S3 Ep112: ডেটা লঙ্ঘন আপনাকে একাধিকবার তাড়িত করতে পারে! [অডিও + পাঠ্য]

যেকোন বিন্দুতে এড়িয়ে যেতে নীচের সাউন্ডওয়েভগুলিতে ক্লিক করুন এবং টেনে আনুন। আপনি এটিও করতে পারেন সরাসরি শুনুন সাউন্ডক্লাউডে।

DOUG.  সিম অদলবদল, শূন্য-দিন, [নাটকীয় ভয়েস] পিং অফ ডেথ, এবং লাস্টপাস... আবার।

নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে সবাইকে স্বাগতম।

আমি ডগ আমথ।

আমার সাথে, বরাবরের মতো, পল ডকলিন।

পল, আপনি কিভাবে করবেন?

---

হাঁস.  খুব ভাল, ডগ.

আপনি সেই ভূমিকায় কিছু উচ্চ ড্রামা সাউন্ড রেখেছেন, আমি দেখে খুশি!

---

DOUG.  আচ্ছা, আপনি কীভাবে "মৃত্যুর পিং" না বলে [ডুম মেটাল গর্জল] "মৃত্যুর পিং" বলবেন?

আপনি শুধু [মৃদু কণ্ঠে] "মৃত্যুর পিং" বলতে পারবেন না।

আপনাকে এটিকে কিছুটা ঘুষি দিতে হবে...

---

হাঁস.  আমারও তাই মনে হচ্ছে.

এটা লেখার মধ্যে ভিন্ন – আপনি কি পেয়েছেন?

সাহসী এবং তির্যক।

আমি শুধু সাধারণ পাঠ্যের সাথে গিয়েছিলাম, কিন্তু আমি বড় অক্ষর ব্যবহার করেছি, যা সাহায্য করে।

---

DOUG.  হ্যাঁ, আমি মনে করি আমি "মৃত্যু" শব্দটিকে সাহসী এবং তির্যকভাবে ব্যবহার করব, তাই [পুনরায় ডুম মেটাল] "দ্য পিং অফ ডেথ"।

---

হাঁস.  এবং একাধিক রং ব্যবহার করুন!

আমি যে পরের বার করব, ডগ.

---

DOUG.  পুরাতন ভেঙ্গে আউট এইচটিএমএল ট্যাগ, এটা একটু পলক করা? [হাসি]

---

হাঁস.  ডগ, এক মুহুর্তের জন্য, আমি চিন্তিত ছিলাম যে আপনি শব্দটি ব্যবহার করতে যাচ্ছেন [হাসি] .

---

DOUG.  [হাসি] আমরা এখানে পুরানো জিনিস পছন্দ করি!

এবং যে আমাদের সঙ্গে সুন্দরভাবে dovetails প্রযুক্তির ইতিহাসে এই সপ্তাহ সেগমেন্ট - আমি এটি সম্পর্কে উত্তেজিত কারণ আমি এটি সম্পর্কে শুনিনি, কিন্তু এটি জুড়ে হোঁচট খেয়েছি।

এই সপ্তাহে, 04 ডিসেম্বর 2001-এ, Goner কীটটি লাভ বাগ ভাইরাসের তুলনায় দ্বিতীয় গতিতে ইন্টারনেটে তাণ্ডব চালায়।

গোনার মাইক্রোসফ্ট আউটলুকের মাধ্যমে ছড়িয়ে পড়ে, এবং মৃত্যুদন্ড কার্যকর করার সময় সন্দেহাতীত শিকারদের একটি মজার স্ক্রিন সেভারের প্রতিশ্রুতি দেয়।

---

হাঁস.  গোনার…

আমি মনে করি এটি সেই নামটি পেয়েছে কারণ শেষে একটি পপআপ ছিল, তাই না, যে পেন্টাগন উল্লেখ করেছে?

কিন্তু এটি একটি শ্লেষ বলতে বোঝানো হয়েছিল - এটি ছিল "পেন্টা/গোন"।

এটি অবশ্যই সেই কীট ছিল যা মানুষকে মনে করিয়ে দেয় যে, আসলে, উইন্ডোজ স্ক্রিনসেভারগুলি কেবল এক্সিকিউটেবল প্রোগ্রাম।

সুতরাং, যদি আপনি বিশেষভাবে খুঁজছেন .EXE ফাইল, ভাল, তারা গুটিয়ে রাখা যেতে পারে .SCR (স্ক্রিনসেভার) ফাইলগুলিও।

আপনি যদি শুধুমাত্র ফাইলের নামগুলির উপর নির্ভর করে থাকেন তবে আপনি সহজেই প্রতারিত হতে পারেন।

এবং অনেক মানুষ ছিল, দুঃখজনকভাবে.

---

DOUG.  ঠিক আছে, আমরা পুরাতন স্কুল থেকে নতুন স্কুলে যাব।

আমরা LastPass সম্পর্কে কথা বলছি: একটি লঙ্ঘন ছিল; লঙ্ঘন নিজেই ভয়ানক ছিল না; কিন্তু সেই লঙ্ঘন এখন আরেকটি লঙ্ঘনের দিকে নিয়ে গেছে।

অথবা হয়তো এটি মূল লঙ্ঘনের একটি ধারাবাহিকতা?

