S3 Ep140: তাহলে আপনি মনে করেন আপনি ransomware জানেন?

নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।

DOUG.  রাউটারের সমস্যা, মেগাট্রাবলে মেগাআপলোড, এবং আরও অনেক কিছু মুভইট হেম।

নেকেড সিকিউরিটি পডকাস্টে এই সব এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে স্বাগতম, সবাইকে।

আমি ডগ আমথ; তিনি পল ডাকলিন।

পল, আপনি কিভাবে করবেন?

---

হাঁস.  আমাদের ব্রিটিশ এবং কমনওয়েলথ ইংরেজি শ্রোতাদের জন্য শুধু একটি দ্ব্যর্থতা, ডগ…

---

DOUG.  "রাউটার।" [ইউকে-স্টাইলকে 'রুটার' হিসাবে উচ্চারিত করা হয়েছে, 'রাউটার' হিসাবে ইউএস-স্টাইল নয়]

---

হাঁস.  আপনি কাঠের হাতিয়ার মানে না, আমি অনুমান?

---

DOUG.  না! [হাসি]

---

হাঁস.  আপনি কি এমন জিনিস বলতে চাচ্ছেন যেগুলো সময়মতো প্যাচ না করলে আপনার নেটওয়ার্কে ক্রুকদের ঢুকতে দেয়?

---

DOUG.  হ্যাঁ!

---

হাঁস.  যেখানে আমরা যাকে 'রুটার' বলব তার আচরণ আপনার নেটওয়ার্কের সাথে আরও বেশি করে যেমন একটি 'রাউটার' আপনার টেবিলের প্রান্তে কী করবে? [হাসি]

---

DOUG.  হুবহু ! [হাসি]

আমরা শীঘ্রই এটি পেতে হবে.

কিন্তু প্রথম, আমাদের প্রযুক্তির ইতিহাসে এই সপ্তাহ সেগমেন্ট।

পল, এই সপ্তাহে, 18 জুন, 1979 সালে ফিরে আসে: 16-বিট কম্পিউটিংয়ের জন্য একটি বড় ধাপ এগিয়েছে কারণ মাইক্রোসফ্ট 8086 প্রসেসরের জন্য তার বেসিক প্রোগ্রামিং ভাষার একটি সংস্করণ তৈরি করেছে।

এই সংস্করণটি 8-বিট প্রসেসরের সাথে ব্যাকওয়ার্ড সামঞ্জস্যপূর্ণ ছিল, যা বেসিক তৈরি করে, যা Z80 এবং 8080 প্রসেসরের জন্য উপলব্ধ ছিল এবং ইতিমধ্যেই প্রায় 200,000 কম্পিউটারে পাওয়া গেছে, বেশিরভাগ প্রোগ্রামারদের ক্যুইভারে একটি তীর, পল।

---

হাঁস.  জিডব্লিউ-বেসিক হওয়ার কী ছিল!

আমি জানি না এটি সত্য কিনা, তবে আমি পড়তে থাকি যে GW-BASIC মানে "GEE WHIZZ!" [হাসি]

---

DOUG.  হা! [হাসি]

---

হাঁস.  আমি জানি না এটি সত্য কিনা, তবে আমি এটি ভাবতে পছন্দ করি।

---

DOUG.  ঠিক আছে, আমাদের গল্পে আসা যাক।

আমরা খবরে থাকা জিনিসগুলিতে পৌঁছানোর আগে, এর তিনটি পর্বের প্রথমটি ঘোষণা করতে পেরে আমরা খুশি, বরং রোমাঞ্চিত আপনি Ransomware জানেন মনে হয়?

এটি সোফোসে আপনার বন্ধুদের থেকে একটি 48-মিনিটের ডকুমেন্টারি সিরিজ।

"দ্য র্যানসমওয়্যার ডকুমেন্টারি" - সোফোস থেকে একেবারে নতুন ভিডিও সিরিজ এখন শুরু হচ্ছে!

প্রথম পর্ব, বলা হয় সাইবার ক্রাইমের উৎপত্তি, এখন দেখার জন্য উপলব্ধ https://sophos.com/ransomware.

২য় পর্ব, যাকে বলা হয় শিকারী এবং শিকার, 28 জুন 2023 এ উপলব্ধ হবে৷

পর্ব 3, অস্ত্র এবং যোদ্ধা, 5 জুলাই 2023 এ নেমে যাবে।

এটি পরীক্ষা করে দেখুন https://sophos.com/ransomware.

আমি প্রথম পর্ব দেখেছি, এবং এটা মহান.

