S3 Ep146: সেই লঙ্ঘন সম্পর্কে আমাদের বলুন! (যদি তুমি চাও.)

নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।

---

DOUG.  ফায়ারফক্স আপডেট, অন্য একটি চিত্তাকর্ষক নামের সঙ্গে বাগ, এবং SEC প্রকাশ দাবি করে।

নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে স্বাগতম, সবাইকে।

আমি ডগ আমথ; তিনি পল ডাকলিন।

পল, আমি আশা করি আপনি আমাকে নিয়ে গর্বিত হবেন… আমি জানি আপনি একজন সাইক্লিং উত্সাহী।

আমি গতকাল 10 আমেরিকান মাইল জন্য একটি সাইকেল চালিয়েছি, যা আমি বিশ্বাস করি মোটামুটি 16 কিমি, একটি ছোট কিন্তু অস্বস্তিকর শিশুকে একটি দুই চাকার গাড়িতে সাইকেলের পিছনে টেনে নিয়ে যাচ্ছি।

এবং গল্প বলার জন্য আমি এখনও বেঁচে আছি।

সাইকেল চালানো কি দীর্ঘ পথ, পল?

---

হাঁস.  [হাসি] এটা নির্ভর করে আপনাকে কতদূর যেতে হবে।

যেমন, যদি সত্যিই 1200 মিটার যেতে হয় এবং আপনি হারিয়ে যেতেন... [হাসি]

সাইকেল চালানোর জন্য আমার উত্সাহ খুব বেশি, কিন্তু এর মানে এই নয় যে আমি ইচ্ছাকৃতভাবে আমার প্রয়োজনের চেয়ে বেশি রাইড করি, কারণ এটি আমার কাছাকাছি যাওয়ার প্রাথমিক উপায়।

কিন্তু 10 মাইল ঠিক আছে.

আপনি কি জানেন যে আমেরিকান মাইল এবং ব্রিটিশ মাইল আসলে অভিন্ন?

---

DOUG.  জেনে ভালো লাগলো!

---

হাঁস.  এবং 1959 সাল থেকে হয়েছে, যখন আমি মনে করি, কানাডা, দক্ষিণ আফ্রিকা, অস্ট্রেলিয়া, মার্কিন যুক্তরাষ্ট্র এবং যুক্তরাজ্য সহ একগুচ্ছ দেশ একত্রিত হয়েছিল এবং একটি "আন্তর্জাতিক ইঞ্চি" এর মানসম্মত করতে সম্মত হয়েছিল।

আমি মনে করি ইম্পেরিয়াল ইঞ্চি খুব, খুব সামান্য ছোট হয়ে গেছে এবং আমেরিকান ইঞ্চি খুব, খুব সামান্য লম্বা হয়েছে, ফলস্বরূপ ইঞ্চি (এবং তাই গজ, এবং পা, এবং মাইল)…

…তারা সবই মিটারের পরিপ্রেক্ষিতে সংজ্ঞায়িত।

এক ইঞ্চি ঠিক 25.4 মিমি

তিনটি উল্লেখযোগ্য পরিসংখ্যান আপনার প্রয়োজন।

---

DOUG.  আকর্ষনীয়!

ওয়েল, চটুল কথা বলতে, এটা আমাদের জন্য সময় প্রযুক্তির ইতিহাসে এই সপ্তাহ সেগমেন্ট।

এই সপ্তাহে, 01 আগস্ট 1981-এ, মিউজিক টেলিভিশন, এমটিভি নামেও পরিচিত, আমেরিকান কেবল এবং স্যাটেলাইট টেলিভিশন প্যাকেজের অংশ হিসাবে লাইভ হয়েছিল এবং জনসাধারণকে মিউজিক ভিডিওগুলির সাথে পরিচয় করিয়ে দেয়।

প্রথমটি দ্য বাগলসের "ভিডিও কিলড দ্য রেডিও স্টার" বাজিয়েছিল [গানে, বরং ভালভাবে গায়]৷

সেই সময়ে মানানসই, যদিও আজকাল বিদ্রূপাত্মক হিসাবে MTV খুব কমই মিউজিক ভিডিও চালায়, এবং কোনো নতুন মিউজিক ভিডিও প্লে করে না, পল।

---

হাঁস.  হ্যাঁ, এটা বিদ্রূপাত্মক, তাই না, সেই কেবল টিভি (অন্য কথায়, যেখানে আপনার বাড়িতে মাটির নিচে তারগুলি চলছিল) রেডিও (বা ওয়্যারলেস) তারকাকে মেরে ফেলেছিল, এবং এখন এটি কেবল টিভির মতো দেখাচ্ছে, এমটিভি... এই ধরণের বন্ধ হয়ে গেছে কারণ প্রত্যেকের কাছে মোবাইল নেটওয়ার্ক রয়েছে যা ওয়্যারলেসভাবে কাজ করে।