LastPass পূর্ববর্তী লঙ্ঘনের কারণে গ্রাহক ডেটা লঙ্ঘন স্বীকার করে

---

হাঁস.  হ্যাঁ, লাস্টপাস মূলত পূর্ববর্তী লঙ্ঘনের ফলোআপ হিসাবে এটি সম্পর্কে লিখেছেন, যা আমি মনে করি আগস্ট 2022 ছিল, তাই না?

এবং আমরা সেই সময়ে যেমন বলেছিলাম, এটি লাস্টপাসের জন্য একটি খুব বিব্রতকর চেহারা ছিল।

কিন্তু লঙ্ঘনের সাথে সাথে, এটি সম্ভবত তাদের জনসংযোগ, বিপণন এবং (আমার ধারণা) তাদের বুদ্ধিবৃত্তিক সম্পত্তি বিভাগের জন্য আরও খারাপ ছিল, কারণ এটি মনে হয় প্রধান জিনিসটি ছিল তাদের ডেভেলপমেন্ট সিস্টেম থেকে উৎস কোড।

এবং লাস্টপাস লোকেদের আশ্বস্ত করতে দ্রুত ছিল...

প্রথমত, তাদের তদন্তে পরামর্শ দেওয়া হয়েছে যে, তারা সেখানে থাকাকালীন, দুর্বৃত্তরা এমন কোনো অননুমোদিত পরিবর্তন করতে সক্ষম হয়নি যা পরবর্তীতে প্রকৃত কোডে প্রবেশ করতে পারে।

দ্বিতীয়ত, ডেভেলপমেন্ট সিস্টেমে অ্যাক্সেস আপনাকে প্রোডাকশন সিস্টেমে অ্যাক্সেস দেয় না, যেখানে প্রকৃত কোড তৈরি করা হয়।

এবং তৃতীয়ত, তারা বলতে সক্ষম হয়েছিল যে মনে হচ্ছে কোনো এনক্রিপ্ট করা পাসওয়ার্ড ভল্ট চুরি হয়নি, তাই আপনার এনক্রিপ্ট করা পাসওয়ার্ডের ক্লাউড স্টোরেজ অ্যাক্সেস করা হয়নি।

এবং এমনকি যদি এটি অ্যাক্সেস করা হয়ে থাকে, তবে শুধুমাত্র আপনি পাসওয়ার্ডটি জানতেন, কারণ ডিক্রিপশন (আপনি যাকে "ভারী উত্তোলন" বলেছিলেন যখন আমরা পডকাস্টে এটি সম্পর্কে কথা বলেছিলাম) আসলে আপনার ডিভাইসে মেমরিতে করা হয় - LastPass কখনই আপনার দেখতে পায় না পাসওয়ার্ড

এবং তারপরে, চতুর্থত, তারা বলেছিল, যতদূর আমরা বলতে পারি, সেই লঙ্ঘনের ফলস্বরূপ, উন্নয়নের পরিবেশে থাকা কিছু জিনিস এখন হয় একই রকম দিয়েছে… অথবা সম্ভবত সম্পূর্ণ ভিন্ন লোড যারা ক্রয় করেছে। আগের অনেক তথ্য চুরি, কে জানে?

এটি তাদের এমন কিছু ক্লাউড পরিষেবাতে প্রবেশ করার অনুমতি দেয় যেখানে গ্রাহকের ডেটার কিছু এখনও স্পষ্টতই অজানা সেট চুরি হয়েছিল।

আমি মনে করি না তারা এখনও পুরোপুরি জানে, কারণ লঙ্ঘন হওয়ার পরে আসলে কী অ্যাক্সেস করা হয়েছিল তা বের করতে কিছুটা সময় লাগতে পারে।

তাই আমি মনে করি এটি বলা ন্যায্য যে এটি মূল লঙ্ঘনের বি-পাশের মতো।

---

DOUG.  ঠিক আছে, আমরা পরামর্শ দিচ্ছি যে আপনি যদি একজন LastPass গ্রাহক হন, তাহলে কোম্পানির নিরাপত্তা ঘটনার রিপোর্টে নজর রাখতে।

আমরা এই গল্পের উপর নজর রাখব কারণ এটি এখনও বিকাশ করছে।

এবং যদি আপনি, পল এবং আমার মতো, জীবিকার জন্য সাইবার ক্রাইমের বিরুদ্ধে লড়াই করেন, তাহলে Uber লঙ্ঘন থেকে কিছু চমৎকার পাঠ শিখতে হবে।

তাই এটি একটি পডকাস্ট পর্ব - একটি "মিনিসোড" - চেস্টার উইসনিউস্কির সাথে যা পল লাস্টপাস নিবন্ধের নীচে এম্বেড করেছেন:

S3 Ep100.5: উবার লঙ্ঘন – একজন বিশেষজ্ঞ কথা বলছেন [অডিও + পাঠ্য]

যে সামনে অনেক কিছু শেখার!

---

হাঁস.  আপনি যেমন বলছেন, এটি একটি দুর্দান্ত শোনা, কারণ আমি বিশ্বাস করি, আমেরিকাতে যা "অ্যাকশনেবল উপদেশ", বা "আপনি ব্যবহার করতে পারেন এমন খবর" হিসাবে পরিচিত।

---

DOUG.  [হাসি] বিস্ময়কর.

