জনিপারের ভিপিএন খিড়কি ডোজ সহ বাগি কোড: ছায়াময় এনএসএ ক্রিপ্টো ডোজ দিয়ে বাগি কোড

নিরাপত্তা গবেষক এবং ক্রিপটো বিশেষজ্ঞরা গত কয়েক দিন অতিবাহিত করেছেন জনিফার নেটস্কেপ ফায়ারওয়ালের একটি সম্প্রতি ঘোষণা করা গোপন তথ্য যা হামলাকারীদের সাহায্য করতে পারে ভিপিএন (ভার্চুয়াল প্রাইভেট নেটওয়ার্ক) ট্র্যাফিক ডিক্রিপ্ট করতে। তারা বিশ্বাস করে যে তাদের উত্তর পাওয়া যায়: সম্ভাব্য দূষিত তৃতীয় পক্ষের সংশোধন এবং জিনাইপের নিজস্ব ক্রিপ্টো ব্যর্থতার সমন্বয়।

বিশেষজ্ঞরা জানায়, জনিফার নেটস্কেপের স্ক্রিনোএস-এ ক্রিপ্টোগ্রাফিক অপারেশনগুলির ভিত্তি হিসাবে ডুয়াল_ইসি ডিআরআরবিজি নামক একটি ভুল ত্রুটিযুক্ত নাম্বার জেনারেটর ব্যবহার করছে , তবে বিশ্বাস করা হয়েছে যে এটির অতিরিক্ত সতর্কতার কারণে এটি এত নিরাপদ ছিল। এটা দেখায় যে এই সুরক্ষার অকার্যকর ছিল।

ভিপিএন ডিক্রিপশন সমস্যাটি বৃহস্পতিবার বৃহস্পতিবার ঘোষণা করেছিল যে, আরেকটি দুর্বলতা যা নেটস্কেপ ডিভাইসগুলিতে প্রশাসনিক অ্যাক্সেসের সাথে আক্রমণকারীকে হার্ড-কোডেড মাস্টার পাসওয়ার্ডের মাধ্যমে ব্যবহার করতে পারে উভয় সমস্যা ছিল স্ক্রিনOS এ যোগ করা অননুমোদিত কোডের ফলাফল এবং এটি একটি সাম্প্রতিক অভ্যন্তরীণ কোড অডিটের সময় আবিষ্কৃত হয়, সেই সময় কোম্পানীটি বলেছিল।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার অপসারণ কিভাবে করবেন]

Juniper ক্ষতিগ্রস্ত ফায়ারওয়্যারের প্যাচ সংস্করণ প্রকাশ করে, কিন্তু দুর্বোধ্য কোড, তার অবস্থান বা যারা এটি যোগ করেছে তা সম্পর্কে বিস্তারিত প্রকাশ করে নি। এফবিআই ঘটনাক্রমে ঘটনা তদন্ত করছে।

আরো তথ্যের জন্য খনন করার জন্য নিরাপত্তা সম্প্রদায় পুরোনো ফার্মওয়্যার সংস্করণ এবং জনিপারের নতুন প্যাচ ইঞ্জিনিয়ারকে বিপরীত দিকে নিয়ে যায়। গবেষকরা শীঘ্রই কঠোর পরিশ্রমী, কিন্তু গোপনীয়ভাবে গোপন গোপনীয়তা খুঁজে পেয়েছেন, প্রশাসনিক প্রবেশাধিকারের জন্য পাসওয়ার্ড এবং আবিষ্কৃত হয়েছে যে এটি প্রাথমিক স্ক্রিনOS সংস্করণকে প্রভাবিত করেছিল।

ক্রিপ্টো বিশেষজ্ঞরা ভিপিএন সমস্যাতে প্রবেশ করেছিলেন, যার বর্ণনা তাদের কাছে আরো আকর্ষণীয় ছিল এনক্রিপ্ট ট্র্যাফিকের উপর গুপ্তচরবৃদ্ধি সবসময়ই একটি বড় চুক্তি।

জিনপারের সর্বশেষ প্যাচগুলি এমন একটি প্যারামিটার ফিরিয়ে আনল যা অডিও সংস্করণ 6.3.0 আর 12 এর আগে ব্যবহার করা হয়েছিল। 6.3.0 শাখা যা জাইনিপার দাবিগুলি ভিপিএন ডিক্রিপশন সমস্যা দ্বারা প্রভাবিত হয়।

