গত সপ্তাহান্তে একটি সার্ভার প্রশাসক হতে একটি খারাপ সময় ছিল. Apache Log4j-এ একটি জটিল দুর্বলতা দেখা দিয়েছে। বড় সমস্যা? আক্রমণকারীদের কাছে ওপেন সোর্স জাভা প্যাকেজটি ব্যবহার করার সুযোগ রয়েছে যা টুইটার থেকে আইক্লাউড পর্যন্ত সমস্ত ধরণের অ্যাপ্লিকেশন আক্রমণকারী বেছে নেওয়া যেকোনো কোড কার্যকর করতে ব্যবহার করে।
এটি শোনার মতোই ভয়ঙ্কর।
আপনার এবং আমার জন্য Apache Log4j শোষণের অর্থ কী
আমি হান্ট্রেস ল্যাবসের সাইবারসিকিউরিটি গবেষক জন হ্যামন্ডের সাথে শোষণ এবং ক্ষতি কমানোর জন্য পরবর্তী স্ক্র্যাম্বল সম্পর্কে কথা বলেছি। হ্যামন্ড তার ইউটিউব চ্যানেলের জন্য একটি মাইনক্রাফ্ট সার্ভারে শোষণটি পুনরায় তৈরি করেছেন এবং ফলাফলগুলি বিস্ফোরক ছিল।
প্রশ্নঃ এই শোষণ কি? আপনি কি সাধারণ মানুষের পদে ঘটছে ব্যাখ্যা করতে পারেন?
উত্তর: এই শোষণটি খারাপ অভিনেতাদের পাঠ্যের একক লাইনের সাথে একটি কম্পিউটারের নিয়ন্ত্রণ অর্জন করতে দেয়। সাধারণের পরিভাষায়, একটি লগ ফাইল একটি নতুন এন্ট্রি পুনরুদ্ধার করছে কিন্তু লগ ফাইলের ভিতরে থাকা ডেটা পড়া এবং বাস্তবে কার্যকর করা হচ্ছে। বিশেষভাবে তৈরি করা ইনপুট সহ, একটি ভিকটিম কম্পিউটার একটি পৃথক দূষিত ডিভাইসের সাথে যোগাযোগ করবে এবং তার সাথে সংযুক্ত হবে যাতে প্রতিপক্ষের তৈরি করা কোনো খারাপ কাজ ডাউনলোড এবং চালানো হয়।
প্রশ্ন: মাইনক্রাফ্টে এই শোষণের প্রতিলিপি করা কতটা কঠিন ছিল?
উত্তর: এই দুর্বলতা এবং শোষণ সেট আপ করার জন্য তুচ্ছ, যা এটি খারাপ অভিনেতাদের জন্য একটি খুব আকর্ষণীয় বিকল্প করে তোলে। আমি শোকেস করেছি মাইনক্রাফ্টে কীভাবে এটি পুনরায় তৈরি করা হয়েছিল তা প্রদর্শন করে একটি ভিডিও ওয়াকথ্রু, এবং "আক্রমণকারীর দৃষ্টিভঙ্গি" সেট আপ হতে 10 মিনিট সময় নেয় যদি তারা জানে যে তারা কী করছে এবং তাদের কী প্রয়োজন।
প্রশ্নঃ কারা এর দ্বারা প্রভাবিত হয়?
উত্তর: শেষ পর্যন্ত, প্রত্যেকেই কোনও না কোনও উপায়ে এটি দ্বারা প্রভাবিত হয়। একটি অত্যন্ত উচ্চ সম্ভাবনা আছে, প্রায় নিশ্চিত, যে প্রত্যেক ব্যক্তি এমন কিছু সফ্টওয়্যার বা প্রযুক্তির সাথে যোগাযোগ করে যার এই দুর্বলতাটি কোথাও না কোথাও আটকে আছে।
আমরা অ্যামাজন, টেসলা, স্টিম, এমনকি টুইটার এবং লিঙ্কডইনের মতো জিনিসগুলিতে দুর্বলতার প্রমাণ দেখেছি। দুর্ভাগ্যবশত, আমরা দীর্ঘ সময়ের জন্য এই দুর্বলতার প্রভাব দেখতে পাব, যখন কিছু লিগ্যাসি সফ্টওয়্যার আজকাল রক্ষণাবেক্ষণ বা পুশ আপডেট নাও হতে পারে।
প্রশ্ন: ক্ষতিগ্রস্ত পক্ষগুলিকে তাদের সিস্টেম নিরাপদ রাখতে কী করতে হবে?