খবর-আপনি-সত্যিই-ব্যবহার করতে পারবেন না-এর কথা বলতে গেলে, অ্যাপল সাধারণত তার নিরাপত্তা আপডেট সম্পর্কে আঁটসাঁট থাকে... এবং একটি নিরাপত্তা আপডেট ছিল:

অ্যাপল আইওএস সিকিউরিটি আপডেটকে ঠেলে দিয়েছে যা আগের চেয়ে আরও বেশি আঁটসাঁট

---

হাঁস.  ওহ, ডগ, যে আপনার সেরা এক… আমি যে segue পছন্দ.

---

DOUG.  [হাসি] আপনাকে ধন্যবাদ; আপনাকে অনেক ধন্যবাদ.

---

হাঁস.  হ্যাঁ, এটা আমাকে অবাক করেছে।

আমি ভেবেছিলাম, "ঠিক আছে, আমি আপডেটটি ধরব কারণ এটি গুরুতর শোনাচ্ছে।"

এবং আমি নিজেকে কারণ দিয়েছিলাম, "আমাকে নগ্ন নিরাপত্তা পাঠকদের জন্য এটি করতে দিন।"

কারণ আমি যদি এটা করি এবং এর কোনো পার্শ্বপ্রতিক্রিয়া না থাকে, তাহলে আমি অন্তত অন্য লোকদের বলতে পারি, “দেখুন, আমি অন্ধভাবে এটা করেছি এবং আমার কোনো ক্ষতি হয়নি। তাই হয়তো তুমিও এটা করতে পারো।"

আমি হঠাৎ লক্ষ্য করলাম যে একটি iOS 16.1.2 আপডেট উপলব্ধ ছিল, যদিও আমার কাছে Apple থেকে কোনো নিরাপত্তা উপদেষ্টা ইমেল ছিল না।

কোন ইমেল নেই?!

এটা অদ্ভুত.. তাই আমি গিয়েছিলাম HT201222 পোর্টাল পৃষ্ঠা যা অ্যাপলের নিরাপত্তা বুলেটিনগুলির জন্য রয়েছে এবং সেখানে এটি ছিল: iOS 16.1.2।

এবং এটা কি বলে, ডগ, "বিস্তারিত শীঘ্রই অনুসরণ করা হবে"?

---

DOUG.  এবং তারা কি শীঘ্রই অনুসরণ করেছিল?

---

হাঁস.  ঠিক আছে, এটি এক সপ্তাহেরও বেশি আগে ছিল, এবং তারা এখনও সেখানে নেই।

তাহলে আমরা কি "শীঘ্রই" কথা বলছি যার অর্থ ঘন্টা, দিন, সপ্তাহ বা মাস?

এই মুহূর্তে, এটা সপ্তাহের মত দেখাচ্ছে.

এবং, অ্যাপলের সাথে বরাবরের মতো, অন্য কোন অপারেটিং সিস্টেমের সাথে কিছু করার কোন ইঙ্গিত নেই।

তারা কি ভুলে গেছে?

তাদের কি আপডেটের প্রয়োজন নেই?

তাদের কি আপডেটের প্রয়োজন ছিল, কিন্তু এটি এখনও প্রস্তুত নয়?

তারা কি সমর্থন থেকে বাদ পড়েছে?

কিন্তু এটা মনে হয়েছিল, যেমন আমি শিরোনামে বলেছি, অ্যাপলের জন্য স্বাভাবিকের চেয়েও বেশি টানটান ঠোঁট, এবং বিশ্বের সবচেয়ে সহায়ক জিনিসটি অপরিহার্য নয়।

---

DOUG.  ঠিক আছে, খুব ভাল… এখনও কিছু প্রশ্ন, যা আমাদের পরবর্তী গল্পে নিয়ে যায়।

একটি খুব আকর্ষণীয় প্রশ্ন!

কখনও কখনও, আপনি যখন কোনও পরিষেবার জন্য সাইন আপ করেন এবং এটি দ্বি-ফ্যাক্টর প্রমাণীকরণ প্রয়োগ করে, তখন এটি বলে, "আপনি কি পাঠ্য বার্তার মাধ্যমে বিজ্ঞপ্তি পেতে চান, নাকি আপনি একটি প্রমাণীকরণ অ্যাপ ব্যবহার করতে চান?"

এবং এই গল্পটি আপনার ফোন ব্যবহার না করার জন্য একটি সতর্কতামূলক গল্প - একটি প্রমাণীকরণ অ্যাপ ব্যবহার করুন, এমনকি এটি একটু বেশি কষ্টকর হলেও।

এটি একটি খুব আকর্ষণীয় গল্প:

$2 মিলিয়নের বেশি 20FA ক্রিপ্টোকারেন্সি চুরির জন্য সিম সোয়াপার কারাগারে পাঠানো হয়েছে

---

হাঁস.  এটা, ডগ!

আপনি যদি কখনও একটি মোবাইল ফোন হারিয়ে ফেলে থাকেন, বা অনেকবার ভুলভাবে পিন দিয়ে আপনার সিম কার্ড থেকে নিজেকে লক করে ফেলেন, আপনি জানতে পারবেন যে আপনি মোবাইল ফোনের দোকানে যেতে পারেন...

