এক সপ্তাহ, দুই BWAINS
আপেল প্যাচ দুই শূন্য-দিন, একটি দ্বিতীয়বার। কিভাবে একটি 30 বছর বয়সী ক্রিপ্টোসিস্টেম পেয়েছিলাম কর্কশ. আপনার সমস্ত গোপন বিষয় অন্তর্গত জেনব্লিড. সেইসব কুৎসিত পিসি/ম্যাক বিজ্ঞাপনের কথা মনে পড়ছে।
নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।
ডগ আমথ এবং পল ডকলিনের সাথে। ইন্ট্রো এবং আউটরো সঙ্গীত দ্বারা এডিথ মুজ.
আপনি আমাদের শুনতে পারেন সাউন্ডক্লাউড, অ্যাপল পডকাস্ট, গুগল পডকাস্ট, Spotify এর এবং যে কোন জায়গায় ভাল পডকাস্ট পাওয়া যায়। অথবা শুধু ড্রপ আমাদের RSS ফিডের URL আপনার প্রিয় পডক্যাচারে।
ট্রান্সক্রিপ্ট পড়ুন
ডগলাস অ্যাপল প্যাচ, নিরাপত্তা বনাম কর্মক্ষমতা, এবং হ্যাকিং পুলিশ রেডিও.
নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।
[মিউজিক্যাল মডেম]
পডকাস্টে স্বাগতম, সবাইকে।
আমি ডগ আমথ; তিনি পল ডাকলিন।
পল, কি খবর, বন্ধু?
হাঁস. এটা জুলাই, ডগলাস!
ডগলাস ওয়েল, আমাদের জুলাই সম্পর্কে কথা বলা যাক প্রযুক্তির ইতিহাসে এই সপ্তাহ সেগমেন্ট।
28 জুলাই 1993 আমাদের জন্য এর সংস্করণ 1.0 নিয়ে এসেছে লুয়া প্রোগ্রামিং ভাষা.
এবং এমনকি যদি আপনি কখনোই লিটল ল্যাঙ্গুয়েজ যা করতে পারে না শুনে থাকেন তবে আপনি সম্ভবত এটি থেকে উপকৃত হয়েছেন।
লুয়া রব্লক্স, ওয়ার্ল্ড অফ ওয়ারক্রাফ্ট, অ্যাংরি বার্ডস, ভেনমো এবং অ্যাডোবের ওয়েব অ্যাপের মতো অ্যাপগুলিতে ব্যবহৃত হয়, উইরশার্ক, এনম্যাপ, নিওভিম এবং হাজার হাজার আরও বিস্তৃত স্ক্রিপ্টেবল অ্যাপের কথা উল্লেখ না করে।
পল, আপনি কিছু নেকেড সিকিউরিটি নিবন্ধে লুয়া ব্যবহার করেন, যদি আমি ভুল না করি।
হাঁস. আমি লুয়ার একজন বড় ভক্ত, ডগলাস।
আমি আমার নিজের স্ক্রিপ্টিংয়ের জন্য এটি বেশ ব্যাপকভাবে ব্যবহার করি।
এটা আমি একটি কল করতে চাই কি "চর্বিহীন, মানে যুদ্ধ মেশিন".
এটির কিছু সুন্দর বৈশিষ্ট্য রয়েছে: এটি শেখার একটি খুব সহজ ভাষা; এটা পড়া খুব সহজ ভাষা; এবং তবুও আপনি কার্যকরী শৈলীতে প্রোগ্রাম লিখতে পারেন।
(প্রযুক্তিগতভাবে বলতে গেলে, ফাংশনগুলি হল ভাষার প্রথম-শ্রেণির অবজেক্ট, তাই আপনি সমস্ত ধরণের ঝরঝরে জিনিসগুলি করতে পারেন যা আপনি C এর মতো আরও প্রচলিত ভাষার সাথে করতে পারবেন না।)
এবং আমি প্রায়শই এটি ব্যবহার করি যা অন্যথায় নগ্ন সুরক্ষা নিবন্ধগুলিতে সিউডোকোড হবে।
কারণ (A) আপনি কোডটি কপি-এন্ড-পেস্ট করতে পারেন এবং আপনি চাইলে নিজের জন্য চেষ্টা করে দেখতে পারেন, এবং (B) এটি আসলে আশ্চর্যজনকভাবে পাঠযোগ্য, এমনকি যারা প্রোগ্রামিংয়ের সাথে পরিচিত নয় তাদের জন্যও।
ডগলাস বাহ!
ঠিক আছে, আসুন কোডের বিষয়ে থাকি।
আমরা অ্যাপলের দ্বিতীয় র্যাপিড রেসপন্স প্যাচ সম্পর্কে এখন বেশ কয়েকবার কথা বলেছি।
ওটা ছিল, ওটা ছিল না, তাতে কী হল?
ওয়েল, যে প্যাচ এখন একটি অংশ সম্পূর্ণ আপডেট, এবং একটি যা আসলে একটি দ্বিতীয় শূন্য-দিন প্যাচ করেছে, পল।
হাঁস. হ্যাঁ.
যদি মনে থাকে দ্রুত প্রতিক্রিয়া, মত আপনি বলেন…
…সংস্করণ সহ একটি আপডেট ছিল (a)
, যেভাবে তারা প্রথমটিকে বোঝায়, তারপরে এটির সাথে একটি সমস্যা ছিল (কিছু ওয়েবসাইট ব্রাউজ করা যা ব্যবহারকারী-এজেন্ট স্ট্রিংগুলিকে সঠিকভাবে পার্স করছে না)।
আর তাই অ্যাপল বলল, “ওহ, চিন্তা করবেন না, আমরা সংস্করণ নিয়ে আসব (b)
কিছুক্ষনের মধ্যে."
এবং তারপর পরবর্তী জিনিস আমরা দেখেছি সংস্করণ ছিল (c)
.
