এসএসএল আক্রমণগুলি এসএসএল / টিএলএস প্রোটোকলের দুর্বলতাগুলি কাজে লাগিয়ে আপনার ডেটার সুরক্ষাকে হুমকি দেয়। তারা বিভিন্ন পদ্ধতির মাধ্যমে কাজ করে, যেমন এসএসএল স্ট্রিপিং, ম্যান-ইন-দ্য-মিডল এবং ডাউনগ্রেড আক্রমণ।
এই নিবন্ধটি বিভিন্ন এসএসএল আক্রমণের ধরণ এবং তাদের সর্বাধিক সাধারণ বৈচিত্রগুলি যা ডেটা সুরক্ষাকে প্রভাবিত করে তা কভার করে। এটি প্রতিরোধের সমাধানও সরবরাহ করে যাতে আপনার অনলাইন উপস্থিতি এবং ব্রাউজিং নিরাপদ এবং হ্যাকারদের নাগালের বাইরে থাকে।
সুচিপত্র
- SSL/TLS attack মানে কি?
- SSL আক্রমণের ধরন
- সবচেয়ে সাধারণ SSL আক্রমণ কি?
- এসএসএল / টিএলএস দুর্বলতা আক্রমণ
- কিভাবে SSL attack থেকে রক্ষা পাওয়া যায়?
SSL/TLS attack মানে কি?
এসএসএল আক্রমণগুলি ইন্টারনেটে যোগাযোগ সুরক্ষিত করার জন্য ডিজাইন করা এসএসএল / টিএলএস প্রোটোকলগুলিতে দুর্বলতাগুলি কাজে লাগানোর দূষিত প্রচেষ্টা। এই আক্রমণগুলি ব্যবহারকারীর ডিভাইস এবং একটি ওয়েব সার্ভারের মধ্যে এসএসএল সংযোগকে লক্ষ্য করে যেখানে পাসওয়ার্ড, ক্রেডিট কার্ড নম্বর বা ব্যক্তিগত তথ্যের মতো সংবেদনশীল ডেটা প্রেরণ করা হয়।
এসএসএল, বা সিকিউর সকেটস লেয়ার এবং এর উত্তরসূরি টিএলএস, যা ট্রান্সপোর্ট লেয়ার সিকিউরিটির জন্য দাঁড়িয়েছে, এটি ক্রিপ্টোগ্রাফিক প্রোটোকল যা ক্লায়েন্ট এবং সার্ভারের মধ্যে একটি এনক্রিপ্ট করা সংযোগ স্থাপন করে। এই এনক্রিপশন নিশ্চিত করে যে দুই পক্ষের মধ্যে বিনিময় করা ডেটা গোপনীয় এবং অবিচ্ছেদ্য থাকে। যখন আপনি একটি URL এ “HTTPS” দেখেন, সংযোগটি SSL / TLS ব্যবহার করে সুরক্ষিত হয়।
যাইহোক, আক্রমণকারীরা সংবেদনশীল ডেটাতে অননুমোদিত অ্যাক্সেস অর্জনের জন্য এসএসএল এবং টিএলএস প্রোটোকলের দুর্বলতাগুলি কাজে লাগায়। একটি পদ্ধতি হ’ল ডাউনগ্রেডেড লিগ্যাসি এনক্রিপশন আক্রমণের মাধ্যমে, যেখানে হ্যাকার যোগাযোগটিকে দুর্বল এনক্রিপশন অ্যালগরিদম বা প্রোটোকলগুলি ব্যবহার করতে বাধ্য করে এনক্রিপ্ট করা ডেটা বাধা দেয় যা ক্র্যাক করা সহজ।
SSL আক্রমণের ধরন
আসুন স্ট্রিপিং আক্রমণ এবং কুখ্যাত ম্যান-ইন-দ্য-মিডল আক্রমণ থেকে শুরু করে বিভিন্ন এসএসএল আক্রমণগুলি অন্বেষণ করি। তারপরে আমরা ডাউনগ্রেড, পুনরায় আলোচনা এবং এসএসএল ইনজেকশন আক্রমণগুলি বুঝতে এগিয়ে যাব। এই জ্ঞান আপনাকে এই সাইবার হুমকির বিরুদ্ধে আরও ভালভাবে রক্ষা করতে সহায়তা করবে।