পল, আমরা বছরের পর বছর লড়াই করতে থাকি এই আঘাতের উত্স সম্পর্কে আপনার কাছে থাকা সমস্ত প্রশ্নের উত্তর এটি দেয়।

---

হাঁস.  এবং এটি খুব সুন্দরভাবে ফিড করে যে নিয়মিত শ্রোতারা আমার প্রিয় উক্তিটি জানবে (আমি আশা করি আমি এখন এটিকে একটি ক্লিশে পরিণত করিনি), যথা: যারা ইতিহাস মনে রাখতে পারে না তাদের পুনরাবৃত্তি করা নিন্দিত।

সেই ব্যক্তি হবেন না! [হাসি]

---

DOUG.  ঠিক আছে, আসুন অপরাধের বিষয়ে আটকে যাই।

চার মেগাআপলোড প্রতিষ্ঠাতার মধ্যে দুজনের জন্য কারাগারের সময়।

এখানে ইস্যুতে কপিরাইট লঙ্ঘন, পল, এবং তৈরি প্রায় এক দশক?

মেগাআপলোড জুটি শেষ পর্যন্ত কারাগারে যাবে, কিন্তু কিম ডটকম লড়াই করে…

---

হাঁস.  হ্যাঁ.

গত সপ্তাহে মনে আছে যখন আমি সেই কৌতুকটির কথা বলেছিলাম, "ওহ, আপনি জানেন বাসগুলি কেমন? যুগে যুগে কেউ আসে না, তারপর তিনজন একবারে আসে? [হাসি]

কিন্তু আমাকে এটাকে "একসাথে দুজনের আগমন"-এ পরিণত করতে হয়েছিল...

…এবং তৃতীয়টি আসার আগে আমি এটা বলার আগেই। [হাসি]

এবং এটি নিউজিল্যান্ড বা আওটিয়ারোয়ার বাইরে, কারণ এটি বিকল্পভাবে পরিচিত।

মেগাআপলোড একটি কুখ্যাত প্রাথমিক তথাকথিত "ফাইল লকার" পরিষেবা ছিল।

এটি র‍্যানসমওয়্যারের মতো "ফাইল লকার" নয় যা আপনার ফাইলগুলিকে লক করে দেয়।

এটি একটি জিম লকারের মতো "ফাইল লকার"… ক্লাউডের জায়গা যেখানে আপনি ফাইল আপলোড করেন যাতে আপনি সেগুলি পরে পেতে পারেন।

এই পরিষেবাটি সরিয়ে নেওয়া হয়েছে, প্রাথমিকভাবে কারণ মার্কিন যুক্তরাষ্ট্রে এফবিআই একটি টেকডাউন আদেশ পেয়েছে, এবং অভিযোগ করেছে যে এটির প্রাথমিক উদ্দেশ্য আসলে একটি মেগা *আপলোড* পরিষেবা হওয়া এতটা ছিল না যতটা মেগা *ডাউনলোড* পরিষেবা, ব্যবসায়িক মডেল যার মধ্যে কপিরাইট লঙ্ঘনকে উত্সাহিত এবং উত্সাহিত করার উপর ভিত্তি করে ছিল৷

এই ব্যবসার প্রাথমিক প্রতিষ্ঠাতা একটি সুপরিচিত নাম: কিম ডটকম।

এবং এটি সত্যিই তার উপাধি।

তিনি তার নাম পরিবর্তন করে (আমি মনে করি তিনি মূলত কিম স্মিটজ ছিলেন) কিম ডটকম, এই পরিষেবাটি তৈরি করেছেন, এবং তিনি কেবল মার্কিন যুক্তরাষ্ট্রে প্রত্যর্পণের জন্য লড়াই করছেন এবং তা চালিয়ে যাচ্ছেন, যদিও আওতারোয়া আদালত রায় দিয়েছে যে সে কেন করতে পারে তার কোনও কারণ নেই প্রত্যর্পণ করা হবে না।

অন্য চারজনের একজন, ফিন বাটাতো নামে একজন চ্যাপ, গত বছর ক্যান্সারে আক্রান্ত হয়ে মারা গেছেন।

তবে মেগাআপলোড পরিষেবার প্রধান চালক ছিলেন অন্য দুই ব্যক্তি, ম্যাথিয়াস অর্টম্যান এবং ব্রাম ভ্যান ডের কোক…

…তারা মার্কিন যুক্তরাষ্ট্রে প্রত্যর্পণের (কেন বুঝতে পারবেন) লড়াই করেছিল, যেখানে তারা সম্ভাব্য বড় জেলের সাজা ভোগ করেছিল।

