S3 Ep93: অফিস নিরাপত্তা, লঙ্ঘন খরচ, এবং অবসরভাবে প্যাচ [অডিও + পাঠ্য]

যেকোন বিন্দুতে এড়িয়ে যেতে নীচের সাউন্ডওয়েভগুলিতে ক্লিক করুন এবং টেনে আনুন। আপনি এটিও করতে পারেন সরাসরি শুনুন সাউন্ডক্লাউডে।

DOUG.  তথ্য লঙ্ঘন জরিমানা.

ম্যাক্রো।

এবং নগ্ন নিরাপত্তা পডকাস্টে অবসরভাবে বাগ ফিক্স… এই সব এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে স্বাগতম, সবাইকে।

আমি ডগ আমথ, এবং তিনি পল ডকলিন।

পল, আপনি কিভাবে করবেন?

---

হাঁস.  আমি খুব ভালো আছি, ডগলাস.

এমন নয় যে আপনি কখনই আনচিপার নন… তবে এটি একটি অতি-উচ্ছ্বল ভূমিকা ছিল, ডগ!

আমি অনুমান করছি আপনি একটি খুব চমৎকার পেয়েছেন মজার ফ্যাক্ট/টেক টিপ এরপর.

---

DOUG.  এটা সত্য ... segue জন্য আপনাকে ধন্যবাদ! [হাসি]

এর সম্পর্কে কথা বলা যাক প্রযুক্তির ইতিহাসে এই সপ্তাহ.

এই সপ্তাহে, 1963 সালে, সিনকম 2, যা সিঙ্ক্রোনাস কমিউনিকেশন স্যাটেলাইটের জন্য সংক্ষিপ্ত, জিওসিঙ্ক্রোনাস কক্ষপথে চালু করা হয়েছিল, প্রথম স্যাটেলাইট-ভিত্তিক ফোন কল এবং প্রথম স্যাটেলাইট টিভি ট্রান্সমিশনগুলির মধ্যে একটি।

Syncom 2 এছাড়াও ভয়েস, টেলিটাইপ এবং ফ্যাক্স পরীক্ষার জন্য NASA দ্বারা ব্যবহৃত হয়েছিল।

Syncom 1 কয়েক মাস আগে চালু হয়েছিল এবং এটিকে কক্ষপথেও তৈরি করেছিল, কিন্তু একটি ইলেকট্রনিক্স ব্যর্থতা এটিকে অকার্যকর করে তুলেছিল।

আপনি কি কল্পনা করতে পারেন যে Syncom 1কে সেখানে পাঠানোর এবং যেতে, "ওহ, কেউ সঠিকভাবে RAM বসাতে ভুলে গেছে?"

---

হাঁস.  আমি বিশ্বাস করি যে পেলোড মাত্র 25 কেজি ছিল!

আমি সিনকম 2 এর একটি ছবি দেখেছি এবং এটি 1950 এর দশকের একটি সাইফি মুভির একটি বিশাল মহাকাশ বস্তুর মতো দেখাচ্ছে…

…কিন্তু দৃশ্যত এটি মাত্র 71 সেমি ব্যাস ছিল।

এটা সত্যিই, সত্যিই ছোট… 71 সেমি কি? মাত্র 2 ফুটের উপরে?

এবং এটি একটি ফোন কল সমর্থন করতে পারে - খুব কম শক্তি - তাই এটি শুধুমাত্র একটি পরীক্ষা ছিল।

---

DOUG.  আমরা একটি অফিস ম্যাক্রো সম্পর্কে কথা বলেছি সুরক্ষা বৈশিষ্ট্য যে মানুষ 20 বছরের ভাল অংশ জন্য জিজ্ঞাসা করা হয়.

মাইক্রোসফ্ট এটি চালু করেছে, এবং তারপরে লোকেরা মন্তব্য করেছে যে তারা এটি পছন্দ করেনি।

তাই মাইক্রোসফ্ট এটি বন্ধ করে দিয়েছে, কিন্তু বলেছে, "এটি কিছু সময় ফিরে আসবে।"

এবং এখন এটি ফিরে এসেছে - এটি দ্রুত ছিল!

---

হাঁস.  ইহা ছিল.

যখন আমরা পডকাস্টে এই শেষ কথা বলেছিলাম, ডগ, তখন আমি খুব উচ্ছ্বসিত ছিলাম, "হ্যাঁ, এটি ফিরে আসছে, তবে কিছুক্ষণ হবে।"

আমি কল্পনা করছিলাম যে এটি হয়তো 2023 সালের জন্য এক ধরণের ইস্টার ডিম হবে - একটি আক্ষরিক ইস্টার ডিম, আপনি জানেন, উত্তর গোলার্ধের বসন্তে কোনো এক সময়।

আমি কল্পনা করছিলাম, "এটি সপ্তাহ হবে না; এটি সম্ভবত মাস হতে চলেছে।"

আর কতক্ষণ ছিল? কয়েক সপ্তাহ!

---

DOUG.  
হ্যাঁ.

---

হাঁস.  সুতরাং এটি চালু করতে 20 বছর, এটি বন্ধ করতে 20 সপ্তাহ এবং তারপরে এটি আবার চালু করতে মাত্র কয়েক সপ্তাহ।

সুতরাং, মাইক্রোসফ্টের জন্য ভাল!