উত্তর: সত্যই, ব্যক্তিদের তাদের ব্যবহার করা সফ্টওয়্যার এবং অ্যাপ্লিকেশনগুলি সম্পর্কে সচেতন থাকতে হবে এবং এমনকি “[that-software-name] log4j”-এর জন্য একটি সাধারণ Google অনুসন্ধান করতে হবে এবং সেই বিক্রেতা বা প্রদানকারী এই নতুন সম্পর্কিত বিজ্ঞপ্তিগুলির জন্য কোনও পরামর্শ শেয়ার করেছেন কিনা তা পরীক্ষা করে দেখুন। হুমকি
এই দুর্বলতা পুরো ইন্টারনেট এবং নিরাপত্তা ল্যান্ডস্কেপ নাড়াচ্ছে. লোকেদের উচিত তাদের সরবরাহকারীদের থেকে সাম্প্রতিক সুরক্ষা আপডেটগুলি যত তাড়াতাড়ি তারা উপলব্ধ হয় ডাউনলোড করা এবং যে অ্যাপ্লিকেশনগুলি এখনও একটি আপডেটের জন্য অপেক্ষা করছে সেগুলিতে সতর্ক থাকা উচিত। এবং অবশ্যই, নিরাপত্তা এখনও বেয়ার-বোন বেসিকগুলির উপর নির্ভর করে যা আপনি ভুলে যেতে পারবেন না: একটি শক্ত অ্যান্টিভাইরাস চালান, দীর্ঘ, জটিল পাসওয়ার্ড ব্যবহার করুন (একটি ডিজিটাল পাসওয়ার্ড ম্যানেজার দৃঢ়ভাবে সুপারিশ করা হয়!), এবং বিশেষভাবে কী উপস্থাপন করা হয়েছে সে সম্পর্কে সচেতন থাকুন। আপনার কম্পিউটারে আপনার সামনে।
আমাদের সম্পাদকদের দ্বারা প্রস্তাবিত
আপনি কি পড়ছেন ভালো লাগে? আপনি এটি সাপ্তাহিক আপনার ইনবক্সে বিতরণ পছন্দ করবেন। SecurityWatch নিউজলেটার জন্য সাইন আপ করুন.
পুলিশ + ডেটা ব্রোকার = আইনি ফাঁকফোকর
পুরানো সিনেমার অপরাধীরা সবসময় আইনের সঠিক এবং ভুল উভয় দিকেই তাদের পথ জানত। যদি একজন পুলিশ অফিসার তাদের দরজা ভেঙে ফেলার হুমকি দেয়, তারা শুধু হেসে বলবে, "ওহ হ্যাঁ? পরোয়ানা নিয়ে ফিরে এসো।”
আজকের বাস্তবতায়, পুলিশকে আপনার ডেটার জন্য ওয়ারেন্ট পেতে বিরক্ত করার দরকার নেই যদি তারা কোনও ডেটা ব্রোকারের কাছ থেকে তথ্য কিনতে পারে। এখন, আমরা আইন ভঙ্গকে রোমান্টিক করার মতো নই, কিন্তু ক্ষমতার সম্ভাব্য অপব্যবহারও আমরা পছন্দ করি না।
PCMag-এর রব পেগোরারো যেমন লিখেছেন, ডেটা ব্রোকাররা আইন প্রয়োগকারী এবং গোয়েন্দা সংস্থাগুলিকে ব্যক্তিগত নাগরিকদের সম্পর্কে সংগৃহীত তথ্য বিক্রির অনুমতি দিয়ে চতুর্থ সংশোধনীর কাছাকাছি যাওয়ার উপায় সরবরাহ করে। এফবিআই একটি উদাহরণে "প্রাক-তদন্তমূলক কার্যকলাপের" জন্য একটি ডেটা ব্রোকারের সাথে একটি চুক্তি স্বাক্ষর করেছে৷
জটিল অ্যাপের গোপনীয়তা নীতি এবং ডেটা ব্রোকারের শর্তাবলীর জন্য ধন্যবাদ, গড় আমেরিকান নাগরিক সম্ভবত জানেন না যে কীভাবে তাদের ফোনের অবস্থানের ডেটা আইন প্রয়োগকারী ডেটাবেসে যায়। যে আপনি বিরক্ত? যদি তাই হয়, এটি আপনার নিজের হাতে বিষয়গুলি নেওয়ার এবং উত্স থেকে ডেটা সংগ্রহ বন্ধ করার সময়। আপনার অবস্থান গোপন রাখতে অ্যাপল এবং গুগল অফার করা লোকেশন গোপনীয়তা বৈশিষ্ট্যগুলি ব্যবহার করুন apps. iOS ব্যবহারকারীদের যেকোনো অ্যাপকে তাদের অবস্থান জানা থেকে বিরত রাখতে দেয় এবং Google এর Android 12 একই ধরনের নিয়ন্ত্রণ যোগ করে।
এই সপ্তাহে নিরাপত্তা বিশ্বে আর কী ঘটছে?
আপনি কি পড়ছেন পছন্দ করেন?
নিবন্ধনের জন্য নিরাপত্তা ঘড়ি আমাদের শীর্ষ গোপনীয়তা এবং নিরাপত্তা গল্পের জন্য নিউজলেটার সরাসরি আপনার ইনবক্সে বিতরণ করা হয়েছে।
এই নিউজলেটারে বিজ্ঞাপন, ডিল বা অনুমোদিত লিঙ্ক থাকতে পারে। একটি নিউজলেটার সাবস্ক্রাইব করা আমাদের আপনার সম্মতি ইঙ্গিত করে ব্যবহারের শর্তাবলী এবং গোপনীয়তা নীতি। আপনি যে কোনও সময় নিউজলেটারগুলি থেকে সাবস্ক্রাইব করতে পারেন।
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba