हैकर्स आपके ईमेल सर्वर पर डेटा भेजकर HTTPS कनेक्शन के साथ खिलवाड़ कर सकते हैं

ताला की अत्यधिक शैलीबद्ध छवि।

जब आप किसी HTTPS-संरक्षित वेबसाइट पर जाते हैं, तो आपका ब्राउज़र वेबसर्वर के साथ डेटा का आदान-प्रदान नहीं करता है, जब तक कि यह सुनिश्चित नहीं कर लेता कि साइट का डिजिटल प्रमाणपत्र मान्य है। यह हैकर्स को आपके और साइट के बीच गुजरने वाले डेटा की निगरानी या संशोधित करने की क्षमता से प्रमाणीकरण कुकीज़ प्राप्त करने या विज़िटिंग डिवाइस पर दुर्भावनापूर्ण कोड निष्पादित करने से रोकता है।

लेकिन क्या होगा यदि कोई मध्य हमलावर ब्राउज़र को गलती से किसी ईमेल सर्वर या FTP सर्वर से कनेक्ट करने में भ्रमित कर सकता है जो वेबसाइट द्वारा उपयोग किए गए प्रमाणपत्र के साथ संगत है?

ईमेल सर्वर पर HTTPS बोलने के खतरे

चूंकि वेबसाइट का डोमेन नाम ईमेल या FTP सर्वर प्रमाणपत्र के डोमेन नाम से मेल खाता है, इसलिए ब्राउज़र कई मामलों में एक परिवहन परत सुरक्षा उपयोगकर्ता द्वारा देखी जाने वाली वेबसाइट के बजाय इनमें से किसी एक सर्वर से कनेक्शन।

क्योंकि ब्राउज़र HTTPS में संचार कर रहा है और ईमेल या FTP सर्वर SMTP, SFTP, या किसी अन्य प्रोटोकॉल का उपयोग कर रहा है, संभावना मौजूद है कि चीजें बहुत गलत हो सकती हैं—उदाहरण के लिए, एक डिक्रिप्टेड प्रमाणीकरण कुकी हमलावर को भेजी जा सकती है, या एक हमलावर विज़िटिंग मशीन पर दुर्भावनापूर्ण कोड निष्पादित कर सकता है।

परिदृश्य उतना दूर की कौड़ी नहीं है जितना कुछ लोग सोच सकते हैं। वास्तव में, नए शोध में पाया गया कि लगभग 14.4 मिलियन वेबसर्वर एक डोमेन नाम का उपयोग करते हैं जो एक ही संगठन से संबंधित ईमेल या FTP सर्वर के क्रिप्टोग्राफ़िक क्रेडेंशियल के साथ संगत है। उन साइटों में से, लगभग 114,000 को शोषक माना जाता है क्योंकि ईमेल या एफ़टीपी सर्वर ऐसे सॉफ़्टवेयर का उपयोग करता है जो इस तरह के हमलों के लिए असुरक्षित माना जाता है।

इस तरह के हमले केवल HTTP, SMTP, या किसी अन्य इंटरनेट भाषा बोलने वाले सर्वर की अखंडता के बजाय टीसीपी कनेक्शन की अखंडता की रक्षा करने में टीएलएस की विफलता के कारण संभव हैं। मैन-इन-द-बीच हमलावर टीएलएस ट्रैफ़िक को इच्छित सर्वर और प्रोटोकॉल से दूसरे, स्थानापन्न समापन बिंदु और प्रोटोकॉल पर पुनर्निर्देशित करने के लिए इस कमजोरी का फायदा उठा सकते हैं।

जर्मनी में रूहर यूनिवर्सिटी बोचम के एक शोधकर्ता मार्कस ब्रिंकमैन ने मुझे बताया, “मूल सिद्धांत यह है कि एक हमलावर एक सेवा से दूसरी सेवा के लिए यातायात को पुनर्निर्देशित कर सकता है, क्योंकि टीएलएस आईपी पते या पोर्ट नंबर की रक्षा नहीं करता है।” “अतीत में, लोगों ने उन हमलों पर विचार किया है जहां मिटएम हमलावर एक ब्राउज़र को एक अलग वेब सर्वर पर रीडायरेक्ट करता है, लेकिन हम उस मामले पर विचार कर रहे हैं जहां हमलावर ब्राउज़र को वेबसर्वर से एक अलग एप्लिकेशन सर्वर जैसे एफ़टीपी या ईमेल पर रीडायरेक्ट करता है।”

