পেগাসাস স্পাইওয়্যার: আপনার ক্রিপ্টো কি নিরাপদ?

08/03/2021 | ব্লগ এর লেখাগুলো

• 

নিম্নলিখিত নিবন্ধটি সম্প্রতি প্রকাশিত প্রযুক্তিগত ব্লগের সংক্ষিপ্তসার লেজার ডনজন টীম. আপনি ক্লিক করতে পারেন এখানে পড়তে এটা.

আমাদের ব্যক্তিগত ডিভাইসগুলি হ্যাক করার জন্য ডিজাইন করা সফটওয়্যার প্রোগ্রামগুলি আরও বেশি পরিশীলিত হচ্ছে। দ্য পেগাসাস স্পাইওয়্যার কেলেঙ্কারি এই সফটওয়্যারটি আমাদের প্রযুক্তি এবং তথ্যের জন্য যে হুমকি সৃষ্টি করেছে তা তুলে ধরে। 

স্পাইওয়্যার ক্রিপ্টো শিল্পের দৃষ্টি আকর্ষণ করেছে, কারণ ক্রমবর্ধমান সংখ্যক ব্যবহারকারী এবং বিনিয়োগকারীরা অনিরাপদ কম্পিউটার এবং স্মার্টফোনে চলমান সফটওয়্যার ওয়ালেটের উপর নির্ভর করে। Web3 ডিজিটাল সম্পদ, যেমন বিটকয়েন বা ইথেরিয়াম, ওয়েব 2 ডিভাইসে (ল্যাপটপ এবং স্মার্টফোন) সংরক্ষণ করা উচিত নয়। এই নিবন্ধটি ব্যাখ্যা করে কেন।

"জিরো-দিন" এবং "শূন্য-ক্লিক" স্পাইওয়্যার প্রসারিত হয়

২০২০ সালে, অনুসন্ধানী সাংবাদিকরা প্রকাশ করেছেন যে কয়েক হাজার নাগরিক, কর্মী এবং রাজনৈতিক নেতাদের স্পাইওয়্যার প্রস্তুতকারক, এনএসও গ্রুপের ক্লায়েন্টদের দ্বারা লক্ষ্যবস্তু করা হয়েছিল। সম্প্রতি, স্পাইওয়্যারটি সত্যিকারের কূটনৈতিক কেলেঙ্কারিতে পরিণত হয়েছিল যে এই প্রকাশে যে 2020 টি রাষ্ট্র ও সরকার প্রধান ফ্রান্সের প্রেসিডেন্ট ম্যাক্রন এবং মরক্কোর রাজা মোহাম্মদ পঞ্চম সহ প্রাক্তন টার্গেট ছিলেন। স্পাইওয়্যার তাদের স্মার্টফোনে পূর্ণ প্রবেশাধিকার প্রদান করে।

কীভাবে এই স্পাইওয়্যারটি এমন একটি ছদ্মবেশী নজরদারির হাতিয়ার হয়ে উঠল? সহজভাবে কারণ "শূন্য-দিন" এবং "শূন্য-ক্লিক" বৈশিষ্ট্যগুলির মিশ্রণ। কিন্তু যে ঠিক কি মানে? 

একটি "জিরো-ডে" আক্রমণ ঘটে যখন হ্যাকাররা লক্ষ্যযুক্ত সফ্টওয়্যার বিক্রেতার কাছে অজানা কোনও অ্যাপ বা ডিভাইসে দুর্বলতাকে কাজে লাগায়। পেগাসাস স্পাইওয়্যার ক্ষেত্রে, এন্ট্রি পয়েন্ট হল মেসেজিং অ্যাপ (iMessage, WhatsApp, SMS…)। 

অন্যদিকে, একটি "শূন্য-ক্লিক" আক্রমণ কোথাও লক্ষ্য করার প্রয়োজন ছাড়াই দুর্বলতাগুলি শোষণ করে। এই দুর্বলতাগুলি আক্রমণকারীকে টার্গেটেড ডিভাইস এবং তাদের ডেটাগুলিতে প্রায় সম্পূর্ণ অ্যাক্সেস দিয়েছে: ক্যামেরা, মাইক্রোফোন, জিওলোকেশন, ছবি, কথোপকথন ইত্যাদি। 

একটি "শূন্য-দিনের শূন্য-ক্লিক আক্রমণ" উপরের দুটিটির সংমিশ্রণ। চিন্তিত, এখনো?

এই আক্রমণগুলি আপনার ডিজিটাল সম্পদেরও ক্ষতি করে 

দুর্ভাগ্যক্রমে,জিরো-ডে" এবং "শূন্য ক্লিক করুন"আক্রমণগুলি কেবল পেগাসাস স্পাইওয়্যারের মধ্যে সীমাবদ্ধ নয়। আপনি যদি মনে করেন যে আপনার সফ্টওয়্যার ওয়ালেটগুলি সহজাতভাবে নিরাপদ, আবার চিন্তা করুন। নিম্নলিখিত ভিডিওগুলি দেখায় যে আমাদের লেজার ডনজন টিম কত সহজে স্মার্টফোন হ্যাক করতে এবং এর বীজ বাক্যাংশগুলি অ্যাক্সেস করতে সক্ষম হয়েছিল মেটা মাস্ক, কয়েনবেস, এবং Blockchain.com সফটওয়্যার মানিব্যাগ।

পরবর্তী ভিডিও একটি ম্যালওয়্যার সিমুলেট করে যা ভুক্তভোগীর প্রবেশ করা ব্যবহারকারীর পাসওয়ার্ড চুরি করে। এটি ইলেক্ট্রাম ওয়ালেট ডেটা ডিক্রিপ্ট করতে এবং বীজ প্রদর্শন করতে ব্যবহৃত হয়।