কিন্তু যদি শুধু ডগ, তারা 1998 সালে এটি করেছিল… এটি 20 বছরের ভাল অংশের চেয়েও বেশি, এটি 20 বছরের চেয়েও ভাল।

যদি তারা এটা করত, বলুন, মেলিসা ভাইরাস বের হওয়ার আগের দিন, এটি সত্যিই সহজ ছিল, যাতে ইন্টারনেটে আগত ম্যাক্রোগুলি ট্রিগার হত না যদি না আপনি সত্যিই তাদের চান।

যদিও আমি কল্পনা করি, সেই দিনগুলিতে, এটি পুরোপুরি বন্ধ হত না।

সম্ভবত একটি বোতাম ছিল [Allow anyway].

এবং এখানে বড় ব্যাপার হল আর নেই [Allow anyway] বোতাম.

সুতরাং, এটি এমন নয় যে এটি আপনাকে সতর্ক করে, "এটি একটি খারাপ ধারণা। আপনি কি আমাদের নিজস্ব petard দ্বারা নিজেকে উত্তোলন করতে চান [Yes/Yes]? "

এটা শুধু, “দুঃখিত, ম্যাক্রো ইন্টারনেটে এসেছে। তুমি এটা করতে পারবে না।”

---

DOUG.  মাইক্রোসফ্ট কি এখন থেকে 20 দিন আগে অর্থপূর্ণভাবে কিছু পরিবর্তন করেছিল যখন তাদের এটি বন্ধ করতে হয়েছিল?

---

হাঁস.  আমার বোধগম্য, ডগ, তারা মূল জিনিসটি করেছে – তারা যা লিখেছে তা পড়ে – তারা তাদের প্রতিশ্রুতি পূরণ করেছে যে তারা আরও স্পষ্টভাবে নথিভুক্ত করবে: এটি কীভাবে কাজ করেছে, কেন এটি কাজ করেছে এবং সবচেয়ে গুরুত্বপূর্ণভাবে আপনি কী করতে পারেন। এটা যদি আপনি সত্যিই অ-স্থানীয় বা নন-ল্যান সার্ভার রাখতে চান যেগুলিকে আপনি স্থানীয় বলে মনে করেন।

কারণ লোকেরা যায়, "ওহ, ভাল, আমি একটি ছোট ব্যবসা, আমি শেয়ারপয়েন্ট, ওয়ানড্রাইভ, কিছু ক্লাউড পরিষেবা ব্যবহার করি, তাই আমি কিছু র্যান্ডম ডোমেন নাম পেয়েছি যা আমাকে জারি করা হয়েছিল... কিন্তু আমার কাছে এটি একটি স্থানীয় সার্ভার, এবং এটা জিনিসপত্রের জন্য আমার বিশ্বস্ত কর্পোরেট সংগ্রহস্থল।"

এবং তাই মাইক্রোসফ্টের কাছে এখন বেশ শালীন ডকুমেন্টেশন রয়েছে যা বলছে, "এখানে আপনি কীভাবে আপনার ব্যবহারকারীদের বলতে পারেন যে একটি নির্দিষ্ট বহিরাগত সার্ভারকে বিশ্বস্ত হিসাবে বিবেচনা করা হবে।"

যদিও এটি *মূলত একটি বর্জন, এবং সাইবার নিরাপত্তার ক্ষেত্রে বর্জন বিপজ্জনক হতে পারে, যেমন তাদের অ্যান্টিভাইরাস থাকা লোকেরা, "আরে, আমি যদি বাদ দেই তবে এটি আরও দ্রুত হবে C: ড্রাইভ [হাসি] কে জানত?"

তাই আপনাকে সতর্ক হতে হবে, কিন্তু এর মানে এই যে আপনার কাছে একটি সুনির্দিষ্ট তালিকা আছে যাতে বলা হয়, "এগুলি এমন সার্ভার যা আমি আসলে বিশ্বাস করি এবং আমি এগুলিকে এমন একটি জায়গা হিসাবে বিবেচনা করি যেখানে লোকেরা অফিসিয়াল কাজের সামগ্রী পেতে যেতে পারে।"

এবং এটি শুধুমাত্র ক্লিক না করা লোকেদের উপর নির্ভর করা থেকে খুব আলাদা [Oh, go on then, she'll be right] ইন্টারনেটের যেকোন জায়গা থেকে যখনই তারা ম্যাক্রো পান তখন বোতাম।

মাইক্রোসফ্ট যা করেছে তা হল তারা বাইরে গিয়ে একটি নথি তৈরি করেছে যা পড়া মোটামুটি সহজ এবং আপনার কোম্পানিকে বলার অনেক উপায় দেয়: "এটাই আমরা বিশ্বাস করি এবং এটিই আমরা করি না।"

সুতরাং, ভুল সময়ে সঠিক বোতামে ক্লিক না করা লোকেদের উপর নির্ভর করার চেয়ে এটি করার একটি সামান্য বেশি আনুষ্ঠানিক উপায়।

---

DOUG.  ঠিক আছে, আমাদের নিবন্ধে সেই দুটি নথির লিঙ্ক রয়েছে যা আপনি নেকেড সিকিউরিটিতে খুঁজে পেতে পারেন।

একে বলে: অফিস ম্যাক্রো নিরাপত্তা: অন-অ্যাগেইন-অফ-অ্যাগেইন ফিচার এখন আবার ব্যাক অন অগেইন.

