क्रेडिट कार्ड जैसे संवेदनशील डेटा को इंटरनेट पर सुरक्षित रूप से कैसे प्रसारित किया जा सकता है ?

इंटरनेट के शुरुआती दिनों में यह सुनिश्चित करने के लिए पर्याप्त था कि नेटवर्क रूटर और लिंक शारीरिक रूप से सुरक्षित स्थानों पर हैं।लेकिन जैसे-जैसे इंटरनेट का आकार बढ़ता गया, वैसे-वैसे अधिक रूटर्स का अर्थ था अतिसंवेदनशीलता के अधिक अंक।इसके अलावा, Wifi जैसी बेतार प्रौद्योगिकियों के आगमन से हैकर्स हवा में पैकेटों का अवरोधन कर सकते हैं;यह सिर्फ सुनिश्चित करने के लिए पर्याप्त नहीं था कि नेटवर्क हार्डवेयर शारीरिक रूप से सुरक्षित था।इसका समाधान एसएसएल/टीएलएस के माध्यम से एनक्रिप्शन तथा सत्यापन था।

Image credit : lasthackingnews.com

SSL/TLS क्या है ? What is SSL/TLS ?

एसएसएल खड़ा है सुरक्षित सॉकेट परत के लिए। TLS परिवहन परत सुरक्षा के लिए खड़ा हैएसएसएल का पहला विकास 1994 में नेटस्केप ने किया था लेकिन बाद में और अधिक सुरक्षित संस्करण बनाया गया और इसका नया नाम टी. एल. एस. किया गया।हम उन्हें एसएसएल/टीएलएस के रूप में एक साथ देखेंगे। SSL/TLS एक वैकल्पिक परत है जो ट्रांसपोर्ट लेयर और अनुप्रयोग लेयर के बीच में बैठता है। यह संवेदनशील सूचना को एन्क्रिप्शन और अधिप्रमाणन के माध्यम से सुरक्षित इंटरनेट संचार की अनुमति देता है।

गोपन का अर्थ है, क्लाइंट इसका अनुरोध कर सकता है कि टीसीपी कनेक्शन को सर्वर से गोपित किया जाए।इसका अर्थ है कि क्लाइंट और सर्वर के बीच भेजे गए सभी संदेशों को पैकेट में तोड़ने से पहले एन्क्रिप्ट किया जाएगा।यदि हैकर्स इन पैकेटों को अवरुद्ध करते हैं, तो वे मूल संदेश के पुनर्निर्माण में सक्षम नहीं होंगे। अधिप्रमाणन का अर्थ है, क्लाइंट विश्वास कर सकता है कि वह सर्वर है जिसका वह दावा करता है। यह गैर-मध्यमवर्गीय आक्रमणों से बचाता है, जो तब होता है जब कोई विद्वेषपूर्ण दल ग्राहक और सर्वर के बीच संबंध को उनके संचार में छेड़छाड़ या छेड़छाड़ से रोकता है।

जब भी हम आधुनिक ब्राउज़रों पर एसएसएल-एनेबल वेबसाइटों पर जाते हैं, हम कार्रवाई में एसएसएल देखते हैं। जब ब्राउज़र एचटीटीपी के बजाय HTTPS प्रोटोकॉल के उपयोग से किसी वेब साइट का अनुरोध करता है, यह वेब सर्वर को बताता है कि यह एसएसएल एनक्रिप्टेड कनेक्शन चाहता है। यदि वेब सर्वर SSL का समर्थन करता है, तो एक सुरक्षित एन्क्रिप्टेड कनेक्शन बन जाता है और हम ब्राउज़र पर पता बार के बगल में एक लॉक आइकन देखते हैं।

अगर कोई हैकर SSL एन्क्रिप्तेड सत्र को रोकता है तो क्या होता है / What happens if a hacker intercepts an SSL encrypted session ?

आज के इंटरनेट युग में दुर्भावनापूर्ण हैकर्स, व्यापार द्वारा अपने संचार को सुरक्षित रखने के लिए मानक एन्क्रिप्शन मानकों का प्रयोग कर रहे हैं।वे सुरक्षा प्रोटोकॉलों में हमले भेज रहे हैं जो अनुप्रयोग को सुरक्षित रखने के लिए अभिकल्पित हैं।

मान लीजिए कि एक हैकर ने ग्राहक और सर्वर के बीच भेजे गए हर संदेश को बाधित किया था।हैकर एसएसएल प्रमाणपत्र देखता है जो सर्वर भेजता है और साथ ही क्लाइंट की एन्क्रिप्टेड अस्थायी गुप्त कुंजी भी। लेकिन क्योंकि हैकर के पास निजी कुंजी नहीं है, यह अस्थायी रूप से गुप्त कुंजी को डिक्रिप्ट नहीं कर सकता है। और क्योंकि यह अस्थायी गुप्त कुंजी नहीं रखता है, यह किसी भी संदेश को क्लाइंट और सर्वर के बीच डिक्रिप्ट नहीं कर सकता ।

संगठन अपने इंटरनेट संचार को एनक्रिप्ट करने के लिए सुरक्षित सॉकेट लेयर (एसएसएल) और ट्रांसपोर्ट लेयर सुरक्षा (टीएलएस) का उपयोग करते हैं।एन्क्रिप्शन प्रोटोकॉल का उपयोग गोपनीयता सुनिश्चित करने और डेटा सत्यनिष्ठा सुनिश्चित करने के लिए किया जाता है। दुर्भाग्यवश, एन्क्रिप्शन प्रोटोकॉल, सभी अनुप्रयोग डाटा को सुरक्षित रखता है, चाहे वह वैध हो या दुर्भावनापूर्ण हो।हैकर्स एसएसएल/टीएलएस प्रोटोकोल का प्रयोग इनके हमले के बोझ को बाधित करने के लिए एक उपकरण के रूप में कर रहे हैं। एक सुरक्षा उपकरण प्लेनटेक्स्ट में क्रॉस साइट स्क्रिप्टिंग या SQL के इंजेक्शन आक्रमण की पहचान करने में सक्षम हो सकता है, लेकिन यदि एक ही हमला एसएसएल/टीएलएस का उपयोग करके एन्क्रिप्टेड है, तो जब तक कि पहले इसे निरीक्षण के लिए डिक्रिप्ट न किया गया हो, तब तक हमला पूरा हो जाएगा।

हैकर्स स्वयं एसएसएल/टीएलएस प्रोटोकॉल के भीतर भी कमजोरियों को ढूंढ पाए हैं।एक इंटरनेट प्रोटोकॉल के रूप में, एसएसएल/टीएलएस कीड़े और शोषण का शिकार होता है।हैकर्स ने गपशप की खामियों, पूडल भेद्यता, और कुछ के नाम से हार्टब्लड का फायदा उठाया है।

Hope you like our post of How hackers can hack credit cards details /sensitive data.
Thank you !