কতজন ক্রিপ্টোগ্রাফার?
নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।
ডগ আমথ এবং পল ডকলিনের সাথে। ইন্ট্রো এবং আউটরো সঙ্গীত দ্বারা এডিথ মুজ.
আপনি আমাদের শুনতে পারেন সাউন্ডক্লাউড, অ্যাপল পডকাস্ট, গুগল পডকাস্ট, Spotify এর এবং যে কোন জায়গায় ভাল পডকাস্ট পাওয়া যায়। অথবা শুধু ড্রপ আমাদের RSS ফিডের URL আপনার প্রিয় পডক্যাচারে।
ট্রান্সক্রিপ্ট পড়ুন
DOUG. ফুটো আলোর বাল্ব, WinRAR বাগ, এবং "বিমান মোড, [হাই রাইজিং টোন] প্রশ্ন চিহ্ন?"
নেকেড সিকিউরিটি পডকাস্টে এই সব এবং আরও অনেক কিছু।
[মিউজিক্যাল মডেম]
পডকাস্টে স্বাগতম, সবাইকে।
আমি ডগ আমথ; তিনি পল ডাকলিন।
পল, আপনার চিন্তা?
হাঁস. আমার চিন্তা হচ্ছে, ডগ, যে...
…এটি একটি জিজ্ঞাসাবাদ চিহ্নের খুব ভাল উপস্থাপনা ছিল।
DOUG. হ্যাঁ, আমি আমার মাথা প্রায় ল্যান্ডস্কেপ মোডে পরিণত করেছি।
হাঁস. [হাসি] এবং তারপর একটি ছোট কাঠঠোকরার ঘা ঠিক নীচে, PLOCK, সম্পূর্ণ প্রভাবের জন্য।
DOUG. ওয়েল, প্রশ্ন বলতে, আমরা একটি মহান একটি আছে… আমি জন্য খুব উত্তেজিত প্রযুক্তির ইতিহাসে এই সপ্তাহ.
হাঁস. সেখানে খুব ভাল এক!
সেগুয়েমিস্টার ফিরে এসেছে!
DOUG. যদি কেউ কখনও মিস ম্যানার্সের কথা শুনে থাকেন তবে তিনি পরামর্শ কলামিস্ট জুডিথ মার্টিন।
তিনি 84 বছর বয়সী এবং এখনও পরামর্শ দিচ্ছেন।
তাই তার 26 আগস্ট 1984 কলামে, তিনি একটি খুব গুরুত্বপূর্ণ প্রশ্নের উত্তর দিয়েছেন।
এখন, আমাকে এই শব্দচয়নটি পড়তে হবে কারণ লেখাটি খুব ভালো: এটি computerhistory.org থেকে এসেছে, যদি আপনি প্রযুক্তিগত ইতিহাসে থাকেন তবে এটি একটি দুর্দান্ত সাইট।
মিস ম্যানার্স তার 26 আগস্টের কলামে শিষ্টাচারের একটি নতুন রাজ্যের মুখোমুখি হয়েছেন…
মনে রাখবেন, এটা 1984!
…যেমন তিনি একটি ব্যক্তিগত কম্পিউটারে ব্যক্তিগত চিঠিপত্র টাইপ করার বিষয়ে একজন পাঠকের উদ্বেগের প্রতিক্রিয়া জানিয়েছিলেন।
সংশ্লিষ্ট ব্যক্তি বলেছিলেন যে কম্পিউটার ব্যবহার করা আরও সুবিধাজনক, তবে তারা তাদের ডট ম্যাট্রিক্স প্রিন্টারের নিম্নমানের এবং একটি অক্ষরের অংশগুলি অন্যটিতে অনুলিপি করার বিষয়ে চিন্তিত ছিল।
মিস ম্যানারস উত্তর দিয়েছিলেন যে টাইপরাইটারের মতো কম্পিউটারগুলি সাধারণত ব্যক্তিগত চিঠিপত্রের জন্য অনুপযুক্ত।
প্রাপক একটি সুইপস্টেক এন্ট্রি জন্য চিঠি বিভ্রান্ত করতে পারে.
হাঁস. [জোরে হাসি] তোমার কি চারটে টেক্কা আছে?
এখানে তিনটি… আপনার ভাগ্যবান চিঠি বন্ধ এবং দেখুন. [আরো হাসি]
DOUG. এবং তিনি উল্লেখ করেছেন:
আপনার বন্ধুদের মধ্যে কেউ যদি দেখেন যে আপনার চিঠিতে একই উপাদান রয়েছে, তাহলে আপনার আর চিঠিপত্রের সমস্যা হবে না।
হিসাবে, আপনি এই বন্ধুর সাথে চিঠিপত্র সম্পন্ন করেছেন কারণ বন্ধুত্ব শেষ।
হাঁস. হ্যাঁ, প্রশ্ন নিজেই উত্তর দেবে। [হাসি]
DOUG. ঠিক.
ঠিক আছে, এর মধ্যে পেতে দিন.
এখানে আমাদের একজোড়া WinRAR বাগ আছে... WinRAR মনে আছে?
একটি হল, "সীমার বাইরে লেখার সাথে জড়িত একটি নিরাপত্তা সমস্যা।"
এবং দুই নম্বর, "ব্যবহারকারী একটি বিশেষভাবে তৈরি করা আর্কাইভে একটি আইটেমকে ডাবল-ক্লিক করার পরে WinRAR একটি ভুল ফাইল শুরু করতে পারে।"
পল, WinRAR এর সাথে এখানে কি হচ্ছে?
WinRAR ব্যবহার করছেন? এই কোড এক্সিকিউশন বাগগুলির বিরুদ্ধে প্যাচ করতে ভুলবেন না...