হুররে!

এবং তারপরে, এমন কিছুর দিকে এগিয়ে যাওয়া যা খুব মজার নয়: 2021 সালে টি-মোবাইলের একটি বড় ডেটা লঙ্ঘন হয়েছিল এবং তাদের এখন আদেশ দেওয়া হচ্ছে কাশি আপ $500 মিলিয়ন, যা, আইনজীবী ফি পরে, প্রায় $25 শিকার প্রতি ঝাঁকুনি.

---

হাঁস.  হ্যাঁ, এবং মনে হচ্ছে অর্ধ-বিলিয়ন ডলার (বাহ, এটি একটি বড় পরিমাণ!) আলগাভাবে দুটি ভাগে বিভক্ত।

এখানে $350,000,000 আছে যা একটি ক্লাস অ্যাকশন মামলার অংশ, যা আপনার মার্কিন যুক্তরাষ্ট্রে আছে… আমাদের যুক্তরাজ্যে নেই।

আমার বোধগম্য হল একটি ক্লাস অ্যাকশন যেখানে যে কেউ যোগ দিতে পারে এবং বলতে পারে, "ওহ, হ্যাঁ, আমি একজন গ্রাহক।"

এবং ধারণাটি হল... যদি আপনি মামলা করেন এবং আপনি শুধুমাত্র $40 বা $50 বা $100 পেতেন, তাহলে আপনার নিজের বিরুদ্ধে মামলা করা খুব ঝুঁকিপূর্ণ হবে, তাই আপনি "পাওয়ার টু দ্য পিপল" একসাথে ব্যান্ড করুন।

এবং আইনজীবীরা সম্ভাব্য লক্ষাধিক লোকের পক্ষে বড় কোম্পানির পিছনে যান।

সুতরাং, এটির জন্য এটি একটি $350,000,000 নিষ্পত্তি।

দুর্ভাগ্যবশত, এমন অনেক দাবীদার আছে যেগুলো জনপ্রতি মাত্র $25, আপনি এর 30% (গল্প!) বের করার পর... আপনার 105 মিলিয়ন মার্কিন ডলার আইনজীবীদের কাছে যায়।

বাকিটা আসল লোকেদের কাছে যায় যারা T-Mobile এর গ্রাহক ছিলেন।

কিন্তু এটি দেখায় যে ডেটা লঙ্ঘনের শূন্য ফলাফল নেই।

এবং আপনি শ্রেণি ক্রিয়াকলাপ পছন্দ করুন বা না করুন, এই ধারণাটি রয়েছে যে লোকেরা যখন তাদের ডেটা লঙ্ঘন করে তখন আহত হয়, এমনকি যদি লঙ্ঘন এবং তাদের পরিচয় চুরির শিকার হওয়ার মধ্যে কোনও সুস্পষ্ট সংযোগ না থাকে।

এবং তারপর আছে আরো $150,000,000.

আমি সম্পূর্ণরূপে বুঝতে পারছি না কিভাবে এটি মার্কিন আইনি ব্যবস্থায় কাজ করে, কিন্তু আমার বোধগম্য হল এটি মূলত T-Mobile USA থেকে একটি প্রতিশ্রুতি যে তারা সেই অর্থ সাইবার নিরাপত্তার জন্য ব্যয় করবে, যেখানে তারা অন্যথায় তা নাও করতে পারে।

এবং যদি তারা সাইবার নিরাপত্তাকে একটি মূল্য হিসাবে দেখেন, ব্যয় হিসাবে নয়, আগে থেকেই!

যদি তারা $150,000,000 আগাম বিনিয়োগ করত, তাহলে তারা সম্ভবত $350,000,000 সঞ্চয় করতে পারত... কারণ তারা এখন যেভাবেই হোক সেই অর্থ উভয়ই খরচ করছে।

---

DOUG.  সুতরাং এটি সম্ভবত এখানে ফলাফলের ভাল অংশ: যে তারা তাদের নিরাপত্তা আপগ্রেড করার জন্য ব্যয় করতে বাধ্য হচ্ছে।

ব্যক্তি প্রতি $25 দুর্দান্ত, যাই হোক না কেন, তবে তাদের নিরাপত্তা আপগ্রেড করার জন্য নির্ধারিত অর্থ সম্ভবত একটি খারাপ পরিস্থিতি থেকে বেরিয়ে আসা একটি ভাল জিনিস।

---

হাঁস.  আমি তাই বলব, কারণ সাইবার সিকিউরিটি সঠিকভাবে না করার জন্য আপনি যখন এই ধরণের বড় জরিমানা পান তখন এটি সর্বদা সমস্যা হয়, তাই না?

