S3 Ep92: Log4Shell4Ever, ভ্রমণ টিপস, এবং প্রতারণা [অডিও + পাঠ্য]

যেকোন বিন্দুতে এড়িয়ে যেতে নীচের সাউন্ডওয়েভগুলিতে ক্লিক করুন এবং টেনে আনুন। আপনি এটিও করতে পারেন সরাসরি শুনুন সাউন্ডক্লাউডে।

DOUG.  Facebook কেলেঙ্কারী, চিরকালের জন্য Log4Shell এবং সাইবার নিরাপদ গ্রীষ্মের জন্য টিপস।

নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে স্বাগতম, সবাইকে।

আমি ডগ আমথ, এবং আমার সাথে, বরাবরের মতো, পল ডকলিন।

আপনি কিভাবে করবেন, পল?

---

হাঁস.  আমি সুপার-ডুপার, ডগলাস।

ইংল্যান্ডে এখানে একটু ঠান্ডা হতে শুরু করছি।

---

DOUG.  হ্যাঁ.

---

হাঁস.  আমি মনে করি আমি একটি সুন্দর বড় দেশের সাইকেল যাত্রায় যাওয়ার জন্য ভুল দিনটি বেছে নিয়েছি।

আমি যখন রওনা হলাম তখন এটি একটি ভাল ধারণা ছিল: "আমি জানি, আমি একটি সুন্দর দীর্ঘ যাত্রা করব, এবং তারপরে আমি শুধু ট্রেনটি বাড়ি পৌঁছে দেব, তাই আমি পডকাস্টের জন্য প্রচুর সময় বাড়িতে আছি।"

এবং যখন আমি সেখানে পৌঁছেছিলাম, প্রচণ্ড গরমের কারণে, ট্রেনগুলি প্রতি দুই ঘণ্টায় একবারই চলছিল এবং আমি একটি মিস করতাম।

তাই আমাকে সমস্ত পথ ফিরে রাইড করতে হয়েছিল… এবং আমি ঠিক সময়ে এটি তৈরি করেছি।

---

DOUG.  ঠিক আছে, আপনি এখানে যান... আপনি এবং আমি গ্রীষ্মের পুরো দোলনায় আছি, এবং আমাদের কাছে গ্রীষ্মকালীন সময়ের জন্য কিছু টিপস রয়েছে যা শোতে পরে আসছে।

তবে প্রথমে, আমি কথা বলতে চাই প্রযুক্তির ইতিহাসে এই সপ্তাহ.

এই সপ্তাহে, 1968 সালে, গর্ডন মুর (তিনি মুরের আইন), এবং রবার্ট নয়েস দ্বারা ইন্টেল কর্পোরেশন গঠিত হয়েছিল।

নয়েসকে ইন্টিগ্রেটেড সার্কিট বা মাইক্রোচিপের পথপ্রদর্শক হিসাবে কৃতিত্ব দেওয়া হয়।

ইন্টেলের প্রথম মাইক্রোপ্রসেসর হবে 4004, যা ক্যালকুলেটরগুলির জন্য ব্যবহৃত হত।

এবং, ক মজার ব্যাপার, Intel নামটি ইন্টিগ্রেটেড ইলেকট্রনিক্সের একটি ম্যাশআপ।

তাই… যে কোম্পানী চমত্কার ভাল পরিণত.

---

হাঁস.  হ্যাঁ!

আমি অনুমান করি, ন্যায্য হতে, হয়তো আপনি বলবেন, "সহ-অগ্রগামী"?

---

DOUG.  হ্যাঁ. আমার ছিল, "একজন অগ্রগামী।"

---

হাঁস.  টেক্সাস ইন্সট্রুমেন্টস-এর জ্যাক কিলবি, আমি মনে করি প্রথম ইন্টিগ্রেটেড সার্কিট নিয়ে এসেছি, কিন্তু তারপরও সার্কিটের অংশগুলিকে একত্রে সংযুক্ত করতে হবে।

এবং Noyce সেগুলিকে কীভাবে সিলিকনে বেক করা যায় সেই সমস্যার সমাধান করেছেন।

আমি আসলে জ্যাক কিলবার্নের একটি বক্তৃতায় অংশ নিয়েছিলাম, যখন আমি একজন নতুন কম্পিউটার বিজ্ঞানী ছিলাম।

একেবারে চিত্তাকর্ষক – আমেরিকায় 1950-এর দশকে গবেষণা!

এবং অবশ্যই, কিলবি বিখ্যাতভাবে নোবেল পুরস্কার পেয়েছিলেন, আমি মনে করি 2000 সালে।

কিন্তু রবার্ট নয়েস, আমি নিশ্চিত, যৌথ বিজয়ী হতেন, কিন্তু ততক্ষণে তিনি মারা গেছেন, এবং আপনি মরণোত্তর নোবেল পুরস্কার পেতে পারবেন না।

সুতরাং, নয়েস কখনও নোবেল পুরস্কার পাননি, এবং জ্যাক সেন্ট ক্লেয়ার কিলবি পেয়েছেন।

---

DOUG.  আচ্ছা, এটা অনেক দিন আগের কথা...

…এবং এখন থেকে অনেক সময়, আমরা এখনও Log4Shell সম্পর্কে কথা বলতে পারি...

---

হাঁস.  ওহ, প্রিয়, হ্যাঁ.

---

DOUG.  যদিও এটির জন্য একটি সমাধান আছে, মার্কিন যুক্তরাষ্ট্র বেরিয়ে এসেছে এবং বলেছে যে এই জিনিসটি হওয়ার কয়েক দশক আগে হতে পারে আসলে স্থির.