- এসএসএল স্ট্রিপিং আক্রমণ : এই আক্রমণগুলি এইচটিটিপিএস সংযোগগুলি যেভাবে প্রতিষ্ঠিত হয় তাতে দুর্বলতাগুলি কাজে লাগায়। আক্রমণকারীরা একটি ব্যবহারকারী এবং একটি ওয়েব সার্ভারের মধ্যে ট্র্যাফিক বাধা দেয় এবং এইচটিটিপিতে সংযোগটি ডাউনগ্রেড করে। এই ক্রিয়াটি তাদের ব্যবহারকারী এবং সার্ভারের মধ্যে প্রেরিত অন্যান্য সংবেদনশীল ডেটা দেখতে এবং ম্যানিপুলেট করতে দেয়, কারণ এটি এইচটিটিপিএস সংযোগের মতো এনক্রিপ্ট করা হয় না।
- ম্যান-ইন-দ্য-মিডল অ্যাটাক : এই আক্রমণগুলিতে, হ্যাকাররা ব্যবহারকারী এবং সার্ভারের মধ্যে নিজেদের অবস্থান করে, যোগাযোগকে বাধা দেয়। তারা লগইন শংসাপত্র বা আর্থিক বিবরণের মতো সংবেদনশীল তথ্য প্রাপ্তির মাধ্যমে তাদের মধ্যে প্রেরিত ডেটা আড়ি পেতে এবং সংশোধন করতে পারে।
- ডাউনগ্রেড আক্রমণ: এই ধরনের আক্রমণগুলি এসএসএল প্রোটোকলকে এসএসএল 3.0 এর মতো পুরানো সংস্করণগুলি ব্যবহার করতে বাধ্য করে এসএসএল প্রোটোকলকে লক্ষ্য করে। আক্রমণকারীরা প্রোটোকলের দুর্বলতাগুলি কাজে লাগাতে এবং এনক্রিপ্ট করা ট্র্যাফিকটি ডিক্রিপ্ট করতে পারে।
- এসএসএল পুনর্বিবেচনা আক্রমণ : সাইবার অপরাধীরা ক্লায়েন্ট এবং সার্ভারের মধ্যে এসএসএল ট্র্যাফিক পুনর্বিবেচনার ত্রুটিগুলির সুযোগ নেয়। এই প্রক্রিয়াটি হেরফের করে, তারা যোগাযোগে দূষিত কোড বা কমান্ড ইনজেক্ট করতে পারে, সম্ভাব্যভাবে সংযোগের সাথে আপস করতে পারে।
- এসএসএল ইনজেকশন আক্রমণ: এই লঙ্ঘনগুলি এসএসএল ট্র্যাফিকের মাধ্যমে ব্যবহারকারী এবং সার্ভারের মধ্যে যোগাযোগের মধ্যে দূষিত কোড বা কমান্ড ইনজেকশনের সাথে জড়িত। ফলে স্পর্শকাতর তথ্যে অননুমোদিত প্রবেশাধিকার পায় হ্যাকাররা।
- সেশন হাইজ্যাকিং আক্রমণ : এই আক্রমণগুলিতে, আক্রমণকারীরা কোনও ব্যবহারকারী বা সার্ভার থেকে সেশন প্রমাণীকরণ শংসাপত্র বা ব্যক্তিগত কী চুরি করে, তাদের শংসাপত্রধারীর ছদ্মবেশ ধারণ করার অনুমতি দেয়। এটি তাদের কোনও পক্ষই বুঝতে না পেরে ট্রান্সমিশনকে আটকাতে এবং ম্যানিপুলেট করতে সক্ষম করে যে তারা আপোস করেছে।
এই আক্রমণগুলি ইন্টারনেটে ডেটা ট্রান্সমিশন সুরক্ষিত করার জন্য উল্লেখযোগ্য নিরাপত্তা ঝুঁকি তৈরি করে, বিশেষ করে এন্টারপ্রাইজ এবং ব্যক্তিদের জন্য যারা তাদের সংবেদনশীল তথ্য সুরক্ষিত করার জন্য নিরাপদ এইচটিটিপিএস সংযোগের উপর নির্ভর করে। এই নেটওয়ার্ক আক্রমণগুলির ঝুঁকি কমাতে, আপনার সর্বদা আপ টু ডেট প্রোটোকল এবং বৈধ এসএসএল শংসাপত্র ব্যবহার করা উচিত।
সবচেয়ে সাধারণ SSL আক্রমণ কি?