आधारशिला में दरारें

आमतौर पर टीएलएस के रूप में संक्षिप्त, ट्रांसपोर्ट लेयर सिक्योरिटी मजबूत एन्क्रिप्शन का उपयोग यह साबित करने के लिए करती है कि एक अंतिम उपयोगकर्ता एक विशिष्ट सेवा (जैसे Google या बैंक ऑफ अमेरिका) से संबंधित एक प्रामाणिक सर्वर से जुड़ा है, न कि उस सेवा के रूप में एक धोखेबाज। टीएलएस डेटा को एन्क्रिप्ट भी करता है क्योंकि यह अंतिम उपयोगकर्ता और सर्वर के बीच यात्रा करता है ताकि यह सुनिश्चित किया जा सके कि जो लोग कनेक्शन की निगरानी कर सकते हैं वे सामग्री को पढ़ या छेड़छाड़ नहीं कर सकते हैं। इस पर निर्भर लाखों सर्वरों के साथ, टीएलएस ऑनलाइन सुरक्षा की आधारशिला है।

में शोध पत्र बुधवार को प्रकाशित, ब्रिंकमैन और सात अन्य शोधकर्ताओं ने टीएलएस सुरक्षा को बायपास करने के लिए क्रॉस-प्रोटोकॉल हमलों का उपयोग करने की व्यवहार्यता की जांच की। इस तकनीक में एसएमटीपी, आईएमएपी, पीओपी3 या एफ़टीपी, या किसी अन्य संचार प्रोटोकॉल पर संचार करने वाले सर्वरों पर क्रॉस-ओरिजिनल HTTP अनुरोधों को पुनर्निर्देशित करने वाला एक मिटएम हमलावर शामिल है।

हमले के मुख्य घटक हैं (1) लक्षित अंतिम उपयोगकर्ता द्वारा उपयोग किया जाने वाला क्लाइंट एप्लिकेशन, जिसे सी के रूप में दर्शाया गया है; (२) सर्वर जिस लक्ष्य को देखने का इरादा है, जिसे S . के रूप में दर्शाया गया हैपूर्णांक; और (३) स्थानापन्न सर्वर, एक मशीन जो एसएमटीपी, एफ़टीपी, या किसी अन्य प्रोटोकॉल का उपयोग करके जुड़ती है जो एक सर्वर से अलग हैपूर्णांक उपयोग करता है लेकिन उसी डोमेन के साथ जो इसके टीएलएस प्रमाणपत्र में सूचीबद्ध है।

शोधकर्ताओं ने तीन हमले के तरीकों की पहचान की जो कि इस परिदृश्य में एक लक्ष्य की सुरक्षित ब्राउज़िंग से समझौता करने के लिए मिटएम विरोधी उपयोग कर सकते हैं। वो हैं:

हमला अपलोड करें। इस हमले के लिए, हम मानते हैं कि हमलावर के पास S . पर डेटा अपलोड करने की कुछ क्षमता हैविषय और बाद में इसे पुनः प्राप्त करें। एक अपलोड हमले में, हमलावर ब्राउज़र के HTTP अनुरोध के कुछ हिस्सों (विशेष रूप से कुकी हेडर) को S पर संग्रहीत करने का प्रयास करता है।विषय. यह, उदाहरण के लिए, हो सकता है यदि सर्वर अनुरोध को फ़ाइल अपलोड के रूप में व्याख्या करता है या यदि सर्वर आने वाले अनुरोधों को मौखिक रूप से लॉग कर रहा है। एक सफल हमले पर, हमलावर सर्वर पर सामग्री को C से S . के कनेक्शन से स्वतंत्र रूप से पुनः प्राप्त कर सकता हैविषय और HTTPS सत्र कुकी पुनर्प्राप्त करें।

डाउनलोड हमला—संग्रहीत XSS. इस हमले के लिए, हम मानते हैं कि हमलावर के पास S . पर संग्रहीत डेटा तैयार करने की कुछ क्षमता हैविषय और इसे डाउनलोड करें। एक डाउनलोड हमले में, हमलावर एस से पहले से संग्रहीत (और विशेष रूप से तैयार किए गए) डेटा को “डाउनलोड” करने के लिए सौम्य प्रोटोकॉल सुविधाओं का फायदा उठाता हैविषय C. यह एक संग्रहीत XSS भेद्यता के समान है। हालाँकि, क्योंकि HTTP से भिन्न प्रोटोकॉल का उपयोग किया जाता है, यहाँ तक कि XSS के विरुद्ध परिष्कृत रक्षा तंत्र, जैसे सामग्री-सुरक्षा-नीति
(सीएसपी), को दरकिनार किया जा सकता है। बहुत संभावना है, एसविषय स्वयं कोई सीएसपी नहीं भेजेगा, और प्रतिक्रिया का बड़ा हिस्सा हमलावर के नियंत्रण में है।

रिफ्लेक्शन अटैक- रिफ्लेक्टेड एक्सएसएस। एक प्रतिबिंब हमले में, हमलावर सर्वर को धोखा देने की कोशिश करता है Sविषय सी के जवाब में सी के अनुरोध के कुछ हिस्सों को प्रतिबिंबित करने में। सफल होने पर, हमलावर अनुरोध के भीतर दुर्भावनापूर्ण जावास्क्रिप्ट भेजता है जो एस द्वारा परिलक्षित होता हैविषय. क्लाइंट तब सर्वर से उत्तर को पार्स करेगा, जिससे लक्षित वेब सर्वर के संदर्भ में जावास्क्रिप्ट का निष्पादन हो सकता है।

