S3 Ep 126: দ্রুত ফ্যাশনের দাম (এবং ফিচার ক্রীপ) [অডিও + টেক্সট]

নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।

[মিউজিক্যাল মডেম]

হাঁস.  হ্যালো সবাই.

সোফোস নেকেড সিকিউরিটি পডকাস্টে স্বাগতম।

আপনি শুনতে পাচ্ছেন, আমি হাঁস; আমি ডগ নই (ডগ ছুটিতে আছে)

তাই, আমি আবার আমার বন্ধু এবং সহকর্মী চেস্টার উইসনিউস্কির সাথে যোগ দিয়েছি।

আবার স্বাগতম, চেস্টার।

এটা আপনাকে পেয়ে মহান!

---

CHET.  ধন্যবাদ, হাঁস.

আমি শুধু ভাবছিলাম... আসলে, আমি আমার স্ক্রিনের দিকে তাকাচ্ছি যখন আপনি পডকাস্টের সাথে পরিচয় করিয়ে দিচ্ছেন, এবং বুঝতে পেরেছি যে আজ আমি ChetChat পডকাস্ট শুরু করার 13 তম বার্ষিকী, এটি অবসর নেওয়ার আগে এবং অবশেষে এই পডকাস্ট হয়ে গেল।

সুতরাং আপনি এবং আমি 13 বছর ধরে এখানে আছি!

---

হাঁস.  ভাগ্যবান 13, তাই না?

---

CHET.  হ্যাঁ!

---

হাঁস.  ওয়েল, আপনি যখন মজা করছেন সময় কিভাবে উড়ে.

---

CHET.  হ্যাঁ, এবং এটি *মজাদার*।

এবং অ্যান্ডি গ্রিনবার্গের আসনে থাকতে পেরে আমি সত্যিই সম্মানিত বোধ করছি।

আমি পডকাস্টে শেষ ছিলাম যেহেতু আপনি সত্যিই গেমটি বাড়িয়ে দিয়েছেন [হাসি]।

---

হাঁস.  [হাসি] তিনি কথা বলতে খুব মজার একজন ব্যক্তি ছিলেন।

আমি জানি না আপনি সেই বইটি পড়েছেন কিনা যা আমরা তার সাথে পডকাস্টে ফিচার করেছি: অন্ধকারে ট্রেসার্স?

অন্ধকারে ট্রেসার্স: ক্রিপ্টো-এর ক্রাইম লর্ডসের জন্য গ্লোবাল হান্ট

---

CHET.  অবশ্যই, হ্যাঁ

---

হাঁস.  এটি একটি আকর্ষণীয় গল্প, খুব ভালভাবে বলা হয়েছে।

---

CHET.  হ্যাঁ, আমি বলতে চাচ্ছি, এটি অবশ্যই আমার পড়া এই বিষয়ে সেরা বই ছিল...

…সম্ভবত কাউন্টডাউন টু জিরো ডে থেকে, এবং এটি আমার কাছ থেকে একটি চমত্কার উচ্চ প্রশংসা।

---

হাঁস.  চেস্টার, আসুন আজকের জন্য আমাদের প্রথম বিষয় দিয়ে শুরু করি, যা হল... আমি শুধু নেকেড সিকিউরিটির নিবন্ধটির শিরোনামটি পড়ব: SHEIN শপিং অ্যাপ দুর্বৃত্ত হয়ে যায়, আপনার ক্লিপবোর্ড থেকে দাম এবং URL ডেটা নিয়ে যায়।

একটি অনুস্মারক যে এমনকি অ্যাপগুলি যেগুলি প্রকাশ্যে দূষিত নয় সেগুলি বিপজ্জনক জিনিসগুলি করতে পারে যা ডেটা সংগ্রহ করে যা সেই সময়ে একটি ভাল ধারণা ছিল...

…কিন্তু তারা আনন্দিত ভাল থাকা উচিত নয়।

SHEIN শপিং অ্যাপ দুর্বৃত্ত হয়ে যায়, আপনার ক্লিপবোর্ড থেকে দাম এবং URL ডেটা নিয়ে যায়

---

CHET.  হ্যাঁ - আমার ক্লিপবোর্ডে স্পর্শ করা যেকোনো কিছু অবিলম্বে আমার মাথায় সব ধরনের বিপদের ঘণ্টা বেজে ওঠে যা আমি কল্পনা করছি যে তারা করছে।

এবং এটি এক ধরণের প্রশ্ন জিজ্ঞাসা করে, যদি আমি একজন বিকাশকারী হতাম, এমনকি যদি আমি নির্দোষ কিছু করতাম… যা আমি অনুমান করি যে আমরা এক সেকেন্ডের মধ্যে এটি পেতে পারব।

তারা যা করতে চাইছিল তা কতটা নির্দোষ ছিল তা বলা কঠিন।

---

হাঁস.  ঠিক.

---

CHET.  আপনি যখন এই ধরনের অনুমতি চান, আমার মাথায় সব ধরনের বিপদের ঘণ্টা বেজে ওঠে।

এটি অনেকটা অ্যান্ড্রয়েড ফোনের মতো, দীর্ঘ সময়ের জন্য, একটি IoT ডিভাইস খুঁজে পেতে ব্লুটুথ ব্যবহার করার জন্য, আপনার প্রয়োজন ছিল "অ্যাক্সেস ডিভাইসগুলি কাছাকাছি", যার জন্য ব্লুটুথ প্রয়োজন।

এবং আপনি স্ক্রিনে এই লোমশ সতর্কতা পাবেন, "এটি আপনার অবস্থান জানতে চায়।"

এবং আপনি যাচ্ছেন, "কেন এই স্মার্ট লাইট বাল্বটি আমার অবস্থান জানতে হবে?"

