S3 Ep135: দিনে Sysadmin, রাতে চাঁদাবাজ

নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।

DOUG.  চাকরির অভ্যন্তরে, মুখের স্বীকৃতি, এবং "IoT"-এ "S" এখনও "নিরাপত্তা" বোঝায়।

নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে স্বাগতম, সবাইকে।

আমি ডগ আমথ; তিনি পল ডাকলিন।

পল, তুমি আজ কেমন আছ?

---

হাঁস.  খুব ভাল, ডগ.

আপনি আপনার ক্যাচফ্রেজ জানেন, "আমরা এটির উপর নজর রাখব"?

---

DOUG.  [হাসছেন] হো, হো, হো!

---

হাঁস.  দুঃখের বিষয়, এই সপ্তাহে বেশ কিছু জিনিস আছে যেগুলোকে আমরা "নজর রাখছি" এবং সেগুলো এখনও ভালোভাবে শেষ হয়নি।

---

DOUG.  হ্যাঁ, এই সপ্তাহে আমাদের কাছে একটি আকর্ষণীয় এবং অপ্রচলিত লাইনআপ রয়েছে৷

এর মধ্যে intoুকুন।

তবে প্রথমে আমরা আমাদের দিয়ে শুরু করব প্রযুক্তির ইতিহাসে এই সপ্তাহ সেগমেন্ট।

এই সপ্তাহে, 19 মে 1980 তারিখে, অ্যাপল III ঘোষণা করা হয়েছিল।

এটি 1980 সালের নভেম্বরে পাঠানো হবে, সেই সময়ে লাইনের বাইরে থাকা প্রথম 14,000 অ্যাপল III কে প্রত্যাহার করা হয়েছিল।

1981 সালের নভেম্বরে মেশিনটি আবার চালু করা হবে।

দীর্ঘ গল্প সংক্ষিপ্ত, অ্যাপল III একটি ফ্লপ ছিল.

অ্যাপলের সহ-প্রতিষ্ঠাতা স্টিভ ওজনিয়াক মেশিনটির ব্যর্থতার জন্য দায়ী করেছেন যে এটি ইঞ্জিনিয়ারদের পরিবর্তে বিপণনকারী লোকদের দ্বারা ডিজাইন করা হয়েছিল।

সেকি!

---

হাঁস.  আমি এটা কি বলতে হবে জানি না, ডগ. [হাসি]

আমি হাসাহাসি না করার চেষ্টা করছি, একজন ব্যক্তি হিসেবে যিনি নিজেকে একজন প্রযুক্তিবিদ মনে করেন, মার্কেটরয়েড নয়।

আমি মনে করি অ্যাপল III এর উদ্দেশ্য ছিল ভাল দেখতে এবং দুর্দান্ত দেখাতে এবং এটি অ্যাপল II এর সাফল্যকে পুঁজি করে তোলার উদ্দেশ্যে ছিল।

কিন্তু আমার বোধগম্য হল যে Apple III (A) সমস্ত Apple II প্রোগ্রাম চালাতে পারেনি, যা ছিল কিছুটা পশ্চাদগামী সামঞ্জস্যের ধাক্কা, এবং (B) অ্যাপল II এর মতো যথেষ্ট প্রসারণযোগ্য ছিল না।

আমি জানি না এটি একটি শহুরে কিংবদন্তি কিনা…

…কিন্তু আমি পড়েছি যে প্রাথমিক মডেলগুলির কারখানায় তাদের চিপগুলি সঠিকভাবে বসানো ছিল না, এবং যে প্রাপকদের সমস্যাগুলি রিপোর্ট করা হয়েছিল তাদের বলা হয়েছিল যে তারা তাদের ডেস্ক থেকে কম্পিউটারের সামনের অংশটি কয়েক সেন্টিমিটারে তুলে ফেলতে এবং এটিকে আবার বিধ্বস্ত হতে দেয়।

[হাসি]

এটি চিপগুলিকে জায়গায় ঠেলে দেবে, যেমন তাদের প্রথম স্থানে থাকা উচিত ছিল।

যা দৃশ্যত কাজ করেছে, কিন্তু পণ্যের মানের জন্য বিজ্ঞাপনের সেরা সাজানোর ছিল না।

---

DOUG.  ঠিক.

