দুই গবেষক (ম্যাথি ভ্যানহোফ এবং আইয়াল রোনেন) একটি নতুন আক্রমণ পদ্ধতিতে মোড়ক উন্মোচন করেছেন যা ইতিমধ্যে CVE-2019-13377 তে ক্যাটালোজেড যা এই ব্যর্থতা WPA3 সুরক্ষা প্রযুক্তি ব্যবহার করে ওয়্যারলেস নেটওয়ার্কগুলিকে প্রভাবিত করে আপনাকে পাসওয়ার্ডের বৈশিষ্ট্যগুলি সম্পর্কে তথ্য পেতে সহায়তা করে যা এটি অফলাইন মোডে এটি নির্বাচন করতে ব্যবহার করা যেতে পারে হোস্টপ্যাডের বর্তমান সংস্করণে সমস্যাটি প্রকাশ পেয়েছে।
এই একই গবেষকরা কয়েক মাস আগে ডাব্লুপিএ 3 তে একইভাবে ছয়টি দুর্বলতা চিহ্নিত করেছিলেনবিশেষত SAE প্রমাণীকরণ ব্যবস্থার ক্ষেত্রে, ড্রাগনফ্লাই নামেও পরিচিত। এই আক্রমণগুলি অভিধানের আক্রমণগুলির মতো দেখায় এবং প্রতিপক্ষকে পাশের বা দ্বিতীয় চ্যানেল ফাঁসকে গালি দিয়ে পাসওয়ার্ড পুনরুদ্ধার করতে দেয়।
উপরন্তু, ডাব্লুপিএ 3 প্রোটোকল তৈরি করা বিভিন্ন প্রক্রিয়াতে প্রচুর পরিমাণে আক্রমণ চালিয়েছেযেমন, ট্রান্সজিশন মোডে কাজ করার সময় ডাব্লুপিএ 3 এর বিরুদ্ধে অভিধানের আক্রমণ, এসএই হ্যান্ডশেকের বিরুদ্ধে ক্যাশে-ভিত্তিক মাইক্রোআরকিটেকচার সাইড আক্রমণ এবং তারা কীভাবে পুনরুদ্ধার করা সময় এবং ক্যাশে তথ্য কার্যকর করতে ব্যবহৃত হতে পারে তা প্রদর্শনের সুযোগ নিয়েছিল "পাসওয়ার্ড বিভাজন আক্রমণ" অফলাইন।
এটি কোনও আক্রমণকারীকে শিকারের দ্বারা ব্যবহৃত পাসওয়ার্ড পুনরুদ্ধার করতে দেয়।
যাইহোক, বিশ্লেষণে দেখা গেছে যে ব্রেইনপুলের ব্যবহার নতুন শ্রেণির ফাঁসের উপস্থিতিতে বাড়ে ডাব্লুপিএ 3 তে ব্যবহৃত ড্রাগনফ্লাই সংযোগ মেলানো অ্যালগরিদমের তৃতীয় পক্ষের চ্যানেলগুলিতে, যা অফলাইন মোডে পাসওয়ার্ড অনুমানের বিরুদ্ধে সুরক্ষা সরবরাহ করে।
চিহ্নিত সমস্যাটি এটি দেখায় ড্রাগনফ্লাই এবং ডাব্লুপিএ 3 বাস্তবায়ন তৈরি করুন, তৃতীয় পক্ষের চ্যানেলগুলির মাধ্যমে ডেটা লিক থেকে সরানো হয়েছে, এটি একটি অত্যন্ত কঠিন কাজ এটি প্রস্তাবিত পদ্ধতিগুলি এবং সম্প্রদায় নিরীক্ষণের বিষয়ে জনসমক্ষে আলোচনা না করে ক্লোজার-দরজা মান বিকাশের মডেলটির অসঙ্গতিও দেখায়।
একটি পাসওয়ার্ড এনকোড করার সময় ইসিসি ব্রেইনপুল ব্যবহার করার সময়, ড্রাগনফ্লাই অ্যালগোরিদম উপবৃত্তাকার বক্ররেখা প্রয়োগের আগে একটি শর্ট হ্যাশের দ্রুত গণনার সাথে সম্পর্কিত একটি পাসওয়ার্ড সহ কয়েকটি প্রাথমিক পুনরাবৃত্তি সম্পাদন করে। একটি সংক্ষিপ্ত হ্যাশ না পাওয়া পর্যন্ত সঞ্চালিত অপারেশনগুলি সরাসরি ক্লায়েন্টের ম্যাকের ঠিকানা এবং পাসওয়ার্ডের উপর নির্ভর করে।
