ে গেছে। কেআরএকেকে যে ফাটল ফেলেছিল তা ফিক্সের দ্বারপ্রান্তে ছিল তবে বিশেষজ্ঞদের সমাধানের আগে এটি আরও বড় বোমা ফেলে দেওয়া হয়েছিল।
রোকাকে হ্যালো বলুন, একটি জার্মানি সংস্থা যা ইনফিনিয়ন টেকনোলজিস নামে চালিত, দ্বারা নির্মিত বিস্তৃত ব্যবহৃত ক্রিপ্টোগ্রাফি চিপগুলিতে বেশ জটিল এবং একটি অত্যন্ত বিপজ্জনক দুর্বলতা আবিষ্কার করেছে। গুগল, ফুজিৎসু, লেনোভো, এইচপি পাশাপাশি মাইক্রোসফ্টের মতো নামী নির্মাতারা তাদের প্রাসঙ্গিক সফ্টওয়্যার এবং হার্ডওয়্যারগুলির জন্য তাদের ব্যবহারকারীদের আবার কোথায় তারা আপডেট করতে বলেছে সেগুলি স্থির করে দিয়েছে!
সাইবারসিকিউরিটির পোস্ট-ডক্টরাল গবেষক ম্যাথি ভানহোফের সাম্প্রতিক প্রকাশে ডাব্লুপিএ 2 প্রোটোকলের একটি বড় ত্রুটি উন্মোচিত হয়েছে যা ক্ষতিগ্রস্থ ব্যক্তির ওয়াই-ফাই রেঞ্জের মধ্যে যে কোনও হ্যাকার কী রিইনস্টলেশন অ্যাটাক ব্যবহার করে বা তাদের মধ্যে সুরক্ষা প্রোটোকলের অপব্যবহার করতে দেয় বা কী কী? ভানহোফ এটিকে ডাকছে, কেআরএকেকের কৌশল।
ভানহোফ ডাব্লুপিএ 2 প্রোটোকল আক্রমণ করে এবং অ্যান্ড্রয়েড স্মার্টফোনে 4-মুখী হ্যান্ডশেকটি চালিত করে তার অনুসন্ধানগুলি প্রদর্শন করেছিল। তার আক্রমণটি কেবল ভুক্তভোগীর লগইন শংসাপত্রগুলি পুনরুদ্ধারের মধ্যে সীমাবদ্ধ ছিল না, প্রকৃতপক্ষে, তাঁর মতে ব্যবহারকারী যে কোনও তথ্য প্রেরণ করে বা প্রাপ্ত করে তা ডিক্রিপ্ট করা সম্ভব। ফলস্বরূপ, ভুক্তভোগী তার ওয়াই-ফাই নেটওয়ার্কের মাধ্যমে তার সংবেদনশীল তথ্য যেমন ব্যাংক অ্যাকাউন্ট নম্বর, ক্রেডিট কার্ড নম্বর, পাসওয়ার্ড, ইমেল, ফটো ইত্যাদি যোগাযোগের নিরাপত্তাহীনতার সাক্ষী।
এখন আরওসিএ সম্পর্কিত একাডেমিক তথ্যের তাত্পর্য বোঝার জন্য, "পাবলিক কী এনক্রিপশন" এর মূল বিষয়গুলির একটি সংক্ষিপ্তসার প্রয়োজন। প্রথমত, একটি পাবলিক এবং একটি প্রাইভেট কী দুটি বৃহত্ মূল সংখ্যা একসাথে গুণিত করার থেকে উদ্ভূত হয়। এই প্রধান সংখ্যাগুলি সর্বদা একটি গোপন হিসাবে রাখা বোঝানো হয় এবং তৃতীয় পক্ষের তাদের নির্ধারণ করা চূড়ান্তভাবে চ্যালেঞ্জ হওয়া উচিত। প্রচুর সংখ্যার কারণগুলি অনুমান করা অত্যন্ত কঠিন, এমনকি যদি প্রাথমিক সংখ্যাগুলির মধ্যে একটিও ইতিমধ্যে চিহ্নিত হয়ে গেছে। তবুও, যে কেউ এই আসল মূল সংখ্যা উভয়কে ধরে রাখতে পারে সে সহজেই একটি মূল জোড়া তৈরি করতে পারে এবং বার্তা পড়তে পারে।
ক্রিপ্টোগ্রাফি এবং সুরক্ষা সম্পর্কিত গবেষণা কেন্দ্র, এনিগমা সেতু থেকে গবেষকরা,
সিএ ফসকারি বিশ্ববিদ্যালয় এবং মাসারিক বিশ্ববিদ্যালয়, রোকা হ্যাক তৈরি করেছে যা প্রযুক্তিগতভাবে কপারস্মিথের আক্রমণ হিসাবে পরিচিত দীর্ঘকালীন প্রযুক্তির একটি নতুন সংস্করণ। রোকা, যা "কপারস্মিথ অ্যাটাকের রিটার্ন" এর অর্থ দাঁড়ায়, জনসাধারণের সাথে ভাগ করা নম্বর বা মডুলাসটি সমালোচনামূলক মৌলিক সংখ্যা প্রকাশ করার জন্য বাস্তবে রেকর্ড করা যায়।