কিন্তু শেষ পর্যন্ত তারা NZ [নিউজিল্যান্ড/আওতারোয়া] আদালতের সাথে এবং মার্কিন যুক্তরাষ্ট্রের এফবিআই এবং বিচার বিভাগের সাথে একটি চুক্তি করেছে বলে মনে হচ্ছে।

তারা দোষ স্বীকার করার জন্য এবং তাদের চলমান তদন্তে মার্কিন কর্তৃপক্ষকে সহায়তা করার জন্য পরিবর্তে NZ-তে বিচার করতে সম্মত হয়েছিল।

এবং তাদের যথাক্রমে 2 বছর 7 মাস এবং 2 বছর 6 মাসের কারাদণ্ড দেওয়া হয়েছিল।

---

DOUG.  সে ক্ষেত্রে বিচারকের কিছু আকর্ষণীয় পর্যবেক্ষণ ছিল, আমি অনুভব করেছি।

---

হাঁস.  আমি মনে করি আপনি ঠিক সেখানে আছেন, ডগ.

উল্লেখযোগ্যভাবে, এটি আদালতের একটি প্রশ্ন ছিল না বলে, "আমরা এই সত্যটি স্বীকার করি যে সারা বিশ্ব জুড়ে এই বিশাল মেগা কর্পোরেশনগুলি বিলিয়ন এবং বিলিয়ন ডলার হারিয়েছে।"

প্রকৃতপক্ষে, বিচারক বলেছিলেন যে আপনাকে সেই দাবিগুলিকে এক চিমটি লবণ দিয়ে নিতে হবে, এবং প্রমাণের উদ্ধৃতি দিয়েছেন যে আপনি শুধু বলতে পারবেন না যে যারা পাইরেটেড ভিডিও ডাউনলোড করেছে তারা অন্যথায় আসলটি কিনে নিত।

সুতরাং আপনি আর্থিক ক্ষতি যোগ করতে পারবেন না যেভাবে কিছু মেগাকর্পস এটি করতে পছন্দ করে।

তবুও, তিনি বলেন, এটা ঠিক করে না।

এবং আরও গুরুত্বপূর্ণভাবে, তিনি বলেছিলেন, "আপনি সত্যিই ছোট ছেলেদেরও আঘাত করেছেন, এবং এটি ততটা গুরুত্বপূর্ণ।"

এবং তিনি এনজেডের সাউথ আইল্যান্ডের একজন ইন্ডি সফটওয়্যার ডেভেলপারের মামলার উদ্ধৃতি দিয়েছিলেন যিনি আদালতে লিখেছিলেন যে, “আমি লক্ষ্য করেছি যে জলদস্যুতা আমার আয়ে একটি বড় ক্ষতি করছে। আমি দেখেছি যে 10 বা 20 বার আমাকে লঙ্ঘনকারী বিষয়বস্তু সরিয়ে নেওয়ার জন্য মেগাআপলোডের কাছে আবেদন করতে হয়েছে; এটি করতে আমার অনেক সময় লেগেছে এবং এটি কখনও সামান্যতম পার্থক্য করেনি। এবং তাই আমি বলছি না যে তারা এই সত্যের জন্য সম্পূর্ণরূপে দায়ী যে আমি আর আমার ব্যবসা থেকে জীবিকা নির্বাহ করতে পারিনি, তবে আমি বলছি যে আমি এই সমস্ত প্রচেষ্টা চালিয়েছিলাম যাতে তারা বলেছিল যে তারা বলেছিল যে তারা জিনিসপত্র নামাতে পারে। করবে, কিন্তু এটা কখনই কাজ করেনি।"

প্রকৃতপক্ষে এটি রায়ের অন্য কোথাও এসেছে… যা 38 পৃষ্ঠার, তাই এটি বেশ দীর্ঘ পঠিত, তবে এটি খুব পঠনযোগ্য এবং আমি মনে করি এটি পড়ার যোগ্য।

উল্লেখযোগ্যভাবে, বিচারক আসামীদের বলেছিলেন যে তাদের এই সত্যের জন্য দায়ভার বহন করতে হবে যে তারা স্বীকার করেছে যে তারা কপিরাইট লঙ্ঘনকারীদের বিরুদ্ধে খুব বেশি কঠোর হতে চায় না কারণ "বৃদ্ধি মূলত লঙ্ঘনের উপর ভিত্তি করে।"

এবং তিনি আরও উল্লেখ করেছেন যে তারা একটি টেকডাউন সিস্টেম তৈরি করেছে যা মূলত, একই ফাইল ডাউনলোড করার জন্য একাধিক URL থাকলে…

…তারা ফাইলটির একটি কপি রেখেছিল, এবং আপনি URL সম্পর্কে অভিযোগ করলে, তারা *সেই URL*টি সরিয়ে নেবে।

---

DOUG.  আহ হা!