আপনি ঠিক বলেছেন, এই দ্রুত প্রতিক্রিয়াগুলির ধারণা হল তারা শেষ পর্যন্ত এটিকে সম্পূর্ণ আপগ্রেডে পরিণত করে, যেখানে আপনি একটি সম্পূর্ণ নতুন সংস্করণ নম্বর পাবেন।
সুতরাং, আপনি দ্রুত প্রতিক্রিয়ার ভয়ে ভীত হলেও, শীঘ্রই না হলে আপনি পরে সেই সংশোধনগুলি পাবেন৷
এবং WebKit-এ শূন্য-দিন (এটি ছিল দ্রুত-প্রতিক্রিয়া-প্যাচড জিনিস) এখন কার্নেল-স্তরের গর্তের জন্য শূন্য-দিনের ফিক্সের সাথে রয়েছে।
এবং কিছু আছে (কিভাবে আমি এটা রাখতে পারি?) "আকর্ষণীয় সহ-ঘটনা" যখন আপনি এটা তুলনা অ্যাপলের শেষ বড় নিরাপত্তা আপগ্রেডের সাথে 2023 সালের জুনে।
যথা যে র্যাপিড রেসপন্স অংশে স্থির করা শূন্য-দিন WebKit-এ ছিল, এবং "একজন বেনামী গবেষক" কে দায়ী করা হয়েছে৷
এবং কার্নেলে প্যাচ করা শূন্য-দিনের জন্য দায়ী করা হয়েছিল রাশিয়ান অ্যান্টি-ভাইরাস পোশাক ক্যাসপারস্কি, যিনি বিখ্যাতভাবে রিপোর্ট করেছিলেন যে তারা তাদের নিজস্ব এক্সিকিউটিভদের আইফোনগুলিতে শূন্য-দিনের একটি গুচ্ছ খুঁজে পেয়েছে, সম্ভবত একটি স্পাইওয়্যার ইমপ্লান্টের জন্য ব্যবহৃত হয়েছিল।
সুতরাং স্মার্ট মানি বলছে, যদিও অ্যাপল তাদের নিরাপত্তা বুলেটিনে এটি স্পষ্টভাবে উল্লেখ করেনি, যে এটি তথাকথিত এর সাথে সম্পর্কিত আরেকটি সংশোধন ত্রিভুজ ট্রোজান.
অন্য কথায়, ইন-দ্য-ওয়াইল্ড স্পাইওয়্যার যা অন্তত কিছু লক্ষ্যবস্তু আক্রমণে ব্যবহৃত হয়েছিল।
এটি দ্রুত প্রতিক্রিয়াটিকে আরও বোধগম্য করে তোলে (কেন অ্যাপল এটি দ্রুত বের করতে চেয়েছিল), কারণ এটি প্রথমে আপনার ফোনকে কৌশলে ব্যবহার করা ব্রাউজারটিকে বন্ধ করে দেয়।
এবং এটি এই আপগ্রেডটিকে অতি-গুরুত্বপূর্ণ করে তোলে, কারণ এর অর্থ হল এটি গর্ত-পিছনে-গর্তটি বন্ধ করে দিচ্ছে যা আমরা কল্পনা করি যে আপনার ব্রাউজারে আপস করার পরে দুর্বৃত্তরা ব্যবহার করবে।
তারা এই দ্বিতীয় দুর্বলতার সাথে শৃঙ্খলাবদ্ধ হবে যা তাদের দিয়েছে, মূলত, সম্পূর্ণ নিয়ন্ত্রণ।
ডগলাস ঠিক আছে, তাই আমরা দুই সপ্তাহ আগে থেকে 30 বছর আগে যাই...
…এবং এই যেমন একটি মজার গল্প.
এটি অ-প্রকাশ চুক্তির পিছনে ক্রিপ্টোগ্রাফিক গোপনীয়তা লুকিয়ে রাখার চেষ্টা না করার বিষয়ে একটি সতর্কতামূলক গল্প। [NDAs]
একটি নতুন BWAIN, পল দিয়ে সম্পূর্ণ করুন।
আমরা একটি নতুন BWAIN পেয়েছি!
হাঁস. "একটি চিত্তাকর্ষক নামের সাথে বাগ।"
সঠিকভাবে কাজ করার জন্য অ্যালগরিদম গোপন রাখা প্রয়োজন হলে...
…শুধু ঘুষ নিতে, বা ভুল করতে, বা আপনার পণ্যকে রিভার্স-ইঞ্জিনিয়ার করতে, পুরো জিনিসটি ভেঙ্গে পড়ার জন্য শুধুমাত্র একজনেরই লাগে।
আর সেটাই করেছে এই TETRA রেডিও সিস্টেম।
এটি অ-মানক, মালিকানাধীন, ট্রেড-সিক্রেট এনক্রিপশন অ্যালগরিদমগুলির উপর নির্ভর করে, যার ফলস্বরূপ তারা বছরের পর বছর ধরে খুব বেশি যাচাই-বাছাই করেনি।
TETRA হল টেরেস্ট্রিয়াল ট্রাঙ্কড রেডিও.
এটি মোবাইল টেলিফোনির মতো, তবে আইন প্রয়োগকারী এবং প্রথম প্রতিক্রিয়াকারীদের মতো লোকেদের জন্য কিছু উল্লেখযোগ্য সুবিধা সহ, যেমন এটির পরিসর দীর্ঘ, তাই আপনার অনেক কম বেস স্টেশনের প্রয়োজন৷
এবং এটি শুরু থেকেই এক-থেকে-এক এবং এক-থেকে-অনেক যোগাযোগের সাথে ডিজাইন করা হয়েছিল, যেটি আদর্শ যখন আপনি জরুরী পরিস্থিতিতে সাড়া দেওয়ার জন্য একগুচ্ছ লোককে সমন্বয় করার চেষ্টা করছেন।
দুর্ভাগ্যবশত, এটিতে কিছু অসম্পূর্ণতা রয়েছে যা শুধুমাত্র 2021 সালে ডাচ গবেষকদের দ্বারা আবিষ্কৃত হয়েছিল।
এবং তারা প্রায় দুই বছর ধরে ধৈর্য সহকারে অপেক্ষা করছে তাদের দায়িত্বশীল প্রকাশ করার জন্য, তাদের বাগগুলির বিশদ বিবরণ দিয়ে বেরিয়ে আসার জন্য, যা তারা ব্ল্যাক হ্যাট 2023 থেকে শুরু করে একগুচ্ছ কনফারেন্সে করবে।
আপনি বুঝতে পারবেন কেন তারা এখন এটি সম্পর্কে একটি বড় স্প্ল্যাশ করতে চায়, কারণ তারা 2021 সালের শেষ থেকে প্যাচ প্রস্তুত করার জন্য বিক্রেতাদের সাথে কাজ করে এই তথ্যের উপর বসে আছে।
প্রকৃতপক্ষে, CVE, বাগ নম্বরগুলি যেগুলি তারা পেয়েছে, সবগুলি হল CVE-2022-xxxx, যা কেবল নির্দেশ করে যে সিস্টেমে কতটা জড়তা রয়েছে যা তাদের এই গর্তগুলির জন্য প্যাচগুলি বের করার জন্য অতিক্রম করতে হয়েছিল।
ডগলাস এবং আমাদের BWAIN হল TETRA:BURST, যা উত্তেজনাপূর্ণ।
আসুন এই ছিদ্র সম্পর্কে কিছু কথা বলা যাক।
হাঁস. মোট পাঁচটি CVE আছে, কিন্তু দুটি প্রধান সমস্যা আছে যেগুলোকে আমি "শিক্ষাযোগ্য মুহূর্ত" হিসেবে ভাবব।
প্রথমটি, যা হল CVE-2022-24401, মূল চুক্তির কণ্টকাকীর্ণ বিষয় নিয়ে কাজ করে৷
কীভাবে আপনার বেস স্টেশন এবং কারো হ্যান্ডসেট এই বিশেষ কথোপকথনের জন্য যে কী ব্যবহার করতে যাচ্ছে তাতে সম্মত হয়, যাতে এটি অন্য কোনো কী থেকে নির্ভরযোগ্যভাবে আলাদা হয়?