আপনি যখন বলেন আপনি আমার ক্লিপবোর্ড অ্যাক্সেস করছেন, তখন আমার মন যায়, "কেন এই অ্যাপটি আমার পাসওয়ার্ড চুরি করার চেষ্টা করছে?"

হতে পারে এটি এমন কিছু যা আমাদের লোকেদের জন্য স্পষ্ট করা উচিত…

…কারণ আমি মনে করি আপনি যখন বলেন, “ক্লিপবোর্ডের বিষয়বস্তুগুলিকে অ্যাপে রাখুন”, এমন সময় আছে যখন *আপনি* এটি করছেন (আপনি আপনার পাসওয়ার্ড অনুলিপি করতে বেছে নিতে পারেন, অথবা হতে পারে বার্তাগুলি থেকে সেই SMS দুটি ফ্যাক্টর কোড অ্যাপ এবং তারপরে আপনি যে অ্যাপে প্রমাণীকরণ করছেন সেটিতে পেস্ট করুন)…

---

হাঁস.  হ্যাঁ.

---

CHET.  আমরা যখন এই অনুমতির কথা বলছি তখন সেটাই *না*, তাই না?

এই অনুমতিটি অ্যাপটি নিজেই আপনার বিদ্যমান ক্লিপবোর্ড সামগ্রীতে উঁকি দেয় যে কোনো সময় এটি বেছে নেয়...

…যখন আপনি সক্রিয়ভাবে অ্যাপের সাথে ইন্টারঅ্যাক্ট করছেন এবং দীর্ঘক্ষণ ট্যাপ করছেন এবং বলছেন, "পেস্ট করুন।"

---

হাঁস.  ঠিক.

মূলত, এটি একটি পেস্ট করছে যখন আপনি এটি উদ্দেশ্য করেননি।

আপনি ক্লিপবোর্ডে অনুলিপি করার জন্য যে ডেটা বেছে নিয়েছেন তা যতই নির্দোষ হোক না কেন, এটি সত্যিই কিছু এলোমেলো অ্যাপের সিদ্ধান্ত নেওয়া উচিত নয়, "আরে, আমি এটি পেস্ট করতে যাচ্ছি কারণ আমি এটি অনুভব করছি। "

এবং এটি বিশেষ করে র‍্যাঙ্ক করে যে এটি মূলত এটিকে একটি ওয়েব অনুরোধে পেস্ট করছিল যে এটি হেড অফিসে কিছু RESTful বিপণন API-কে পাঠানো হয়েছে!

---

CHET.  এটা এমনকি একটি প্রত্যাশিত আচরণ না, ডান, হাঁস?

মানে, যদি আমি আমার ব্যাঙ্কিং অ্যাপে থাকি এবং এটি টেক্সট মেসেজ থেকে কোড চাইছে...

…আমি হয়তো দেখতে পাচ্ছি কিভাবে এটি টেক্সট মেসেজ অ্যাপকে ক্লিপবোর্ডে কপি করতে এবং স্বয়ংক্রিয়ভাবে পেস্ট করতে বলবে, যাতে প্রবাহ সহজ হয়।

তবে আমি কখনই আমার ক্লিপবোর্ড থেকে ফ্যাশন অ্যাপে শেষ হওয়ার কিছু আশা করব না!

ঠিক আছে, যদি আপনার প্রয়োজন না হয় তবে অ্যাপগুলি ব্যবহার করবেন না।

যে, আমি মনে করি, এখানে একটি বড় সমস্যা.

আমি প্রতিনিয়ত দেখছি, এখন যখন আমি যেকোন ধরনের শপিং সাইটে যাই, তখন আমার ফোনে আমার ফায়ারফক্সে ভয়ঙ্কর কিছু পপ আপ পাই যে, “আমি কি অ্যাপটি ইনস্টল করতে চাই? কেন আমি অ্যাপের মাধ্যমে সাইট অ্যাক্সেস করছি না? আমি কি অ্যাপটি ব্যবহার করতে পছন্দ করব?"

এবং উত্তর হল NO, NO, এবং NO, কারণ আপনার কাছে অবিশ্বস্ত কোড থাকলে এটি এমনই হয়।

আমি কোডটি বিশ্বাস করতে পারছি না কারণ Google বলেছে এটা ঠিক আছে।

আমরা জানি যে Google-এর কোনো প্রকৃত মানুষের স্ক্রিনিং অ্যাপ নেই... Google-এর কিছু Google Chat-GPT দানব বা অন্য কিছু দ্বারা পরিচালিত হচ্ছে।

তাই Google সেগুলিকে স্ক্রিন করার জন্য উপযুক্ত মনে করে যেভাবেই জিনিসগুলি স্ক্রিন করা হয় এবং তারপরে সেগুলি প্লে স্টোরে শেষ হয়৷

তাই আমি শুধু যে কোড কোন পছন্দ করি না.

আমি বলতে চাচ্ছি, আমার ডিভাইসে এমন অ্যাপ আছে যা আমাকে লোড করতে হবে, অথবা আমি মনে করি যে প্রকাশকদের উপর ভিত্তি করে আরও বেশি আস্থা আছে...

…কিন্তু সাধারণভাবে, শুধু ওয়েবসাইটে যান!