---

হাঁস.  আসুন ন্যায্য হতে দিন… তারা বলেছিল, "সম্ভবত এক দশক বা তার বেশি।"

এই নামক একটি শরীর সাইবার সিকিউরিটি রিভিউ বোর্ড, CSRB (হোমল্যান্ড সিকিউরিটি বিভাগের অংশ), যা এই বছরের শুরুতে গঠিত হয়েছিল।

আমি জানি না এটি বিশেষভাবে Log4Shell-এর কারণে তৈরি হয়েছিল, নাকি কেবলমাত্র সাপ্লাই চেইন সোর্স কোডের সমস্যাগুলি একটি বড় চুক্তিতে পরিণত হয়েছিল।

এবং Log4Shell একটি জিনিস হওয়ার প্রায় আট মাস পরে, তারা 42 পৃষ্ঠার এই প্রতিবেদনটি তৈরি করেছিল… একা এক্সিকিউটিভ সারাংশ প্রায় 3 পৃষ্ঠায় চলে।

এবং যখন আমি এটির দিকে প্রথম নজর দিলাম, তখন আমি ভেবেছিলাম, "ওহ, আমরা এখানে যাই।"

কিছু সরকারি কর্মচারীকে বলা হয়েছে, “আসুন, আপনার রিপোর্ট কোথায়? আপনি পর্যালোচনা বোর্ড. প্রকাশ কর কিংবা ধ্বংস কর!"

প্রকৃতপক্ষে, যদিও এর কিছু অংশ সত্যিই ভারী, আমি মনে করি আপনার এটির মাধ্যমে পড়া উচিত।

তারা কীভাবে একটি সফ্টওয়্যার বিক্রেতা হিসাবে, একজন সফ্টওয়্যার নির্মাতা হিসাবে, অন্য লোকেদের কাছে সফ্টওয়্যার সমাধান প্রদান করে এমন একটি সংস্থা হিসাবে কিছু জিনিস রেখেছিল, আসলে নিজেকে সহজে যোগাযোগ করা এতটা কঠিন নয়, যাতে লোকেরা যখন কিছু থাকে তখন আপনাকে জানাতে পারে আপনি উপেক্ষা করেছেন।

উদাহরণস্বরূপ, "আপনার কোডে এখনও একটি Log4J সংস্করণ রয়েছে যা আপনি বিশ্বের সেরা ইচ্ছার সাথে লক্ষ্য করেননি এবং আপনি ঠিক করেননি।"

কেন আপনি এমন কাউকে চাইবেন না যে আপনাকে সাহায্য করার চেষ্টা করছে যাতে আপনাকে খুঁজে পেতে এবং আপনার সাথে সহজে যোগাযোগ করতে সক্ষম হয়?

---

DOUG.  এবং তারা এমন জিনিস বলে যে… এই প্রথমটি এক ধরনের টেবিল স্টেক, কিন্তু এটি যে কারোর জন্যই ভালো, বিশেষ করে ছোট ব্যবসা যারা এটি নিয়ে ভাবেনি: একটি সম্পদ এবং অ্যাপ্লিকেশন ইনভেন্টরি তৈরি করুন, যাতে আপনি জানেন যে আপনি কোথায় দৌড়াচ্ছেন।

---

হাঁস.  তারা স্পষ্টভাবে হুমকি বা দাবি করে না, কারণ এই সরকারী কর্মচারীদের আইন তৈরি করা নয় (এটি আইনসভার উপর নির্ভর করে)… তবে আমি মনে করি তারা যা বলছে তা হল, “সেই ক্ষমতা বিকাশ করুন, কারণ আপনি যদি না করেন , অথবা আপনি বিরক্ত হতে পারেননি, বা আপনি এটি কীভাবে করবেন তা বুঝতে পারেন না, বা আপনি মনে করেন আপনার গ্রাহকরা লক্ষ্য করবেন না, অবশেষে আপনি দেখতে পাবেন যে আপনার কাছে খুব কম বা কোন বিকল্প নেই!”

বিশেষ করে যদি আপনি ফেডারেল সরকারের কাছে পণ্য বিক্রি করতে চান! [হাসি]

---

DOUG.  হ্যাঁ, এবং আমরা এর আগেও এই বিষয়ে কথা বলেছি... অন্য একটি জিনিস যা কিছু কোম্পানি এখনও চিন্তা করেনি, তবে এটি থাকা গুরুত্বপূর্ণ: একটি দুর্বলতা প্রতিক্রিয়া প্রোগ্রাম।

আপনার একটি দুর্বলতা আছে যে ক্ষেত্রে কি ঘটবে?

আপনি কি পদক্ষেপ নিতে?

সেগুলি মোকাবেলা করার জন্য আপনি কোন গেম প্ল্যানটি অনুসরণ করেন?

---

হাঁস.  হ্যাঁ, এটিই আমি আগে ইঙ্গিত করেছিলাম।

এর সহজ অংশটি হ'ল আপনার সংস্থায় তারা কোথায় রিপোর্ট পাঠায় তা খুঁজে বের করার জন্য আপনার কেবল একটি সহজ উপায় দরকার… এবং তারপরে আপনাকে একটি সংস্থা হিসাবে অভ্যন্তরীণভাবে একটি প্রতিশ্রুতি দিতে হবে যে আপনি যখন রিপোর্ট পাবেন, আপনি আসলে কাজ করবেন। তাদের উপর.

আমি যেমন বলেছি, শুধু কল্পনা করুন যে আপনি এই বড় জাভা টুলকিটটি পেয়েছেন যা আপনি বিক্রি করছেন, প্রচুর উপাদান সহ একটি বড় অ্যাপ এবং ব্যাক-এন্ড সিস্টেমগুলির মধ্যে একটিতে, এই বড় জাভা জিনিসটি রয়েছে।

এবং সেখানে, কল্পনা করুন যে এখনও একটি দুর্বল Log4J আছে .JAR ফাইল যা আপনি উপেক্ষা করেছেন।

আপনি কেন চান না যে ব্যক্তি এটি আবিষ্কার করেছে সে আপনাকে দ্রুত এবং সহজে বলতে সক্ষম হোক, এমনকি একটি সাধারণ ইমেল দিয়েও?

