আমাদের একটি সাইবার নিরাপত্তার গান গাও
কেন আপনার ম্যাকের ক্যালেন্ডার অ্যাপ বলছে এটা 17 জুলাই। এক তালি, এক লাইন, এক ফাইল। যে সঙ্গে সাবধান {অ্যাক্স, ফাইল}, ইউজিন। ঝড়ের মৌসুম মাইক্রোসফটের জন্য। যখন টাইপো আপনাকে আনন্দের জন্য গাইতে বাধ্য করে।
নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।
ডগ আমথ এবং পল ডকলিনের সাথে। ইন্ট্রো এবং আউটরো সঙ্গীত দ্বারা এডিথ মুজ.
আপনি আমাদের শুনতে পারেন সাউন্ডক্লাউড, অ্যাপল পডকাস্ট, গুগল পডকাস্ট, Spotify এর এবং যে কোন জায়গায় ভাল পডকাস্ট পাওয়া যায়। অথবা শুধু ড্রপ আমাদের RSS ফিডের URL আপনার প্রিয় পডক্যাচারে।
ট্রান্সক্রিপ্ট পড়ুন
DOUG. হাত দিয়ে প্যাচিং, মাইক্রোসফ্ট শূন্য-দিনের জন্য দুটি ধরণের এবং "সেই ফাইলটির সাথে যত্নবান, ইউজিন।"
নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।
[মিউজিক্যাল মডেম]
পডকাস্টে স্বাগতম, সবাইকে।
আমি ডগ আমথ; তিনি পল ডাকলিন।
পল, তুমি আজ কেমন আছ?
হাঁস. আপনি একটি ইঙ্গিত করা ছিল পিঙ্ক ফ্লয়েড?
DOUG. *দ্য* পিঙ্ক ফ্লয়েডহ্যাঁ!
হাঁস. যে নামে তারা মূলত পরিচিত ছিল, আমি বিশ্বাস করি।
DOUG. ওহ সত্যিই?
হাঁস. তারা "The" বাদ দিয়েছিল কারণ আমি মনে করি এটি বাধাগ্রস্ত হয়েছে।
পিঙ্ক ফ্লয়েড।
DOUG. এটা একটা মজার ঘটনা!
এবং ভাগ্য এটা হবে, আমি আরো আছে মজার ঘটনা তোমার জন্য…
আপনি জানেন যে আমরা শো শুরু করি প্রযুক্তির ইতিহাসে এই সপ্তাহ, এবং আমরা আজ একটি দুই-ফের পেয়েছি.
এই সপ্তাহে, 17 জুলাই 2002-এ, অ্যাপল “iCal”: ক্যালেন্ডার সফ্টওয়্যার যা ইন্টারনেট-ভিত্তিক ক্যালেন্ডার শেয়ারিং এবং একাধিক ক্যালেন্ডার পরিচালনা করার ক্ষমতা বৈশিষ্ট্যযুক্ত করে।
“JUL 17” অ্যাপটির আইকনে বিশিষ্টভাবে বৈশিষ্ট্যযুক্ত ছিল, যা 17 জুলাইকে বিশ্ব ইমোজি দিবসে পরিণত করেছে, যা 2014 সালে প্রতিষ্ঠিত হয়েছিল।
এটা বেশ একটা ক্যাসকেডিং ইফেক্ট, পল!
হাঁস. যদিও. আপনার আইফোনে, আপনি লক্ষ্য করবেন যে আইকনটি আজকের তারিখে পরিবর্তিত হয়েছে, কারণ এটি খুব সহজ।
এবং আপনি লক্ষ্য করবেন যে অন্যান্য পরিষেবা প্রদানকারীরা বিভিন্ন তারিখ বেছে নিতে পারে বা নাও করতে পারে, কারণ "কেন আপনার প্রতিযোগিতা অনুলিপি করবেন", প্রকৃতপক্ষে।
DOUG. ঠিক আছে, এর মধ্যে পেতে দিন.
আমরা আমাদের প্রথম গল্প সম্পর্কে কথা বলতে হবে.
এটি জিমব্রা এবং অ্যাডভেঞ্চার সম্পর্কে ক্রস-সাইট স্ক্রিপ্টিং.
ভাল পুরানো XSS, পল:
জিমব্রা কোলাবরেশন স্যুট সতর্কতা: এই মুহূর্তে 0-দিন প্যাচ করুন (হাতে)!
হাঁস. হ্যাঁ.
সেখানেই আপনি মূলত সার্ভারে প্রবেশ না করেই দুর্বৃত্ত জাভাস্ক্রিপ্ট অন্তর্ভুক্ত করার জন্য একটি ওয়েবসাইট হ্যাক করতে সক্ষম।
আপনি কিছু অ্যাকশন করেন, বা সেই সাইটের কিছু লিঙ্ক তৈরি করেন, যা সাইটের উত্তরে কন্টেন্ট অন্তর্ভুক্ত করার জন্য কৌশল করে যা শুধু উল্লেখ করে না, উদাহরণস্বরূপ, আপনি যে অনুসন্ধান শব্দটি টাইপ করেছেন, যেমন My Search Term
, কিন্তু অতিরিক্ত পাঠ্য অন্তর্ভুক্ত করে যা সেখানে থাকা উচিত নয়, যেমন My search <script> rogue JavaScript </script>
.