---

হাঁস.  যে কেউ ন্যাকেড সিকিউরিটি পডকাস্ট শোনেন তারা জানেন, যখন আমরা ব্রাউজার জিরো-ডেসের মতো জিনিসগুলি নিয়ে কথা বলছি, ব্রাউজার নির্মাতারা তাদের কোড থেকে বাগগুলি খুঁজে বের করতে এবং অপসারণ করতে কতটা প্রচেষ্টা করে।

---

CHET.  এবং লোকেরা মনে রাখতে পারে, সেইসাথে, আপনি যে কোনও ওয়েবসাইটকে এই দিনগুলিতে একটি অ্যাপের মতো আচরণ করতে পারেন।

প্রগতিশীল ওয়েব অ্যাপস বা PWA বলা হয়।

---

হাঁস.  চেস্টার, চলুন গত সপ্তাহের পরবর্তী গল্পে চলে যাই, একটি গল্প যা আমি আকর্ষণীয় বলে মনে করেছি।

আমি এটি লিখেছিলাম কারণ আমি নম্বরটি পছন্দ করেছি, এবং এতে কিছু আকর্ষণীয় সমস্যা ছিল, এবং তা হল: ফায়ারফক্স সংস্করণ 111 11টি সিভিই ছিদ্র ঠিক করেছে, কিন্তু 1টি শূন্য-দিন ছিল না।

(এবং এটি আমার অজুহাত 1 সংখ্যা সহ একটি শিরোনাম ছয় বার পুনরাবৃত্তি করা হয়েছে।) [হাসি]

ফায়ারফক্স 111 11টি ছিদ্র প্যাচ করে, কিন্তু তাদের মধ্যে 1টি শূন্য-দিন নয়…

---

CHET.  [হাসি] আমি ফায়ারফক্সের একজন ভক্ত এবং এটা দেখে ভালো লাগছে যে সক্রিয়ভাবে শোষিত হওয়ার মতো কিছুই আবিষ্কৃত হয়নি।

কিন্তু এই সম্পর্কে সবচেয়ে ভাল অংশ হল যে তারা সেই মেমরি সুরক্ষা সমস্যাগুলিকে অন্তর্ভুক্ত করে যা প্রতিরোধমূলকভাবে আবিষ্কৃত হয়েছিল, তাই না?

তারা বাইরের কোন ব্যক্তি বা দলের কাছে তাদের ক্রেডিট দিচ্ছে না যারা কিছু আবিষ্কার করেছে এবং তাদের কাছে রিপোর্ট করেছে।

তারা শুধুমাত্র সক্রিয়ভাবে শিকার করছে, এবং আমাদের জানায় যে তারা মেমরি নিরাপত্তা সংক্রান্ত সমস্যা নিয়ে কাজ করছে...

… যা আমি মনে করি সত্যিই ভাল.

---

হাঁস.  আমি মজিলার সাথে যা পছন্দ করি তা হল প্রতি চার সপ্তাহে, যখন তারা বড় আপডেট করে, তারা সমস্ত মেমরি সুরক্ষা বাগ নিয়ে যায়, একটি ছোট ঝুড়িতে রাখে এবং বলে, "আপনি কি জানেন? আমরা আসলে এগুলি শোষণযোগ্য কিনা তা খুঁজে বের করার চেষ্টা করিনি, তবে আমরা এখনও তাদের একটি CVE নম্বর দিতে যাচ্ছি…

…এবং স্বীকার করুন যে এগুলি আসলে শোষণযোগ্য নাও হতে পারে, এটা ধরে নেওয়া উচিত যে কেউ যদি যথেষ্ট পরিশ্রম করে থাকে, বা ইচ্ছা থাকে, বা তাদের পিছনে অর্থ থাকে, বা এটি করার জন্য যথেষ্ট খারাপভাবে চেয়েছিল (এবং সেগুলির মধ্যে এমন লোক রয়েছে বিভাগ), আপনাকে ধরে নিতে হবে যে তারা এইগুলির মধ্যে একটিকে এমনভাবে শোষণ করার একটি উপায় খুঁজে পাবে যা আপনার ক্ষতির জন্য হবে।"

এবং আপনি ফায়ারফক্স বা মজিলা থেকে স্থিতিশীল…

---

CHET.  একেবারে - আমি শুধু যে সম্পর্কে চিন্তা ছিল.

আমরা পডকাস্টের আগে, ফায়ারফক্স (বা মোজিলা ফাউন্ডেশন, শেষ পর্যন্ত) তৈরি করা সার্ভো নামক একটি প্রকল্প সম্পর্কে কথা বলছিলাম।

এবং, আপনি যেমন বলছেন, এটি একটি ব্রাউজার ইঞ্জিন রেন্ডারিং ইঞ্জিন (বর্তমানে মোজিলা ফায়ারফক্সে এটিকে গেকো বলা হয়)… ধারণাটি ছিল রেন্ডারিং ইঞ্জিনটি সম্পূর্ণরূপে রাস্টে লেখা, এবং আসলে এটিই ছিল রাস্ট প্রোগ্রামিং ভাষা তৈরির অনুপ্রেরণা।

এখানে গুরুত্বপূর্ণ বিষয় হল যে মরিচা একটি স্মৃতি-নিরাপদ ভাষা।

এই CVE-তে যে ভুলগুলো ঠিক করা হচ্ছে সেগুলো আপনি করতে পারবেন না।

সুতরাং, একটি স্বপ্নের জগতে, আপনি মেমরি নিরাপত্তা CVE ছাড়াই এই ফায়ারফক্স আপডেট ব্লগটি করছেন।

এবং সার্ভো বিকাশ চালিয়ে যাওয়ার জন্য লিনাক্স ফাউন্ডেশনে কিছু অর্থায়ন দেখে আমি বেশ উত্তেজিত ছিলাম।

হতে পারে যে, ভবিষ্যতে, একটি নতুন ফায়ারফক্স ইঞ্জিন হবে যা আমাদের আরও নিরাপদ করে তুলবে?