TETRA বর্তমান সময়ের উপর নির্ভর করে এটি করেছে, যা স্পষ্টতই কেবলমাত্র সামনের দিকে চলে। (যতদূর আমরা জানি।)
সমস্যা হল কোন ডেটা প্রমাণীকরণ বা যাচাইকরণ পর্যায়ে ছিল না।
হ্যান্ডসেটটি যখন বেস স্টেশনের সাথে সংযোগ করে এবং টাইমস্ট্যাম্প পায়, তখন এটি চেক করার কোনো উপায় থাকে না, "এটি কি আমার বিশ্বাসযোগ্য একটি বেস স্টেশনের একটি বাস্তব টাইমস্ট্যাম্প?"
টাইমস্ট্যাম্পে কোনও ডিজিটাল স্বাক্ষর ছিল না, যার অর্থ হল আপনি একটি দুর্বৃত্ত বেস স্টেশন সেট আপ করতে পারেন এবং আপনি *আপনার* টাইমস্ট্যাম্প ব্যবহার করে তাদের সাথে কথা বলার জন্য প্রতারণা করতে পারেন।
অন্য কথায়, অন্য কারো কাছ থেকে কথোপকথনের জন্য এনক্রিপশন কী *যেটি আপনি ইতিমধ্যেই আটক করেছেন এবং গতকাল রেকর্ড করেছেন*...
…আপনি আজ নির্দোষভাবে কারো সাথে কথোপকথন করতে পারেন, কারণ আপনি কথোপকথনটি চাননি, কিন্তু কারণ আপনি মূলধারাটি পুনরুদ্ধার করতে চেয়েছিলেন৷
তারপরে আপনি সেই কীস্ট্রিমটি ব্যবহার করতে পারেন, *কারণ এটি সেই একই যা গতকাল ব্যবহার করা হয়েছিল*, একটি কথোপকথনের জন্য যা আপনি বাধা দিয়েছিলেন।
এবং, অবশ্যই, আপনি আরেকটি জিনিস করতে পারেন, আপনি যদি মনে করেন যে আপনি পরের মঙ্গলবার কিছু আটকাতে সক্ষম হতে চান, তাহলে আপনি পরের সপ্তাহের জন্য একটি জাল টাইমস্ট্যাম্প ব্যবহার করে আপনার সাথে *আজ* কথোপকথন করার জন্য কাউকে প্রতারণা করতে পারেন।
তারপর, আপনি যখন ভবিষ্যতে সেই কথোপকথনটি আটকান, আপনি এটিকে ডিক্রিপ্ট করতে পারেন কারণ আপনি আজকের কথোপকথন থেকে কী-স্ট্রিম পেয়েছেন৷
ডগলাস ঠিক আছে, তাই যে প্রথম বাগ.
এবং গল্পের নৈতিকতা হল: আপনি যাচাই করতে পারবেন না এমন ডেটার উপর নির্ভর করবেন না।
দ্বিতীয় বাগটিতে, গল্পের নৈতিকতা হল: পিছনের দরজা বা অন্যান্য ইচ্ছাকৃত দুর্বলতা তৈরি করবেন না।
এটা একটা বড় নো-না, পল!
হাঁস. এটা প্রকৃতপক্ষে.
সেটি হল CVE 2022-24402।
এখন, আমি মিডিয়াতে দেখেছি যে এটি সত্যিই একটি পিছনের দরজা হিসাবে গণ্য কিনা তা নিয়ে কিছু তর্ক হয়েছে, কারণ এটি উদ্দেশ্যমূলকভাবে করা হয়েছিল এবং এনডিএ-তে স্বাক্ষরকারী প্রত্যেকেই জানত যে এটি সেখানে ছিল (বা উপলব্ধি করা উচিত ছিল)।
তবে আসুন এটিকে একটি ব্যাকডোর বলি, কারণ এটি একটি ইচ্ছাকৃতভাবে-প্রোগ্রাম করা পদ্ধতি যার মাধ্যমে কিছু ধরণের ডিভাইসের অপারেটররা (সৌভাগ্যবশত যা সাধারণত আইন প্রয়োগকারী বা প্রথম প্রতিক্রিয়াকারীদের কাছে বিক্রি হয় না, তবে বাণিজ্যিক সংস্থার কাছে বিক্রি হয়)….
…এখানে একটি বিশেষ মোড আছে যেখানে, 80-বিট এনক্রিপশন কী ব্যবহার করার পরিবর্তে, একটি ম্যাজিক বোতাম রয়েছে যা আপনি চাপতে পারেন যেটি বলে, "আরে বন্ধুরা, 32 এর পরিবর্তে শুধুমাত্র 80 বিট ব্যবহার করুন।"
এবং যখন আপনি মনে করেন যে আমরা DES থেকে পরিত্রাণ পেয়েছি, ডেটা এনক্রিপশন স্ট্যান্ডার্ড, সহস্রাব্দের শেষের দিকে কারণ এটিতে শুধুমাত্র 56-বিট কী ছিল, আপনি কল্পনা করতে পারেন, *আজ 2023 সালে*, একটি 32-বিট এনক্রিপশন কী সত্যিই কতটা দুর্বল।
একটি নৃশংস-শক্তি আক্রমণ করার সময় এবং উপকরণ খরচ সম্ভবত তুচ্ছ.
আপনি কল্পনা করতে পারেন, কয়েকটি অর্ধ-শালীন ল্যাপটপ দিয়ে, আপনি যে কোনও কথোপকথনের জন্য একটি বিকেলে এটি করতে পারেন যা আপনি ডিক্রিপ্ট করতে চান।
ডগলাস ঠিক আছে, খুব ভাল.
শেষ, কিন্তু অন্তত নয়, আমাদের আছে...
