S3 Ep95: স্ল্যাক লিক, গিথুব আক্রমণ, এবং পোস্ট-কোয়ান্টাম ক্রিপ্টো [অডিও + পাঠ্য]

যেকোন বিন্দুতে এড়িয়ে যেতে নীচের সাউন্ডওয়েভগুলিতে ক্লিক করুন এবং টেনে আনুন। আপনি এটিও করতে পারেন সরাসরি শুনুন সাউন্ডক্লাউডে।

DOUG.  স্ল্যাক লিক, দুষ্টু গিটহাব কোড, এবং পোস্ট-কোয়ান্টাম ক্রিপ্টোগ্রাফি।

নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে স্বাগতম, সবাইকে।

আমি ডগ আমথ।

আমার সাথে, বরাবরের মতো, পল ডকলিন।

পল, তুমি আজ কেমন আছ?

---

হাঁস.  সুপার-ডুপার, যথারীতি ডগ!

---

DOUG.  আমি এই সপ্তাহে পেতে সুপার-ডুপার উত্তেজিত প্রযুক্তির ইতিহাস বিভাগ, কারণ…

…তুমি সেখানে ছিলে!

এই সপ্তাহে, 11 আগস্ট…

---

হাঁস.  ওহ না!

আমার মনে হয় পয়সাটা কমে গেছে...

---

DOUG.  সালটাও বলতে হবে না!

11 অগাস্ট, 2003 - বিশ্ব ব্লাস্টার ওয়ার্মের দিকে নজর দিয়েছে, যা উইন্ডোজ 2000 এবং উইন্ডোজ এক্সপি সিস্টেমকে প্রভাবিত করেছে।

ব্লাস্টার, লাভসান এবং এমএসব্লাস্ট নামেও পরিচিত, একটি বাফার ওভারফ্লোকে কাজে লাগিয়েছে এবং সম্ভবত বার্তার জন্য সবচেয়ে বেশি পরিচিত, “বিলি গেটস, আপনি কেন এটা সম্ভব করছেন? অর্থ উপার্জন বন্ধ করুন এবং আপনার সফ্টওয়্যার ঠিক করুন।"

কি হয়েছে, পল?

---

হাঁস.  ঠিক আছে, এটি আগের যুগ ছিল, সম্ভবত, আমরা নিরাপত্তাকে বেশ গুরুত্ব সহকারে নিয়েছিলাম।

এবং, সৌভাগ্যবশত, এই ধরনের বাগটি আজকাল শোষণ করা অনেক বেশি কঠিন হবে: এটি একটি স্ট্যাক-ভিত্তিক বাফার ওভারফ্লো ছিল।

এবং যদি আমি সঠিকভাবে মনে করি, উইন্ডোজের সার্ভার সংস্করণগুলি ইতিমধ্যেই তৈরি করা হচ্ছে যা বলা হয় স্ট্যাক সুরক্ষা.

অন্য কথায়, যদি আপনি একটি ফাংশনের ভিতরে স্ট্যাকটি ওভারফ্লো করেন, তাহলে, ফাংশনটি ফিরে আসার আগে এবং দূষিত স্ট্যাকের সাথে ক্ষতি করার আগে, এটি সনাক্ত করবে যে খারাপ কিছু ঘটেছে।

সুতরাং, এটিকে আপত্তিকর প্রোগ্রামটি বন্ধ করতে হবে, কিন্তু ম্যালওয়্যারটি চালানো যাবে না।

কিন্তু সেই সুরক্ষা সেই সময়ে উইন্ডোজের ক্লায়েন্ট সংস্করণে ছিল না।

এবং আমার মনে আছে, এটি সেই প্রথম দিকের ম্যালওয়্যারগুলির মধ্যে একটি ছিল যা আপনার কাছে অপারেটিং সিস্টেমের কোন সংস্করণটি অনুমান করতে হয়েছিল।

আপনি কি 2000 এ? আপনি কি এনটিতে আছেন? আপনি কি XP এ?

এবং যদি এটি ভুল হয়ে থাকে, তাহলে সিস্টেমের একটি গুরুত্বপূর্ণ অংশ ক্র্যাশ হবে এবং আপনি "আপনার সিস্টেম বন্ধ হতে চলেছে" সতর্কতা পাবেন৷

---

DOUG.  হা, আমি সেসব মনে করি!

