S3 Ep94: এই ধরণের ক্রিপ্টো (গ্রাফি), এবং অন্য ধরণের ক্রিপ্টো (মুদ্রা!) [অডিও + পাঠ্য]

যেকোন বিন্দুতে এড়িয়ে যেতে নীচের সাউন্ডওয়েভগুলিতে ক্লিক করুন এবং টেনে আনুন। আপনি এটিও করতে পারেন সরাসরি শুনুন সাউন্ডক্লাউডে।

DOUG.  A সমালোচনামূলক সাম্বা বাগ, এখনও অন্য ক্রিপ্টো চুরি, এবং শুভ SysAdmin দিবস.

নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে স্বাগতম, সবাইকে।

আমি ডগ আমথ।

আমার সাথে, বরাবরের মতো, পল ডকলিন… পল, তুমি আজকে কেমন আছ?

---

হাঁস.  চমৎকার, ধন্যবাদ, ডগলাস.

---

DOUG.  আমরা কিছু প্রযুক্তিগত ইতিহাস দিয়ে শো শুরু করতে চাই।

এবং এই সপ্তাহে, পল, আমরা 1858 সালে ফিরে যাচ্ছি!

এই সপ্তাহে 1858 সালে, প্রথম ট্রান্সআটলান্টিক টেলিগ্রাফ তারের কাজ সম্পন্ন হয়েছিল।

এটির নেতৃত্বে ছিলেন আমেরিকান বণিক সাইরাস ওয়েস্টফিল্ড, এবং ক্যাবলটি ট্রিনিটি বে, নিউফাউন্ডল্যান্ড থেকে ভ্যালেন্সিয়া, আয়ারল্যান্ড, প্রায় 2000 মাইল জুড়ে এবং 2 মাইলেরও বেশি গভীরে চলে গিয়েছিল।

এটি পঞ্চম প্রচেষ্টা হবে, এবং দুর্ভাগ্যবশত, কেবলটি প্রায় এক মাসের জন্য কাজ করেছে।

তবে এটি তৎকালীন রাষ্ট্রপতি জেমস বুকানান এবং রানী ভিক্টোরিয়ার পক্ষে আনন্দ বিনিময়ের জন্য যথেষ্ট কাজ করেছিল।

---

হাঁস.  হ্যাঁ, আমি বিশ্বাস করি যে এটা ছিল, আমি কিভাবে এটা করতে পারি... অজ্ঞান. [হাসি]

1858!

ঈশ্বর কি সৃষ্টি করেছেন?, ডগ! [শব্দগুলি প্রথম টেলিগ্রাফ বার্তায় পাঠানো হয়েছে]

---

DOUG.  [হাসি] জিনিষ যে তৈরি করা হয়েছে কথা বলতে, একটি আছে সমালোচনামূলক সাম্বা বাগ যে পরে প্যাচ করা হয়েছে.

আমি কোনোভাবেই একজন বিশেষজ্ঞ নই, কিন্তু এই বাগটি যে কাউকে ডোমেন অ্যাডমিন হতে দেবে... এটা খারাপ শোনাচ্ছে।

---

হাঁস.  ওয়েল, এটা খারাপ শোনাচ্ছে, ডগ, প্রধানত কারণ এটি * বরং খারাপ!

---

DOUG.  এই নাও!

---

হাঁস.  সাম্বা… শুধু পরিষ্কার করে বলতে, আমরা শুরু করার আগে, আসুন আপনি যে সংস্করণগুলি চান তা দেখে নেওয়া যাক।

আপনি যদি 4.16 ফ্লেভারে থাকেন, তাহলে আপনার প্রয়োজন 4.16.4 বা তার পরে; আপনি যদি 4.15-এ থাকেন, আপনার প্রয়োজন 4.15.9 বা তার পরে; এবং আপনি যদি 4.14-এ থাকেন, তাহলে আপনার 4.14.14 বা তার পরে প্রয়োজন।

এই বাগ ফিক্সগুলি, মোট, ছয়টি ভিন্ন বাগ প্যাচ করেছে যা CVE নম্বরগুলি পাওয়ার জন্য যথেষ্ট গুরুতর বলে বিবেচিত হয়েছিল - অফিসিয়াল মনোনীতরা৷

আউট দাঁড়ানো যে এক জন্য CVE-2022-32744.

এবং বাগ শিরোনাম এটি সব বলে: সাম্বা অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারীরা যেকোনো ব্যবহারকারীর জন্য পাসওয়ার্ড পরিবর্তনের অনুরোধ জাল করতে পারে।

---

DOUG.  হ্যাঁ, এটা খারাপ শোনাচ্ছে.

---

হাঁস.  সুতরাং, নিরাপত্তা উপদেষ্টার সম্পূর্ণ বাগ রিপোর্ট হিসাবে, পরিবর্তন লগ বলছে, বরং অরোটান্ড ফ্যাশনে:

“একজন ব্যবহারকারী অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করতে পারে এবং ডোমেনের উপর সম্পূর্ণ নিয়ন্ত্রণ লাভ করতে পারে। গোপনীয়তা এবং অখণ্ডতার সম্পূর্ণ ক্ষতি সম্ভব হবে, সেইসাথে ব্যবহারকারীদের তাদের অ্যাকাউন্টগুলিতে অ্যাক্সেস অস্বীকার করে প্রাপ্যতাও সম্ভব হবে।"

এবং আমাদের শ্রোতারা সম্ভবত জানেন, কম্পিউটার নিরাপত্তার তথাকথিত "পবিত্র ত্রিত্ব" (এয়ার কোট) হল: প্রাপ্যতা, গোপনীয়তা এবং সততা।

আপনি তাদের সব আছে অনুমিত করছি, শুধু তাদের একটি নয়.