এটি এমন অর্থ যা এখন সাইবার নিরাপত্তার জন্য ব্যয় করা যাবে না কারণ এটি অন্য কোথাও চলে গেছে।

আমি অনুমান করি এর উল্টো দিকটি হল যে আপনি কেবল বলতে পারবেন না, "ঠিক আছে, আপনার ডেটা লঙ্ঘন না হওয়া পর্যন্ত অপেক্ষা করুন এবং তারপরে একটি বিশাল জরিমানা হবে, তবে আপনাকে এটি সাইবার নিরাপত্তার জন্য ব্যয় করতে হবে", কারণ এটি প্রায় লোকেদের বিলম্ব করার জন্য আমন্ত্রণ জানানো যতক্ষণ না তারা এটি করতে বাধ্য হয়।

সুতরাং, আমি বিন্দু দেখতে পাচ্ছি যে গাজর অংশ আছে এবং লাঠি অংশ আছে.

সব মিলিয়ে দেড় হাজার কোটি ডলার!

এবং সেই সমস্ত লোকেদের কাছে যারা বলতে পছন্দ করেন, "ওহ, ভাল, বহু-বিলিয়ন ডলারের কোম্পানির জন্য, এটি চম্প পরিবর্তন"...

সত্যি?

আমার কাছে অনেক টাকার মত শোনাচ্ছে!

আমি অনুমান করি আপনি যদি একজন শেয়ারহোল্ডার হন, তাহলে আপনার সম্ভবত একটি ভিন্ন দৃষ্টিভঙ্গি আছে যে $500 মিলিয়ন ডলার কতটা চম্প-চেঞ্জি।

এটি একটি অনুস্মারক যে ডেটা লঙ্ঘন এমন কিছু নয় যা আপনি ভোগেন, এবং আপনি রিপোর্ট করেন, এবং আপনি চিৎকার করেন, এবং আপনি একটি বাজে রিপোর্ট আপনাকে পাঠানো হয়, কিন্তু আপনার কিছু খরচ হয় না।

এবং আমি যেমন বলেছি - এবং আমি জানি যে একটি সাইবার নিরাপত্তা সংস্থার জন্য কাজ করছি, আমি এটি বলব, তবে আমি এটি বলছি কারণ আমি মনে করি এটি সত্য, শুধু এই কারণে নয় যে আমি আপনাকে বিক্রি করার জন্য কিছু পেয়েছি...

আপনাকে সত্যিই সাইবার নিরাপত্তাকে একটি *মূল্য* হিসেবে ভাবতে হবে, কারণ গ্রাহকরা ক্রমবর্ধমানভাবে আশা করছে যে তারা প্যাকেজটি যা বিবেচনা করে তার অংশ হিসেবে এটি খুঁজে পাবে।

এই বিষয়ে আমার ধারণা হল আমি সম্ভবত ক্লাস অ্যাকশন স্যুটে যোগ দিতাম না, কিন্তু আমি খুব দৃঢ়ভাবে আমার ব্যবসাকে অন্য কোথাও নিয়ে যাওয়ার বিষয়টিকে প্রমাণ করার একটি ভিন্ন উপায় হিসেবে বিবেচনা করব।

---

DOUG.  ওয়েল, আমরা যে নজর রাখা হবে.

এটাই: টি-মোবাইল 500 ডেটা লঙ্ঘনের জন্য $2021 মিলিয়ন কাশি করবে, nakedsecurity.sophos.com-এ।

এবং আমরা ডান বরাবর অ্যাপল প্যাচিং একটি সরানো জিরো-ডে ব্রাউজার বাগ যেটা আমরা Pwn2Own প্রতিযোগিতা থেকে বলেছি।

সুতরাং, যতদূর প্যাচ যায় একটু পিছিয়ে, কিন্তু আমরা জানি না যে এটি আসলে অ্যাপলের বেড়ার পাশে কতটা খারাপ ছিল।

---

হাঁস.  প্রকৃতপক্ষে, অ্যাপলের সাম্প্রতিক আপডেটগুলিতে দুটি ব্রাউজার সম্পর্কিত বাগ সংশোধন করা হয়েছে, যা অ্যাপলের ঐতিহ্যগত উপায়ে মাইক্রোসফ্ট প্যাচ মঙ্গলবারের মতো যাতে তারা সমস্ত সম্ভাব্য অ্যাপল ডিভাইসগুলিকে কভার করে: tvOS, watchOS, iOS, iPadOS, macOS, ইত্যাদি .

কিন্তু, প্যাচ মঙ্গলবারের বিপরীতে, তারা আসে যখন তাদের মনে হয়... আমার মনে হয় এটি আসলে বৃহস্পতিবার ছিল, যদি আমার মনে থাকে, তাই এটি মঙ্গলবারেও ছিল না, এটি এসেছে।

এখন, ম্যাকওএসের পূর্ববর্তী এবং পূর্ববর্তী সংস্করণগুলি ব্যতীত সমস্ত সমর্থিত অপারেটিং সিস্টেমের জন্য অ্যাপল দ্বারা Safari প্যাচ করা হয়েছে, যেখানে আপনাকে আসলে *দুটি* আপডেট পেতে হবে, একটি OS এর জন্য এবং একটি Safari-এর জন্য।

সুতরাং, সাফারি 15.6 সংস্করণে যায়।

এবং মজার বিষয় হল এটি শুধুমাত্র Pwn2Own জিরো-ডে নয়, যেখানে মোজিলা বিখ্যাতভাবে Pwn2Own-এ এটি সম্পর্কে জানার দুই দিনের মধ্যে ফায়ারফক্সে সমতুল্য বাগ প্যাচ করেছে…

আপনার যদি মনে থাকে, একই চ্যাপ, ম্যানফ্রেড পল, একজন জার্মান হ্যাকার, ফায়ারফক্সকে এক ধরণের ডবল pwnage-এর জন্য $100,000 এবং তিনি সাফারিকে $50,000-এর জন্য বানান।

Mozilla তাদের বাগ বা বাগগুলিকে দুই দিনের মধ্যে প্যাচ করেছে, যদি আপনি মনে করেন।

কিন্তু অ্যাপল তাদের বৃত্তাকার পেতে মাস দুয়েক লেগেছে!