---

হাঁস.  সুতরাং, সেই সমান্তরাল ক্ষতি ছিল যা অনেক লোকের জন্য, এই লক্ষণ যে আপনি সংক্রমণের দ্বারা আঘাত পেয়েছিলেন…

…যা বাইরে থেকে হতে পারে, যেমন আপনি যদি একজন হোম ব্যবহারকারী হন এবং আপনার বাড়িতে রাউটার বা ফায়ারওয়াল না থাকে।

কিন্তু আপনি যদি একটি কোম্পানির ভিতরে থাকেন, তাহলে সম্ভবত আক্রমণটি কোম্পানির অভ্যন্তরে অন্য কারো কাছ থেকে আসতে চলেছে, আপনার নেটওয়ার্কে প্যাকেটগুলি উড়িয়ে দিচ্ছে।

সুতরাং, আমরা যে কোডরেড আক্রমণের কথা বলেছিলাম তার মতোই, যা তার কয়েক বছর আগে, একটি সাম্প্রতিক পডকাস্টে, এটি সত্যিই এই জিনিসটির নিছক স্কেল, আয়তন এবং গতি ছিল যা সমস্যা ছিল।

---

DOUG.  ঠিক আছে, ঠিক আছে, এটা প্রায় 20 বছর আগে।

এবং যদি আমরা ঘড়ির কাঁটা পাঁচ বছর আগের দিকে ঘুরিয়ে দেখি, সেই সময় স্ল্যাক ফুটো শুরু করে হ্যাশ করা পাসওয়ার্ড। [হাসি]

---

হাঁস.  হ্যাঁ, স্ল্যাক, জনপ্রিয় সহযোগিতার টুল...

…এটির একটি বৈশিষ্ট্য রয়েছে যেখানে আপনি আপনার কর্মক্ষেত্রে যোগদানের জন্য অন্য ব্যক্তিদের একটি আমন্ত্রণ লিঙ্ক পাঠাতে পারেন।

এবং, আপনি কল্পনা করুন: আপনি "একটি লিঙ্ক তৈরি করুন" বলে একটি বোতামে ক্লিক করুন, এবং এটি এমন কিছু নেটওয়ার্ক প্যাকেট তৈরি করবে যার ভিতরে সম্ভবত কিছু JSON আছে।

আপনি যদি কখনও জুম মিটিং আমন্ত্রণ পেয়ে থাকেন তবে আপনি জানতে পারবেন যে এটিতে একটি তারিখ, একটি সময়, এবং যে ব্যক্তি আপনাকে আমন্ত্রণ জানাচ্ছেন এবং একটি URL যা আপনি মিটিংয়ের জন্য ব্যবহার করতে পারেন এবং একটি পাসকোড এবং এই সমস্ত স্টাফ - এটি সেখানে অনেক তথ্য আছে.

সাধারণত, সেখানে কী আছে তা দেখার জন্য আপনি কাঁচা ডেটাতে খনন করবেন না - ক্লায়েন্ট শুধু বলে, "আরে, এখানে একটি মিটিং, এখানে বিশদ বিবরণ রয়েছে৷ আপনি কি গ্রহণ করতে চান / হতে পারে / অস্বীকার করতে চান?"

দেখা গেল যে আপনি যখন স্ল্যাকের সাথে এটি করেছিলেন, যেমন আপনি বলেছেন, পাঁচ বছরেরও বেশি সময় ধরে, সেই আমন্ত্রণে প্যাকেজ করা ছিল বহিরাগত ডেটা যা আমন্ত্রণের সাথেই কঠোরভাবে প্রাসঙ্গিক নয়।

সুতরাং, একটি URL নয়, একটি নাম নয়, একটি তারিখ নয়, একটি সময় নয়…

…কিন্তু *আমন্ত্রণকারী ব্যবহারকারীর পাসওয়ার্ড হ্যাশ* [হাসি]

---

DOUG.  হুমমমম।

---

হাঁস.  আমি আপনার সাথে ঠাট্টা করছি না!

---

DOUG.  এটা খারাপ শোনাচ্ছে…

---

হাঁস.  হ্যাঁ, এটা সত্যিই করে, তাই না?

খারাপ খবর হল, কিভাবে পৃথিবীতে যে সেখানে পেতে?

এবং, একবার এটি সেখানে ছিল, কীভাবে পৃথিবীতে এটি পাঁচ বছর এবং তিন মাস ধরে লক্ষ্য এড়াল?

আসলে, আপনি যদি নগ্ন নিরাপত্তা নিবন্ধে যান এবং দেখুন সম্পূর্ণ URL নিবন্ধটির, আপনি লক্ষ্য করবেন এটি শেষে বলে, blahblahblah-for-three-months.

কারণ, আমি যখন প্রথম প্রতিবেদনটি পড়ি, তখন আমার মন এটি 2017 হিসাবে দেখতে চায়নি! [হাসি]

এটি ছিল 17 এপ্রিল থেকে 17 জুলাই, এবং তাই সেখানে প্রচুর "17" ছিল৷

এবং আমার মন 2017 কে প্রারম্ভিক বছর হিসাবে খালি করে দিয়েছে – আমি এটিকে "এ বছরের এপ্রিল থেকে জুলাই *" [2022] হিসাবে ভুল পড়েছি।

আমি ভেবেছিলাম, "বাহ, *তিন মাস* এবং তারা লক্ষ্য করেনি।"

এবং তারপর নিবন্ধে প্রথম মন্তব্য ছিল, “আহেম [কাশি]। এটি আসলে ছিল 17 এপ্রিল *2017*।"

কি দারুন!

কিন্তু কেউ 17 জুলাই [2022] তারিখে এটি খুঁজে বের করেছিল, এবং স্ল্যাক তাদের কৃতিত্বের জন্য, একই দিনে এটি ঠিক করেছিল।

যেমন, "ওহ, গলি, আমরা কী ভাবছিলাম?!"

তাই যে খারাপ খবর.

ভাল খবর হল, অন্তত এটি *হ্যাশ* পাসওয়ার্ড ছিল।

এবং সেগুলি শুধু হ্যাশ করা হয়নি, সেগুলি *সল্টেড* ছিল, যেখানে আপনি পাসওয়ার্ডের সাথে অনন্যভাবে নির্বাচিত, প্রতি-ব্যবহারকারীর র্যান্ডম ডেটা মিশ্রিত করেন।

এই ধারণা দ্বিগুণ।

এক, যদি দু'জন ব্যক্তি একই পাসওয়ার্ড বেছে নেয়, তারা একই হ্যাশ পাবে না, তাই আপনি হ্যাশ ডাটাবেসের মাধ্যমে কোনও অনুমান করতে পারবেন না।

এবং দুই, আপনি পরিচিত ইনপুটগুলির জন্য পরিচিত হ্যাশের অভিধান প্রি-কম্পিউট করতে পারবেন না, কারণ আপনাকে প্রতিটি পাসওয়ার্ডের জন্য * প্রতিটি লবণের জন্য * একটি পৃথক অভিধান তৈরি করতে হবে।

সুতরাং হ্যাশ করা পাসওয়ার্ড ক্র্যাক করা একটি তুচ্ছ ব্যায়াম নয়।

বলা হয়েছে যে, পুরো ধারণা হল যে তারা পাবলিক রেকর্ডের বিষয় হওয়ার কথা নয়।

এগুলিকে হ্যাশ করা হয় এবং নুন দেওয়া হয় *যদি* সেগুলি ফুটো হয়ে যায়, * যাতে তারা * লিক করতে পারে না।

তাই স্ল্যাকের মুখে ডিম!

স্ল্যাক বলে যে প্রায় 200 ব্যবহারকারীর মধ্যে একজন বা 0.5% প্রভাবিত হয়েছিল।

কিন্তু আপনি যদি একজন স্ল্যাক ব্যবহারকারী হন, আমি ধরে নেব যে তারা যদি বুঝতে না পারে যে তারা পাঁচ বছর ধরে হ্যাশ করা পাসওয়ার্ড ফাঁস করছে, তাহলে হয়ত তারা সম্পূর্ণভাবে ক্ষতিগ্রস্ত ব্যক্তিদের তালিকাও গণনা করেনি।

সুতরাং, যান এবং যাইহোক আপনার পাসওয়ার্ড পরিবর্তন করুন… আপনিও পারেন।

---

DOUG.  ঠিক আছে, আমরা এটাও বলি: আপনি যদি পাসওয়ার্ড ম্যানেজার ব্যবহার না করেন, তাহলে একটি পাওয়ার কথা বিবেচনা করুন; এবং আপনি যদি পারেন 2FA চালু করুন।

---

হাঁস.  আমি ভেবেছিলাম তুমি এটা পছন্দ করবে, ডগ.

