এখন শুনুন
ডগ আমথ এবং পল ডকলিনের সাথে।
ইন্ট্রো এবং আউটরো সঙ্গীত দ্বারা এডিথ মুজ.
যেকোন বিন্দুতে এড়িয়ে যেতে নীচের সাউন্ডওয়েভগুলিতে ক্লিক করুন এবং টেনে আনুন। আপনি এটিও করতে পারেন সরাসরি শুনুন সাউন্ডক্লাউডে।
আপনি আমাদের শুনতে পারেন সাউন্ডক্লাউড, অ্যাপল পডকাস্ট, গুগল পডকাস্ট, Spotify এর, Stitcher এবং যে কোন জায়গায় ভাল পডকাস্ট পাওয়া যায়। অথবা শুধু ড্রপ আমাদের RSS ফিডের URL আপনার প্রিয় পডক্যাচারে।
ট্রান্সক্রিপ্ট পড়ুন
DOUG. বিটকয়েন এটিএম আক্রমণ, জ্যানেট জ্যাকসন কম্পিউটার বিপর্যস্ত, এবং শূন্য-দিনের প্রচুর পরিমাণে।
নেকেড সিকিউরিটি পডকাস্টে এই সব এবং আরও অনেক কিছু।
[মিউজিক্যাল মুডেম]
পডকাস্টে স্বাগতম, সবাইকে।
আমি ডগ আমথ।
আমার সাথে, বরাবরের মতো, পল ডকলিন।
পল, আপনি কিভাবে করবেন?
হাঁস. আমি খুব ভালো আছি, ডগলাস.
আপনার ছুটি থেকে ফিরে স্বাগতম!
DOUG. ছোট বাচ্চাদের থেকে দূরে আমার নিজের অফিসের নিরাপত্তায় ফিরে আসা ভালো।
[হাসি]
কিন্তু সেটা অন্য সময়ের জন্য অন্য গল্প।
আপনি জানেন, আমরা কিছু টেক ইতিহাস দিয়ে শো শুরু করতে চাই।
এই সপ্তাহে, 24 আগস্ট 1995-এ, রোলিং স্টোনসের "স্টার্ট মি আপ" গানটি লাইসেন্সের অধীনে, থিম টিউন হিসাবে প্রকাশ করা হয়েছিল যা মাইক্রোসফ্ট উইন্ডোজ 95 চালু করেছিল।
গানটি যেমন ভবিষ্যদ্বাণী করেছিল, "আপনি একজন প্রাপ্তবয়স্ক মানুষকে কাঁদিয়েছেন," এবং কিছু মাইক্রোসফ্ট বিদ্বেষী তখন থেকেই কাঁদছে।
আমি উইন্ডোজ 95 পছন্দ করেছি...
…কিন্তু আপনি যেমন বলছেন, আপনাকে এটি বেশ কয়েকবার শুরু করতে হবে, এবং কখনও কখনও এটি নিজেই শুরু হবে।
হাঁস. আমাকে শুরু করুন?!
কে জানত কোথায় * যে * নেতৃত্ব দিতে যাচ্ছে?
আমি মনে করি আমাদের একটি আভাস ছিল, কিন্তু আমি মনে করি না যে আমরা এটিকে উইন্ডোজ 11 হওয়ার কল্পনা করেছি, তাই না?
DOUG. আমরা করিনি।
এবং আমি উইন্ডোজ 11 পছন্দ করি - আমি এটি সম্পর্কে কিছু অভিযোগ পেয়েছি।
হাঁস. তুমি কি জান?
আমি আসলে গিয়েছিলাম এবং লিনাক্সে আমার উইন্ডো ম্যানেজার হ্যাক করেছি, যা শুধুমাত্র আয়তক্ষেত্রাকার উইন্ডোগুলি করে।
আমি একটি ছোট হ্যাক যোগ করেছি যা খুব সামান্য গোলাকার কোণে রাখে, কারণ আমি উইন্ডোজ 11-এ তাদের চেহারা পছন্দ করি।
এবং আমি এটা জনসমক্ষে না বলাই ভালো- যে আমি অনুপ্রেরণা হিসেবে একটি Windows 11 ভিজ্যুয়াল ফিচার ব্যবহার করেছি...
…অথবা আমার নাম ময়লা হবে, ডগলাস!
DOUG. আহারে!
ঠিক আছে, ঠিক আছে, আসুন এখন আর সে সম্পর্কে কথা বলি না।
তবে আমাদের টেক হিস্ট্রি এবং মিউজিকের থিমে থাকতে দিন।
এবং আমি আপনাকে এই সহজ প্রশ্ন করতে পারি...
জ্যানেট জ্যাকসন এবং কি সেবা আক্রমণ অস্বীকার করা অনুরুপ আছে?
হাঁস. ঠিক আছে, আমি মনে করি না যে আমরা বলছি যে জ্যানেট জ্যাকসন হঠাৎ 2000-এর দশকের গোড়ার দিকে, এমনকি 1990-এর দশকে, এমনকি 80-এর দশকের শেষের দিকের দুষ্ট হ্যাক্সর হিসাবে আউট হয়ে গেছে।
DOUG. অন্তত উদ্দেশ্যমূলক নয়।
হাঁস. না… উদ্দেশ্যমূলক নয়।
এটি এমন একটি গল্প যা মাইক্রোসফ্টের উবারব্লগার রেমন্ড চেনের চেয়ে কম উৎস থেকে আসে।
তিনি সবচেয়ে সংক্ষিপ্ত, তীক্ষ্ণতম ব্লগগুলি লেখেন – জিনিস ব্যাখ্যা করে, কখনও কখনও কিছুটা পাল্টা-সাংস্কৃতিকভাবে, কখনও কখনও এমনকি তার নিজের নিয়োগকর্তাকে একটু খোঁচা দিয়ে বলেন, "আমরা তখন কী ভাবছিলাম?"