আপনি যতবার টুইটারে যান এবং আপনি সুপরিচিত সাইবারসিকিউরিটি গবেষকদের বলছেন, "আরে, কেউ কি জানেন কিভাবে XYZ কর্পোরেশনের সাথে যোগাযোগ করতে হয়?"

আমাদের কি এমন একজন লোকের পডকাস্টে মামলা ছিল না যে শেষ পর্যন্ত… আমার মনে হয় সে টিকটক বা এরকম কিছুতে গিয়েছিল [হাসি] কারণ সে খুঁজে বের করতে পারেনি কিভাবে এই কোম্পানির সাথে যোগাযোগ করবেন।

এবং তিনি একটি ভিডিও তৈরি করেছেন এই বলে, "আরে বন্ধুরা, আমি জানি আপনি আপনার সোশ্যাল মিডিয়া ভিডিওগুলি পছন্দ করেন, আমি আপনাকে এই বাগ সম্পর্কে বলার চেষ্টা করছি।"

এবং অবশেষে তারা এটি লক্ষ্য করেছে।

তিনি যদি আপনার কোম্পানির ডট কম স্ল্যাশ নিরাপত্তা ডট txt-এ যেতে পারতেন, উদাহরণস্বরূপ, এবং একটি ইমেল ঠিকানা খুঁজে পেতেন!

"সেখানেই আমরা আপনাকে আমাদের সাথে যোগাযোগ করতে পছন্দ করব। অথবা আমরা এই প্রোগ্রামের মাধ্যমে বাগ বাউন্টি করি... আপনি কীভাবে এটির জন্য সাইন আপ করবেন তা এখানে। আপনি যদি বেতন পেতে চান।"

এটা এত কঠিন নয়!

এবং এর মানে হল যে কেউ আপনাকে জানাতে চায় যে আপনার কাছে একটি বাগ আছে যা আপনি হয়তো ভেবেছিলেন আপনি ঠিক করেছেন আপনাকে বলতে পারেন।

---

DOUG.  আমি এই নিবন্ধে dismount ভালোবাসি না!

আপনি লেখেন এবং আপনি জন এফ. কেনেডি চ্যানেলে বলেন, [কেনেডি ভয়েস] “অন্য সবাই আপনার জন্য কী করতে পারে তা জিজ্ঞাসা করবেন না, তবে আপনি নিজের জন্য কী করতে পারেন তা নিয়ে ভাবুন, কারণ আপনার যে কোনো উন্নতি প্রায় নিশ্চিতভাবেই অন্য সবার জন্য উপকৃত হবে। "

ঠিক আছে, আপনি যদি এটি সম্পর্কে পড়তে চান তবে এটি সাইটেই রয়েছে… আপনি যদি এমন কোনও অবস্থানে থাকেন যা আপনাকে এই জিনিসগুলির মধ্যে একটির সাথে মোকাবিলা করতে হবে তবে এটি পড়তে হবে।

এটি একটি ভাল পড়া… অন্তত তিন পৃষ্ঠার সারাংশ পড়ুন, যদি 42-পৃষ্ঠার প্রতিবেদনটি না হয়।

---

হাঁস.  হ্যাঁ, এটি দীর্ঘ, তবে আমি এটি আশ্চর্যজনকভাবে চিন্তাশীল বলে মনে করেছি এবং আমি খুব আনন্দদায়কভাবে অবাক হয়েছি।

এবং আমি ভেবেছিলাম যদি লোকেরা এটি পড়ে এবং এলোমেলো লোকেরা এটির এক দশমাংশ হৃদয়ে নিয়ে যায়…

…আমাদের সম্মিলিতভাবে একটি ভাল জায়গায় থাকা উচিত।

---

DOUG.  ঠিক আছে, ডান বরাবর চলন্ত.

এটি গ্রীষ্মের ছুটির মরসুম, এবং এতে প্রায়শই আপনার গ্যাজেটগুলি আপনার সাথে নিয়ে যাওয়া জড়িত৷

আমাদের কিছু আছে উপভোগ করার জন্য টিপস আপনার গ্রীষ্মের ছুটি ছাড়া, ভুল, এটা "আনন্দ না".

---

হাঁস.  “আমাদের কয়টি গ্যাজেট নেওয়া উচিত? [ড্রামাটিক] তাদের সব প্যাক করুন!”

দুঃখের বিষয়, আপনি যত বেশি গ্রহণ করবেন, আপনার ঝুঁকি তত বেশি হবে, আলগাভাবে বলা হচ্ছে।

---

DOUG.  এখানে আপনার প্রথম টিপ হল আপনি আপনার সমস্ত গ্যাজেট প্যাক করছেন… আপনি যাত্রা করার আগে একটি ব্যাকআপ নেওয়া উচিত?

উত্তরটি অনুমান করা হচ্ছে, "হ্যাঁ!"

---

হাঁস.  আমি মনে করি এটি বেশ সুস্পষ্ট।

সবাই জানে আপনার একটি ব্যাকআপ করা উচিত, কিন্তু তারা এটি বন্ধ করে দিয়েছে।

তাই আমি ভেবেছিলাম যে এটি আমাদের ছোট ম্যাক্সিম বা সত্যবাদিতাকে ট্রুট করার একটি সুযোগ: "আপনি যে ব্যাকআপটি তৈরি করেননি তা হল একমাত্র ব্যাকআপ যা আপনি কখনও আফসোস করবেন।"

এবং আপনি একটি ডিভাইস ব্যাক আপ করেছেন কিনা তা নিশ্চিত করার বিষয়ে অন্য জিনিস - সেটি একটি ক্লাউড অ্যাকাউন্টে যা আপনি তারপর লগ আউট করেন, বা এটি একটি অপসারণযোগ্য ড্রাইভে যা আপনি এনক্রিপ্ট করে আলমারিতে কোথাও রাখেন - এর অর্থ হল আপনি ডিভাইসে আপনার ডিজিটাল পদচিহ্ন ছিন্ন করতে পারে।

কেন এটি একটি ভাল ধারণা হতে পারে তা আমরা জানতে পারব... শুধু তাই আপনার কাছে আপনার পুরো ডিজিটাল জীবন এবং ইতিহাস নেই।

মোদ্দা কথা হল একটি ভাল ব্যাকআপ নেওয়ার মাধ্যমে, এবং তারপরে ফোনে আপনার আসলে যা আছে তা পাতলা করে, যদি আপনি এটি হারিয়ে ফেলেন তবে ভুল হওয়ার সম্ভাবনা কম থাকে; যদি এটি বাজেয়াপ্ত হয়; অভিবাসন কর্মকর্তারা যদি এটি দেখতে চান; এটা যাই হোক না কেন.