অন্য কথায়, আপনি একটি সাইটকে কন্টেন্ট দেখানোর জন্য চালান করেন, অ্যাড্রেস বারে তার নিজস্ব URL সহ, যাতে এটিতে অবিশ্বস্ত জাভাস্ক্রিপ্ট রয়েছে।
এবং এর মানে হল যে জাভাস্ক্রিপ্টটি আপনি লুকিয়ে ইনজেকশন করেছেন আসলে সেই সাইটের দ্বারা সেট করা সমস্ত কুকিগুলিতে অ্যাক্সেস রয়েছে।
তাই এটা তাদের চুরি করতে পারে; এটি ব্যক্তিগত তথ্য চুরি করতে পারে; এবং, আরও গুরুত্বপূর্ণ, এটি সম্ভবত প্রমাণীকরণ টোকেন এবং এর মতো জিনিস চুরি করতে পারে যাতে পরবর্তী সময়ে দুর্বৃত্তদের ফিরে যেতে দেওয়া হয়।
DOUG. ঠিক আছে, তাহলে এই ক্ষেত্রে জিমব্রা কি করেছে?
হাঁস. ভাল, ভাল খবর হল যে তারা দ্রুত প্রতিক্রিয়া জানিয়েছে কারণ, অবশ্যই, এটি একটি শূন্য-দিন ছিল।
ক্রুকরা আগে থেকেই এটি ব্যবহার করছিল।
তাই তারা আসলে এই বলে কিছুটা অস্বাভাবিক পন্থা নিয়েছিল, “আমরা প্যাচ আসছে। মোটামুটি শীঘ্রই পেয়ে যাবেন।”
কিন্তু তারা বলল, বেশ ভেবেচিন্তে, "আমরা বুঝতে পারি যে আপনি পরে না হয়ে তাড়াতাড়ি ব্যবস্থা নিতে চাইতে পারেন।"
এখন, দুর্ভাগ্যবশত, এর অর্থ হল আপনার সমস্ত মেলবক্স নোডের পণ্য বিতরণে একটি ফাইলে কোডের একটি লাইন প্যাচ করার জন্য আপনার নিজের একটি স্ক্রিপ্ট লেখা।
কিন্তু এটি একটি খুব ছোট এবং সহজ সমাধান.
এবং, অবশ্যই, কারণ এটি একটি লাইন, আপনি সহজেই ফাইলটিকে আবার পরিবর্তন করতে পারেন যদি এটি সমস্যা সৃষ্টি করে।
আপনি যদি বদমাশদের থেকে এগিয়ে যেতে আগ্রহী হন তবে আপনি সম্পূর্ণ মুক্তির জন্য অপেক্ষা না করে এটি করতে পারেন…
DOUG. এবং কি সিদ্ধির অনুভূতি, খুব!
আমরা আমাদের হাতা গুটানো এবং এই মত কিছু হাত-প্যাচ আপ করতে সক্ষম হয়েছে অনেক সময় হয়েছে.
এটা শনিবার সকালে সিঙ্ক ঠিক করার মতো… আপনি শুধু পরে ভালো বোধ করেন।
তাই যদি আমি একজন জিমব্রা ব্যবহারকারী হতাম, তবে আমি এই সমস্ত কিছুর উপর ঝাঁপিয়ে পড়তাম কারণ আমি আমার হাত পেতে পছন্দ করি... [হাসি]
হাঁস. এবং, সিঙ্ক প্যাচ করার বিপরীতে, আঁটসাঁট আলমারিতে কোনও হামাগুড়ি দেওয়া হয়নি এবং আপনার সম্পূর্ণ সম্পত্তি বন্যার কোনও ঝুঁকি ছিল না।
ফিক্স পরিষ্কার এবং ভাল-সংজ্ঞায়িত ছিল.
একটি ফাইলে কোডের একটি লাইন পরিবর্তিত হয়েছে।
DOUG. ঠিক আছে, তাই যদি আমি একজন প্রোগ্রামার হই, তাহলে ক্রস-সাইট স্ক্রিপ্টিং যেমন এড়াতে আমি কিছু পদক্ষেপ নিতে পারি?
হাঁস. ওয়েল, এই বাগ সম্পর্কে চমৎকার জিনিস, ডগ, এটা প্রায় কাজ করে বিষয়গুলির জন্য ডকুমেন্টেশন হিসাবে আপনি ক্রস-সাইট স্ক্রিপ্টিং এর জন্য খুঁজে বের করতে হবে.
প্যাচটি দেখায় যে একটি সার্ভার সাইড কম্পোনেন্ট রয়েছে যা কেবল একটি স্ট্রিং নিচ্ছে এবং সেই স্ট্রিংটিকে একটি ওয়েব ফর্মের মধ্যে ব্যবহার করছে যা ব্যবহারকারীর ব্রাউজারে অন্য প্রান্তে প্রদর্শিত হবে।
এবং আপনি দেখতে পারেন যে প্রোগ্রাম *এখন* কি করে (এই বিশেষ সফ্টওয়্যারটি জাভাতে লেখা আছে)… এটি একটি ফাংশন বলে escapeXML()
, যা, যদি আপনি চান, একটি টেক্সট স্ট্রিং নেওয়ার একটি সত্য উপায় যা আপনি প্রদর্শন করতে চান এবং নিশ্চিত করুন যে সেখানে কোনও ম্যাজিক এক্সএমএল বা এইচটিএমএল অক্ষর নেই যা ব্রাউজারকে কৌশল করতে পারে।
বিশেষ করে: এর চেয়ে কম (<
); অপেক্ষা বৃহত্তর (>
); অ্যাম্পারস্যান্ড (&
); ডবল উদ্ধৃতি ("
); বা একক উদ্ধৃতি, যা apostrophe নামেও পরিচিত ('
).