এবং তিনি এতটাই বিখ্যাত যে এমনকি তার টাই - তিনি সর্বদা একটি টাই পরেন, সুন্দর রঙের টাই - এমনকি তার টাইও রয়েছে টুইটার ফিড, ডগ.
[হাসি]
কিন্তু রেমন্ড চেন 2005-এ ফিরে গিয়ে একটি গল্প লিখেছিলেন, আমার মনে হয়, যেখানে সেদিনের একজন উইন্ডোজ হার্ডওয়্যার প্রস্তুতকারক (তিনি কোনটি বলেন না) মাইক্রোসফ্টের সাথে যোগাযোগ করে বলেছিলেন, "আমাদের এই সমস্যা হচ্ছে যে উইন্ডোজ ক্র্যাশ হচ্ছে, এবং আমরা' কম্পিউটার যখন বাজছে তখন তার নিজস্ব অডিও সিস্টেমের মাধ্যমে গানটি সংকুচিত করেছি ছন্দ জাতি"।
একটি খুব বিখ্যাত জ্যানেট জ্যাকসনের গান - আমি এটি বেশ পছন্দ করি, আসলে - 1989 থেকে, বিশ্বাস করুন বা না করুন।
[হাসি]
“যখন সেই গান বাজবে, কম্পিউটার ক্র্যাশ হয়ে যায়। এবং মজার বিষয় হল, এটি আমাদের প্রতিযোগীদের কম্পিউটারগুলিকেও ক্র্যাশ করে এবং এটি প্রতিবেশী কম্পিউটারগুলিকে ক্র্যাশ করবে।"
তারা স্পষ্টতই দ্রুত চিন্তা করেছিল, "এটা কম্পনের সাথে জড়িত, নিশ্চয়ই?"
হার্ডডিস্ক ভাইব্রেশন, বা এরকম কিছু।
এবং তাদের দাবি ছিল যে এটি হার্ড ড্রাইভের তথাকথিত অনুরণিত ফ্রিকোয়েন্সির সাথে মিলে যাওয়ার জন্য ঘটেছে, এটি বিপর্যস্ত হবে এবং এটির সাথে অপারেটিং সিস্টেমকে নামিয়ে দেবে।
তাই তারা একটি অডিও ফিল্টার রেখেছিল যে ফ্রিকোয়েন্সিগুলি কেটে দেয় যা তারা বিশ্বাস করেছিল যে হার্ডডিস্কটি নিজেই সমস্যায় কম্পিত হওয়ার সম্ভাবনা বেশি।
DOUG. এবং পুরো গল্প বাদ দিয়ে এর আমার প্রিয় অংশ...
[হাসি]
…কি যে এই বিষয়ে একটি CVE *জারি করা হয়েছে 2022* এ!
হাঁস. হ্যাঁ, প্রমাণ যে সরকারী চাকরিতে অন্তত কিছু লোকের হাস্যরসের অনুভূতি রয়েছে।
DOUG. এটা ভালবাসা!
হাঁস. CVE-2022-23839: পরিষেবা বন্ধনী অস্বীকার (ডিভাইসের ত্রুটি এবং সিস্টেম ক্র্যাশ)।
"একটি নির্দিষ্ট 5400 rpm OEM ডিস্ক ড্রাইভ, যা প্রায় 2005 সালে ল্যাপটপ পিসিগুলির সাথে পাঠানো হয়েছিল, শারীরিকভাবে প্রক্সিমেট আক্রমণকারীদের অডিও সিগন্যালের সাথে একটি অনুরণিত ফ্রিকোয়েন্সি আক্রমণের মাধ্যমে পরিষেবা অস্বীকার করার অনুমতি দেয়৷ ছন্দ জাতি চিত্রসংগীত."
আমি সন্দেহ করি যে এটি Rhythm Nation-এর জন্য নির্দিষ্ট কিছু ছিল... এটি শুধুমাত্র আপনার হার্ড ডিস্ককে ভাইব্রেট করার জন্য এবং এটিকে ত্রুটিপূর্ণ করার জন্য ঘটেছে।
এবং প্রকৃতপক্ষে, আমাদের একজন মন্তব্যকারী উল্লেখ করেছেন যে, 2008 সালের একটি বিখ্যাত ভিডিও রয়েছে যা আপনি YouTube এ খুঁজে পেতে পারেন (আমরা লিঙ্কটি রেখেছি মন্তব্যে নেকেড সিকিউরিটি নিবন্ধে) "সার্ভারে চিৎকার" শিরোনামে।
এটি সান-এর একজন গবেষক ছিলেন - যদি তিনি একটি ডিস্ক ড্রাইভ অ্যারেতে ঝুঁকে চিৎকার করেন তবে আপনি স্ক্রিনে দেখতে পাবেন যে একটি পুনরুদ্ধারযোগ্য ডিস্ক ত্রুটিগুলির মধ্যে একটি বিশাল স্পাইক ছিল।
তিনি সেখানে চিৎকার করার সময় একটি বিশাল, বিশাল সংখ্যক ডিস্ক ত্রুটি, এবং স্পষ্টতই কম্পনগুলি ডিস্কগুলিকে তাদের অগ্রগতি বন্ধ করে দিয়েছিল।
DOUG. হ্যাঁ!
শো শুরু করার জন্য চমৎকার অদ্ভুত গল্প।
এবং আরেকটি অদ্ভুত গল্প হল: একটি বিটকয়েন এটিএম স্কিম আক্রমণ যেটিতে কোনো প্রকৃত ম্যালওয়্যার ছিল না।
কিভাবে তারা এই এক টানা বন্ধ?
