সাইবার নিরাপত্তা সংবাদ প্রচার মাধ্যমে কাটা
পল ডকলিন এবং চেস্টার উইসনিউস্কির সাথে
ইন্ট্রো এবং আউটরো সঙ্গীত দ্বারা এডিথ মুজ.
যেকোন বিন্দুতে এড়িয়ে যেতে নীচের সাউন্ডওয়েভগুলিতে ক্লিক করুন এবং টেনে আনুন। আপনি এটিও করতে পারেন সরাসরি শুনুন সাউন্ডক্লাউডে।
আপনি আমাদের শুনতে পারেন সাউন্ডক্লাউড, অ্যাপল পডকাস্ট, গুগল পডকাস্ট, Spotify এর, Stitcher এবং যে কোন জায়গায় ভাল পডকাস্ট পাওয়া যায়। অথবা শুধু ড্রপ আমাদের RSS ফিডের URL আপনার প্রিয় পডক্যাচারে।
ট্রান্সক্রিপ্ট পড়ুন
[মিউজিক্যাল মডেম]
হাঁস. হ্যালো সবাই.
নেকেড সিকিউরিটি পডকাস্টের আরেকটি পর্বে স্বাগতম।
আমি পল ডকলিন, এবং আমি ভ্যাঙ্কুভার থেকে আমার বন্ধু এবং সহকর্মী চেস্টার উইসনিউস্কি যোগ দিয়েছি।
হ্যালো, চেট!
CHET. হ্যালো হাঁস.
পডকাস্টে ফিরে আসা ভালো।
হাঁস. দুর্ভাগ্যবশত, আপনি এই বিশেষটিতে ফিরে আসার কারণ হ'ল ডগ এবং তার পরিবার ভয়ঙ্কর লুর্জি পেয়েছে…
..তাদের পরিবারে করোনাভাইরাস প্রাদুর্ভাব চলছে।
খুব অল্প সময়ের নোটিশে এগিয়ে যাওয়ার জন্য আপনাকে অনেক ধন্যবাদ, আক্ষরিক অর্থে আজ বিকেলে: "চেট, আপনি কি ঝাঁপ দিতে পারেন?"
তো চলুন সরাসরি দিনের প্রথম টপিকের দিকে আসি, যেটা এমন কিছু যা আপনি এবং আমি অংশে আলোচনা করেছি মিনি-পডকাস্ট পর্ব আমরা গত সপ্তাহে করেছি, এবং এটি হল উবার লঙ্ঘন, রকস্টার লঙ্ঘন এবং এই রহস্যময় সাইবার ক্রাইম গ্রুপ যা LAPSUS$ নামে পরিচিত।
এই চলমান গল্প নিয়ে আমরা এখন কোথায়?
CHET. ঠিক আছে, আমি মনে করি উত্তরটি হ'ল আমরা জানি না, তবে অবশ্যই এমন কিছু আছে যা আমি বলব যেগুলি উন্নয়ন বলে মনে করা হয়েছে, যা…
…এই রেকর্ডিংয়ের সময় থেকে মাত্র এক সপ্তাহ আগে রকস্টার গেমস হ্যাক বা টেক-টু ইন্টারেক্টিভ হ্যাক হওয়ার পর আর কোনো হ্যাকের কথা আমি শুনিনি।
যুক্তরাজ্যের একজন অপ্রাপ্তবয়স্ক ব্যক্তিকে গ্রেপ্তার করা হয়েছিল, এবং কিছু লোক কিছু বিন্দুযুক্ত লাইন এঁকেছে যে সে LAPSUS$ গ্রুপের লিঞ্চপিন, এবং সেই ব্যক্তিকে ইউকে পুলিশ আটক করেছে।
কিন্তু যেহেতু তারা একজন নাবালক, আমি নিশ্চিত নই যে আমরা সত্যিই অনেক কিছু জানি।
হাঁস. হ্যাঁ, অনেক উপসংহারে ঝাঁপিয়ে পড়েছিলাম!
তাদের মধ্যে কিছু যুক্তিসঙ্গত হতে পারে, কিন্তু আমি এমন অনেক নিবন্ধ দেখেছি যেগুলি এমনভাবে কথা বলছিল যেন সত্য প্রতিষ্ঠিত হয়েছিল যখন তারা ছিল না।
যে ব্যক্তিকে গ্রেপ্তার করা হয়েছিল সে ইংল্যান্ডের অক্সফোর্ডশায়ারের একজন 17 বছর বয়সী, এবং মার্চ মাসে যে ব্যক্তিকে গ্রেপ্তার করা হয়েছিল তার ঠিক একই বয়স এবং অবস্থান যাকে LAPSUS$ এর সাথে যুক্ত বলে অভিযোগ করা হয়েছিল৷
কিন্তু আমরা এখনও জানি না যে এর কোনো সত্যতা আছে কি না, কারণ অক্সফোর্ডশায়ারে একজন LAPSUS$ ব্যক্তিকে রাখার মূল উৎস হল অন্য কিছু অজানা সাইবার অপরাধী যারা তাদের অনলাইনে ডক্স করেছে তাদের সাথে জড়িত:
তাই আমি মনে করি, আমাদেরকে, যেমনটা আপনি বলছেন, সত্য জিনিস হিসেবে দাবি করার ব্যাপারে খুবই সতর্ক থাকতে হবে যা সত্য হতে পারে কিন্তু সত্য নাও হতে পারে...