---

DOUG.  এবং, কিছুটা ঘোরাঘুরির সাথে সম্পর্কিত, আপনি আপনার ল্যাপটপ এবং বা আপনার মোবাইল ফোন হারাতে পারেন... তাই আপনার সেই ডিভাইসগুলি এনক্রিপ্ট করা উচিত।

---

হাঁস.  হ্যাঁ.

এখন, বেশিরভাগ ডিভাইস আজকাল ডিফল্টরূপে এনক্রিপ্ট করা হয়।

এটি অবশ্যই অ্যান্ড্রয়েডের জন্য সত্য; এটা অবশ্যই iOS এর জন্য সত্য; আর আমি মনে করি আজকাল আপনি যখন উইন্ডোজ ল্যাপটপ পাবেন, তখন বিটলকার আছে।

আমি একজন উইন্ডোজ ব্যবহারকারী নই, তাই আমি নিশ্চিত নই... তবে অবশ্যই, আপনার উইন্ডোজ হোম সংস্করণ থাকলেও (যা বিরক্তিকর, এবং আমি আশা করি ভবিষ্যতে এটি পরিবর্তন হবে, বিরক্তিকরভাবে আপনাকে অপসারণযোগ্য ড্রাইভে বিটলকার ব্যবহার করতে দেয় না) … এটি আপনাকে আপনার হার্ড ডিস্কে BitLocker ব্যবহার করতে দেয়।

কেন না?

কারণ এর মানে হল যে আপনি যদি এটি হারিয়ে ফেলেন, বা এটি বাজেয়াপ্ত হয়ে যায়, বা আপনার ল্যাপটপ বা ফোন চুরি হয়ে যায়, তবে এটি কেবল একটি ঘটনা নয় যে একজন দুর্বৃত্ত আপনার ল্যাপটপটি খুলবে, হার্ডডিস্কটি আনপ্লাগ করবে, এটি অন্য কম্পিউটারে প্লাগ করবে এবং এটি থেকে সমস্ত কিছু পড়বে। , এটার মতই.

কেন সতর্কতা অবলম্বন করবেন না?

এবং, অবশ্যই, একটি ফোনে, সাধারণত এটি প্রি-এনক্রিপ্ট করা থাকায়, এনক্রিপশন কীগুলি আপনার লক কোড দ্বারা পূর্বে তৈরি এবং সুরক্ষিত থাকে।

যাবেন না, "ঠিক আছে, আমি রাস্তায় থাকব, আমার চাপের মধ্যে থাকতে পারে, আমার তাড়াহুড়ার প্রয়োজন হতে পারে… আমি শুধু ব্যবহার করব 1234 or 0000 ছুটির সময়কালের জন্য।"

যে না!

আপনার ফোনের লক কোডটি ফোনের ডেটার জন্য প্রকৃত ফুল-অন এনক্রিপশন এবং ডিক্রিপশন কীগুলি পরিচালনা করে৷

তাই একটি দীর্ঘ লক কোড বাছাই করুন... আমি দশ সংখ্যা বা তার বেশি সংখ্যার সুপারিশ করছি।

এটি সেট করুন এবং এটিকে কয়েক দিনের জন্য বাড়িতে ব্যবহার করার অনুশীলন করুন, আপনি চলে যাওয়ার আগে এক সপ্তাহের জন্য, যতক্ষণ না এটি দ্বিতীয় প্রকৃতির হয়।

শুধু যাবেন না, 1234 যথেষ্ট ভাল, অথবা "ওহ, আমার কাছে একটি দীর্ঘ লক কোড আছে... আমি যাব 0000 0000, এটা *আট* অক্ষর, কেউ কখনো এটা ভাববে না!”

---

DOUG.  ঠিক আছে, এবং এটি একটি সত্যিই আকর্ষণীয়: লোকেদের জাতীয় সীমানা অতিক্রম করার বিষয়ে আপনার কিছু পরামর্শ আছে।

---

হাঁস.  হ্যাঁ, আজকাল এটি একটি সমস্যা হয়ে দাঁড়িয়েছে।

কারণ অনেক দেশ - আমি মনে করি তাদের মধ্যে মার্কিন যুক্তরাষ্ট্র এবং যুক্তরাজ্য, কিন্তু তারা কোনোভাবেই একমাত্র নয় - বলতে পারে, "দেখুন, আমরা আপনার ডিভাইসটি দেখতে চাই৷ আপনি কি এটি আনলক করবেন, দয়া করে?"

এবং আপনি যান, "না, অবশ্যই না! এটা ব্যাক্তিগত! তোমার এটা করার কোন অধিকার নেই!”

ঠিক আছে, হয়তো তারা করে, এবং হয়ত তারা করে না... আপনি এখনও দেশে নেই।

এটি "আমার রান্নাঘর, আমার নিয়ম", তাই তারা বলতে পারে, "ঠিক আছে, ঠিক আছে, *আপনার* প্রত্যাখ্যান করার অধিকার আছে... কিন্তু তারপর *আমরা* আপনার ভর্তি প্রত্যাখ্যান করতে যাচ্ছি। এখানে আগমন লাউঞ্জে অপেক্ষা করুন যতক্ষণ না আমরা আপনাকে পরবর্তী ফ্লাইটে বাড়ি যাওয়ার জন্য প্রস্থান লাউঞ্জে স্থানান্তর করতে পারি!”

