S3 Ep108: আপনি একটি পপকর্ন টিনে তিন বিলিয়ন ডলার লুকিয়ে রেখেছিলেন?

যেকোন বিন্দুতে এড়িয়ে যেতে নীচের সাউন্ডওয়েভগুলিতে ক্লিক করুন এবং টেনে আনুন। আপনি এটিও করতে পারেন সরাসরি শুনুন সাউন্ডক্লাউডে।

DOUG.  টুইটার স্ক্যাম, প্যাচ মঙ্গলবার, এবং অপরাধীদের হ্যাকিং অপরাধী।

নেকেড সিকিউরিটি পডকাস্টে এই সব এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে স্বাগতম, সবাইকে।

আমি ডগ.

তিনি পল ডকলিন।

পল, তুমি আজ কেমন আছ?

---

হাঁস.  খুব ভাল, ডগ.

আমাদের এখানে ইংল্যান্ডে চন্দ্রগ্রহণ হয়নি, তবে আমি মেঘের একটি ছোট ফাঁক দিয়ে *পূর্ণ* পূর্ণিমার একটি সংক্ষিপ্ত আভাস পেয়েছি যে মুহূর্তে আমি বাইরে গিয়েছিলাম পুরো মেঘ স্তরের একমাত্র গর্ত হিসাবে আবির্ভূত হয়েছিল একবার দেখুন!

কিন্তু ম্যাসাচুসেটসে আপনার মতো কমলা রঙের চাঁদ আমাদের কাছে ছিল না।

---

DOUG.  এর মাধ্যমে শো শুরু করা যাক প্রযুক্তির ইতিহাসে এই সপ্তাহ… এই পথ ফিরে যায়.

এই সপ্তাহে, 08 নভেম্বর 1895-এ, জার্মান পদার্থবিজ্ঞানের অধ্যাপক উইলহেলম রন্টজেন বিকিরণের একটি এখনও অনাবিষ্কৃত রূপের উপর হোঁচট খেয়েছিলেন যা তাকে উল্লিখিত বিকিরণটিকে কেবল "X" হিসাবে উল্লেখ করতে প্ররোচিত করেছিল।

যেমন এক্স-রে।

কিভাবে যে সম্পর্কে ... এক্স-রে এর আকস্মিক আবিষ্কার?

---

হাঁস.  বেশ চমৎকার.

আমার মনে আছে আমার মা আমাকে বলেছিলেন: 1950-এর দশকে (অবশ্যই রাজ্যগুলিতে একই রকম ছিল), দৃশ্যত, জুতোর দোকানে...

---

DOUG.  [কি আসছে জানেন] হ্যাঁ! [হাসি]

---

হাঁস.  লোকেরা তাদের বাচ্চাদের ভিতরে নিয়ে যাবে... আপনি এই মেশিনে দাঁড়াবেন, জুতা পরবেন এবং শুধু বলার পরিবর্তে, "ঘুরে যাও, তারা কি শক্ত? তারা কি চিমটি দেয়?", আপনি একটি এক্স-রে মেশিনে দাঁড়িয়েছিলেন, যা মূলত আপনাকে এক্স-রে বিকিরণে স্নান করেছিল এবং একটি লাইভ ফটো তুলেছিল এবং বলেছিল, "ওহ হ্যাঁ, তারা সঠিক আকারের।"

---

DOUG.  হ্যাঁ, সহজ বার। একটু বিপজ্জনক, কিন্তু…

---

হাঁস.  একটু বিপজ্জনক?

আপনি কি জুতার দোকানে কাজ করা মানুষ কল্পনা করতে পারেন?

তারা নিশ্চয়ই সারাক্ষণ এক্স-রে স্নান করছে।

---

DOUG.  একেবারে... আচ্ছা, আমরা আজ একটু নিরাপদ।

আর নিরাপত্তার বিষয়ে, মাসের প্রথম মঙ্গলবার মাইক্রোসফটের প্যাচ মঙ্গলবার।

So আমরা কি শিখলাম এই প্যাচ মঙ্গলবার এখানে নভেম্বর 2022 এ?

বিনিময় 0-দিন স্থির (শেষে) - প্লাস 4 ব্র্যান্ড নতুন প্যাচ মঙ্গলবার 0-দিন!

---

হাঁস.  ওয়েল, অতি উত্তেজনাপূর্ণ জিনিস, ডগ, যে প্রযুক্তিগতভাবে প্যাচ মঙ্গলবার স্থির করা হয়েছে একটি নয়, দুটি নয়, তিনটি নয়… বরং *চার* শূন্য-দিন।

কিন্তু প্রকৃতপক্ষে আপনি মঙ্গলবার মাইক্রোসফ্ট পণ্যগুলির জন্য যে প্যাচগুলি পেতে পারেন তা *ছয়* শূন্য-দিন স্থির করেছে।

সেসব এক্সচেঞ্জ জিরো-দিনের কথা মনে রাখবেন যেগুলো গত মঙ্গলবার প্যাচ করা হয়নি: CVE-2002-41040 এবং CVE-2022-41082, যা নামে পরিচিত ProxyNotShell?