---

হাঁস.  তাই আপনি মনে করবেন তারা ফাইলটি সরিয়ে দিয়েছে, কিন্তু তারা ফাইলটি সেখানে রেখে যাবে।

এবং তিনি এটি নিম্নরূপ বর্ণনা করেছেন: "আপনি জানতেন, এবং উদ্দেশ্য করেছিলেন যে, টেকডাউন কোন বস্তুগত প্রভাব ফেলবে না।"

এই ইন্ডি কিউই সফ্টওয়্যার বিকাশকারী আদালতে তার বিবৃতিতে ঠিক কী দাবি করেছিলেন।

এবং তারা অবশ্যই এটি থেকে প্রচুর অর্থ উপার্জন করেছে।

আপনি যদি 2012 সালে কিম ডটকমে বিতর্কিত অভিযানের ফটোগুলি দেখেন…

…তার এই বিশাল সম্পত্তি ছিল, এবং অদ্ভুত নম্বর প্লেট [গাড়ির ট্যাগ] সহ এই সমস্ত ফ্ল্যাশ গাড়ি GOD এবং GUILTY, যেন সে কিছু একটা আশা করছে। [হাসি]

মিঃ ডটকম জামিনের জন্য আবেদন করায় মেগাআপলোড টেকডাউন শিরোনাম এবং তরঙ্গ তৈরি করে

সুতরাং, কিম ডটকম এখনও তার প্রত্যর্পণের বিরুদ্ধে লড়াই করছে, কিন্তু এই অন্য দুজন সিদ্ধান্ত নিয়েছে যে তারা এটি সব শেষ করতে চায়।

তাই তারা দোষ স্বীকার করেছে, এবং যেমন আমাদের কিছু মন্তব্যকারী নেকেড সিকিউরিটি সম্পর্কে উল্লেখ করেছেন, "গোলি, আপনি যখন রায়টি বিস্তারিতভাবে পড়েন তখন তারা যা করেছিল বলে মনে হয়, এটি শোনাচ্ছে যে তাদের সাজা হালকা ছিল।"

কিন্তু বিচারক যেভাবে হিসেব করে দেখেছেন যে তিনি মনে করেন আওতারোয়া আইনে তাদের সর্বোচ্চ সাজা হওয়া উচিত ১০ বছর।

এবং তারপরে তিনি বুঝতে পারলেন যে তারা দোষ স্বীকার করছে, তারা সহযোগিতা করতে যাচ্ছে, তারা $10 মিলিয়ন ফেরত দিতে যাচ্ছে, এবং আরও অনেক কিছু, যে তাদের 75% ছাড় পাওয়া উচিত।

এবং আমার বোঝার মানে হল যে তারা এই ভয়ে শয্যাশায়ী হবে যে তাদের মার্কিন যুক্তরাষ্ট্রে প্রত্যর্পণ করা হবে, কারণ আমার বোধগম্য বিচার বিভাগ বলেছে, "ঠিক আছে, আমরা দোষী সাব্যস্ত হতে দেব এবং শাস্তি অন্য দেশে ঘটতে দেব। "

দশ বছরেরও বেশি সময়, এখনও শেষ হয়নি!

আপনি এটি আরও ভাল বলতে চান, ডগ...

---

DOUG.  Yesss!

আমরা এ বিষয়ে নজর রাখব।

ধন্যবাদ; চল এগোই.

আপনি যদি একটি ASUS রাউটার পেয়ে থাকেন, তবে আপনার কিছু প্যাচিং করতে হতে পারে, যদিও এখানে বেশ কিছু বিপজ্জনক দুর্বলতার জন্য একটি অস্পষ্ট টাইমলাইন, পল।

ASUS রাউটার গ্রাহকদের সতর্ক করে: এখনই প্যাচ করুন, অথবা সমস্ত অন্তর্মুখী অনুরোধগুলি ব্লক করুন

---

হাঁস.  হ্যাঁ, এটি অবিশ্বাস্যভাবে পরিষ্কার নয় যে যখন এই প্যাচগুলি উপদেশে তালিকাভুক্ত রাউটারের বিভিন্ন মডেলের জন্য এসেছিল।

আমাদের কিছু পাঠক বলছেন, “আচ্ছা, আমি গিয়ে দেখেছিলাম; আমি সেই রাউটারগুলির মধ্যে একটি পেয়েছি এবং এটি তালিকায় রয়েছে, তবে কোনও প্যাচ *এখন* নেই। কিন্তু আমি কিছুক্ষণ আগে কিছু প্যাচ পেয়েছি যা এই সমস্যাগুলিকে ঠিক করে বলে মনে হচ্ছে… তাহলে কেন উপদেশ *এখন*?"