मिटएम विरोधी टीएलएस यातायात को डिक्रिप्ट नहीं कर सकता है, लेकिन अभी भी अन्य चीजें हैं जो विरोधी कर सकते हैं। उदाहरण के लिए, लक्षित वेबसर्वर के बजाय लक्ष्य के ब्राउज़र को ईमेल या FTP सर्वर से कनेक्ट करने के लिए बाध्य करना, ब्राउज़र को FTP सर्वर पर प्रमाणीकरण कुकी लिखने का कारण बन सकता है। या यह क्रॉस-साइट स्क्रिप्टिंग हमलों को सक्षम कर सकता है जो ब्राउज़र को एफ़टीपी या ईमेल सर्वर पर होस्ट किए गए दुर्भावनापूर्ण जावास्क्रिप्ट को डाउनलोड और निष्पादित करने का कारण बनता है।

ALPN और SNI सुरक्षा लागू करना

क्रॉस-प्रोटोकॉल हमलों को रोकने के लिए, शोधकर्ताओं ने दो मौजूदा सुरक्षा के सख्त प्रवर्तन का प्रस्ताव रखा। पहले के रूप में जाना जाता है अनुप्रयोग परत प्रोटोकॉल बातचीत, एक टीएलएस एक्सटेंशन जो एक ब्राउज़र जैसे एप्लिकेशन लेयर को यह बातचीत करने की अनुमति देता है कि सुरक्षित कनेक्शन में किस प्रोटोकॉल का उपयोग किया जाना चाहिए। ALPN, जैसा कि आमतौर पर संक्षिप्त किया जाता है, का उपयोग अतिरिक्त राउंड ट्रिप के बिना बेहतर प्रदर्शन करने वाले HTTP / 2 प्रोटोकॉल का उपयोग करके कनेक्शन स्थापित करने के लिए किया जाता है।

ALPN को सख्ती से लागू करके जैसा कि इसमें परिभाषित किया गया है औपचारिक मानक, एक्सटेंशन भेजने वाले ब्राउज़र या अन्य ऐप परतों द्वारा बनाए गए कनेक्शन क्रॉस-प्रोटोकॉल हमलों के लिए असुरक्षित नहीं हैं।

इसी तरह, एक अलग टीएलएस एक्सटेंशन का उपयोग कहा जाता है सर्वर नाम संकेत क्रॉस-होस्टनाम हमलों से रक्षा कर सकता है यदि यह कोई मेल खाने वाला होस्ट नहीं मिलने पर कनेक्शन को समाप्त करने के लिए कॉन्फ़िगर किया गया है। “यह क्रॉस-प्रोटोकॉल हमलों से रक्षा कर सकता है जहां इच्छित और स्थानापन्न सर्वर के अलग-अलग होस्टनाम होते हैं, लेकिन कुछ समान-प्रोटोकॉल हमलों जैसे कि HTTPS वर्चुअल होस्ट भ्रम या संदर्भ भ्रम के हमलों के खिलाफ भी,” शोधकर्ताओं ने लिखा।

शोधकर्ता अपने क्रॉस-प्रोटोकॉल हमलों को ALPACA कह रहे हैं, जो “क्रॉस-प्रोटोकॉल हमलों की अनुमति देने वाले एप्लिकेशन लेयर प्रोटोकॉल” के लिए छोटा है। फिलहाल, अल्पाका ज्यादातर लोगों के लिए एक बड़ा खतरा नहीं है। लेकिन नए हमलों और कमजोरियों की खोज के रूप में उत्पन्न जोखिम बढ़ सकता है या अतिरिक्त संचार चैनलों की सुरक्षा के लिए टीएलएस का उपयोग किया जाता है।

“कुल मिलाकर, हमला बहुत ही स्थितिजन्य है और व्यक्तिगत उपयोगकर्ताओं को लक्षित करता है,” ब्रिंकमैन ने कहा। “इसलिए, उपयोगकर्ताओं के लिए व्यक्तिगत जोखिम शायद बहुत अधिक नहीं है। लेकिन समय के साथ, अधिक से अधिक सेवाओं और प्रोटोकॉल को टीएलएस के साथ संरक्षित किया जाता है, और नए हमलों के लिए अधिक अवसर उत्पन्न होते हैं जो समान पैटर्न का पालन करते हैं। हमें लगता है कि इसे कम करना समय पर और महत्वपूर्ण है इन मुद्दों को मानकीकरण स्तर पर एक बड़ी समस्या बनने से पहले।”

(Visited 2 times, 1 visits today)

About The Author

You might be interested in

LEAVE YOUR COMMENT