এটি অবশ্যই দায়বদ্ধভাবে প্রকাশ করা হয়েছিল, তাই আমরা জানি না যে এটি অন্য কেউ খুঁজে পাওয়ার কতটা সম্ভাবনা ছিল।

কিন্তু সাফারিতে ঠিক করা অন্য বাগটি দৃশ্যত সেই একই ত্রুটি ছিল যা Chrome-এর সেই জিরো-ডে হিসাবে আবির্ভূত হয়েছিল যা আমরা পডকাস্টে খুব বেশি দিন আগে বলেছিলাম, আমার মনে হয় এটি কয়েক সপ্তাহ আগে ছিল।

সেই বাগটি একটি নিরাপত্তা সংস্থার দ্বারা পাওয়া গিয়েছিল যা কিছু সন্দেহজনক আচরণের তদন্ত করছিল যা একজন গ্রাহক তাদের রিপোর্ট করেছিল৷

যেমনটি কখনও কখনও পরিচালিত হুমকির প্রতিক্রিয়ার সাথে ঘটে… আপনি চারপাশে তাকাচ্ছেন, এবং আপনি সমস্ত উপসর্গ এবং দুর্বৃত্তরা যা করছে তার পার্শ্ব প্রতিক্রিয়া দেখতে পাচ্ছেন, এবং আপনি মনে করেন, "এটি কোথা থেকে শুরু হয়েছিল?"

এবং কখনও কখনও এটি সুস্পষ্ট, "ওহ, তারা লগ ইন করেছে কারণ আপনার একটি নির্বোধ পাসওয়ার্ড ছিল, অথবা তারা লগ ইন করেছে কারণ আপনি এটি, সেই বা অন্য সার্ভারটি প্যাচ করতে ভুলে গেছেন।"

এবং মাঝে মাঝে আপনি এটি পুরোপুরি কাজ করতে পারবেন না, তবে আপনি ভাগ্যবান হতে পারেন এবং একটি অদ্ভুত ওয়েব পৃষ্ঠার মতো দেখতে হোঁচট খেতে পারেন: "ওহ মাই গলি, আমি ব্রাউজারে একটি শূন্য-দিন খুঁজে পেয়েছি!"

এবং তারপরে এটি একটি ভাল অনুমান যে হয় সাইবারক্রুকদের একটি খুব বিশিষ্ট গোষ্ঠী এটি পেয়েছে, বা সেই তথাকথিত আইনী স্পাইওয়্যার সংস্থাগুলির মধ্যে একটি - যারা সরকারী বাধা দেয় এমন ব্যক্তিরা খুঁজে পেয়েছে এবং তারা এটিকে লক্ষ্যযুক্ত উপায়ে ব্যবহার করছে .

এটি ক্রোমে শূন্য-দিন ছিল এবং ক্রোম এটি ঠিক করেছে।

দেখা যাচ্ছে যে একই বাগ, মনে হচ্ছে, ওয়েবকিটে ছিল - অ্যাপলের কোড - এবং তারা এটি ঠিক করতে আরও দুই সপ্তাহ সময় নিয়েছে, এবং তারা বলেনি যে তারা এটিতে কাজ করছে।

সুতরাং, চিত্র যান.

কিন্তু এটি অ্যাপলের জন্য এই প্যাচটিকে অন্তত ততটা গুরুত্বপূর্ণ করে তোলে যতটা আমরা কথা বলেছি।

এবং আমি জানি আমরা সবসময় বলি, "দেরি করবেন না/আজই করুন।"

কিন্তু এই ক্ষেত্রে, একটি বাগ রয়েছে যা আমরা জানি যে কেউ ইতিমধ্যেই খুঁজে পেয়েছে কারণ তারা দুই মাস আগে Pwn100Own-এ এটি 2% কাজ করে দেখায়; এবং অন্য একটি বাগ রয়েছে যা কোডের সাথে সম্পর্কিত যা Google Chrome-এ সংশোধন করেছে কারণ কেউ এটিকে বন্য অঞ্চলে নজরদারির উদ্দেশ্যে ব্যবহার করা হচ্ছে।

---

DOUG.  এটি আকর্ষণীয় যে আপনি কীভাবে Pwn2Own প্রকৃত প্রতিযোগিতা দেখায় সেই প্রক্রিয়াটি বর্ণনা করেছেন, কিন্তু দায়িত্বশীল প্রকাশ প্রক্রিয়া চলাকালীন আক্রমণগুলি কীভাবে কাজ করে তা দেখানো না করার জন্য তারা পদক্ষেপ নেয়।

---

হাঁস.  হ্যাঁ, এটা বেশ মজার, যদি আপনি ম্যানফ্রেড পলের ফায়ারফক্সের ভিডিও দেখেন।

তিনি স্পষ্টতই খুব আত্মবিশ্বাসী ছিলেন যে তিনি যা কিছু একসাথে রাখবেন তা কার্যকর হবে।

সুতরাং, ক্যামেরাটি তার মুখের দিকে, এবং বিচারকের মুখের দিকে ইশারা করছে, এবং তারপরে আপনি দেখতে পাচ্ছেন যে মন্তব্যকারী তার মাথায় লাঠি দিয়ে বললেন, "এই নাও, লোকেরা।"

এবং একটু টাইমার আছে - তার কাছে 30 মিনিট আছে।

"সবাই প্রস্তুত?"