ঠিক আছে, আমাদের প্রথম গল্পে আসা যাক।

এটি কতটা খারাপ সম্পর্কে একটি সতর্কতামূলক গল্প ভিতরে হুমকি হতে পারে, এবং সম্ভবত তাদের পাশাপাশি টানতেও কতটা কঠিন হতে পারে, পল।

হুডুনিত? সাইবারক্রুক তার নিজের নিয়োগকর্তাকে মুক্তিপণ দেওয়ার জন্য 6 বছর পায়

---

হাঁস.  আসলে এটা, ডগলাস.

এবং যদি আপনি গল্প খুঁজছেন nakedsecurity.sophos.com, এটি একটি যে ক্যাপশন করা হয়, “হুডুনিত? সাইবারক্রুক তার নিজের নিয়োগকর্তাকে মুক্তি দেওয়ার জন্য 6 বছরের কারাদণ্ড দেয়।

এবং সেখানে আপনি গল্পের সাহস আছে.

---

DOUG.  হাসতে হবে না, কিন্তু... [হাসি]

---

হাঁস.  এটা মজার এবং অস্বাভাবিক ধরনের.

কারণ আপনি যদি আক্রমণটি কীভাবে প্রকাশ পায় তা দেখেন, এটি মূলত:

“আরে, কেউ ভেঙে পড়েছে; আমরা জানি না যে নিরাপত্তার গর্তটি তারা ব্যবহার করেছিল। আসুন কাজ শুরু করি এবং খুঁজে বের করার চেষ্টা করি।"

"ওহ না! হামলাকারীরা সিসাডমিন ক্ষমতা পেতে সক্ষম হয়েছে!”

"ওহ না! তারা গিগাবাইট গোপনীয় তথ্য চুষে নিয়েছে!”

"ওহ না! তারা সিস্টেম লগের সাথে তালগোল পাকিয়েছে তাই আমরা জানি না কি হচ্ছে!”

"ওহ না! এখন তারা 50টি বিটকয়েন দাবি করছে (যা সেই সময়ে প্রায় $2,000,000 US) জিনিসগুলিকে শান্ত রাখতে… স্পষ্টতই আমরা একটি চুপচাপ কাজ হিসাবে $2 মিলিয়ন দিতে যাচ্ছি না।"

এবং, বিঙ্গো, কুটিল গিয়ে ডার্ক ওয়েবে ডেটা ফাঁস করার সেই ঐতিহ্যবাহী কাজটি করেছে, মূলত কোম্পানিকে ডক্স করছে।

এবং, দুর্ভাগ্যবশত, প্রশ্ন "Whodunnit?" উত্তর দিয়েছেন: কোম্পানির নিজস্ব সিসাডমিনদের একজন।

প্রকৃতপক্ষে, আক্রমণকারীকে খুঁজে বের করার চেষ্টা করতে এবং বহিষ্কার করার জন্য দলে যারা খসড়া করা হয়েছিল তাদের মধ্যে একজন।

তাই তিনি আক্ষরিক অর্থে দিনে এই আক্রমণকারীর সাথে লড়াই করার ভান করছেন এবং রাতে 2 মিলিয়ন ডলারের ব্ল্যাকমেইল পেমেন্ট নিয়ে আলোচনা করছেন।

এবং আরও খারাপ, ডগ, মনে হচ্ছে, যখন তারা তাকে সন্দেহ করেছিল...

…যা তারা করেছে, আসুন কোম্পানির প্রতি ন্যায্য হই।

(আমি বলতে যাচ্ছি না যে এটি কে ছিল; আসুন তাদের কোম্পানি-1 বলি, যেমন ইউএস ডিপার্টমেন্ট অফ জাস্টিস করেছে, যদিও তাদের পরিচয় বেশ পরিচিত।)

তার সম্পত্তি তল্লাশি করা হয়েছিল, এবং দৃশ্যত তারা ল্যাপটপটি ধরেছিল যা পরে প্রমাণিত হয়েছিল যে অপরাধটি করতে ব্যবহৃত হয়েছিল।

তারা তাকে প্রশ্ন করেছিল, তাই তিনি একটি "অপরাধ হল প্রতিরক্ষার সর্বোত্তম রূপ" প্রক্রিয়ায় গিয়েছিলেন এবং একজন হুইসেলব্লোয়ার হওয়ার ভান করেছিলেন এবং কিছু পরিবর্তন অহংকারে মিডিয়ার সাথে যোগাযোগ করেছিলেন।