এগুলি তাদের দীর্ঘ-ফর্ম, নিরাপদ HTML কোডে রূপান্তরিত হয়।
যদি আমি আমাদের স্ট্যান্ডার্ড নেকেড সিকিউরিটি ক্লিচ ব্যবহার করতে পারি, ডগ: আপনার ইনপুট স্যানিটাইজ করুন এখানে নিচের লাইন.
DOUG. ওহ, আমি যে এক ভালোবাসি!
দারুণ। চলুন চলুন পিঙ্ক ফ্লয়েড, স্পষ্টতই... আমরা এই সমস্ত অনুষ্ঠানের জন্য অপেক্ষা করছিলাম।
পিঙ্ক ফ্লয়েড যদি সাইবার সিকিউরিটি গবেষক হতেন, তাহলে কল্পনা করা মজার যে তারা হয়তো "" নামে একটি হিট গান লিখেছেনএই ফাইলটি নিয়ে সাবধানে থাকুন, ইউজিন” পরিবর্তে, পল। [পিঙ্ক ফ্লয়েড বিখ্যাতভাবে একটি গান তৈরি করেছিলেন যার নাম সেই কুঠার দিয়ে সাবধান, ইউজিন।]
হাঁস. প্রকৃতপক্ষে.
"সেই ফাইলটির সাথে সাবধানতা অবলম্বন করুন" একটি অনুস্মারক যে কখনও কখনও, আপনি যখন একটি অনলাইন পরিষেবাতে একটি ফাইল আপলোড করেন, আপনি যদি ভুলটি বাছাই করেন, আপনি ফাইলটিকে পুনঃবন্টন করতে পারেন, উদাহরণস্বরূপ, এটিকে সুরক্ষিত সঞ্চয়ের জন্য আপলোড করার পরিবর্তে৷
সৌভাগ্যক্রমে, এই ক্ষেত্রে খুব বেশি ক্ষতি হয়নি, তবে এটি এমন কিছু ছিল যা গুগলের ভাইরাস টোটাল পরিষেবাতে হয়েছিল।
শ্রোতারা সম্ভবত জানেন যে ভাইরাস টোটাল একটি খুব জনপ্রিয় পরিষেবা যেখানে, যদি আপনার কাছে এমন একটি ফাইল থাকে যা হয় আপনি জানেন যে এটি ম্যালওয়্যার এবং আপনি জানতে চান যে এটিকে বিভিন্ন পণ্য কী বলে (তাই আপনি জানেন যে আপনার জন্য কী সন্ধান করতে হবে হুমকি লগ), অথবা আপনি যদি মনে করেন, "হয়তো আমি যত তাড়াতাড়ি সম্ভব, যত তাড়াতাড়ি সম্ভব নমুনাটি নিরাপদে অনেক বিক্রেতার কাছে পেতে চাই"...
…তারপর আপনি Virus Total-এ আপলোড করুন।
ফাইলটি প্রায় অবিলম্বে কয়েক ডজন সাইবারসিকিউরিটি কোম্পানির কাছে উপলব্ধ করা হয়।
এটি বিশ্বে সম্প্রচার করা, বা একটি ফাঁস হওয়া অনলাইন ক্লাউড স্টোরেজ বালতিতে এটি আপলোড করার মতো নয়, তবে পরিষেবা ** হল সেই ফাইলটিকে অন্য লোকেদের সাথে ভাগ করে নেওয়ার জন্য।
এবং দুর্ভাগ্যবশত, এটা মনে হচ্ছে যে ভাইরাস টোটালের মধ্যে থাকা একজন কর্মচারী ঘটনাক্রমে একটি অভ্যন্তরীণ ফাইল আপলোড করেছে যা ভাইরাস টোটাল পোর্টালে গ্রাহকের ইমেল ঠিকানাগুলির একটি তালিকা ছিল, এবং তারা যে পোর্টাল ব্যবহার করার কথা ছিল তাতে নয়।
এখন, এই গল্পটি লেখার আসল কারণ, ডগ, এটি।
হাসার আগে; আপনি আঙ্গুল নির্দেশ করার আগে; আপনি বলার আগে, "তারা কি ভাবছিল?"...
.. থামুন এবং নিজেকে এই একটি প্রশ্ন জিজ্ঞাসা করুন।
"আমি কি কখনও ভুল করে ভুল ব্যক্তিকে একটি ইমেল পাঠিয়েছি?" [হাসি]
এটি একটি অলঙ্কৃত প্রশ্ন. [আরো হাসি]
আমরা সবাই এটা করেছি...
DOUG. এটা অলংকারমূলক!
হাঁস. …আমাদের মধ্যে কেউ কেউ একাধিকবার। [হাসি]
এবং আপনি যদি কখনও এটি করে থাকেন, তবে এটি কী গ্যারান্টি দেয় যে আপনি ভুল *সার্ভার* এ ভুল করে একটি ফাইল আপলোড করবেন না, একই ধরণের ত্রুটি তৈরি করবেন?
এটি একটি অনুস্মারক যে কাপ এবং ঠোঁটের মধ্যে অনেকগুলি স্লিপ, ডগলাস রয়েছে৷
DOUG. ঠিক আছে, আমাদের এখানে ভাল লোকেদের জন্য কিছু টিপস আছে, আমি বলতে চাই, যুক্তিযুক্তভাবে আমাদের সবচেয়ে অপ্রিয় উপদেশগুলির মধ্যে একটি: যখনই আপনি আসলে সেগুলি ব্যবহার করছেন না তখনই অনলাইন অ্যাকাউন্টগুলি থেকে লগ আউট করুন৷
হাঁস. হ্যাঁ.