হাঁস. ঠিক আছে, WinRAR... অনেক লোক মনে রাখবে যে পুরানো দিনগুলি থেকে, যখন আর্কাইভগুলি সাধারণত একাধিক ফ্লপিতে আসত, বা সেগুলি ইন্টারনেট ফোরামে প্রচুর এবং প্রচুর আলাদা ছোট টেক্সট-এনকোড করা পোস্ট হিসাবে আসত।
WinRAR, যদি আপনি চান, অনেকগুলি পৃথক উত্সের সমন্বয় করা সহজ করার জন্য স্ট্যান্ডার্ড সেট করুন, সেগুলিকে আপনার জন্য আবার একত্রিত করুন এবং আমি বিশ্বাস করি যে এটি একটি "পুনরুদ্ধার ভলিউম" হিসাবে উল্লেখ করে।
এটি ছিল এক বা একাধিক অতিরিক্ত অংশ যাতে এক বা একাধিক মূল অংশ ক্ষতিগ্রস্ত, দূষিত বা এমনকি (যেমন আপনি কল্পনা করেন যে ফ্লপি ডিস্কের ক্ষেত্রে বা অনলাইন ফোরামে আপলোড করা অংশগুলির ক্ষেত্রে) সম্পূর্ণ অনুপস্থিত, প্রোগ্রামটি স্বয়ংক্রিয়ভাবে পুনর্গঠন করতে পারে। এই পুনরুদ্ধার ভলিউমের ত্রুটি সংশোধন ডেটার উপর ভিত্তি করে অনুপস্থিত অংশ।
এবং, দুর্ভাগ্যবশত, (আমি বিশ্বাস করি) পণ্যের পুরানো কোড যা পুরানো-শৈলী ত্রুটি পুনরুদ্ধার সিস্টেমের সাথে মোকাবিলা করে…
…যতদূর আমি এটা বুঝতে পারি (অবশ্যই তারা এর সঠিক বিবরণ দিচ্ছে না), আপনি কাউকে এমন একটি সংরক্ষণাগার পাঠান যার একটি দূষিত অংশ রয়েছে যা WinRAR কে যেতে বাধ্য করে এবং বিটটি মোকাবেলা করার জন্য এর পুনরুদ্ধার ভলিউম ব্যবহার করতে বাধ্য করে। যে ক্ষতিগ্রস্ত হয়েছে.
এবং পুনরুদ্ধারের ডেটা পরিচালনা করার ক্ষেত্রে, একটি বাফার ওভারফ্লো রয়েছে যা বাফারের শেষের বাইরে লিখেছে, যা দূরবর্তী কোড কার্যকর করতে পারে।
এটি হল CVE-2023-40477, যেখানে একটি ত্রুটি থেকে পুনরুদ্ধার করার চেষ্টা করা একটি ত্রুটি সৃষ্টি করে যা দূরবর্তী কোড কার্যকর করার জন্য শোষণ করা যেতে পারে।
সুতরাং আপনি যদি একজন WinRAR ব্যবহারকারী হন তবে নিশ্চিত হয়ে নিন যে আপনি প্যাচ করেছেন।
কারণ সম্প্রতি জিরো ডে ইনিশিয়েটিভ এবং উইনআরএআর দ্বারা এটির একটি সমন্বিত প্রকাশ ছিল; সবাই জানে যে এই বাগটি এখনই আছে।
DOUG. দ্বিতীয় বাগটি কম গুরুতর, তবে তবুও একটি বাগ…
হাঁস. স্পষ্টতই এটিকে দুর্বৃত্তরা ডেটা-চুরির ম্যালওয়্যার বা ক্রিপ্টোকারেন্সি দুর্বৃত্তদের ইনস্টল করার জন্য প্রতারণার জন্য ব্যবহার করেছিল, কে ভেবেছিল?
প্রদত্ত যে আমি একজন WinRAR ব্যবহারকারী নই, আমি এটি পরীক্ষা করতে পারিনি, কিন্তু আমার উপলব্ধি হল যে আপনি একটি সংরক্ষণাগার খুলতে পারেন এবং আপনি যখন সংরক্ষণাগারে কিছু অ্যাক্সেস করতে যান, *আপনি ভুল করে ভুল ফাইলটি পেয়ে যান।
DOUG. ঠিক আছে, তাই সংস্করণ 6.23 যদি আপনি এখনও WinRAR ব্যবহার করছেন।
আমাদের পরবর্তী গল্পটি "বিশ্বে কীভাবে তারা এই বাগটি খুঁজে পেয়েছে?" ফাইল
গবেষকরা আবিষ্কার করেছেন যে কীভাবে আপনার আইফোনকে এয়ারপ্লেন মোডে ভাবার জন্য আপনাকে প্রতারণা করা যায় যখন আসলে মোবাইল ডেটা চালু থাকে।
"এয়ারপ্লেন মোডে সাপ" - যদি আপনার ফোন বলে যে এটি অফলাইন কিন্তু তা না?
হাঁস. আমি এটি লিখতে মনস্থ করেছি কারণ এটি একটি আকর্ষণীয় অনুস্মারক যে আপনি যখন অপারেটিং সিস্টেম বা একটি অ্যাপ দ্বারা প্রদত্ত ভিজ্যুয়াল সূচকগুলির উপর নির্ভর করেন, তখন একটি স্ট্যাটাস বারে বা আইফোনে তথাকথিত নিয়ন্ত্রণ কেন্দ্রে বলুন, যা আপনি যখন স্ক্রিনের নীচে থেকে উপরে সোয়াইপ করেন তখন আপনি যে বোতামগুলি পান…
একটি বিমানের একটি ছোট আইকন আছে, এবং আপনি এটি আলতো চাপলে, আপনি বিমান মোডে যান।
এবং তাই Jamf-এর গবেষকরা মনে করেছেন যে, বেশিরভাগ লোকেরা যদি সাময়িকভাবে তাদের ফোন অফলাইন আছে কিনা তা নিশ্চিত করতে চান তবে এই কর্মপ্রবাহটিই করে, "আপনি আপনার আইফোনে সোয়াইপ করা সেই কন্ট্রোল সেন্টারের মতো সূচকগুলির উপর কতটা নির্ভর করতে পারেন?"