---

DOUG.  হ্যাঁ আমি করেছি!

এবং তারপর, আপনি যদি স্ল্যাক বা এটি পছন্দ করেন তবে একটি নির্বাচন করুন নামকরা লবণ-হ্যাশ-এন্ড-স্ট্রেচ অ্যালগরিদম পাসওয়ার্ড নিজে পরিচালনা করার সময়।

---

হাঁস.  হ্যাঁ.

স্ল্যাকের প্রতিক্রিয়াতে বড় ব্যাপার, এবং আমি যে জিনিসটির অভাব বলে মনে করেছি, তা হল তারা শুধু বলেছিল, "চিন্তা করবেন না, আমরা কেবল পাসওয়ার্ডগুলিই হ্যাশ করিনি, আমরা সেগুলিকেও লবণ দিয়েছি।"

আমার পরামর্শ হল যে আপনি যদি এই ধরনের লঙ্ঘনে ধরা পড়েন, তাহলে আপনি যে অ্যালগরিদম বা প্রক্রিয়াটি সল্টিং এবং হ্যাশিং এর জন্য ব্যবহার করেছেন তা ঘোষণা করতে ইচ্ছুক হওয়া উচিত এবং আদর্শভাবে যাকে বলা হয় stretching, যেখানে আপনি শুধুমাত্র একবার সল্টেড পাসওয়ার্ড হ্যাশ করেন না, তবে যেকোন ধরনের অভিধান বা নৃশংস শক্তি আক্রমণের গতি কমাতে সম্ভবত আপনি এটি 100,000 বার হ্যাশ করেন।

এবং যদি আপনি বলেন যে আপনি কোন অ্যালগরিদম ব্যবহার করছেন এবং কোন প্যারামিটারের সাথে.. উদাহরণস্বরূপ, PBKDF2, bcrypt, scrypt, Argon2 - সেগুলি হল সবচেয়ে পরিচিত পাসওয়ার্ড "সল্ট-হ্যাশ-স্ট্রেচ" অ্যালগরিদম।

আপনি যদি আসলেই বলেন যে আপনি কোন অ্যালগরিদম ব্যবহার করছেন, তাহলে: [A] আপনি আরও খোলামেলা হচ্ছেন, এবং [B] আপনি সমস্যার সম্ভাব্য শিকারদের নিজেদের জন্য মূল্যায়ন করার সুযোগ দিচ্ছেন যে তারা মনে করে এটি কতটা বিপজ্জনক হতে পারে .

এবং এই ধরনের উন্মুক্ততা আসলে অনেক সাহায্য করতে পারে।

স্ল্যাক সেটা করেনি।

তারা শুধু বলেছিল, "ওহ, তারা লবণাক্ত এবং হ্যাশ করা হয়েছিল।"

কিন্তু আমরা যা জানি না তা হল, তারা কি দুই বাইট লবণ দিয়ে SHA-1 দিয়ে একবার হ্যাশ করেছে...

…বা ফাটল হওয়ার জন্য তাদের কি একটু বেশি প্রতিরোধী কিছু ছিল?

---

DOUG.  খারাপ জিনিসের বিষয়বস্তুতে লেগে থাকা, আমরা একটি প্রবণতা লক্ষ্য করছি যেখানে মানুষ আছে গিটহাবে খারাপ জিনিস ইনজেকশন করা, শুধু কি ঘটছে তা দেখার জন্য, ঝুঁকি প্রকাশ করা...

…আমরা সেই গল্পগুলির মধ্যে আরেকটি পেয়েছি।

---

হাঁস.  হ্যাঁ, এমন কেউ যিনি এখন টুইটারে বেরিয়ে এসেছেন এবং বলেছেন, “চিন্তা করবেন না বন্ধুরা, কোনো ক্ষতি হয়নি। এটি শুধুমাত্র গবেষণার জন্য ছিল। আমি একটি প্রতিবেদন লিখতে যাচ্ছি, ব্লু অ্যালার্ট থেকে আলাদা হয়ে যাও।"

তারা আক্ষরিক অর্থে হাজার হাজার ভুয়া গিটহাব প্রকল্প তৈরি করেছে, বিদ্যমান বৈধ কোড অনুলিপি করার উপর ভিত্তি করে, ইচ্ছাকৃতভাবে সেখানে কিছু ম্যালওয়্যার কমান্ড সন্নিবেশ করান, যেমন "আরো নির্দেশাবলীর জন্য বাড়িতে কল করুন" এবং "উত্তরটির মূল অংশটিকে কার্যকর করার জন্য ব্যাকডোর কোড হিসাবে ব্যাখ্যা করুন" এবং শীঘ্রই.