গবেষকদের মতে, ইনফিনিয়ন এটি পরীক্ষা করে না যে এর মডুলিগুলি সাধ্যের তুলনায় কার্যকর নয়, তাই এখন প্রচলিত ডিভাইসগুলিকে এখন অত্যন্ত দুর্বল বলে মনে করা হয়। তদ্ব্যতীত, গবেষকরা হুঁশিয়ারি উচ্চারণ করেছিলেন যে "যে দুর্বল কীগুলির সন্ধান পাওয়া গেছে তার বর্তমান সংখ্যার পরিমাণ প্রায় 60, 000০, ০০০ তবে আরও দুর্বলতার দু' থেকে তিন মাত্রার সম্ভাবনা রয়েছে।" কম্পিউটার এবং যোগাযোগ বিষয়ক এসিএম সম্মেলনে এই মাসের শেষের দিকে তাদের সম্পূর্ণ গবেষণা উপস্থাপন করা হবে নিরাপত্তা।
সেরে বিশ্ববিদ্যালয়ের ক্রিপ্টোগ্রাফি বিশেষজ্ঞ অধ্যাপক অ্যালান উডওয়ার্ড বলেছেন যে আক্রমণগুলির সীমাবদ্ধতা রয়েছে। তার মতে, আক্রমণগুলি সম্ভবত 1024 বিট কীগুলির বিরুদ্ধে শুধুমাত্র ব্যবহারিক এবং 2048-তে নয় যত বেশি বিট, তত বেশি সংখ্যক, সুতরাং, এই প্রাইমগুলি তৈরি করা আরও শক্ত।
এনএসএর প্রাক্তন কর্মী এবং সাইবারসিকিউরিটি সংস্থা রেন্ডিশন সেকের প্রধান জ্যাক উইলিয়ামস আরওসিএর মাধ্যমে দুটি আক্রমণকে তাত্ত্বিক করে তুলেছিলেন। প্রথমত, কোড স্বাক্ষরকারী শংসাপত্রগুলি অপব্যবহার করে যা সফ্টওয়্যারটি একটি নির্ভরযোগ্য উত্স থেকে আসছে তা প্রমাণীকরণ করতে ব্যবহৃত হয়। দ্বিতীয়ত, https://keychest.net/roca পরিদর্শন করে এবং সেখানে সার্বজনীন কী প্রবেশ করে কীগুলি সুরক্ষাহীন কিনা তা পরীক্ষা করা সম্ভব।
তিনি বলেছিলেন, "একটি কোড স্বাক্ষরকারী শংসাপত্রের পাবলিক কী এর সহায়তায় যে কোনও আক্রমণকারী তাদের দ্বারা ব্যক্তিগতটিকে কীভাবে সফ্টওয়্যারটিতে স্বাক্ষর করতে অনুমতি দেয় যা শিকারটিকে অনুকরণ করছে it"
আক্রমণকারীটির কোনও টিপিএম (বিশ্বস্ত প্ল্যাটফর্ম মডিউল) বোকা বানানোর সম্ভাবনা রয়েছে যা কম্পিউটার বা স্মার্টফোনে বিশেষায়িত চিপ যা আরএসএ এনক্রিপশন কী সঞ্চয় করে এবং দূষিত বা অবিশ্বস্ত কোড ইনজেক্ট করে। উইলিয়ামস আরও সতর্ক করেছিলেন, “টিপিএম কোড সুরক্ষার জন্য ব্যবহৃত হয় যা কার্নেল বুট করার জন্য ব্যবহৃত হয়। একটি টিপিএম ডোডিং আক্রমণকারীকে তাদের আক্রমণ করতে দেয় যেখানে তারা হোস্টের অপারেটিং সিস্টেমটিকে ভার্চুয়ালাইজ করে। অন্যান্য কয়েকটি আক্রমণ রয়েছে, তবে, ইনফিনন চিপগুলির এই দুর্বলতা এইচএসএম (হার্ডওয়্যার সিকিউরিটি মডিউল) এবং টিপিএমগুলিতে এক বিরাট হুমকি হিসাবে বিবেচিত হয়। "
স্থানীয় গণমাধ্যমের মতে, এস্তোনিয়ার জাতীয় পরিচয়পত্রের ব্যবস্থাও এই দুর্বলতায় আক্রান্ত হয়েছে এবং সংখ্যাটি এখন পর্যন্ত 50৫০, ০০০-এ পৌঁছেছে এবং পরিচয় চুরির মারাত্মক হুমকি প্রকাশ করেছে।
সংশ্লিষ্ট ব্যবহারকারীদের আরও পরামর্শ দেওয়ার জন্য, মাইক্রোসফ্ট, ইনফিনিয়ন এবং গুগল এই উদ্ঘাটন থেকে এগিয়ে থাকার স্বাধীনতা গ্রহণ করেছে এবং আগের সপ্তাহে সতর্কতা এবং বিজ্ঞপ্তি প্রকাশ করেছে। প্যাচগুলির প্রাপ্যতার সাথে, ব্যবহারকারীদের এবং আইটি দলগুলিকে নিঃসন্দেহে বিবেচনা করা উচিত প্রথম সুরক্ষার বিকল্পটি বিক্রেতা আপডেটগুলি are আশা করি, উদ্ধারকর্তারা অদূর ভবিষ্যতে সাধারণ মানুষের জন্য প্যাচগুলি নিয়ে আসবেন এবং আমাদের সকলকে এই আর্মেজেডন থেকে বাঁচান!