---

হাঁস.  হ্যাঁ!

আসুন পরিষ্কার করা যাক - শুধু কারণ আপনি মরিচা-এ কোড লিখছেন এটি সঠিক করে না, এবং এটি দুর্বলতা থেকে প্রতিরোধী করে না।

কিন্তু, আপনি যেমন বলছেন, সেখানে সব ধরণের সমস্যা আছে, বিশেষ করে মেমরি ম্যানেজমেন্টের সাথে সম্পর্কিত, যা আপনি যেমন বলেন, অনেক বেশি কঠিন কাজ।

এবং ভাল-লিখিত কোডে, এমনকি কম্পাইলের সময়ে, কম্পাইলার দেখতে সক্ষম হওয়া উচিত যে "এটি সঠিক নয়"।

এবং যদি এটি স্বয়ংক্রিয়ভাবে করা যায়, স্ক্রিপ্টিং ভাষায় আপনার প্রয়োজনীয় সমস্ত ওভারহেড ছাড়াই যা আবর্জনা সংগ্রহের মতো কিছু করে, যাতে আপনি এখনও ভাল পারফরম্যান্স পান, এটি আকর্ষণীয় হবে।

আমি শুধু ভাবছি কতক্ষণ লাগবে?

---

CHET.  মনে হচ্ছে তারা এটিকে ছোট কামড়ে নিচ্ছে।

প্রথম লক্ষ্য হল CSS2 রেন্ডারিং কাজ করার জন্য, এবং এটি এমন যে আপনি প্রতিটি জিনিসকে কাজের একটি ছোট ব্লক হিসাবে নিতে হবে, এবং এটিকে একটি আধুনিক রেন্ডারিং ইঞ্জিনের বিশাল দানব থেকে বিচ্ছিন্ন করতে হবে… এবং কিছু ছোট কামড় নিন।

এবং যারা প্রকল্পের জন্য অর্থায়ন সত্যিই গুরুত্বপূর্ণ, তাই না?

অনেক কিছু ব্রাউজার ইঞ্জিন এম্বেড; অনেক পণ্য গেকো ইঞ্জিন, সেইসাথে গুগলের ব্লিঙ্ক এবং অ্যাপলের ওয়েবকিটের উপর ভিত্তি করে তৈরি।

এবং তাই আরো প্রতিযোগিতা, আরো কর্মক্ষমতা, আরো মেমরি নিরাপত্তা…সবই ভালো!

---

হাঁস.  সুতরাং, আসুন সপ্তাহের চূড়ান্ত বিষয়ে আসা যাক, যেটা আমার মনে হয় বড় গল্প...

…কিন্তু বড় গল্পের মতো এটি সম্পর্কে চমৎকার বিষয় হল, যদিও এতে কিছু আকর্ষণীয় বাগ রয়েছে এবং যদিও আমরা সম্ভবত যে দুটি বাগ সম্পর্কে কথা বলতে চাই সেগুলি প্রযুক্তিগতভাবে শূন্য-দিনের ছিল, সেগুলি বিপর্যয়কর নয় .

বাগগুলি যে ধরণের সমস্যার কারণ হতে পারে সেগুলি কেবল একটি ভাল অনুস্মারক।

এবং যে বিষয়, অবশ্যই, প্যাচ মঙ্গলবার.

মাইক্রোসফ্ট মঙ্গলবার প্যাচ-এ দুটি 0-দিন ঠিক করে – এখনই আপডেট করুন!

---

CHET.  ওয়েল, আমি বিতর্কিত হতে যাচ্ছি এবং সম্পর্কে কথা বলতে যাচ্ছি ওয়েবের চিহ্ন বাগ প্রথম.

---

হাঁস.  [হাসি] এটি একটি আকর্ষণীয় নাম, তাই না?

আমরা সকলেই জানি যে এটি "ইন্টারনেট জোনস", যেমন ভাল পুরানো ইন্টারনেট এক্সপ্লোরার দিনগুলিতে৷

কিন্তু “মার্ক অফ দ্য ওয়েব”… এটা অনেক বড়, এবং আরও উত্তেজনাপূর্ণ, এবং আরও গুরুত্বপূর্ণ শোনাচ্ছে!

---

CHET.  ঠিক আছে, আপনার ইন্টারনেট এক্সপ্লোরার (IE) অ্যাডমিনদের জন্য, আপনি সম্ভবত মনে রাখবেন যে আপনি এটিকে বিশ্বস্ত অঞ্চলে সেট করতে পারেন; যে ইন্ট্রানেট জোনে; অন্যটি ইন্টারনেট জোনে।

যে সেটিং আমরা সম্পর্কে কথা বলছি কি.

তবে এটি কেবল ইন্টারনেট এক্সপ্লোরারেই থাকে না, এটি অন্যান্য মাইক্রোসফ্ট প্রসেস দ্বারাও পর্যবেক্ষণ করা হয়, একটি ফাইল কোথা থেকে এসেছে তার প্রমাণ দিতে…

…এই ধারণার উপর যে বাইরের ফাইলগুলি ভিতরের ফাইলের চেয়ে অনেক বেশি বিপজ্জনক।

এবং তাই এই খুব ভিত্তির সাথে আমি একমত নই।

আমার মনে হয় এটা একটা বোকামি!