চারিদিকে যা আসে, ডগলাস।

---

DOUG.  ঠিক আছে, আচ্ছা, এই ফায়ারফক্স আপডেট সম্পর্কে কথা বলা যাক।

আমরা এই মাসে ফায়ারফক্স আপডেটের ডবল ডোজ পেয়েছি, কারণ সেগুলি 28 দিনের চক্রে রয়েছে:

ফায়ারফক্স এই মাসে দুটি রিলিজের প্রথমটিতে ত্রুটিগুলির একটি ঝাঁকুনি সংশোধন করেছে৷

গেটের বাইরে এই প্রথম রাউন্ডে কোন শূন্য-দিন নেই, তবে কিছু শিক্ষণীয় মুহূর্ত।

আমরা আপনার নিবন্ধে সম্ভবত এইগুলির অর্ধেক তালিকাভুক্ত করেছি, এবং একটি যা সত্যিই আমার কাছে আলাদা ছিল তা হল: ক্লিকজ্যাকিংয়ের মাধ্যমে বাইপাসের সম্ভাব্য অনুমতির অনুরোধ।

---

হাঁস.  হ্যাঁ, আবার ভালো পুরনো ক্লিকজ্যাকিং।

আমি এই শব্দটি পছন্দ করি কারণ এটি কী তা বর্ণনা করে।

আপনি কোথাও ক্লিক করছেন, ভাবছেন আপনি একটি বোতাম বা একটি নির্দোষ লিঙ্কে ক্লিক করছেন, কিন্তু আপনি অসাবধানতাবশত এমন কিছু ঘটতে অনুমোদন করছেন যা আপনার মাউস কার্সারের নীচে স্ক্রীনটি যা দেখাচ্ছে তা থেকে স্পষ্ট নয়।

এখানে সমস্যাটি মনে হচ্ছে যে কিছু পরিস্থিতিতে, যখন ফায়ারফক্স থেকে একটি অনুমতি ডায়ালগ পপ আপ হতে চলেছে, উদাহরণস্বরূপ, বলুন, "আপনি কি সত্যিই নিশ্চিত যে আপনি এই ওয়েবসাইটটিকে আপনার ক্যামেরা ব্যবহার করতে দিতে চান? আপনার অবস্থান অ্যাক্সেস আছে? আপনার মাইক্রোফোন ব্যবহার করুন?"...

… সেই সমস্ত জিনিস যা, হ্যাঁ, আপনি জিজ্ঞাসা করতে চান।

স্পষ্টতই, আপনি যদি ব্রাউজারটিকে এমন একটি পারফরম্যান্স পয়েন্টে নিয়ে যেতে পারেন (আবার, পারফরম্যান্স বনাম সুরক্ষা) যেখানে এটি বজায় রাখতে লড়াই করছিল, আপনি অনুমতি পপ-আপের উপস্থিতিতে বিলম্ব করতে পারেন।

কিন্তু যেখানে পপ-আপ প্রদর্শিত হবে সেখানে একটি বোতাম থাকার মাধ্যমে এবং ব্যবহারকারীকে এটিতে ক্লিক করার জন্য প্রলুব্ধ করে আপনি ক্লিকটিকে আকর্ষণ করতে পারেন, কিন্তু ক্লিকটি তখন অনুমতি ডায়ালগে পাঠানো হবে যা আপনি এখনও দেখেননি।

যদি আপনি চান চাক্ষুষ রেস শর্ত একটি সাজানোর.

---

DOUG.  ঠিক আছে, এবং অন্যটি ছিল: অফ-স্ক্রিন ক্যানভাস ক্রস-অরিজিন সীমাবদ্ধতাকে বাইপাস করতে পারে।

আপনি বলতে যান যে একটি ওয়েব পৃষ্ঠা ভিন্ন সাইট থেকে অন্য পৃষ্ঠায় প্রদর্শিত চিত্রগুলিতে উঁকি দিতে পারে।

---

হাঁস.  এমন তো হওয়ার কথা না, তাই না?

---

DOUG.  না!

---

হাঁস.  এর জন্য জারগন শব্দটি হল "একই-উৎস নীতি"।

আপনি যদি ওয়েবসাইট এক্স চালাচ্ছেন এবং আপনি আমাকে জাভাস্ক্রিপ্টের একটি সম্পূর্ণ গুচ্ছ পাঠান যা একটি সম্পূর্ণ লোড কুকি সেট করে, তাহলে ব্রাউজারে সেগুলি সংরক্ষণ করা হয়।

কিন্তু সাইট X থেকে শুধুমাত্র আরও জাভাস্ক্রিপ্ট সেই ডেটা পড়তে পারে।

আপনি যে একটি ট্যাবে X সাইট ব্রাউজ করছেন এবং অন্য ট্যাবে Y সাইটটি ব্রাউজ করছেন তা তাদের অন্যটি কী করছে তা দেখতে দেয় না এবং ব্রাউজারটি সেই সমস্ত জিনিসগুলিকে আলাদা করে রাখার কথা।

যে স্পষ্টতই বেশ গুরুত্বপূর্ণ.