…এবং সাধারণত তারা আইডি বা অন্য কিছু জিজ্ঞাসা করবে এবং আপনি বলবেন, "আরে, আমার একটি নতুন সিম কার্ড দরকার।"

এবং তারা আপনার জন্য একটি তৈরি করবে।

আপনি যখন এটি আপনার ফোনে রাখেন, বিঙ্গো!… এটিতে আপনার পুরানো নম্বর রয়েছে৷

তাহলে এর মানে হল যে যদি একজন ক্রুক একই অনুশীলনের মধ্য দিয়ে যেতে পারে যে আপনি মোবাইল ফোন কোম্পানিকে বোঝাতে চান যে তারা তাদের সিম কার্ড "হারিয়েছে" বা "ভাঙা" করেছে (যেমন *আপনার সিম কার্ড*), এবং তারা পেতে পারে সেই কার্ডটি হয় তাদের হাতে দেওয়া হয়েছে, বা পাঠানো হয়েছে, বা কোনওভাবে তাদের দেওয়া হয়েছে…

…তারপর, যখন তারা এটিকে তাদের ফোনে প্লাগ করে, তারা আপনার SMS টু-ফ্যাক্টর প্রমাণীকরণ কোড পেতে শুরু করে, *এবং* আপনার ফোন কাজ করা বন্ধ করে দেয়।

এটা খারাপ খবর.

এই নিবন্ধে সুসংবাদটি হল এটি একটি চ্যাপের কেস যা এটির জন্য ফাঁস হয়ে গিয়েছিল।

তাকে 18 মাসের জন্য মার্কিন যুক্তরাষ্ট্রে কারাগারে পাঠানো হয়েছে।

তিনি, সহযোগীদের একটি গুচ্ছ সঙ্গে – বা, বিচার বিভাগের ভাষায়, স্কিম অংশগ্রহণকারীদের… [হাসি]

…তারা একটি নির্দিষ্ট ভিকটিম এর ক্রিপ্টোকারেন্সি নিয়ে তৈরি করেছে, দৃশ্যত $20 মিলিয়ন, যদি আপনি কিছু মনে না করেন।

---

DOUG.  ওফ!

---

হাঁস.  তাই তিনি দোষ স্বীকার করতে রাজি হয়েছিলেন, জেলের সাজা নিতে এবং অবিলম্বে বাজেয়াপ্ত করতে রাজি হয়েছিলেন... পরিমাণ ছিল [মনযোগ সহকারে পড়া] $983,010.72... ঠিক তখনই বাজেয়াপ্ত করার জন্য।

তাই, সম্ভবত, তিনি যে চারপাশে মিথ্যা ছিল.

এবং দৃশ্যত $20 মিলিয়নেরও বেশি ফেরত দেওয়ার জন্য তার কিছু ধরণের আইনি বাধ্যবাধকতা রয়েছে।

---

DOUG.  যে সঙ্গে সৌভাগ্য, সবাই! শুভকামনা।

তার অন্যান্য [কণ্ঠ তির্যক] স্কিম অংশগ্রহণকারীদের সেখানে কিছু সমস্যা হতে পারে! [হাসি]

---

হাঁস.  হ্যাঁ, আমি জানি না যদি তারাও সহযোগিতা করতে অস্বীকার করে তাহলে কি হবে।

যেমন, যদি তারা তাকে শুকানোর জন্য ঝুলিয়ে রাখে, তাহলে কি হবে?

কিন্তু আমরা কিছু টিপস পেয়েছি, এবং নিবন্ধে কীভাবে নিরাপত্তা বাড়াতে হয় (আপনি যে 2FA ব্যবহার করেন তার চেয়ে বেশি উপায়ে) কিছু পরামর্শ পেয়েছি।

তাই যান এবং যে পড়ুন… প্রতিটি সামান্য বিট সাহায্য করে.

---

DOUG.  ঠিক আছে, "ছোট বিট" এর কথা বলছি...

…এটা ছিল আরেকটা চমকপ্রদ গল্প, কেমন নিচু ping রিমোট কোড এক্সিকিউশন ট্রিগার করতে ব্যবহার করা যেতে পারে:

মৃত্যুর পিং! ফ্রিবিএসডি নেটওয়ার্ক টুলে ক্র্যাশস্ট্যাস্টিক বাগ সংশোধন করে

---

হাঁস.  আমি মনে করি আপনি নিজেকে উন্নত করেছেন, ডগ!

---

DOUG.  [হাসি] আমি আজ একটি রোল করছি...

---

হাঁস.  অ্যাপল থেকে [ডুম ভোকালের দুর্বল প্রচেষ্টা] পিং অফ ডেথ!

হ্যাঁ, এটি একটি আকর্ষণীয় বাগ ছিল।

আমি মনে করি না এটি সত্যিই অনেক লোকের ক্ষতির কারণ হবে, এবং এটি *প্যাচ* করা হয়েছে, তাই এটি ঠিক করা সহজ।

কিন্তু FreeBSD-এ একটি চমৎকার লেখা আছে নিরাপত্তা অ্যাডভাইসারির...

…এবং এটি একটি বিনোদনের জন্য তৈরি করে, এবং, যদি আমি নিজে বলি, বর্তমান প্রজন্মের প্রোগ্রামারদের জন্য একটি খুব তথ্যপূর্ণ গল্প যারা হয়তো নির্ভর করেছে,"তৃতীয়-পক্ষের লাইব্রেরিগুলি আমার জন্য এটি করবে। নিম্ন স্তরের নেটওয়ার্ক প্যাকেটের সাথে ডিল করছেন? আমাকে এটা নিয়ে ভাবতে হবে না..."