তিনি একটি সম্পূর্ণ মিথ্যা গল্প দিয়েছেন কিভাবে লঙ্ঘন ঘটেছে - যে এটি Amazon ওয়েব পরিষেবাগুলিতে দুর্বল নিরাপত্তা ছিল, বা এরকম কিছু।

তাই এটি মনে হয়েছিল, অনেক উপায়ে, এটির চেয়ে অনেক খারাপ, এবং কোম্পানির শেয়ারের দাম বেশ খারাপভাবে পড়ে গেছে।

যখন তারা লঙ্ঘন হয়েছে এমন খবর ছিল তখন এটি যেভাবেই হোক ড্রপ হয়ে যেতে পারে, তবে এটি অবশ্যই মনে হয় যে তিনি নিজের থেকে সন্দেহ দূর করার জন্য এটিকে আরও খারাপ বলে মনে করার জন্য তার পথ থেকে বেরিয়ে গিয়েছিলেন।

যা, ভাগ্যক্রমে, কাজ করেনি।

তিনি দোষী সাব্যস্ত হয়েছেন (ভালভাবে, তিনি দোষী সাব্যস্ত করেছেন), এবং, যেমন আমরা শিরোনামে বলেছি, তাকে ছয় বছরের জেল হয়েছে।

তারপর তিন বছরের প্যারোল, এবং তাকে $1,500,000 জরিমানা ফেরত দিতে হবে।

---

DOUG.  আপনি এই জিনিস আপ করতে পারবেন না!

এই নিবন্ধে মহান পরামর্শ… উপদেশ তিনটি টুকরা আছে.

আমি এটি প্রথম পছন্দ করি: ভাগ এবং বিজয়।

আপনি এর দ্বারা কি বোঝাতে চাচ্ছেন, পল?

---

হাঁস.  ঠিক আছে, মনে হচ্ছে, এই ক্ষেত্রে, এই ব্যক্তির নিজের হাতে খুব বেশি শক্তি কেন্দ্রীভূত ছিল।

মনে হচ্ছে তিনি এই আক্রমণের প্রতিটি ছোট অংশ ঘটাতে সক্ষম হয়েছিলেন, যার মধ্যে পরে যাওয়া এবং লগগুলির সাথে তালগোল পাকানো এবং এটিকে এমনভাবে দেখানোর চেষ্টা করা যেন কোম্পানির অন্যান্য লোকেরা এটি করেছে৷

(সুতরাং, তিনি কী ভয়ঙ্কর সুন্দর চ্যাপ ছিলেন তা দেখানোর জন্য - তিনি তার সহকর্মীদেরও সেলাই করার চেষ্টা করেছিলেন, যাতে তারা সমস্যায় পড়ে।)

কিন্তু আপনি যদি কিছু মূল সিস্টেমের ক্রিয়াকলাপগুলির জন্য দুই ব্যক্তির অনুমোদনের প্রয়োজন হয়, আদর্শভাবে এমনকি দুটি ভিন্ন বিভাগ থেকেও, ঠিক যেমন, যখন বলুন, একটি ব্যাংক একটি বড় অর্থ চলাচল অনুমোদন করছে, বা যখন একটি উন্নয়ন দল সিদ্ধান্ত নিচ্ছে, “দেখা যাক এটি কিনা কোড যথেষ্ট ভাল; আমরা অন্য কাউকে এটিকে বস্তুনিষ্ঠ এবং স্বাধীনভাবে দেখতে পাব”…

…যা একজন একা অভ্যন্তরীণ ব্যক্তির জন্য এই সমস্ত কৌশলগুলি বন্ধ করা আরও কঠিন করে তোলে।

কারণ তাদের অন্য সবার সাথে মিলিত হতে হবে যে পথ থেকে তাদের সহ-অনুমোদন প্রয়োজন।

---

DOUG.  ঠিক আছে.

এবং একই লাইন বরাবর: অপরিবর্তনীয় লগ রাখুন।

এটা ভাল গুলোর একটি.

---

হাঁস.  হ্যাঁ.