মূলত, কী ঘটতে চলেছে তা নিয়ে *চিন্তা* করবেন না, যেমন "সীমান্তে তথ্য প্রকাশ করতে বাধ্য হতে পারি।"

*দেখুন* প্রবেশের শর্তগুলি কী... আপনি যে দেশে যাচ্ছেন সেই দেশে গোপনীয়তা এবং নজরদারির নিয়ম।

এবং যদি আপনি সত্যিই তাদের পছন্দ না করেন, তাহলে সেখানে যাবেন না! যেতে অন্য কোথাও খুঁজুন.

অথবা কেবল দেশে প্রবেশ করুন, সত্য বলুন এবং আপনার ডিজিটাল পদচিহ্ন হ্রাস করুন।

যেমনটি আমরা ব্যাকআপের সাথে বলছিলাম... আপনি যত কম "ডিজিটাল জীবন" আপনার সাথে বহন করবেন, তত কম ভুল হবে এবং আপনি এটি হারাবেন এমন সম্ভাবনা তত কম।

সুতরাং, "প্রস্তুত থাকুন" আমি যা বলছি তা।

---

DOUG.  ঠিক আছে, এবং এটি একটি ভাল: সর্বজনীন Wi-Fi, এটি কি নিরাপদ নাকি অনিরাপদ?

এটা নির্ভর করে, আমি অনুমান?

---

হাঁস.  হ্যাঁ.

অনেক লোক বলছে, "গলি, আপনি যদি পাবলিক ওয়াই-ফাই ব্যবহার করেন তবে আপনি ধ্বংস হয়ে যাবেন!"

অবশ্যই, আমরা সবাই বছরের পর বছর ধরে পাবলিক ওয়াই-ফাই ব্যবহার করছি।

আমি এমন কাউকে চিনি না যে আসলে হ্যাক হওয়ার ভয়ে এটি ব্যবহার করা বন্ধ করে দিয়েছে, তবে আমি জানি লোকেরা যায়, "ঠিক আছে, আমি জানি ঝুঁকিগুলি কী। যে রাউটার যে কারোর মালিকানাধীন হতে পারে. এটা কিছু crooks থাকতে পারে; এটি একটি অসাধু কফি শপ অপারেটর থাকতে পারে; অথবা এটা হতে পারে যে কেউ এটি হ্যাক করেছে যারা গত মাসে এখানে ছুটিতে ছিল কারণ তারা ভেবেছিল যে এটি ভয়ানক মজার ছিল এবং এটি ডেটা ফাঁস করছে কারণ 'হা হা হা'।

কিন্তু আপনি যদি এন্ড-টু-এন্ড এনক্রিপশন আছে এমন অ্যাপ ব্যবহার করেন এবং আপনি যদি HTTPS এমন সাইট ব্যবহার করেন যাতে সেগুলি আপনার ডিভাইস এবং অন্য প্রান্তের মধ্যে এন্ড-টু-এন্ড এনক্রিপ্ট করা থাকে, তাহলে এর যথেষ্ট সীমাবদ্ধতা রয়েছে এমনকি একটি সম্পূর্ণ হ্যাক রাউটার কি প্রকাশ করতে পারে।

কারণ কোনো ম্যালওয়্যার যা পূর্ববর্তী দর্শক দ্বারা ইমপ্লান্ট করা হয়েছে তা *রাউটার* এ ইমপ্লান্ট করা হবে, *আপনার ডিভাইসে* নয়।

---

DOUG.  ঠিক আছে, পরবর্তী… যাকে আমি কদাচিৎ পরিষ্কার করা পাবলিক টয়লেটের কম্পিউটিং সংস্করণ বলে মনে করি।

আমি কি বিমানবন্দর বা হোটেলে কিয়স্ক পিসি ব্যবহার করব?

সাইবার সিকিউরিটি বাদ দিয়ে… শুধু সেই নোংরা, নোংরা কীবোর্ড এবং মাউসের ওপর হাত পাতছে এমন লোকের সংখ্যা!

---

হাঁস.  ঠিক.

সুতরাং, এটি "আমার কি পাবলিক ওয়াই-ফাই ব্যবহার করা উচিত?"

আমার কি হোটেলে বা বিমানবন্দরে একটি Kkiosk পিসি ব্যবহার করা উচিত?

হ্যাক করা একটি Wi-Fi রাউটার এবং হ্যাক করা একটি কিয়স্ক পিসির মধ্যে বড় পার্থক্য হল যে আপনার ট্র্যাফিক যদি একটি আপস করা রাউটারের মাধ্যমে এনক্রিপ্ট করা হয় তবে এটি আপনার উপর কতটা গুপ্তচরবৃত্তি করতে পারে তার একটি সীমা রয়েছে।

কিন্তু যদি আপনার ট্র্যাফিক হ্যাক করা বা আপস করা কিয়স্ক কম্পিউটার থেকে উদ্ভূত হয়, তাহলে মূলত, সাইবার নিরাপত্তার দৃষ্টিকোণ থেকে, *এটি 100% গেম ওভার*।

অন্য কথায়, সেই কিয়স্ক পিসিতে এনক্রিপ্ট হওয়ার আগে *ইন্টারনেটে আপনি যে সমস্ত ডেটা পাঠান এবং গ্রহণ করেন* তাতে নিরঙ্কুশ অ্যাক্সেস থাকতে পারে (এবং আপনি যে জিনিসগুলি ফেরত পাবেন তার পরে ডিক্রিপ্ট করা হবে)।

তাই এনক্রিপশন মূলত অপ্রাসঙ্গিক হয়ে ওঠে।

*আপনার টাইপ করা প্রতিটি কীস্ট্রোক*... আপনার ধরে নেওয়া উচিত যে এটি ট্র্যাক করা হচ্ছে।

*প্রতিবার স্ক্রিনে কিছু থাকে*... আপনার ধরে নেওয়া উচিত যে কেউ একটি স্ক্রিনশট নিতে পারে।