হাঁস. হ্যাঁ, আমি বিভিন্ন অ্যাকাউন্টে এই গল্পটি দ্বারা মুগ্ধ হয়েছি।
আপনি যেমন বলছেন, একটি হল গ্রাহকের অ্যাকাউন্টগুলি ম্যালওয়্যার ইমপ্লান্টিং ছাড়াই "জোকযুক্ত" বা "স্কিমড" * ছিল।
এটি শুধুমাত্র কনফিগারেশন পরিবর্তন ছিল, একটি দুর্বলতার মাধ্যমে ট্রিগার করা হয়েছিল।
তবে এটাও মনে হয় যে হয় আক্রমণকারীরা শুধু এটি করার চেষ্টা করছিল, অথবা এটি একটি প্রমাণ-অব-ধারণা ছিল, অথবা তারা আশা করেছিল যে এটি যুগে যুগে অলক্ষিত থাকবে এবং তারা দীর্ঘ সময়ের জন্য অল্প পরিমাণে স্কিম করবে যে কেউ সচেতন।
DOUG. হ্যাঁ.
হাঁস. এটি লক্ষ্য করা গেছে, দৃশ্যত মোটামুটি দ্রুত, এবং ক্ষতি দৃশ্যত সীমাবদ্ধ ছিল- ভাল, আমি বলি "শুধু" - $16,000৷
যা আমাদের সাধারণত এই গল্পগুলি সম্পর্কে কথা বলা শুরু করার জন্য যে সাধারণ পরিমাণের প্রয়োজন তার চেয়ে 1000 গুণ বেশি মাত্রার, বা XNUMX গুণ কম৷
DOUG. বেশ ভাল!
হাঁস. $100 মিলিয়ন, $600 মিলিয়ন, $340 মিলিয়ন...
তবে হামলাটি খোদ এটিএম-এর বিরুদ্ধে নয়। এটি কয়েন এটিএম সার্ভার পণ্যের বিরুদ্ধে ছিল যে আপনি যদি এই কোম্পানির গ্রাহক হন তবে আপনাকে কোথাও চালাতে হবে।
একে বলে জেনারেল বাইটস.
আমি জানি না তিনি সেই বিখ্যাত উইন্ডোজ ব্যক্তিত্ব জেনারেল ব্যর্থতার আত্মীয় কিনা…
[হাসি]
কিন্তু এটি জেনারেল বাইটস নামে একটি চেক কোম্পানি, এবং তারা এই ক্রিপ্টোকারেন্সি এটিএম তৈরি করে।
সুতরাং, ধারণা হল আপনার এই সার্ভারটি প্রয়োজন যা আপনার কাছে থাকা এক বা একাধিক এটিএমের জন্য ব্যাক-এন্ড।
এবং হয় আপনি এটি আপনার নিজের সার্ভারে, আপনার নিজস্ব সার্ভার রুমে, আপনার নিজের সতর্ক নিয়ন্ত্রণে চালান, অথবা আপনি এটি ক্লাউডে চালাতে পারেন।
এবং আপনি যদি এটি ক্লাউডে চালাতে চান তবে তারা হোস্টিং প্রদানকারী ডিজিটাল মহাসাগরের সাথে একটি বিশেষ চুক্তি করেছে।
এবং যদি আপনি চান, আপনি তাদের একটি 0.5% লেনদেন ফি দিতে পারেন, দৃশ্যত, এবং তারা শুধুমাত্র আপনার সার্ভারকে ক্লাউডে রাখবে না, তারা এটি আপনার জন্য চালাবে।
সব খুব ভাল।
সমস্যা হল কয়েন এটিএম সার্ভারের সামনের প্রান্তে একটি প্রমাণীকরণ বাইপাস দুর্বলতার মতো শোনাচ্ছে৷
তাই আপনি সুপার জটিল পাসওয়ার্ড, 2FA, 3FA, 12FA রাখছেন কিনা, এটা কোন ব্যাপার বলে মনে হয় না। [হাসি]
একটি বাইপাস ছিল যা একজন অননুমোদিত ব্যবহারকারীকে একটি প্রশাসক অ্যাকাউন্ট তৈরি করার অনুমতি দেবে।
যতদূর আমি আউট করতে পারি (তারা সম্পূর্ণরূপে খোলা ছিল না, বোধগম্যভাবে, ঠিক কীভাবে আক্রমণটি কাজ করেছিল), দেখে মনে হচ্ছে আক্রমণকারীরা সিস্টেমটিকে তার "প্রাথমিক সেটআপ" মোডে ফিরে যাওয়ার জন্য কৌশল করতে সক্ষম হয়েছিল।
এবং, স্পষ্টতই, আপনি একটি সার্ভার সেট আপ করার সময় একটি জিনিস, এটি বলে, "আপনাকে একটি প্রশাসনিক অ্যাকাউন্ট তৈরি করতে হবে।"
তারা এতদূর যেতে পারে, তাই তারা একটি নতুন প্রশাসনিক অ্যাকাউন্ট তৈরি করতে পারে এবং তারপরে, অবশ্যই, তারপরে তারা একটি নতুন মিন্টেড সিসাডমিন হিসাবে ফিরে আসতে পারে… কোন ম্যালওয়ারের প্রয়োজন নেই।
তাদের ভাঙতে হবে না, কোনো ফাইল ড্রপ করতে হবে না, সিস্টেমের মধ্যে বিশেষাধিকারের উচ্চতা করতে হবে।
এবং বিশেষ করে, মনে হয় যে তারা যে কাজগুলি করেছিল তার মধ্যে একটি হল…
…যদি একজন গ্রাহক অসাবধানতাবশত কয়েন পাঠানোর চেষ্টা করেন ভুল, অথবা একটি অস্তিত্বহীন, সম্ভবত একটি ব্লক করা মানিব্যাগ, এই সফ্টওয়্যারটিতে, এটিএম অপারেটররা অন্যথায় অবৈধ লেনদেনের জন্য একটি বিশেষ সংগ্রহের ওয়ালেট নির্দিষ্ট করতে পারে৷
এটি প্রায় এক ধরণের এসক্রো ওয়ালেটের মতো।
এবং তাই বদমাশরা যা করেছে তা হল: তারা সেই "অবৈধ অর্থপ্রদানের গন্তব্য" ওয়ালেট শনাক্তকারীকে তাদের নিজস্ব একটিতে পরিবর্তন করেছে৷