S3 Ep102.5: "ProxyNotShell" এক্সচেঞ্জ বাগ - একজন বিশেষজ্ঞ কথা বলেন [অডিও + পাঠ্য]

ঠিক আছে, সেগুলি ঠিক হয়ে গেছে, তবে প্যাচ মঙ্গলবারের জন্য মূলত একটি পৃথক "সাইডলাইন": এক্সচেঞ্জ নভেম্বর 2022 SU, বা সফ্টওয়্যার আপডেট, যা শুধু বলে:

নভেম্বর 2022 এক্সচেঞ্জ সফ্টওয়্যার আপডেটে 29 সেপ্টেম্বর 2022-এ প্রকাশ্যে রিপোর্ট করা শূন্য-দিনের দুর্বলতার জন্য সংশোধন করা হয়েছে।

আপনাকে যা করতে হবে তা হল এক্সচেঞ্জ আপগ্রেড করা।

জি, ধন্যবাদ মাইক্রোসফ্ট... আমি মনে করি আমরা জানতাম যে প্যাচগুলি অবশেষে বেরিয়ে আসার সময় আমাদের এটাই করতে হবে!

সুতরাং, তারা *আউট* এবং সেখানে দুটি শূন্য-দিন স্থির আছে, কিন্তু তারা নতুন নয়, এবং তারা প্রযুক্তিগতভাবে "প্যাচ মঙ্গলবার" অংশে নেই।

সেখানে, আমাদের আরও চারটি শূন্য-দিন নির্দিষ্ট আছে।

এবং যদি আপনি প্যাচগুলিকে অগ্রাধিকার দিতে বিশ্বাস করেন, তবে অবশ্যই সেগুলিই আপনি প্রথমে মোকাবেলা করতে চান, কারণ কেউ ইতিমধ্যে জানেন যে কীভাবে তাদের সাথে খারাপ কাজ করতে হয়।

সেগুলি একটি নিরাপত্তা বাইপাস থেকে শুরু করে দুটি উচ্চতা-অধিকার এবং একটি দূরবর্তী কোড সম্পাদন পর্যন্ত।

কিন্তু এর থেকেও বেশি আছে মোট 60টি প্যাচ, এবং আপনি যদি প্রভাবিত পণ্য এবং উইন্ডোজ উপাদানগুলির সামগ্রিক তালিকাটি দেখেন, সেখানে একটি বিশাল তালিকা রয়েছে, যথারীতি, যা আপনি শুনেছেন এমন প্রতিটি উইন্ডোজ উপাদান/পণ্য নিয়ে যায় এবং অনেকগুলি আপনি সম্ভবত করেননি।

মাইক্রোসফ্ট কেরবেরোস, এবং মার্ক অফ দ্য ওয়েব, এবং এক্সচেঞ্জ সহ 62টি দুর্বলতা প্যাচ করে…

তাই, বরাবরের মতো: দেরি করবেন না/আজই করুন, ডগলাস!

---

DOUG.  খুব ভালো.

আসুন এখন বেশ বিলম্বের কথা বলি...

আপনি সম্পর্কে একটি খুব আকর্ষণীয় গল্প আছে সিল্ক রোড ওষুধের বাজার, এবং একটি অনুস্মারক যে অপরাধীরা অপরাধীদের কাছ থেকে চুরি করা এখনও একটি অপরাধ, এমনকি যদি এটি কিছু দশ বছর পরে হয় যে আপনি আসলে এর জন্য ধরা পড়েন।

সিল্ক রোড ড্রাগস মার্কেট হ্যাকার দোষ স্বীকার করেছে, 20 বছরের ভিতরে মুখোমুখি হয়েছে

---

হাঁস.  হ্যাঁ, এমনকি যারা সাইবার সিকিউরিটি বা অনলাইনে যেতে একেবারে নতুন তারা সম্ভবত "সিল্ক রোড" এর কথা শুনে থাকবেন, সম্ভবত প্রথম সুপরিচিত, বিগটাইম, ব্যাপক, ব্যাপকভাবে ব্যবহৃত ডার্ক ওয়েব মার্কেটপ্লেস যেখানে মূলত কিছু যায়।

সুতরাং, যে সব 2013 সালে অগ্নিদগ্ধ হয়েছে.