*আপনি যা কিছু প্রিন্ট করেন*... আপনার অনুমান করা উচিত যে কিছু লুকানো ফাইলে একটি অনুলিপি তৈরি করা হয়েছে।

তাই আমার পরামর্শ হল সেই কিয়স্ক পিসিগুলিকে একটি প্রয়োজনীয় মন্দ হিসাবে বিবেচনা করুন এবং যদি আপনার সত্যিই প্রয়োজন হয় তবেই সেগুলি ব্যবহার করুন।

---

DOUG.  হ্যাঁ, আমি গত সপ্তাহান্তে একটি হোটেলে ছিলাম যেখানে একটি কিয়স্ক পিসি ছিল, এবং কৌতূহল আমার থেকে ভালো হয়ে গিয়েছিল।

আমি উঠে গেলাম... এটি উইন্ডোজ 10 চালাচ্ছে, এবং আপনি এটিতে যেকোনো কিছু ইনস্টল করতে পারেন।

এটা লক ডাউন ছিল না, এবং যারা আগে ব্যবহার করেছে তারা ফেসবুক থেকে লগ আউট করেনি!

এবং এটি একটি চেইন হোটেল যা আরও ভালভাবে জানা উচিত ছিল… তবে এটি কেবল একটি প্রশস্ত উন্মুক্ত ব্যবস্থা যা থেকে কেউ লগ আউট করেনি; সাইবার ক্রাইমের একটি সম্ভাব্য সেসপুল ঘটতে অপেক্ষা করছে।

---

হাঁস.  তাই আপনি শুধু একটি USB স্টিক প্লাগ ইন করতে পারেন এবং তারপর যেতে পারেন, "কিলগার ইনস্টল করুন"?

---

DOUG.  হ্যাঁ!

---

হাঁস.  "নেটওয়ার্ক স্নিফার ইনস্টল করুন।"

---

DOUG.  আহ হাহ!

---

হাঁস.  "রুটকিট ইনস্টল করুন।"

---

DOUG.  হ্যাঁ!

---

হাঁস.  "ওয়ালপেপারে জ্বলন্ত মাথার খুলি রাখুন।"

---

DOUG.  না, ধন্যবাদ!

এই পরবর্তী প্রশ্নের একটি দুর্দান্ত উত্তর নেই…

স্পাইক্যাম এবং হোটেল রুম এবং Airbnbs সম্পর্কে কি?

এগুলো খুঁজে পাওয়া কঠিন।

---

হাঁস.  হ্যাঁ, আমি এটি রেখেছি কারণ এটি এমন একটি প্রশ্ন যা আমরা নিয়মিত জিজ্ঞাসা করি।

আমরা অঘোষিত স্পাই ক্যামেরার তিনটি ভিন্ন উদাহরণ লিখেছি। (এটি এক ধরণের টোটোলজি, তাই না?)

একজন অস্ট্রেলিয়ার একটি ফার্ম ওয়ার্ক হোস্টেলে ছিল, যেখানে এই চ্যাপ ভিজিটর ভিসায় লোকেদের আমন্ত্রণ জানাচ্ছিল যাদেরকে খামারের কাজ করার অনুমতি দেওয়া হয়েছে, "আমি আপনাকে থাকার জায়গা দেব।"

দেখা গেল তিনি একজন পিপিং টম।

একজন আয়ারল্যান্ডের একটি এয়ারবিএনবি হাউসে ছিলেন।

এটি এমন একটি পরিবার যারা নিউজিল্যান্ড থেকে সমস্ত পথ ভ্রমণ করেছিল, তাই তারা কেবল গাড়িতে উঠে বাড়ি যেতে পারেনি, হাল ছেড়ে দিতে পারে!

এবং অন্যটি দক্ষিণ কোরিয়ার একটি প্রকৃত হোটেল ছিল… এটি সত্যিই ভয়ঙ্কর ছিল।

আমি মনে করি না যে চেইনটি হোটেলটির মালিক ছিল, এটি কিছু দুর্নীতিবাজ কর্মচারী বা অন্য কিছু ছিল।

তারা কক্ষে স্পাই ক্যামেরা লাগিয়েছে, এবং আমি তোমাকে বাচ্চা না, ডগ... তারা আসলে বিক্রি করছিল, মূলত, প্রতি-ভিউ-পে।

আমি বলতে চাচ্ছি, এটা কতটা ভয়ঙ্কর?

সুসংবাদ, এই দুটি ক্ষেত্রে, অপরাধীদের প্রকৃতপক্ষে গ্রেপ্তার করা হয়েছিল এবং অভিযুক্ত করা হয়েছিল, তাই এটি তাদের জন্য খারাপভাবে শেষ হয়েছিল, যা একেবারে সঠিক।

সমস্যা হল... যদি আপনি Airbnb গল্পটি পড়েন (আমরা নেকেড সিকিউরিটির একটি লিঙ্ক পেয়েছি) যে লোকটি তার পরিবারের সাথে সেখানে ছিল সে আসলে একজন এটি ব্যক্তি, একজন সাইবার নিরাপত্তা বিশেষজ্ঞ।

এবং তিনি লক্ষ্য করেছেন যে কক্ষগুলির একটিতে (আপনাকে ঘোষণা করতে হবে যে Airbnb-এ কোনও ক্যামেরা আছে কিনা, দৃশ্যত) দুটি ধোঁয়া অ্যালার্ম রয়েছে।

আপনি কখন দুটি স্মোক অ্যালার্ম দেখতে পান? আপনি শুধুমাত্র একটি প্রয়োজন.

এবং তাই তিনি তাদের একজনের দিকে তাকাতে শুরু করলেন, এবং এটি একটি ধোঁয়া অ্যালার্মের মতো লাগছিল।

অন্যটি, ভাল, যে ছোট গর্তটিতে এলইডি রয়েছে যা জ্বলজ্বল করে তা জ্বলে উঠছে না।

এবং যখন তিনি উঁকি দিয়ে দেখলেন, তিনি ভাবলেন, "এটি দেখায় সন্দেহজনকভাবে একটি লেন্সের মতো একটি ক্যামেরার জন্য!"