দীর্ঘ স্মৃতি সহ শ্রোতারা WORM ড্রাইভগুলি স্মরণ করতে পারে।

সেগুলি আগের দিনের জিনিস ছিল: একবার লিখুন, অনেকগুলি পড়ুন।

অবশ্যই তারা সিস্টেম লগের জন্য একেবারে আদর্শ হিসাবে বিবেচিত হয়েছিল, কারণ আপনি তাদের লিখতে পারেন, কিন্তু আপনি কখনই তাদের *পুনরায় লিখতে* পারবেন না।

এখন, প্রকৃতপক্ষে, আমি মনে করি না যে সেগুলি উদ্দেশ্যমূলকভাবে সেভাবে ডিজাইন করা হয়েছিল... [হাসি] আমি শুধু মনে করি এগুলিকে কীভাবে পুনর্লিখনযোগ্য করা যায় তা এখনও কেউ জানত না।

কিন্তু দেখা যাচ্ছে যে এই ধরনের প্রযুক্তি লগ ফাইল রাখার জন্য চমৎকার ছিল।

আপনি যদি প্রথম দিকের CD-Rs, CD-Recordables মনে রাখেন - আপনি একটি নতুন সেশন যোগ করতে পারেন, যাতে আপনি 10 মিনিটের সঙ্গীত রেকর্ড করতে পারেন এবং তারপরে আরও 10 মিনিটের সঙ্গীত বা অন্য 100MB ডেটা পরে যোগ করতে পারেন, কিন্তু আপনি তা করতে পারেননি। ফিরে যান এবং পুরো জিনিসটি আবার লিখুন।

সুতরাং, একবার আপনি এটি লক করে দিলে, যে কেউ প্রমাণের সাথে তালগোল পাকিয়ে ফেলতে চায় তাকে হয় পুরো সিডিটি ধ্বংস করতে হবে যাতে এটি প্রমাণের চেইন থেকে দৃশ্যত অনুপস্থিত থাকে, বা অন্যথায় এটি ক্ষতিগ্রস্থ হয়।

তারা সেই আসল ডিস্কটি নিতে এবং এর বিষয়বস্তু পুনরায় লিখতে সক্ষম হবে না যাতে এটি ভিন্নভাবে দেখানো হয়।

এবং, অবশ্যই, সমস্ত ধরণের কৌশল রয়েছে যার দ্বারা আপনি ক্লাউডে এটি করতে পারেন।

আপনি যদি চান, এটি "বিভক্ত এবং জয়" মুদ্রার অন্য দিক।

আপনি যা বলছেন তা হল আপনার প্রচুর সিস্যাডমিন, প্রচুর সিস্টেম কাজ, প্রচুর ডেমন বা পরিষেবা প্রক্রিয়া রয়েছে যা লগিং তথ্য তৈরি করতে পারে, কিন্তু সেগুলি এমন কোথাও পাঠানো হয় যেখানে সেগুলি তৈরি করতে ইচ্ছা এবং সহযোগিতার একটি বাস্তব কাজ লাগে। লগগুলি চলে যায় বা সেগুলি যখন তৈরি করা হয়েছিল তখন কী ছিল তা ছাড়া অন্য দেখতে।

---

DOUG.  এবং তারপর শেষ কিন্তু অবশ্যই অন্তত না: সর্বদা পরিমাপ করুন, কখনও অনুমান করবেন না।

---

হাঁস.  একেবারে।

দেখে মনে হচ্ছে কোম্পানি -1 এই ক্ষেত্রে অন্তত এই সমস্ত কিছুর মধ্যে কিছু ম্যানেজ করেছে, শেষ পর্যন্ত।

কারণ এই চ্যাপটিকে এফবিআই শনাক্ত করেছে এবং জিজ্ঞাসাবাদ করেছে… আমি মনে করি তার আক্রমণ করার প্রায় দুই মাসের মধ্যে।

এবং তদন্ত রাতারাতি ঘটে না - তাদের অনুসন্ধানের জন্য একটি ওয়ারেন্টের প্রয়োজন এবং তাদের সম্ভাব্য কারণ প্রয়োজন।

তাই দেখে মনে হচ্ছে তারা সঠিক কাজটি করেছে, এবং তারা শুধু অন্ধভাবে তাকে বিশ্বাস করা চালিয়ে যায়নি কারণ সে বলেছিল যে সে বিশ্বস্ত ছিল।

তার অপরাধগুলো ধোয়ার মধ্যেই বেরিয়ে এসেছে, যেমনটা ছিল।

তাই এটা গুরুত্বপূর্ণ যে আপনি কাউকে সন্দেহের ঊর্ধ্বে বিবেচনা করবেন না।

---

DOUG.  ঠিক আছে, ডান বরাবর চলন্ত.