…এবং প্রকৃতপক্ষে যেভাবেই হোক আপনার যে সতর্কতা গ্রহণ করা উচিত তা সত্যিই প্রভাবিত করবেন না।
CHET. না, এবং আমরা এক মিনিটের মধ্যে অন্য গল্পগুলির একটিতে এটি নিয়ে আবার কথা বলব।
কিন্তু যখন এই বড় আক্রমণগুলির একটির পরে উত্তাপ বেড়ে যায়, তখন অনেক সময় লোকেরা মাটিতে চলে যায় যে কাউকে গ্রেপ্তার করা হয়েছে বা না করা হয়েছে।
এবং আমরা অবশ্যই এটি আগে দেখেছি – আমি মনে করি অন্য পডকাস্টে আমরা লুলজসেক হ্যাকিং গ্রুপের কথা উল্লেখ করেছি যেটি দশ বছর বা তারও বেশি আগে একই ধরনের কাজ করার জন্য বেশ বিখ্যাত ছিল… “স্টান্ট হ্যাকস”, আমি তাদের বলব – কোম্পানিগুলিকে বিব্রত করার জন্য এবং একটি প্রকাশ করার জন্য তাদের সম্পর্কে তথ্যের গুচ্ছ গুচ্ছ প্রকাশ্যে, এমনকি যদি তারা সম্ভবত তাদের কাছ থেকে চাঁদাবাজি বা অন্য কোন অপরাধ করে নিজেদের জন্য কোন আর্থিক সুবিধা লাভ করতে চায় না।
বেশ কয়েকবার, সেই গ্রুপের বিভিন্ন সদস্য… একজন সদস্যকে গ্রেপ্তার করা হবে, কিন্তু স্পষ্টতই, আমার মনে হয়, শেষ পর্যন্ত, সেই গ্রুপের পাঁচ বা ছয়জন আলাদা সদস্য ছিল, এবং তারা সবাই কয়েক সপ্তাহের জন্য হ্যাকিং বন্ধ করে দেবে।
কারণ, পুলিশ হঠাৎ করেই খুব আগ্রহী হয়ে ওঠে।
তাই এটা অস্বাভাবিক নয়।
আসল বিষয়টি হল এই সমস্ত সংস্থাগুলি কোনও না কোনওভাবে সামাজিক প্রকৌশলের কাছে আত্মসমর্পণ করেছে, ব্যতিক্রম ছাড়া... আমি "ব্যতিক্রম" এর সাথে বলব না কারণ, আবার, আমরা জানি না - আমরা সত্যিই বুঝতে পারি না যে তারা কীভাবে প্রবেশ করেছে Rockstar গেম.
কিন্তু আমি মনে করি এটি একটি সুযোগ ফিরে গিয়ে পর্যালোচনা করার এবং কীভাবে এবং কোথায় আপনি মাল্টি-ফ্যাক্টর প্রমাণীকরণ [MFA] ব্যবহার করছেন এবং সম্ভবত আপনি কীভাবে এটি স্থাপন করেছেন তার উপর একটি খাঁজ চালু করার জন্য।
উবারের ক্ষেত্রে, তারা একটি পুশ নোটিফিকেশন সিস্টেম ব্যবহার করছিল যা আপনার ফোনে একটি প্রম্পট প্রদর্শন করে যা বলে, “কেউ আমাদের পোর্টালে সংযোগ করার চেষ্টা করছে। আপনি কি অনুমতি দিতে চান নাকি ব্লক করতে চান?"
এবং এটি শুধু বড় সবুজ বোতামে ট্যাপ করার মতোই সহজ যা বলে [Allow].
মনে হচ্ছে, এই ক্ষেত্রে, তারা তাদের ফোনে এই 700টি প্রম্পট পাওয়ার পরে কাউকে এত বিরক্ত করতে ক্লান্ত করেছে যে তারা শুধু বলেছে [Allow] এটা ঘটছে বন্ধ করতে.
আমি সোফোস নিউজ ব্লগে একটি টুকরো লিখেছিলাম যাতে উবারের ব্যর্থতা থেকে সরে যেতে পারে এমন কয়েকটি পাঠ নিয়ে আলোচনা করা হয় এবং এই একই জিনিসগুলিকে আবার ঘটতে না দেওয়ার জন্য উবার কী বাস্তবায়ন করতে পারে:
হাঁস. দুর্ভাগ্যবশত, আমি মনে করি যে অনেক কোম্পানি এটির জন্য যায়, "ঠিক আছে, আপনাকে একটি ছয়-সংখ্যার কোড দিতে হবে না, আপনি কেবল বোতামটি আলতো চাপুন" এটি হল একমাত্র উপায় যা তারা কর্মীদের ইচ্ছুক করে তুলতে পারে 2FA করতে চাওয়ার জন্য যথেষ্ট।
যা একটু করুণার বলে মনে হচ্ছে...
CHET. ঠিক আছে, আজকে আমরা যেভাবে আপনাকে এটি করতে বলছি তা আপনার কীচেইনে একটি RSA টোকেন বহন করাকে ছাড়িয়ে যায় যেমন আমরা আগে করতাম।
হাঁস. প্রতিটি অ্যাকাউন্টের জন্য একটি! [হাসি]
CHET. হ্যাঁ, আমি আমার চাবির রিংটিতে ছোট্ট ফোবটি বহন করতে মিস করি না। [হাসি]
আমার মনে হয় আমার এখানে কোথাও একটা আছে যেটা স্ক্রিনে "মৃত ব্যাট" বলে, কিন্তু তারা A দিয়ে "মৃত" বানান করেনি।
ইহা ছিল dEdbAt...