সব ফাইল বিপজ্জনক!

আপনি তাদের কোথায় পেয়েছেন তা বিবেচ্য নয়: থাম্ব ড্রাইভে পার্কিং লটে; ল্যানে; অথবা একটি ওয়েবসাইটে।

কেন আমরা তাদের সকলের সাথে এমন আচরণ করব না যেন তারা অবিশ্বস্ত, এবং ভয়ানক কাজ না করে?

---

হাঁস.  আমি মনে করি আমি দেখতে পাচ্ছি যে মাইক্রোসফ্ট এখান থেকে কোথা থেকে আসছে, এবং আমি জানি যে অ্যাপলের একটি অনুরূপ জিনিস আছে… আপনি একটি ফাইল ডাউনলোড করেন, আপনি এটিকে কোথাও একটি ডিরেক্টরিতে রেখে দেন, এবং তারপর আপনি তিন সপ্তাহ পরে এটিতে ফিরে আসেন।

তবে আমি মনে করি আমি আপনার সাথে একমত হতে চাই যে আপনি যখন যেতে শুরু করবেন, "ওহ আচ্ছা, সেই ফাইলটি ফায়ারওয়ালের ভিতর থেকে এসেছে, তাই এটি অবশ্যই বিশ্বাস করা উচিত"...

…এটা আবার পুরোনো ধাঁচের “নরম চিবানো অভ্যন্তর”!

---

CHET.  হ্যাঁ.

তাই এই ধরনের বাগ যা আপনাকে ওয়েবের মার্ক বাইপাস করার অনুমতি দেয় সমস্যাযুক্ত, তাই না?

অনেক প্রশাসকের একটি গ্রুপ নীতি থাকবে যা বলে, “Microsoft Office মার্ক অফ দ্য ওয়েবের সাথে ফাইলগুলিতে ম্যাক্রো চালাতে পারে না, কিন্তু ওয়েবের মার্ক ছাড়াই আমরা আপনাকে ম্যাক্রো চালানোর অনুমতি দিই, কারণ অর্থ বিভাগ সেগুলি এক্সেল স্প্রেডশীটে ব্যবহার করে এবং সমস্ত পরিচালকদের তাদের অ্যাক্সেস করতে হবে।"

এই ধরনের পরিস্থিতি... দুর্ভাগ্যবশত, ফাইলটি ভেতর থেকে নাকি বাইরে থেকে তা জানার উপর নির্ভর করে।

এবং তাই আমি অনুমান করছি যে আমি কী পেয়েছিলাম, আমি যা অভিযোগ করছিলাম তা হল: এই দুর্বলতাটি লোকেদের আপনাকে বাইরে থেকে ফাইল পাঠাতে অনুমতি দিচ্ছিল, এবং সেগুলি বাইরে থেকে এসেছে বলে চিহ্নিত করা হয়নি।

এবং কারণ এই ধরনের জিনিস ঘটতে পারে, এবং ঘটতে পারে, এবং কারণ এটি ঘটতে পারে এমন অন্যান্য উপায়ও রয়েছে, যা আপনি দয়া করে আপনার নগ্ন নিরাপত্তা নিবন্ধে উল্লেখ করেছেন…

…তার মানে আপনার নীতি হওয়া উচিত: যদি আপনি মনে করেন যে ম্যাক্রোগুলি বিপজ্জনক হতে পারে, তাহলে আপনার উচিত সেগুলিকে ব্লক করা, অথবা প্রম্পটকে সক্ষম করার জন্য জোর করা, *তারা যেখান থেকেই উদ্ভূত হোক না কেন*।

আপনার এমন নীতি থাকা উচিত নয় যা ভিতরে এবং বাইরের মধ্যে পার্থক্য করে, কারণ এটি আপনাকে বাইপাস হওয়ার ঝুঁকিতে রাখে।

---

হাঁস.  একেবারে।

আমি এখানে নীচের লাইনটি অনুমান করি যে যদিও এই মার্ক অফ দ্য ওয়েব “ব্র্যান্ডিং” (একটি ফাইলের উপর ইন্টারনেট জোন লেবেল) এর একটি বাইপাস… যদিও এটি এমন কিছু যা দুর্বৃত্তদের জন্য স্পষ্টতই দরকারী, কারণ তারা জানে কিছু লোক নির্ভর করে, *এটি যে ধরনের ব্যর্থতার জন্য আপনাকে যাইহোক পরিকল্পনা করতে হবে*।

আমি মার্ক অফ দ্য ওয়েবের ধারণা পেয়েছি, এবং আমি মনে করি না এটি একটি খারাপ ধারণা।

আমি এটিকে একটি উল্লেখযোগ্য বা গুরুত্বপূর্ণ সাইবার নিরাপত্তা বৈষম্যকারী হিসাবে ব্যবহার করব না।

---

CHET.  ভাল, এবং আইটি প্রশাসকদের মনে করিয়ে দেওয়ার জন্য...

…এই সমস্যা সমাধানের সর্বোত্তম পন্থা হল মার্ক অফ দ্য ওয়েবের দিকে তাকানো নয়।

সর্বোত্তম পন্থা হল আপনার অভ্যন্তরীণ ম্যাক্রোগুলিতে স্বাক্ষর করুন, যাতে আপনি জানেন কোনটিকে বিশ্বাস করতে হবে এবং বাকিগুলিকে ব্লক করুন৷

---

হাঁস.  একেবারে।

কেন আপনি কেবল সেই জিনিসগুলিকে অনুমতি দিচ্ছেন না যা আপনি জানেন যে আপনার একেবারে প্রয়োজন, এবং আপনার বিশ্বাস করার একটি ভাল কারণ রয়েছে...