এখানে শেখার কিছু মহান পাঠ আছে.

সার্জারির ping ইউটিলিটি, যা একটি নেটওয়ার্ক টুল যা প্রায় সবাই এটি সম্পর্কে জানে, এটির নাম SONAR থেকে পেয়েছে।

আপনি যান [সিনেমা সাবমেরিন শব্দ করে] ping, এবং তারপর প্রতিধ্বনি অন্য প্রান্তে সার্ভার থেকে ফিরে আসে।

এবং এটি এমন একটি বৈশিষ্ট্য যা ইন্টারনেট প্রোটোকল, আইপি, আইসিএমপি নামে একটি জিনিস ব্যবহার করে, যা ইন্টারনেট কন্ট্রোল মেসেজ প্রোটোকল।

এটি একটি বিশেষ, নিম্ন-স্তরের প্রোটোকল, UDP বা TCP থেকে অনেক কম যা মানুষ সম্ভবত অভ্যস্ত, এটি প্রায় এই ধরনের জিনিসের জন্য ডিজাইন করা হয়েছে: "আপনি কি আসলেই অন্য প্রান্তে বেঁচে আছেন, আমি কেন উদ্বিগ্ন হওয়ার আগে আপনার ওয়েব সার্ভার কাজ করছে না?

"ICMP ইকো" নামে একটি বিশেষ ধরনের প্যাকেট আপনি পাঠাতে পারেন।

সুতরাং, আপনি এই ছোট ছোট প্যাকেটটিতে একটি ছোট বার্তা সহ পাঠান (বার্তাটি আপনার পছন্দের যেকোনো কিছু হতে পারে), এবং এটি কেবল সেই একই বার্তাটি আপনাকে ফেরত পাঠায়।

এটি বলার একটি প্রাথমিক উপায়, "যদি সেই বার্তাটি ফিরে না আসে, হয় নেটওয়ার্ক বা পুরো সার্ভারটি ডাউন হয়ে গেছে", বরং কম্পিউটারে কিছু সফ্টওয়্যার সমস্যা রয়েছে৷

SONAR-এর সাথে সাদৃশ্য অনুসারে, যে প্রোগ্রামটি এই ইকো অনুরোধগুলি পাঠায় তাকে বলা হয়... [বিরতি] আমি সাউন্ড ইফেক্ট করতে যাচ্ছি, ডগ ... [আবার নকল সাবমেরিন মুভির শব্দ] ping. [হাসি]

এবং ধারণা হল, আপনি যান, বলুন, ping -c3 (এর মানে তিনবার চেক করুন) nakedsecurity.sophos.com.

আপনি এখনই এটি করতে পারেন, এবং আমাদের সাইট হোস্ট করে এমন ওয়ার্ডপ্রেস সার্ভার থেকে আপনার তিনটি উত্তর পাওয়া উচিত, তাদের প্রতিটির এক সেকেন্ডের ব্যবধানে।

এবং এটা বলছে সাইট জীবিত.

এটা আপনাকে বলছে না যে ওয়েব সার্ভার আপ হয়েছে; এটা আপনাকে বলছে না যে ওয়ার্ডপ্রেস আপ হয়েছে; এটা বলছে না যে নেকেড সিকিউরিটি আসলে পড়ার জন্য উপলব্ধ।

তবে এটি অন্তত নিশ্চিত করে যে আপনি সার্ভারটি দেখতে পাচ্ছেন এবং সার্ভারটি আপনার কাছে পৌঁছাতে পারে।

এবং কে ভেবেছিল যে এই নিচু ছোট্ট পিং উত্তরটি ফ্রিবিএসডিকে ট্রিপ করতে পারে ping প্রোগ্রামটি এমনভাবে যাতে একটি দুর্বৃত্ত সার্ভার আটকে পড়া একটি "হ্যাঁ, আমি বেঁচে আছি" বার্তাটি ফেরত পাঠাতে পারে যা তাত্ত্বিকভাবে (শুধুমাত্র তাত্ত্বিকভাবে; আমি মনে করি না যে কেউ অনুশীলনে এটি করেছে) রিমোট কোড এক্সিকিউশন ট্রিগার করতে পারে। তোমার কম্পিউটার.

---

DOUG.  হ্যাঁ, এটা আশ্চর্যজনক; যে আশ্চর্যজনক অংশ.

এমনকি যদি এটি একটি প্রমাণ-অব-ধারণা হয়, এটি এমন একটি ছোট জিনিস!

---

হাঁস.  সার্জারির ping প্রোগ্রাম নিজেই পুরো আইপি প্যাকেট ফিরে পায়, এবং এটি দুটি অংশে বিভক্ত করার কথা।

সাধারণত, কার্নেল আপনার জন্য এটি পরিচালনা করবে, তাই আপনি কেবল ডেটা অংশটি দেখতে চান।

কিন্তু আপনি কি বলা হয় সঙ্গে ডিল করছি যখন কাঁচা সকেট, আপনি যা ফিরে পাবেন তা হল ইন্টারনেট প্রোটোকল হেডার, যা শুধু বলে, "আরে, এই বাইটগুলি অমুক এবং অমুক সার্ভার থেকে এসেছে।"

এবং তারপরে আপনি "ICMP ইকো রিপ্লাই" নামে একটি জিনিস পাবেন, যা আপনি যে প্যাকেটটি ফেরত পাবেন তার দ্বিতীয়ার্ধ।