সুতরাং, আপনি যদি এই প্যাকেজগুলির মধ্যে একটি ইনস্টল করেন তবে এমন জিনিস যা সত্যিই ক্ষতি করতে পারে।

তাদের বৈধ খুঁজছেন নাম দেওয়া...

… ধার করা, দৃশ্যত, একটি প্রকৃত প্রকল্পের প্রতিশ্রুতি ইতিহাস যাতে জিনিসটি আপনার চেয়ে অনেক বেশি বৈধ বলে মনে হয় অন্যথায় যদি এটি এইমাত্র দেখানো হয়, "আরে, এই ফাইলটি ডাউনলোড করুন। আপনি চান!"

সত্যিই?! গবেষণা?? আমরা এটা আগে থেকেই জানতাম না?!!?

এখন, আপনি তর্ক করতে পারেন, "আচ্ছা, মাইক্রোসফ্ট, যারা গিটহাবের মালিক, তারা কী করছে যাতে লোকেদের এই ধরণের জিনিস আপলোড করা এত সহজ হয়?"

এবং যে কিছু সত্য আছে.

সম্ভবত তারা প্রথম স্থানে ম্যালওয়্যার আউট রাখা একটি ভাল কাজ করতে পারে.

কিন্তু এটা বলতে একটু উপরে যাচ্ছে, "ওহ, সবই মাইক্রোসফটের দোষ।"

এটা আমার মতে আরও খারাপ, এটা বলা, “হ্যাঁ, এটা সত্যিকারের গবেষণা; এটা সত্যিই গুরুত্বপূর্ণ; আমাদের লোকেদের মনে করিয়ে দিতে হবে যে এটি ঘটতে পারে।"

ঠিক আছে, [এ] আমরা ইতিমধ্যেই জানি যে, আপনাকে অনেক ধন্যবাদ, কারণ এর আগেও অনেক লোক এটি করেছে; আমরা জোরে এবং পরিষ্কার বার্তা পেয়েছি.

এবং [বি] এটি *গবেষণা* নয়।

এটি ইচ্ছাকৃতভাবে একটি রিপোর্ট লেখার ক্ষমতার বিনিময়ে একটি সম্ভাব্য আক্রমণকারীকে রিমোট কন্ট্রোল দেয় এমন কোড ডাউনলোড করার জন্য লোকেদের প্রতারণা করার চেষ্টা করছে৷

এটি গবেষণার জন্য একটি বৈধ অনুপ্রেরণার চেয়ে আমার কাছে "বড় মোটা অজুহাত" এর মতো শোনাচ্ছে।

এবং তাই আমার সুপারিশ হল, যদি আপনি মনে করেন যে এটি *গবেষণা* এবং আপনি যদি আবারও এরকম কিছু করার জন্য দৃঢ়প্রতিজ্ঞ হন, তাহলে আপনি যদি ধরা পড়েন তাহলে খুব বেশি সহানুভূতির আশা করবেন না।

---

DOUG.  ঠিক আছে - আমরা শো শেষে এটি এবং পাঠকের মন্তব্যগুলিতে ফিরে আসব, তাই চারপাশে থাকুন।

কিন্তু প্রথম, আমাদের সম্পর্কে কথা বলা যাক ট্রাফিক বাতি, এবং তাদের সাইবার নিরাপত্তার সাথে কি করতে হবে।

---

হাঁস.  আহহ, হ্যাঁ! [হাস]

ওয়েল, TLP নামক একটি জিনিস আছে, ট্রাফিক লাইট প্রোটোকল.

এবং TLP হল যাকে আপনি একটি "হিউম্যান সাইবারসিকিউরিটি রিসার্চ প্রোটোকল" বলতে পারেন যা আপনাকে অন্য লোকেদের কাছে পাঠানো নথিগুলিকে লেবেল করতে সাহায্য করে, তাদের একটি ইঙ্গিত দিতে সাহায্য করে যা আপনি আশা করেন তারা কি করবে (এবং, আরও গুরুত্বপূর্ণভাবে, আপনি কি আশা করেন তারা কি করবে * না*) ডেটা দিয়ে করবেন।

বিশেষ করে, তারা কতটা ব্যাপকভাবে এটি পুনরায় বিতরণ করার কথা?