কারণ প্রতিষ্ঠাতা, মূলত শুধুমাত্র হিসাবে পরিচিত ভয় পাইরেট রবার্টs, কিন্তু শেষ পর্যন্ত হতে প্রকাশ রস উলব্রিচ্ট…তার দুর্বল অপারেশনাল সিকিউরিটি তার সাথে কাজগুলোকে বাঁধার জন্য যথেষ্ট।

সিল্ক রোডের প্রতিষ্ঠাতা রস উলব্রিখ্ট প্যারোলে ছাড়াই জীবন পান

শুধুমাত্র তার অপারেশনাল নিরাপত্তাই খুব ভালো ছিল না, মনে হচ্ছে 2012 সালের শেষের দিকে, তারা (আপনি কি বিশ্বাস করতে পারেন, ডগ?) একটি ক্রিপ্টোকারেন্সি পেমেন্ট প্রসেসিং ভুল…

---

DOUG.  [মক আতঙ্কে হাঁপাচ্ছে]

---

হাঁস.  …যে ধরনের আমরা এর পর থেকে বহুবার বারবার দেখেছি, যেটি সঠিকভাবে ডাবল এন্ট্রি অ্যাকাউন্টিং করতে পারেনি, যেখানে প্রতিটি ডেবিটের জন্য একটি সংশ্লিষ্ট ক্রেডিট রয়েছে এবং এর বিপরীতে।

এবং এই আক্রমণকারী আবিষ্কার করেছে, আপনি যদি আপনার অ্যাকাউন্টে কিছু টাকা রাখেন এবং তারপর খুব দ্রুত তা অন্য অ্যাকাউন্টে পরিশোধ করেন, তাহলে সিস্টেমটি বুঝতে পারার আগে যে প্রথম ডেবিট হয়ে গেছে, আপনি একই বিটকয়েনের পাঁচ গুণ (বা তারও বেশি) অর্থ পরিশোধ করতে পারবেন। মাধ্যম.

সুতরাং আপনি মূলত কিছু টাকা রাখতে পারেন এবং তারপরে বারবার এটি তুলে নিতে পারেন এবং একটি বড় লুকিয়ে রাখতে পারেন…

…এবং তারপরে আপনি যাকে "ক্রিপ্টোকারেন্সি মিল্কিং লুপ" বলতে পারেন সেদিকে ফিরে যেতে পারেন।

এবং এটি অনুমান করা হয়েছে… তদন্তকারীরা নিশ্চিত ছিলেন না যে তিনি তার নিজের 200 থেকে 2000 বিটকয়েন দিয়ে শুরু করেছিলেন (সেগুলি সেগুলি কিনেছিল বা আমার, আমরা জানি না), এবং তিনি খুব দ্রুত সেগুলিকে পরিণত করেছিলেন, এটির জন্য অপেক্ষা করুন, ডগ: 50,0000 বিটকয়েন!

---

DOUG.  কি দারুন!

---

হাঁস.  50,000 এরও বেশি বিটকয়েন, ঠিক তেমনই।

এবং তারপর, স্পষ্টতই অনুমান করে যে কেউ লক্ষ্য করতে চলেছে, তিনি 50,000 বিটকয়েন নিয়ে এগিয়ে থাকার সময় কেটে-দৌড়েছেন...

…প্রতিটির মূল্য একটি আশ্চর্যজনক $12, মাত্র কয়েক বছর আগে এক শতাংশের ভগ্নাংশ থেকে। [হাসি]

তাই তিনি $600,000 দিয়ে বন্ধ করেছেন, ঠিক সেই মত, ডগ।

[ড্রামাটিক পজ]

নয় বছর পর…

[হাসি]

…প্রায় *ঠিক* নয় বছর পর, যখন তাকে আটক করা হয় এবং তার বাড়িতে একটি ওয়ারেন্টের অধীনে অভিযান চালানো হয়, পুলিশরা অনুসন্ধান করতে গিয়ে তার পায়খানায় কম্বলের স্তূপ খুঁজে পায়, যার নীচে একটি পপকর্ন টিন লুকানো ছিল।

আপনার পপকর্ন রাখার অদ্ভুত জায়গা।

যার ভিতরে ছিল এক ধরণের কম্পিউটারাইজড কোল্ড ওয়ালেট।

যার ভেতরে ছিল বিটকয়েনের একটি বড় অংশ!

যে সময়ে তাকে আটক করা হয়েছিল, বিটকয়েন ছিল $65,535 (বা 2¹⁶-1) প্রতিটি।

অন্তর্বর্তী সময়ে তারা এক হাজার গুণেরও বেশি উপরে উঠেছিল।

সুতরাং, সেই সময়ে, এটি ছিল সবচেয়ে বড় ক্রিপ্টোকয়েন আবক্ষ!

নয় বছর পরে, দৃশ্যত তার অর্জিত লাভগুলি নিষ্পত্তি করতে অক্ষম হয়ে, হয়ত ভয় পেয়েছিলেন যে এমনকি যদি তিনি সেগুলিকে ধাক্কা দেওয়ার চেষ্টা করেন তবে সমস্ত আঙ্গুলগুলি তার দিকে ফিরে আসবে ...

…তার কাছে এই সব $3 বিলিয়ন মূল্যের বিটকয়েন রয়েছে যা নয় বছর ধরে পপকর্ন টিনের মধ্যে বসে আছে!

---

DOUG.  আমার সৌভাগ্য.