এখন, হাস্যকরভাবে, এটি এই ক্ষেত্রে সাহায্য নাও করতে পারে কারণ, যেমন আপনি কল্পনা করতে পারেন, ভাইরাস টোটাল বিশেষভাবে ইঞ্জিনিয়ার করা হয়েছে যাতে যে কেউ ফাইলগুলি *আপলোড* করতে পারে (কারণ সেগুলি সকলের বৃহত্তর ভালোর জন্য শেয়ার করা হয়, দ্রুত, যারা তাদের দেখতে চান তাদের কাছে), কিন্তু শুধুমাত্র বিশ্বস্ত গ্রাহকরা জিনিস *ডাউনলোড* করতে পারেন (কারণ অনুমান করা হয় যে আপলোডগুলিতে প্রায়শই ম্যালওয়্যার থাকে, তাই সেগুলি কেবল কারও কাছে উপলব্ধ নয়)।
কিন্তু যখন আপনি সম্ভবত সব সময় লগ ইন করে থাকা সাইটের সংখ্যা সম্পর্কে চিন্তা করেন, তখন আপনি সঠিক ফাইলটি নিয়ে ভুল জায়গায় আপলোড করার সম্ভাবনা বেশি করে তোলে।
আপনি যদি কোনো সাইটে লগইন না করে থাকেন এবং আপনি ভুল করে সেখানে একটি ফাইল আপলোড করার চেষ্টা করেন, তাহলে আপনি একটি লগইন প্রম্পট পাবেন...
…এবং আপনি আপনার নিজের থেকে রক্ষা করবেন!
এটি একটি চমত্কারভাবে সহজ সমাধান, কিন্তু আপনি যেমন বলেন, এটি অত্যন্ত অপ্রিয় কারণ এটি বিনয়ীভাবে অসুবিধাজনক। [হাসি]
DOUG. হ্যাঁ!
হাঁস. কখনও কখনও, তবে, আপনাকে দলের জন্য একটি নিতে হবে।
DOUG. সমস্ত দায়িত্ব শেষ ব্যবহারকারীদের কাছে স্থানান্তর করার জন্য নয়: আপনি যদি আইটি টিমে থাকেন, তাহলে ব্যবহারকারীরা কাকে কী ধরনের ফাইল পাঠাতে পারে তার উপর নিয়ন্ত্রণ রাখার কথা বিবেচনা করুন।
হাঁস. দুর্ভাগ্যবশত, এই ধরনের ব্লকিং অজনপ্রিয়, যদি আপনি মুদ্রার অপর পাশের কারণে লোকে অ্যাকাউন্ট ব্যবহার না করার সময় লগ আউট করতে পছন্দ করেন না।
যখন IT আসে এবং বলে, "আপনি কি জানেন, আমরা আমাদের সাইবারসিকিউরিটি এন্ডপয়েন্ট পণ্যের ডেটা লস প্রিভেনশন [DLP] অংশগুলি চালু করতে যাচ্ছি"...
…লোকেরা যায়, “আচ্ছা, এটা অসুবিধাজনক। এটা যদি পথে পায়? যদি এটি আমার কর্মপ্রবাহে হস্তক্ষেপ করে? যদি এটি আমার জন্য একটি ঝামেলার কারণ হয়? আমি এটা পছন্দ করি না!”
সুতরাং, অনেক II
টি বিভাগগুলি সম্ভবত এইরকম কর্মপ্রবাহে হস্তক্ষেপ করতে কিছুটা লজ্জা পেতে পারে।
কিন্তু, ডগ, যেমনটি আমি নিবন্ধে বলেছি, আপনি সর্বদা একটি দ্বিতীয় সুযোগ পাবেন একটি ফাইল পাঠানোর যেটি প্রথমবার বের হবে না, আইটি-এর সাথে আলোচনা করে, কিন্তু আপনি কখনই এমন একটি ফাইল বাতিল করার সুযোগ পাবেন না যা ছিল না। সব বাইরে যেতে অনুমিত.
DOUG. [হাসি] ঠিক!
ঠিক আছে, ভাল টিপস আছে.
আমাদের শেষ গল্প, কিন্তু অবশ্যই অন্তত না.
পল, আমি আপনাকে মনে করিয়ে দিতে হবে না, কিন্তু আমাদের অন্যদের মনে করিয়ে দেওয়া উচিত...
…প্রযুক্ত ক্রিপ্টোগ্রাফি কঠিন, নিরাপত্তা বিভাজন কঠিন, এবং হুমকি শিকার করা কঠিন।
তাই কি যে সব মাইক্রোসফট সঙ্গে কি করতে হবে?
মাইক্রোসফ্ট ঝড়ের মরসুমে আঘাত করেছে – দুই আধা-শূন্য দিনের গল্প
হাঁস. ঠিক আছে, সম্প্রতি মিডিয়াতে মাইক্রোসফ্ট এবং এর গ্রাহকদের স্টর্ম নামে পরিচিত একটি সাইবার ক্রাইম গ্রুপ দ্বারা উল্টে যাওয়া, আঘাত করা, তদন্ত করা এবং হ্যাক করা সম্পর্কে অনেক খবর রয়েছে।
এবং এই গল্পের একটি অংশ 25 টি সংস্থার কাছাকাছি যায় যাদের এক্সচেঞ্জ ব্যবসার ভিতরে এই দুর্বৃত্তরা ছিল।
তারা শূন্য দিনের সাজানোর.