হাঁস. হ্যাঁ, এটা মাত্র ছয় সংখ্যা, তাই না?
CHET. হুবহু। [হাসি]
কিন্তু জিনিসগুলি উন্নত হয়েছে, এবং সেখানে এখন অনেক পরিশীলিত মাল্টিফ্যাক্টর টুল রয়েছে।
যখনই সম্ভব আমি FIDO টোকেন ব্যবহার করার পরামর্শ দিই।
তবে এর বাইরে, এমনকি সফ্টওয়্যার সিস্টেমেও, এই জিনিসগুলি বিভিন্ন অ্যাপ্লিকেশনের জন্য বিভিন্ন উপায়ে কাজ করার জন্য ডিজাইন করা যেতে পারে।
কখনও কখনও, হয়তো আপনাকে শুধু ক্লিক করতে হবে [OK] কারণ এটা অতি সংবেদনশীল কিছু নয়।
কিন্তু আপনি যখন সংবেদনশীল কাজ করছেন, তখন হয়তো আপনাকে একটি কোড লিখতে হবে।
এবং কখনও কখনও কোড ব্রাউজারে যায়, বা কখনও কখনও কোড আপনার ফোনে যায়।
কিন্তু সব কিছু... মাল্টিফ্যাক্টর পপ আপ হয়ে গেলে আমি নিজেকে কোনো কিছুতে প্রবেশের অনুমোদন দিতে 10 সেকেন্ডের বেশি সময় ব্যয় করিনি এবং আমি শুধু আমার কোম্পানির ডেটা নয়, আমাদের কর্মচারী এবং আমাদের গ্রাহকদের নিরাপত্তা ও নিরাপত্তার জন্য 10 সেকেন্ড সময় দিতে পারি। তথ্য
হাঁস. আরো একমত হতে পারে না, চেস্টার!
আমাদের পরবর্তী গল্পটি অপ্টাস নামে অস্ট্রেলিয়ার একটি খুব বড় টেলকোর সাথে সম্পর্কিত:
এখন, তারা হ্যাক হয়েছে.
এটি একটি 2FA হ্যাক ছিল না - এটি সম্ভবত আপনি "নিম্ন ঝুলন্ত ফল" বলতে পারেন।
কিন্তু পটভূমিতে, আইনশৃঙ্খলা রক্ষাকারী বাহিনী যখন জড়িত ছিল, তখন সেখানে প্রচুর শ্লীলতাহানি হয়েছিল, তাই না?
তাই... সেখানে কী ঘটেছে তা আমাদের বলুন, আপনার যথার্থ জ্ঞানে।
CHET. ঠিক - আমি এই বিষয়ে বিস্তারিতভাবে পড়ি না, কারণ আমরা আক্রমণের সাথে জড়িত নই।
হাঁস. এবং আমি মনে করি তারা এখনও তদন্ত করছে, স্পষ্টতই, তাই না?
কারণ এটা কি, লাখ লাখ রেকর্ড ছিল?
CHET. হ্যাঁ.
আমি চুরি করা রেকর্ডের সুনির্দিষ্ট সংখ্যা জানি না, তবে Optus অনুসারে এটি 9 মিলিয়ন গ্রাহককে প্রভাবিত করেছে।
এবং এটি হতে পারে কারণ তারা নিশ্চিত নয় যে কোন গ্রাহকদের তথ্য অ্যাক্সেস করা হয়েছে।
এবং এটি সংবেদনশীল তথ্য ছিল, দুর্ভাগ্যবশত.
এতে নাম, ঠিকানা, ইমেল ঠিকানা, জন্মতারিখ এবং পরিচয় নথি অন্তর্ভুক্ত ছিল, যা সম্ভবত পাসপোর্ট নম্বর এবং/অথবা অস্ট্রেলিয়ান-ইস্যু করা ড্রাইভিং লাইসেন্স।
তাই পরিচয় চুরি করতে খুঁজছেন এমন কারও জন্য এটি একটি খুব ভাল ট্রুভ - এটি একটি ভাল পরিস্থিতি নয়।
অপটাস থেকে একটি বিজ্ঞপ্তি পাওয়া ভুক্তভোগীদের পরামর্শ হল যে তারা যদি তাদের পাসপোর্ট ব্যবহার করে থাকে, তাহলে তাদের এটি প্রতিস্থাপন করা উচিত।
এটা একটা সস্তা জিনিস না!
এবং, দুর্ভাগ্যবশত, এই ক্ষেত্রে, অপরাধী একটি অননুমোদিত API এন্ডপয়েন্ট ব্যবহার করে ডেটা অর্জন করেছে বলে অভিযোগ করা হয়েছে, যার অর্থ হল ইন্টারনেটের মুখোমুখি একটি প্রোগ্রাম্যাটিক ইন্টারফেস যার এমনকি পাসওয়ার্ডেরও প্রয়োজন নেই...