এবং এখানে মনে হচ্ছে, যতদূর আমি এটি বুঝি, আপনি যদি এমন একটি পৃষ্ঠা রেন্ডার করছেন যা এখনও প্রদর্শিত হচ্ছে না...

…একটি অফ-স্ক্রিন ক্যানভাস, যেখানে আপনি একটি ভার্চুয়াল ওয়েব পৃষ্ঠা তৈরি করেন, যদি আপনি চান, এবং তারপরে ভবিষ্যতে আপনি বলবেন, "এখন আমি এটি প্রদর্শনের জন্য প্রস্তুত," এবং বিঙ্গো, পৃষ্ঠাটি উপস্থিত হবে একদা.

আপনি যে জিনিসগুলি অদৃশ্যভাবে রেন্ডার করছেন তা অসাবধানতাবশত ডেটা ফাঁস না করে তা নিশ্চিত করার চেষ্টা করে সমস্যাটি আসে, যদিও এটি শেষ পর্যন্ত ব্যবহারকারীর কাছে প্রদর্শিত হয় না।

তারা তা দেখেছে, বা এটি দায়িত্বশীলভাবে প্রকাশ করা হয়েছিল এবং এটি প্যাচ করা হয়েছিল।

এবং এই দুটি, আমি মনে করি, তথাকথিত "উচ্চ"-স্তরের দুর্বলতার মধ্যে অন্তর্ভুক্ত ছিল।

মোজিলার ঐতিহ্যবাহী বাদ দিয়ে অন্যদের অধিকাংশই ছিল “মধ্যম”, “আমরা অস্পষ্ট এবং স্বয়ংক্রিয় কৌশলের মাধ্যমে প্রচুর বাগ খুঁজে পেয়েছি; তারা আদৌ শোষিত হতে পারে কিনা তা খুঁজে বের করার জন্য আমরা তাদের তদন্ত করিনি, তবে আমরা অনুমান করতে ইচ্ছুক যে কেউ যথেষ্ট চেষ্টা করেছে এমনটি করতে পারে।"

এটি একটি স্বীকারোক্তি যা আমরা দুজনেই খুব পছন্দ করি, ডগ... কারণ সম্ভাব্য বাগগুলি বাতিল করার যোগ্য, এমনকি যদি আপনি আপনার হৃদয়ে নিশ্চিত বোধ করেন যে কেউ কখনই তাদের শোষণ করতে পারবে না।

কারণ সাইবার সিকিউরিটিতে, এটা কখনই না বলে দিতে দেয়!

---

DOUG.  ঠিক আছে, আপনি Firefox 116 খুঁজছেন, অথবা আপনি যদি বর্ধিত রিলিজে থাকেন, 115.1.

থান্ডারবার্ডের ক্ষেত্রেও তাই।

এবং চলুন ... ওহ, মানুষ!

পল, এটা উত্তেজনাপূর্ণ!

গত সপ্তাহে ডাবল-BWAIN-এর পরে আমাদের কাছে একটি নতুন BWAIN আছে: একটি চিত্তাকর্ষক নামের একটি বাগ৷

এই এক বলা হয় সংঘর্ষ + শক্তি:

"Collide+Power" আক্রমণে আবারও পারফরম্যান্স এবং নিরাপত্তার সংঘর্ষ

---

হাঁস.  [হাসি] হ্যাঁ, এটা কৌতূহলজনক, তাই না, তারা এমন একটি নাম বেছে নিয়েছে যেটিতে একটি প্লাস চিহ্ন রয়েছে?

---

DOUG.  হ্যাঁ, এটা বলা কঠিন করে তোলে।

---

হাঁস.  আপনি আপনার ডোমেন নামের একটি প্লাস সাইন থাকতে পারে না, তাই ডোমেন নাম হয় collidepower.com.

---

DOUG.  ঠিক আছে, আমাকে গবেষকদের কাছ থেকে পড়তে দিন, এবং আমি উদ্ধৃত করি:

সমস্যার মূল হল অভ্যন্তরীণ মেমরি সিস্টেমের মতো শেয়ার করা CPU উপাদানগুলি, আক্রমণকারী ডেটা এবং অন্য কোনও অ্যাপ্লিকেশন থেকে ডেটা একত্রিত করে, যার ফলে পাওয়ার খরচে একটি সম্মিলিত লিকেজ সংকেত হয়।

সুতরাং, তার নিজস্ব ডেটা জেনে, আক্রমণকারী অন্যান্য অ্যাপ্লিকেশনগুলিতে ব্যবহৃত সঠিক ডেটা মান নির্ধারণ করতে পারে।

---

হাঁস.  [হাসি] হ্যাঁ, এটা অনেক অর্থবহ করে তোলে যদি আপনি ইতিমধ্যেই জানেন যে তারা কী সম্পর্কে কথা বলছে!