…যদি আপনার 2014 সালের হার্টব্লিডের কথা মনে পড়ে, তবে আতঙ্কিত হবেন না, তবে একটি নতুন জিনিস আছে জেনব্লিড
জেনব্লিড: কীভাবে সিপিইউ পারফরম্যান্সের অনুসন্ধান আপনার পাসওয়ার্ডগুলিকে ঝুঁকির মধ্যে ফেলতে পারে
হাঁস. হ্যাঁ, এটি সপ্তাহের BWAIN নম্বর দুই। [হাসি]
ডগলাস হ্যাঁ, এটা অন্য BWAIN! [হাসি]
হাঁস. আমি এটি লিখতে মনস্থ করেছি কারণ এটির একটি চতুর নাম রয়েছে, জেনব্লিড (নামটি "জেন" থেকে এসেছে যে বাগটি এএমডির জেন 2 প্রসেসর সিরিজে প্রযোজ্য, যতদূর আমি জানি), এবং কারণ এটি পাওয়া গেছে গুগল প্রজেক্ট জিরোর কিংবদন্তি বাগ-হান্টার, টাভিস অরম্যান্ডি, যিনি নিজেরাই প্রসেসরের অভ্যন্তরে কী ঘটছে তার দিকে মনোযোগ দিয়েছেন।
"ব্লিড" আক্রমণ... আমি নিবন্ধে যে শব্দগুলি লিখেছি তা ব্যবহার করে আমি কেবল তাদের বর্ণনা করব:
"-ব্লিড" প্রত্যয়টি দুর্বলতার জন্য ব্যবহার করা হয় যা এমনভাবে ডেটা ফাঁস করে যা আক্রমণকারী বা শিকার কেউই নিয়ন্ত্রণ করতে পারে না।
সুতরাং একটি রক্তপাতের আক্রমণ হল এমন একটি যেখানে আপনি ইন্টারনেট জুড়ে একটি কম্পিউটারে একটি বুনন সুই খোঁচা দিতে পারবেন না এবং যান, “আহা! এখন আমি আপনাকে খুঁজে পেতে চাই যে নির্দিষ্ট ডাটাবেস বলা হয় sales.sql
এবং এটি আমার কাছে আপলোড করুন।"
এবং আপনি অন্য গর্তে একটি বুনন সুই আটকে রাখতে পারবেন না এবং যেতে পারেন, "আমি চাই আপনি ক্রেডিট কার্ড নম্বর প্রদর্শিত না হওয়া পর্যন্ত মেমরি অফসেট 12 দেখুন, এবং তারপরে এটিকে ডিস্কে সংরক্ষণ করুন।"
আপনি শুধু সিউডোর্যান্ডম ডেটা পান যা অন্য লোকেদের প্রোগ্রাম থেকে ফাঁস হয়ে যায়।
আপনি স্বেচ্ছাচারী জিনিস পান যা আপনার দেখার কথা নয়, আপনি চাইলে মিনিট, ঘন্টা, দিন, এমনকি সপ্তাহের জন্য ইচ্ছামত সংগ্রহ করতে পারেন।
তারপরে আপনি সেই চুরি হওয়া জিনিসগুলিতে আপনার বিগ-ডেটা কাজ করতে পারেন এবং আপনি এটি থেকে কী পেতে পারেন তা দেখতে পারেন।
তাই যে Tavis Ormandy এখানে পাওয়া গেছে.
এটি মূলত ভেক্টর প্রক্রিয়াকরণের একটি সমস্যা, যেখানে ইন্টেল এবং এএমডি প্রসেসর তাদের স্বাভাবিক 64-বিট মোডে কাজ করে না (যেখানে তারা বলতে পারে, একসাথে দুটি 64-বিট পূর্ণসংখ্যা যোগ করতে পারে), কিন্তু যেখানে তারা 256-এ কাজ করতে পারে। -এক সময়ে ডেটার বিট খণ্ড।
এবং এটি পাসওয়ার্ড ক্র্যাকিং, ক্রিপ্টোমিনিং, ইমেজ প্রসেসিং, সব ধরণের জিনিসের জন্য দরকারী।
এটি প্রসেসরের ভিতরে একটি সম্পূর্ণ আলাদা নির্দেশনা সেট; অভ্যন্তরীণ রেজিস্টারের সম্পূর্ণ আলাদা সেট; অভিনব এবং সত্যিই শক্তিশালী গণনার একটি সম্পূর্ণ সেট যা আপনি সুপার-বিগ পারফরম্যান্স ফলাফলের জন্য এই সুপার-বিগ সংখ্যাগুলিতে করতে পারেন।
সেইগুলি বাগ মুক্ত হওয়ার সম্ভাবনা কী?
এবং এটিই তাভিস অরম্যান্ডি খুঁজছিলেন।
তিনি দেখেছেন যে একটি খুব বিশেষ নির্দেশনা যা মূলত কর্মক্ষমতা হ্রাস এড়াতে ব্যবহৃত হয়…
…আপনার কাছে এই জাদুকরী নির্দেশনা আছে VZEROUPPER
যেটি CPU-কে বলে, "কারণ আমি এই অভিনব 256-বিট রেজিস্টারগুলি ব্যবহার করছি কিন্তু আমি সেগুলিতে আর আগ্রহী নই, আপনাকে পরে তাদের অবস্থা সংরক্ষণ করার বিষয়ে চিন্তা করতে হবে না।"
অনুমান কি?
এই ম্যাজিক নির্দেশনা, যা সমস্ত 128-বিট ভেক্টর রেজিস্টারের শীর্ষ 256 বিটকে একই সময়ে শূন্যে সেট করে, সবগুলি একটি নির্দেশের সাথে (আপনি দেখতে পারেন এখানে অনেক জটিলতা রয়েছে)…
…মূলত, কখনও কখনও এটি সম্প্রতি চালানো অন্য কিছু প্রক্রিয়া বা থ্রেড থেকে ডেটা ফাঁস করে।
আপনি যদি সঠিক উপায়ে এই নির্দেশের অপব্যবহার করেন, এবং Tavis Ormandy জানতে পেরেছেন যে এটি কীভাবে করা যায়, আপনি আপনার নিজের যাদু ভেক্টর নির্দেশাবলী করেন এবং আপনি এই সুপার-কুল ব্যবহার করেন VZEROUPPER
একটি বিশেষ উপায়ে নির্দেশ, এবং যা ঘটে তা হল আপনার প্রোগ্রামে ভেক্টর নিবন্ধনগুলি মাঝে মাঝে ডেটা মানগুলির সাথে দেখাতে শুরু করে যা তাদের থাকার কথা নয়।
এবং যারা ডেটা মান র্যান্ডম হয় না.
এগুলি আসলে 16-বাইট (128-বিট) ডেটার অংশ *যা অন্য কারোর প্রক্রিয়া থেকে এসেছে*।
আপনি কার জানেন না.