সুতরাং, অখণ্ডতা মানে অন্য কেউ আপনার খেয়াল না করে আপনার জিনিসপত্র নিয়ে ঢুকতে পারবে না।

উপস্থিতি আপনি সবসময় আপনার জিনিস পেতে পারেন - তারা আপনি এটা পেতে বাধা দিতে পারে না যখন আপনি চান.

এবং গোপনীয়তা মানে তারা এটা দেখতে পারে না যদি না তাদের অনুমতি দেওয়া হয়।

সেগুলির মধ্যে যে কোনও একটি, বা যে কোনও দুটি, তার নিজের থেকে খুব বেশি ব্যবহার হয় না।

তাই এই সত্যিই একটি trifecta ছিল, ডগ!

এবং বিরক্তিকরভাবে, এটি সাম্বার একেবারে অংশে যা আপনি ব্যবহার করতে পারেন শুধুমাত্র যদি আপনি একটি ইউনিক্স কম্পিউটারকে একটি উইন্ডোজ ডোমেনের সাথে সংযুক্ত করার চেষ্টা করছেন, তবে আপনি যদি উইন্ডোজ কম্পিউটারগুলিতে ব্যবহারের জন্য একটি অ্যাক্টিভ ডিরেক্টরি ডোমেন সেট আপ করার চেষ্টা করছেন একগুচ্ছ লিনাক্স বা ইউনিক্স কম্পিউটার।

---

DOUG.  যে সব ভুল উপায়ে সব বাক্সে টিক চিহ্ন!

কিন্তু একটি প্যাচ আউট আছে - এবং আমরা সবসময় বলি, "শীঘ্র প্যাচ করুন, প্রায়ই প্যাচ করুন।"

এমন কিছু কাজ আছে যা লোকেরা ব্যবহার করতে পারে যদি তারা কোনও কারণে তাত্ক্ষণিকভাবে প্যাচ করতে না পারে, বা এটি কি শুধু-করুন-এ ধরনের জিনিস?

---

হাঁস.  ওয়েল, আমার বোঝার যে এই বাগ পাসওয়ার্ড প্রমাণীকরণ সেবা বলা হয় kpasswd.

মূলত সেই পরিষেবাটি যা করে তা হল এটি একটি পাসওয়ার্ড পরিবর্তনের অনুরোধের সন্ধান করে এবং যাচাই করে যে এটি কোনো বিশ্বস্ত পক্ষের দ্বারা স্বাক্ষরিত বা অনুমোদিত৷

এবং দুর্ভাগ্যবশত, ত্রুটি শর্তের একটি নির্দিষ্ট সিরিজ অনুসরণ করে, সেই বিশ্বস্ত পক্ষ নিজেকে অন্তর্ভুক্ত করতে পারে।

তাই এটি একটি মত ধরনের আপনার নিজের পাসপোর্ট প্রিন্ট করুন বাগ, যদি আপনি চান.

আপনাকে একটি পাসপোর্ট তৈরি করতে হবে... এটি একটি বাস্তব হতে পারে যা আপনার নিজের সরকার দ্বারা জারি করা হয়েছে, অথবা এটি এমন একটি হতে পারে যা আপনি আপনার ইঙ্কজেট প্রিন্টারে বাড়িতে নক আপ করেছেন, এবং উভয়ই একত্রিত হবে৷ [হাসি]

কৌশলটি হল, আপনি যদি আপনার সাম্বা ব্যবহারে এই পাসওয়ার্ড প্রমাণীকরণ পরিষেবাটির উপর নির্ভর না করেন তবে আপনি এটি প্রতিরোধ করতে পারেন kpasswd চলমান থেকে পরিষেবা।

অবশ্যই, আপনি যদি আপনার অ্যাক্টিভ ডিরেক্টরি প্রমাণীকরণ এবং আপনার পাসওয়ার্ড পরিবর্তন করার জন্য পুরো সাম্বা সিস্টেমের উপর নির্ভর করে থাকেন, তাহলে সমাধান আপনার নিজের সিস্টেমকে ভেঙে ফেলবে।

তাই সর্বোত্তম প্রতিরক্ষা, অবশ্যই, এমন প্যাচ যা কেবল *এড়িয়ে যাওয়ার* পরিবর্তে বাগটিকে *মুছে দেয়*।

---

DOUG.  খুব ভালো.

আপনি সম্পর্কে আরও পড়ুন যে সাইটে: nakedscurity.sophos.com.

এবং আমরা বছরের সবচেয়ে বিস্ময়কর সময়ে ডান বরাবর সরানো!

আমরা শুধু উদযাপন করেছি সিসঅ্যাডমিন দিবস, পল, এবং আমি এখানে পাঞ্চলাইন টেলিগ্রাফ করব না... কিন্তু তোমার ছিল বেশ একটা লেখা.