এটি কি এত গুরুত্বপূর্ণ কিছু যে আপনি এটি বিশ্বের কাছে ঘোষণা করতে পারেন?

অথবা এটি কি সম্ভাব্য বিপজ্জনক, বা এটি সম্ভাব্যভাবে এমন কিছু জিনিস অন্তর্ভুক্ত করে যা আমরা এখনও সর্বজনীন হতে চাই না... তাই এটি নিজের কাছে রাখুন?

এবং এটি দিয়ে শুরু হয়েছিল: TLP:RED, যার অর্থ ছিল, "এটি নিজের কাছে রাখুন"; TLP:AMBER, যার অর্থ ছিল "আপনি এটি আপনার নিজের কোম্পানির অভ্যন্তরে বা আপনার গ্রাহকদের কাছে প্রচার করতে পারেন যা আপনার মনে হয় জরুরীভাবে এটি জানার প্রয়োজন হতে পারে"; TLP:GREEN, যার অর্থ ছিল, "ঠিক আছে, আপনি এটিকে সাইবার নিরাপত্তা সম্প্রদায়ের মধ্যে ব্যাপকভাবে প্রচার করতে দিতে পারেন।"

এবং TLP:WHITE, যার অর্থ ছিল, "আপনি যে কাউকে বলতে পারেন।"

খুব দরকারী, খুব সহজ: লাল, অ্যাম্বার, সবুজ… একটি রূপক যা বিশ্বব্যাপী কাজ করে, "গোপন" এবং "গোপনীয়" এর মধ্যে পার্থক্য কী এবং "গোপনীয়" এবং "শ্রেণীবদ্ধ" এর মধ্যে পার্থক্য কী তা নিয়ে চিন্তা না করেই সমস্ত জটিল জিনিস যা এর চারপাশে অনেক আইন দরকার।

ঠিক আছে, TLP কিছু পরিবর্তন করেছে।

সুতরাং, আপনি যদি সাইবারসিকিউরিটি গবেষণায় থাকেন তবে নিশ্চিত হয়ে নিন যে আপনি সেগুলি সম্পর্কে সচেতন।

TLP:WHITE আমি আসলে একটি অনেক ভাল শব্দ বিবেচনা কি পরিবর্তন করা হয়েছে, কারণ সাদা এই সমস্ত অপ্রয়োজনীয় সাংস্কৃতিক আধিক্য রয়েছে যা আমরা আধুনিক যুগে ছাড়া করতে পারি।

সুতরাং, TLP:WHITE সবেমাত্র হয়ে গেছে TLP:CLEAR, যা আমার মনে অনেক ভালো শব্দ কারণ এটি বলে, "আপনি এই ডেটা ব্যবহার করতে পরিষ্কার," এবং সেই অভিপ্রায়টি খুব স্পষ্টভাবে বলা হয়েছে। (দুঃখিত, আমি শ্লেষ প্রতিরোধ করতে পারিনি।)

এবং একটি অতিরিক্ত স্তর রয়েছে (তাই এটি রূপকটিকে কিছুটা নষ্ট করেছে - এটি এখন একটি *পাঁচ*-রঙের রঙিন ট্র্যাফিক লাইট!)

বলা হয় একটি বিশেষ স্তর আছে TLP:AMBER+STRICT, এবং এর অর্থ হল, "আপনি এটি আপনার কোম্পানির মধ্যে ভাগ করতে পারেন।"

তাই আপনাকে একটি মিটিংয়ে আমন্ত্রণ জানানো হতে পারে, হতে পারে আপনি একটি সাইবারসিকিউরিটি কোম্পানির জন্য কাজ করেন এবং এটি বেশ স্পষ্ট যে আপনাকে এটি প্রোগ্রামারদের, হতে পারে আপনার আইটি টিম, হতে পারে আপনার গুণমান নিশ্চিতকারী ব্যক্তিদের কাছে দেখাতে হবে, যাতে আপনি গবেষণা করতে পারেন সমস্যাটি বা এটি ঠিক করার সাথে ডিল করুন।