---

হাঁস.  তাই, এত বছর ধরে এই ভীতিকর গুপ্তধনের উপর বসে ভাবছিল যে সে ধরা পড়বে কিনা, এখন সে ভাবছে, "আমি আর কতদিন জেলে যাব?"

আর তার সর্বোচ্চ সাজা কোন অভিযোগে?

20 বছর, ডগ.

---

DOUG.  এই মুহূর্তে আরেকটি মজার গল্প চলছে। আপনি যদি ইদানীং টুইটারে থাকেন তবে আপনি জানতে পারবেন যে সেখানে প্রচুর কার্যকলাপ রয়েছে। কূটনৈতিকভাবে বলতে…

---

হাঁস.  [নিম্ন-থেকে-মাঝারি মানের বব ডিলান ছদ্মবেশ] ভাল, সময়, তারা পরিবর্তনশীল।

---

DOUG.  …এক সময়ে যাচাই করা নীল চেকের জন্য $20 চার্জ করার ধারণা সহ, যা অবশ্যই, প্রায় সঙ্গে সঙ্গে কিছু কেলেঙ্কারী প্ররোচিত করেছে.

টুইটার ব্লু ব্যাজ ইমেল স্ক্যাম - তাদের জন্য পড়ে যাবেন না!

---

হাঁস.  এটা শুধু একটি অনুস্মারক, ডগ, যে যখনই এমন কিছু আছে যা প্রচুর আগ্রহ আকর্ষণ করেছে, দুর্বৃত্তরা অবশ্যই অনুসরণ করবে।

এবং এর ভিত্তি ছিল, “আরে, কেন তাড়াতাড়ি উঠবেন না? যদি আপনি ইতিমধ্যে একটি নীল চিহ্ন পেয়েছেন, অনুমান কি? আপনি যদি আগে থেকে নিবন্ধন করেন তাহলে আপনাকে মাসে $19.99 দিতে হবে না। আমরা আপনাকে এটি রাখতে দেব।"

আমরা জানি যে এটি এলন মাস্কের ধারণা ছিল না, যেমনটি তিনি বলেছিলেন, তবে এটি এমন জিনিস যা অনেক ব্যবসা করে, তাই না?

আপনি যদি পরিষেবার সাথে থাকেন তবে প্রচুর সংস্থা আপনাকে এক ধরণের সুবিধা দেবে।

তাই এটা সম্পূর্ণ অবিশ্বাস্য নয়।

আপনি যেমন বলুন… আপনি এটা কি দিয়েছেন?

বি-বিয়োগ, এটা ছিল?

---

DOUG.  আমি প্রাথমিক ইমেলটিকে একটি বি-বিয়োগ দিচ্ছি… আপনি যদি এটি দ্রুত পড়েন তবে আপনি সম্ভবত প্রতারিত হতে পারেন, তবে কিছু ব্যাকরণ সমস্যা রয়েছে; জিনিস ঠিক মনে হয় না.

এবং তারপর আপনি একবার ক্লিক করুন, আমি ল্যান্ডিং পেজ সি-বিয়োগ দিতে চাই.

যে এমনকি dicier পায়.

---

হাঁস.  যে 5/10 এবং 6/10 এর মধ্যে কোথাও?

---

DOUG.  হ্যাঁ, সেটাই বলা যাক।

এবং আমাদের কিছু পরামর্শ আছে, যাতে এটি একটি A-প্লাস কেলেঙ্কারী হলেও, এটি কোন ব্যাপার না কারণ আপনি যেভাবেই হোক এটিকে ব্যর্থ করতে সক্ষম হবেন!

আমার ব্যক্তিগত প্রিয় দিয়ে শুরু করছি: একটি পাসওয়ার্ড পরিচালক ব্যবহার করুন.

স্ক্যামের ক্ষেত্রে পাসওয়ার্ড ম্যানেজার অনেক সমস্যার সমাধান করে।

---

হাঁস.  এটা করে.

একজন পাসওয়ার্ড ম্যানেজারের কোনো মানুষের মতো বুদ্ধিমত্তা নেই যা এই সত্য দ্বারা বিভ্রান্ত হতে পারে যে সুন্দর ছবি সঠিক, বা লোগোটি নিখুঁত, বা ওয়েব ফর্মটি ঠিক একই ফন্ট সহ স্ক্রিনে ঠিক সঠিক অবস্থানে রয়েছে। , তাই আপনি এটি চিনতে পারেন.

এটি যা জানে তা হল: "এই সাইটের কথা আগে কখনও শুনিনি।"

---

DOUG.  এবং অবশ্যই, আপনি যদি পারেন 2FA চালু করুন.