আপনি শুধু জানেন যে এই দুর্বৃত্ত তথ্য সময়ে সময়ে তার ভুতুড়ে চেহারা তৈরি করছে।
দুর্ভাগ্যবশত, Taviso আবিষ্কার করেছেন যে সঠিক/ভুল পদ্ধতিতে এই নির্দেশের অপব্যবহার করে, তিনি আসলে প্রতি সেকেন্ডে প্রতি CPU কোর প্রতি সেকেন্ডে অন্য লোকের প্রক্রিয়া থেকে 30KB দুর্বৃত্ত, ভৌতিক ডেটা বের করতে পারেন।
এবং যদিও এটি খুব ধীর গতির ডেটা রেট বলে মনে হচ্ছে (কে আজকাল ইন্টারনেট সংযোগে প্রতি সেকেন্ডে 30KB চাইবে? - কেউই)…
…যখন অন্য লোকের প্রোগ্রামগুলি থেকে এলোমেলোভাবে 16-বাইট খণ্ড ডেটা পাওয়ার কথা আসে, এটি আসলে প্রতি কোর প্রতি দিনে প্রায় 3GB তে কাজ করে।
অন্যান্য মানুষের ওয়েব পৃষ্ঠার বিট হতে যাচ্ছে; ব্যবহারকারীর নাম হতে যাচ্ছে; পাসওয়ার্ড ডাটাবেস থাকতে পারে; প্রমাণীকরণ টোকেন থাকতে পারে।
আপনাকে যা করতে হবে তা হ'ল খড়ের স্তুপের এই বিস্তৃত সরবরাহের মধ্য দিয়ে যাওয়া এবং আকর্ষণীয় দেখায় এমন কোনও সূঁচ খুঁজে বের করা।
এবং এর সত্যিই খারাপ অংশ হল *এটি শুধুমাত্র আপনার মতো একই বিশেষাধিকার স্তরে চলমান অন্যান্য প্রক্রিয়া নয়*।
সুতরাং আপনি যদি "ডগ" হিসাবে লগ ইন করেন তবে এই বাগটি কেবলমাত্র অপারেটিং সিস্টেম অ্যাকাউন্ট "ডগ" এর অধীনে চলমান অন্যান্য প্রক্রিয়াগুলির উপর গুপ্তচরবৃত্তি করে না।
যেমন টাভিসো নিজেই উল্লেখ করেছেন:
বেসিক অপারেশন মত
strlen
, memcpy
, এবং strcmp
...
(এগুলি স্ট্যান্ডার্ড ফাংশন যা সমস্ত প্রোগ্রাম পাঠ্য স্ট্রিংগুলির দৈর্ঘ্য খুঁজে বের করার জন্য, চারপাশে মেমরি অনুলিপি করার জন্য এবং পাঠ্যের দুটি আইটেমের তুলনা করার জন্য ব্যবহার করে।)
এই মৌলিক ক্রিয়াকলাপগুলি ভেক্টর রেজিস্টার ব্যবহার করবে, তাই আমরা কার্যকরভাবে এই কৌশলটি ব্যবহার করতে পারি সিস্টেমের যে কোনও জায়গায় ঘটছে সেই অপারেশনগুলির উপর গুপ্তচরবৃত্তি করতে!
এবং তিনি সেখানে নিজেকে, বোধগম্যভাবে, একটি বিস্ময়বোধক বিন্দুর অনুমতি দিয়েছেন।
অন্যান্য ভার্চুয়াল মেশিন, স্যান্ডবক্স, পাত্রে, প্রক্রিয়া, যাই হোক না কেন সেগুলি ঘটছে কিনা তা কোন ব্যাপার না।
আমি মনে করি তিনি আসলে সেখানে একটি দ্বিতীয় বিস্ময়বোধক বিন্দু ব্যবহার করেছেন।
অন্য কথায়, *যেকোন প্রক্রিয়া*, সেটি অপারেটিং সিস্টেমই হোক না কেন, আপনার মতো একই VM-এর অন্য ব্যবহারকারী হোক না কেন, এটি সেই প্রোগ্রাম যা VM নিয়ন্ত্রণ করে, এটি একটি স্যান্ডবক্স যা পাসওয়ার্ডের অতি-ব্যক্তিগত প্রক্রিয়াকরণ করার কথা।
আপনি অন্য লোকেদের কাছ থেকে আসা 16-বাইট ডেটা অংশগুলির এই স্থির ফিডটি পাচ্ছেন, এবং আপনাকে যা করতে হবে তা হল বসে থাকা, এবং অপেক্ষা করা।
ডগলাস সুতরাং, প্যাচ করার জন্য মাদারবোর্ড বিক্রেতার জন্য অপেক্ষা করা কম…
আপনি যদি একটি ম্যাক ব্যবহার করেন তবে আপনাকে এটি নিয়ে চিন্তা করার দরকার নেই কারণ এখানে এআরএম-ভিত্তিক ম্যাক এবং ইন্টেল-ভিত্তিক ম্যাক রয়েছে, তবে কোনও এএমডি ম্যাক নেই, তবে এএমডি প্রসেসর সহ উইন্ডোজ ব্যবহারকারীদের এবং সম্ভবত কিছু লিনাক্স ব্যবহারকারীদের সম্পর্কে কী হবে?
হাঁস. আপনার Linux ডিস্ট্রোতে একটি ফার্মওয়্যার মাইক্রোকোড আপডেট থাকতে পারে যা এটি আপনার জন্য স্বয়ংক্রিয়ভাবে প্রযোজ্য হবে।
এবং এখানে একটি অপরিহার্যভাবে নথিভুক্ত (বা সবচেয়ে খারাপভাবে নথিভুক্ত) AMD বৈশিষ্ট্য রয়েছে, একটি বিশেষ কমান্ড যা আপনি MSRs নামে পরিচিত এর মাধ্যমে চিপকে দিতে পারেন, অথবা মডেল-নির্দিষ্ট রেজিস্টার.