এবং তারা আবিষ্কার করেছে যে আপনি আসলে বেশিরভাগ সময় বেশিরভাগ লোককে প্রতারণা করতে পারেন!
তারা এমন একটি উপায় খুঁজে পেয়েছিল যে, আপনি যখন বিমানের আইকনে ট্যাপ করবেন, এটি কমলা হয়ে যাওয়ার কথা এবং রেডিও সংযোগ দেখায় অন্য সমস্ত আইকনগুলি ম্লান হয়ে যাওয়ার কথা… ভাল, তারা দেখতে পেল যে তারা সেই বিমানটিকে কমলা হয়ে যেতে পারে, কিন্তু তারা বন্ধ করা মোবাইল ডেটা বিট দমন করতে পারে।
তাই দেখে মনে হচ্ছে আপনি এয়ারপ্লেন মোডে আছেন, কিন্তু আসলে আপনার মোবাইল ডেটা কানেকশন এখনও ব্যাকগ্রাউন্ডে বৈধ।
এবং তারপরে তারা যুক্তি দিয়েছিল যে কেউ যদি সত্যিই নিরাপত্তার বিষয়ে গুরুতর হয় তবে তারা মনে করবে, "ঠিক আছে, আমি নিশ্চিত করতে চাই যে আমি সংযোগ বিচ্ছিন্ন হয়েছি।"
এবং আমি তাদের গবেষণা নিবন্ধে যে কর্মপ্রবাহের পরামর্শ দিতাম, তা অনুসরণ করতাম, যথা: আমি আমার ব্রাউজার খুলব, এবং আমি একটি সাইটে ব্রাউজ করব (উদাহরণস্বরূপ, nakedsecurity.sophos.com), এবং আমি পরীক্ষা করব যে সিস্টেমটি আমাকে এই বলে একটি ত্রুটি দিয়েছে, "আপনি বিমান মোডে আছেন। আপনি অনলাইনে যেতে পারবেন না।"
সেই সময়ে, আমি বিশ্বাস করতে চাইতাম যে আমি সত্যিই আমার ফোন নেটওয়ার্ক থেকে সংযোগ বিচ্ছিন্ন করেছি।
কিন্তু গবেষকরা স্বতন্ত্র অ্যাপগুলিকে প্রতারণা করে আপনাকে বোঝানোর একটি উপায় খুঁজে পেয়েছেন যে আপনি বিমান মোডে ছিলেন যখন প্রকৃতপক্ষে তারা যা করেছে তা হল সেই নির্দিষ্ট অ্যাপে মোবাইল ডেটা অ্যাক্সেস অস্বীকার করা।
সাধারণত, আপনি যখন Safari-এ যান এবং আপনি বলেছিলেন যে Safari-কে আমার মোবাইল ডেটা ব্যবহার করার অনুমতি নেই, তখন আপনি যা পেতে চান তা হল একটি ত্রুটির বার্তা, "সাফারির জন্য মোবাইল ডেটা বন্ধ করা হয়েছে।"
আপনি যদি কানেক্টিভিটি পরীক্ষা করার সময় সেই বার্তাটি দেখেন, আপনি বুঝতে পারবেন, “আরে, এর মানে মোবাইল ডেটা এখনও সাধারণভাবে চালু আছে; এটি শুধুমাত্র এই নির্দিষ্ট অ্যাপের জন্য বন্ধ। আমি যা চাই তা নয়: আমি এটি সবার জন্য বন্ধ করতে চাই।"
তাই তারা সেই বার্তা জাল করার একটি উপায় খুঁজে পেয়েছে।
এটি একটি প্রদর্শন করে যা বলে, "আপনি বিমান মোডে আছেন৷ আপনি অনলাইনে যেতে পারবেন না।"
এটি একটি দুর্দান্ত অনুস্মারক যে কখনও কখনও আপনি স্ক্রিনে যা দেখেন তা বিশ্বাস করতে পারবেন না।
এটি আপনার কম্পিউটারটি নিরাপত্তা স্থিতিতে আছে কিনা বা নিরাপত্তা স্তরে, আপনি এটিকে রাখতে চান তা পরীক্ষা করার দুটি উপায়ে সাহায্য করে৷
শুধু যদি কেউ আপনার চোখের উপর পশম টানছে.
DOUG. ঠিক আছে, এটা ঘোষণা করতে পেরে আমি অত্যন্ত আনন্দিত যে আমরা এটির উপর নজর রাখব।
এবং শেষ, তবে অবশ্যই অন্তত নয়, যে কেউ একটি স্মার্ট ডিভাইস সেট আপ করেছে তারা এখন প্রক্রিয়াটি জানে।
ডিভাইসটি একটি অ্যাক্সেস পয়েন্ট হিসাবে নিজেকে প্রেরণ করে।
আপনি আপনার ফোনের সাথে সেই অ্যাক্সেস পয়েন্টের সাথে সংযোগ করুন, এটি বলুন যে *আপনার* অ্যাক্সেস পয়েন্ট কী, ওয়াই-ফাই পাসওয়ার্ড দিয়ে সম্পূর্ণ করুন।
এবং কি সম্ভবত ভুল হতে পারে?
ওয়েল, বেশ কিছু জিনিস, এটা সক্রিয় আউট, পল, ভুল হতে পারে!