সম্ভব হলে সর্বদা প্রমাণীকরণের দ্বিতীয় ফ্যাক্টর যোগ করুন।

---

হাঁস.  অবশ্যই, এটি আপনাকে নিজের থেকে রক্ষা করবে না।

আপনি যদি একটি জাল সাইটে যান এবং আপনি সিদ্ধান্ত নেন, "আরে, এটি পিক্সেল-নিখুঁত, এটি অবশ্যই আসল চুক্তি হতে হবে", এবং আপনি লগ ইন করতে দৃঢ়প্রতিজ্ঞ, এবং আপনি ইতিমধ্যেই আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড দিয়ে রেখেছেন, এবং তারপর এটি আপনাকে 2FA প্রক্রিয়ার মধ্য দিয়ে যেতে বলে...

…আপনি এটা করতে খুব সম্ভবত.

যাইহোক, এটি আপনাকে "স্টপ" করার জন্য সামান্য সময় দেয়। ভাবুন। সংযোগ করুন।" জিনিস, এবং নিজেকে বলুন, "থাকুন, আমি এখানে কি করছি?"

সুতরাং, একটি উপায়ে, 2FA প্রবর্তন করা সামান্য বিলম্ব আসলে শুধুমাত্র খুব সামান্য ঝামেলাই হতে পারে না, বরং আপনার সাইবার নিরাপত্তা কর্মপ্রবাহকে উন্নত করার একটি উপায়ও হতে পারে... শুধুমাত্র পর্যাপ্ত গতির বাম্প উপস্থাপন করে যা আপনি সাইবার নিরাপত্তা নিতে আগ্রহী যে সামান্য বিট আরো গুরুতরভাবে.

তাই আমি দেখতে পাচ্ছি না কি খারাপ দিক, সত্যিই.

---

DOUG.  এবং অবশ্যই, আরেকটি কৌশল যা অনেক লোকের পক্ষে মেনে চলা কঠিন, কিন্তু খুব কার্যকর, তা হল ইমেলে লগইন লিঙ্ক এবং অ্যাকশন বোতাম এড়িয়ে চলুন.

তাই যদি আপনি একটি ইমেল পান, শুধু বোতামে ক্লিক করবেন না... সাইটে নিজেই যান এবং আপনি খুব দ্রুত বলতে পারবেন যে সেই ইমেলটি বৈধ ছিল কি না।

---

হাঁস.  মূলত, আপনি যদি প্রাথমিক চিঠিপত্রের উপর সম্পূর্ণরূপে বিশ্বাস করতে না পারেন, তাহলে আপনি এটির কোনো বিবরণের উপর নির্ভর করতে পারবেন না, আপনি যে লিঙ্কটিতে ক্লিক করতে যাচ্ছেন, যে ফোন নম্বরটিতে আপনি কল করতে যাচ্ছেন, যে ইমেল ঠিকানাটি আপনার আপনি যে ইনস্টাগ্রাম অ্যাকাউন্টে DM পাঠাতে যাচ্ছেন, তাতে তাদের সাথে যোগাযোগ করতে যাচ্ছি, সেটা যাই হোক না কেন।

ইমেইলে যা আছে তা ব্যবহার করবেন না... সেখানে আপনার নিজস্ব উপায় খুঁজুন, এবং আপনি এই ধরণের অনেক স্ক্যাম শর্ট সার্কিট করবেন।

---

DOUG.  এবং সবশেষে, শেষ কিন্তু অন্তত নয়... এটি সাধারণ জ্ঞান হওয়া উচিত, কিন্তু তা নয়: একটি অনিশ্চিত বার্তা প্রেরককে কখনই জিজ্ঞাসা করবেন না যে তারা বৈধ কিনা।

উত্তর দেবেন না এবং বলবেন না, "আরে, আপনি কি সত্যিই টুইটার?"

---

হাঁস.  হ্যাঁ, আপনি একেবারে সঠিক.

কারণ আমার পূর্বের পরামর্শ, “ইমেলের তথ্যের উপর নির্ভর করবেন না”, যেমন তাদের ফোন নম্বরে ফোন করবেন না… কিছু লোক যেতে প্রলুব্ধ হয়, “আচ্ছা, আমি ফোন নম্বরে কল করব এবং দেখব এটি সত্যিই কিনা তাদের হয়. [বিদ্রূপাত্মক] কারণ, স্পষ্টতই, রান্নার উত্তর দিলে, তারা তাদের আসল নাম দিতে চলেছে।"

---

DOUG.  যেমন আমরা সবসময় বলি: যদি সন্দেহ হয়/এটা দেবেন না.

এবং এটি একটি ভাল সতর্কতামূলক গল্প, এই পরবর্তী গল্প: যখন নিরাপত্তা স্ক্যান, যা বৈধ নিরাপত্তা সরঞ্জাম, তাদের উচিত তার চেয়ে বেশি প্রকাশ করা, তাহলে কি হবে?

সর্বজনীন URL স্ক্যানিং সরঞ্জাম - যখন নিরাপত্তা নিরাপত্তাহীনতার দিকে পরিচালিত করে

---

হাঁস.  এটি জার্মানির ফ্যাবিয়ান ব্রাউনলেইন নামে একজন সুপরিচিত গবেষক… আমরা তাকে আগেও কয়েকবার দেখিয়েছি।

শিরোনামে একটি বিস্তারিত প্রতিবেদন নিয়ে তিনি ফিরে এসেছেন urlscan.ioএর SOAR স্পট: চ্যাটি নিরাপত্তা সরঞ্জাম ব্যক্তিগত তথ্য ফাঁস.