সুতরাং, সম্ভবত তাদের ধারণা ছিল যে প্রতিবার যখনই একটি গ্রাহকের কাছ থেকে একটি ভুল বা একটি অবৈধ লেনদেন হয়েছে, যা খুব বিরল হতে পারে, গ্রাহক এমনকি বুঝতেও পারবেন না যে তারা বেনামে কিছুর জন্য অর্থ প্রদান করলে তহবিলটি চলে যায়নি…
কিন্তু বিন্দু হল যে এটি সেই আক্রমণগুলির মধ্যে একটি যা আমাদের মনে করিয়ে দেয় যে আজকাল সাইবার নিরাপত্তা হুমকির প্রতিক্রিয়া.. এটি আর সহজভাবে নয়, "ওহ আচ্ছা, ম্যালওয়্যারটি খুঁজে বের করুন; ম্যালওয়্যার অপসারণ; প্যাচ প্রয়োগ করুন।"
এই সমস্ত জিনিসগুলি গুরুত্বপূর্ণ, তবে এই ক্ষেত্রে, প্যাচ প্রয়োগ করা আপনাকে ভবিষ্যতে হ্যাক হওয়া প্রতিরোধ করে, তবে আপনি যদি না যান এবং আপনার সমস্ত সেটিংস সম্পূর্ণরূপে পুনরায় যাচাই না করেন…
…যদি আপনি আগে হ্যাক হয়ে থাকেন, তাহলে আপনি পরে হ্যাক হয়ে থাকবেন, কোথাও কোনো ম্যালওয়্যার খুঁজে পাওয়া যাবে না।
এটি আপনার ডাটাবেসের কনফিগারেশন পরিবর্তন মাত্র।
DOUG. আমাদের একটি MDR পরিষেবা আছে; অন্যান্য অনেক কোম্পানির MDR পরিষেবা রয়েছে।
আপনার কাছে যদি মানুষ সক্রিয়ভাবে এই ধরনের জিনিস খুঁজছে, তাহলে কি এটি এমন কিছু যা আমরা একটি MDR পরিষেবা দিয়ে ধরতে পারতাম?
হাঁস. ঠিক আছে, স্পষ্টতই আপনি যে জিনিসগুলি আশা করবেন তা হল একটি এমডিআর পরিষেবা - যদি আপনি মনে করেন যে আপনি আপনার গভীরতার বাইরে চলে গেছেন, বা আপনার কাছে সময় নেই, এবং আপনি শুধুমাত্র আপনাকে সাহায্য করার জন্য নয়, কিন্তু একটি কোম্পানি আনেন মূলত আপনার সাইবার সিকিউরিটি দেখাশোনা করতে এবং এটিকে সমানভাবে এগিয়ে নিতে...
..আমি জানি যে সোফোস এমডিআর দল এটি সুপারিশ করবে: "আরে, আপনি কেন আপনার কয়েন এটিএম সার্ভার পুরো ইন্টারনেটের জন্য উন্মুক্ত করেছেন? কেন আপনি অন্তত কিছু মধ্যবর্তী নেটওয়ার্কের মাধ্যমে এটিকে অ্যাক্সেসযোগ্য করে তুলছেন না যেখানে আপনার কাছে এমন কিছু জিরো-ট্রাস্ট সিস্টেম রয়েছে যা প্রথমে সিস্টেমে প্রবেশ করা দুর্বৃত্তদের পক্ষে কঠিন করে তোলে?"
এটিতে লোকেদের প্রবেশের অনুমতি দেওয়ার জন্য আরও দানাদার পদ্ধতি থাকবে, কারণ দেখে মনে হচ্ছে এখানে আসল দুর্বল দিকটি ছিল যে এই আক্রমণকারীরা, বদমাশরা, ডিজিটাল মহাসাগরের সার্ভারগুলির একটি আইপি স্ক্যান করতে সক্ষম হয়েছিল।
তারা মূলত এই নির্দিষ্ট পরিষেবাটি চালাচ্ছে এমন সার্ভারগুলির সন্ধান করে, এবং তারপরে সম্ভবত পরে ফিরে গিয়ে তাদের মধ্যে কোনটি প্রবেশ করতে পারে তা দেখার চেষ্টা করেছিল।
আপনি যদি প্রথমে নিরাপত্তা সেটিংস ঠিক করার চেষ্টা করতে ইচ্ছুক না হন তবে আপনার জন্য একটি MDR টিমকে অর্থ প্রদান করা এবং আপনার জন্য নিরাপত্তা দেওয়া ভাল নয়।
এবং, অবশ্যই, অন্য একটি জিনিস যা আপনি একটি ভাল MDR টিমের কাছ থেকে আশা করবেন, পরিস্থিতির উপর তাদের মানবিক দৃষ্টি দিয়ে, স্বয়ংক্রিয় সরঞ্জামগুলির সাহায্যে, এমন জিনিসগুলি সনাক্ত করা যা *প্রায় দেখতে সঠিক কিন্তু নয়*।
তাই হ্যাঁ, আপনি করতে পারেন এমন অনেক কিছু আছে, যদি আপনি জানেন যে আপনার কোথায় থাকা উচিত; আপনি কোথায় হতে চান জানেন; এবং আপনি খারাপ আচরণ থেকে ভাল আচরণ আলাদা করার কিছু উপায় পেয়েছেন।
কারণ, আপনি যেমন কল্পনা করতে পারেন, এইরকম আক্রমণে - এই সত্যটি বাদ দিয়ে যে আসল সংযোগগুলি এমন একটি আইপি নম্বর থেকে এসেছে যা আপনি আশা করেননি - একেবারে অপ্রত্যাশিত কিছুই নেই।
বদমাশরা চেষ্টা করেনি এবং কিছু ইমপ্লান্ট করেনি, বা এমন কোনো সফ্টওয়্যার পরিবর্তন করেনি যা অ্যালার্ম ট্রিগার করতে পারে।
তারা একটি দুর্বলতা ট্রিগার করেছে, তাই লগগুলিতে কিছু পার্শ্ব প্রতিক্রিয়া থাকবে...