সরল ইংরেজিতে এটি করার চেষ্টা এবং ব্যাখ্যা করার জন্য (আমি আশা করি আমি এটি সঠিকভাবে পেয়েছি)…

এটি পারফরম্যান্স-বনাম-নিরাপত্তা সমস্যাগুলির জন্য নিচে যায় যা আমরা আগে আলোচনা করেছি, সহ গত সপ্তাহের পডকাস্ট যে সঙ্গে জেনব্লিড বাগ (যা অনেক বেশি গুরুতর, উপায় দ্বারা):

জেনব্লিড: কীভাবে সিপিইউ পারফরম্যান্সের অনুসন্ধান আপনার পাসওয়ার্ডগুলিকে ঝুঁকির মধ্যে ফেলতে পারে

সিপিইউ-এর ভিতরে প্রচুর পরিমাণে ডেটা রাখা হয় ("ক্যাশেড" এটির জন্য প্রযুক্তিগত শব্দ) যাতে সিপিইউকে পরে এটি আনতে হবে না।

তাই অনেক অভ্যন্তরীণ জিনিস আছে যা আপনি সত্যিই পরিচালনা করতে পারবেন না; CPU আপনার জন্য এটি দেখাশোনা করে।

এবং এই আক্রমণের হার্ট এমন কিছু মনে হচ্ছে ...

আক্রমণকারী যা করে তা হল বিভিন্ন মেমরি অবস্থানগুলিকে এমনভাবে অ্যাক্সেস করা যাতে অভ্যন্তরীণ ক্যাশে স্টোরেজ সেই মেমরি অবস্থানগুলি মনে রাখে, তাই দ্রুত পুনরায় ব্যবহার করা হলে তাকে র‌্যামের বাইরে গিয়ে পড়তে হবে না।

তাই আক্রমণকারী একরকম এই ক্যাশে মানগুলিকে বিটগুলির পরিচিত প্যাটার্ন, পরিচিত ডেটা মান দিয়ে পূর্ণ করে।

এবং তারপরে, যদি শিকারের স্মৃতি থাকে যে *তারা* ঘন ঘন ব্যবহার করছে (উদাহরণস্বরূপ, একটি ডিক্রিপশন কী-তে বাইট), যদি তাদের মান হঠাৎ করে CPU দ্বারা বিচার করা হয় যে আক্রমণকারীর মানগুলির একটির চেয়ে পুনরায় ব্যবহার করার সম্ভাবনা বেশি, এটি আক্রমণকারীর মানকে সেই অভ্যন্তরীণ সুপারফাস্ট ক্যাশে অবস্থান থেকে বের করে দেয় এবং সেখানে নতুন মান, শিকারের মান রাখে।

এবং এই গবেষকরা যা আবিষ্কার করেছেন (এবং যতদূর পর্যন্ত আক্রমণটি তত্ত্বে শোনাচ্ছে এবং অনুশীলনে রয়েছে, এটি আবিষ্কার করা বেশ আশ্চর্যজনক জিনিস)…

ক্যাশে পুরানো মান এবং নতুন মানের মধ্যে যে বিটগুলি আলাদা তা *ক্যাশে আপডেট অপারেশন সম্পাদনের জন্য প্রয়োজনীয় শক্তির পরিমাণ পরিবর্তন করে*।

তাই আপনি যদি সিপিইউ-এর শক্তি খরচ সঠিকভাবে পরিমাপ করতে পারেন, তাহলে সিপিইউ-এর অভ্যন্তরীণ, লুকানো, অন্যথায় অদৃশ্য ক্যাশে মেমরিতে কোন ডেটা মানগুলি লেখা হয়েছে সে সম্পর্কে আপনি অনুমান করতে পারেন যা CPU ভেবেছিল আপনার ব্যবসার কোনটি নয়।

বেশ চমকপ্রদ, ডগ!

---

DOUG.  অসামান্য

ঠিক আছে, কিছু প্রশমন আছে।

এই বিভাগটি, এটি শুরু হয়: "প্রথমত, আপনাকে চিন্তা করার দরকার নেই," তবে প্রায় সমস্ত সিপিইউ প্রভাবিত হয়৷

---

হাঁস.  হ্যাঁ, এটা আকর্ষণীয়, তাই না?