---

হাঁস.  ঠিক আছে, বছরে একবার, আমাদের আইটি বিভাগে যাওয়া উচিত এবং যারা এই সমস্ত লুকানো ব্যাকগ্রাউন্ডের কাজ করেছেন তাদের দিকে হাসতে হবে এমন জিজ্ঞাসা করা খুব বেশি নয়…

… আমাদের কম্পিউটার, এবং আমাদের সার্ভারগুলি, এবং আমাদের ক্লাউড পরিষেবাগুলি, এবং আমাদের ল্যাপটপগুলি, এবং আমাদের ফোনগুলি, এবং আমাদের নেটওয়ার্ক সুইচগুলি [ডুগ লাফস], এবং আমাদের ডিএসএল সংযোগগুলি, এবং আমাদের ওয়াই-ফাই কিটগুলিকে [দ্রুত এবং দ্রুততর হওয়া] রাখতে ভাল কাজের আদেশ।

উপলব্ধ! গোপনীয় ! সততা পূর্ণ, সারা বছর ধরে!

আপনি যদি জুলাই মাসের শেষ শুক্রবার এটি না করেন, যা এসysAdmin প্রশংসা দিবস,তাহলে আজকে যাও না কেন?

এমনকি যদি আপনি এটি করেন তবে এমন কিছুই নেই যা বলে যে আপনি বছরের প্রতিটি দিন আপনার SysAdminদের প্রশংসা করতে পারবেন না।

আপনি শুধুমাত্র জুলাই এটা করতে হবে না, ডগ.

---

DOUG.  ভাল যুক্তি!

---

হাঁস.  তাই এখানে কি করতে হবে, ডগ.

আমি এটিকে একটি "কবিতা" বা "পদ্য" বলতে যাচ্ছি... আমি প্রযুক্তিগতভাবে এটিকে ডগারেল মনে করি [হাসি], কিন্তু আমি ভান করতে যাচ্ছি যে এটিতে শেক্সপিয়রীয় সনেটের সমস্ত আনন্দ এবং উষ্ণতা রয়েছে।

এটি একটি সনেট * নয়, তবে এটি করতে হবে।

---

DOUG.  পারফেক্ট.

---

হাঁস.  এখানে আপনি যান, ডগ.

যদি আপনার মাউসের ব্যাটারি ফুরিয়ে যায় বা আপনার ওয়েবক্যামের আলো জ্বলবে না যদি আপনি আপনার পাসওয়ার্ড স্মরণ করতে না পারেন বা আপনার ইমেলটি দেখাবে না যদি আপনি আপনার USB ড্রাইভ হারিয়ে ফেলেন বা আপনার মিটিং শুরু হবে না যদি আপনি না করতে পারেন একটি হিস্টোগ্রাম তৈরি করুন বা একটি সুন্দর বৃত্তাকার চার্ট আঁকুন যদি আপনি দুর্ঘটনাক্রমে আঘাত করেন [মুছুন] বা আপনার ডিস্ক ফরম্যাট করেন যদি আপনি একটি ব্যাকআপ করতে চান তবে পরিবর্তে শুধুমাত্র একটি ঝুঁকি নিয়েছিলেন যদি আপনি অপরাধীর সুস্পষ্টতা জানেন এবং দোষটি আপনার দিকে ফিরে আসে না আশা ছেড়ে দাও এবং হতাশ হও একটা কাজ বাকি আছে! চকলেট, ওয়াইন, কিছু উল্লাস, একটি হাসি নিন এবং আপনি যখন বলবেন তখন এটি বোঝান: "আমি আপনাকে একটি দুর্দান্ত সিসঅ্যাডমিন দিবসের শুভেচ্ছা জানাতে এসেছি!"

---

DOUG.  [হাতালি] সত্যিই ভাল! আপনার সেরা এক!

---

হাঁস.  SysAdmins যা করে তার অনেকটাই অদৃশ্য, এবং এর অনেক কিছুই ভাল এবং নির্ভরযোগ্যভাবে করা আশ্চর্যজনকভাবে কঠিন…

…এবং একটি জিনিস ঠিক করা এবং অন্যটি ভাঙ্গা ছাড়াই করা।

যে হাসি তারা অন্তত প্রাপ্য, ডগ.

---

DOUG.  খুব কম!

---

হাঁস.  তাই, সারা বিশ্বের সমস্ত SysAdminদের কাছে, আমি আশা করি গত শুক্রবার আপনি উপভোগ করেছেন।

এবং যদি আপনি যথেষ্ট হাসি না পান, তাহলে এখন একটি নিন।

---

DOUG.  সবাইকে SysAdmin দিবসের শুভেচ্ছা, এবং সেই কবিতা পড়ুন, যা দুর্দান্ত...এটি সাইটে রয়েছে।

ঠিক আছে, এমন কিছুর দিকে অগ্রসর হচ্ছেন যা এত বড় নয়: ক মেমরি অব্যবস্থাপনা বাগ GnuTLS-এ।

---

হাঁস.  হ্যাঁ, আমি ভেবেছিলাম এটি নেকেড সিকিউরিটি নিয়ে লেখার মূল্য ছিল, কারণ লোকেরা যখন ওপেন-সোর্স ক্রিপ্টোগ্রাফির কথা চিন্তা করে, তখন তারা ওপেনএসএসএল নিয়ে চিন্তা করে।

কারণ (A) এটি এমন একটি যা সবাই শুনেছে এবং (B) এটি এমন একটি যা সম্ভবত সাম্প্রতিক বছরগুলিতে বাগ নিয়ে সবচেয়ে বেশি প্রচার পেয়েছে, কারণ হার্টব্লিড.