…একটি ইন্টারফেস যা তাকে ক্রমাগতভাবে সমস্ত গ্রাহক রেকর্ডের মধ্য দিয়ে যেতে এবং সেই সমস্ত ডেটা ডাউনলোড এবং সিফন করার অনুমতি দেয়।
হাঁস. তাই যে আমি যেতে মত example.com/userrecord/000001 এবং আমি কিছু পেয়েছি এবং আমি মনে করি, "ওহ, এটি আকর্ষণীয়।"
এবং তারপর আমি যাই, -2, -3, -4, 5, -6… এবং সেখানে তারা সবাই আছে।
CHET. একেবারে।
এবং আমরা আলোচনা করছিলাম, পডকাস্টের প্রস্তুতির জন্য, কীভাবে এই ধরণের অতীতের প্রতিধ্বনি হয়েছিল, যখন উইভ নামে পরিচিত একজন হ্যাকার আসল আইফোন লঞ্চের সময় AT&T-এর বিরুদ্ধে একই রকম আক্রমণ করেছিল, একটি AT&T API থেকে অনেক সেলিব্রিটির ব্যক্তিগত তথ্য গণনা করেছিল। শেষপ্রান্ত.
দৃশ্যত, আমরা সবসময় পাঠ শিখি না, এবং আমরা আবার একই ভুল করি...
হাঁস. কারণ উইভকে বিখ্যাতভাবে, বা কুখ্যাতভাবে, এর জন্য অভিযুক্ত করা হয়েছিল, এবং দোষী সাব্যস্ত করা হয়েছিল, এবং জেলে গিয়েছিল…
… এবং তারপর এটা ছিল উল্টে আপিল, তাই না?
আমি মনে করি আদালত এই মতামত তৈরি করেছে যে যদিও তিনি আইনের চেতনা ভঙ্গ করেছেন, তবে আমি মনে করি যে তিনি আসলে এমন কিছু করেননি যা প্রকৃতপক্ষে ডিজিটাল "ব্রেকিং এবং এন্টারিং" এর সাথে জড়িত।
CHET. ওয়েল, মার্কিন যুক্তরাষ্ট্রে সুনির্দিষ্ট আইন, কম্পিউটার জালিয়াতি এবং অপব্যবহার আইন, আপনি যখন আপনার কর্তৃত্ব অতিক্রম করেন বা আপনার কোনো সিস্টেমে অননুমোদিত অ্যাক্সেস থাকে তখন আপনি সেই আইন লঙ্ঘন করছেন এই বিষয়টি সম্পর্কে খুব নির্দিষ্ট।
এবং এটা বলা কঠিন যে এটি অননুমোদিত যখন এটি বিশ্বের জন্য উন্মুক্ত!
হাঁস. এখন অপটাস কেসে আমার বোধগম্য হল যে যে ব্যক্তি ডেটা পেয়েছে বলে মনে হচ্ছে তিনি এটি বিক্রি করার আগ্রহ প্রকাশ করেছেন…
…অন্তত অস্ট্রেলিয়ান ফেডারেল পুলিশ [এএফপি] না আসা পর্যন্ত।
এটা কি ঠিক?
CHET. হ্যাঁ. তিনি একটি ডার্ক মার্কেট ফোরামে রেকর্ডগুলি অফার করে পোস্ট করেছিলেন, যা তিনি দাবি করেছিলেন যে 11.2 মিলিয়ন ভিকটিমদের উপর ছিল, এটি $1,000,000-এ বিক্রয়ের জন্য প্রস্তাব করেছিল।
ঠিক আছে, আমার বলা উচিত 1 মিলিয়ন অ-বাস্তব-ডলার… XNUMX মিলিয়ন মূল্যের মনেরো।
স্পষ্টতই, Monero হল একটি গোপনীয়তা টোকেন যা সাধারণত অপরাধীরা ব্যবহার করে চিহ্নিত হওয়া এড়াতে যখন আপনি মুক্তিপণ প্রদান করেন বা তাদের কাছ থেকে কেনাকাটা করেন।
72 ঘন্টার মধ্যে, যখন এএফপি তদন্ত শুরু করে এবং একটি পাবলিক বিবৃতি দেয়, তখন মনে হয় তিনি ডেটা বিক্রি করার প্রস্তাব প্রত্যাহার করেছেন।
তাই সম্ভবত সে মাটিতে চলে গেছে, যেমনটি আমি আগের গল্পে বলেছিলাম, আশায় যে এএফপি তাকে খুঁজে পাবে না।
কিন্তু আমি সন্দেহ করি যে ডিজিটাল কুকির টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো বার্তা
হাঁস. সুতরাং আমরা যদি হারিয়ে যাওয়া ডেটা, এবং অপরাধ বা অন্যথায় এটি অ্যাক্সেস করার বিষয়টিকে উপেক্ষা করি, তবে গ্রাহকের ডেটাতে RESTful API, ওয়েব-ভিত্তিক অ্যাক্সেস API প্রদান করা লোকেদের জন্য গল্পের নৈতিকতা কী?
CHET. ঠিক আছে, আমি একজন প্রোগ্রামিং বিশেষজ্ঞ নই, তবে মনে হচ্ছে কিছু প্রমাণীকরণ ঠিক আছে... [হাসি]
…নিশ্চিত করার জন্য যে লোকেরা কেবল তাদের নিজস্ব গ্রাহকের রেকর্ড অ্যাক্সেস করছে যদি এর জন্য সর্বজনীনভাবে অ্যাক্সেসযোগ্য হওয়ার কারণ থাকে।
তা ছাড়াও, এটি প্রদর্শিত হবে যে কিছু লক্ষ্য করার আগেই উল্লেখযোগ্য সংখ্যক রেকর্ড চুরি হয়ে গেছে।
এবং আমাদের ভিপিএন বা আমাদের ওয়েব অ্যাপগুলির বিরুদ্ধে আমাদের নিজস্ব প্রমাণীকরণের উপর সীমাবদ্ধতাকে নিরীক্ষণ করা উচিত, বলা উচিত নয় যে কেউ আমাদের প্রমাণীকরণ পরিষেবাগুলির বিরুদ্ধে নৃশংস আক্রমণ না করছে তা নিশ্চিত করার জন্য ভিন্ন নয়...