এবং এই ক্ষেত্রে, এটা urlscan.io, একটি ওয়েবসাইট যা আপনি বিনামূল্যে ব্যবহার করতে পারেন (অথবা একটি অর্থপ্রদানের পরিষেবা হিসাবে) যেখানে আপনি একটি URL, বা একটি ডোমেন নাম, বা একটি আইপি নম্বর, বা যাই হোক না কেন জমা দিতে পারেন এবং আপনি দেখতে পারেন, “সমাজ কী জানে এই সম্পর্কে?"

এবং এটি সম্পূর্ণ URL প্রকাশ করবে যা অন্য লোকেরা জিজ্ঞাসা করেছে।

এবং এটি কেবল এমন জিনিস নয় যা লোকেরা তাদের নিজস্ব পছন্দ অনুসারে কপি-পেস্ট করে।

কখনও কখনও, তাদের ইমেল, উদাহরণস্বরূপ, একটি থার্ড-পার্টি ফিল্টারিং টুলের মধ্য দিয়ে যেতে পারে যা নিজেই ইউআরএল বের করে, বাড়িতে কল করে urlscan.io, অনুসন্ধান করে, ফলাফল পায় এবং আবর্জনা, স্প্যাম-ব্লক বা বার্তাটি পাস করার সিদ্ধান্ত নিতে এটি ব্যবহার করে।

এবং এর মানে হল যে কখনও কখনও, যদি URL-এ গোপন বা আধা-গোপন ডেটা, ব্যক্তিগতভাবে শনাক্তযোগ্য তথ্য অন্তর্ভুক্ত থাকে, তবে অন্য লোকেরা যারা অল্প সময়ের মধ্যে সঠিক ডোমেন নাম অনুসন্ধান করতে পেরেছিল তারা সমস্ত ইউআরএল দেখতে পাবে যার জন্য অনুসন্ধান করা হয়েছিল URL-এ থাকতে পারে এমন জিনিস।

আপনি জানেন, পছন্দ blahblah?username=doug&passwordresetcode= একটি দীর্ঘ স্ট্রিং হেক্সাডেসিমেল অক্ষর দ্বারা অনুসরণ, এবং তাই।

এবং Bräunlein ইউআরএলগুলির একটি আকর্ষণীয় তালিকা নিয়ে এসেছেন, বিশেষ করে যেগুলি ইমেলে প্রদর্শিত হতে পারে, যা নিয়মিতভাবে ফিল্টারিংয়ের জন্য তৃতীয় পক্ষের কাছে পাঠানো হতে পারে এবং তারপরে অনুসন্ধানের জন্য সূচীভুক্ত হতে পারে।

তিনি যে ধরনের ইমেলগুলি দেখেছিলেন তা অবশ্যই শোষণযোগ্য ছিল, তবে এতে সীমাবদ্ধ ছিল না: অ্যাকাউন্ট তৈরির লিঙ্ক; আমাজন উপহার বিতরণ লিঙ্ক; API কী; ডকুসাইন স্বাক্ষর করার অনুরোধ; ড্রপবক্স ফাইল স্থানান্তর; প্যাকেজ ট্র্যাকিং; পাসওয়ার্ড রিসেট; পেপ্যাল ​​চালান; গুগল ড্রাইভ ডকুমেন্ট শেয়ারিং; শেয়ারপয়েন্ট আমন্ত্রণ; এবং নিউজলেটার আনসাবস্ক্রাইব লিঙ্ক.

শেয়ারপয়েন্ট, গুগল ড্রাইভ, পেপ্যাল ​​ইত্যাদিতে আঙুল তুলে না।

সেগুলি এমন URLগুলির উদাহরণ ছিল যা তিনি দেখেছিলেন যেগুলি এইভাবে সম্ভাব্য শোষণযোগ্য ছিল৷

---

DOUG.  আমরা সেই প্রবন্ধের শেষে কিছু উপদেশ পেয়েছি, যা নিচের দিকে ফুটে উঠেছে: Bräunlein-এর রিপোর্ট পড়ুন; পড়া urlscan.ioএর ব্লগ পোস্ট; আপনার নিজের একটি কোড পর্যালোচনা করুন; আপনার যদি কোড থাকে যা অনলাইন নিরাপত্তা লুকআপ করে; অনলাইন জমা দেওয়ার জন্য কী গোপনীয়তা বৈশিষ্ট্য বিদ্যমান তা জানুন; এবং, গুরুত্বপূর্ণভাবে, আপনি যদি এটি দেখেন তবে একটি অনলাইন পরিষেবাতে কীভাবে দুর্বৃত্ত ডেটা রিপোর্ট করবেন তা শিখুন।

আমি লক্ষ্য করেছি যে তিনটি… বাছাই-এর লিমেরিকস?