এমনকি যদি আপনি তখন সেখানে নাও থাকেন (এটি আট বছর আগে), আপনি সম্ভবত হার্টব্লিডের কথা শুনেছেন, যেটি ওপেনএসএসএল-এ এক ধরণের ডেটা লিকেজ এবং মেমরি লিকেজ বাগ ছিল।

এটি যুগ যুগ ধরে কোডে ছিল এবং কেউ লক্ষ্য করেনি।

এবং তারপর কেউ লক্ষ্য করেনি, এবং তারা এটিকে অভিনব নাম দিয়েছে, এবং তারা বাগটিকে একটি লোগো দিয়েছে, এবং তারা বাগটিকে একটি ওয়েবসাইট দিয়েছে এবং তারা এটি থেকে এই বিশাল PR জিনিসটি তৈরি করেছে।

---

DOUG.  [হাসি] এভাবেই আপনি জানেন যে এটি বাস্তব...

---

হাঁস.  ঠিক আছে, তারা এটি করছিল কারণ তারা এই বিষয়টির প্রতি দৃষ্টি আকর্ষণ করতে চেয়েছিল যে তারা এটি আবিষ্কার করেছে এবং তারা সেই সত্যটির জন্য খুব গর্বিত ছিল।

এবং ফ্লিপসাইড হল যে লোকেরা বাইরে গিয়ে এই বাগটি ঠিক করেছে যা তারা অন্যথায় নাও করতে পারে… কারণ, ভাল, এটি কেবল একটি বাগ।

এটি ভয়ঙ্কর নাটকীয় বলে মনে হচ্ছে না - এটি দূরবর্তী কোড এক্সিকিউশন নয়। তাই তারা শুধু বাষ্প করতে পারে না এবং তাৎক্ষণিকভাবে আমার সমস্ত ওয়েবসাইট দখল করতে পারে না ইত্যাদি ইত্যাদি।

কিন্তু এটি ওপেনএসএসএল-কে একটি পরিবারের নামে পরিণত করেছে, অগত্যা সমস্ত সঠিক কারণে নয়।

যাইহোক, সেখানে অনেকগুলি ওপেন সোর্স ক্রিপ্টোগ্রাফিক লাইব্রেরি রয়েছে, শুধুমাত্র OpenSSL নয়, এবং তাদের মধ্যে অন্তত দুটি আশ্চর্যজনকভাবে ব্যাপকভাবে ব্যবহৃত হয়, এমনকি যদি আপনি সেগুলি সম্পর্কে কখনও না শুনে থাকেন।

এনএসএস আছে, সংক্ষেপে নেটওয়ার্ক নিরাপত্তা পরিষেবা, যা মজিলার নিজস্ব ক্রিপ্টোগ্রাফিক লাইব্রেরি।

আপনি যে কোনো নির্দিষ্ট Mozilla প্রজেক্ট থেকে স্বাধীনভাবে ডাউনলোড করতে এবং ব্যবহার করতে পারেন, কিন্তু আপনি এটি খুঁজে পাবেন, উল্লেখযোগ্যভাবে, Firefox এবং Thunderbird-এ, সেখানে সমস্ত এনক্রিপশন করে – তারা OpenSSL ব্যবহার করে না।

এবং আছে gnuTLS, যা GNU প্রকল্পের অধীনে একটি ওপেন-সোর্স লাইব্রেরি, যা মূলত, যদি আপনি চান, একটি প্রতিযোগী বা OpenSSL-এর বিকল্প, এবং এটি ব্যবহার করা হয় (যদিও আপনি এটি উপলব্ধি করতে না পারেন) একটি বিস্ময়কর সংখ্যক উন্মুক্ত- উত্স প্রকল্প এবং পণ্য…

…কোড সহ, আপনি যে প্ল্যাটফর্মে থাকেন না কেন, আপনি সম্ভবত আপনার সিস্টেমে পেয়েছেন।

তাই এর সাথে কিছু করার আছে, বলুন: FFmpeg; মেনকোডার; GnuPGP (GNU কী ম্যানেজমেন্ট টুল); QEMU, Rdesktop; সাম্বা, যা আমরা শুধু আগের বাগ সম্পর্কে কথা বলেছি; Wget, যা অনেক লোক ওয়েব ডাউনলোডের জন্য ব্যবহার করে; Wireshark এর নেটওয়ার্ক স্নিফিং টুলস; Zlib.

সেখানে অনেক লোড এবং লোড টুল রয়েছে যার জন্য একটি ক্রিপ্টোগ্রাফিক লাইব্রেরি প্রয়োজন, এবং তারা কোন সাবপ্যাকেজগুলি টেনেছে তার সাপ্লাই-চেইন সমস্যার উপর নির্ভর করে হয় OpenSSL এর * পরিবর্তে GnuTLS * ব্যবহার করার সিদ্ধান্ত নিয়েছে, অথবা সম্ভবত * পাশাপাশি*ও ব্যবহার করবে। ভিতরে.

আপনার কাছে এমন একটি প্রকল্প থাকতে পারে যেখানে এর কিছু অংশ তাদের ক্রিপ্টোগ্রাফির জন্য GnuTLS ব্যবহার করে, এবং এর কিছু অংশ OpenSSL ব্যবহার করে, এবং অন্যটির উপর একটি বেছে নেওয়া কঠিন।

সুতরাং আপনি তাদের উভয়ের সাথেই ভাল বা খারাপের জন্য শেষ করবেন।

এবং দুর্ভাগ্যবশত, GnuTLS (আপনি যে সংস্করণটি চান সেটি 3.7.7 বা তার পরে) এক ধরনের বাগ ছিল যা একটি নামে পরিচিত ডবল বিনামূল্যে… বিশ্বাস করুন বা না করুন কোডের খুব অংশে যা TLS শংসাপত্রের বৈধতা দেয়৷

সুতরাং, ক্রিপ্টোগ্রাফিক লাইব্রেরিতে আমরা আগে দেখেছি এমন বিড়ম্বনার মধ্যে, কোড যা এনক্রিপ্ট করা ট্রান্সমিশনের জন্য TLS ব্যবহার করে কিন্তু অন্য প্রান্তটি যাচাই করতে বিরক্ত করে না… কোড যা যায়, "শংসাপত্রের বৈধতা, কার এটি দরকার?"