কিন্তু TLP:AMBER+STRICT এর মানে হল যে যদিও আপনি এটি আপনার প্রতিষ্ঠানের ভিতরে প্রচার করতে পারেন, *অনুগ্রহ করে আপনার ক্লায়েন্ট বা আপনার গ্রাহকদের*, এমনকি কোম্পানির বাইরের লোকদেরও বলবেন না যেগুলিকে জানার প্রয়োজন হতে পারে বলে আপনি মনে করেন।

শুরু করার জন্য এটিকে আরও কঠোর সম্প্রদায়ের মধ্যে রাখুন।

TLP:AMBER, আগের মত, মানে, "ঠিক আছে, আপনি যদি আপনার গ্রাহকদের বলার প্রয়োজন মনে করেন, আপনি করতে পারেন।"

এবং এটি গুরুত্বপূর্ণ হতে পারে, কারণ কখনও কখনও আপনি আপনার গ্রাহকদের জানাতে চাইতে পারেন, “আরে, আমরা ঠিক করে দিয়েছি। ফিক্স আসার আগে আপনাকে কিছু সতর্কতামূলক পদক্ষেপ নিতে হবে। কিন্তু যেহেতু এটি একধরনের সংবেদনশীল, আমরা কি জিজ্ঞাসা করতে পারি যে আপনি এখনও বিশ্বকে জানান না?

কখনও কখনও, খুব তাড়াতাড়ি বিশ্বকে বলা আসলে এটি রক্ষকদের হাতে খেলার চেয়ে বেশি দুর্বৃত্তদের হাতে খেলে।

সুতরাং, আপনি যদি একজন সাইবার নিরাপত্তা উত্তরদাতা হন, তাহলে আমি আপনাকে যেতে পরামর্শ দিচ্ছি: https://www.first.org/tlp

---

DOUG.  এবং তুমি পারো যে সম্পর্কে আরো পড়ুন আমাদের সাইটে, nakedsecurity.sophos.com.

এবং যদি আপনি অন্য কিছু হালকা পড়ার জন্য খুঁজছেন, কোয়ান্টাম ক্রিপ্টোগ্রাফি ভুলে যান... আমরা এগিয়ে যাচ্ছি পোস্ট-কোয়ান্টাম ক্রিপ্টোগ্রাফি, পল!

---

হাঁস.  হ্যাঁ, আমরা পডকাস্টে এর আগে কয়েকবার এই বিষয়ে কথা বলেছি, তাই না?

একটি কোয়ান্টাম কম্পিউটারের ধারণা, একটি শক্তিশালী এবং যথেষ্ট নির্ভরযোগ্য একটি তৈরি করা যেতে পারে, এই ধারণাটি হল যে নির্দিষ্ট ধরণের অ্যালগরিদমগুলি আজকের শিল্পের অবস্থার উপর ত্বরান্বিত করা যেতে পারে, হয় বর্গমূলের সুরে… বা আরও খারাপ, আজকের সমস্যার স্কেলের *লগারিদম*।

অন্য কথায়, 2 নেওয়ার পরিবর্তে²⁵⁶ একটি নির্দিষ্ট হ্যাশ সহ একটি ফাইল খুঁজে বের করার চেষ্টা করে, আপনি এটি করতে সক্ষম হতে পারেন ("শুধু"!) 2¹²⁸ চেষ্টা করে, যা বর্গমূল।

স্পষ্টতই অনেক দ্রুত।

কিন্তু মৌলিক সংখ্যার গুণিতককরণের সাথে জড়িত একটি সম্পূর্ণ শ্রেণির সমস্যা রয়েছে যা তত্ত্বটি বলে যে তারা আজকে যে সময় নেয় তার *লগারিদম*-এ ফাটল হতে পারে।

সুতরাং, নেওয়ার পরিবর্তে বলুন, 2¹²⁸ ক্র্যাক করতে দিন [মহাবিশ্বের বর্তমান যুগের চেয়ে অনেক বেশি], এটি ফাটতে মাত্র 128 দিন সময় লাগতে পারে।