এখন, মাইক্রোসফ্ট কী ঘটেছে সে সম্পর্কে একটি চমত্কার পূর্ণ এবং মোটামুটি খোলামেলা প্রতিবেদন প্রকাশ করেছে, কারণ স্পষ্টতই মাইক্রোসফ্টের কমপক্ষে দুটি ভুল ছিল।
তারা যেভাবে গল্প বলে তা আপনাকে হুমকি শিকার সম্পর্কে এবং কিছু ভুল হয়ে গেলে হুমকির প্রতিক্রিয়া সম্পর্কে একটি ভয়ঙ্কর অনেক কিছু শেখাতে পারে।
DOUG. ঠিক আছে, তাই দেখে মনে হচ্ছে স্টর্ম আউটলুক ওয়েব অ্যাক্সেস [OWA] এর মাধ্যমে একগুচ্ছ দখলকৃত প্রমাণীকরণ টোকেন ব্যবহার করে প্রবেশ করেছে, যা মূলত একটি অস্থায়ী কুকির মতো যা আপনি উপস্থাপন করেছেন যা বলে, "এই ব্যক্তি ইতিমধ্যেই লগ ইন করেছেন, তারা বৈধ, যাক তাদের মধ্যে."
রাইট?
হাঁস. ঠিক, ডগ.
যখন এই ধরনের জিনিস ঘটে, যা স্পষ্টতই উদ্বেগজনক কারণ এটি দুর্বৃত্তদের শক্তিশালী প্রমাণীকরণ পর্বকে বাইপাস করতে দেয় (যেখানে আপনাকে আপনার ব্যবহারকারীর নাম টাইপ করতে হবে, আপনার পাসওয়ার্ড টাইপ করতে হবে, তারপরে একটি 2FA কোড করুন; বা যেখানে আপনাকে করতে হবে আপনার Yubikey উপস্থাপন করুন; অথবা আপনাকে আপনার স্মার্ট কার্ড সোয়াইপ করতে হবে)…
…স্পষ্ট অনুমান, যখন এরকম কিছু ঘটে, তখন অন্য প্রান্তে থাকা ব্যক্তির তাদের এক বা একাধিক ব্যবহারকারীর কম্পিউটারে ম্যালওয়্যার রয়েছে৷
ম্যালওয়্যার এনক্রিপ্ট হওয়ার আগে ব্রাউজার সামগ্রীর মতো জিনিসগুলিতে উঁকি দেওয়ার সুযোগ পায়, যার অর্থ হল এটি প্রমাণীকরণ টোকেনগুলিকে জোঁক দিতে পারে এবং সেগুলিকে সেগুলিকে পাঠাতে পারে যেখানে পরে তাদের অপব্যবহার করা যেতে পারে৷
মাইক্রোসফ্ট তাদের প্রতিবেদনে স্বীকার করেছে যে এটি তাদের প্রথম অনুমান।
এবং যদি এটি সত্য হয় তবে এটি সমস্যাযুক্ত কারণ এর অর্থ মাইক্রোসফ্ট এবং সেই 25 জন লোককে হুমকির শিকার করার চেষ্টা করতে দৌড়াতে হবে।
কিন্তু যদি এটি *ব্যাখ্যা* না হয়, তাহলে এটিকে আগে থেকেই বের করা গুরুত্বপূর্ণ, যাতে আপনি নিজের এবং অন্য সবার সময় নষ্ট করবেন না।
তারপরে মাইক্রোসফ্ট বুঝতে পেরেছিল, "আসলে দেখে মনে হচ্ছে যে বদমাশরা মূলত তাদের নিজস্ব প্রমাণীকরণ টোকেন তৈরি করছে, যা পরামর্শ দেয় যে তারা অবশ্যই আমাদের কথিত নিরাপদ Azure অ্যাক্টিভ ডিরেক্টরি টোকেন-সাইনিং কীগুলির একটি চুরি করেছে।"
ওয়েল, এটা উদ্বেগজনক!
*তারপর* মাইক্রোসফ্ট উপলব্ধি করল, "এই টোকেনগুলি প্রকৃতপক্ষে একটি সাইনিং কী দ্বারা স্পষ্টতই ডিজিটালভাবে স্বাক্ষরিত যা শুধুমাত্র গ্রাহক অ্যাকাউন্টগুলির জন্য ব্যবহার করা উচিত, যাকে MSAs বা Microsoft অ্যাকাউন্ট বলা হয়।"
অন্য কথায়, একটি প্রমাণীকরণ টোকেন তৈরি করতে যে ধরনের সাইনিং কী ব্যবহার করা হবে, বলুন আপনি বা আমি আমাদের ব্যক্তিগত Outlook.com পরিষেবাতে লগ ইন করছি কিনা।
ওহ না!
আরেকটি বাগ রয়েছে যার অর্থ হল একটি স্বাক্ষরিত প্রমাণীকরণ টোকেন নেওয়া সম্ভব যা তাদের মনে থাকা আক্রমণের জন্য কাজ করার কথা নয়, এবং তারপরে লোকেদের কর্পোরেট ইমেলের সাথে জগাখিচুড়ি করে।
সুতরাং, যে সব খুব খারাপ শোনাচ্ছে, যা অবশ্যই এটা.
কিন্তু একটি উল্টোদিকে আছে...