…আপনি আশা করবেন যে একবার আপনি এমন একটি পরিষেবার মাধ্যমে এক মিলিয়ন রেকর্ড অনুসন্ধান করলে যেটি আপনার জন্য একটি সন্ধান করার জন্য ডিজাইন করা হয়েছে বলে মনে হচ্ছে, সম্ভবত কিছু পর্যবেক্ষণ করা হয়েছে!
হাঁস. একেবারে।
এটি এমন একটি পাঠ যা আমরা সবাই চেলসি ম্যানিং হ্যাক থেকে ফিরে এসে শিখতে পারতাম, তাই না, যেখানে তিনি অনুলিপি করেছিলেন, এটি কী ছিল?
30 বছর মূল্যের স্টেট ডিপার্টমেন্টের তারগুলি একটি সিডিতে অনুলিপি করা হয়েছে… হেডফোন লাগিয়ে, ভান করে এটি একটি মিউজিক সিডি?
CHET. ব্রিটনি স্পিয়ার্স, যদি আমি মনে করি।
হাঁস. আচ্ছা, সিডিতে লেখা ছিল তাই না?
CHET. হ্যাঁ. [হাসি]
হাঁস. সুতরাং এটি একটি কারণ দিয়েছে কেন এটি একটি পুনর্লিখনযোগ্য সিডি ছিল: "আচ্ছা, আমি এটিতে সঙ্গীত রেখেছি।"
এবং কোনো সময়েই কোনো বিপদের ঘণ্টা বাজেনি।
আপনি কল্পনা করতে পারেন, সম্ভবত, আপনি যদি প্রথম মাসের মূল্যের ডেটা কপি করেন, ভাল, এটি ঠিক হতে পারে।
এক বছর, এক দশক হয়তো?
কিন্তু ৩০ বছর?
আপনি আশা করেন যে ততক্ষণে ধোঁয়া অ্যালার্ম সত্যিই জোরে বেজে উঠবে।
CHET. হ্যাঁ.
"অননুমোদিত ব্যাকআপ", আপনি তাদের কল করতে পারেন, আমার ধারণা।
হাঁস. হ্যাঁ…
…এবং এটি অবশ্যই আধুনিক দিনের র্যানসমওয়্যারের একটি বিশাল সমস্যা, তাই না, যেখানে অনেক বদমাইশ তাদের অতিরিক্ত ব্ল্যাকমেল লিভারেজ দেওয়ার জন্য আগাম ডেটা বের করে দিচ্ছে?
তাই আপনি যখন ফিরে আসেন এবং বলেন, "আমার আপনার ডিক্রিপশন কী দরকার নেই, আমার ব্যাকআপ আছে," তারা বলে, "হ্যাঁ, কিন্তু আমাদের কাছে আপনার ডেটা আছে, তাই আপনি আমাদের না দিলে আমরা তা ছড়িয়ে দেব টাকা."
তাত্ত্বিকভাবে, আপনি আশা করেন যে আপনার সমস্ত ডেটা ব্যাক আপ করা হচ্ছে কিন্তু আপনি যে স্বাভাবিক ক্লাউড ব্যাকআপ পদ্ধতি ব্যবহার করছেন তা অনুসরণ করছেন না তা চিহ্নিত করা সম্ভব হবে।
এটা বলা সহজ…কিন্তু এটা এমন একটা জিনিস যেটার জন্য আপনাকে নজর দিতে হবে।
CHET. এই সপ্তাহে একটি প্রতিবেদন ছিল যে, প্রকৃতপক্ষে, যেহেতু ব্যান্ডউইথ এত প্রসারিত হয়েছে, মুক্তিপণ গোষ্ঠীগুলির মধ্যে একটি আর এনক্রিপ্ট করছে না।
তারা আপনার নেটওয়ার্ক থেকে আপনার সমস্ত ডেটা কেড়ে নিচ্ছে, ঠিক যেমন চাঁদাবাজ গোষ্ঠীগুলি কিছু সময়ের জন্য করেছে, কিন্তু তারপরে তারা এটিকে এনক্রিপ্ট করার পরিবর্তে আপনার সিস্টেমগুলিকে মুছে ফেলছে এবং যাচ্ছে, "না, না, না, আমরা আপনাকে দেব। আপনি যখন অর্থ প্রদান করেন তখন ডেটা ফিরে আসে।"
হাঁস. এটা "এক্সম্যাটার", তাই না?
CHET. হ্যাঁ.
হাঁস. "কেন উপবৃত্তাকার বক্ররেখা ক্রিপ্টোগ্রাফি এবং AES এর সমস্ত জটিলতা নিয়ে বিরক্ত?