এবং এটি ছিল, আসলে, একটি স্পাই ক্যামেরা একটি ধোঁয়া অ্যালার্ম হিসাবে ছদ্মবেশে।

স্বত্বাধিকারী এটিকে নিয়মিত ওয়াই-ফাইয়ের সাথে সংযুক্ত করেছিলেন, তাই তিনি একটি নেটওয়ার্ক স্ক্যান করে এটি খুঁজে পেতে সক্ষম হন… Nmap এর মতো একটি টুল ব্যবহার করে বা এরকম কিছু।

তিনি এই ডিভাইসটি খুঁজে পান এবং যখন তিনি এটিকে পিং করেন, তখন এটির নেটওয়ার্ক স্বাক্ষর থেকে এটি বেশ স্পষ্ট ছিল যে এটি আসলে একটি ওয়েবক্যাম, যদিও একটি ধোঁয়া অ্যালার্মে লুকানো একটি ওয়েবক্যাম।

তাই সে ভাগ্যবান।

তিনি কী খুঁজে পেয়েছেন সে সম্পর্কে আমরা একটি নিবন্ধ লিখেছিলাম, লিঙ্ক এবং ব্যাখ্যা করে সে সময়ে সে কী ব্লগ করেছিল৷

এটি 2019 সালে ফিরে এসেছে, তাই এটি তিন বছর আগে, তাই প্রযুক্তি সম্ভবত তখন থেকে আরও কিছুটা এগিয়ে এসেছে।

যাইহোক, তিনি দেখতে অনলাইনে গিয়েছিলেন, "আমি যেখানে থাকব সেখানে আমার ক্যামেরা খোঁজার আসলে কী সুযোগ আছে?"

এবং তিনি একটি স্পাই ক্যামেরা জুড়ে এসেছিলেন - আমি কল্পনা করি ছবির গুণমানটি বেশ ভয়ঙ্কর হবে, তবে এটি এখনও একটি *কাজ করা ডিজিটাল স্পাই ক্যামেরা*...। ওয়্যারলেস নয়, আপনাকে এটিতে তারের করতে হবে - এম্বেড করা *ফিলিপস-হেড স্ক্রু*, ডগ!

---

DOUG.  অ্যামেজিং।

---

হাঁস.  আক্ষরিক অর্থে আপনি কভার প্লেটে যে ধরণের স্ক্রু পাবেন যা আপনি একটি হালকা সুইচে পাবেন, বলুন, সেই আকারের স্ক্রু।

অথবা আপনি পাওয়ার আউটলেট কভার প্লেটে যে স্ক্রু পান… নিয়মিত, শালীন আকারের একটি ফিলিপস-হেড স্ক্রু।

---

DOUG.  আমি এখন তাদের অ্যামাজনে খুঁজছি!

"পিনহোল স্ক্রু ক্যামেরা", $20 এর জন্য।

---

হাঁস.  যদি এটি একই নেটওয়ার্কের সাথে সংযুক্ত না হয়, অথবা যদি এটি এমন একটি ডিভাইসের সাথে সংযুক্ত থাকে যা শুধুমাত্র একটি SD কার্ডে রেকর্ড করে, তবে এটি খুঁজে পাওয়া খুব কঠিন হবে!

সুতরাং, দুঃখজনকভাবে, এই প্রশ্নের উত্তর… যে কারণে আমি ছয়টি প্রশ্ন লিখিনি, "আমি যে ঘরে ছিলাম সেখানে স্পাইক্যামগুলি কীভাবে খুঁজে পাব?"

উত্তর হল যে আপনি চেষ্টা করতে পারেন, কিন্তু দুর্ভাগ্যবশত, এটি সম্পূর্ণ "প্রমাণের অনুপস্থিতি অনুপস্থিতির প্রমাণ নয়" জিনিস।

দুর্ভাগ্যবশত, আমাদের কাছে এমন পরামর্শ নেই যা বলে, "একটি ছোট গিজমো আছে যা আপনি একটি মোবাইল ফোনের আকার কিনতে পারেন৷ আপনি একটি বোতাম টিপুন এবং রুমে একটি স্পাইক্যাম থাকলে এটি ব্লিপ হয়ে যায়।"

---

DOUG.  ঠিক আছে. আপনারা যারা নিজেদের সাহায্য করতে পারেন না তাদের জন্য আমাদের চূড়ান্ত পরামর্শ: "আমি ছুটিতে যাচ্ছি, কিন্তু আমি যদি আমার কাজের ল্যাপটপটি সাথে নিয়ে যেতে চাই?"

---

হাঁস.  আমি এর উত্তর দিতে পারি না।

আপনি এর উত্তর দিতে পারবেন না।

এটি আপনার ল্যাপটপ নয়, এটি কাজের ল্যাপটপ।

সুতরাং, সহজ উত্তর হল, "জিজ্ঞাসা করুন!"

এবং যদি তারা বলে, "আপনি কোথায় যাচ্ছেন?", এবং আপনি দেশের নাম দেন এবং তারা বলে, "না"...

…তাহলে সেটাই, আপনি এটাকে সাথে নিয়ে যেতে পারবেন না।

হয়তো শুধু বলুন, "দারুণ, আমি কি এখানে রেখে যেতে পারি? আমি ফিরে না আসা পর্যন্ত আপনি কি এটি আইটি আলমারিতে লক করে রাখতে পারবেন?"

আপনি যদি যান এবং IT-কে জিজ্ঞাসা করেন, "আমি কান্ট্রি এক্স-তে যাচ্ছি। আমি যদি আমার কাজের ল্যাপটপটি সঙ্গে নিয়ে যাই, আপনার কি কোনো বিশেষ সুপারিশ আছে?"...

…তাদের শুনুন!