হ্যাঁ, তারা প্রস্তুত... এবং আপনি যা দেখতে পাচ্ছেন তা হল দুটি স্ক্রিনের পিছনে, একটি সার্ভার এবং ক্লায়েন্টের জন্য।

এবং তারপরে আপনি বিচারককে বলছেন, "ঠিক আছে, যান!"

টাইমারটি গণনা শুরু করে, এবং ম্যানফ্রেড পল একটি বোতামে ক্লিক করেন - স্পষ্টতই, তিনি কিছুটা পেয়েছেন [Do it now] তার ব্রাউজার উইন্ডোতে বোতাম…

…এবং তারপরে আপনি দেখতে পাচ্ছেন যে টাইমারটি মাত্র 7 সেকেন্ডে ক্লিক করার সাথে সাথে সবাই মাথা নাড়ছে!

সুতরাং আপনি জানেন যে এটি কাজ করেছে - আপনি কেবল তাদের মুখ দেখতে পারেন।

সুষ্ঠুভাবে বলতে গেলে, অ্যাপল তাদের সময় নিচ্ছে এই ক্ষেত্রে, আপনাকে প্রস্তুত Pwn2Own আসতে হবে।

আপনাকে সম্পূর্ণ বিবরণ সহ আসতে হবে, তাই আমরা জানি না যে আক্রমণটি একত্রিত করতে ম্যানফ্রেড পলের কত সময় লেগেছিল।

তিনি কয়েক মাস ধরে এটিতে কাজ করতে পারতেন, এই ক্ষেত্রে বলছেন, "অ্যাপলের উচিত ছিল এটি দুই দিনের মধ্যে ঠিক করা উচিত"...

…ঠিক আছে, হয়তো তারা থাকতে পারত, কিন্তু হয়তো তারা অনুভব করেছিল যে জটিলতার কারণে তাদের প্রয়োজন নেই।

এবং সম্ভবত তারা নিশ্চিত করতে চেয়েছিল, পরীক্ষায়, ফিক্সটি ভালভাবে কাজ করতে চলেছে।

যাইহোক, যদিও Pwn2Own-এর একটি লাইভ ভিডিও ফিড আছে, এটি কাউকে প্রকৃত দুর্বলতা সম্পর্কে কিছু বের করার জন্য যথেষ্ট ইঙ্গিত দেওয়া উচিত নয়।

---

DOUG.  আমরা সম্পর্কে কিছু নির্দেশ আছে কিভাবে আপডেট করতে হয় আপনার iPhones, iPads এবং Macs সাইটে।

এবং আমরা একটি সঙ্গে শো রাউন্ড আউট ফায়ারফক্স বাগগুলির দুই প্যাক.

---

হাঁস.  হ্যাঁ, এবং সুসংবাদ হল যে ফায়ারফক্সের সর্বশেষ সংস্করণের জন্য, মোট আটটি CVE নম্বর রয়েছে, কিন্তু এর মধ্যে দুটি হল CVE নম্বর যা সমস্ত বাগগুলিকে কভার করে যার মধ্যে আপনি বলতে পারেন, "এগুলি সম্ভবত শোষিত হতে পারে এবং আমরা' আপনি কীভাবে তাদের শোষণ করতে পারেন তা খুঁজে বের করার বিশদ বিবরণে না গিয়ে যেভাবেই হোক সেগুলিকে বাল্কভাবে ঠিক করুন।"

সুতরাং, সেগুলি এমন জিনিস যা স্বয়ংক্রিয়ভাবে পাওয়া যায়, উদাহরণস্বরূপ অস্পষ্টতা বা স্বয়ংক্রিয় সরঞ্জামগুলির মাধ্যমে যা দুর্বলতার জন্য অনুসন্ধান করে যা দুর্ঘটনাক্রমে খুঁজে পেতে আপনাকে বছরের পর বছর অপেক্ষা করতে হতে পারে।

অন্য ছয়টি বাগ… এগুলোর কোনোটিই এমনকি উচ্চ রেট দেওয়া হয়নি।

তারা সবাই মাঝারি বা নিম্ন, যা এক ধরনের ভালো খবর।

তাদের মধ্যে দুটিকে আমি পৃথকভাবে কল করার যোগ্য বলে মনে করেছি, এবং আমরা ন্যাকেড সিকিউরিটিতে এগুলি লিখেছি কারণ এটি ব্রাউজারগুলিতে কী ধরণের বাগ-সম্পর্কিত সুরক্ষা ঝুঁকি থাকতে পারে তা বোঝার একটি আকর্ষণীয় অংশ।