এবং উত্তর হল, "আমরা জানি না।"

বাদে, সম্ভবত, যে ASUS আবিষ্কার করেছে যে বদমাশ এই সম্মুখের?

তবে এটি শুধু নয়, "আরে, আমরা আপনাকে প্যাচ করার পরামর্শ দিই।"

তারা বলছে আপনাকে প্যাচ করতে হবে, এবং আপনি যদি তা করতে না চান বা অক্ষম হন, তাহলে আমরা "সম্ভাব্য অযাচিত অনুপ্রবেশ এড়াতে আপনার রাউটারের WAN দিক থেকে অ্যাক্সেসযোগ্য পরিষেবাগুলিকে অক্ষম করার জন্য (যার অর্থ মূলত 'আপনার ভাল ছিল') দৃঢ়ভাবে সুপারিশ করুন।"

এবং এটি কেবল আপনার সাধারণ সতর্কতা নয়, "ওহ, নিশ্চিত করুন যে আপনার অ্যাডমিন ইন্টারফেসটি ইন্টারনেটে দৃশ্যমান নয়।"

তারা লক্ষ্য করছে যে ইনকামিং অনুরোধগুলিকে ব্লক করার দ্বারা তারা যা বোঝায় তা হল যে আপনাকে মূলত *সবকিছু* বন্ধ করতে হবে যাতে রাউটার কিছু নেটওয়ার্ক সংযোগ শুরু করে বাইরে থেকে গ্রহণ করে...

…সহ রিমোট অ্যাডমিনিস্ট্রেশন, পোর্ট ফরওয়ার্ডিং (আপনি গেমিংয়ের জন্য এটি ব্যবহার করলে দুর্ভাগ্য), ডায়নামিক ডিএনএস, যেকোনো ভিপিএন সার্ভার এবং যাকে তারা পোর্ট ট্রিগারিং বলে, আমার ধারণা পোর্ট নকিং, যেখানে আপনি একটি নির্দিষ্ট সংযোগের জন্য অপেক্ষা করেন এবং শুধুমাত্র যখন আপনি সেই সংযোগটি দেখুন তাহলে আপনি কি স্থানীয়ভাবে একটি পরিষেবা চালু করেন।

সুতরাং এটি কেবলমাত্র ওয়েব অনুরোধ নয় যা এখানে বিপজ্জনক, বা এমন কিছু বাগ থাকতে পারে যা কাউকে গোপন ব্যবহারকারীর নাম দিয়ে লগ ইন করতে দেয়।

এটি বিভিন্ন ধরণের নেটওয়ার্ক ট্র্যাফিকের একটি সম্পূর্ণ পরিসর যা যদি এটি বাইরে থেকে আপনার রাউটারে পৌঁছাতে পারে তবে আপনার রাউটারকে পিউন করতে পারে, মনে হচ্ছে।

তাই এটা ভয়ানক জরুরী শোনাচ্ছে!

---

DOUG.  এখানে দুটি প্রধান দুর্বলতা…

…একটি ন্যাশনাল ভালনারেবিলিটি ডেটাবেস আছে, এনভিডি, যা এক থেকে দশের স্কেলে দুর্বলতা স্কোর করে এবং এই দুটিই হল 9.8/10।

এবং তারপরে অন্যান্যগুলির একটি সম্পূর্ণ গুচ্ছ রয়েছে যা 7.5, 8.1, 8.8… একটি সম্পূর্ণ গুচ্ছ জিনিস যা এখানে বেশ বিপজ্জনক। পল.

---

হাঁস.  হ্যাঁ.

"9.8 CRITICAL", পুরোটাই বড় অক্ষরে, এমন একটি জিনিস যার অর্থ [ফিসফিস করে], "যদি বদমাশরা এটি বের করে তবে তারা এটিকে ফুসকুড়ির মতো করে ফেলবে।"

এবং এই দুটি 9.8/10 ব্যাডনেস-স্কোর ভালনগুলির মধ্যে সম্ভবত সবচেয়ে অদ্ভুত যা হল যে তাদের মধ্যে একটি হল CVE-2022-26376, এবং এটি হল HTTP unescaping-এ একটি বাগ, যা মূলত যখন আপনার কাছে মজার অক্ষর সহ একটি URL থাকে, যেমন, স্পেস...