হাঁস. হ্যাঁ.
এই বিশেষ কাগজে, গবেষকরা TP-Link Tapo L530E নামক একটি পণ্যের উপর দৃষ্টি নিবদ্ধ করেছেন।
এখন, আমি এখানে বিশেষ করে TP-Link-এর দিকে আঙুল তুলতে চাই না... কাগজে, তারা বলেছে যে তারা এটি বেছে নিয়েছে কারণ, যতদূর তারা দেখতে পারে (এবং গবেষকরা সবাই, আমি মনে করি, ইতালীয়), এটি ছিল ইতালিতে Amazon এর মাধ্যমে সর্বাধিক বিক্রিত তথাকথিত স্মার্ট লাইট বাল্ব।
DOUG. ঠিক আছে, এটিও মজার বিষয়... আমরা এই IoT ডিভাইসগুলি এবং তাদের সমস্ত সুরক্ষা সমস্যা সম্পর্কে কথা বলি, কারণ সেগুলি সুরক্ষিত করার জন্য খুব বেশি চিন্তা করা যায় না।
কিন্তু TP-Link-এর মতো একটি কোম্পানি বড় এবং যুক্তিসঙ্গতভাবে সমাদৃত।
এবং আপনি অনুমান করবেন যে, IoT ডিভাইস কোম্পানিগুলির মধ্যে, এটি এমন একটি হবে যা নিরাপত্তার পিছনে একটু অতিরিক্ত কাঠ রাখবে।
হাঁস. হ্যাঁ, অবশ্যই কিছু কোডিং ভুল ছিল যা এই দুর্বলতার মধ্যে করা উচিত ছিল না, এবং আমরা সেটিতে পৌঁছব।
এবং কিছু প্রমাণীকরণ-সম্পর্কিত সমস্যা রয়েছে যা হালকা বাল্বের মতো একটি ছোট এবং সাধারণ ডিভাইসের জন্য সমাধান করা কিছুটা জটিল।
ভাল খবর হল যে, গবেষকরা তাদের গবেষণাপত্রে যেমন লিখেছেন, "আমরা তাদের দুর্বলতা গবেষণা প্রোগ্রামের মাধ্যমে TP-Link-এর সাথে যোগাযোগ করেছি এবং তারা এখন কিছু প্যাচের উপর কাজ করছে।"
এখন, আমি জানি না কেন তারা এখনই এটি প্রকাশ করতে এবং কাগজটি প্রকাশ করতে বেছে নিয়েছে।
তারা জানায়নি যে তারা প্রকাশের তারিখে সম্মত হয়েছে কিনা, এবং তারা কখন TP-Link কে বলেছে এবং তারা এখনও পর্যন্ত কতক্ষণ দিয়েছে তা তারা বলেনি, যা আমি ভেবেছিলাম কিছুটা দুঃখজনক।
যদি তারা প্রকাশ করতে যাচ্ছিল কারণ তারা মনে করে টিপি-লিঙ্কটি খুব বেশি সময় নিয়েছে, তারা তা বলতে পারত।
যদি এটি খুব দীর্ঘ না হয়, তারা একটু অপেক্ষা করতে পারত।
কিন্তু তারা এমন কোনো কপি-এবং-পেস্ট কোড দেয়নি যা আপনি এই দুর্বলতাগুলিকে কাজে লাগাতে ব্যবহার করতে পারেন, তাই তবুও এটি থেকে শেখার কিছু ভাল পাঠ রয়েছে৷
প্রধানটি মনে হচ্ছে যে আপনি যখন প্রথমবারের মতো লাইট বাল্ব সেট আপ করছেন, তখন অ্যাপ এবং লাইট বাল্ব প্রতিটি কারণে সঠিক কোডের সাথে যোগাযোগ করছে তা নিশ্চিত করার জন্য কিছু প্রচেষ্টা করা হয়েছে অন্য প্রান্ত.
কিন্তু যদিও এটি করার জন্য কিছু প্রচেষ্টা রয়েছে, এটি তার উপর নির্ভর করে যাকে আমরা মজা করে একটি "কীড ক্রিপ্টোগ্রাফিক হ্যাশ" বলতে পারি... কিন্তু চাবিটি হার্ড-ওয়্যার্ড এবং, গবেষকরা যেমন খুঁজে পেয়েছেন, তাদের এমনকি গিয়ে বিচ্ছিন্ন করার দরকার নেই। কী খুঁজে পেতে কোড, কারণ এটি মাত্র 32 বিট দীর্ঘ ছিল।
তাই তারা 140 মিনিটের মধ্যে পাশবিক শক্তি দ্বারা এটি পুনরুদ্ধার করতে সক্ষম হয়েছিল।
DOUG. পরিষ্কার হওয়ার জন্য, একজন আক্রমণকারীকে আপনার সীমার মধ্যে থাকতে হবে এবং আপনার লাইট বাল্বের মতো দেখতে একটি দুর্বৃত্ত অ্যাক্সেস পয়েন্ট সেট আপ করতে হবে এবং আপনাকে এটির সাথে সংযোগ করতে হবে।
এবং তারপরে তারা আপনাকে আপনার Wi-Fi পাসওয়ার্ড এবং আপনার TP-Link অ্যাকাউন্টে আপনার পাসওয়ার্ড টাইপ করতে সক্ষম করবে এবং তারা সেই জিনিসগুলি পাবে।
কিন্তু তাদের শারীরিকভাবে আপনার সীমার মধ্যে থাকতে হবে।
হাঁস. আক্রমণ দূর থেকে মাউন্ট করা যাবে না.