জার্মান নিরাপত্তা কনসালটেন্সি ফার্মের প্রতিষ্ঠাতা ও সিইও র্যালফ ফিলিপ ওয়েইনম্যান আরও বিশদ বিশ্লেষণের ভিত্তিতে, এই প্যারামিটারটি দুটি, স্থির - পি এবং প্রশ্ন - যা ডুয়াল_ইকে র্যান্ডম নাম্বার জেনারেটর (আরএনজি) দ্বারা ব্যবহৃত হয়।

ইউ.এস. ন্যাটিও কর্তৃক চ্যাম্পিয়ন হওয়ার পর ২007 সালে আমেরিকান ন্যাশনাল ইনস্টিটিউট অব স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি) এনএল সিকিউরিটি এজেন্সি, যা তার উন্নয়নে একটি গুরুত্বপূর্ণ ভূমিকা পালন করে। মাইক্রোসফ্টের দুই গবেষক ড্যান শুমো এবং নীল ফার্গুসন স্বল্প মেয়াদে একটি দুর্ঘটনা প্রকাশ করেন যা একটি খননকার্য হিসেবে কাজ করতে পারে।

"গণিতকে বাদ দেও, ছোট সংস্করণটি হচ্ছে ডুয়াল ইসি একটি বিশেষ 32-বাইটের উপর নির্ভর করে ক্রিটোগ্রাফার এবং সহকারী অধ্যাপক ম্যাথিউ গ্রিন বলেছেন, "আপনার জেনারেটর থেকে কমপক্ষে 30 বাইট কাঁচা আউটপুট দেখে পরে আক্রমণকারীকে RNG এর ভবিষ্যতের আউটপুটগুলির ভবিষ্যদ্বাণী করতে পারে", - ক্রিটোগ্রাফার এবং সহকারী অধ্যাপক ড। জনস হপকিন্স ইউনিভার্সিটি, মঙ্গলবার একটি ব্লগ পোস্টে।

NIST স্পেসিফিকেশনের Q- এর ডিফল্ট মান এনএসএ দ্বারা উত্পন্ন হয় এবং কোনও বেহিসেঞ্জা নেই যে এটি একটি র্যান্ডম পদ্ধতিতে করা হয়েছিল। আসলে, ২013 সালের সেপ্টেম্বর মাসে, এনএসএ'র প্রাক্তন ঠিকাদার অ্যাডওয়ার্ড স্নোডেন, নিউ ইয়র্ক টাইমস কর্তৃক গোপন নথিপত্রের উপর ভিত্তি করে, এনএসএ ইচ্ছাকৃতভাবে দুর্বলতার প্রকৌশলিত করেছে।

এই প্রতিবেদনের পতনটি NIST তার সুপারিশগুলি থেকে ডুয়েল_ইসিআরডিআরবিজি অবসর গ্রহণ করার জন্য এবং ব্যবহারকারীদের অন্য র্যান্ডম সংখ্যা জেনারেটরের মধ্যে পরিবর্তন করার পরামর্শ দেওয়া। NIST উপদেষ্টা পরে, জুনিপার স্বীকার করেন যে ScreenOS Dual_EC_DRBG ব্যবহার করেছে, কিন্তু দাবি করা হয়েছে যে এটি "এমন একটি উপায় যা সম্ভাব্য সমস্যাটিকে দুর্বল করে না যা আলোতে আনা হয়েছে"।

NIST দ্বারা প্রস্তাবিত P এবং Q স্ট্যাবলস ব্যবহার করার পরিবর্তে, যা একটি আড়াআড়ি বক্ররেখা হিসাবে বিবেচিত হয়, ScreenOS "স্ব-উত্পন্ন বেস পয়েন্ট" ব্যবহার করে। উপরন্তু, ডুয়ালএইচ এর আউটপুটটি আরেকটি র্যান্ডম নাম্বার জেনারেটরের জন্য ব্যবহৃত হয় যেমন FIPS / ANSI X.9.31 নামক নাম্বার যা স্ক্রিনOS ক্রিপ্টোগ্রাফিক অপারেশনগুলিতে ব্যবহার করা হয়, সেই সময় এ কোম্পানী বলেছিল।

এটা অস্পষ্ট কেন জনিপার একটি RNG এর ব্যবহার করার সিদ্ধান্ত নিয়েছে আউটপুট অন্য RNG এর পরিবর্তে দ্বিতীয়টি ব্যবহার করার পরিবর্তে, এবং আরও নিরাপদ, RNG সরাসরি যাইহোক, যদি এটি বাস্তবায়ন সঠিক হয়, তাহলে কন্ট্রোল করার ক্ষেত্রে কোন আক্রমণকারীর জন্য Q ব্যবহার করা হবে না। তাই কেন অনুমিত আক্রমণকারীদের প্যারামিটার পরিবর্তনের প্রচেষ্টায় যেতে হয়?