কারণ যদি কাজ মনে করে যে আপনি যে জায়গায় যাচ্ছেন সেখানে গোপনীয়তা এবং নজরদারি সম্পর্কে আপনার জানা উচিত এমন কিছু আছে, সেগুলি সম্ভবত আপনার বাড়ির জীবনে প্রযোজ্য।

---

DOUG.  ঠিক আছে, এটি একটি দুর্দান্ত নিবন্ধ…এটির বাকি অংশটি পড়ুন।

---

হাঁস.  আমি যে দুটি জিঙ্গেল দিয়ে শেষ করেছি তার জন্য আমি খুব গর্বিত!

---

DOUG.  হ্যাঁ!

আমরা শুনেছি, "যদি সন্দেহ থাকে তবে তা দেবেন না।"

তবে এটি একটি নতুন যা আপনি নিয়ে এসেছেন, যা আমি সত্যিই পছন্দ করি…।

---

হাঁস.  "যদি আপনার জীবন আপনার ফোনে থাকে / কেন এটি বাড়িতে রেখে যাবেন না?"

---

DOUG.  হ্যাঁ, আপনি সেখানে যান!

ঠিক আছে, সময়ের স্বার্থে, সাইটে আমাদের আরেকটি নিবন্ধ রয়েছে যা আমি আপনাকে পড়ার জন্য অনুরোধ করছি। একে বলা হয়: ফেসবুক 2FA স্ক্যামাররা ফিরে আসে, এই সময় মাত্র 21 মিনিটে।

এটি একই স্ক্যাম যা 28 মিনিট সময় নেয়, তাই তারা এই কেলেঙ্কারী থেকে সাত মিনিট কামানো করেছে।

এবং আমরা এই পোস্ট সম্পর্কে একটি পাঠক প্রশ্ন আছে.

পাঠক পিটার লিখেছেন, অংশে: “আপনি কি সত্যিই এই জিনিসগুলি কাকতালীয় মনে করেন? আমি সম্প্রতি আমার শ্বশুরের ব্রিটিশ টেলিকম ব্রডব্যান্ড চুক্তি পরিবর্তন করতে সাহায্য করেছি এবং যেদিন পরিবর্তনটি এগিয়ে গিয়েছিল, সেদিন তিনি ব্রিটিশ টেলিকম থেকে একটি ফিশিং টেলিফোন কল করেছিলেন। স্পষ্টতই, এটি যে কোনও দিন ঘটতে পারে, তবে এর মতো জিনিসগুলি আপনাকে সময় সম্পর্কে বিস্মিত করে তোলে। পল…”

---

হাঁস.  হ্যাঁ, আমরা সবসময় এমন লোক পাই যারা যায়, "আপনি কি জানেন? আমি এই কেলেঙ্কারীগুলির মধ্যে একটি পেয়েছি ..."

এটি একটি ফেসবুক পেজ বা ইনস্টাগ্রাম কপিরাইট সম্পর্কে হোক বা, এই চ্যাপের বাবার মতো, টেলিকম সম্পর্কিত… “আমি এমন কিছু করার পর খুব সকালে স্ক্যাম পেয়েছি যা কেলেঙ্কারীটি সম্পর্কে সরাসরি সম্পর্কিত। এটা নিশ্চয়ই কাকতালীয় নয়?”

এবং আমি মনে করি বেশিরভাগ লোকের জন্য, কারণ তারা নেকেড সিকিউরিটি নিয়ে মন্তব্য করছে, তারা বুঝতে পারে এটি একটি কেলেঙ্কারী, তাই তারা বলছে, "নিশ্চয়ই বদমাশরা জানত?"

অন্য কথায়, কিছু ভিতরের তথ্য থাকতে হবে।

এর ফ্লিপসাইড হ'ল লোকেরা যারা *না* বুঝতে পারে যে এটি একটি কেলেঙ্কারী, এবং নেকেড সিকিউরিটি সম্পর্কে মন্তব্য করবে না, তারা যায়, "ওহ, ভাল, এটি একটি কাকতালীয় হতে পারে না, তাই এটি অবশ্যই সত্যিকারের হতে হবে!"

বেশিরভাগ ক্ষেত্রে, আমার অভিজ্ঞতায়, এটি একেবারে কাকতালীয়ভাবে, কেবলমাত্র আয়তনের ভিত্তিতে।

তাই মোদ্দা কথা হল যে বেশিরভাগ ক্ষেত্রেই, আমি নিশ্চিত যে এই স্ক্যামগুলি যা আপনি পান, সেগুলি কাকতালীয়, এবং দুর্বৃত্তরা এই সত্যটির উপর নির্ভর করছে যে আপনি যখন অনেককে এতগুলি ইমেল পাঠাতে পারেন তখন সেই কাকতালীয় ঘটনাগুলি "তৈরি করা" সহজ। মানুষ এত সহজে।

এবং আপনি *সবাইকে* প্রতারণা করার চেষ্টা করছেন না, আপনি কেবল *কাউকে* প্রতারণা করার চেষ্টা করছেন।

এবং ডগ, যদি আমি এটিকে শেষ পর্যন্ত চেপে দিতে পারি: "একটি পাসওয়ার্ড ম্যানেজার ব্যবহার করুন!"

কারণ তারপরে আপনি ভুল করে ভুল সাইটে সঠিক পাসওয়ার্ড দিতে পারবেন না এবং এটি আপনাকে সেই স্ক্যামগুলির সাথে ব্যাপকভাবে সাহায্য করে, সেগুলি কাকতালীয় হোক বা না হোক।

---

DOUG.  ঠিক আছে, বরাবরের মতো খুব ভাল!

মন্তব্যের জন্য আপনাকে ধন্যবাদ, পিটার.

যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।

আপনি tips@sophos.com-এ ইমেল করতে পারেন, আপনি আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @nakedsecurity.

এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য অনেক ধন্যবাদ

পল ডকলিনের জন্য, আমি ডগ আমথ, আপনাকে মনে করিয়ে দিচ্ছি, পরের বার পর্যন্ত,...

---

উভয়।  নিরাপদ থাকুন!

[মিউজিক্যাল মডেম]