গ্যাজেট নির্মাতা বেলকিন গরম জলে রয়েছেন, মূলত বলছেন, "জীবনের শেষ মানে আপডেটের সমাপ্তি" তার জনপ্রিয় স্মার্ট প্লাগগুলির একটির জন্য৷

Belkin Wemo Smart Plug V2 – বাফার ওভারফ্লো যা প্যাচ করা হবে না

---

হাঁস.  এটা Belkin থেকে একটি বরং খারাপ প্রতিক্রিয়া হয়েছে বলে মনে হচ্ছে.

অবশ্যই PR দৃষ্টিকোণ থেকে, এটি তাদের অনেক বন্ধু জিতেনি, কারণ এই ক্ষেত্রে ডিভাইসটি তথাকথিত স্মার্ট প্লাগগুলির মধ্যে একটি।

আপনি একটি Wi-Fi সক্ষম সুইচ পান; তাদের মধ্যে কেউ কেউ ক্ষমতা পরিমাপ করবে এবং এর মতো অন্যান্য জিনিসও।

সুতরাং ধারণা হল আপনার কাছে একটি অ্যাপ, বা একটি ওয়েব ইন্টারফেস, বা এমন কিছু থাকতে পারে যা একটি প্রাচীর সকেট চালু এবং বন্ধ করবে।

সুতরাং এটি একটি বিদ্রুপের বিষয় যে দোষটি এমন একটি পণ্যের মধ্যে রয়েছে যা হ্যাক করা হলে, কেউ মূলত একটি সুইচ চালু এবং বন্ধ করতে পারে যার মধ্যে একটি যন্ত্র প্লাগ করা থাকতে পারে।

আমি মনে করি, আমি যদি বেলকিন হতাম, আমি হয়তো চলে যেতাম, "দেখুন, আমরা সত্যিই এটিকে আর সমর্থন করছি না, তবে এই ক্ষেত্রে... হ্যাঁ, আমরা একটি প্যাচ বের করব।"

এবং এটি একটি বাফার ওভারফ্লো, ডগ, প্লেইন এবং সহজ।

[হাসি] ওহ, প্রিয়...

আপনি যখন ডিভাইসটি প্লাগ ইন করেন, তখন এটির একটি অনন্য শনাক্তকারী থাকা প্রয়োজন যাতে এটি অ্যাপে দেখা যায়, বলুন, আপনার ফোনে… যদি আপনার বাড়িতে তাদের তিনটি থাকে, আপনি চান না যে তাদের সবাইকে ডাকা হোক। Belkin Wemo plug.

আপনি যেতে চান এবং এটি পরিবর্তন করতে চান এবং বেলকিন যাকে "বন্ধুত্বপূর্ণ নাম" বলে ডাকেন তা রাখতে চান।

এবং তাই আপনি আপনার ফোন অ্যাপের সাথে যান এবং আপনি যে নতুন নাম চান তা টাইপ করুন।

ঠিক আছে, মনে হচ্ছে আপনার নতুন নামের জন্য ডিভাইসে অ্যাপটিতে একটি 68-অক্ষরের বাফার রয়েছে… কিন্তু আপনি 68 বাইটের বেশি নাম রাখবেন না এমন কোনো চেক নেই।

বোকার মতো, সম্ভবত, যারা সিস্টেমটি তৈরি করেছে তারা সিদ্ধান্ত নিয়েছে যে তারা যদি নামটি কতক্ষণ ধরে পরীক্ষা করে দেখেন যে আপনি নাম পরিবর্তন করার জন্য অ্যাপ ব্যবহার করার সময় আপনার ফোনে যে টাইপ করেছিলেন*: "আমরা পাঠানো এড়াব যে নামগুলি প্রথম স্থানে খুব দীর্ঘ।"

এবং প্রকৃতপক্ষে, ফোন অ্যাপে, দৃশ্যত আপনি 30টির বেশি অক্ষরও রাখতে পারবেন না, তাই তারা অতিরিক্ত-সুপার নিরাপদ হচ্ছে।

বিরাট সমস্যা!

আক্রমণকারী অ্যাপ ব্যবহার না করার সিদ্ধান্ত নিলে কি হবে? [হাসি]

যদি তারা একটি পাইথন স্ক্রিপ্ট ব্যবহার করে যা তারা নিজেরাই লিখেছিল...

---

DOUG.  হুমমমম! [বিদ্রূপাত্মক] কেন তারা এটা করবে?

---

হাঁস.  …যা 30-অক্ষর বা 68-অক্ষরের সীমা পরীক্ষা করতে বিরক্ত করে না?