…এবং আপনি যেমন বলছেন, অন্য সব কিছুর অনুমতি দেবেন?

আমি মনে করি একটি উত্তর হল, "এটা একটু কঠিন", তাই না?

এটা বেশ সুবিধাজনক নয়…

---

CHET.  ঠিক আছে, এটি অন্যান্য দুর্বলতার সাথে জড়িত, যা অপরাধীদের মাইক্রোসফ্ট আউটলুককে এমনভাবে শোষণ করতে দেয় যা অনুমতি দেয়…

…আমার ধারণা, একটি ছদ্মবেশী আক্রমণ?

আপনি এটা উল্লেখ করতে হবে কিভাবে, হাঁস?

---

হাঁস.  আমি এটিকে মিডল (MitM) আক্রমণে এক ধরণের ম্যানিপুলেটর হিসাবে মনে করি।

আমি সাধারণত যে শব্দটি ব্যবহার করে শুনেছি, এবং মাইক্রোসফ্ট ব্যবহার করে… তারা একে কল করে রিলে আক্রমণ, মূলত যেখানে আপনি কাউকে *আপনার* দিয়ে প্রমাণীকরণের জন্য প্রতারণা করেন, যখন *আপনি* তাদের হয়ে, পর্দার আড়ালে, আসল সার্ভারের মাধ্যমে প্রমাণীকরণ করছেন।

এটাই হল কৌশল – আপনি মূলত কাউকে না বুঝেই যেতে পারেন, “আরে, আমাকে এই সার্ভারে সাইন ইন করতে হবে যা আমি আগে কখনও শুনিনি। কি একটি মহান ধারণা! আমাকে তাদের আমার পাসওয়ার্ডের একটি হ্যাশ পাঠাতে দিন!”

সম্ভাব্য ভুল গুলো কী কী হতে পারতো?

কিছুটা…

---

CHET.  এটি একটি অনুমোদিত নীতি বনাম একটি সীমাবদ্ধ নীতির আরেকটি দুর্দান্ত উদাহরণ, তাই না?

যদি আপনার ফায়ারওয়াল আউটবাউন্ড এসএমবি (সার্ভার বার্তা ব্লক) ট্র্যাফিকের অনুমতি দেওয়ার জন্য কনফিগার করা না থাকে, তাহলে আপনি এই দুর্বলতার ঝুঁকিতে নেই৷

এমন নয় যে আপনার এটিকে প্যাচ করা উচিত নয়… আপনার এখনও এটি প্যাচ করা উচিত, কারণ কম্পিউটারগুলি এমন অনেক জায়গায় যায় যেখানে সমস্ত ধরণের বিচ্ছিন্ন নেটওয়ার্ক জিনিস ঘটে।

যাইহোক, ধারণাটি হল যদি আপনার নীতি হল, "সবকিছু ব্লক করুন এবং শুধুমাত্র যা ঘটতে হবে সেইগুলিকে অনুমতি দিন", তাহলে এটি অনুমোদিত হওয়ার চেয়ে আপনি এই ক্ষেত্রে কম ঝুঁকিতে থাকবেন এবং আপনি বলছেন, "আমরা যাচ্ছি সমস্ত কিছুকে অনুমতি দেওয়া, এমন জিনিসগুলি ছাড়া যা আমরা ইতিমধ্যে খারাপ হিসাবে চিহ্নিত করেছি।"

কারণ যখন একটি শূন্য-দিন আসে, তখন কেউ এটিকে খারাপ বলে চিহ্নিত করেনি।

সেজন্যই তো শূন্য দিন!

---

হাঁস.  ঠিক.

যাইহোক, কেন আপনি লোকেদের এলোমেলো বহিরাগত সার্ভারগুলিতে সাইন ইন করতে চান?

এমনকি যদি তারা দূষিত নাও হয়, তাহলে কেন আপনি তাদের কর্পোরেট শংসাপত্র সহ এমন কিছু সার্ভারে কর্পোরেট-শৈলী প্রমাণীকরণের মধ্য দিয়ে যেতে চান যা আপনার অন্তর্গত নয়?

এটা বলার পরে, চেস্টার, আমি অনুমান করছি আপনি যদি "নরম চিবানো কেন্দ্র" সম্পর্কে চিন্তা করেন, তাহলে এমন একটি উপায় আছে যে বদমাশরা যারা ইতিমধ্যে আপনার নেটওয়ার্কে রয়েছে এবং যাদের একটু পা রাখা আছে তারা নেটওয়ার্কের ভিতরে এটি ব্যবহার করতে পারে …

…একটি দুর্বৃত্ত ফাইল সার্ভার সেট আপ করে এবং এর সাথে সংযোগ করার জন্য আপনাকে প্রতারণা করে।

---

CHET.  [হাসি] এটা কি একটি BYOD?

একটি আপনার নিজের ডকার কন্টেইনার আনুন?

---

হাঁস.  [হাসি] ওয়েল, আমার সত্যিই সেখানে হাসতে হবে না, কিন্তু এটা আজকাল দুর্বৃত্তদের কাছে বেশ জনপ্রিয় জিনিস, তাই না?

যদি তারা তাদের ম্যালওয়্যার শনাক্ত করার মতো জিনিসগুলি এড়াতে চায়, তাহলে তারা "জমি থেকে বেঁচে থাকার" কৌশলগুলি ব্যবহার করবে এবং আপনি ইতিমধ্যে ইনস্টল করা সরঞ্জামগুলি ধার করবেন...