সেখানে এত বেশি ব্যান্ডউইথ আছে যে [হাসি]... ওহ, প্রিয়, আমার হাসতে হবে না... বলার পরিবর্তে, "আমাদের টাকা দিন এবং আমরা আপনাকে 16-বাইটের ডিক্রিপশন কী পাঠাব", এটি "আমাদের পাঠান" টাকা এবং আমরা আপনাকে ফাইল ফেরত দেব।"
CHET. এটি আবার জোর দেয় যে আমাদের নেটওয়ার্কে দূষিত কাজ করে এমন কারোর সরঞ্জাম এবং আচরণের সন্ধান করা দরকার, কারণ তারা কিছু জিনিস (যেমন চেলসি ম্যানিং) করার জন্য অনুমোদিত হতে পারে, অথবা তারা ইচ্ছাকৃতভাবে খোলা, অনুমোদনহীন জিনিস হতে পারে যা করে। কিছু উদ্দেশ্য আছে
কিন্তু আমাদের তাদের অপব্যবহারের আচরণের জন্য পর্যবেক্ষণ করা দরকার, কারণ আমরা কেবল এনক্রিপশনের জন্য দেখতে পারি না।
আমরা শুধু কারো পাসওয়ার্ড অনুমান করার জন্য দেখতে পারি না।
আমাদের এই বৃহত্তর ক্রিয়াকলাপগুলির জন্য পর্যবেক্ষণ করা দরকার, এই নিদর্শনগুলি, যা নির্দেশ করে যে কিছু ক্ষতিকারক ঘটছে।
হাঁস. একেবারে।
আমি মনে করি আপনি বলেন মিনি সোডা আমরা যা করেছি, খারাপ কিছু ঘটেছে তা বলার জন্য আপনার ড্যাশবোর্ডে পপ আপ হওয়ার জন্য সতর্কতার জন্য অপেক্ষা করা আর যথেষ্ট নয়।
আপনার নেটওয়ার্কে যে ধরনের আচরণ চলছে সেগুলি সম্পর্কে আপনাকে সচেতন হতে হবে যা এখনও দূষিত নাও হতে পারে, কিন্তু তবুও এটি একটি ভাল লক্ষণ যে খারাপ কিছু ঘটতে চলেছে, কারণ, বরাবরের মতো, প্রতিরোধ একটি ভয়ঙ্কর অনেক ভাল নিরাময়:
চেস্টার, আমি অন্য একটি আইটেমে যেতে চাই - সেই গল্পটি এমন কিছু যা আমি আজ নেকেড সিকিউরিটি নিয়ে লিখেছি, শুধুমাত্র কারণ আমি নিজেই বিভ্রান্ত হয়ে পড়েছিলাম।
আমার নিউজফিড হোয়াটসঅ্যাপের একটি শূন্য-দিন থাকার গল্প নিয়ে গুঞ্জন করছিল:
তারপরও যখন আমি সমস্ত গল্পের দিকে তাকালাম, তখন তাদের সবারই একটি সাধারণ প্রাথমিক উত্স রয়েছে বলে মনে হয়েছিল, যেটি হোয়াটসঅ্যাপ থেকে একটি মোটামুটি জেনেরিক সুরক্ষা পরামর্শ ছিল যা মাসের শুরুতে ফিরে আসে।
স্পষ্ট এবং বর্তমান বিপদ যে খবরের শিরোনামগুলি আমাকে বিশ্বাস করতে পরিচালিত করেছিল...
…যতদূর আমি দেখতে পাচ্ছি তা মোটেও সত্য নয়।
সেখানে কী হয়েছিল তা আমাদের বলুন।
CHET. আপনি বলুন, "শূন্য-দিন।"
আমি বলি, “আমাকে ভুক্তভোগীদের দেখাও। তারা কোথায়?" [হাসি]
হাঁস. আচ্ছা, কখনও কখনও আপনি যে প্রকাশ করতে পারবেন না, তাই না?
CHET. আচ্ছা, সেই ক্ষেত্রে, আপনি আমাদের বলবেন যে!
এটি দুর্বলতা প্রকাশ করার জন্য শিল্পে একটি স্বাভাবিক অভ্যাস।
আপনি প্রায়শই দেখতে পাবেন, প্যাচ মঙ্গলবারে, মাইক্রোসফ্ট একটি বিবৃতি দিচ্ছে যেমন, "এই দুর্বলতাটি বন্যের মধ্যে শোষণ করা হয়েছে বলে জানা যায়", যার অর্থ সেখানে কেউ এই ত্রুটিটি খুঁজে বের করে, এটিকে আক্রমণ করতে শুরু করে, তারপর আমরা খুঁজে বের করেছি এবং গিয়েছিলাম। ফিরে এবং এটা ঠিক করা.
*এটি* একটি শূন্য-দিন।
একটি সফ্টওয়্যার ত্রুটি খুঁজে বের করা যা শোষণ করা হচ্ছে না, বা কোন প্রমাণ নেই যে কখনও শোষণ করা হয়েছে, এবং সক্রিয়ভাবে এটিকে "গুড ইঞ্জিনিয়ারিং অনুশীলন" বলা হয়, এবং এটি এমন কিছু যা প্রায় সমস্ত সফ্টওয়্যার করে।
প্রকৃতপক্ষে, আমি আপনাকে স্মরণ করছি যে সাম্প্রতিক ফায়ারফক্স আপডেটটি সক্রিয়ভাবে অনেক দুর্বলতার সমাধান করেছে যা Mozilla টিম সৌভাগ্যবশত নথিপত্র এবং প্রকাশ্যে রিপোর্ট করে – তাই আমরা জানি যে সেগুলি ঠিক করা হয়েছে যদিও সেখানে কেউ কখনও তাদের আক্রমণ করতে পারেনি।
হাঁস. আমি মনে করি এটা গুরুত্বপূর্ণ যে আমরা "শূন্য-দিন" শব্দটি ফিরিয়ে রাখি যাতে বোঝা যায় যে বিপদ কতটা স্পষ্ট এবং উপস্থিত।
এবং সবকিছুকে শূন্য-দিন বলা কারণ এটি দূরবর্তী কোড সম্পাদনের কারণ হতে পারে তার প্রভাব হারায় যা আমি মনে করি একটি খুব দরকারী শব্দ।
আপনি কি এর সাথে একমত হবেন?