এই নিবন্ধের শেষে খুব সৃজনশীল মিনি-কবিতা…

---

হাঁস.  [মক হরর] না, তারা লিমেরিকস নয়! Limericks একটি খুব আনুষ্ঠানিক পাঁচ লাইন গঠন আছে...

---

DOUG.  [হাসছেন] আমি খুব দুঃখিত. সেটা সত্য!

---

হাঁস.  …মিটার এবং ছড়া উভয়ের জন্য।

খুব কাঠামোগত, ডগ!

---

DOUG.  আমি খুব দুঃখিত, তাই সত্য. [হাসি]

---

হাঁস.  এই শুধু ডগারেল. [হাসি]

আরেকবার: যদি সন্দেহ হয়/এটা দেবেন না.

এবং আপনি যদি তথ্য সংগ্রহ করছেন: যদি এটির মধ্যে না থাকে/এটি সরাসরি বিনে আটকে দিন.

এবং আপনি যদি এমন কোড লিখছেন যা সর্বজনীন API কল করে যা গ্রাহকের ডেটা প্রকাশ করতে পারে: আপনার ব্যবহারকারীদেরকে কখনই কাঁদাতে দেবেন না/আপনি যেভাবে API কল করেন তার দ্বারা.

---

DOUG.  [হাসি] এটি আমার জন্য একটি নতুন, এবং আমি এটিকে খুব পছন্দ করি!

এবং শেষ, তবে অবশ্যই এখানে আমাদের তালিকায় অন্তত নয়, আমরা এই OpenSSL নিরাপত্তা বাগ সম্পর্কে সপ্তাহের পর সপ্তাহ কথা বলছি।

এখন বড় প্রশ্ন হল, "কিভাবে বলতে পারেন কি ঠিক করতে হবে?"

ওপেনএসএসএল সুরক্ষা আপডেটের গল্প - আপনি কীভাবে বলতে পারেন কী ঠিক করা দরকার?

---

হাঁস.  প্রকৃতপক্ষে, ডগ, আমরা কীভাবে জানব যে OpenSSL-এর কোন সংস্করণ আমরা পেয়েছি?

এবং স্পষ্টতই, লিনাক্সে, আপনি শুধু একটি কমান্ড প্রম্পট খুলুন এবং টাইপ করুন openssl version, এবং এটি আপনাকে বলে যে আপনি যে সংস্করণটি পেয়েছেন৷

কিন্তু ওপেনএসএসএল একটি প্রোগ্রামিং লাইব্রেরি, এবং এমন কোন নিয়ম নেই যা বলে যে সফ্টওয়্যারের নিজস্ব সংস্করণ থাকতে পারে না।

আপনার ডিস্ট্রো ওপেনএসএসএল 3.0 ব্যবহার করতে পারে, এবং তবুও একটি অ্যাপ আছে যা বলে, “ওহ, না, আমরা নতুন সংস্করণে আপগ্রেড করিনি। আমরা OpenSSL 1.1.1 পছন্দ করি, কারণ এটি এখনও সমর্থিত, এবং যদি আপনার কাছে এটি না থাকে, আমরা আমাদের নিজস্ব সংস্করণ নিয়ে আসছি।"

এবং তাই, দুর্ভাগ্যবশত, ঠিক সেই কুখ্যাত Log4Shell কেসের মতো, আপনাকে তিনজনকে খুঁজতে যেতে হয়েছিল? 12? 154? কে জানে-আপনার নেটওয়ার্কে কতগুলি জায়গা যেখানে আপনার একটি পুরানো Log4J প্রোগ্রাম থাকতে পারে।

OpenSSL এর জন্য একই।

তাত্ত্বিকভাবে, XDR বা EDR সরঞ্জামগুলি আপনাকে বলতে সক্ষম হতে পারে, কিন্তু কেউ কেউ এটিকে সমর্থন করবে না এবং অনেকে এটিকে নিরুৎসাহিত করবে: আসলে এটি কোন সংস্করণ তা খুঁজে বের করতে প্রোগ্রামটি চালাচ্ছে।

কারণ, সর্বোপরি, যদি এটি বগি বা ভুল হয়, এবং আপনাকে আসলে এটির নিজস্ব সংস্করণ রিপোর্ট করার জন্য প্রোগ্রামটি চালাতে হবে…

…এটা ঘোড়ার আগে গাড়ি রাখার মতো মনে হয়, তাই না?