এবং এই গবেষকরা ঠিক কি করেছেন।

এবং তারা খুঁজে বের করেছে, কারণ একটি স্ট্যাক বাফার ওভারফ্লো আছে, তারা একটি ফাংশনের রিটার্ন ঠিকানা নিয়ন্ত্রণ করতে পারে যা ব্যবহার করা হচ্ছে।

পর্যাপ্ত ট্রায়াল এবং ত্রুটির সাথে, তারা তাদের নিজস্ব পছন্দের "শেলকোড" হিসাবে জার্গনে যা পরিচিত তার মধ্যে মৃত্যুদন্ডকে বিচ্যুত করতে সক্ষম হয়েছিল।

উল্লেখযোগ্যভাবে, তারা একটি সিস্টেম কমান্ড চালাতে পারে যা চালায় wget কমান্ড, যা একটি স্ক্রিপ্ট ডাউনলোড করে, স্ক্রিপ্টটিকে নির্বাহযোগ্য করে তোলে এবং এটি চালায়।

---

DOUG.  ঠিক আছে ভাল…

…আমরা নিবন্ধে কিছু পরামর্শ পেয়েছি।

আপনার যদি এই স্মার্ট প্লাগগুলির একটি থাকে, এটি পরীক্ষা করে দেখুন.

আমি মনে করি এখানে বড় প্রশ্নটি হল, ধরে নিচ্ছি যে বেলকিন তাদের প্রতিশ্রুতি অনুযায়ী এটি ঠিক করবেন না... [জোরে অট্টহাসি]

…মূলত, এটা কতটা কঠিন, পল?

নাকি এই গর্তটি প্লাগ করা ভাল পিআর হবে?

---

হাঁস.  আচ্ছা, আমি জানি না।

আরও অনেক অ্যাপ থাকতে পারে যে, ওহ, প্রিয়, তাদের একই ধরণের ঠিক করতে হবে।

তাই তারা হয়তো এই ভয়ে এটি করতে চায় না যে কেউ যাবে, "আচ্ছা, আসুন আরও গভীরে খনন করি।"

---

DOUG.  একটি পিচ্ছিল ঢাল…

---

হাঁস.  আমি বলতে চাচ্ছি, এটি না করার একটি খারাপ কারণ হবে।

আমি ভাবতাম, এটি এখন সুপরিচিত, এবং এটি একটি সহজ যথেষ্ট সমাধানের মতো মনে হচ্ছে...

…শুধু (A) ডিভাইসের জন্য অ্যাপ্লিকেশানগুলিকে পুনরায় কম্পাইল করুন যাতে সম্ভব হলে স্ট্যাক সুরক্ষা চালু থাকে এবং (B) অন্তত এই বিশেষ "বন্ধুত্বপূর্ণ নাম" পরিবর্তনের প্রোগ্রামে, 68 অক্ষরের বেশি নামগুলিকে অনুমতি দেবেন না!

এটি একটি প্রধান সংশোধন মত মনে হচ্ছে না.

যদিও, অবশ্যই, যে ফিক্স কোড করা আছে; এটা পর্যালোচনা করতে হবে; এটা পরীক্ষা করা আছে; একটি নতুন সংস্করণ তৈরি করতে হবে এবং ডিজিটালভাবে স্বাক্ষর করতে হবে।

এটি তখন সবার কাছে অফার করতে হবে, এবং অনেক লোক বুঝতেও পারবে না যে এটি উপলব্ধ।

এবং যদি তারা আপডেট না করে?

যারা এই সমস্যাটি সম্পর্কে সচেতন তারা যদি একটি সমাধান পেতে পারে তবে এটি ভাল হবে, তবে বেলকিন তাদের সহজভাবে একটি নতুন পণ্যে আপগ্রেড করার আশা করবেন কিনা তা দেখার বিষয়।

---

DOUG.  ঠিক আছে, আপডেটের বিষয়ে...