…যেমন কার্ল, ব্যাশ, পাওয়ারশেল এবং কমান্ড যা যাইহোক একেবারে সর্বত্র।

অন্যথায়, যদি তারা পারে, তারা শুধু একটি VM [ভার্চুয়াল মেশিন] ফায়ার করবে...

…যদি তারা কোনোভাবে আপনার VM ক্লাস্টারে অ্যাক্সেস পেয়ে থাকে, এবং তারা একটি নির্দোষ চেহারার VM সেট আপ করতে পারে, তাহলে তারা এর ভিতরে ম্যালওয়্যার চালাবে।

অথবা তাদের ডকার ধারকটি আপনার কাছে থাকা অন্য কিছু থেকে সম্পূর্ণ ভিন্নভাবে কনফিগার করা হবে।

সুতরাং, হ্যাঁ, আমি অনুমান করছি আপনি সঠিক: এটি এমন একটি উপায় যা আপনি অভ্যন্তরীণভাবে এটিকে কাজে লাগাতে পারেন।

কিন্তু আমি ভেবেছিলাম এটি একটি কৌতূহলী বাগ, কারণ সাধারণত লোকেরা যখন ইমেল আক্রমণ সম্পর্কে চিন্তা করে, তখন তারা সাধারণত এই বিষয়ে চিন্তা করে, "আমি ইমেল পেয়েছি, কিন্তু পাক পেতে, আমাকে হয় একটি সংযুক্তি খুলতে হবে বা একটি লিঙ্কে ক্লিক করতে হবে।"

কিন্তু এটি, আমি বিশ্বাস করি, আউটলুক ইমেল প্রস্তুত করার সময় এটি ট্রিগার করতে পারে, এটি আপনাকে এটি প্রদর্শন করার আগেই!

যেটা বেশ বাজে, তাই না?

---

CHET.  হ্যাঁ.

আমি ভেবেছিলাম এই ধরণের বাগগুলির দিন চলে গেছে যখন আমরা আমাদের ইমেল ক্লায়েন্টগুলিতে জাভাস্ক্রিপ্ট এবং অ্যাক্টিভএক্স প্লাগইনগুলি থেকে মুক্তি পেয়েছি।

---

হাঁস.  আমি ভেবেছিলাম আপনি সেখানে কিছুক্ষণের জন্য "ফ্ল্যাশ" বলতে যাচ্ছেন, চেস্টার। [হাসি]

---

CHET.  [হাসি]

ঠিক আছে, ডেভেলপারদের জন্য, এটা মনে রাখা গুরুত্বপূর্ণ যে এই ধরনের বাগগুলি ফিচার ক্রীপ থেকে এসেছে।

আমি বলতে চাচ্ছি, ইমেলগুলি নিরাপদ হওয়ার কারণ হল আমরা আসলে বৈশিষ্ট্যগুলি সরিয়ে ফেলছি, তাই না?

---

হাঁস.  সঠিক।

---

CHET.  আমরা অ্যাক্টিভএক্স এবং জাভাস্ক্রিপ্ট থেকে মুক্তি পেয়েছি এবং এই সমস্ত জিনিসগুলি…

…এবং তারপরে "একটি নতুন ইমেল গৃহীত হয়েছে" শব্দটি একটি পরিবর্তনশীল যা একটি ইমেল প্রেরকের দ্বারা পাঠানো যেতে পারে বলে এই নগটি ট্রিগার করা হয়েছিল।

আমি জানি না কে, কোন গ্রহে ভেবেছিল, "এটি একটি ভাল বৈশিষ্ট্যের মতো শোনাচ্ছে।"

---

হাঁস.  ধারণার প্রমাণ যা আমি এটির জন্য দেখেছি, যা একটি অনুপ্রবেশ পরীক্ষাকারী সংস্থা দ্বারা উত্পাদিত হয়... তারা এভাবেই করেছে।

সুতরাং এটা শোনাচ্ছে যারা এটিকে শোষণ করছে, তারা এভাবেই এটি করছিল।

কিন্তু এটা কোনোভাবেই পরিষ্কার নয় যে এটিই একমাত্র বৈশিষ্ট্য যা অপব্যবহার করা যেতে পারে।

আমার বোধগম্য হল যে আপনি যদি বলতে পারেন, "এখানে একটি ফাইলের নাম যা আমি আপনাকে ব্যবহার করতে চাই", তাহলে সেই ফাইলের নাম, দৃশ্যত...

…ঠিক আছে, আপনি সেখানে একটি UNC পাথ রাখতে পারেন, তাই না?

\SomeBODY.ELSES.SERVER.NAME... এবং এটি Outlook দ্বারা অ্যাক্সেস করা হবে।

সুতরাং, আপনি ঠিক আছেন: এটি আসলেই ফিচার ক্রপের মতো শোনাচ্ছে।

এবং, যেমন আমি বলেছি, আমি ভাবছি যে আরও কতগুলি মিস বৈশিষ্ট্য থাকতে পারে যা এটি প্রয়োগ করতে পারে এবং সেগুলিও প্যাচ করা হয়েছিল কিনা?

মাইক্রোসফ্ট সমস্ত বিবরণ সম্পর্কে কিছুটা আঁটসাঁট ছিল, সম্ভবত কারণ এই জিনিসটি বন্যতে শোষিত হয়েছিল।

---

CHET.  আমি এক কথায় এই সমস্যার সমাধান করতে পারি।

মুঠ। [একটি ঐতিহাসিক পাঠ্য-মোড-শুধু ইমেল ক্লায়েন্ট।]

---

হাঁস.  হ্যাঁ, মুত!