উইলম পিনকার্স নামে একটি স্বাধীন গবেষক থেকে এসেছে, যিনি উইনম্যানের বিশ্লেষণ পড়ার সময়, জুনাইপের কোডে একটি ত্রুটি লক্ষ্য করেছিলেন যা ডুয়াল_ইকে আউটপুটে পাস করতে পারে ANSI জেনারেটর, যে পদক্ষেপ ব্যর্থ হতে।

"Willem Pinckaers লক্ষ্য যে reseed_system_prng ফাংশন 32 বৈশ্বিক ভেরিয়েবল system_prng_bufpos সেট করে," Weinmann তার ব্লগে একটি আপডেটে বলেন "এর মানে এই যে, এই ফাংশনের প্রথম আহ্বান করার পরে, system_prng_gen_block এ রীড কল করার পরে সরাসরি লুপের জন্য সঞ্চালিত হয় না। সুতরাং, ANSI X9.31 পিআরএনএন কোড সম্পূর্ণরূপে কার্যকরী নয়।"

অজানা আক্রমনকারীদের দ্বারা Q পয়েন্ট অননুমোদিত পরিবর্তন পূর্বাভাস প্রদর্শিত এবং একটি খিড়কি নিজেই হিসাবে দেখা যাবে। ওয়েইনম্যান প্রকৃতপক্ষে সমগ্র বিষয়টিকে "ব্যাকডোরড ব্যান্ডউইডোর" হিসাবে উল্লেখ করেছেন।

"হ্যাকারদের কিছু হ্যাকার বা গোষ্ঠী জুনিপার সফ্টওয়্যারের একটি বিদ্যমান গোপনীয়তা লক্ষ্য করে, যেটি ইচ্ছাকৃত বা অনিচ্ছাকৃত - আপনি বিচারক হতে পারেন!", গ্রিন বলেন। "তারপর তারা তাদের নিজস্ব একটি খিঁচুন্ড নির্মাণ করার জন্য এটি উপরে piggybacked, কিছু তারা করতে সক্ষম ছিল কারণ কঠোর পরিশ্রম তাদের জন্য ইতিমধ্যেই হয়েছে। শেষ ফলাফল একটি সময় ছিল - কেউ একটি বিদেশী সরকার - মার্কিন যুক্তরাষ্ট্রে এবং সারা বিশ্বের জুনিফার ট্র্যাফিক ডিক্রিপ্ট করতে সক্ষম ছিল এবং সবগুলিই ছিল কারণ জনিপার ইতিমধ্যেই রাস্তাটি চালাত। "

জনিপার মন্তব্যের অনুরোধের জন্য অবিলম্বে প্রতিক্রিয়া জানাননি।

সবুজ অনুযায়ী, এমনকি জেনিবের ইচ্ছাকৃতভাবে এই দুর্বলতাটি চালু করেনি, মার্কিন যুক্তরাষ্ট্রের আইন প্রয়োগকারী সংস্থার কাছে তাদের এনক্রিপশন বাস্তবায়নে ব্যাবহারকারীরা তাদের এনক্রিপশন বাস্তবায়নের জন্য আইন প্রয়োগকারী সংস্থার কাছে কী ঘটতে পারে তার একটি চমৎকার উদাহরণ।

"সমস্যা ক্রিপ্টোগ্রাফিক ব্যাকডোর্সের সাথে এটি হল না যে তারা একমাত্র উপায় যে একটি আক্রমণকারী আমাদের ক্রিপ্টোগ্রাফিক সিস্টেম প্রবর্তন বিরতি পারেন, "সবুজ বলেন। "এটা নিছকই যে তারা সেরা। তারা কঠোর পরিশ্রম, প্লাম্বিং এবং বৈদ্যুতিক তারের যত্ন নেবে, তাই হামলাকারীরা সহজেই হাঁটতে ও মোড়কে পরিবর্তন করতে পারেন।"

"এই দুর্বলতা আমাদেরকে কী বলে? যে এই উদ্বেগ আর তাত্ত্বিক হয়, "তিনি বলেন ,. "যদি এনক্রিপশন ব্যাকডোরস প্রকৃতপক্ষে আমাদের ভবিষ্যত্ হয়, তাহলে আমাদের সকল কাজ কেবল কঠিন হয়ে যায়।"