এটি বলে "সবার আগে" (সাধারণ পাঠ্য) "আপনি" (italics মধ্যে) "চিন্তা করার দরকার নেই" (মোটা অক্ষরে). [হাসি]

সুতরাং, মূলত, কেউ এটি দিয়ে আপনাকে আক্রমণ করতে যাচ্ছে না, তবে হয়তো সিপিইউ ডিজাইনাররা ভবিষ্যতে এটি সম্পর্কে চিন্তা করতে চান যদি এটির আশেপাশে কোনও উপায় থাকে। [হাসি]

আমি এটা নির্বাণ একটি আকর্ষণীয় উপায় ছিল.

---

DOUG.  ঠিক আছে, তাই প্রশমন মূলত হাইপারথ্রেডিং বন্ধ করার জন্য।

এটি কি এইভাবে কাজ করে?

---

হাঁস.  হাইপারথ্রেডিং এটিকে আরও খারাপ করে তোলে, যতদূর আমি দেখতে পাচ্ছি।

আমরা ইতিমধ্যেই জানি যে হাইপারথ্রেডিং একটি নিরাপত্তা সমস্যা কারণ এর আগে এর উপর নির্ভরশীল অনেক দুর্বলতা রয়েছে।

এখানে একটি সিপিইউ, বলুন, আটটি কোর সহ 16 কোর থাকার ভান করছে, কিন্তু আসলে তারা চিপের আলাদা অংশে নেই।

তারা আসলে সিউডো-কোরগুলির জোড়া যা নিরাপত্তার কারণে সম্ভবত একটি ভাল ধারণার চেয়ে বেশি ইলেকট্রনিক্স, আরও ট্রানজিস্টর, আরও ক্যাপাসিটর ভাগ করে।

আপনি যদি ভাল পুরানো OpenBSD চালান, আমি মনে করি তারা সিদ্ধান্ত নিয়েছে যে হাইপারথ্রেডিং প্রশমনের সাথে সুরক্ষিত করা খুব কঠিন; পাশাপাশি শুধু এটা বন্ধ করতে পারে.

যতক্ষণ না আপনি প্রশমনের জন্য প্রয়োজনীয় পারফরম্যান্স হিটগুলি গ্রহণ করেছেন, আপনার কাছে এটি নাও থাকতে পারে।

তাই আমি মনে করি হাইপারথ্রেডিং বন্ধ করা হচ্ছে এই আক্রমণের বিরুদ্ধে আপনাকে ব্যাপকভাবে প্রতিরোধ করবে।

দ্বিতীয় জিনিসটি আপনি করতে পারেন, যেমন লেখক বোল্ডে বলেছেন: চিন্তা করো না. [হাসি]

---

DOUG.  যে একটি মহান প্রশমন! [হাসি]

---

হাঁস.   একটি দুর্দান্ত বিট আছে (আমাকে এটি পড়তে হবে, ডগ)…

সেখানে একটি দুর্দান্ত বিট রয়েছে যেখানে গবেষকরা নিজেরাই দেখেছেন যে কোনও ধরণের নির্ভরযোগ্য তথ্য পেতে, তারা সিস্টেমের বাইরে কোথাও 10 বিট থেকে প্রতি ঘন্টায় 100 বিটের মধ্যে ডেটা রেট পাচ্ছে।

আমি বিশ্বাস করি যে অন্তত ইন্টেল সিপিইউগুলির একটি প্রশমন রয়েছে যা আমি কল্পনা করি এটির বিরুদ্ধে সাহায্য করবে।

এবং এটি আমাদের MSRs-এ ফিরিয়ে আনে, সেই মডেল-নির্দিষ্ট রেজিস্টার যা আমরা গত সপ্তাহে Zenbleed-এর সাথে কথা বলেছিলাম, যেখানে একটি ম্যাজিক বিট ছিল যা আপনি চালু করতে পারেন যা বলেছিল, "ঝুঁকিপূর্ণ জিনিসগুলি করবেন না।"

একটি বৈশিষ্ট্য আছে যা আপনি সেট করতে পারেন RAPL ফিল্টারিং, এবং RAPL এর জন্য সংক্ষিপ্ত চলমান গড় শক্তি সীমা.

