၁၉၉၄ ခုနှစ်မှာ
Secure Sockets Layer (SSL) Protocol ဆိုတာကို Netscape Communications က တီထွင်ခဲ့ပါတယ်။
အဲဒီအချိန်တည်းက
SSL ဆိုတာ နေရာယူလာခဲ့တာ နှစ်ပေါင်းအတော်ကြာပါပဲ။
နှစ်တွေကြာလာတာနဲ့အမျှ
Protocol က ပြောင်းလဲ လာလိုက်တာ SSLv2.0 -> SSLv3.0 -> TLSv1.0 ->
TLSv1.1 -> TLSv1.2 တွေအထိဖြစ်လာပါပြီ။
ဒီလိုပြောင်းလာပေမယ့်
ခုထိ SSLv2.0 ကို အသုံးများနေကြတာကို တွေ့နေရတုန်းပါ။
ဒီဖက်ခေတ်မှာ
SSLv2.0 ဟာ လုံလောက်တဲ့ လုံခြုံရေး စနစ်တခုမဟုတ်တော့ပါဘူး။ သူ့မှာ အောက်မှာ ပြောထားတဲ့
အားနည်းချက်တွေရှိပါတယ်။
- Client – Server Message Authentication အတွက် MD5 ဆိုတာကိုသုံးပါတယ်။ MD5 ဟာ မလုံခြုံတော့ပါဘူး။
- Connection စဖို့ Handshake Message တွေပို့တဲ့အခါ Protection မလုပ်ပါဘူး။ ဒီအချက်ကပဲ attacker တွေဟာ man-in-the-middle attack ကိုသုံးပြီး client တွေကို အားနည်းတဲ့ cipher suite ကို ရွေးစေခြင်းဖြင့် အချက်အလက်လုံခြုံရေးကို ခြိမ်းခြောက်လာစေပါတယ်။
- Message Integrity, Message Encryption တွေအတွက် တူညီတဲ့ Key တွေကို အသုံးပြုပါတယ်။ ဒီအချက်ဟာလည်းပဲ အားနည်းတဲ့ Encryption Algorithm ကို Negotiatation အတွက်သုံးတဲ့ Client – Server တွေရဲ့ အချက်အလက် လုံခြုံရေးကို ခြိမ်းခြောက်လာစေပါတယ်။
- Client – Server တွေရဲ့ Session တွေကို လွယ်လွယ်ကူကူပဲ Terminate လုပ်နိုင်ပါတယ်။ ဒီအချက်ကတော့ man-in-the-middle attacker အနေနဲ့ TCP FIN packet တခုထည့်ပြီး session ကို Terminate လုပ်လိုက်နိုင်ပါတယ်။ အဲဒီလိုလုပ်လိုက်တာကို Client – Server တွေအနေနဲ့ ပုံမှန် Session Terminate ဟုတ်တယ် မဟုတ်ဘူး ဆိုတာ မခွဲခြားနိုင်တာက ပြဿနာပါ။
SSLv2.0
ပေါ်လာတာ နှစ် ၂၀ ကျော်ကြာခဲ့ပါပြီ။ သူ့ရဲ့ အားနည်းချက်တွေကိုလဲ RFC 6176 နဲ့ လွန်ခဲ့တဲ့
၅ နှစ်ကျော်ကတည်းက ထောက်ပြပြီးပါပြီ။ ဒါပေမယ့် ဒီအားနည်းချက်ရှိတဲ့ SSLv2.0 ကို လူတော်တော်များများ
အသုံးပြုနေကြပါသေးတယ်။
ပြီးခဲ့တဲ့
ဇွန်လ ( ဇွန် ၊ ၂၀၁၆) မှာ ၂% ထက်နည်းတဲ့ SSLv2.0 Server Hello message တွေကို
Firewall တွေမှာ လက်ခံရရှိနေသေးပြီး ၄၀% ထက်များတဲ့ SSLv2.0 Client Hello message တွေကိုလည်း
Firewall တွေမှာ လက်ခံရရှိနေပါသေးတယ်တဲ့။
အပေါ်မှာပြောခဲ့သလိုပဲ
SSLv2.0 ဟာ လုံခြုံရေး အားနည်းချက်တွေ ရှိနေပြီဖြစ်တဲ့အတွက် သင့်ရဲ့ System တွေအတွက်
အန္တရာယ်နေပါပြီ။ ဒီအတွက် Client/Server Software Setting တွေကို ပြန်လည်စစ်ဆေးဖို့လိုအပ်နေပြီး၊
SSLv2.0 အသုံးပြုနေခြင်းကိုလဲ ရပ်ပြီး TLS1.2 ကိုသုံးသင့်ကြောင်း အသိပေးလိုက်ရပါတယ်။
Source
: Dell SonicWall Security Center
ပျော်ရွှင်ပါစေဗျာ။
(Be
knowledgeable, pass it on then)
No comments :
Post a Comment