…আমরা এই গল্পের উপর নজর রাখছি, যেমনটা আমরা বলি।

আমরা এটি সম্পর্কে বেশ কয়েকবার কথা বলেছি: ক্লিয়ারভিউ এআই।

জুট আলোরস! রেক্লেজ ক্র্যাপুলেক্স! Clearview AI ফ্রান্সে 20% বেশি সমস্যায়

ফ্রান্সের বারবার অবাধ্যতার জন্য এই সংস্থাটি রয়েছে এবং এটি কতটা খারাপ হয়েছে তা প্রায় হাস্যকর।

সুতরাং, এই সংস্থাটি ইন্টারনেট থেকে ফটোগুলি স্ক্র্যাপ করে এবং সেগুলিকে তাদের নিজ নিজ মানুষের কাছে ম্যাপ করে এবং আইন প্রয়োগকারীরা এই সার্চ ইঞ্জিনটি ব্যবহার করে, যেমনটি ছিল, লোকেদের সন্ধান করতে৷

অন্যান্য দেশগুলিও এটি নিয়ে সমস্যায় পড়েছে, তবে ফ্রান্স বলেছে, "এটি পিআইআই। এটি ব্যক্তিগতভাবে শনাক্তযোগ্য তথ্য।"

---

হাঁস.  হ্যাঁ.

---

DOUG.  "ক্লিয়ারভিউ, দয়া করে এটি করা বন্ধ করুন।"

এবং ক্লিয়ারভিউও সাড়া দেয়নি।

তাই তাদের জরিমানা করা হয়েছে €20 মিলিয়ন, এবং তারা শুধু চালিয়ে যাচ্ছে...

এবং ফ্রান্স বলছে, “ঠিক আছে, আপনি এটা করতে পারবেন না। আমরা আপনাকে থামতে বলেছি, তাই আমরা আপনার বিরুদ্ধে আরও কঠোর হব। আমরা আপনাকে প্রতিদিন €100,000 চার্জ করতে যাচ্ছি”… এবং তারা এটিকে ব্যাকডেট করেছে যে এটি ইতিমধ্যেই €5,200,000 পর্যন্ত হয়েছে।

এবং ক্লিয়ারভিউ শুধু সাড়া দিচ্ছে না।

এটা ঠিক যে একটি সমস্যা আছে স্বীকার করা হয় না.

---

হাঁস.  যে অবশ্যই মনে হচ্ছে এটা কিভাবে উদ্ঘাটন, ডগ.

মজার বিষয় হল, এবং আমার মতে বেশ যুক্তিসঙ্গত এবং অত্যন্ত গুরুত্বপূর্ণভাবে, যখন ফরাসি নিয়ন্ত্রক ক্লিয়ারভিউ এআই-এর দিকে নজর দিয়েছিল (সেই সময়ে তারা সিদ্ধান্ত নিয়েছিল যে সংস্থাটি স্বেচ্ছায় বল খেলবে না এবং তাদের 20 মিলিয়ন ইউরো জরিমানা করেছে)…

…তারা আরও দেখতে পেল যে কোম্পানি শুধুমাত্র সম্মতি না নিয়ে বায়োমেট্রিক ডেটা যা বিবেচনা করে তা সংগ্রহ করছে না।

তারা অবিশ্বাস্যভাবে, এবং অপ্রয়োজনীয়ভাবে, এবং বেআইনিভাবে লোকেদের পক্ষে তাদের অধিকার প্রয়োগ করা কঠিন করে তুলছিল (A) তাদের তথ্য সংগ্রহ করা হয়েছে এবং বাণিজ্যিকভাবে ব্যবহার করা হচ্ছে, এবং (B) যদি তারা ইচ্ছা করে তবে এটি মুছে ফেলতে পারে।

এগুলি এমন অধিকার যা অনেক দেশ তাদের প্রবিধানে অন্তর্ভুক্ত করেছে।

এটা অবশ্যই, আমি মনে করি, যুক্তরাজ্যের আইনে এখনও আছে, যদিও আমরা এখন ইউরোপীয় ইউনিয়নের বাইরে আছি, এবং এটি ইউরোপীয় ইউনিয়নের সুপরিচিত জিডিপিআর প্রবিধানের অংশ।

যদি আমি চাই না আপনি আমার ডেটা রাখুন, তাহলে আপনাকে এটি মুছে ফেলতে হবে।

এবং স্পষ্টতই ক্লিয়ারভিউ এমন জিনিসগুলি করছিল যেমন বলছে, "ওহ, ভাল, যদি আমাদের এটি এক বছরেরও বেশি সময় ধরে থাকে তবে এটি অপসারণ করা খুব কঠিন, তাই এটি শুধুমাত্র গত বছরের মধ্যে আমরা সংগ্রহ করেছি এমন ডেটা।"

---

DOUG.  আআআআআরঘ [হাসি]

---

হাঁস.  যাতে, আপনি যদি লক্ষ্য না করেন, বা আপনি কেবল দুই বছর পরে উপলব্ধি করবেন?