এখানে তিনটি সাধারণ SSL আক্রমণ রয়েছে। সকলেই ব্যবহারকারীদের সাইবারসিকিউরিটি সচেতনতার অভাব এবং অপ্রচলিত সিস্টেমগুলির সুযোগ নেয় যা এখনও এখন-অবহেলিত ক্রিপ্টোগ্রাফিক প্রোটোকল ব্যবহারের অনুমতি দেয়:
- এসএসএল স্ট্রিপিং আক্রমণ: এইচটিটিপিএস প্রোটোকলের সুরক্ষা বাইপাস করার ক্ষেত্রে তাদের সাফল্যের কারণে এই আক্রমণগুলি অব্যাহত থাকে। সাইবার অপরাধীরা ওয়েব ব্রাউজারগুলিকে লক্ষ্য করে এবং যোগাযোগকে বাধা দেওয়ার জন্য নেটওয়ার্ক আক্রমণে দুর্বলতাগুলি কাজে লাগায়। ২০১০ সালে এসএসএল স্ট্রিপিং আক্রমণের একটি সু-নথিভুক্ত উদাহরণ ঘটেছিল, যা সুরক্ষা গবেষক মক্সি মার্লিনস্পাইক দ্বারা পরিকল্পিত।
এই ক্ষেত্রে, আক্রমণকারী পাবলিক ওয়াই-ফাই নেটওয়ার্কগুলির ব্যবহারকারীদের লক্ষ্যবস্তু করে, বিশেষত সম্মেলন এবং ইভেন্টগুলিতে, এইচটিটিপিএস সংযোগের দুর্বলতাগুলি কাজে লাগিয়ে তাদের এনক্রিপ্ট না করা এইচটিটিপি সংযোগগুলিতে ডাউনগ্রেড করে - ম্যান-ইন-দ্য-মিডল: এই আক্রমণগুলি প্রচলিত থাকে, বিশেষত যখন উদ্যোগগুলিকে লক্ষ্যবস্তু করা হয়, কারণ তারা আক্রমণকারীদের সুরক্ষিত সংযোগগুলিতে প্রেরিত ডেটা আটকাতে এবং ম্যানিপুলেট করতে সক্ষম করে। নেটওয়ার্ক অবকাঠামোর দুর্বলতাকে কাজে লাগিয়ে সাইবার অপরাধীরা শনাক্তকরণ ছাড়াই যোগাযোগে আড়ি পাততে পারে।
২০১৪ সালের ডার্কহোটেল হামলা একটি ম্যান-ইন-দ্য-মিডল আক্রমণের একটি বিশিষ্ট বাস্তব জীবনের উদাহরণ। এই অত্যাধুনিক সাইবার-গুপ্তচরবৃত্তি প্রচারণায়, হ্যাকাররা সরকারী কর্মকর্তা এবং কর্পোরেট নির্বাহীদের মতো উচ্চ-প্রোফাইল অতিথিদের দ্বারা ঘন ঘন হোটেল ওয়াই-ফাই নেটওয়ার্কগুলিতে অনুপ্রবেশ করেছিল। - – ডাউনগ্রেড আক্রমণ: এসএসএল / টিএলএস প্রোটোকলগুলির দুর্বল সংস্করণগুলি নির্মূল করার প্রচেষ্টা সত্ত্বেও, পুরানো এনক্রিপশন প্রোটোকলগুলির ব্যাপক ব্যবহারের কারণে এই আক্রমণগুলি অব্যাহত থাকে। ২০১৪ সালে ডাউনগ্রেড আক্রমণের একটি উদাহরণ ঘটেছিল, যা পুডল দুর্বলতা নামে পরিচিত, গুগল গবেষক বোডো মোলার, থাই ডুয়ং এবং ক্রিজিসটফ কোটোভিজ আবিষ্কার করেছিলেন। এই আক্রমণটি এসএসএল 3.0 ক্রিপ্টোগ্রাফিক প্রোটোকলকে লক্ষ্য করে, যা এখনও ওয়েব সার্ভার এবং ব্রাউজার দ্বারা ব্যাপকভাবে সমর্থিত ছিল।