নিচের ভিডিওটি জাল বিটকয়েন টিকার উইজেট হিসাবে ছদ্মবেশী ম্যালওয়্যারকে তুলে ধরে। ম্যালওয়্যার একটি রিমোট সার্ভারে এনক্রিপ্ট করা বীজকে নিষ্ক্রিয় করার জন্য একটি ডিভাইসের দুর্বলতাকে কাজে লাগায়। সার্ভার তখন বীজকে ডিক্রিপ্ট করার জন্য পাসওয়ার্ডটি ব্রুটফোর্স করে: 

পরবর্তী ভিডিওটি একটি Coinbase Wallet এর সমতুল্য প্রক্রিয়া দেখায়:

এই শেষ ভিডিওটি একটি Blockchain.com ওয়ালেটকে লক্ষ্য করে স্পাইওয়্যার প্রদর্শন করে। একবার ব্যবহারকারী ভুক্তভোগীর আঙুলের ছাপ ব্যবহার করে প্রমাণীকরণ করলে, এনক্রিপশন কী আনলক হয়ে যায় এবং ওয়ালেটের ডেটা ডিক্রিপ্ট হয়: 

সামগ্রিকভাবে, প্রক্রিয়াটি আসলে বেশ সহজ। আপনাকে অবহিত না করেই হ্যাকার আপনাকে একটি বার্তা পাঠায়। বার্তাটি একটি দুর্বলতাকে কাজে লাগায় যাতে আক্রমণকারীরা আপনার অ্যাপে গুপ্তচরবৃত্তি করতে পারে এবং ইন্টারনেটের মাধ্যমে আপনার বীজ বাক্যটি বের করে দেয়। এরপর হ্যাকার বীজটি তাদের নিজস্ব কম্পিউটারে ফেরত পাঠায়। কোন ক্লিক প্রয়োজন হয় না এবং এটি একটি দূষিত শোষণ, অন্তত বলতে। 

আপনার ক্রিপ্টোর জন্য? সর্বস্বান্ত.

পাঠ স্পষ্ট: ল্যাপটপ এবং স্মার্টফোনের মতো ওয়েব 3 ডিভাইসে আপনার ওয়েব 2 ডিজিটাল সম্পদ রাখবেন না! তারা নকশা দ্বারা নিরাপদ নয়, মানে তারা সফ্টওয়্যার প্রোগ্রাম (iOS বা Android) চালায় যা আপনাকে আপনার জিনিসপত্র একটি নিরাপদ ছিটমহলে ছাড়তে দেয় না. 

কেন ক্রিপ্টোর নিরাপত্তা হার্ডওয়্যার ভিত্তিক হতে হবে?

ক্রিপ্টো মহাবিশ্ব ধন -সম্পদে পরিপূর্ণ, কিন্তু একজনের অ্যাডভেঞ্চার সবসময় নিরাপদ থাকা উচিত। এখানে কেন আমাদের হার্ডওয়্যার মানিব্যাগ, লেজার ন্যানো এস এবং ন্যানো এক্স, আপনার ডিজিটাল সম্পদের জন্য সবচেয়ে নিরাপদ স্টোরেজ সমাধান:

• প্রথমত, তারা আপনাকে নকশা দ্বারা ম্যালওয়্যার থেকে রক্ষা করে। আমাদের হার্ডওয়্যার মানিব্যাগগুলি স্বাধীন ডিভাইস যা তাদের নিজস্ব লেনদেন স্বাক্ষর করে। ব্যক্তিগত কীগুলির ক্রিপ্টোগ্রাফিক উপকরণ সবসময় ডিভাইসের ভিতরে থাকে। তারা যে অ্যাপ্লিকেশনের সাথে যোগাযোগ করে তাদের কাছে কখনই পাঠানো হয় না। অতএব, আপনার কীগুলি অফলাইনে রাখা হয় যেখানে ম্যালওয়্যার সেগুলি অ্যাক্সেস করতে পারে না। 

• দ্বিতীয়ত, আমাদের ডিভাইসগুলি একটি স্ক্রিন এম্বেড করে যখন আপনি আপনার গোপন কীগুলির সাথে ইন্টারঅ্যাক্ট করার সময় আপনার ক্রিয়া যাচাই করতে পারবেন। যখন আপনি একটি মোবাইল ফোন বা ডেস্কটপ কম্পিউটারে লেনদেন করেন, ম্যালওয়্যার আপনার তথ্য অ্যাক্সেস করতে পারে অথবা আপনার ঠিকানাগুলি অদলবদল/পরিবর্তন করতে পারে। আমাদের অন-ডিভাইসের প্রমাণীকরণগুলি খুব কার্যকর প্রতিকার।

অফলাইন কী এবং ডিভাইসে প্রমাণীকরণগুলি হার্ডওয়্যার ডিভাইসে ডিজিটাল সম্পদ সম্পূর্ণরূপে সুরক্ষিত করার জন্য গুরুত্বপূর্ণ সরঞ্জাম। 

উপসংহার:

যেহেতু ক্রিপ্টোকারেন্সিগুলি আরও সাধারণ হয়ে উঠছে, দুর্ভাগ্যবশত, ওয়ালেটের বিরুদ্ধে আক্রমণ আরও বেশি পরিশীলিত হয়ে উঠবে। লেজারে, আমরা আপনার ডিজিটাল সম্পদগুলি পরিচালনা করার সময় আপনাকে সবচেয়ে নিরাপদ অভিজ্ঞতা দেওয়ার লক্ষ্য রাখি।

সূত্র: https://www.ledger.com/blog/pegasus-spyware-is-your-crypto-safe