…প্রশ্ন হল, আপনি কি জানেন যে আপনি কি দেখতে পারেন?
আপনি কি নিয়মিত খুঁজছেন?
এবং যদি আপনি অস্বাভাবিক কিছু খুঁজে পান, আপনার কাছে কি দ্রুত এবং কার্যকরভাবে প্রতিক্রিয়া জানানোর একটি ভাল উপায় আছে?
DOUG. গ্রেট।
এবং জিনিসপত্র খোঁজার কথা বলতে, আমাদের কাছে শূন্য-দিন সম্পর্কে দুটি গল্প রয়েছে।
এর সাথে শুরু করা যাক ক্রোম জিরো-ডে প্রথম।
হাঁস. হ্যাঁ, এই গল্পটি গত সপ্তাহের মাঝামাঝি সময়ে ভেঙে গেছে, আমরা গত সপ্তাহের পডকাস্ট রেকর্ড করার ঠিক পরে, এবং সেই সময়ে 11টি নিরাপত্তা সংশোধন করা হয়েছিল।
তাদের মধ্যে একটি বিশেষভাবে উল্লেখযোগ্য ছিল, এবং সেটি ছিল CVE-2022-2856, এবং এটিকে "ইন্টেন্টে অবিশ্বস্ত ইনপুটের অপর্যাপ্ত বৈধতা" হিসাবে বর্ণনা করা হয়েছিল।
একটি অভিপ্রায়. আপনি যদি কখনও অ্যান্ড্রয়েড প্রোগ্রামিং করে থাকেন... এটি এমন একটি ওয়েব পৃষ্ঠায় একটি অ্যাকশন করার ধারণা যা বলে, "ভাল, আমি এটি কেবল প্রদর্শন করতে চাই না। যখন এই ধরনের জিনিস ঘটে, আমি চাই যে এটি অন্য স্থানীয় অ্যাপ দ্বারা পরিচালনা করা হোক।"
এটি একটি জাদুকরী URL থাকার মত একই ধরণের ধারণা যা বলে, "ভাল, আসলে, আমি যা করতে চাই তা হল এটি স্থানীয়ভাবে প্রক্রিয়া করা।"
কিন্তু ক্রোম এবং অ্যান্ড্রয়েডের এটি করার এই উপায়টি রয়েছে যার নাম Intents, এবং আপনি এমন কিছু কল্পনা করতে পারেন যা একটি ওয়েব পৃষ্ঠার অবিশ্বস্ত ডেটাকে সেই অবিশ্বস্ত ডেটা দিয়ে কিছু করার জন্য একটি স্থানীয় অ্যাপকে ট্রিগার করতে দেয়...
...সম্ভবত খুব খারাপভাবে শেষ হতে পারে.
উদাহরণস্বরূপ, "এই কাজটি করুন যা আপনার সত্যিই করা উচিত নয়।"
যেমন, "আরে, সেটআপ পুনরায় চালু করুন, একটি নতুন প্রশাসনিক ব্যবহারকারী তৈরি করুন"... ঠিক যেমন আমরা কয়েন এটিএম সার্ভারের কথা বলছিলাম।
সুতরাং এখানে সমস্যাটি ছিল যে গুগল স্বীকার করেছে যে এটি একটি শূন্য-দিন ছিল, কারণ এটি বাস্তব জীবনে শোষিত হয়েছিল বলে জানা গিয়েছিল।
কিন্তু তারা ঠিক কোন অ্যাপগুলো ট্রিগার করে তার কোনো বিবরণ দেয়নি; কি ধরনের ডেটা ট্রিগার করতে পারে; সেই অ্যাপগুলো ট্রিগার হলে কি হতে পারে।
সুতরাং, আপস [IoCs] এর কোন সূচক আপনি খুঁজতে পারেন তা পরিষ্কার ছিল না।
যা * পরিষ্কার * ছিল তা হল এই আপডেটটি গড় ক্রোম আপডেটের চেয়ে বেশি গুরুত্বপূর্ণ ছিল, কারণ জিরো-ডে হোল।
এবং, যাইহোক, এটি মাইক্রোসফ্ট এজ-এও প্রযোজ্য।
মাইক্রোসফ্ট একটি নিরাপত্তা সতর্কতা প্রকাশ করেছে যে, "হ্যাঁ, আমরা দেখেছি, এবং যতদূর আমরা দেখতে পাচ্ছি, এটি এজ-এর ক্ষেত্রেও প্রযোজ্য। আমরা Chromium কোড বেস থেকে বাগটি উত্তরাধিকারসূত্রে পেয়েছি। এই স্থান দেখুন।"
এবং 19 আগস্ট 2022-এ, মাইক্রোসফ্ট একটি এজ আপডেট প্রকাশ করেছে।
তাই আপনার কাছে Chromium, Chrome, Edge, বা Chromium সম্পর্কিত যেকোন ব্রাউজারই থাকুক না কেন, আপনাকে নিশ্চিত করতে হবে যে আপনি সর্বশেষ সংস্করণ পেয়েছেন।
এবং আপনি কল্পনা করুন যে 18 আগস্ট 2022 তারিখের বা তার পরে সম্ভবত এটিতে এই সংশোধন রয়েছে।
আপনি যদি Chromium-ভিত্তিক ব্রাউজার ব্যবহার করেন তার জন্য রিলিজ নোটগুলি অনুসন্ধান করছেন, আপনি এটি অনুসন্ধান করতে চান: CVE 2022-2856৷
DOUG. ঠিক আছে, তারপর আমরা একটি পেয়েছেন রিমোট কোড এক্সিকিউশন হোল অ্যাপলের ওয়েবকিট এইচটিএমএল রেন্ডারিং সফ্টওয়্যারে, যা একটি কার্নেল এক্সিকিউশন হোলের দিকে নিয়ে যেতে পারে…
হাঁস. হ্যাঁ, এটি একটি আরো উত্তেজনাপূর্ণ গল্প ছিল!