এটি এমন নয় যে কেউ আপনাকে বিশ্বের অন্য প্রান্ত থেকে কিছু সন্দেহজনক লিঙ্ক পাঠাতে পারে এবং সেই সমস্ত ডেটা পেতে পারে।
কিন্তু পাশাপাশি কিছু অন্যান্য বাগ ছিল, ডগ.
DOUG. হ্যাঁ, উল্লিখিত হিসাবে বেশ কিছু জিনিস ভুল হয়েছে।
মনে হচ্ছে যে এই প্রমাণীকরণের অভাবটি সেটআপ প্রক্রিয়ার মাধ্যমেও বাহিত হয়েছে।
হাঁস. হ্যাঁ.
স্পষ্টতই সেটআপটি আসলে শুরু হলে যা গুরুত্বপূর্ণ তা হল অ্যাপ এবং ডিভাইসের মধ্যে ট্র্যাফিক এনক্রিপ্ট করা হয়।
এই ক্ষেত্রে এটি যেভাবে কাজ করে তা হল অ্যাপটি লাইট বাল্বে একটি RSA পাবলিক কী পাঠায় এবং লাইট বাল্ব সেটিকে এনক্রিপ্ট করতে এবং সেশনের জন্য একটি এককালীন 128-বিট AES কী ফেরত পাঠাতে ব্যবহার করে।
সমস্যা হল যে, আবারও, সেই প্রাথমিক বিনিময়ের মতই, লাইট বাল্ব অ্যাপটির সাথে যোগাযোগ করার কোন চেষ্টা করে না, "হ্যাঁ, আমি সত্যিই একটি আলোর বাল্ব।"
প্রথম স্থানে সেই নকল অ্যাক্সেস পয়েন্ট তৈরি করে, এবং "তুমি কি সেখানে?/হ্যাঁ, আমি এখানে" বিনিময়ের জাদু কীটি জেনে… সেই গর্তটিকে কাজে লাগিয়ে, একজন প্রতারক আপনাকে ভুল অ্যাক্সেস পয়েন্টে প্রলুব্ধ করতে পারে।
এবং তারপর আর কোন প্রমাণীকরণ আছে.
একটি ইম্পোস্টার লাইট বাল্ব ফিরে এসে বলতে পারে, "এখানে সুপার-সিক্রেট কী যা শুধুমাত্র আপনি জানেন এবং আমি জানি।"
তাই আপনি নিরাপদে যোগাযোগ করছেন...
…প্রতারকের সাথে!
DOUG. নিশ্চয়ই, এখন পর্যন্ত, আমরা সমস্যাগুলি নিয়ে কাজ করেছি, তাই না?
হাঁস. ঠিক আছে, তারা আরও দুটি দুর্বলতা খুঁজে পেয়েছিল এবং একভাবে, এর মধ্যে তৃতীয়টি আমাকে সবচেয়ে বেশি চিন্তিত করেছিল।
একবার আপনি সুরক্ষিত যোগাযোগের জন্য এই সেশন কীটি প্রতিষ্ঠা করলে, আপনি অনুমান করবেন যে আপনি এনক্রিপশন প্রক্রিয়াটি সঠিকভাবে পাবেন।
এবং আমার উপলব্ধি হল যে TP-লিংকের কোডাররা একটি মৌলিক ক্রিপ্টোগ্রাফিক বাস্তবায়ন ভুল করেছে।
তারা CBC বা "সাইফার ব্লক চেইনিং" মোডে AES ব্যবহার করেছে।
এটি এমন একটি মোড যা নিশ্চিত করার জন্য বোঝানো হয়েছে যে আপনি যদি একই ডেটা সহ একটি প্যাকেট দুই, তিন, চার বা তার বেশি বার পাঠান তবে আপনি চিনতে পারবেন না যে এটি একই ডেটা।
বারবার ডেটা দিয়ে, এমনকি যদি একজন আক্রমণকারী ডেটা কী তা না জানে, তারা দেখতে পারে যে একই জিনিস বারবার ঘটছে।
আপনি যখন CBC মোডে AES ব্যবহার করছেন, আপনি যেভাবে করবেন তা হল আপনি প্রতিটি প্যাকেট এনক্রিপ্ট করা শুরু করার আগে একটি IV বা "ইনিশিয়ালাইজেশন ভেক্টর" বলে এনক্রিপশন প্রক্রিয়াটিকে প্রাইম করেন৷
এখন, চাবি একটি গোপন হতে হবে.
কিন্তু ইনিশিয়ালাইজেশন ভেক্টরটি করে না: আপনি আসলে এটিকে শুরুতে ডেটাতে রাখেন।
গুরুত্বপূর্ণ বিষয় হল এটি প্রতিবার আলাদা হওয়া দরকার।
অন্যথায়, আপনি যদি IV পুনরাবৃত্তি করেন, তাহলে আপনি যখন একই কী দিয়ে একই ডেটা এনক্রিপ্ট করেন, আপনি প্রতিবার একই সাইফারটেক্সট পাবেন।
এটি আপনার এনক্রিপ্ট করা ডেটাতে নিদর্শন তৈরি করে।
এবং এনক্রিপ্ট করা ডেটা কখনই কোনও নিদর্শন প্রদর্শন করা উচিত নয়; এটা স্টাফ একটি র্যান্ডম স্ট্রিম থেকে আলাদা করা উচিত.
মনে হচ্ছে এই প্রোগ্রামাররা যা করেছিল তা হল শুরুতেই কী এবং ইনিশিয়ালাইজেশন ভেক্টর তৈরি করা, এবং তারপর যখনই তাদের কাছে পাঠানোর ডেটা ছিল, তারা একই কী এবং একই প্রারম্ভিক ভেক্টর পুনরায় ব্যবহার করবে।
[খুব গুরুতর] এটা করবেন না!