…এবং এটি বিদ্রুপের বিষয় যে এটি কাজ করার কথা ছিল না, কারণ MSA টোকেনগুলি বাড়ির কর্পোরেট Azure অ্যাক্টিভ ডিরেক্টরিতে কাজ করার কথা নয়, এবং এর বিপরীতে, মাইক্রোসফ্টের কেউ কখনও কোড লিখতে বিরক্ত করেনি অন্য খেলার মাঠে একটি টোকেন ব্যবহার করুন।
যার অর্থ এই সমস্ত দুর্বৃত্ত টোকেন দাঁড়িয়েছে।
সুতরাং মাইক্রোসফ্টের হুমকি শিকারের জন্য কমপক্ষে একটি বিশাল, দৃশ্যমান লাল পতাকা ছিল।
সৌভাগ্যবশত, সমস্যাটি সমাধান করা, কারণ এটি একটি ক্লাউড সাইড সমস্যা, এর মানে হল যে আপনি এবং আমার আমাদের সিস্টেমগুলিকে তাড়াহুড়ো করে প্যাচ করার দরকার নেই৷
মূলত, সমাধান হল: যে সাইনিং কীটি আপস করা হয়েছে তা অস্বীকার করুন, তাই এটি আর কাজ করে না, এবং যখন আমরা এটি সম্পর্কে আছি, আসুন সেই বাগটি ঠিক করি যা এক্সচেঞ্জের কর্পোরেট সাইডে একটি ভোক্তা সাইনিং কীকে বৈধ হতে দেয়৷ বিশ্ব
এটি সাজানোর একটি বিট একটি "সব ভাল যে ভাল শেষ হয়।"
কিন্তু আমি যেমন বলেছি, এটি একটি বড় অনুস্মারক যে হুমকি শিকারে প্রায়শই আপনি প্রথমে ভাবতে পারেন তার চেয়ে অনেক বেশি কাজ জড়িত।
এবং আপনি যদি মাইক্রোসফ্টের প্রতিবেদনটি পড়েন তবে আপনি কল্পনা করতে পারেন যে এতে কতটা কাজ হয়েছে।
DOUG. ঠিক আছে, সবকিছু ধরার চেতনায়, আসুন আমাদের পাঠকদের একজনের কাছ থেকে শুনি সপ্তাহের মন্তব্য.
দশ বছরের ভালো অংশে এটি করার পরে আমি আপনাকে প্রথম হাত বলতে পারি, এবং আমি নিশ্চিত যে হাজার হাজার নিবন্ধে এটি করার পরে পল আপনাকে প্রথম হাত বলতে পারবে...
…প্রযুক্তিগত ব্লগারের জন্য টাইপগুলি হল জীবনের একটি উপায়, এবং যদি আপনি ভাগ্যবান হন, তবে কখনও কখনও আপনার টাইপো এত ভাল হয় যে আপনি এটি ঠিক করতে ঘৃণা করেন৷
এই মাইক্রোসফ্ট নিবন্ধের ক্ষেত্রেও তাই।
পাঠক ডেভ পলকে লেখা হিসেবে উদ্ধৃত করেছেন "যা দেখে মনে হচ্ছে যে কেউ আসলেই একটি কোম্পানিকে [sic] কী গাইতে চিমটি দিয়েছে।"
ডেভ তারপর এই বলে উদ্ধৃতি অনুসরণ করে, "গান কি রক"।
হুবহু ! [হাসি]
হাঁস. হ্যাঁ, এটি একটি শ্লেষ বুঝতে আমার কিছুটা সময় লেগেছে… তবে হ্যাঁ, "গান কী"। [হাসি]
আপনি যদি সেনাবাহিনীর ক্যাম্পে স্যাক্সোফোনের একটি ক্রেট ফেলে দেন তবে আপনি কী পাবেন?
DOUG. [হাসি]
হাঁস. [যতটা সম্ভব শুকনো] এ-ফ্ল্যাট মেজর।
DOUG. [একত্রিত হাসি-আঁকাঁ] ঠিক আছে, খুব ভালো।
ডেভ, যে আউট নির্দেশ করার জন্য আপনাকে ধন্যবাদ.
এবং আমরা একমত যে গান কি রক; সাইনিং কী কম তাই।
যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।
আপনি tips@sophos.com-এ ইমেল করতে পারেন, আপনি আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @nakedsecurity.
এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য অনেক ধন্যবাদ
পল ডকলিনের জন্য, আমি ডগ আমথ, আপনাকে মনে করিয়ে দিচ্ছি, পরের বার পর্যন্ত,...
উভয়। নিরাপদ থাকুন!