যেমনটি আমরা সবসময় বলি, অ্যাপলের আপডেটগুলি এসে পৌঁছেছে।
কিন্তু এটি হঠাৎ দেখা গেল, এবং এটি কেবল এই দুটি গর্তকে ঠিক করেছে, এবং তারা উভয়ই বন্য অবস্থায় রয়েছে।
একটি, যেমন আপনি বলছেন, ওয়েবকিটে একটি বাগ ছিল, CVE-2022-32893, এবং দ্বিতীয়টি, যা হল -32894, যদি আপনি চান, কার্নেলের মধ্যে একটি সংশ্লিষ্ট গর্ত… উভয়ই একই সময়ে ঠিক করা হয়েছে, উভয়ই বন্য মধ্যে
সেই গন্ধে তারা একই সময়ে পাওয়া গেছে কারণ তারা সমান্তরালভাবে শোষিত হচ্ছে।
ওয়েবকিট বাগ প্রবেশ করতে, এবং কার্নেল বাগ উঠতে, এবং পুরো সিস্টেমটি দখল করে।
যখন আমরা অ্যাপলের কাছ থেকে এই ধরনের সমাধান শুনি, যেখানে তারা ঠিক করছে একই সময়ে ওয়েব-বাগ-প্লাস-কার্নেল-বাগ: “বন্যে! এখন প্যাচ করুন! ”…
..আপনার তাৎক্ষণিক চিন্তা হল, আহ-ওহ, এটি জেলব্রেকিংকে অনুমতি দিতে পারে, যেখানে মূলত অ্যাপলের সমস্ত নিরাপত্তা কঠোরতা অপসারণ করা হয় বা স্পাইওয়্যার।
অ্যাপল এর চেয়ে বেশি কিছু বলেনি: “এই দুটি বাগ আছে; তারা একই সময়ে পাওয়া গেছে, একটি বেনামী গবেষক দ্বারা রিপোর্ট; তারা উভয় patched করছি; এবং তারা সমস্ত সমর্থিত আইফোন, আইপ্যাড এবং ম্যাকগুলিতে প্রযোজ্য।"
এবং মজার বিষয় হল ম্যাকওএসের সর্বশেষ সংস্করণ, মন্টেরি… যেটি এখনই একটি সম্পূর্ণ অপারেটিং সিস্টেম-স্তরের প্যাচ পেয়েছে।
ম্যাকের পূর্ববর্তী দুটি সমর্থিত সংস্করণ (এটি বিগ সুর এবং ক্যাটালিনা, ম্যাকওএস 10 এবং 11)… তারা অপারেটিং সিস্টেম-স্তরের প্যাচ পায়নি, যেন তারা কার্নেল শোষণের জন্য দুর্বল ছিল না।
কিন্তু তারা সাফারির একটি একেবারে নতুন সংস্করণ পেয়েছে, যা মন্টেরি আপডেটের সাথে সংযুক্ত ছিল।
এটি পরামর্শ দেয় যে তারা অবশ্যই এই ওয়েবকিট দখলের ঝুঁকিতে রয়েছে৷
এবং, যেমনটি আমরা আগে বলেছি, ডগ, অ্যাপলের ওয়েবকিটে সমালোচনামূলক বাগগুলি দ্বিগুণ:
(1) iPhones এবং iPads-এ, ll ব্রাউজার এবং সমস্ত ওয়েব রেন্ডারিং সফ্টওয়্যার, যদি এটিকে অ্যাপ স্টোরে অনুমতি দিতে হয়, তাহলে অবশ্যই ওয়েবকিট* ব্যবহার করতে হবে।
এমনকি যদি এটি ফায়ারফক্স হয়, এমনকি যদি এটি ক্রোমও হয়, এমনকি যদি এটি সাহসী হয়, এটি যে ব্রাউজারই হোক না কেন... তাদের ব্যবহার করতে পারে এমন যেকোনো ইঞ্জিনকে ছিঁড়ে ফেলতে হবে এবং নীচে WebKit ইঞ্জিন ঢোকাতে হবে।
তাই শুধু iPhones এ Safari এড়িয়ে যাওয়া আপনাকে এই সমস্যায় ফেলে না। সেটা (1)।
সংখ্যা (2) হল যে অনেক অ্যাপ, ম্যাক এবং iDevices-এ একইভাবে, হেল্প স্ক্রিন এবং উইন্ডোজের মতো জিনিসগুলি করার জন্য একটি খুব সুবিধাজনক, এবং দক্ষ, এবং সুন্দর-সুদর্শন উপায় হিসাবে HTML ব্যবহার করে৷
কেন করবে না?
কেন আপনার নিজের গ্রাফিক্স তৈরি করবেন যখন আপনি একটি এইচটিএমএল পৃষ্ঠা তৈরি করতে পারেন যা আপনার যে কোনও ডিভাইসের সাথে মানানসই হবে?