অনেক দেরি!

এবং তারপরে তারা বলছিল, "ওহ, না, আপনাকে বছরে দুবার জিজ্ঞাসা করার অনুমতি দেওয়া হয়েছে।"

আমি মনে করি, যখন ফরাসিরা তদন্ত করেছিল, তারা আরও দেখতে পেয়েছিল যে ফ্রান্সের লোকেরা অভিযোগ করছে যে তারা কিছু করার জন্য ক্লিয়ারভিউ-এর স্মৃতিতে ঝাঁকুনি দেওয়ার আগে তাদের বারবার জিজ্ঞাসা করতে হয়েছিল।

তাহলে এটা কিভাবে শেষ হবে কে জানে, ডগ?

---

DOUG.  এটি বেশ কয়েকটি পাঠকের কাছ থেকে শোনার জন্য একটি ভাল সময়।

আমরা সাধারণত একজন পাঠকের কাছ থেকে আমাদের সপ্তাহের মন্তব্য করি, কিন্তু আপনি এই নিবন্ধের শেষে জিজ্ঞাসা করেছেন:

আপনি যদি {রাণী, রাজা, রাষ্ট্রপতি, সর্বোচ্চ জাদুকর, গৌরবময় নেতা, প্রধান বিচারক, লিড আর্বিটার, হাই কমিশনার অফ প্রাইভেসি} হতেন এবং {আপনার কাঠির তরঙ্গ, আপনার কলমের স্ট্রোক, আপনার রাজদণ্ডের ঝাঁকুনি দিয়ে এই সমস্যাটি সমাধান করতে পারতেন। , একটি জেডি মাইন্ড-ট্রিক}…

…আপনি কিভাবে এই স্থবিরতার সমাধান করবেন?

এবং শুধুমাত্র আমাদের মন্তব্যকারীদের থেকে কিছু উদ্ধৃতি টানতে:

• "তাদের মাথা দিয়ে বন্ধ।"
• "কর্পোরেট মৃত্যুদণ্ড।"
• "তাদের একটি অপরাধমূলক সংগঠন হিসাবে শ্রেণীবদ্ধ করুন।"
• "কোম্পানি মেনে না নেওয়া পর্যন্ত উচ্চপদস্থদের জেলে যেতে হবে।"
• "গ্রাহকদের সহ-ষড়যন্ত্রকারী হিসাবে ঘোষণা করুন।"
• "ডাটাবেস হ্যাক করুন এবং সবকিছু মুছুন।"
• "নতুন আইন তৈরি করুন।"

এবং তারপরে জেমস এর সাথে নামিয়ে দেয়: “আমি আপনার সাধারণ দিকে পার্টি করি। তোমার মা ছিলেন একজন 'অ্যামস্টার, আর তোমার বাবা বড় বেরির গন্ধ পান।" [মন্টি পাইথন এবং পবিত্র গ্রেইল ইঙ্গিত]

যা আমি মনে করি ভুল নিবন্ধে একটি মন্তব্য হতে পারে.

আমি মনে করি "Whodunnit?" এ মন্টি পাইথনের একটি উদ্ধৃতি ছিল। নিবন্ধ

কিন্তু, জেমস, সেখানে শেষে ঝাঁপিয়ে পড়ার জন্য আপনাকে ধন্যবাদ...

---

হাঁস.  [হাসি] সত্যিই হাসতে হবে না.

আমাদের একজন মন্তব্যকারী কি বলেননি, “আরে, ইন্টারপোলের রেড নোটিশের জন্য আবেদন করুন? [এক ধরনের আন্তর্জাতিক গ্রেপ্তারি পরোয়ানা]

---

DOUG.  হ্যাঁ!

ঠিক আছে, দুর্দান্ত… আমরা যেমন করতে চাই না, আমরা এটির উপর নজর রাখব, কারণ আমি আপনাকে নিশ্চিত করতে পারি যে এটি এখনও শেষ হয়নি।

আপনার যদি একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে পড়তে চাই।

আপনি tips@sophos.com-এ ইমেল করতে পারেন, আপনি আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @NakedSecurity.

এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য আপনাকে অনেক ধন্যবাদ

পল ডকলিনের জন্য, আমি ডগ আমথ, পরের বার পর্যন্ত আপনাকে মনে করিয়ে দিচ্ছি...

---

উভয়।  নিরাপদ থাকুন!

[মিউজিক্যাল মডেম]