নতুন দুর্বলতা সম্পর্কে
রানটাইমে এটি পুনরাবৃত্তির সংখ্যার সাথে সম্পর্কিত হয় এবং প্রাথমিক পুনরাবৃত্তির সময় অপারেশনগুলির মধ্যে বিলম্ব পাসওয়ার্ডের বৈশিষ্ট্য নির্ধারণ করতে পরিমাপ করা যায় এবং ব্যবহার করা যেতে পারে, যা তাদের নির্বাচনের সময় পাসওয়ার্ড অংশগুলির সঠিক পছন্দটি স্পষ্ট করতে অফলাইনে ব্যবহার করা যেতে পারে।
আক্রমণ চালানোর জন্য আপনার ওয়্যারলেস নেটওয়ার্কের সাথে সংযোগকারী ব্যবহারকারীর সিস্টেমে অ্যাক্সেস থাকতে হবে।
উপরন্তু, গবেষকরা একটি দ্বিতীয় দুর্বলতা চিহ্নিত করেছিলেন (CVE-2019-13456) ড্রাগনফ্লাই অ্যালগরিদম ব্যবহার করে EAP-pwd প্রোটোকল বাস্তবায়নে তথ্য ফাঁসের সাথে যুক্ত।
সমস্যাটি ফ্রিআরডিউইস রেডিওস সার্ভারের সাথে নির্দিষ্ট এবং তৃতীয় পক্ষের চ্যানেলগুলির মাধ্যমে তথ্য ফাঁসের উপর ভিত্তি করে পাশাপাশি প্রথম দুর্বলতার ফলে এটি পাসওয়ার্ড নির্বাচনকে উল্লেখযোগ্যভাবে সহজ করতে পারে।
বিলম্ব পরিমাপের সময় শব্দ সনাক্তকরণের একটি উন্নত পদ্ধতির সংমিশ্রণে, পুনরাবৃত্তির সংখ্যা নির্ধারণ করতে, এটি একটি ম্যাক ঠিকানার জন্য 75 টি পরিমাপ চালানোর পক্ষে যথেষ্ট।
ফলস্বরূপ আক্রমণগুলি দক্ষ এবং সাশ্রয়ী। উদাহরণস্বরূপ, বিদ্যমান WPA2 ক্র্যাকিং সরঞ্জাম এবং হার্ডওয়্যার ব্যবহার করে অবক্ষয় আক্রমণগুলি ব্যবহার করা যেতে পারে। পার্শ্ব চ্যানেল দুর্বলতাগুলি উদাহরণস্বরূপ, অ্যামাজন ইসি 1 উদাহরণগুলিতে সবচেয়ে কম known 2 হিসাবে সর্বাধিক পরিচিত অভিধানগুলি ব্যবহার করে একটি ব্রুট ফোর্স আক্রমণ চালাতে অপব্যবহার করা যেতে পারে।
চিহ্নিত সমস্যাগুলিকে ব্লক করার জন্য প্রোটোকল সুরক্ষা উন্নত করার পদ্ধতিগুলি ইতিমধ্যে ভবিষ্যতের ওয়াই-ফাই মান (ডাব্লুপিএ ৩.১) এবং ইএপি-পিডব্লিউডের খসড়া প্রকাশে অন্তর্ভুক্ত করা হয়েছে।
ভাগ্যক্রমে, গবেষণার ফলাফল হিসাবে, Wi-Fi স্ট্যান্ডার্ড এবং EAP-pwd উভয়ই আরও সুরক্ষিত প্রোটোকল সহ আপডেট করা হচ্ছে। যদিও এই আপডেটটি বর্তমান ডাব্লুপিএ 3 বাস্তবায়নের সাথে পিছিয়ে-সামঞ্জস্যপূর্ণ নয় তবে এটি আমাদের বেশিরভাগ আক্রমণকে আটকায়।
উৎস: https://wpa3.mathyvanhoef.com