সুতরাং, অনেক অ্যাপ *যেগুলো ওয়েব ব্রাউজার নয়* তাদের স্ক্রীন ডিসপ্লে "ভাষা" এর অংশ হিসেবে HTML ব্যবহার করতে পারে, যদি আপনি চান, বিশেষ করে অ্যাবাউট স্ক্রিন এবং হেল্প উইন্ডোজে।
এর মানে তারা সম্ভবত WebView নামক একটি অ্যাপল বৈশিষ্ট্য ব্যবহার করে, যা তাদের জন্য HTML রেন্ডারিং করে।
এবং WebView ওয়েবকিটের উপর ভিত্তি করে, এবং WebKit এই বাগ আছে!
সুতরাং, এটি শুধুমাত্র একটি ব্রাউজার-শুধুমাত্র সমস্যা নয়।
এটি, তাত্ত্বিকভাবে, যেকোন অ্যাপের বিরুদ্ধে শোষিত হতে পারে যেটি শুধুমাত্র HTML ব্যবহার করার জন্য ঘটে, এমনকি যদি এটি শুধুমাত্র অ্যাবাউট স্ক্রীনই হয়।
সুতরাং, এই বিশেষ জটিল সমস্যাটির সাথে সেগুলি হল দুটি জটিল সমস্যা, যথা: (1) ওয়েবকিটে বাগ, এবং অবশ্যই, (2) মন্টেরে এবং আইফোন এবং আইপ্যাডে, কার্নেলের দুর্বলতাও ছিল , যে সম্ভবত একটি শৃঙ্খলে শোষিত হতে পারে.
এর মানে হল যে শুধু বদমাশরা ঢুকতে পারবে না, তারা সিঁড়ি বেয়ে উপরে উঠতে পারবে।
এবং এটা সত্যিই খুব খারাপ.
DOUG. ঠিক আছে, এটি প্রতিটি অনুষ্ঠানের শেষে আমাদের পাঠকের প্রশ্নে সুন্দরভাবে নিয়ে যায়।
অ্যাপল ডাবল জিরো-ডে গল্পে, পাঠক সুসান একটি সহজ প্রশ্ন জিজ্ঞাসা করে চমৎকার প্রশ্ন: "একজন ব্যবহারকারী কীভাবে জানবে যে শোষণ দুটিই তাদের ফোনে সম্পাদিত হয়েছে?"
আপনি কিভাবে জানবেন?
হাঁস. ডগ... এই ক্ষেত্রে কঠিন জিনিস হল আপনি সম্ভবত করবেন না।
আমি বলতে চাচ্ছি, সেখানে *হয়ত* কিছু সুস্পষ্ট পার্শ্ব-প্রতিক্রিয়া হতে পারে, যেমন আপনার ফোনটি হঠাৎ করে ক্র্যাশ হতে শুরু করে যখন আপনি এমন একটি অ্যাপ চালান যা আগে সম্পূর্ণ নির্ভরযোগ্য ছিল, তাই আপনি সন্দেহজনক হয়ে পড়েন এবং আপনার জন্য এটি দেখার জন্য আপনি কিছু বিশেষজ্ঞ পান, হতে পারে কারণ আপনি কেউ আপনার ফোন ক্র্যাক করতে চায় এমন উচ্চ ঝুঁকিতে নিজেকে বিবেচনা করুন।
কিন্তু গড় ব্যবহারকারীর জন্য, এখানে সমস্যা হল অ্যাপল শুধু বলেছে, “ওয়েল, ওয়েবকিটে এই বাগ আছে; কার্নেলে এই বাগ আছে।"
সমঝোতার কোনো সূচক নেই; কোন প্রুফ অফ কনসেপ্ট কোড নেই; ঠিক কি কোন পার্শ্ব-প্রতিক্রিয়া পেছনে ফেলে যেতে পারে তার কোনো বিবরণ নেই, যদি থাকে।
সুতরাং, এই বাগগুলি স্থায়ীভাবে পিছনে রেখে যেতে পারে ঠিক কী দৃশ্যমান পার্শ্ব-প্রতিক্রিয়া খুঁজে বের করার একমাত্র উপায়। যে আপনি যেতে পারেন এবং খুঁজতে পারেন...
…মূলত নিজের জন্য এই বাগগুলি পুনরায় আবিষ্কার করা এবং তারা কীভাবে কাজ করে তা খুঁজে বের করা এবং একটি প্রতিবেদন লিখতে হবে৷
এবং, আমার জানামতে, সেখানে সমঝোতার কোনো সূচক (বা কোনো নির্ভরযোগ্য) নেই যা আপনি গিয়ে আপনার ফোনে অনুসন্ধান করতে পারেন।
আমি এটা ভাবতে পারি যে একমাত্র উপায়টি আপনাকে মূলত একটি "পরিচিত ভাল" অবস্থায় ফিরে যেতে দেবে তা হল অ্যাপলের ডিএফইউ সিস্টেম কীভাবে ব্যবহার করা যায় তা নিয়ে গবেষণা করা (যা আমার মনে হয় ডিভাইস ফার্মওয়্যার আপডেটের জন্য দাঁড়িয়েছে)।
মূলত, একটি বিশেষ কী-সিকোয়েন্স আছে যা আপনি চাপবেন, এবং আপনাকে একটি বিশ্বস্ত কম্পিউটারে একটি USB তারের সাহায্যে আপনার ডিভাইস টিথার করতে হবে, এবং মূলত এটি পুরো ফার্মওয়্যারটিকে পুনরায় ইনস্টল করে… সর্বশেষ ফার্মওয়্যার – অ্যাপল আপনাকে ডাউনগ্রেড করতে দেবে না, কারণ তারা জানে যে লোকেরা জেলব্রেকিং কৌশলের জন্য এটি ব্যবহার করে)। [হাসি]
সুতরাং, এটি মূলত সর্বশেষ ফার্মওয়্যার ডাউনলোড করে - এটি একটি আপডেটের মতো নয়, এটি একটি পুনরায় ইনস্টল করা৷
এটি মূলত আপনার ডিভাইসটি মুছে দেয় এবং সবকিছু আবার ইনস্টল করে, যা আপনাকে একটি পরিচিত-ভাল অবস্থায় ফিরিয়ে আনে।
কিন্তু এটি আপনার ফোনটি ফেলে দেওয়া এবং একটি নতুন কেনার মতো - আপনাকে এটি শুরু থেকেই সেট আপ করতে হবে, তাই আপনার সমস্ত ডেটা মুছে ফেলা হবে৷
এবং, গুরুত্বপূর্ণভাবে, আপনার যদি সেখানে কোনও 2FA কোড জেনারেশন সিকোয়েন্স সেট আপ করা থাকে, *সেই সিকোয়েন্সগুলি মুছে ফেলা হবে*।
সুতরাং, নিশ্চিত করুন যে আপনি একটি ডিভাইস ফার্মওয়্যার আপডেট করার আগে যেখানে সবকিছু মুছে ফেলা হবে, আপনার কাছে অ্যাকাউন্ট পুনরুদ্ধার করার বা 2FA তাজা সেট আপ করার উপায় আছে।
কারণ আপনি সেই DFU করার পরে, আপনার ফোনে প্রোগ্রাম করা যেকোন প্রমাণীকরণের ক্রমগুলি চলে যাবে এবং আপনি সেগুলি পুনরুদ্ধার করতে পারবেন না৷
DOUG. ঠিক আছে. [ডাউনকাস্ট সাউন্ডিং] আমি...