এখন, এই প্যাকেটগুলি, তারা সাধারণত মাত্র 100 বাইট বা তার বেশি, এবং যদি এটি IPv4 হয়, প্রথম 20 বাইট হল IP শিরোনাম এবং বাকিগুলি, যাই হোক না কেন, ইকো উত্তর।

এটি বলার জন্য কয়েকটি বাইট রয়েছে, "এটি একটি ইকো উত্তর," এবং তারপরে আসল বার্তাটি ফিরে আসে।

এবং তাই সুস্পষ্ট জিনিস, ডগ, যখন আপনি এটি পাবেন, আপনি কি এটিকে ভাগ করেছেন…

…আইপি হেডার, যা 20 বাইট দীর্ঘ, এবং বাকি।

অনুমান করুন সমস্যা কোথায়?

---

DOUG.  বলতে পারা!

---

হাঁস.  সমস্যা হল যে আইপি শিরোনামগুলি *প্রায় সবসময় * 20 বাইট দীর্ঘ - আসলে, আমি মনে করি না যে আমি কখনও এমন একটি দেখেছি যা ছিল না।

এবং আপনি বলতে পারেন যে তারা 20 বাইট দীর্ঘ কারণ প্রথম বাইটটি হেক্সাডেসিমেল হবে 0x45.

“4” মানে IPv4, এবং “5”… “ওহ, হেডারটি কত লম্বা তা বলতে আমরা এটি ব্যবহার করব।”

আপনি সেই সংখ্যাটি 5 নিন এবং আপনি এটিকে 4 দ্বারা গুণ করুন (32-বিট মানের জন্য), এবং আপনি 20 বাইট পাবেন..

…এবং এটি সম্ভবত ছয় সিগমা মূল্যের আইপি হেডারের আকার যা আপনি সারা বিশ্বে দেখতে পাবেন, ডগ। [হাসি]

কিন্তু তারা *60 বাইট পর্যন্ত যেতে পারে।

রাখলে 0x4F পরিবর্তে 0x45, যা বলে হেডারে 0xF (বা দশমিকে 15) × 4 = 60 বাইট আছে।

এবং ফ্রিবিএসডি কোডটি কেবল সেই শিরোনামটি নিয়েছিল এবং এটিকে স্ট্যাকের একটি বাফারে অনুলিপি করেছে যেটির আকার ছিল 20 বাইট।

একটি সাধারণ, ওল্ড-স্কুল স্ট্যাক বাফার ওভারফ্লো।

এটি একটি সম্মানীয় নেটওয়ার্ক সমস্যা সমাধানের সরঞ্জামের একটি কেস যার মধ্যে একটি সম্মানীয় ধরণের বাগ রয়েছে৷ (ভাল, আর না।)

সুতরাং, আপনি যখন প্রোগ্রামিং করছেন এবং আপনাকে নিম্ন-স্তরের জিনিসগুলির সাথে মোকাবিলা করতে হবে যা যুগে যুগে কেউ সত্যিই চিন্তা করেনি, কেবলমাত্র প্রাপ্ত জ্ঞানের সাথে যাবেন না যা বলে, “ওহ, এটি সর্বদা 20 বাইট হবে; আপনি এর চেয়ে বড় কিছু দেখতে পাবেন না।"

কারণ একদিন তুমিও পারবে।

এবং যখন সেই দিনটি আসে, এটি ইচ্ছাকৃতভাবে সেখানে থাকতে পারে কারণ একটি বদমাশ এটি উদ্দেশ্যমূলকভাবে করেছে।

তাই শয়তান, সবসময় হিসাবে, প্রোগ্রামিং বিবরণ, ডগ.

---

DOUG.  ঠিক আছে, খুব আকর্ষণীয়; মহান গল্প

এবং আমরা ক্রোম সম্পর্কে এই চূড়ান্ত গল্পের সাথে কোডের বিষয়ে আটকে থাকব।

আরেকটি শূন্য-দিন, যা 2022-কে মোট নয় বারে নিয়ে আসে:

সংখ্যা নয়! ক্রোম আরও 2022 শূন্য-দিন ঠিক করে, এজও প্যাচ করা হয়েছে

---

হাঁস.  [আনুষ্ঠানিক ভয়েস, রেকর্ডিংয়ের মতো শোনাচ্ছে] "নম্বর 9. নম্বর 9. নম্বর 9, নম্বর 9," ডগলাস।

---

DOUG.  [হাসি] এটা কি ইয়োকো ওনো?

---

হাঁস.  এটা বিপ্লব 9 বিটলস "হোয়াইট অ্যালবাম" বন্ধ।

ইয়োকোকে সেই গানে ছটফট করতে শোনা যায় – যে সাউন্ডস্কেপ, আমি বিশ্বাস করি যে তারা এটিকে বলে – কিন্তু দৃশ্যত শুরুতে বিট যেখানে কেউ "নম্বর 9, 9 নম্বর" বারবার বলছে, এটি আসলে একটি টেস্ট টেপ ছিল যা তারা চারপাশে পড়ে থাকতে দেখেছিল।

---

DOUG.  আহ, খুব শান্ত.