CHET. একেবারে।
এটি অবশ্যই এই আপডেটগুলি প্রয়োগ করার গুরুত্বকে হ্রাস করার জন্য নয় - যে কোনও সময় আপনি "রিমোট কোড এক্সিকিউশন" দেখতে পাবেন, কেউ এখন ফিরে যেতে পারে এবং কীভাবে সেই বাগগুলি এবং যারা তাদের অ্যাপ আপডেট করেনি তাদের আক্রমণ করতে পারে।
সুতরাং আপনি আপডেটটি পান কিনা তা নিশ্চিত করা এখনও একটি জরুরী জিনিস।
কিন্তু শূন্য-দিনের প্রকৃতির কারণে, এটি সত্যিই তার নিজস্ব মেয়াদের যোগ্য।
হাঁস. হ্যাঁ.
আকর্ষণীয় এবং গুরুত্বপূর্ণ কিন্তু স্পষ্ট এবং বর্তমান বিপদের প্রয়োজন নেই এমন জিনিসগুলি থেকে শূন্য-দিনের গল্প তৈরি করার চেষ্টা করা কেবল বিভ্রান্তিকর।
বিশেষ করে যদি সমাধানটি আসলে এক মাস আগে বেরিয়ে আসে এবং আপনি এটিকে একটি গল্প হিসাবে উপস্থাপন করছেন যেন "এটি এখনই ঘটছে"।
যে কেউ তাদের আইফোন বা তাদের অ্যান্ড্রয়েডে যাচ্ছেন তারা বলতে চলেছেন, “আমার কাছে এর চেয়ে একটি সংস্করণ নম্বর রয়েছে। এখানে কি হচ্ছে?"
সাইবার নিরাপত্তায় সঠিক জিনিসটি করার চেষ্টা করার সময় বিভ্রান্তি সাহায্য করে না।
CHET. এবং যদি আপনি একটি নিরাপত্তা ত্রুটি খুঁজে পান যা একটি শূন্য-দিন হতে পারে, অনুগ্রহ করে এটি রিপোর্ট করুন, বিশেষ করে যদি সফ্টওয়্যারটি বিকাশকারী সংস্থা দ্বারা অফার করা একটি বাগ বাউন্টি প্রোগ্রাম থাকে৷
আমি দেখেছি, আজ বিকেলে, কেউ একজন সপ্তাহান্তে OpenSea-তে একটি দুর্বলতা আবিষ্কার করেছে, যেটি নন-ফাঞ্জিবল টোকেন বা এনএফটি ট্রেড করার একটি প্ল্যাটফর্ম… যেটি আমি কাউকে সুপারিশ করতে পারি না, কিন্তু কেউ একটি অপ্রতিরোধ্য দুর্বলতা খুঁজে পেয়েছিল যা তাদের ক্ষেত্রে গুরুত্বপূর্ণ ছিল সপ্তাহান্তে সিস্টেম, এটি রিপোর্ট করেছে এবং আজ একটি $100,000 বাগ বাউন্টি পেয়েছে।
সুতরাং এটি নৈতিক হওয়া এবং এই জিনিসগুলিকে পরিবর্তন করা মূল্যবান যখন আপনি সেগুলি আবিষ্কার করেন, অন্য কেউ যখন তাদের খুঁজে পান তখন এগুলিকে শূন্য-দিনে পরিণত হওয়া থেকে বিরত রাখতে।
হাঁস. একেবারে।
আপনি নিজেকে রক্ষা করেন, আপনি অন্য সবাইকে রক্ষা করেন, আপনি বিক্রেতার দ্বারা সঠিক কাজটি করেন… তবুও দায়িত্বশীল প্রকাশের মাধ্যমে আপনি "মিনি-সোর্ড অফ ড্যামোক্লেস" প্রদান করেন যার অর্থ হল অনৈতিক বিক্রেতারা, যারা অতীতে বাগ রিপোর্টগুলিকে বিলুপ্ত করেছিল কার্পেট, তা করতে পারে না কারণ তারা জানে যে তারা শেষ পর্যন্ত বের হয়ে যাবে।
তাই তারা আসলে এখন এটি সম্পর্কে কিছু করতে পারে।
চেস্টার, আসুন এই সপ্তাহের জন্য আমাদের শেষ বিষয়ের দিকে এগিয়ে যাই, এবং এটি হল ডিভাইসগুলিতে ডেটার কী ঘটে যখন আপনি সত্যিই সেগুলি আর চান না।
এবং আমি যে গল্পটি উল্লেখ করছি তা হল $35,000,000 জরিমানা যা মর্গ্যান স্ট্যানলিকে একটি ঘটনার জন্য জারি করা হয়েছিল 2016-এ:
গল্পটির বেশ কয়েকটি দিক রয়েছে... এটি আকর্ষণীয় পড়া, আসলে, যেভাবে এটি সব উন্মোচিত হয়েছে, এবং এই তথ্যটি ইন্টারনেটে অজানা স্থানে ঘুরে বেড়ানোর নিছক দৈর্ঘ্য।
কিন্তু গল্পের মূল অংশ হল যে তাদের কাছে ছিল... আমি মনে করি এটি 4900 হার্ড ডিস্কের মত কিছু ছিল, যার মধ্যে RAID অ্যারে থেকে বেরিয়ে আসা ডিস্ক, ক্লায়েন্ট ডেটা সহ সার্ভার ডিস্ক রয়েছে।
"আমরা এগুলি আর চাই না, তাই আমরা তাদের এমন একটি কোম্পানির কাছে পাঠিয়ে দেব যেটি সেগুলিকে মুছে ফেলবে এবং তারপরে সেগুলি বিক্রি করবে, তাই আমরা কিছু টাকা ফেরত পাব।"
এবং শেষ পর্যন্ত, কোম্পানী তাদের কিছু মুছে ফেলতে পারে, কিন্তু তাদের কিছু তারা নিলাম সাইটে বিক্রির জন্য পাঠিয়েছে সেগুলি একেবারেই মুছে না দিয়ে।
আমরা একই পুরানো ভুল করতে থাকি!