হাঁস. এটি একটি খুব ভাল উত্তর ছিল না, ডগ ...
DOUG. না, এর সাথে এর কোন সম্পর্ক নেই - শুধু একটি সাইড নোট।
আমি আমার পিক্সেল ফোনকে অ্যান্ড্রয়েড 13-এ আপগ্রেড করেছি, এবং এটি ফোনটিকে ইট দিয়ে ফেলেছে, এবং আমি আমার 2FA স্টাফ হারিয়ে ফেলেছি, যা ছিল একটি সত্যিকারের বড় ব্যাপার!
হাঁস. *ইটা* ইট [করেছে চিরতরে বুটযোগ্য না] নাকি মুছে ফেলেছে?
ফোন এখনও কাজ করছে?
DOUG. না, এটা চালু হয় না।
এটা জমে গেছে, এবং আমি এটি বন্ধ করে দিয়েছি, এবং আমি এটি আবার চালু করতে পারিনি!
হাঁস. ওহ সত্যিই?
DOUG. তাই তারা আমাকে একটি নতুন পাঠাচ্ছে.
সাধারণত আপনি যখন একটি নতুন ফোন পান, আপনি নতুন ফোন সেট আপ করতে পুরানো ফোন ব্যবহার করতে পারেন, কিন্তু পুরানো ফোনটি চালু হচ্ছে না…
…তাই এই গল্পটি বাড়ির একটু কাছেই আঘাত হানে।
আমাকে একটু বিষণ্ণ করে তুলেছে, কারণ আমি এখন আসল Pixel XL ব্যবহার করছি, যেটি আমার ব্যাকআপ হিসেবে একমাত্র ফোন ছিল।
এবং এটি বড়, এবং ক্লাঙ্কি, এবং ধীর, এবং ব্যাটারি ভাল নয়… এটাই আমার জীবন।
হাঁস. ওয়েল, ডগ, আপনি ফোনের দোকানে গিয়ে নিজেকে একটি অ্যাপল কিনতে পারেন [ডুগ হাসতে শুরু করে কারণ সে একজন অ্যান্ড্রয়েড ফ্যানবুয়] iPhone SE 2022!
DOUG. কোন উপায় না!
না! না! না!
খনি এর দুই দিনের শিপিং.
হাঁস. পাতলা, হালকা, সস্তা এবং চমত্কার।
যেকোনো Pixel ফোনের চেয়ে অনেক ভালো দেখতে – আমি প্রতিটির একটি পেয়েছি।
পিক্সেল ফোনগুলি দুর্দান্ত, তবে…
[জেনে কাশি, ফিসফিস করে] …আইফোনের চেয়ে ভালো, ডগ!
DOUG. ঠিক আছে, অন্য সময়ের জন্য অন্য গল্প!
সুসান, যে প্রশ্ন পাঠানোর জন্য আপনাকে ধন্যবাদ.
এটি সেই নিবন্ধে একটি মন্তব্য ছিল, যা দুর্দান্ত। তাই যান এবং এটি পরীক্ষা করে দেখুন.
যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।
আপনি tips@sophos.com ইমেল করতে পারেন; আপনি আমাদের নিবন্ধগুলির যেকোনো একটিতে মন্তব্য করতে পারেন; অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @NakedSecurity.
এটাই আমাদের আজকের অনুষ্ঠান – শোনার জন্য অনেক ধন্যবাদ।
পল ডকলিনের জন্য, আমি ডগ আমথ, আপনাকে মনে করিয়ে দিচ্ছি, পরের বার পর্যন্ত,...
উভয়। নিরাপদ থাকুন!
[মিউজিক্যাল মডেম]
- আপেল
- blockchain
- ক্রৌমিয়াম
- coingenius
- ক্রিপ্টো
- cryptocurrency
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- সেবা দিতে অস্বীকার করা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ডস
- প্রান্ত
- ফায়ারওয়াল
- গুগল
- আইফোন
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- মাইক্রোসফট
- নগ্ন সুরক্ষা
- নগ্ন নিরাপত্তা পডকাস্ট
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- পডকাস্ট
- R & B এর
- ভিপিএন
- দুর্বলতা
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
- শূন্য দিন
![S3 Ep122: প্রতিটি লঙ্ঘনকে "অত্যাধুনিক" বলা বন্ধ করুন! [অডিও + পাঠ্য]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-300x145.png)