---

হাঁস.  একজন ইএমআই ইঞ্জিনিয়ার কিছু বলছেন, "এটি ইএমআই টেস্ট টেপ নম্বর 9" [হাসি], এবং স্পষ্টতই আমি মনে করি না যে এটি কার কন্ঠ ছিল তা কেউ জানে।

ক্রোম, ডগের সাথে এর *কিছুই* করার নেই।

কিন্তু অন্য দিন ফেসবুকে কেউ একজন মন্তব্য করেছিল যে, “সেই পল লোকটি দেখতে বিটলের মতো হতে শুরু করেছে”… [কুয়াজিকাল] যা আমার কাছে কিছুটা অদ্ভুত লেগেছে।

---

DOUG.  [হাসি] হ্যাঁ, আপনি এটা কিভাবে নিতে অনুমিত হয়?

---

হাঁস.  …আমি ভেবেছিলাম আমি "নম্বর 9" এ খেতে পারব।

এটি এখন পর্যন্ত বছরের নবম শূন্য-দিন, মনে হচ্ছে, ডগ।

এবং এটি একটি এক-বাগ সমাধান, বাগটি CVE 2022-4282 হিসাবে চিহ্নিত করা হয়েছে৷

যেহেতু মাইক্রোসফ্ট এজ ক্রোমিয়াম ওপেন-সোর্স কোর ব্যবহার করে, এটিও দুর্বল ছিল এবং কয়েক দিন পরে, মাইক্রোসফ্ট এজের জন্য একটি আপডেট অনুসরণ করে।

তাই এটি একটি ক্রোম এবং একটি প্রান্ত সমস্যা উভয়.

যদিও সেই ব্রাউজারগুলিকে নিজেদের আপডেট করা উচিত, আমি যাইহোক চেক করার পরামর্শ দিচ্ছি – আমরা আপনাকে নিবন্ধে এটি কীভাবে করতে হবে তা দেখাচ্ছি – কেবল ক্ষেত্রে।

আমি এখানে সংস্করণ নম্বরগুলি পড়ব না কারণ সেগুলি ক্রোমে ম্যাক, লিনাক্স এবং উইন্ডোজের জন্য আলাদা এবং এজ এর জন্য আবার আলাদা।

অ্যাপলের মতো, গুগলও এই বিষয়ে কিছুটা আঁটসাঁট।

এটা তাদের হুমকি শিকার দলের দ্বারা পাওয়া গেছে, আমি বিশ্বাস করি.

তাই আমি কল্পনা করি যে তারা বন্য অঞ্চলে ঘটে যাওয়া একটি ঘটনার তদন্ত করার সময় এটি খুঁজে পেয়েছে, এবং তাই তারা সম্ভবত এটিকে তাদের টুপির নীচে রাখতে চায়, যদিও বাগ-ফিক্সিংয়ের ক্ষেত্রে Google সাধারণত "উন্মুক্ততা" সম্পর্কে অনেক কিছু বলে থাকে।

আপনি দেখতে পাচ্ছেন কেন, এইরকম একটি ক্ষেত্রে, এটি কীভাবে কাজ করে তা সবাইকে বলার আগে আপনি একটু গভীরভাবে খনন করতে কিছুটা সময় চাইতে পারেন।

---

DOUG.  চমৎকার... এবং আমাদের কাছে একটি পাঠক প্রশ্ন আছে যা সম্ভবত এমন একটি প্রশ্ন যা অনেকেই ভাবছেন।

ক্যাসান্দ্রা জিজ্ঞাসা করে, "বাগ সন্ধানকারীরা কি বাগ খুঁজে পেতে ভাগ্যবান? নাকি তারা বাগ পূর্ণ একটি 'সীম' আঘাত করেছে? অথবা Chromium কি নতুন কোড জারি করছে যা স্বাভাবিকের চেয়ে বেশি বগি? অথবা অন্য কিছু ঘটছে না?"

---

হাঁস.  হ্যাঁ, এটি একটি দুর্দান্ত প্রশ্ন, আসলে, এবং আমি ভয় পাচ্ছি যে আমি এটির উত্তর দিতে পারি কেবলমাত্র একটি সামান্য চেহারামূলক সাজানোর উপায়, ডগ।

কারণ ক্যাসান্ড্রা পছন্দ A), B) এবং C) দিয়েছিল), আমি বললাম, "আচ্ছা, সম্ভবত এটি ঘ) উপরের সবগুলো।"

আমরা জানি যে যখন একটি নির্দিষ্ট ধরণের একটি বাগ কোডে দেখায়, তখন এটি অনুমান করা যুক্তিসঙ্গত যে একই প্রোগ্রামার সফ্টওয়্যারের অন্য কোথাও অনুরূপ বাগ তৈরি করেছে।

অথবা একই কোম্পানীর অন্যান্য প্রোগ্রামাররা সেই সময়ে যা প্রাপ্ত জ্ঞান বা আদর্শ অনুশীলন হিসাবে বিবেচিত হয়েছিল তা ব্যবহার করে থাকতে পারে এবং এটি অনুসরণ করে থাকতে পারে।

এবং একটি দুর্দান্ত উদাহরণ হল, আপনি যদি Log4J-এ ফিরে তাকান… সমস্যাটি প্যাচ করার জন্য একটি সমাধান ছিল।

এবং তারপরে, যখন তারা খুঁজতে গেল, "ওহ, আসলে, আরও কিছু জায়গা আছে যেখানে একই রকম ভুল করা হয়েছে।"