এসএসএল / টিএলএস দুর্বলতা আক্রমণ
আসুন এসএসএল আক্রমণগুলিতে আরও গভীরভাবে ডুব দিই এবং বিভিন্ন দুর্বলতাগুলি পরিদর্শন করি যা তাদের সম্ভব করে তোলে:
- বিস্ট (এসএসএল / টিএলএসের বিরুদ্ধে ব্রাউজার শোষণ): এই আক্রমণটি এসএসএল 3.0 এবং টিএলএস 1.0 প্রোটোকলগুলিতে দুর্বলতা অর্জন করে। এটি আক্রমণকারীকে এইচটিটিপিএস-এনক্রিপ্ট করা সেশন থেকে তথ্য ডিক্রিপ্ট এবং বের করার অনুমতি দেয়। যদিও আধুনিক ব্রাউজার এবং সার্ভারগুলি মূলত এই দুর্বলতা হ্রাস করেছে, এটি এখনও একটি উল্লেখযোগ্য ঐতিহাসিক আক্রমণ।
- হার্টব্লিড: হার্টব্লিড ওপেনএসএসএল, একটি বহুল ব্যবহৃত ক্রিপ্টোগ্রাফিক লাইব্রেরিতে একটি মারাত্মক দুর্বলতা। এটি আক্রমণকারীদের ওপেনএসএসএল এর দুর্বল সংস্করণগুলি চালিত সার্ভারগুলির মেমরি থেকে সংবেদনশীল ডেটা পড়তে দেয়। এই ডেটাতে এনক্রিপশন কী, পাসওয়ার্ড এবং অন্যান্য গোপনীয় তথ্য অন্তর্ভুক্ত থাকতে পারে, যা প্রভাবিত সিস্টেমের সুরক্ষার সাথে আপস করে।
- ক্রাইম (কম্প্রেশন রেশিও ইনফো-লিক মেড ইজি): ক্রাইম এসএসএল / টিএলএস প্রোটোকলগুলিতে সংক্ষেপণ বৈশিষ্ট্যটির সুবিধা নেয়। এনক্রিপ্ট করা অনুরোধগুলির সংকুচিত আকার পর্যবেক্ষণ করে, আক্রমণকারীরা সেশন কুকিজ সহ প্লেইনটেক্সট তথ্য অনুমান করতে পারে, যা ব্যবহারকারী সেশনগুলি হাইজ্যাক করতে ব্যবহার করা যেতে পারে।
- ফ্রিক (আরএসএ-এক্সপোর্ট কীগুলিতে ফ্যাক্টরিং আক্রমণ): ফ্রিক এসএসএল / টিএলএস বাস্তবায়নগুলিকে লক্ষ্য করে যা দুর্বল রফতানি-গ্রেড এনক্রিপশন সাইফারগুলিকে সমর্থন করে। আক্রমণকারীরা এই দুর্বল সাইফারগুলিতে ডাউনগ্রেড করতে বাধ্য করতে পারে, তাদের দুর্বল ক্লায়েন্ট এবং সার্ভারগুলির মধ্যে যোগাযোগকে ডিক্রিপ্ট এবং বাধা দেওয়ার অনুমতি দেয়।
- – ডুবে যাওয়া (অপ্রচলিত এবং দুর্বল এনক্রিপশন সহ আরএসএ ডিক্রিপ্ট করা): ডিউন এসএসএলভি 2 সমর্থন করে এমন সার্ভারগুলিকে শোষণ করে, এমনকি যদি তাদের টিএলএসের মতো নতুন প্রোটোকল সক্ষম থাকে। এই ধরনের প্রাচীন সিস্টেম আজকাল একটি বিরল আবিষ্কার। উদাহরণস্বরূপ, নির্দিষ্ট দেশের সরকারী পোর্টালগুলি এখনও লিগ্যাসি সার্ভারে চলতে পারে।
কিভাবে SSL attack থেকে রক্ষা পাওয়া যায়?