এবং একটি ভাল সহায়ক স্মৃতিকথা হল ক্রিপ্টোগ্রাফিক জার্গনে আরেকটি শব্দ মনে রাখা: "নন্স", যা "একবার ব্যবহৃত সংখ্যা" এর জন্য সংক্ষিপ্ত।
এবং ইঙ্গিত ডান নামের মধ্যে আছে, ডগ
DOUG. ঠিক আছে, আমরা কি এখন সবকিছু কভার করেছি, নাকি আরও একটি সমস্যা আছে?
হাঁস. গবেষকেরা শেষ যে সমস্যাটি খুঁজে পেয়েছেন, যেটি একটি সমস্যা হল ইনিশিয়ালাইজেশন ভেক্টরগুলি সঠিকভাবে ব্যবহার করা হয়েছে কিনা (যদিও এটি না হলে এটি আরও তীব্র সমস্যা), তা হল যে অনুরোধ এবং উত্তরগুলিকে পিছনে পাঠানোর কোনোটিই নির্ভরযোগ্যভাবে টাইমস্ট্যাম্প করা হয়নি, যার মানে হল যে এটি কি ছিল তা না জেনেই একটি পুরানো ডেটা প্যাকেট পুনরায় পাঠানো সম্ভব।
মনে রাখবেন, এটা এনক্রিপ্টেড; আপনি এর ভিতরে পড়তে পারবেন না; আপনি নিজের একটি তৈরি করতে পারবেন না… তবে আপনি একটি পুরানো প্যাকেট নিতে পারেন, গতকাল থেকে বলুন, এবং আজ এটি পুনরায় চালান, এবং আপনি দেখতে পারেন (এমনকি যখন একজন আক্রমণকারী জানে না যে সেই ডেটা প্যাকেটটি কী করতে পারে) কেন যা বিপর্যয় সৃষ্টির সম্ভাবনা রয়েছে।
DOUG. ঠিক আছে, তাই মনে হচ্ছে TP-Link ইঞ্জিনিয়ারিং টিমের সামনের কয়েক সপ্তাহ বা মাস তাদের হাতে একটি মজার চ্যালেঞ্জ রয়েছে।
এবং মজার কথা বলতে গিয়ে, রিচার্ড এই গল্পের দিকে ঝুঁকেছেন এবং একটি পুরানো প্রশ্নের একটি নতুন সংস্করণ জিজ্ঞাসা করেছেন:
একটি লাইট বাল্ব আপডেট করতে কতজন ক্রিপ্টোগ্রাফার লাগে?
এই প্রশ্নটি আমাকে খুব সুড়সুড়ি দিয়েছিল।
হাঁস. আমিও. [হাসি]
আমি ভেবেছিলাম, "ওহ, আমার এটা আগেই করা উচিত ছিল।"
DOUG. এবং আপনার উত্তর:
অন্তত 280 লিগ্যাসি ফিটিং এবং 2 পর্যন্ত256 সমসাময়িক আলোর জন্য।
সুন্দর উত্তর দিয়েছেন! [হাসি]
হাঁস. এটি বর্তমান ক্রিপ্টোগ্রাফিক স্ট্যান্ডার্ডগুলির একটি ইঙ্গিত, যেখানে আপনার কাছে অন্তত বর্তমান বাস্তবায়নের জন্য 128 বিট সুরক্ষা হিসাবে বিস্তৃতভাবে পরিচিত হওয়ার কথা।
কিন্তু, দৃশ্যত, উত্তরাধিকার সিস্টেমে, 80 বিট নিরাপত্তা, অন্তত আপাতত, প্রায় যথেষ্ট।
তাই সেই কৌতুকের পটভূমি ছিল।
DOUG. চমৎকার।
ঠিক আছে, আপনাকে অনেক ধন্যবাদ, রিচার্ড, এটি পাঠানোর জন্য
আপনার যদি একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে পড়তে চাই।
আপনি tips@sophos.com-এ ইমেল করতে পারেন, আপনি আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @nakedsecurity.
এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য অনেক ধন্যবাদ
পল ডকলিনের জন্য, আমি ডগ আমথ, পরের বার পর্যন্ত আপনাকে মনে করিয়ে দিচ্ছি...
উভয়। নিরাপদ থাকুন!
[মিউজিক্যাল মডেম]
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- চার্টপ্রাইম। ChartPrime এর সাথে আপনার ট্রেডিং গেমটি উন্নত করুন। এখানে প্রবেশ করুন.
- ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
- উত্স: https://nakedsecurity.sophos.com/2023/08/24/s3-ep149-how-many-cryptographers-does-it-take-to-change-a-light-bulb/
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 1984
- 23
- 26%
- 32
- 80
- 84
- a
- সক্ষম
- সম্পর্কে
- প্রবেশ
- হিসাব
- প্রকৃতপক্ষে
- অতিরিক্ত
- পরামর্শ
- AES
- পর
- আবার
- বিরুদ্ধে
- একমত
- চিকিত্সা
- বিমান
- সব
- অনুমতি
- বরাবর
- ঠিক হ্যায়
- যদিও
- am
- মর্দানী স্ত্রীলোক
- an
- এবং
- ঘোষণা করা
- অন্য
- উত্তর
- উত্তর
- কোন
- যে কেউ
- কোথাও
- অ্যাপ্লিকেশন
- আপেল
- অ্যাপস
- সংরক্ষাণাগার
- নথিপত্র
- রয়েছি
- প্রবন্ধ
- প্রবন্ধ
- AS
- অনুমান
- At
- আক্রমণ
- অডিও
- আগস্ট
- প্রমাণীকরণ
- লেখক
- স্বয়ংক্রিয়ভাবে
- দূরে
- পিছনে
- পটভূমি
- বার
- ভিত্তি
- BE
- কারণ
- পরিণত
- হয়েছে
- আগে
- পিছনে
- হচ্ছে
- বিশ্বাস করা
- নিচে
- মধ্যে
- তার পরেও
- বিশাল
- বিট
- বাধা
- ঘা
- পাদ
- বিস্তৃতভাবে
- ব্রাউজার
- পাশবিক বল
- বাফার
- বাফার ওভারফ্লো
- নম
- বাগ
- কিন্তু
- by
- কল
- নামক
- মাংস
- CAN
- বাহিত
- কেস
- কারণ
- কারণসমূহ
- কেন্দ্র
- অবশ্যই
- চ্যালেঞ্জ
- পরিবর্তন
- চেক
- পরীক্ষণ
- বেছে
- পরিষ্কার
- কোড
- কোডিং
- স্তম্ভ
- এর COM
- আসা
- মন্তব্য
- যোগাযোগ
- জ্ঞাপক
- যোগাযোগ
- কোম্পানি
- কোম্পানি
- সম্পূর্ণ
- সম্পূর্ণরূপে
- কম্পিউটার
- কম্পিউটার
- উদ্বেগ
- উদ্বিগ্ন
- সংযোগ করা
- সংযোগ
- কানেক্টিভিটি
- গঠন করা
- ধারণ
- সমসাময়িক
- নিয়ন্ত্রণ
- সুবিধাজনক
- সহযোগিতা
- নকল
- অনুরূপ
- দূষিত
- পারা
- দম্পতি
- আবৃত
- সৃষ্টি
- তৈরি করা হচ্ছে
- cryptocurrency
- ক্রিপ্টোগ্রাফিক
- বর্তমান
- উপাত্ত
- তথ্য এক্সেস
- তারিখ
- দিন
- দিন
- লেনদেন
- স্পষ্টভাবে
- বিস্তারিত
- যন্ত্র
- ডিভাইস
- DID
- বিভিন্ন
- প্রকাশ করা
- প্রকাশ
- অসংযুক্ত
- আবিষ্কৃত
- প্রদর্শন
- প্রদর্শন
- do
- না
- না
- সম্পন্ন
- Dont
- DOT
- ডগ
- ড্রপ
- প্রতি
- সহজ
- প্রভাব
- প্রচেষ্টা
- ইমেইল
- এনক্রিপ্ট করা
- এনক্রিপশন
- শেষ
- প্রকৌশল
- যথেষ্ট
- নিশ্চিত করা
- প্রবেশ
- ভুল
- প্রতিষ্ঠিত
- এমন কি
- কখনো
- প্রতি
- সবাই
- সব
- ঠিক
- উদাহরণ
- চমত্কার
- বিনিময়
- উত্তেজিত
- ফাঁসি
- কাজে লাগান
- শোষিত
- পরশ্রমজীবী
- অতিরিক্ত
- চোখ
- চোখ
- সত্য
- নকল
- এ পর্যন্ত
- চটুল
- ব্যক্তিত্ব
- মূর্ত
- ফাইল
- আবিষ্কার
- প্রথম
- প্রথমবার
- দৃষ্টি নিবদ্ধ করা
- অনুসৃত
- জন্য
- বল
- ফোর্সেস
- বের
- ফোরাম
- পাওয়া
- চার
- বন্ধু
- বন্ধুদের
- বন্ধুত্ব
- থেকে
- সম্পূর্ণ
- মজা
- মৌলিক
- অধিকতর
- সাধারণ
- সাধারণত
- উত্পাদন করা
- পাওয়া
- দাও
- প্রদত্ত
- দেয়
- দান
- Go
- Goes
- চালু
- ভাল
- গুগল
- মহান
- অতিশয়
- ছিল
- হ্যান্ডলিং
- হাত
- ঘটনা
- আছে
- জমিদারি
- he
- মাথা
- শুনেছি
- সাহায্য
- তার
- এখানে
- উচ্চ
- ইতিহাস
- আঘাত
- গর্ত
- কিভাবে
- কিভাবে
- HTTPS দ্বারা
- i
- আইকন
- আইকন
- অভিন্ন
- if
- কল্পনা করা
- বাস্তবায়ন
- বাস্তবায়নের
- গুরুত্বপূর্ণ
- in
- আনত
- সূচক
- স্বতন্ত্র
- প্রারম্ভিক
- ইনিশিয়েটিভ
- ভিতরে
- ইনস্টল করার
- মজাদার
- Internet
- মধ্যে
- ঘটিত
- IOT
- আইওটি ডিভাইস
- iot ডিভাইস
- আইফোন
- সমস্যা
- সমস্যা
- IT
- ইতালিয়ান
- ইতালি
- এর
- নিজেই
- অপভাষা
- মাত্র
- রাখা
- চাবি
- জানা
- বুদ্ধিমান
- পরিচিত
- রং
- ভূদৃশ্য
- গত
- শিখতে
- অন্তত
- ছোড়
- উত্তরাধিকার
- কম
- পাঠ
- চিঠি
- উচ্চতা
- আলো
- আলোক বাতি
- প্রজ্বলন
- মত
- সম্ভবত
- লাইন
- LINK
- শ্রবণ
- সামান্য
- দীর্ঘ
- সৌন্দর্য
- অনেক
- অট্ট
- ভালবাসা
- প্রণীত
- জাদু
- প্রধান
- করা
- তৈরি করে
- মেকিং
- ম্যালওয়্যার
- অনেক
- ছাপ
- মার্টিন
- জরায়ু
- মে..