তাই ফিক্সের জন্য একটি ফিক্স ছিল, এবং তারপরে ফিক্সের জন্য ফিক্সের জন্য একটি ফিক্স ছিল, যদি আমি মনে করি।

অবশ্যই, এই সমস্যাটিও রয়েছে যে আপনি যখন নতুন কোড যোগ করেন, তখন আপনি বাগ পেতে পারেন যা সেই নতুন কোডের জন্য অনন্য এবং বৈশিষ্ট্যগুলি যোগ করার কারণে ঘটে।

এবং সেই কারণেই অনেক ব্রাউজার, ক্রোম অন্তর্ভুক্ত, একটি যদি-আপনার মত "সামান্য পুরানো" সংস্করণ থাকে যা আপনি লেগে থাকতে পারেন।

এবং ধারণা হল যে সেই "পুরনো" রিলিজগুলি... তাদের নতুন কোনো বৈশিষ্ট্য নেই, তবে সমস্ত প্রাসঙ্গিক নিরাপত্তা সংশোধন করা হয়েছে৷

সুতরাং, আপনি যদি নতুন বৈশিষ্ট্য সম্পর্কে রক্ষণশীল হতে চান তবে আপনি হতে পারেন।

কিন্তু আমরা অবশ্যই জানি যে, কখনও কখনও, যখন আপনি একটি পণ্যের মধ্যে নতুন বৈশিষ্ট্যগুলি ঢেলে দেন, তখন নতুন বাগগুলি নতুন বৈশিষ্ট্যগুলির সাথে আসে৷

এবং আপনি বলতে পারেন যে, উদাহরণস্বরূপ, যখন একটি আপডেট থাকে, বলুন, আপনার iPhone এর জন্য, এবং আপনি iOS 15 এবং iOS 16-এর জন্য আপডেট পাবেন।

তারপরে, আপনি যখন বাগ তালিকাগুলি দেখেন, সেখানে কয়েকটি বাগ রয়েছে যা শুধুমাত্র iOS 16-এ প্রযোজ্য।

এবং আপনি মনে করেন, "হ্যালো, সেগুলি অবশ্যই কোডে বাগগুলি থাকতে হবে যা আগে ছিল না।"

তাই, হ্যাঁ, এটা একটা সম্ভাবনা।

এবং আমি মনে করি যে অন্যান্য বিষয়গুলি চলছে তা ভাল বিবেচনা করা যেতে পারে।

প্রথমটি হ'ল আমি মনে করি যে, বিশেষত ব্রাউজারগুলির মতো জিনিসগুলির জন্য, ব্রাউজার নির্মাতারা সম্পূর্ণ পুনর্নির্মাণগুলিকে সত্যিই, সত্যিই দ্রুত পুশ করতে অনেক ভাল হচ্ছে।

---

DOUG.  মজাদার.

---

হাঁস.  এবং আমি মনে করি যে অন্য জিনিসটি পরিবর্তিত হয়েছে তা হল, অতীতে, আপনি যুক্তি দিতে পারেন যে অনেক বিক্রেতাদের জন্য… লোকেদের প্যাচ প্রয়োগ করা একেবারেই কঠিন ছিল, এমনকি যখন তারা শুধুমাত্র একটি মাসিক সময়সূচীতে বের হয়, এবং এমনকি যদি তাদের মধ্যে একাধিক শূন্য-দিনের সংশোধন ছিল।

আমি মনে করি, সম্ভবত এটি এই সত্যটির প্রতিক্রিয়া যে আমাদের মধ্যে আরও বেশি সংখ্যক লোক কেবল গ্রহণ করার জন্য নয়, বরং প্রকৃতপক্ষে স্বয়ংক্রিয় আপডেটের * প্রত্যাশা করা যা সত্যিই প্রম্পট।

সুতরাং, আমি মনে করি আপনি এই মধ্যে কিছু ভাল জিনিস পড়তে পারেন.

এই সত্য যে Google প্রায় তাৎক্ষণিকভাবে একটি একক শূন্য-দিনের ফিক্সকে ধাক্কা দিতে পারে তা নয়, এটিও যে লোকেরা এটি গ্রহণ করতে এবং এমনকি এটি দাবি করতেও ইচ্ছুক।

তাই আমি এই সমস্যাটি দেখতে পছন্দ করি, "বাহ, বছরে নয়টি শূন্য-দিন পৃথকভাবে স্থির করা হয়েছে!"…

…আমি "গ্লাস অর্ধেক খালি এবং নীচের একটি ছোট ছিদ্র দিয়ে নিষ্কাশন" এর চেয়ে "গ্লাস অর্ধেক ভরাট এবং ভরাট" হিসাবে ভাবতে চাই। [হাসি]

এটাই আমার মতামত।

---

DOUG.  ঠিক আছে, খুব ভাল.

প্রশ্নের জন্য আপনাকে ধন্যবাদ, ক্যাসান্দ্রা.

যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।

আপনি tips@sophos.com-এ ইমেল করতে পারেন, আপনি আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @NakedSecurity.

এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য অনেক ধন্যবাদ

পল ডকলিনের জন্য, আমি ডগ আমথ, আপনাকে মনে করিয়ে দিচ্ছি: পরের বার পর্যন্ত...

---

উভয়।  নিরাপদ থাকুন!

[মিউজিক্যাল মডেম]