[মিউজিক্যাল মডেম]
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
- উত্স: https://nakedsecurity.sophos.com/2023/07/20/s3-ep144-when-threat-hunting-goes-down-a-rabbit-hole/
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 17
- 2014
- 25
- 2FA
- a
- ক্ষমতা
- সক্ষম
- সম্পর্কে
- আইটি সম্পর্কে
- প্রবেশ
- অ্যাকাউন্টস
- কর্ম
- সক্রিয়
- কাজ
- প্রকৃতপক্ষে
- অতিরিক্ত
- ঠিকানা
- ঠিকানাগুলি
- সত্য বলিয়া স্বীকার করা
- পরামর্শ
- পর
- পরে
- এগিয়ে
- সব
- অনুমতি
- বরাবর
- ইতিমধ্যে
- ঠিক হ্যায়
- এছাড়াও
- যদিও
- সর্বদা
- am
- an
- এবং
- অন্য
- কোন
- আর
- কোথাও
- অ্যাপ্লিকেশন
- প্রদর্শিত
- আপেল
- অভিগমন
- রয়েছি
- তর্কসাপেক্ষে
- সেনা
- কাছাকাছি
- প্রবন্ধ
- প্রবন্ধ
- AS
- ধৃষ্টতা
- At
- আক্রমণ
- অডিও
- প্রমাণীকরণ
- লেখক
- সহজলভ্য
- এড়াতে
- নভোনীল
- পিছনে
- খারাপ
- বার
- মূলত
- BE
- কারণ
- পরিণত
- হয়েছে
- আগে
- বিশ্বাস করা
- নিচে
- উত্তম
- মধ্যে
- বিশাল
- বিট
- রোধক
- পাদ
- ব্রেকিং
- সম্প্রচার
- ব্রাউজার
- নম
- গুচ্ছ
- ব্যবসায়
- কিন্তু
- by
- ক্যালেন্ডার
- কল
- নামক
- কল
- শিবির
- CAN
- কার্ড
- সাবধান
- কেস
- কারণ
- কারণসমূহ
- অবশ্যই
- সুযোগ
- পরিবর্তন
- পরিবর্তিত
- পরিবর্তন
- অক্ষর
- মনোনীত
- পরিষ্কার
- মেঘ
- মেঘ স্টোরেজ
- কোড
- কোডগুলি
- সহযোগিতা
- এর COM
- মিলিত
- আসে
- আসছে
- মন্তব্য
- কোম্পানি
- কোম্পানি
- উপাদান
- সংকটাপন্ন
- কম্পিউটার
- বিবেচনা
- ভোক্তা
- ধারণ করা
- ধারণ
- বিষয়বস্তু
- নিয়ন্ত্রণগুলি
- ধর্মান্তরিত
- বিস্কুট
- কর্পোরেট
- পারা
- পথ
- সৃষ্টি
- ক্রিপ্টোগ্রাফি
- কাপ
- ক্রেতা
- গ্রাহকদের
- সাইবার অপরাধ
- সাইবার নিরাপত্তা
- উপাত্ত
- তথ্য হারানোর
- তারিখ
- তারিখগুলি
- ডেভ
- দিন
- মৃত
- বিভাগের
- DID
- বিভিন্ন
- ডিজিটালরূপে
- প্রদর্শন
- প্রদর্শক
- বিতরণ
- do
- ডকুমেন্টেশন
- না
- না
- করছেন
- সম্পন্ন
- Dont
- ডবল
- নিচে
- ডজন
- ড্রপ
- বাদ
- শুষ্ক
- গোড়ার দিকে
- সহজে
- প্রভাব
- পারেন
- অন্যদের
- ইমেইল
- কর্মচারী
- এনক্রিপ্ট করা
- শেষ
- শেষপ্রান্ত
- প্রান্ত
- সমগ্র
- ভুল
- মূলত
- প্রতিষ্ঠিত
- ইউজিন
- এমন কি
- কখনো
- সবাই
- সব
- ঠিক
- উদাহরণ
- বিনিময়
- ব্যাখ্যা
- নিরপেক্ষভাবে
- বিখ্যাত
- সুগঠনবিশিষ্ট
- মনে
- ক্ষেত্র
- ব্যক্তিত্ব
- ফাইল
- নথি পত্র
- প্রথম
- প্রথমবার
- ঠিক করা
- ফ্লয়েড
- অনুসরণ
- জন্য
- ফর্ম
- ভাগ্যক্রমে
- পাওয়া
- থেকে
- সম্পূর্ণ
- মজা
- ক্রিয়া
- পাওয়া
- পেয়ে
- দৈত্য
- Go
- Goes
- চালু
- ভাল
- গুগল
- Google এর
- বৃহত্তর
- গ্রুপ
- গ্যারান্টী
- টাট্টু ঘোড়া
- গভীর ক্ষত
- ছিল
- হাত
- হাত
- কুশলী
- ঘটেছিলো
- এরকম
- কঠিন
- ক্ষতি
- আছে
- he
- শোনা
- সাহায্য
- এখানে
- আঘাত
- গর্ত
- ঘর
- কিভাবে
- যাহোক
- এইচটিএমএল
- HTTPS দ্বারা
- শিকার
- i
- আইকন
- if
- কল্পনা করা
- অবিলম্বে
- গুরুত্বপূর্ণ
- in
- অন্তর্ভুক্ত করা
- অন্তর্ভুক্ত
- সুদ্ধ
- প্রকৃতপক্ষে
- ভিতরে
- পরিবর্তে
- মজাদার
- হস্তক্ষেপ
- অভ্যন্তরীণ
- ইন্টারনেট ভিত্তিক
- মধ্যে
- আইফোন
- হাস্যকরভাবে
- বিদ্রূপ
- IT
- এর
- নিজেই
- জাভা
- জাভাস্ক্রিপ্ট
- জুলাই
- জুলাই 17
- মাত্র
- উত্সাহী
- চাবি
- কী
- রকম
- জানা
- পরিচিত
- পরে
- লিকস
- অন্তত
- বরফ
- পাঠ্য
- কম
- দিন
- জীবন
- মত
- সম্ভবত
- লাইন
- LINK
- তালিকা
- শ্রবণ
- সামান্য
- লগ
- লগিং
- লগইন
- দেখুন
- সৌন্দর্য
- ক্ষতি
- অনেক
- ভালবাসা
- ভাগ্য
- প্রণীত
- জাদু
- মুখ্য
- করা
- তৈরি করে
- মেকিং
- ম্যালওয়্যার
- পরিচালনা করা
- অনেক
- মে..
- me
- গড়
- মানে
- অভিপ্রেত
- মিডিয়া
- মাইক্রোসফট
- হতে পারে
- মন
- প্রচলন
- ভুল
- অধিক
- সেতু
- পদক্ষেপ
- অনেক
- বহু
- সঙ্গীত
- সুরেলা
- অবশ্যই
- my
- নগ্ন সুরক্ষা
- নগ্ন নিরাপত্তা পডকাস্ট
- নাম
- প্রয়োজন
- না
- সংবাদ
- পরবর্তী
- সুন্দর
- না।
- নোড
- লক্ষ্য করুন..