এটি সাধারণত একটি অত্যন্ত খারাপ ধারণা হিসাবে বিবেচিত হয়, বরং নিরাপত্তা দৃষ্টিকোণ থেকে জঘন্য… কিন্তু যেকোন কোড যা করে তা এই বাগটির জন্য দুর্বল হবে না, কারণ এটি বগি কোড বলে না।

সুতরাং, দুঃখজনকভাবে, কোড যে * সঠিক * জিনিসটি করার চেষ্টা করছে একটি দুর্বৃত্ত শংসাপত্র দ্বারা প্রতারিত হতে পারে।

এবং শুধু সহজভাবে ব্যাখ্যা করার জন্য, ক ডবল বিনামূল্যে এই ধরনের বাগ যেখানে আপনি অপারেটিং সিস্টেম বা সিস্টেমকে জিজ্ঞাসা করেন, "আরে, আমাকে কিছু মেমরি দিন। আমার সাময়িকভাবে কিছু স্মৃতি দরকার। এই ক্ষেত্রে, আমি এই সমস্ত শংসাপত্রের ডেটা পেয়েছি, আমি এটিকে সাময়িকভাবে সংরক্ষণ করতে চাই, এটি যাচাই করতে চাই এবং তারপর যখন আমার কাজ শেষ, আমি মেমরিটি ফিরিয়ে দেব যাতে এটি প্রোগ্রামের অন্য অংশ দ্বারা ব্যবহার করা যায়। "

আপনি যদি একজন সি প্রোগ্রামার হন তবে আপনি ফাংশনগুলির সাথে পরিচিত হবেন malloc(), "মেমরি বরাদ্দ" এর জন্য সংক্ষিপ্ত, এবং free(), যা "হ্যান্ড ইট ব্যাক"।

এবং আমরা জানি যে এক প্রকার বাগ বলা হয় ব্যবহার-পর-মুক্ত, যেখানে আপনি ডেটা ফিরিয়ে দেন, কিন্তু তারপর যেভাবেই হোক সেই মেমরি ব্লক ব্যবহার চালিয়ে যান, ভুলে যান যে আপনি এটি ছেড়ে দিয়েছেন।

কিন্তু একটি ডাবল-ফ্রি একটু আলাদা - এটিই যেখানে আপনি মেমরি ফিরিয়ে দেন, এবং আপনি দায়িত্বের সাথে এটি আবার ব্যবহার করা এড়িয়ে যান, কিন্তু তারপরে পরবর্তী পর্যায়ে, আপনি যান, "হ্যাঁও, আমি নিশ্চিত যে আমি এটি হস্তান্তর করিনি। স্মৃতি এখনও ফিরে। সেক্ষেত্রে আমি এটা ফেরত দিয়ে দিই।”

এবং তাই আপনি অপারেটিং সিস্টেমকে বলুন, "ঠিক আছে, এই মেমরিটি আবার খালি করুন।"

তাই দেখে মনে হচ্ছে এটি ডেটা মুক্ত করার জন্য একটি বৈধ অনুরোধ *যা প্রোগ্রামের অন্য কিছু অংশ আসলে নির্ভর করছে*।

এবং আপনি কল্পনা করতে পারেন, খারাপ জিনিস ঘটতে পারে, কারণ এর মানে হল আপনি প্রোগ্রামের দুটি অংশ পেতে পারেন যা অজান্তে একই সময়ে একই মেমরির উপর নির্ভর করে।

ভাল খবর হল যে আমি বিশ্বাস করি না যে এই বাগটির জন্য একটি কার্যকরী শোষণ পাওয়া গেছে, এবং সেইজন্য, যদি আপনি প্যাচ করেন, আপনি কেবল তাদের সাথে ধরা পড়ার পরিবর্তে ক্রুদের থেকে এগিয়ে যাবেন।

কিন্তু, অবশ্যই, খারাপ খবর হল, যখন এই ধরনের বাগ ফিক্সগুলি বেরিয়ে আসে, তখন সাধারণত এমন অনেক লোক থাকে যারা তাদের দিকে তাকিয়ে থাকে, কী ভুল হয়েছে তা বিশ্লেষণ করার চেষ্টা করে, দ্রুত বোঝার আশায় যে তারা শোষণ করতে কী করতে পারে। সেই সমস্ত লোকের বিরুদ্ধে বাগ যারা প্যাচ করতে ধীর হয়েছে।

অন্য কথায়: দেরি করবেন না। আজই কর।

---

DOUG.  ঠিক আছে, GnuTLS এর সর্বশেষ সংস্করণ 3.7.7… অনুগ্রহ করে আপডেট করুন।

আপনি যে সম্পর্কে আরো পড়ুন সাইটে।

---

হাঁস.  ওহ, এবং ডগ, দৃশ্যত বাগটি GnuTLS 3.6.0-এ চালু করা হয়েছিল।

---

DOUG.  ঠিক আছে.

---

হাঁস.  সুতরাং, তাত্ত্বিকভাবে, আপনি যদি এর চেয়ে আগের সংস্করণ পেয়ে থাকেন তবে আপনি এই বাগটির জন্য ঝুঁকিপূর্ণ নন...