এটা শুধু নয়, "ওহ, বাবুর্চিরা নির্বিচারে কোড চালাতে পারে এবং ম্যালওয়্যার বসাতে পারে।"

দুটি বাগ রয়েছে যা সম্ভাব্য আক্রমণকারীদের এমন কিছুতে ক্লিক করার জন্য আপনাকে প্রতারণা করার অনুমতি দেয় যা এটির চেয়ে নিরাপদ বলে মনে হয়।

এবং তাদের মধ্যে একটি হল, আমার ধারণা, ভাল পুরানো ক্লিকজ্যাকিং, যেখানে আপনি অবজেক্ট X-এ ক্লিক করেন, কিন্তু আসলে আপনি অবজেক্ট Y সক্রিয় করেন।

স্ক্রিনে মাউসের অবস্থান এবং যেখানে ব্রাউজার *মনে করে* এটিকে ভিন্ন করার জন্য প্রতারিত করা যেতে পারে।

সুতরাং, আপনি মাউস সরান, এবং আপনি ক্লিক করুন... কিন্তু আসলে ক্লিকটি স্ক্রিনের অন্য কোথাও নিবন্ধিত হয়।

আপনি এটি বেশ বিপজ্জনক হতে পারে কিভাবে দেখতে পারেন!

এটি দূরবর্তী কোড কার্যকর করার গ্যারান্টি দেয় না, তবে আপনি কল্পনা করতে পারেন: একজন বিজ্ঞাপন জালিয়াতি এটি পছন্দ করবে, তাই না?

তারা আপনাকে "না, আমি অবশ্যই প্রত্যাখ্যান করতে চাই" এ ক্লিক করতে বাধ্য করে এবং আসলে, আপনি এই বলে ক্লিক র্যাক আপ করবেন, "হ্যাঁ, আমি সত্যিই এই বিজ্ঞাপনটি দেখতে চাই।"

এবং এর মানে হল যে ফিশিং আক্রমণ এবং জাল ডাউনলোডের মতো জিনিসগুলির জন্য, আপনি একটি ডাউনলোডকে বৈধ দেখাতে পারেন যখন প্রকৃতপক্ষে ব্যক্তি এমন কিছুতে ক্লিক করছেন যা তারা উপলব্ধি করেন না৷

এবং অন্যান্য বাগটি উইন্ডোজের একটি ভাল পুরানো LNK লিঙ্ক ফাইলের সাথে সম্পর্কিত, তাই এটি একটি উইন্ডোজ-অনলি ফায়ারফক্স বাগ - এটি অন্যান্য পণ্যগুলিকে প্রভাবিত করে না।

এবং ধারণাটি হল যে আপনি যদি একটি স্থানীয় লিঙ্ক খোলেন যা উইন্ডোজ লিঙ্ক ফাইলে যেতে দেখা যায়…

…মনে রাখবেন, একটি লিঙ্ক ফাইল হল একটি উইন্ডোজ শর্টকাট, তাই সেগুলি তাদের নিজস্ব নিরাপত্তার সমস্যা।

কারণ একটি লিঙ্ক ফাইল একটি ছোট ছোট ফাইল যা বলে, যখন ব্যক্তি এটিতে ক্লিক করে, “আসলে, লিঙ্কটি খুলবেন না। লিঙ্কের ভিতরে তালিকাভুক্ত একটি ফাইল বা নেটওয়ার্ক অবস্থান খুলুন। ওহ, যাইহোক, আপনি লিঙ্কটি কোন আইকন হিসাবে প্রদর্শন করতে চান?"

তাই আপনার কাছে একটি আইকন সহ একটি লিঙ্ক ফাইল থাকতে পারে যেটি পিডিএফের মতো দেখায়।

কিন্তু যখন আপনি ক্লিক করেন, এটি আসলে একটি EXE চালু করে।

এবং এই ক্ষেত্রে, আপনি এটি আরও এগিয়ে নিতে পারেন।

আপনার কাছে একটি লিঙ্ক ফাইল থাকতে পারে যা আপনি "জানেন" স্থানীয়, তাই এটি একটি স্থানীয় ফাইল খুলতে যাচ্ছে।

কিন্তু আপনি যখন লিঙ্কটি ক্লিক করেন, এটি আসলে একটি নেটওয়ার্ক সংযোগ ট্রিগার করে।

অবশ্যই, যখনই একটি ব্রাউজার থেকে একটি নেটওয়ার্ক সংযোগ থাকে - এমনকি যদি রিমোট কোড এক্সিকিউশনের মতো সত্যিকারের বিপজ্জনক কিছু না ঘটে তবে - প্রতিটি আউটবাউন্ড সংযোগ তথ্য দেয়, সম্ভবত কুকি সহ, বর্তমান সেশন সম্পর্কে; আপনার ব্রাউজার সম্পর্কে; তোমার সম্পর্কে; আপনার নেটওয়ার্ক অবস্থান সম্পর্কে।

এবং তাই আপনি দেখতে পাচ্ছেন, এই উভয় বাগগুলির সাথে, এটি একটি দুর্দান্ত অনুস্মারক যে এটি সত্যিই গুরুত্বপূর্ণ যে আপনার ব্রাউজারটি আপনাকে পর্দার যে কোনও বিন্দুতে ক্লিক করলে কী ঘটে তার অবর্ণহীন সত্য উপস্থাপন করে।