…আপনি আইনত URL-এ একটি স্থান রাখতে পারবেন না; আপনাকে লাগাতে হবে %20 পরিবর্তে, এর হেক্সাডেসিমেল কোড।

রাউটারে যেকোনো ধরণের URL প্রক্রিয়াকরণের জন্য এটি বেশ মৌলিক।

এবং এটি একটি বাগ ছিল যা প্রকাশিত হয়েছিল, যেমন আপনি সংখ্যা থেকে দেখতে পাচ্ছেন, 2022 সালে!

এবং তথাকথিত Netatalk প্রোটোকলের মধ্যে আরেকটি আছে (যা অ্যাপল কম্পিউটারের জন্য সমর্থন প্রদান করে) যা ছিল দুর্বলতা, ডগ, CVE-2018-1160।

---

DOUG.  সেটা অনেক আগের!

---

হাঁস.  ইহা ছিল!

এটি আসলে Netatalk এর একটি সংস্করণে স্থির করা হয়েছিল যা আমার মনে হয় সংস্করণ 3.1.12 ছিল, যা 20 ডিসেম্বর *2018* এ প্রকাশিত হয়েছিল।

এবং তারা এখনই "আপনাকে Netatalk এর নতুন সংস্করণ পেতে হবে" সম্পর্কে সতর্ক করছেন, কারণ এটিও মনে হচ্ছে, একটি দুর্বৃত্ত প্যাকেটের মাধ্যমে শোষণ করা যেতে পারে।

তাই আপনার ম্যাক লাগবে না; আপনার অ্যাপল সফটওয়্যারের প্রয়োজন নেই।

আপনার শুধু এমন কিছু দরকার যা নেটাটককে ছলচাতুরী করে কথা বলে, এবং এটি আপনাকে নির্বিচারে মেমরি লেখার অ্যাক্সেস দিতে পারে।

এবং একটি 9.8/10 বাগ স্কোর সহ, আপনাকে অনুমান করতে হবে এর অর্থ "রিমোট আউটসাইডার এক বা দুটি নেটওয়ার্ক প্যাকেটে পোক করে, রুট লেভেল অ্যাক্সেস, রিমোট কোড এক্সিকিউশন হরর সহ আপনার রাউটার সম্পূর্ণভাবে দখল করে নেয়!"

তাই কেন লোকেদের সতর্ক করতে তাদের এত সময় লেগেছিল যে তাদের এই পাঁচ বছরের পুরানো বাগটির সমাধান করতে হবে…

…এবং কেন তাদের কাছে পাঁচ বছর আগে পাঁচ বছরের পুরানো বাগটির সমাধান ছিল না তা ব্যাখ্যা করা হয়নি।

---

DOUG.  ঠিক আছে, তাই রাউটারগুলির একটি তালিকা রয়েছে যা আপনার পরীক্ষা করা উচিত, এবং যদি আপনি প্যাচ করতে না পারেন, তাহলে আপনাকে "সমস্ত ইনবাউন্ড স্টাফ ব্লক" করতে হবে।

কিন্তু আমি মনে করি আমাদের পরামর্শ প্যাচ হবে.

এবং আমার প্রিয় পরামর্শ: আপনি যদি একজন প্রোগ্রামার হন, আপনার ইনপুট স্যানিটাইজ করুন, অনুগ্রহ করে!

---

হাঁস.  হ্যাঁ, লিটল ববি টেবিল আবার হাজির হয়েছে, ডগ।

কারণ অন্যান্য বাগগুলির মধ্যে একটি যা 9.8 স্তরে ছিল না (এটি 7/10 বা 8/10 স্তরে ছিল) ছিল CVE-2023-28702৷

এটি মূলত আবার MOVEit-টাইপ বাগ: ওয়েব URL ইনপুটে আনফিল্টার করা বিশেষ অক্ষর কমান্ড ইনজেকশনের কারণ হতে পারে।

সাইবার অপরাধীদের আঁকার জন্য এটি একটি চমত্কার বিস্তৃত বুরুশের মতো শোনাচ্ছে।

এবং সেখানে CVE-2023-31195 ছিল যা আমার দৃষ্টি আকর্ষণ করেছিল, একটি ছদ্মবেশে সেশন হাইজ্যাক.

প্রোগ্রামাররা মূলত প্রমাণীকরণ টোকেন কুকিগুলি কী তা সেট করছিল... সেই ম্যাজিক স্ট্রিংগুলি, যদি ব্রাউজার ভবিষ্যতের অনুরোধে সেগুলিকে ফেরত দিতে পারে, সার্ভারের কাছে প্রমাণ করে যে সেশনের আগে ব্যবহারকারী লগ ইন করেছিলেন, সঠিক ব্যবহারকারীর নাম ছিল, সঠিক পাসওয়ার্ড ছিল , সঠিক 2FA কোড, যাই হোক না কেন।

এবং এখন তারা এই ম্যাজিক "অ্যাক্সেস কার্ড" নিয়ে আসছে।

সুতরাং, আপনি যখন সেগুলি সেট করবেন তখন আপনাকে সেই কুকিগুলিকে ট্যাগ করতে হবে, যাতে সেগুলি কখনই এনক্রিপ্ট না করা HTTP অনুরোধগুলিতে প্রেরণ করা না হয়৷

এইভাবে এটি তাদের হাইজ্যাক করা একটি দুর্বৃত্তের জন্য অনেক কঠিন করে তোলে... এবং তারা এটি করতে ভুলে গেছে!