…কিন্তু অনুগ্রহ করে এটিকে যাওয়ার অজুহাত হিসেবে ব্যবহার করবেন না, "আমার এখনও আপডেট করার দরকার নেই।"

আপনি 3.6.0 এবং 3.7.6-এর মধ্যে অন্যান্য সমস্ত সুরক্ষা সংক্রান্ত সমস্যাগুলির জন্য অন্যান্য সমস্ত আপডেটের উপরেও এগিয়ে যেতে পারেন।

সুতরাং আপনি এই বাগটির বিভাগে পড়েন না - এটি কিছুই না করার অজুহাত হিসাবে ব্যবহার করবেন না।

বর্তমান দিনে নিজেকে পেতে অনুপ্রেরণা হিসাবে এটি ব্যবহার করুন… এটা আমার পরামর্শ.

---

DOUG.  ঠিক আছে!

এবং আমাদের সপ্তাহের শেষ গল্প: আমরা আরেকটি ক্রিপ্টো চুরির কথা বলছি।

এইবার, মাত্র $200 মিলিয়নযদিও, পল.

আমরা কথা বলেছি অন্য কিছুর তুলনায় এটি একটি চম্প পরিবর্তন।

---

হাঁস.  আমি প্রায় এটি বলতে চাই না, ডগ, কিন্তু আমি এটি লিখেছি তার একটি কারণ হল যে আমি এটির দিকে তাকালাম এবং আমি নিজেকে ভাবলাম, "ওহ, মাত্র 200 মিলিয়ন? এটা বেশ ছোট টি... আমি কি ভাবছি!?" [হাসি]

$200 মিলিয়ন, মূলত... ভাল, "টয়লেটের নিচে" নয়, বরং "ব্যাঙ্কের ভল্টের বাইরে"।

এই পরিষেবা Nomad একটি কোম্পানি থেকে যা Illusory Systems Incorporated নামে যায়৷

এবং আমি মনে করি আপনি একমত হবেন যে, অবশ্যই নিরাপত্তার দৃষ্টিকোণ থেকে, "অলীক" শব্দটি সম্ভবত সঠিক ধরনের রূপক।

এটি এমন একটি পরিষেবা যা মূলত আপনাকে যা করতে পারে তা করতে দেয় যা জারগন নামে পরিচিত৷ গণনার জমকালো অনুষ্ঠান.

আপনি মূলত সক্রিয়ভাবে একটি ক্রিপ্টোকারেন্সি অন্যটির জন্য ট্রেড করছেন।

তাই আপনি আপনার নিজের কিছু ক্রিপ্টোকারেন্সি কিছু বিশাল বালতিতে রাখুন এবং অন্যান্য লোকেদের বোঝায়… এবং তারপরে আমরা এই সমস্ত অভিনব, "বিকেন্দ্রীকৃত অর্থ" স্বয়ংক্রিয় স্মার্ট চুক্তি করতে পারি।

আমরা ইথারের জন্য বিটকয়েন ট্রেড করতে পারি বা মনেরোর জন্য ইথার, বা যাই হোক না কেন।

দুর্ভাগ্যবশত, একটি সাম্প্রতিক কোড আপডেটের সময়, মনে হচ্ছে তারা একই ধরণের গর্তে পড়েছিল যা সম্ভবত সাম্বা ছেলেরা সাম্বাতে যে বাগটির কথা বলেছিলাম তার সাথে করেছিল।

সেখানে মূলত একটি আপনার নিজের পাসপোর্ট প্রিন্ট করুন, বা একটি আপনার নিজের লেনদেন অনুমোদন করুন তারা প্রবর্তিত বাগ.

কোডটিতে একটি বিন্দু আছে যেখানে একটি ক্রিপ্টোগ্রাফিক হ্যাশ, একটি 256-বিট ক্রিপ্টোগ্রাফিক হ্যাশ, যাচাই করা উচিত বলে মনে করা হয়… এমন কিছু যা একজন অনুমোদিত অনুমোদনকারী ছাড়া কেউই সম্ভবত নিয়ে আসতে পারে।

আপনি শুধুমাত্র মান শূন্য ব্যবহার করা হয়েছে যে ছাড়া, তারপর আপনি জমা পাস হবে.

আপনি মূলত অন্য কারো বিদ্যমান লেনদেন নিতে পারেন, আপনার সাথে প্রাপকের নাম পুনরায় লিখতে পারেন ("আরে, পে *মাই* ক্রিপ্টোকারেন্সি ওয়ালেট"), এবং লেনদেনটি পুনরায় চালান।

এবং সিস্টেম যাবে, "ঠিক আছে।"

আপনাকে সঠিক ফরম্যাটে ডেটা পেতে হবে, এটাই আমার বোধগম্য।

এবং একটি লেনদেন তৈরি করার সবচেয়ে সহজ উপায় যা জমা দিতে পারে তা হল অন্য কারোর পূর্ব-সম্পন্ন, বিদ্যমান লেনদেন নেওয়া, এটি পুনরায় চালান, তবে তাদের নাম বা তাদের অ্যাকাউন্ট নম্বর ক্রস আউট করুন এবং আপনার নিজের লিখুন।

সুতরাং, ক্রিপ্টোকারেন্সি বিশ্লেষক হিসাবে @samczsun টুইটারে বলেন, "আক্রমণকারীরা লেনদেন অনুলিপি এবং পেস্ট করার জন্য এটির অপব্যবহার করেছে এবং দ্রুত উন্মত্ততায় ব্রিজটি নিঃশেষ করে দিয়েছে।"

অন্য কথায়, লোকেরা এটিএম থেকে টাকা তোলার জন্য পাগল হয়ে গেছে যা যে কারও ব্যাঙ্ক কার্ড গ্রহণ করবে, যদি আপনি শূন্যের একটি পিন রাখেন।

এবং এটিএমটি নিষ্কাশন না হওয়া পর্যন্ত নয়… এটিএমটি মূলত ব্যাঙ্কের ভল্টের পাশের সাথে সরাসরি সংযুক্ত ছিল এবং অর্থগুলি সহজভাবে ঢেলে দেওয়া হয়েছিল।

---

DOUG.  আরে!