এগুলি চিপগুলির প্রতিটি নির্দিষ্ট রাউন্ডের জন্য কনফিগারেশন-সেটিং সরঞ্জামগুলির মতো।
এমন একটি সেটিং রয়েছে যা আপনি তৈরি করতে পারেন যা দৃশ্যত এই বাগটির বিরুদ্ধে আপনার চিপকে ইমিউনাইজ করে, তাই আপনি এটি প্রয়োগ করতে পারেন।
লিনাক্স এবং বিএসডি-এর জন্য এটি করার জন্য কমান্ড রয়েছে, তবে আমি দুর্ভাগ্যবশত উইন্ডোজে অনুরূপ কমান্ড সম্পর্কে সচেতন নই।
মডেল-নির্দিষ্ট সিপিইউ রেজিস্টার [MSRs] এর সাথে তালগোল পাকানো উইন্ডোজে করা যেতে পারে, তবে সাধারণভাবে বলতে গেলে, আপনার একটি কার্নেল ড্রাইভার প্রয়োজন।
এবং এর অর্থ সাধারণত এটি কোনও অজানা তৃতীয় পক্ষের কাছ থেকে পাওয়া, এটি নিজে কম্পাইল করা, এটি ইনস্টল করা, ড্রাইভার সাইন অফ করা…
…তাই শুধুমাত্র যদি আপনার একেবারে প্রয়োজন হয় এবং আপনি কি করছেন তা আপনি পুরোপুরি জানেন।
আপনি যদি সত্যিই উইন্ডোজে মরিয়া হয়ে থাকেন, এবং আপনার কাছে একটি AMD Zen 2 প্রসেসর থাকে, আমি মনে করি... (আমি এটি চেষ্টা করিনি কারণ আমার পরীক্ষার জন্য আমার হাতে উপযুক্ত কম্পিউটার নেই।)
ডগলাস আপনি একটি খরচ করা উচিত. [হাসি]
এই তো কাজের সাথে সম্পর্ক!
হাঁস. আপনি সম্ভবত, যদি আপনি ডাউনলোড এবং ইনস্টল করতে পারেন windbg [উচ্চারিত "উইন্ডব্যাগ"], মাইক্রোসফ্ট ডিবাগার...
…যা আপনাকে স্থানীয় কার্নেল ডিবাগিং সক্ষম করতে, আপনার নিজস্ব কার্নেলের সাথে সংযোগ করতে এবং মডেল-নির্দিষ্ট রেজিস্টারগুলি [ড্রামাটিক ভয়েস] *আপনার নিজের বিপদে* ব্যবহার করতে দেয়।
এবং, অবশ্যই, আপনি যদি ওপেনবিএসডি ব্যবহার করেন, আমি যা শুনেছি তা থেকে, পুরানো থিও [ডি রাড্ট] বলেছেন, “আপনি জানেন কি, একটি প্রশমন আছে; এটি এই বিশেষ বিটটি চালু করছে যা বাগ কাজ করা বন্ধ করে দেয়। আমরা ওপেনবিএসডি-তে ডিফল্ট করতে যাচ্ছি, কারণ আমাদের পছন্দ হল পারফরম্যান্সের খরচেও নিরাপত্তার পক্ষে চেষ্টা করা।”
কিন্তু অন্য সবার জন্য, আপনাকে হয় এটি ঠিক না হওয়া পর্যন্ত অপেক্ষা করতে হবে অথবা সামান্য কিছু মাইক্রো-হ্যাকিং করতে হবে।
ডগলাস ঠিক আছে, খুব ভাল.
আমরা এ বিষয়ে নজর রাখব, আমার কথায় চিহ্ন দিন।
এবং আজকের জন্য আমাদের শোতে সূর্য অস্তমিত হতে শুরু করলে, আসুন Facebook-এ আমাদের একজন পাঠকের কাছ থেকে শুনি।
এটি অ্যাপলের গল্পের সাথে সম্পর্কিত যা শোয়ের শীর্ষে কথা বলেছিল।
অ্যান্টনি লিখেছেন:
আমার মনে আছে, সেই দিনগুলিতে, যখন অ্যাপল ব্যবহারকারীরা পিসি ভিড়ের উপর কাক করে উঠত যে কীভাবে অ্যাপলের আর্কিটেকচার জলরোধী ছিল এবং কোনও সুরক্ষা প্যাচিংয়ের প্রয়োজন ছিল না।
পল, এটি একটি আকর্ষণীয় প্রশ্ন জিজ্ঞাসা করে, কারণ আমি মনে করি আমরা অন্তত বার্ষিক এটি পুনর্বিবেচনা করি।
আমরা যারা বলে যে অ্যাপল এত নিরাপদ যে তাদের কোন নিরাপত্তা সফ্টওয়্যার প্রয়োজন হয় না, বা তাদের হ্যাকিং, বা ম্যালওয়্যার, বা এই ধরণের কোন জিনিস সম্পর্কে চিন্তা করার দরকার নেই?
হাঁস. ভাল, সাধারণত আমরা একটি সুন্দর বড় বন্ধুত্বপূর্ণ হাসি দিই এবং আমরা বলি, "আরে, কেউ কি সেই বিজ্ঞাপনগুলি মনে রাখে? আমি একজন পিসি/আমি একজন ম্যাক। আমি একজন পিসি/আমি একজন ম্যাক। এটা কিভাবে খেলা আউট?" [হাসি]
ডগলাস ভাল বলেছ!
এবং আপনাকে অনেক ধন্যবাদ, অ্যান্টনি, এটি লেখার জন্য।
যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।
আপনি tips@sophos.com-এ ইমেল করতে পারেন, আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @nakedSecurity।
এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য অনেক ধন্যবাদ
পল ডকলিনের জন্য, আমি ডগ আমথ, আপনাকে মনে করিয়ে দিচ্ছি, পরের বার পর্যন্ত,...
উভয়। নিরাপদ থাকুন!
[মিউজিক্যাল মডেম]
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
- উত্স: https://nakedsecurity.sophos.com/2023/07/27/s3-ep145-bugs-with-impressive-names/
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 1
- 12
- 2014
- 2021
- 2023
- 30
- 32
- 80
- a
- সক্ষম
- সম্পর্কে
- আইটি সম্পর্কে
- একেবারে
- অপব্যবহার
- অনুষঙ্গী
- হিসাব
- দিয়ে
- প্রকৃতপক্ষে
- যোগ
- রৌদ্রপক্ব ইষ্টক
- আপনার নিকটস্থ বিজ্ঞাপন !