এটি যেখানে প্রোগ্রামগুলি দ্বারা ব্যবহৃত হয় যেগুলি পাওয়ার ম্যানেজমেন্টের উদ্দেশ্যে একটি সিপিইউ কীভাবে পারফর্ম করছে তা দেখতে চায়, তাই আপনাকে সার্ভার রুমে প্রবেশ করতে হবে না এবং মাদারবোর্ডে সামান্য প্রোব সহ একটি তারের উপর একটি পাওয়ার মনিটর লাগাতে হবে না৷ [হাসি]

আপনি আসলে CPU পেতে পারেন যে এটি কতটা শক্তি ব্যবহার করছে তা জানাতে।

ইন্টেলের অন্ততপক্ষে RAPL ফিল্টারিং নামক এই মোড রয়েছে, যা ইচ্ছাকৃতভাবে জিটার বা ত্রুটি প্রবর্তন করে।

সুতরাং আপনি এমন ফলাফল পাবেন যা গড়ে সঠিক, কিন্তু যেখানে প্রতিটি পৃথক পাঠ বন্ধ থাকবে।

---

DOUG.  আসুন এখন এই নতুন এসইসি চুক্তিতে আমাদের মনোযোগ দেওয়া যাক।

সিকিউরিটি অ্যান্ড এক্সচেঞ্জ কমিশন সাইবার সিকিউরিটি লঙ্ঘনের চার দিনের প্রকাশের সীমা দাবি করছে:

SEC সাইবার নিরাপত্তা লঙ্ঘনের জন্য চার দিনের প্রকাশের সীমা দাবি করেছে

কিন্তু (A) আপনি সিদ্ধান্ত নিতে পারেন যে আক্রমণটি রিপোর্ট করার জন্য যথেষ্ট গুরুতর কিনা এবং (B) চার দিনের সীমা শুরু হবে না যতক্ষণ না আপনি রিপোর্ট করার জন্য যথেষ্ট গুরুত্বপূর্ণ কিছু নির্ধারণ করেন, পল।

সুতরাং, একটি ভাল প্রথম শুরু, কিন্তু সম্ভবত আমরা চাই হিসাবে আক্রমনাত্মক না?

---

হাঁস.  আমি সেখানে আপনার মূল্যায়নের সাথে একমত, ডগ.

আমি যখন প্রথমবার এটির দিকে তাকালাম তখন এটি দুর্দান্ত শোনাল: "আরে, আপনার যদি ডেটা লঙ্ঘন বা সাইবার নিরাপত্তা সমস্যা থাকে তবে আপনি এই চার দিনের প্রকাশ পেয়েছেন।"

কিন্তু তারপরে এই বিট সম্পর্কে ছিল, "আচ্ছা, এটিকে একটি বস্তুগত সমস্যা হিসাবে বিবেচনা করা উচিত," একটি আইনি শব্দ যার মানে এটি আসলে প্রথম স্থানে প্রকাশ করার জন্য যথেষ্ট গুরুত্বপূর্ণ।

এবং তারপরে আমি সেই বিটে পৌঁছেছি (এবং এটি এসইসি দ্বারা খুব বেশি দীর্ঘ প্রেস রিলিজ নয়) এই ধরণের বলেছিল, "যত তাড়াতাড়ি আপনি সিদ্ধান্ত নিয়েছেন যে আপনার সত্যিই এটি রিপোর্ট করা উচিত, তারপরেও আপনার কাছে চার দিন আছে এটা রিপোর্ট করতে।"

এখন, আমি কল্পনা করি যে, আইনত, এটি কীভাবে কাজ করবে তা পুরোপুরি নয়। ডগ

হয়তো আমরা নিবন্ধে একটু কঠোর হচ্ছি?

---

DOUG.  আপনি র‍্যানসমওয়্যার আক্রমণে জুম ইন করে বলছেন যে কয়েকটি ভিন্ন প্রকার রয়েছে, তাই আসুন সে সম্পর্কে কথা বলি… এটি একটি বস্তুগত আক্রমণ কিনা তা নির্ধারণ করার জন্য এটি গুরুত্বপূর্ণ যেটি আপনাকে রিপোর্ট করতে হবে।

তাহলে আমরা কি ধরনের ransomware দেখছি?

---

হাঁস.  হ্যাঁ, শুধু ব্যাখ্যা করার জন্য, আমি ভেবেছিলাম যে এটি এর একটি গুরুত্বপূর্ণ অংশ ছিল।

এসইসির দিকে আঙুল তোলার জন্য নয়, তবে এটি এমন কিছু যা এখনও অনেক বা কোনও দেশে ধোয়ার সময় বেরিয়ে এসেছে বলে মনে হয় না…

…শুধু একটি র‍্যানসমওয়্যার আক্রমণের শিকার হওয়া অনিবার্যভাবে একটি বস্তুগত ডেটা লঙ্ঘন হওয়ার জন্য যথেষ্ট।

এই এসইসি নথিটি আসলে "আর-শব্দ" উল্লেখ করে না।

র্যানসমওয়্যার-নির্দিষ্ট স্টাফের কোন উল্লেখ নেই।

এবং ransomware একটি সমস্যা, তাই না?

নিবন্ধে, আমি এটা স্পষ্ট করতে চেয়েছিলাম যে "র্যানসমওয়্যার" শব্দটি, যা আমরা এখনও ব্যাপকভাবে ব্যবহার করি, এটি আর সঠিক শব্দ নয়, তাই না?