---

হাঁস.  আপনি যেমন বলছেন, দৃশ্যত তারা অল্প সময়ের মধ্যে $200 মিলিয়ন পর্যন্ত হারিয়েছে।

ওহ, প্রিয়.

---

DOUG.  ঠিক আছে, আমাদের কিছু পরামর্শ আছে, এবং এটি বেশ সোজা…

---

হাঁস.  আপনি সত্যিই দিতে পারেন একমাত্র উপদেশ, "এই বিকেন্দ্রীভূত আর্থিক বিপ্লবে যোগদানের জন্য খুব বেশি তাড়াহুড়ো করবেন না।"

যেমনটা আমরা আগেই বলেছি, নিশ্চিত করুন যে আপনি যদি এই "অনলাইনে ট্রেড* করেন; আমাদের ক্রিপ্টোকারেন্সি ধার দিন এবং আমরা আপনাকে সুদ পরিশোধ করব; আপনার জিনিসগুলি একটি গরম মানিব্যাগে রাখুন যাতে আপনি কয়েক সেকেন্ডের মধ্যে কাজ করতে পারেন; পুরো স্মার্ট চুক্তির দৃশ্যে প্রবেশ করুন; আমার ননফাঞ্জিবল টোকেন [NFTs] কিনুন” – সেই সমস্ত জিনিস…

…আপনি যদি সিদ্ধান্ত নেন যে মার্কেটপ্লেস *আপনার জন্য*, তাহলে অনুগ্রহ করে নিশ্চিত করুন যে আপনি চোখ মেলে চোখ বন্ধ করে নয়, চোখ মেলে ভিতরে যান!

এবং সহজ কারণ হল যে এই ধরনের ক্ষেত্রে, এটি এমন নয় যে বদমাশরা ব্যাঙ্কের এটিএমগুলির *কিছু* নিষ্কাশন করতে সক্ষম হতে পারে।

এই ক্ষেত্রে, প্রথমত, মনে হচ্ছে তারা প্রায় সবকিছুই নষ্ট করে ফেলেছে, এবং দ্বিতীয়ত, প্রচলিত ব্যাঙ্কগুলির মত নয়, বাস্তব জীবনের ব্যাঙ্ক নষ্ট হয়ে গেলে আপনি উপভোগ করবেন এমন নিয়ন্ত্রক সুরক্ষা নেই৷

বিকেন্দ্রীভূত অর্থের ক্ষেত্রে, এটির সম্পূর্ণ ধারণা বিকেন্দ্রীকরণ করা, এবং নতুন, এবং দুর্দান্ত, এবং এমন কিছু যা আপনি দ্রুত করতে চান...

…হয় যে এটিতে এই বিরক্তিকর নিয়ন্ত্রক সুরক্ষা * নেই*।

আপনি করতে পারেন, এবং সম্ভবত হতে পারে – কারণ আমি যতটা স্বাচ্ছন্দ্যবোধ করি তার থেকে আমরা এই বিষয়ে আরও প্রায়ই কথা বলেছি, সত্যিই - আপনি *সবকিছু* হারাতে পারেন।

এবং এর উল্টো দিকটি হল, আপনি যদি কিছু বিকেন্দ্রীকৃত অর্থ বা "ওয়েব 3.0 ব্র্যান্ড নিউ সুপার-ট্রেডিং ওয়েবসাইট" এর মতো ইমপ্লোশনে জিনিসপত্র হারিয়ে ফেলে থাকেন, তাহলে খুব সতর্ক থাকুন যে লোকজন আসছেন, "আরে, চিন্তা করবেন না। নিয়ন্ত্রণের অভাব সত্ত্বেও, এমন বিশেষজ্ঞ কোম্পানি রয়েছে যারা আপনার টাকা ফেরত পেতে পারে। আপনাকে যা করতে হবে তা হল কোম্পানি X, পৃথক Y, বা সোশ্যাল মিডিয়া অ্যাকাউন্ট Z” এর সাথে যোগাযোগ করুন৷

কারণ, যখনই এই ধরণের বিপর্যয় আসে, সেকেন্ডারি স্ক্যামাররা খুব দ্রুত দৌড়ে আসে, আপনার অর্থ ফেরত পাওয়ার জন্য "একটি উপায় খুঁজে বের করার" প্রস্তাব দেয়।

চারপাশে প্রচুর স্ক্যামার রয়েছে, তাই খুব সতর্ক থাকুন।

আপনি যদি টাকা হারিয়ে ফেলে থাকেন, তাহলে খারাপের পরে ভালো টাকা ছুঁড়ে ফেলবেন না (অথবা ভালোর পরে খারাপ টাকা, যেভাবেই হোক না কেন)।

---

DOUG.  ঠিক আছে, আপনি এটি সম্পর্কে আরও পড়তে পারেন: ক্রিপ্টোকয়েন "টোকেন সোয়াপার" যাযাবর কোডিং ভুলের জন্য $200 মিলিয়ন হারিয়েছে.