- এখন
- সংখ্যা
- সুস্পষ্ট
- of
- বন্ধ
- প্রায়ই
- oh
- পুরাতন
- on
- একদা
- ONE
- অনলাইন
- কেবল
- or
- সংগঠন
- মূলত
- অন্যান্য
- আমাদের
- বাইরে
- চেহারা
- শেষ
- নিজের
- অংশ
- বিশেষ
- যন্ত্রাংশ
- পাসওয়ার্ড
- তালি
- প্যাচিং
- পল
- সম্প্রদায়
- জনগণের
- সম্পাদন করা
- ব্যক্তি
- ব্যক্তিগত
- ব্যক্তিগত তথ্য
- ফেজ
- বাছাই
- টুকরা
- জায়গা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- খেলোয়াড়
- কেলি
- পডকাস্ট
- পডকাস্ট
- বিন্দু
- জনপ্রিয়
- পোর্টাল
- সম্ভব
- পোস্ট
- সম্ভাব্য
- বর্তমান
- চমত্কার
- প্রতিরোধ
- সম্ভবত
- সমস্যা
- সমস্যা
- প্রযোজনা
- পণ্য
- পণ্য
- কার্যক্রম
- প্রোগ্রামার
- সম্পত্তি
- রক্ষা করা
- প্রদানকারীর
- প্রকাশিত
- স্থাপন
- প্রশ্ন
- দ্রুত
- উদ্ধৃতি
- কোট
- খরগোশ
- বরং
- পড়া
- পাঠকদের
- বাস্তব
- সত্যিই
- কারণ
- সম্প্রতি
- লাল
- মুক্তি
- থাকা
- রিপ্লাই
- রিপোর্ট
- গবেষকরা
- প্রতিক্রিয়া
- অধিকার
- ঝুঁকি
- শিলা
- রোল
- ঘূর্ণিত
- আরএসএস
- দৌড়
- নলখাগড়া
- নিরাপদ
- বলেছেন
- একই
- শনিবার
- বলা
- উক্তি
- বলেছেন
- সার্চ
- ঋতু
- দ্বিতীয়
- নিরাপদ
- নিরাপদে
- নিরাপত্তা
- দেখ
- করলো
- মনে হয়
- সেগমেন্টেশন
- পাঠান
- অনুভূতি
- প্রেরিত
- সেবা
- সেবা প্রদানকারী
- সেট
- শেয়ার
- ভাগ
- শেয়ারিং
- পরিবর্তন
- উচিত
- প্রদর্শনী
- শো
- লাজুক
- পাশ
- সাইন ইন
- স্বাক্ষর
- অনুরূপ
- সহজ
- কেবল
- থেকে
- একক
- সাইট
- সাইট
- ছোট
- স্মার্ট
- So
- সামাজিক
- সফটওয়্যার
- সমাধান
- কিছু
- কেউ
- কিছু
- গান
- শীঘ্রই
- সাউন্ডক্লাউড
- বিশেষভাবে
- আত্মা
- Spotify এর
- মান
- শুরু
- শুরু হচ্ছে
- থাকা
- প্রারম্ভিক ব্যবহারের নির্দেশাবলী
- অপহৃত
- থামুন
- স্টোরেজ
- ঝড়
- গল্প
- স্ট্রিং
- শক্তিশালী
- জমা
- এমন
- সুপারিশ
- প্রস্তাব
- অনুসরণ
- অনুমিত
- নিশ্চিত
- সিস্টেম
- গ্রহণ করা
- গ্রহণ
- গল্প
- আলাপ
- টীম
- প্রযুক্তি
- বলা
- অস্থায়ী
- এই
- মেয়াদ
- চেয়ে
- ধন্যবাদ
- ধন্যবাদ
- যে
- সার্জারির
- বিশ্ব
- তাদের
- তাহাদিগকে
- তারপর
- সেখানে।
- এইগুলো
- তারা
- জিনিস
- কিছু
- মনে
- চিন্তা
- এই
- সেগুলো
- যদিও?
- হাজার হাজার
- হুমকি
- দ্বারা
- সময়
- পরামর্শ
- থেকে
- আজ
- আজকের
- টোকেন
- টোকেন
- অত্যধিক
- গ্রহণ
- মোট
- সত্য
- বিশ্বস্ত
- চেষ্টা
- চালু
- পরিণত
- দুই
- আদর্শ
- বোঝা
- দুর্ভাগ্যবশত
- অসদৃশ
- পর্যন্ত
- আপলোড করা
- আপলোড
- URL টি
- us
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারকারী
- ব্যবহার
- বিক্রেতারা
- খুব
- মাধ্যমে
- ভাইস
- দুষ্ট
- দৃশ্যমান
- প্রতীক্ষা
- প্রয়োজন
- সতর্কবার্তা
- ছিল
- অপব্যয়
- উপায়..
- we
- ওয়েব
- ওয়েবসাইট
- সপ্তাহান্তিক কাল
- আমরা একটি
- ভাল-সংজ্ঞায়িত
- গিয়েছিলাম
- ছিল
- কি
- যাই হোক
- কখন
- যখনই
- যে
- যখন
- হু
- কেন
- ইচ্ছা
- সঙ্গে
- ছাড়া
- শব্দ
- হয়া যাই ?
- কর্মপ্রবাহ
- বিশ্ব
- would
- লেখা
- লিখিত
- ভুল
- এক্সএমএল
- পদ্ধতি এটা XSS
- বছর
- হাঁ
- আপনি
- আপনার
- নিজেকে
- zephyrnet