- সুবিধাদি
- পর
- বিরুদ্ধে
- পূর্বে
- চুক্তি
- চুক্তি
- অ্যালগরিদম
- আলগোরিদিম
- সব
- অনুমতি
- অনুমতি
- ইতিমধ্যে
- ঠিক হ্যায়
- যদিও
- am
- এএমডি
- an
- এবং
- সালিয়ানা
- নামবিহীন
- অন্য
- এন্থনি
- কোন
- যে কেউ
- কোথাও
- পৃথক্
- মনে হচ্ছে,
- আপেল
- প্রয়োগ করা
- অ্যাপস
- স্থাপত্য
- রয়েছি
- কাছাকাছি
- প্রবন্ধ
- প্রবন্ধ
- AS
- At
- আক্রমণ
- আক্রমন
- মনোযোগ
- অডিও
- প্রমাণীকরণ
- লেখক
- স্বয়ংক্রিয়ভাবে
- এড়াতে
- সচেতন
- পিছনে
- পিছনের দরজা
- পিছনে
- খারাপ
- ভিত্তি
- মৌলিক
- মূলত
- BE
- কারণ
- হয়েছে
- পিছনে
- হচ্ছে
- নিচে
- সর্বোত্তম
- বিশাল
- পাখি
- বিট
- কালো
- কালো টুপি
- ব্রাজিল
- আনীত
- ব্রাউজার
- ব্রাউজিং
- নম
- বাগ
- নির্মাণ করা
- গুচ্ছ
- কিন্তু
- বোতাম
- by
- গণনার
- কল
- নামক
- মাংস
- CAN
- কার্ড
- কিছু
- সুযোগ
- বৈশিষ্ট্য
- পরীক্ষণ
- চিপ
- চিপস
- পরিষ্কারভাবে
- বন্ধ
- কোড
- সংগ্রহ করা
- এর COM
- আসা
- আসে
- আসছে
- মন্তব্য
- ব্যবসায়িক
- যোগাযোগমন্ত্রী
- তুলনা
- সম্পূর্ণ
- জটিলতা
- সন্দেহজনক
- কম্পিউটার
- সম্মেলন
- সংযোগ করা
- সংযোগ
- সংযোগ স্থাপন করে
- কন্টেনারগুলি
- নিয়ন্ত্রণ
- নিয়ন্ত্রণগুলি
- কথোপকথন
- নকল
- মূল
- মূল্য
- পারা
- দম্পতি
- পথ
- ধার
- ক্রেডিটকার্ড
- ভিড়
- ক্রিপ্টো
- ক্রিপ্টোগ্রাফিক
- বর্তমান
- cve
- উপাত্ত
- ডেটাবেস
- ডাটাবেস
- দিন
- দিন
- প্রতিষ্ঠান
- ডিক্রিপ্ট করুন
- ডিফল্ট
- বর্ণনা করা
- পরিকল্পিত
- বিস্তারিত
- যন্ত্র
- DID
- বিভিন্ন
- ডিজিটাল
- অভিমুখ
- প্রকাশ
- আবিষ্কৃত
- do
- না
- না
- করছেন
- সম্পন্ন
- Dont
- ডাউনলোড
- নাটকীয়
- চালক
- ড্রাইভার স্বাক্ষর
- ড্রপ
- ডাচ
- প্রতি
- সহজ
- কার্যকরীভাবে
- পারেন
- আর
- অন্যদের
- ইমেইল
- জরুরি অবস্থা
- সক্ষম করা
- এনক্রিপশন
- প্রয়োগকারী
- মূলত
- এমন কি
- অবশেষে
- সবাই
- উত্তেজনাপূর্ণ
- পরীক্ষা-নিরীক্ষা
- ব্যাপক
- ব্যাপকভাবে
- নির্যাস
- চোখ
- ফেসবুক
- সত্য
- নকল
- পতন
- পরিচিত
- বিখ্যাত
- ফ্যান
- এ পর্যন্ত
- বৈশিষ্ট্য
- কম
- যুদ্ধ
- মূর্ত
- আবিষ্কার
- আবিষ্কার
- প্রথম
- ঠিক করা
- স্থায়ী
- সংক্রান্ত ত্রুটিগুলি
- জন্য
- ভাগ্যক্রমে
- অগ্রবর্তী
- পাওয়া
- বিনামূল্যে
- বন্ধুত্বপূর্ণ
- থেকে
- সম্পূর্ণ
- কার্মিক
- ক্রিয়াকলাপ
- ভবিষ্যৎ
- সাধারণত
- পাওয়া
- পেয়ে
- দাও
- Go
- চালু
- ভাল
- গুগল
- হ্যাকিং
- ছিল
- হাত
- ঘটেছিলো
- ঘটনা
- এরকম
- হয়েছে
- আছে
- জমিদারি
- he
- শোনা
- শুনেছি
- হৃদয়গ্রাহী
- এখানে
- গোপন
- তার
- আঘাত
- গর্ত
- গর্ত
- ঘন্টার
- কিভাবে
- কিভাবে
- HTTP
- HTTPS দ্বারা
- i
- আমি আছি
- ধারণা
- আদর্শ
- if
- ভাবমূর্তি
- কল্পনা করা
- চিত্তাকর্ষক
- in
- অন্যান্য
- প্রকৃতপক্ষে
- ইঙ্গিত
- নিষ্ক্রিয়তা
- তথ্য
- ভিতরে
- ইনস্টল
- ইনস্টল করার
- পরিবর্তে
- নির্দেশাবলী
- ইন্টেল
- আগ্রহী
- মজাদার
- অভ্যন্তরীণ
- Internet
- ইন্টারনেট সংযোগ
- মধ্যে
- সমস্যা
- সমস্যা
- IT
- আইটেম
- এর
- জুলাই
- জুন
- মাত্র
- Kaspersky
- রাখা
- পালন
- চাবি
- কী
- জানা
- পরিচিত
- ভাষা
- ভাষাসমূহ
- ল্যাপটপের
- মূলত
- গত
- বিলম্বে
- পরে
- আইন
- আইন প্রয়োগকারী
- ফুটো
- লিকস
- শিখতে
- অন্তত
- কাল্পনিক
- লম্বা
- উচ্চতা
- মত
- লিনাক্স
- শ্রবণ
- সামান্য
- স্থানীয়
- লগ
- আর
- দেখুন
- খুঁজছি
- অনেক
- ভালবাসা
- ম্যাক
- মেশিন
- জাদু
- প্রধান
- মুখ্য
- করা
- তৈরি করে
- মেকিং
- ম্যালওয়্যার
- ছাপ
- ব্যাপার
- সর্বোচ্চ প্রস্থ
- মে..