সুতরাং এটি প্রোগ্রামারদের জন্য অন্য জিনিস: যান এবং পর্যালোচনা করুন যে আপনি কীভাবে সত্যিই উল্লেখযোগ্য কুকিজ সেট করেছেন, যেগুলির মধ্যে ব্যক্তিগত তথ্য রয়েছে বা তাদের মধ্যে প্রমাণীকরণের তথ্য রয়েছে এবং নিশ্চিত করুন যে আপনি সেগুলিকে অসাবধানতাবশত এবং সহজ এক্সপোজারের জন্য উন্মুক্ত রাখছেন না।

---

DOUG.  আমি এটিকে নীচে চিহ্নিত করছি (আমার ভাল বিচারের বিপরীতে, তবে এটি এখন পর্যন্ত দুটি গল্পের দ্বিতীয়) যেটির উপর আমরা নজর রাখব।

---

হাঁস.  আমি মনে করি আপনি ঠিক বলেছেন, ডগ, কারণ আমি সত্যিই জানি না কেন, কিছু রাউটারের জন্য এই প্যাচগুলি ইতিমধ্যে উপস্থিত হয়েছিল (যদিও আপনি চেয়েছিলেন তার চেয়ে পরে)… কেন *এখন*?

এবং আমি অনুমান করি যে গল্পের অংশটি এখনও উত্থান হতে পারে।

---

DOUG.  দেখা যাচ্ছে যে আমরা এই MOVEit গল্পের উপর নজর রাখতে *না* করতে পারি না।

তাই, আমরা এই সপ্তাহে কি আছে, পল?

মুভইট মেহেম 3: "HTTP এবং HTTPS ট্র্যাফিক অবিলম্বে অক্ষম করুন"

---

হাঁস.  ভাল, দুঃখজনকভাবে অগ্রগতি সফ্টওয়্যারের জন্য, তৃতীয় বাসটি একবারে চলে এসেছিল, যেমনটি ছিল। [হাসি]

সুতরাং, শুধু সংক্ষেপে, প্রথমটি ছিল CVE-2023-34362, যেটি তখনই যখন প্রগ্রেস সফটওয়্যার বলেছিল, “ওহ না! একটি শূন্য-দিন আছে - আমরা সত্যিই এই সম্পর্কে জানতাম না। এটি একটি এসকিউএল ইনজেকশন, একটি কমান্ড ইনজেকশন সমস্যা। এখানে প্যাচ. কিন্তু এটি একটি শূন্য-দিন ছিল, এবং আমরা এটি সম্পর্কে জানতে পেরেছি কারণ র‍্যানসমওয়্যার ক্রুকস, চাঁদাবাজরা এটিকে সক্রিয়ভাবে শোষণ করছিল। এখানে সমঝোতার কিছু সূচক রয়েছে [IoCs]।"

তাই তারা সব ঠিকঠাক কাজ করেছে, যত তাড়াতাড়ি সম্ভব, একবার তারা জানল যে একটি সমস্যা আছে।

তারপরে তারা গিয়ে তাদের নিজস্ব কোড পর্যালোচনা করে, "আপনি জানেন কি, যদি প্রোগ্রামাররা এক জায়গায় সেই ভুল করে থাকে, তাহলে হয়তো তারা কোডের অন্যান্য অংশে কিছু অনুরূপ ভুল করেছে।"

এবং এটি CVE-2023-35036-এর দিকে পরিচালিত করেছিল, যেখানে তারা সক্রিয়ভাবে ছিদ্রগুলি প্যাচ করেছিল যা আসলটির মতো ছিল, কিন্তু যতদূর তারা জানত, তারা প্রথমে তাদের খুঁজে পেয়েছিল।

এবং, দেখুন এবং দেখুন, তখন একটি তৃতীয় দুর্বলতা ছিল।

এটি হল CVE-2023-35708, যেখানে মনে হচ্ছে যে ব্যক্তি এটি খুঁজে পেয়েছে, অবশ্যই ভালভাবে জানে যে অগ্রগতি সফ্টওয়্যারটি সম্পূর্ণরূপে দায়িত্বশীল প্রকাশ এবং দ্রুত প্রতিক্রিয়ার জন্য উন্মুক্ত ছিল...