আমাদের সম্ভবত এটিকে "ব্ল্যাকমেইলওয়্যার" বা কেবলমাত্র "সাইবার এক্সটর্শন" বলা উচিত।

আমি তিনটি প্রধান ধরনের র‍্যানসমওয়্যার আক্রমণ শনাক্ত করি।

টাইপ A হল যেখানে দুর্বৃত্তরা আপনার ডেটা চুরি করে না, তারা কেবলমাত্র আপনার ডেটা ঝাঁকুনি দিতে পারে।

তাই তাদের একটা জিনিস আপলোড করার দরকার নেই।

তারা এটিকে এমনভাবে ঝাঁকুনি দেয় যাতে তারা আপনাকে ডিক্রিপশন কী সরবরাহ করতে পারে, কিন্তু আপনি দেখতে পাবেন না যে একটি বাইট ডেটা আপনার নেটওয়ার্ককে একটি খারাপ চিহ্ন হিসাবে ছেড়ে যাচ্ছে যে কিছু খারাপ হচ্ছে।

তারপরে একটি টাইপ বি র্যানসমওয়্যার আক্রমণ রয়েছে, যেখানে দুর্বৃত্তরা যায়, “আপনি কি জানেন, আমরা সমস্ত ফাইলে লেখার ঝুঁকি নেব না, এটি করতে গিয়ে ধরা পড়ব। আমরা কেবল সমস্ত ডেটা চুরি করতে যাচ্ছি, এবং আপনার ডেটা ফেরত পাওয়ার জন্য অর্থ প্রদানের পরিবর্তে, আপনি আমাদের নীরবতার জন্য অর্থ প্রদান করছেন।"

এবং তারপরে, অবশ্যই, টাইপ সি র্যানসমওয়্যার আক্রমণ রয়েছে এবং তা হল: "এ এবং বি উভয়ই।"

সেখানেই দুর্বৃত্তরা আপনার ডেটা চুরি করে *এবং* তারা এটিকে ঝাঁকুনি দেয় এবং তারা যায়, "আরে, যদি এটি একটি জিনিস না হয় যা আপনাকে সমস্যায় ফেলতে চলেছে তবে এটি অন্যটি।"

এবং আমি কোথায় বিশ্বাস করি যে আইনি পেশা বস্তুগততা (অন্য কথায়, আইনগত তাত্পর্য বা একটি নির্দিষ্ট প্রবিধানের আইনি প্রাসঙ্গিকতা) বলে তা জানতে পেরে ভাল লাগবে…

…যেখানে র‍্যানসমওয়্যার আক্রমণের ক্ষেত্রে এটি শুরু হয়।

---

DOUG.  ঠিক আছে, এই গল্পটিতে আমাদের সপ্তাহের মন্তব্যকারী অ্যাডামকে নিয়ে আসার এটি একটি ভাল সময়।

অ্যাডাম বিভিন্ন ধরণের র্যানসমওয়্যার আক্রমণ সম্পর্কে তার চিন্তাভাবনা দেয়।

সুতরাং, টাইপ A দিয়ে শুরু করে, যেখানে এটি কেবল একটি সহজবোধ্য র্যানসমওয়্যার আক্রমণ, যেখানে তারা ফাইলগুলি লক আপ করে এবং তাদের আনলক করার জন্য একটি মুক্তিপণ নোট রেখে দেয়…

আদম বলেছেন:

যদি কোনো কোম্পানি র‍্যানসমওয়্যারের দ্বারা আঘাতপ্রাপ্ত হয়, একটি পুঙ্খানুপুঙ্খ তদন্তের পর ডেটা অপসারণের কোনো প্রমাণ না পায়, এবং মুক্তিপণ পরিশোধ না করেই তাদের ডেটা পুনরুদ্ধার করে, তাহলে আমি বলতে চাই, "না [প্রকাশের প্রয়োজন]"।

---

হাঁস.  আপনি যথেষ্ট করেছেন?

---

DOUG.  হ্যাঁ.

---

হাঁস.  আপনি এটিকে পুরোপুরি প্রতিরোধ করেননি, তবে আপনি পরবর্তী সেরা কাজটি করেছেন, তাই আপনার বিনিয়োগকারীদের বলার দরকার নেই…।

বিড়ম্বনা হল, ডগ, আপনি যদি এটি একটি কোম্পানি হিসাবে করতেন, আপনি আপনার বিনিয়োগকারীদের বলতে চাইতে পারেন, "আরে, অনুমান করুন কি? অন্য সবার মতো আমাদেরও র‍্যানসমওয়্যার আক্রমণ হয়েছিল, কিন্তু আমরা টাকা পরিশোধ না করেই, দুর্বৃত্তদের সাথে জড়িত না হয়ে এবং কোনো ডেটা না হারিয়েই এর থেকে বেরিয়ে এসেছি। তাই যদিও আমরা নিখুঁত ছিলাম না, আমরা পরবর্তী সেরা জিনিস ছিলাম।"