- হতে পারে
- me
- গড়
- মানে
- অভিপ্রেত
- পদ্ধতি
- মিডিয়া
- স্মৃতি
- মাইক্রোসফট
- হতে পারে
- সহস্র বত্সর
- মনের
- মিনিট
- ভুল
- প্রশমন
- মোবাইল
- মোড
- টাকা
- মনোবল
- অধিক
- প্যাচসমূহ
- অনেক
- সঙ্গীত
- সুরেলা
- my
- নগ্ন সুরক্ষা
- নগ্ন নিরাপত্তা পডকাস্ট
- নাম
- যথা
- প্রায়
- প্রয়োজনীয়
- প্রয়োজন
- প্রয়োজন
- তন্ন তন্ন
- না
- নতুন
- পরবর্তী
- পরের সপ্তাহে
- সুন্দর
- না।
- সাধারণ
- এখন
- সংখ্যা
- সংখ্যার
- বস্তু
- of
- বন্ধ
- অফসেট
- প্রায়ই
- পুরাতন
- on
- ONE
- ওগুলো
- কেবল
- অপারেটিং
- অপারেটিং সিস্টেম
- অপারেশনস
- অপারেটরদের
- or
- সংগঠন
- অন্যান্য
- অন্যভাবে
- আমাদের
- বাইরে
- শেষ
- পরাস্ত
- নিজের
- পেজ
- আতঙ্ক
- অংশ
- বিশেষ
- পার্টি
- পাসওয়ার্ড
- পাসওয়ার্ড
- তালি
- প্যাচ
- প্যাচিং
- অকাতরে
- পল
- PC
- সম্প্রদায়
- জনগণের
- প্রতি
- কর্মক্ষমতা
- ব্যক্তি
- ফোন
- জায়গা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- খেলা
- খেলোয়াড়
- পডকাস্ট
- পডকাস্ট
- বিন্দু
- পয়েন্ট
- অকর্মা
- পুলিশ
- পর্তুগীজ
- পোস্ট
- ক্ষমতাশালী
- প্রেস
- সুবিধা
- সম্ভবত
- সমস্যা
- প্রসেস
- প্রক্রিয়াজাতকরণ
- প্রসেসর
- প্রসেসর
- পণ্য
- কার্যক্রম
- প্রোগ্রামিং
- প্রোগ্রাম
- প্রকল্প
- উচ্চারিত
- সঠিকভাবে
- মালিকানা
- উদ্দেশ্য
- করা
- খোঁজা
- প্রশ্ন
- দ্রুত
- রেডিও
- এলোমেলো
- পরিসর
- দ্রুত
- হার
- পড়া
- পাঠকদের
- প্রস্তুত
- বাস্তব
- সত্যিই
- সাম্প্রতিক
- সম্প্রতি
- নথিভুক্ত
- উদ্ধার করুন
- হ্রাস
- খাতাপত্র
- সংশ্লিষ্ট
- নির্ভর করা
- নির্ভর
- মনে রাখা
- স্মরন
- রিপোর্ট
- গবেষকরা
- প্রতিক্রিয়া
- প্রতিক্রিয়া
- প্রতিক্রিয়া
- দায়ী
- ফল
- ফলাফল
- পরিত্রাণ
- অধিকার
- রিও দে জেনেইরো
- Roblox
- বৃত্তাকার
- আরএসএস
- চালান
- দৌড়
- রাশিয়ান
- বলেছেন
- একই
- স্যান্ডবক্স
- স্যান্ডবক্স
- সংরক্ষণ করুন
- রক্ষা
- করাত
- বলা
- উক্তি
- বলেছেন
- সুবিবেচনা
- দ্বিতীয়
- গোপন
- নিরাপদ
- নিরাপত্তা
- দেখ
- দেখা
- রেখাংশ
- আলাদা
- ক্রম
- সেট
- সেট
- বিন্যাস
- বিভিন্ন
- জাহাজ
- সংক্ষিপ্ত
- উচিত
- প্রদর্শনী
- সাইন ইন
- গুরুত্বপূর্ণ
- স্বাক্ষর
- অনুরূপ
- থেকে
- বসা
- অধিবেশন
- ধীর
- স্মার্ট
- So
- যতদূর
- সামাজিক
- সফটওয়্যার
- বিক্রীত
- কিছু
- কেউ
- কিছু
- সাউন্ডক্লাউড
- ভাষী
- প্রশিক্ষণ
- নির্দিষ্ট
- Spotify এর
- স্পাইওয়্যার
- পর্যায়
- মান
- শুরু
- শুরু হচ্ছে
- রাষ্ট্র
- স্টেশন
- স্টেশন
- থাকা
- অবিচলিত
- অপহৃত
- স্টপ
- গল্প
- শৈলী
- বিষয়
- জমা
- এমন
- উপযুক্ত
- সূর্য
- সরবরাহ
- অনুমিত
- পদ্ধতি
- গ্রহণ করা
- লাগে
- গল্প
- আলাপ
- কথা বলা
- লক্ষ্যবস্তু
- প্রযুক্তি
- টেকনিক্যালি
- বলে
- ধন্যবাদ
- ধন্যবাদ
- যে
- সার্জারির
- ভবিষ্যৎ
- তাদের
- তাহাদিগকে
- নিজেদের
- তারপর
- সেখানে।
- এইগুলো
- তারা
- জিনিস
- কিছু
- মনে
- তৃতীয়
- এই
- সেগুলো
- যদিও?
- দ্বারা
- সময়
- বার
- টাইমস্ট্যাম্প
- থেকে
- আজ
- একসঙ্গে
- টোকেন
- সরঞ্জাম
- শীর্ষ
- মোট
- ঐতিহ্যগত
- চেষ্টা
- আস্থা
- চেষ্টা
- মঙ্গলবার
- চালু
- পরিণত
- বাঁক
- দুই
- ধরনের
- সাধারণত
- অধীনে
- বোঝা
- বোধগম্য
- বোধগম্য
- দুর্ভাগ্যবশত
- অজানা
- পর্যন্ত
- আপডেট
- আপগ্রেড
- আপগ্রেড
- URL টি
- us
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারকারী
- ব্যবহার
- সাধারণত
- মানগুলি
- বিক্রেতা
- বিক্রেতারা
- Venmo
- প্রতিপাদন
- যাচাই
- সংস্করণ
- বনাম
- খুব
- মাধ্যমে
- শিকার
- ভার্চুয়াল
- কণ্ঠস্বর
- দুর্বলতা
- দুর্বলতা
- অপেক্ষা করুন
- প্রতীক্ষা
- প্রয়োজন
- চেয়েছিলেন
- যুদ্ধ-কৌশল
- ছিল
- ওয়াচ
- জলরোধী
- উপায়..
- we
- ওয়েব
- ওয়েবকিট
- ওয়েবসাইট
- সপ্তাহান্তিক কাল
- সপ্তাহ
- আমরা একটি
- গিয়েছিলাম
- ছিল
- কি
- যাই হোক
- কখন
- কিনা
- যে
- হু
- সমগ্র
- যাহার
- কেন
- ব্যাপক
- ইচ্ছা
- জানালা
- সঙ্গে
- শব্দ
- শব্দ
- হয়া যাই ?
- কাজ
- কাজ
- বিশ্ব
- কৌশল বিশ্ব
- চিন্তা
- would
- লেখা
- লেখা
- লিখেছেন
- বছর
- হাঁ
- এখনো
- আপনি
- আপনার
- নিজেকে
- জেন
- zephyrnet
- শূন্য