…যেভাবেই হোক প্রকাশ্যে যাওয়ার সিদ্ধান্ত নিয়েছে৷

তাই আমি জানি না আপনি এটিকে "'সম্পূর্ণ প্রকাশ" (আমি মনে করি এটির অফিসিয়াল নাম), "দায়িত্বজ্ঞানহীন প্রকাশ" (আমি শুনেছি যে এটি সোফোসের অন্যান্য লোকদের দ্বারা এটির মতো উল্লেখ করা হয়েছে), বা "ড্রপিং" 0-দিন মজার জন্য", যা আমি এইভাবে ভাবি।

তাই যে একটি করুণা একটি সামান্য বিট ছিল.

এবং তাই প্রগ্রেস সফ্টওয়্যার বলেছে, “দেখুন, কেউ এই 0-দিন বাদ দিয়েছে; আমরা এটা সম্পর্কে জানতাম না; আমরা প্যাচ কাজ করছি. এই ক্ষুদ্র অন্তর্বর্তী সময়ে, শুধু আপনার ওয়েব ইন্টারফেসটি বন্ধ করুন (আমরা জানি এটি একটি ঝামেলা), এবং আমাদের প্যাচটি পরীক্ষা করা শেষ করুন।"

এবং প্রায় এক দিনের মধ্যে তারা বলেছিল, "ঠিক আছে, এখানে প্যাচ আছে, এখন এটি প্রয়োগ করুন। তারপর, আপনি যদি চান, আপনি আপনার ওয়েব ইন্টারফেস আবার চালু করতে পারেন।"

তাই আমি মনে করি, সর্বোপরি, যদিও এটি প্রথম স্থানে বাগ থাকার জন্য অগ্রগতি সফ্টওয়্যারটির জন্য একটি খারাপ চেহারা…

…যদি এটি আপনার সাথে কখনও ঘটতে পারে, তবে তাদের প্রতিক্রিয়া অনুসরণ করা আমার মতে, এটি করার জন্য একটি সুন্দর আনন্দদায়ক শালীন উপায়!

---

DOUG.  হ্যাঁ, এই গল্পে এই সপ্তাহের জন্য আমাদের মন্তব্য সহ প্রগ্রেস সফটওয়্যারের জন্য আমাদের প্রশংসা আছে।

অ্যাডাম মন্তব্য:

ইদানীং MOVEit-এর জন্য রুক্ষভাবে যাচ্ছে বলে মনে হচ্ছে, কিন্তু আমি তাদের দ্রুত, সক্রিয়, এবং দৃশ্যত সৎ কাজের জন্য তাদের প্রশংসা করি।

তারা তাত্ত্বিকভাবে এই সমস্ত শান্ত রাখার চেষ্টা করতে পারত, কিন্তু পরিবর্তে তারা সমস্যাটি এবং এটি সম্পর্কে কী করা দরকার সে সম্পর্কে বেশ আপ-ফ্রন্ট ছিল।

অন্তত এটি তাদের আমার চোখে আরও বিশ্বস্ত দেখায়...

…এবং আমি মনে করি এটি একটি অনুভূতি যা অন্যদের সাথেও ভাগ করা হয়েছে, পল।

---

হাঁস.  এটা প্রকৃতপক্ষে.

আমরা আমাদের সোশ্যাল মিডিয়া চ্যানেলগুলিতেও একই জিনিস শুনেছি: যদিও এটি দুঃখজনক যে তাদের বাগ ছিল, এবং সবাই চায় তারা না করে, তারা এখনও কোম্পানির উপর আস্থা রাখতে আগ্রহী।

প্রকৃতপক্ষে, তারা কোম্পানিকে আগের চেয়ে বেশি বিশ্বাস করতে ঝুঁকতে পারে, কারণ তারা মনে করে যে তারা একটি সংকটে মাথা ঠান্ডা রাখে।

---

DOUG.  খুব ভালো.

ঠিক আছে, আপনাকে ধন্যবাদ, অ্যাডাম, এটি পাঠানোর জন্য

যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।

আপনি tips@sophos.com-এ ইমেল করতে পারেন, আপনি আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @nakedsecurity.

এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য অনেক ধন্যবাদ

পল ডকলিনের জন্য, আমি ডগ আমথ, পরের বার পর্যন্ত আপনাকে মনে করিয়ে দিচ্ছি...

---

উভয়।  নিরাপদ থাকুন!

[মিউজিক্যাল মডেম]