এসএসএল আক্রমণ থেকে রক্ষা করতে এবং আপনার অনলাইন ক্রিয়াকলাপগুলি সুরক্ষিত রাখতে, এই সহজ পদক্ষেপগুলি অনুসরণ করুন:
- নিরাপদ সংযোগ নিশ্চিত করুন: অনলাইনে সংবেদনশীল তথ্য ভাগ করার আগে ঠিকানা বারে সর্বদা প্যাডলক আইকন এবং “https://” চেক করুন। এটি একটি সুরক্ষিত সংযোগ নির্দেশ করে এবং SSL দুর্বলতার শিকার হওয়ার ঝুঁকি হ্রাস করে।
- আপডেট থাকুন: পরিচিত দুর্বলতাগুলি প্যাচ করতে নিয়মিত আপনার ওয়েব ব্রাউজার, অপারেটিং সিস্টেম, ওয়েব সার্ভার এবং কোনও সুরক্ষা সফ্টওয়্যার আপডেট করুন। এই আপডেটগুলিতে প্রায়শই এসএসএল দুর্বলতাগুলির জন্য সংশোধন অন্তর্ভুক্ত থাকে যা আক্রমণকারীরা কাজে লাগাতে পারে।
- নামী ওয়েবসাইট নির্বাচন করুন: ব্যক্তিগত বা আর্থিক তথ্য ভাগ করে নেওয়ার সময় সুপরিচিত এবং বিশ্বস্ত ওয়েবসাইটগুলিতে লেগে থাকুন। সন্দেহজনক লিঙ্ক বা পপ-আপগুলিতে ক্লিক করা এড়িয়ে চলুন, কারণ তারা ম্যালওয়্যার দ্বারা সংক্রামিত সাইটগুলির কারণ হতে পারে।
- ডেটা এনক্রিপ্ট করুন: যখনই সম্ভব ভার্চুয়াল প্রাইভেট নেটওয়ার্ক (ভিপিএন) বা এনক্রিপ্ট করা মেসেজিং অ্যাপ্লিকেশনগুলির মতো এনক্রিপ্ট করা যোগাযোগ চ্যানেলগুলি ব্যবহার করুন। আপনার ডেটা এনক্রিপ্ট করা এন্টারপ্রাইজগুলিকে লক্ষ্য করে সম্ভাব্য নেটওয়ার্ক আক্রমণগুলির বিরুদ্ধে সুরক্ষার একটি অতিরিক্ত স্তর যুক্ত করে।
- নিজেকে শিক্ষিত করুন: সাধারণ এসএসএল হুমকি সম্পর্কে অবহিত থাকুন এবং সতর্কতা লক্ষণগুলি সনাক্ত করতে শিখুন। অনলাইনে ব্রাউজ করার সময় এসএসএল শংসাপত্র সম্পর্কিত কোনও অপ্রত্যাশিত সতর্কতা বা ত্রুটি সম্পর্কে সতর্ক থাকুন।
মোদ্দা কথা
উপসংহারে, এসএসএল আক্রমণগুলি বোঝা এবং কেন সেগুলি ঘটে তা আপনাকে অপ্রয়োজনীয় সুরক্ষা সমস্যাগুলি এড়াতে সহায়তা করে। যদিও এখনও অনেকগুলি এসএসএল দুর্বলতা রয়েছে, তাদের প্রায় সবগুলিই পুরানো এসএসএল এবং টিএলএস প্রোটোকলের সাথে আবদ্ধ, যা আর আধুনিক সিস্টেম দ্বারা ব্যবহৃত হয় না।
ব্রাউজারগুলি আপনাকে কোনও এসএসএল ত্রুটি সম্পর্কে অবহিত করবে যা সম্ভাব্য ডেটা ফাঁসের কারণ হতে পারে, তাই এই সতর্কতাগুলি উপেক্ষা করবেন না। আপনার যদি কোনও ওয়েবসাইট থাকে তবে এটি একটি নির্ভরযোগ্য সার্ভারে হোস্ট করুন এবং সমস্ত অপ্রচলিত প্রোটোকল অক্ষম রয়েছে তা নিশ্চিত করুন। এ ছাড়া আপনি খুব বেশি কিছু করতে পারবেন না। একটি বিশ্বস্ত সার্টিফিকেট এবং একটি হাই-এন্ড সার্ভার আপনাকে যেকোনো এসএসএল নিরাপত্তা হুমকি থেকে দূরে রাখবে।
আজ অর্ডার করার সময় SSL শংসাপত্রে 10% সংরক্ষণ করুন!
দ্রুত ইস্যু, শক্তিশালী এনক্রিপশন, 99.99% ব্রাউজার বিশ্বাস, নিবেদিত সমর্থন, এবং 25 দিনের অর্থ ফেরত গ্যারান্টি। কুপন কোড: SAVE10