- கண்டுபிடிப்புகள்
- நிபுணர்கள் என்ன சொல்ல வேண்டும்?
- நீங்கள் என்ன செய்ய முடியும்?
உங்கள் தரவு பாதுகாப்பானது என்று நீங்கள் நினைத்திருந்தால் மீண்டும் சிந்தியுங்கள். ஏனெனில் கல்வி ஆய்வுகளின்படி, டி.எல்.எஸ் 1.3 பாதிப்பு காரணமாக, ஹேக்கர்கள் இப்போது ஒரு பாதுகாப்பான சேனலைத் தட்டலாம் மற்றும் தீங்கிழைக்கும் நோக்கத்திற்காக தரவை அறுவடை செய்யலாம்.
இந்த ஆய்வுக் கட்டுரையை டெல் அவிவ் பல்கலைக்கழகம், அடிலெய்ட் பல்கலைக்கழகம் மற்றும் மிச்சிகன் பல்கலைக்கழகம் மற்றும் வெய்ஸ்மேன் நிறுவனம் வெளியிட்டுள்ளன. மேலும், என்.சி.சி குழு மற்றும் டேட்டா 61 ஆகியவையும் இதே போன்ற கண்டுபிடிப்புகளை முடிவு செய்துள்ளன.
கண்டுபிடிப்புகள்
இந்த தாக்குதல் உண்மையான ப்ளீச்சன்பேச்சர் ஆரக்கிள் தாக்குதலின் மாற்றியமைக்கப்பட்ட பதிப்பாகும், இது கடந்த காலத்தில் பொது-விசை குறியாக்கவியலைப் பயன்படுத்தி ஒரு ஆர்எஸ்ஏ மறைகுறியாக்கப்பட்ட செய்தியை டிகோட் செய்ய முடிந்தது.
இருப்பினும், இந்த புதிய அலை TLS 1.3 க்கு எதிராக செயல்பட முற்படுகிறது, இது TLS நெறிமுறைகளில் சமீபத்திய பதிப்பாகும். அதிகாரிகள் இது பாதுகாப்பானது என்று நம்பினர், ஆனால் அது இல்லை, அது ஆபத்தானது!
டிஎல்எஸ் 1.3 ஆர்எஸ்ஏ முக்கிய பரிமாற்றத்தை ஆதரிக்கவில்லை என்பதால், தாக்குதலை மதிப்பிடும் நோக்கத்திற்காக தரமிறக்கும் பதிப்பை அதாவது டிஎல்எஸ் 1.2 உடன் தொடர்வது சிறந்தது என்று ஆராய்ச்சியாளர்கள் கருதினர்.
இதன் விளைவாக தரமிறக்குதல் தாக்குதலைத் தவிர்த்து ஒரு சேவையக-பக்க மற்றும் இரண்டு-கிளையன்ட் பக்க போன்ற தரமிறக்கங்களைக் குறைத்தல். இவ்வாறு முடிவுக்கு வந்தது, பெரிய ஆர்எஸ்ஏ விசைகள் இருந்திருந்தால், இந்த தாக்குதல்களைத் தடுத்திருக்க முடியும், மேலும், ஹேண்ட்ஷேக் நேரம் முடிந்தது.
ஒன்பது வெவ்வேறு டி.எல்.எஸ் செயல்படுத்தல்கள் ஆய்வு செய்யப்பட்டன; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, மற்றும் GnuTLS ஆகியவை இதில் பியர்எஸ்எஸ்எல் மற்றும் கூகிளின் போரிங் எஸ்எஸ்எல் ஆகியவை பாதுகாப்பாக இருந்தன. மற்றவர்கள் அனைவரும் பாதிக்கப்படக்கூடியவர்களாக இருந்தனர்.
நிபுணர்கள் என்ன சொல்ல வேண்டும்?
தாக்குதல்களின் எண்ணிக்கையைப் பொருத்தவரை, வெனாபியின் சீனியர் இயக்குனர் ப்ரோடெரிக் பெரெல்லி-ஹாரிஸ், 1988 ஆம் ஆண்டு முதல் ப்ளீச்சன்பேச்சரின் மாறுபாடுகளின் கீழ் அவை அதிகரித்து வருவதாக நம்புகிறார். எனவே, டி.எல்.எஸ் 1.3 பாதிக்கப்படக்கூடியது என்பதில் ஆச்சரியமில்லை.
கிரிப்டோகிராஃபிக் இயற்கையின் தாக்குதல் முதன்மையானது அல்ல, இது கடைசியாக இருக்காது என்று ESET UK இன் இணைய பாதுகாப்பு நிபுணர் ஜேக் மூர் கருதுகிறார். இது Whac-A-Mole விளையாட்டிற்கு ஒத்ததாக இருக்கிறது என்றும் அவர் கருதுகிறார் - ஒவ்வொரு முறையும் ஒரு பாதுகாப்பு திருத்தம் பயன்படுத்தப்படும்போது, இன்னொருவர் மேல்தோன்றும்.
நீங்கள் என்ன செய்ய முடியும்?
மொத்தத்தில், குறைபாடு TLS குறியாக்க நெறிமுறையின் அசல் ஒப்பனையில் உள்ளது. ஆனால் இப்போது நெறிமுறை ஒட்டுதலின் வடிவமைப்பால் மட்டுமே முன்னோக்கி செல்லும் வழி.
இதற்கிடையில் உங்களைப் பாதுகாக்க நீங்கள் என்ன செய்ய முடியும்? இரண்டு-காரணி அங்கீகாரத்தை (2FA) பயன்படுத்தவும், தீம்பொருள் எதிர்ப்பு / வைரஸ் தடுப்பு போன்ற வலுவான மென்பொருளை உங்கள் மென்பொருளைப் புதுப்பிக்கவும், வலுவான கடவுச்சொற்களை அமைக்கவும் மற்றும் ஐவசி போன்ற கண்ணியமான VPN சேவையைப் பயன்படுத்தவும்.