এলম, পাইন, মেইলক্স, মেল…

…নেটক্যাট, চেস্টার!

---

CHET.  আপনি বিড়াল ভুলে গেছেন.

---

হাঁস.  আমি নেটক্যাট ভাবছিলাম, যেখানে আপনি আসলে অন্য প্রান্তে মেল সার্ভারের সাথে ইন্টারেক্টিভভাবে কথা বলছেন।

---

CHET.  [হাসি] আপনি যখন কীবোর্ডে থাকবেন তখনই আপনি ইমেল পেতে পারেন৷

---

হাঁস.  যদি আপনি প্যাচ করেন, আসুন আশা করি এটি আসলে আউটলুকের সমস্ত জায়গাগুলির সাথে ডিল করে যেখানে একটি ফাইল অ্যাক্সেস করা যেতে পারে এবং সেই ফাইলটি কেবল একটি দূরবর্তী সার্ভারে থাকে…

…তাই আউটলুক বলে, "আরে, কেন আমি আপনার জন্য সার্ভারে লগ ইন করার চেষ্টা করি না?"

এখন, চেস্টার, যখন আমরা পডকাস্টের আগে এটি নিয়ে আলোচনা করছিলাম, আপনি একটি আকর্ষণীয় পর্যবেক্ষণ করেছিলেন যে আপনি অবাক হয়েছিলেন যে এই বাগটি বন্যের মধ্যে উপস্থিত হয়েছিল, কারণ প্রচুর আইএসপি এসএমবি পোর্ট 445 ব্লক করে, তাই না?

এই প্রমাণীকরণ বাগের কারণে নয়, কিন্তু কারণ এটি নেটওয়ার্ক ওয়ার্ম ছড়িয়ে পড়ার প্রধান উপায়গুলির মধ্যে একটি ছিল...

…এবং 10, 15, 20 বছর আগে প্রত্যেকেই তাদের মধ্যে এতটাই অসুস্থ হয়ে পড়েছিল যে সারা বিশ্বের ISPs শুধু বলেছিল, "না। এটা করতে পারে না। আপনি যদি পোর্ট 445 আনব্লক করতে চান তবে আপনাকে হুপসের মাধ্যমে লাফ দিতে হবে বা আমাদের অতিরিক্ত অর্থ প্রদান করতে হবে।"

এবং অধিকাংশ মানুষ বিরক্ত না.

সুতরাং আপনি ডিজাইনের পরিবর্তে দুর্ঘটনাক্রমে এর বিরুদ্ধে সুরক্ষিত হতে পারেন।

আপনি কি এর সাথে একমত হবেন?

---

CHET.  হ্যাঁ, আমি মনে করি এটা সম্ভব।

বিশ্বের বেশিরভাগ আইএসপি এটি ব্লক করে।

আমি বলতে চাচ্ছি, আপনি Windows XP-এ কল্পনা করতে পারেন, কয়েক বছর আগে, কত কম্পিউটার ইন্টারনেটে ছিল, কোন পাসওয়ার্ড ছাড়াই, C$ শেয়ার প্রকাশের সাথে সরাসরি তাদের ইন্টারনেট সংযোগে বসেছিল।

আমরা এখানে শোষণের কথাও বলছি না।

আমরা শুধু ADMI|N$ এবং C$ দিয়ে বাতাসে ফ্ল্যাপ করা লোকদের কথা বলছি!

---

হাঁস.  যদি এভাবেই আপনি সুরক্ষিত থাকেন (যেমন এটি কাজ করে না কারণ আপনার ISP এটিকে কাজ করতে দেয় না)…

…প্যাচ প্রয়োগ না করার অজুহাত হিসেবে ব্যবহার করবেন না, তাই না?

---

CHET.  হ্যাঁ একেবারে.

আপনি চেষ্টাগুলিও ঘটতে চান না, তাদের সফল হতে দিন।

আমাদের বেশিরভাগই ঘুরে বেড়াচ্ছে, তাই না?

আমি কফি শপে আমার ল্যাপটপ ব্যবহার করি; এবং তারপর আমি রেস্টুরেন্টে ল্যাপটপ ব্যবহার করি; এবং তারপর আমি বিমানবন্দরে ল্যাপটপ ব্যবহার করি।

তারা কি অবরুদ্ধ করছে কে জানে?

আমি পোর্ট 445 অবরুদ্ধ হওয়ার উপর নির্ভর করতে পারি না...

---

হাঁস.  চেস্টার, আমার মনে হয় আমরা সেখানেই থেমে যাব, কারণ আমি সময়ের প্রতি সচেতন।

তাই, অল্প নোটিশে মাইক্রোফোনে এগিয়ে যাওয়ার জন্য আপনাকে অনেক ধন্যবাদ।

আপনি কি পরের সপ্তাহে ফিরে যাবেন?

তুমি, তাই না?

---

CHET.  আমি অবশ্যই পরের সপ্তাহে থাকার পরিকল্পনা করছি, যদি না অপ্রত্যাশিত পরিস্থিতি না থাকে।

---

হাঁস.  চমৎকার!

যা অবশিষ্ট থাকে তা আমাদের বলার জন্য, যেমন আমরা রীতিমত করি...

---

CHET.  পরবর্তী সময় পর্যন্ত, নিরাপদ থাকুন।

[মিউজিক্যাল মডেম]