এবং এটি স্বেচ্ছায় প্রকাশ করার জন্য আসলে অনেক ওজন বহন করতে পারে, এমনকি যদি আইন বলে যে আপনাকে এটি করতে হবে না।

---

DOUG.  এবং তারপর, টাইপ বি এর জন্য, ব্ল্যাকমেইল কোণ, অ্যাডাম বলেছেন:

এটা একটা জটিল পরিস্থিতি।

তাত্ত্বিকভাবে, আমি বলব, "হ্যাঁ।"

কিন্তু এটি সম্ভবত অনেক প্রকাশের দিকে পরিচালিত করবে এবং ব্যবসায়িক খ্যাতি ক্ষতিগ্রস্ত করবে।

সুতরাং, যদি আপনার কাছে একগুচ্ছ কোম্পানি বেরিয়ে আসে এবং বলছে, “দেখুন, আমরা র্যানসমওয়্যার দ্বারা আঘাত পেয়েছি; আমরা মনে করি না খারাপ কিছু ঘটেছে; আমরা তাদের চুপ করে রাখার জন্য দুর্বৃত্তদের অর্থ প্রদান করেছি; এবং আমরা বিশ্বাস করি যে তারা মটরশুটি ছিটিয়ে দেবে না," তাই কথা বলতে...

…এটি একটি জটিল পরিস্থিতি তৈরি করে, কারণ এটি একটি কোম্পানির সুনাম নষ্ট করতে পারে, কিন্তু তারা যদি এটি প্রকাশ না করত, কেউ জানত না।

---

হাঁস.  এবং আমি দেখতে পাচ্ছি যে অ্যাডাম একইভাবে অনুভব করেছি যেটা আপনি এবং আমি দুজনেই ব্যবসার বিষয়ে করেছি, "আপনার কাছে চার দিন আছে এবং চার দিনের বেশি নয়… যে মুহুর্ত থেকে আপনি মনে করেন যে চার দিন শুরু করা উচিত।"

তিনি যে হিসাবে rumbled, তাই না?

সে বলেছিল:

কিছু কোম্পানি সম্ভবত কৌশল অবলম্বন করবে যাতে কোনো বস্তুগত প্রভাব আছে কিনা তা সিদ্ধান্ত নিতে দেরি করা যায়।

সুতরাং, আমরা পুরোপুরি জানি না এটি কীভাবে খেলবে এবং আমি নিশ্চিত যে এসইসিও পুরোপুরি জানে না।

আমলাতন্ত্রের সঠিক পরিমাণ কী তা বোঝার জন্য তাদের কিছু পরীক্ষা-নিরীক্ষার প্রয়োজন হতে পারে যাতে আমরা সকলেই আমাদের যা জানা দরকার তা শিখতে পারি, কোম্পানিগুলিকে কখনও ঘটে যাওয়া প্রতিটি ছোটখাটো আইটি ত্রুটি প্রকাশ করতে বাধ্য না করে এবং আমাদের সকলকে কবর দেয়। কাগজপত্রের বোঝা।

যা মূলত ক্লান্তি ভঙ্গের দিকে নিয়ে যায়, তাই না?

আপনি যদি এত খারাপ খবর পেয়ে থাকেন যা ভয়ঙ্করভাবে গুরুত্বপূর্ণ নয় শুধু আপনার উপর ধোয়া…

…যেকোনোভাবে, সত্যিই গুরুত্বপূর্ণ জিনিসগুলি মিস করা সহজ যেটি "আমার কি সত্যিই এটি সম্পর্কে শোনার দরকার ছিল?"

সময় বলে দেবে, ডগলাস।

---

DOUG.  হ্যাঁ, চতুর!

এবং আমি জানি আমি এটা সব সময় বলি, কিন্তু আমরা এটার উপর নজর রাখব, কারণ এটা দেখতে আকর্ষণীয় হবে।

তাই, আপনাকে ধন্যবাদ, অ্যাডাম, সেই মন্তব্যে পাঠানোর জন্য।

---

হাঁস.  হ্যাঁ, সত্যিই!

---

DOUG.  যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে পড়তে চাই।

আপনি tips@sophos.com-এ ইমেল করতে পারেন, আপনি আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @nakedsecurity.

এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য অনেক ধন্যবাদ

পল ডকলিনের জন্য, আমি ডগ আমথ, পরের বার পর্যন্ত আপনাকে মনে করিয়ে দিচ্ছি...

---

উভয়।  সুরক্ষিত থাকুন।

[মিউজিক্যাল মডেম]