CHET. হ্যাঁ.
আমি বিশ্বাস করি যে প্রথম HIPAA লঙ্ঘনটি মার্কিন যুক্তরাষ্ট্রে পাওয়া গেছে - রোগীর তথ্য রক্ষার বিষয়ে স্বাস্থ্যসেবা আইন - একটি দারোয়ানের পায়খানার হার্ড ডিস্কের স্তুপের জন্য যা এনক্রিপ্ট করা হয়নি।
এবং যে মূল শব্দ এই সম্পর্কে কি করতে হবে প্রক্রিয়া শুরু, ডান?
পৃথিবীতে এমন কোনো ডিস্ক নেই যা এই সময়ে পূর্ণ-ডিস্ক এনক্রিপ্ট করা উচিত নয়।
যতদিন আমি মনে করতে পারি প্রতিটি আইফোন হয়েছে।
যতক্ষণ পর্যন্ত আমি মনে করতে পারি বেশিরভাগ সমস্ত অ্যান্ড্রয়েডই আছে, যদি না আপনি এখনও অ্যান্ড্রয়েড 4 সহ চাইনিজ বার্নার ফোনগুলি বাছাই করছেন৷
এবং ডেস্কটপ কম্পিউটার, দুর্ভাগ্যবশত, ঘন ঘন যথেষ্ট এনক্রিপ্ট করা হয় না।
কিন্তু সেগুলি সার্ভার হার্ড ডিস্ক, সেই RAID অ্যারেগুলির থেকে আলাদা হওয়া উচিত নয়৷
প্রক্রিয়ার প্রথম ধাপটিকে কঠিন করতে, অসম্ভব না হলে শুরু করার জন্য সবকিছুই এনক্রিপ্ট করা উচিত...
…অতঃপর সেই যন্ত্রটির ধ্বংস হয়ে যায় যদি এবং কখন এটি তার দরকারী জীবনের শেষ পর্যায়ে পৌঁছে যায়।
হাঁস. আমার জন্য, এই মরগান স্ট্যানলি গল্পের একটি মূল বিষয় হল যে এটি শুরু হওয়ার পাঁচ বছর পরে… এটি শুরু হয়েছিল 2016 সালে, এবং গত বছরের জুনে, সেই নিলাম সাইট থেকে ডিস্কগুলি যেগুলি অজানা জায়গায় চলে গিয়েছিল তা এখনও ফেরত কেনা হচ্ছে মরগ্যান স্ট্যানলি.
তারা এখনও unwiped, unencrypted (অবশ্যই), সূক্ষ্ম কাজ, এবং সমস্ত তথ্য অক্ষত ছিল.
খালে ফেলে দেওয়া সাইকেল বা বাগানের বর্জ্য যা আপনি কম্পোস্ট বিনে রাখেন তার বিপরীতে, হার্ড ডিস্কের ডেটা ক্ষয় হতে পারে না, সম্ভবত খুব দীর্ঘ সময়ের জন্য।
তাই সন্দেহ হলে, এটি সম্পূর্ণরূপে ঘষা আউট, তাই না?
CHET. হ্যাঁ, বেশ।
দুর্ভাগ্যবশত, যে এটি উপায়.
আমি আমাদের ই-বর্জ্য কমাতে জিনিসগুলি যতটা সম্ভব পুনঃব্যবহার করতে দেখতে চাই।
তবে ডেটা স্টোরেজ সেই জিনিসগুলির মধ্যে একটি নয় যেখানে আমরা সেই সুযোগটি নেওয়ার সামর্থ্য রাখতে পারি…
হাঁস. এটি একটি সত্যিকারের ডেটা সেভার হতে পারে, শুধুমাত্র আপনার জন্য নয়, আপনার নিয়োগকর্তা এবং আপনার গ্রাহকদের জন্য এবং নিয়ন্ত্রকের জন্য।
চেস্টার, খুব, খুব, সংক্ষিপ্ত বিজ্ঞপ্তিতে আবার পদক্ষেপ নেওয়ার জন্য আপনাকে অনেক ধন্যবাদ।
আমাদের সাথে আপনার অন্তর্দৃষ্টি শেয়ার করার জন্য আপনাকে অনেক ধন্যবাদ, বিশেষ করে সেই Optus গল্পে আপনার চেহারা।
এবং, যথারীতি, পরের বার পর্যন্ত...
উভয়। সুরক্ষিত থাকুন।
[মিউজিক্যাল মডেম]
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ফায়ারওয়াল
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নগ্ন সুরক্ষা
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- পডকাস্ট
- ভিপিএন
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