তাই আমরা সেই বিশেষ ক্ষেত্রেগুলির জন্য একটি নিবন্ধ প্রকাশ করেছি যেখানে আপনি আসলে DLL, বা ভাগ করা লাইব্রেরি লোড করতে চান এবং আপনি আসলে এটির নিজস্ব কল করতে চান TellMeThyVersion() সফ্টওয়্যার কোড।

অন্য কথায়, আপনি প্রোগ্রামটিকে যথেষ্ট বিশ্বাস করেন যে আপনি মেমরিতে লোড করবেন, এটি কার্যকর করবেন এবং এর কিছু উপাদান চালাবেন।

আমরা আপনাকে দেখাই যে কীভাবে এটি করতে হয় যাতে আপনি নিশ্চিত করতে পারেন যে আপনার নেটওয়ার্কে থাকা যেকোন বহির্মুখী OpenSSL ফাইলগুলি আপ টু ডেট।

কারণ যদিও এটি CRITICAL থেকে HIGH-এ নামিয়ে আনা হয়েছে, তবুও এটি একটি বাগ যা আপনার প্রয়োজন এবং ঠিক করতে চান!

---

DOUG.  এই বাগটির তীব্রতার বিষয়ে, আমরা একটি পেয়েছি আকর্ষণীয় প্রশ্ন নগ্ন নিরাপত্তা পাঠক Svet থেকে, যিনি লিখেছেন, অংশে:

এটি কীভাবে একটি বাগ যা শোষণের জন্য অত্যন্ত জটিল, এবং শুধুমাত্র পরিষেবা আক্রমণ অস্বীকার করার জন্য ব্যবহার করা যেতে পারে, উচ্চ হিসাবে শ্রেণীবদ্ধ করা হচ্ছে?

---

হাঁস.  হ্যাঁ, আমার মনে হয় তিনি এই বিষয়ে কিছু বলেছেন, "ওহ, ওপেনএসএল টিম কি CVSS-এর কথা শুনেনি?", যেটি একটি মার্কিন সরকারের মান, যদি আপনি চান, বাগগুলির ঝুঁকি এবং জটিলতার স্তরকে এমনভাবে এনকোড করার জন্য যা হতে পারে স্বয়ংক্রিয়ভাবে স্ক্রিপ্ট দ্বারা ফিল্টার করা হয়।

তাই যদি এটি একটি কম CVSS স্কোর পায় (যা হয় প্রচলিত ক্ষতিগ্রস্থতা স্কোরিং সিস্টেম), কেন মানুষ এটা সম্পর্কে উত্তেজিত হচ্ছে?

কেন এটা উচ্চ হতে হবে?

এবং তাই আমার উত্তর ছিল, "কেন * এটি উচ্চ হওয়া উচিত নয়?"

এটি একটি ক্রিপ্টোগ্রাফিক ইঞ্জিনে একটি বাগ; এটি একটি প্রোগ্রাম ক্র্যাশ করতে পারে, বলুন, এটি একটি আপডেট পাওয়ার চেষ্টা করছে… তাই এটি বারবার ক্র্যাশ হবে, যা পরিষেবা অস্বীকার করার চেয়ে একটু বেশি, কারণ এটি আসলে আপনাকে আপনার নিরাপত্তা সঠিকভাবে করতে বাধা দিচ্ছে।

নিরাপত্তা বাইপাস একটি উপাদান আছে.

এবং আমি মনে করি উত্তরের অন্য অংশটি হল, যখন দুর্বলতাগুলিকে শোষণে পরিণত করার কথা আসে: "কখনও বলবেন না!"

যখন আপনার কাছে স্ট্যাক বাফার ওভারফ্লো মত কিছু থাকে, যেখানে আপনি স্ট্যাকের অন্যান্য ভেরিয়েবলগুলিকে ম্যানিপুলেট করতে পারেন, সম্ভবত মেমরির ঠিকানাগুলি সহ, সেখানে সর্বদা সুযোগ থাকে যে কেউ একটি কার্যকর শোষণ বের করতে পারে।

এবং সমস্যা, ডগ, একবার তারা এটি বের করে ফেললে, এটি বের করা কতটা জটিল ছিল তা বিবেচ্য নয়…

...একবার আপনি এটিকে কীভাবে কাজে লাগাতে হয় তা জানলে, *যেকেউ* এটি করতে পারে, কারণ আপনি এটি করার জন্য তাদের কোড বিক্রি করতে পারেন।

আমি মনে করি আপনি জানেন আমি কি বলতে যাচ্ছি: "এমন নয় যে আমি এটি সম্পর্কে দৃঢ়ভাবে অনুভব করি।"

[হাসি]

এটা আবার, “তারা করলে অভিশপ্ত, না করলে অভিশপ্ত” জিনিসগুলির মধ্যে একটি।

---

DOUG.  খুব ভাল, আপনাকে অনেক ধন্যবাদ, Svet, এই মন্তব্যটি লেখার জন্য এবং এটি পাঠানোর জন্য।

যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।

আপনি tips@sophos.com-এ ইমেল করতে পারেন, আপনি আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @nakedsecurity.

এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য অনেক ধন্যবাদ

পল ডকলিনের জন্য, আমি ডগ আমথ, পরের বার পর্যন্ত আপনাকে মনে করিয়ে দিচ্ছি...

---

উভয়।  নিরাপদ থাকুন!