এটি অত্যাবশ্যক যে এটি আপনাকে পরবর্তী কী ঘটবে তার একটি সঠিক এবং দরকারী উপস্থাপনা দেয়, যেমন, "আপনি সাইট থেকে চলে যাবেন৷ আপনি এই লিঙ্কে যাবেন যা আমরা স্পষ্ট করে দিলে আপনি ক্লিক করতেন না।"

সুতরাং এটা গুরুত্বপূর্ণ যে ব্রাউজার আপনাকে অন্তত একটি উপায় দেয় যে আপনি পরবর্তীতে কোথায় যাচ্ছেন।

যাইহোক, এইগুলি প্যাচ করা হয়েছে, তাই আপনি যদি আপডেট পান তবে আপনার ঝুঁকি থাকবে না!

---

DOUG.  চমৎকার।

ঠিক আছে, এটি বলা হয়: ফায়ারফক্স থেকে হালকা মাসিক নিরাপত্তা আপডেট, কিন্তু তবুও আপডেট করুন.

আমি যে আরো হালকা আকর্ষণীয় খুঁজে পেয়েছি, বিশেষ করে CSS রূপান্তরের সাথে মাউস পজিশন স্পুফিং.

---

হাঁস.  হ্যাঁ, সেখানে দুষ্টুমির সম্ভাবনা প্রচুর!

---

DOUG.  ঠিক আছে, যে শিরা, আমরা একটি পাঠক আছে যারা লেখা আছে.

নেকেড সিকিউরিটি পডকাস্ট শ্রোতা কেউ নিম্নলিখিত লেখেন না... আমি এটি পছন্দ করি:

হাই।

আমি অনুষ্ঠানটি অনেক পছন্দ করি এবং শুরু থেকে প্রায় প্রতিটি পর্বই শুনেছি। আমি নিরাপত্তায় কাজ করি, কিন্তু এই মুহূর্তে, আমার ব্যক্তিগত জীবনে, আমি একটি পরিবারের জন্য বিড়াল-বসা ঘরের অ্যালার্ম সহ।

---

হাঁস.  যখন আমি সেই ইমেলটি পড়তে শুরু করি, তখন আমি ভেবেছিলাম, "ওহ, আমি জানি কি হয়! যতবার বিড়াল ঘুরে বেড়ায়, ততবারই অ্যালার্ম বেজে যায়। এবং এখন তিনি এই জিনিসটির মুখোমুখি হয়েছেন, 'আমাকে না বলা সত্ত্বেও আমি কি নিরাপত্তা বন্ধ করে দেব?' কিন্তু এটা তার চেয়ে অনেক খারাপ!”

---

DOUG.  এটা তার থেকে এমনকি *ভাল*. [হাসি]

সে লেখে:

তাদের কোডের সাথে মেলে এমন নম্বরগুলি বন্ধ হয়ে গেছে, যখন সমস্ত ভুল নম্বরগুলি স্পষ্টভাবে অস্পর্শিত।

সুতরাং কোডে কোন সংখ্যা রয়েছে তা অনুমান করা সহজ।

আমি তাদের বলার কথা ভেবেছিলাম যে তাদের কোড পরিবর্তন করার সময় এসেছে, কিন্তু তারপরে আমি লক্ষ্য করেছি যে অ্যালার্ম কোডটি অ্যালার্মের ঠিক পাশে টেপ করা কাগজের টুকরোতেও লেখা আছে।

তাই আমি যে নিরাপত্তা গর্ত খুঁজে পেয়েছি তা তাদের কাছে স্পষ্টভাবে উল্লেখ করার মতো নয়।

[হাসি]

আপনার হাসতে হবে না!

আপনার নিরাপত্তা অ্যালার্ম প্যানেলের পাশে আপনার নিরাপত্তা কোড লিখবেন না!

কেউ না, এটি লেখার জন্য আপনাকে ধন্যবাদ।

আমি আপনাকে পরামর্শ দেব যে আপনি তাদের কোড পরিবর্তন করার পরামর্শ দিন এবং এতে লেখা কোড সহ কাগজটি ফেলে দিন।

---

হাঁস.  হ্যাঁ.

এবং, প্রকৃতপক্ষে, যদি তারা তা করে, আপনি তর্ক করতে পারেন যে তখন কীপ্যাডটি একটি সুন্দর ছলনা মত হবে।

---

DOUG.  হ্যাঁ অবশ্যই!

---

হাঁস.  কারণ রাঁধুনিরা ভুল কোডের সমস্ত পরিবর্তনের চেষ্টা চালিয়ে যাবে।

এবং যদি দশ-ট্রায়াল লকআউট বা অন্য কিছুর মতো থাকে ...

---

DOUG.  ঠিক আছে, যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।

আপনি tips@sophos.com-এ ইমেল করতে পারেন, আপনি আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন এবং আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @NakedSecurity.

এটাই আমাদের আজকের অনুষ্ঠান।

শোনার জন্য অনেক ধন্যবাদ.

পল ডকলিনের জন্য, আমি ডগ আমথ, আপনাকে মনে করিয়ে দিচ্ছি, পরের বার পর্যন্ত...

---

উভয়।  নিরাপদ থাকুন!

[মিউজিক্যাল মডেম]