- me
- মানে
- অভিপ্রেত
- উল্লিখিত
- বার্তা
- হতে পারে
- মনের
- মিনিট
- অনুপস্থিত
- ভুল
- মোবাইল
- মোড
- মাসের
- অধিক
- সেতু
- অনেক
- বহু
- সঙ্গীত
- সুরেলা
- my
- নগ্ন সুরক্ষা
- নগ্ন নিরাপত্তা পডকাস্ট
- নাম
- যথা
- প্রয়োজন
- চাহিদা
- নেটওয়ার্ক
- না
- তবু
- নতুন
- সংবাদ
- পরবর্তী
- না।
- না
- সুপরিচিত
- এখন
- সংখ্যা
- of
- বন্ধ
- অফলাইন
- পুরাতন
- on
- একদা
- ONE
- অনলাইন
- কেবল
- খোলা
- অপারেটিং
- অপারেটিং সিস্টেম
- or
- কমলা
- মূল
- অন্যান্য
- আমাদের
- বাইরে
- শেষ
- যুগল
- কাগজ
- অংশ
- বিশেষ
- বিশেষত
- যন্ত্রাংশ
- পাসওয়ার্ড
- তালি
- নিদর্শন
- পল
- সম্প্রদায়
- ব্যক্তিগত
- ফোন
- শারীরিক
- জায়গা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- খেলোয়াড়
- পরিতোষ
- পডকাস্ট
- পডকাস্ট
- বিন্দু
- দরিদ্র
- সম্ভব
- সম্ভবত
- পোস্ট
- প্রধান
- সমস্যা
- সমস্যা
- প্রক্রিয়া
- উত্পাদন করে
- পণ্য
- কার্যক্রম
- প্রোগ্রামাররা
- প্রদত্ত
- প্রকাশ্য
- পাবলিক কী
- প্রকাশ করা
- কাছে
- করা
- স্থাপন
- গুণ
- প্রশ্ন
- প্রশ্ন
- রেডিও
- এলোমেলো
- পরিসর
- পড়া
- সত্যিই
- রাজত্ব
- কারণ
- সম্প্রতি
- চিনতে
- উদ্ধার করুন
- আরোগ্য
- বোঝায়
- গণ্য
- নির্ভর করা
- নির্ভর
- মনে রাখা
- দূরবর্তী
- পুনরাবৃত্তি
- পুনরাবৃত্ত
- প্রতিনিধিত্ব
- অনুরোধ
- গবেষণা
- গবেষকরা
- পুনঃব্যবহারের
- রিচার্ড
- অধিকার
- উঠন্ত
- আরএসএ
- আরএসএস
- Safari
- বলেছেন
- একই
- করাত
- বলা
- উক্তি
- বলেছেন
- আঁচড়ের দাগ
- স্ক্রিন
- দ্বিতীয়
- গোপন
- নিরাপদ
- সুরক্ষিত
- নিরাপত্তা
- দেখ
- মনে হয়
- দেখেন
- পাঠান
- পাঠানোর
- পাঠায়
- প্রেরিত
- আলাদা
- গম্ভীর
- সেশন
- সেট
- বিন্যাস
- সেটআপ
- বিভিন্ন
- সে
- সংক্ষিপ্ত
- উচিত
- প্রদর্শনী
- পাশ
- সহজ
- সাইট
- ছোট
- স্মার্ট
- So
- যতদূর
- সামাজিক
- বিক্রীত
- সমাধান
- কিছু
- কেউ
- কিছু
- কিছুটা
- সাউন্ডক্লাউড
- সোর্স
- ভাষী
- বিশেষত
- নির্দিষ্ট
- Spotify এর
- মান
- মান
- শুরু
- শুরু
- অবস্থা
- থাকা
- এখনো
- গল্প
- প্রবাহ
- প্রবলভাবে
- জমা
- সুপারিশ
- অনুমিত
- নিশ্চিত
- নিশ্চয়
- স্যুইপস্টেক
- পদ্ধতি
- সিস্টেম
- গ্রহণ করা
- ধরা
- আলাপ
- টোকা
- টীম
- প্রযুক্তি
- বলা
- পরীক্ষা
- পরীক্ষামূলক
- ধন্যবাদ
- ধন্যবাদ
- যে
- সার্জারির
- বিশ্ব
- তাদের
- তাহাদিগকে
- তারপর
- সেখানে।
- এইগুলো
- তারা
- জিনিস
- কিছু
- মনে
- চিন্তা
- তৃতীয়
- এই
- যদিও?
- চিন্তা
- তিন
- দ্বারা
- সময়
- বার
- থেকে
- আজ
- একসঙ্গে
- স্বন
- অত্যধিক
- ট্রাফিক
- চেষ্টা
- পরিণত
- পালা
- দুই
- আদর্শ
- সাধারণত
- বোঝা
- বোধশক্তি
- দুর্ভাগ্যবশত
- পর্যন্ত
- আপডেট
- আপলোড করা
- URL টি
- us
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারসমূহ
- ব্যবহার
- সংস্করণ
- খুব
- মাধ্যমে
- আয়তন
- দুর্বলতা
- দুর্বলতা
- প্রয়োজন
- ছিল
- উপায়..
- উপায়
- we
- সপ্তাহান্তিক কাল
- সপ্তাহ
- আমরা একটি
- গিয়েছিলাম
- ছিল
- কি
- কখন
- যখনই
- কিনা
- যে
- যখন
- হু
- কেন
- ওয়াইফাই
- ব্যাপকভাবে
- ইচ্ছা
- সঙ্গে
- মধ্যে
- ছাড়া
- কাঠ
- শব্দ
- কর্মপ্রবাহ
- কাজ
- কাজ
- বিশ্ব
- চিন্তিত
- would
- লেখা
- ভুল
- লিখেছেন
- বছর
- হাঁ
- গতকাল
- আপনি
- তরুণ
- আপনার
- zephyrnet
- শূন্য
- শূন্য দিন