এবং যদি আমরা এই গল্পে আমাদের একজন পাঠকের কাছ থেকে শুনি, একজন বেনামী মন্তব্যকারী লিখেছেন, এবং আমি একমত... আমি বুঝতে পারছি না কিভাবে এটি কাজ করে:

“কি আশ্চর্যজনক যে একটি অনলাইন স্টার্টআপ প্রথম স্থানে হারাতে অনেক ছিল. $200,000, আপনি কল্পনা করতে পারেন। কিন্তু 200 মিলিয়ন ডলার অবিশ্বাস্য বলে মনে হচ্ছে।

এবং আমি মনে করি আমরা সেই প্রশ্নের উত্তর দিয়েছি, কিন্তু এই সমস্ত অর্থ কোথা থেকে আসছে, মাত্র 200 মিলিয়ন ডলার দখল করার জন্য?

---

হাঁস.  আমি যে উত্তর দিতে পারি না, ডগ.

---

DOUG.  না.

---

হাঁস.  এটা কি যে পৃথিবী আগের চেয়ে বেশি বিশ্বস্ত?

এটা কি যে ক্রিপ্টোকারেন্সি সম্প্রদায়ের চারপাশে প্রচুর অর্জিত অর্জিত লাভের একটি ভয়ঙ্কর ঘটনা ঘটছে?

তাই এমন কিছু লোক আছে যারা প্রকৃতপক্ষে এটিতে তাদের নিজস্ব অর্থ ব্যয় করেনি, কিন্তু তারা ন্যায্যতার পরিবর্তে ফাউল উপায়ে ক্রিপ্টোকারেন্সির পুরো লোড নিয়ে শেষ করেছে। (আমরা জানি যে র্যানসমওয়্যার অর্থপ্রদানগুলি সাধারণত ক্রিপ্টোকারেন্সি হিসাবে আসে, তাই না?)

যাতে এটি মজার-টাকার মত হয়... যে ব্যক্তি "টাকা" হারাচ্ছে সে হয়তো সামনে নগদ দেয়নি?

এটা কি মানুষের পক্ষ থেকে প্রায় ধর্মীয় উদ্দীপনা, “না, না, *এটি* করার উপায়। আমাদের পুরানো-বিদ্যালয়, ফাডি-ডডি, অত্যন্ত নিয়ন্ত্রিত আর্থিক সংস্থাগুলি যেভাবে কাজ করে তা বন্ধ করে দেওয়া দরকার। আমরা ম্যান থেকে মুক্ত হতে হবে”?

আমি জানি না, সম্ভবত $200 মিলিয়ন এখন আর অনেক টাকা নয়, ডগ?

---

DOUG.  [হাসি] ওয়েল, অবশ্যই!

---

হাঁস.  আমি সন্দেহ করি যে সেখানে কেবল লোকেরা চোখ বন্ধ করে ভিতরে যাচ্ছে।

তারা যাচ্ছে, "আমি * এই ঝুঁকি নিতে প্রস্তুত কারণ এটি খুব দুর্দান্ত।"

এবং সমস্যা হল যে আপনি যদি $200, বা $2000 হারাতে যাচ্ছেন, এবং আপনি এটি হারানোর সামর্থ্য রাখতে পারেন, এটি একটি জিনিস।

কিন্তু আপনি যদি 2000 ডলারে প্রবেশ করেন এবং আপনি মনে করেন, “আপনি কি জানেন। হয়তো আমার 20,000 ডলারে যেতে হবে?" এবং তারপর আপনি মনে করেন, "আপনি কি জানেন. হয়তো আমার 200,000 ডলারে যেতে হবে? হয়তো আমার ভেতরে যাওয়া উচিত?

তারপর, আমি মনে করি আপনি সত্যিই খুব সতর্ক হতে হবে!

ঠিক সেই কারণে যে নিয়ন্ত্রক সুরক্ষাগুলি আপনি অনুভব করতে পারেন যে আপনার কাছে আছে, যেমন আপনার ক্রেডিট কার্ডে কিছু খারাপ ঘটলে আপনার কাছে থাকে এবং আপনি কেবল ফোন করেন এবং বিতর্ক করেন এবং তারা চলে যায়। "ঠিক আছে", এবং তারা বিল ছাড়িয়ে $52.23 অতিক্রম করে...

…এই ক্ষেত্রে তা ঘটবে না।

এবং এটি হতে অসম্ভাব্য $52, এটা সম্ভবত এর চেয়ে অনেক বেশি হতে যাচ্ছে.

তাই সেখানে যত্ন নিন, লোকেরা!

---

DOUG.  যত্ন নিন, সত্যিই.

ঠিক আছে, মন্তব্যের জন্য আপনাকে ধন্যবাদ.

এবং যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।

আপনি ইমেল করতে পারেন tips@sophos.com; আপনি আমাদের নিবন্ধগুলির যেকোনো একটিতে মন্তব্য করতে পারেন; আপনি সামাজিক মাধ্যমে আমাদের আঘাত করতে পারেন: @NakedSecurity.

এটাই আমাদের আজকের অনুষ্ঠান – শোনার জন্য অনেক ধন্যবাদ।

পল ডকলিনের জন্য, আমি ডগ আমথ, আপনাকে মনে করিয়ে দিচ্ছি, পরের বার পর্যন্ত...

---

উভয়।  নিরাপদ থাকুন!

[মিউজিক্যাল মডেম]