1998 की तरह हैक: साइटें अभी भी पुनर्जीवित शोषण के लिए कमजोर हैं



Another week, yet another security bulletin in tech news, with yet another vulnerability that joins the fray of both Intel's meltdown and Western Digital's MyCloud hacks. A team of researchers recently wrote a paper they titled 'Return Of Bleichenbacher's Oracle Threat (ROBOT)'. This paper went on to show how a well-known, circa 1998 exploit is still a viable way to take advantage of websites of even big name companies and services, such as Facebook and PayPal (in total, around 2.8% of the top 1 million sites also tested positive). The ROBOT exploit, a critical, 19-year-old vulnerability that allows attackers to decrypt encrypted data and sign communications using compromised sites' secret encryption key, is still valid. Only, it's 19 years later.

इस मुद्दे का दिल एक भेद्यता से उपजा है, जिसे 1998 में शोधकर्ता डैनियल बेलिचेनबैकर ने खोजा था, जिन्हें टीएलएस पूर्ववर्ती में भेद्यता को सुरक्षित सॉकेट लेयर के रूप में जाना जाता था। हमले को ओरेकल के खतरे के रूप में करार दिया गया है क्योंकि हमलावर विशेष प्रश्न लिख सकते हैं जिससे वेबसाइट और प्रभावित सिस्टम 'हां' या 'नहीं' के साथ प्रतिक्रिया करते हैं; इस तरह, यह संभव है, हमलावरों के लिए, संवेदनशील संवेदनशील जानकारी की मात्रा का निर्माण करने और संरक्षित डेटा की स्पष्ट तस्वीर प्राप्त करने के लिए पर्याप्त समय दिया जाए। Bleichenbacher द्वारा दोष की खोज करने के लिए, SSL आर्किटेक्ट्स ने स्पष्ट रूप से B- मूवी प्रकार का जवाब दिया, जो कि सभी प्रणालियों को हरा रखने के लिए जरूरी हो सकता है: दोषपूर्ण RSA एल्गोरिथ्म को हटाने या फिर से लिखने के बजाय, वर्कआर्ड के शीर्ष पर वर्कआर्ड को डिजाइन करके। 'हम आठ विक्रेताओं की पहचान करने में सक्षम थे और खुले-
शोधकर्ताओं ने अपने शोध पत्र में लिखा है कि स्रोत परियोजनाएं और 1998 से एक महत्वपूर्ण संख्या में मेजबान, जो ब्लेचेनबचेर के अनुकूली-चुने हुए सिफरटेक्स्ट हमले के मामूली बदलावों की चपेट में थे। 'इस बारे में सबसे उल्लेखनीय तथ्य यह है कि ऐसा करने में हमें कितना कम प्रयास करना पड़ा। इसलिए हम यह निष्कर्ष निकाल सकते हैं कि पुरानी कमजोरियों के लिए आधुनिक टीएलएस कार्यान्वयन का अपर्याप्त परीक्षण है। ' प्रभावित उत्पादों में F5, Citrix, और सिस्को द्वारा निर्मित कुछ शामिल हैं।

'The surprising fact is that our research was very straightforward. We used minor variations of the original attack and were successful. This issue was hiding in plain sight,' the researchers wrote in a blog post. 'This means neither the vendors of the affected products nor security researchers have investigated this before, although it's a very classic and well-known attack.' Sources: Return Of Bleichenbacher’s Oracle Threat (ROBOT) Paper, Robot Attack, via ArsTechnica, via TPU Forums @ user StefanM