অথবা আপনি "দিন" প্রতিস্থাপন করতে পারেন "মিনিট", বা যাই হোক না কেন।

এবং দুর্ভাগ্যবশত, সেই লগারিদমিক সময় অ্যালগরিদম (যাকে বলা হয় শোর কোয়ান্টাম ফ্যাক্টরাইজেশন অ্যালগরিদম)… তা, তাত্ত্বিকভাবে, আজকের ক্রিপ্টোগ্রাফিক কৌশলগুলির কিছু ক্ষেত্রে প্রয়োগ করা যেতে পারে, বিশেষ করে যেগুলি পাবলিক কী ক্রিপ্টোগ্রাফির জন্য ব্যবহৃত হয়।

এবং, যদি এই কোয়ান্টাম কম্পিউটিং ডিভাইসগুলি আগামী কয়েক বছরের মধ্যে সম্ভব হয়ে ওঠে, তাহলে হয়তো আমাদের এখনই এনক্রিপশন অ্যালগরিদমগুলির জন্য প্রস্তুতি শুরু করা উচিত যা এই দুটি বিশেষ শ্রেণীর আক্রমণের জন্য ঝুঁকিপূর্ণ নয়?

বিশেষ করে লগারিদম একটি, কারণ এটি সম্ভাব্য আক্রমণকে এত বেশি গতি দেয় যে ক্রিপ্টোগ্রাফিক কী যা আমরা বর্তমানে মনে করি, "আচ্ছা, কেউ এটি বের করতে পারবে না," পরবর্তী পর্যায়ে প্রকাশযোগ্য হতে পারে।

যাই হোক, NIST, the জাতীয় মান ও প্রযুক্তি ইনস্টিটিউট মার্কিন যুক্তরাষ্ট্রে, বেশ কয়েক বছর ধরে কিছু পাবলিক, পেটেন্টবিহীন, ভালভাবে যাচাই করা অ্যালগরিদমগুলি চেষ্টা করার এবং মানসম্মত করার জন্য একটি প্রতিযোগিতা চলছে যা এই জাদুকরী কোয়ান্টাম কম্পিউটারগুলির বিরুদ্ধে প্রতিরোধী হবে, যদি কখনও তারা প্রদর্শিত হয়।

এবং সম্প্রতি তারা চারটি অ্যালগরিদম বেছে নিয়েছে যা তারা এখন মানসম্মত করার জন্য প্রস্তুত।

তাদের দুর্দান্ত নাম আছে, ডগ, তাই আমাকে সেগুলি পড়তে হবে: CRYSTALS-KYBER, CRYSTALS-DILITHIUM, FALCON, এবং SPHINCS+. [হাসি]

তাই তাদের চমৎকার নাম আছে, অন্য কিছু না হলে।

কিন্তু, একই সময়ে, NIST মূর্ত করে, “ভাল, এটা মাত্র চারটি অ্যালগরিদম। আমরা যা করব তা হল আমরা সম্ভাব্য মাধ্যমিক প্রার্থী হিসাবে আরও চারজনকে বাছাই করব এবং আমরা দেখব যে এর মধ্যেও কোনওটি পাস করা উচিত কিনা।”

তাই এখন চারটি প্রমিত অ্যালগরিদম আছে, এবং চারটি অ্যালগরিদম যা ভবিষ্যতে মানসম্মত হতে পারে।

অথবা 5 জুলাই 2022-এ চারটি * ছিল এবং তাদের মধ্যে একজন ছিল SIKE, খুব ছোট সুপারসিঙ্গুলার আইসোজেনি কী এনক্যাপসুলেশন.

(সুপারসিঙ্গুলার আইসোজেনগুলি ব্যাখ্যা করার জন্য আমাদের বেশ কয়েকটি পডকাস্টের প্রয়োজন হবে, তাই আমরা বিরক্ত করব না। [হাসি])

কিন্তু, দুর্ভাগ্যবশত, এটি, যা মানসম্মত হওয়ার লড়াইয়ের সুযোগের সাথে সেখানে ঝুলে ছিল, দেখে মনে হচ্ছে এটি অপরিবর্তনীয়ভাবে ভেঙে গেছে, অন্তত পাঁচ বছর ইতিমধ্যে জনসাধারণের যাচাই-বাছাইয়ের জন্য উন্মুক্ত থাকা সত্ত্বেও।

সুতরাং, সৌভাগ্যবশত, এটি মানসম্মত হওয়ার বা পাওয়ার ঠিক আগে, দুই বেলজিয়ান ক্রিপ্টোগ্রাফার খুঁজে বের করেছিলেন, "আপনি কি জানেন? আমরা মনে করি যে আমরা গণনা ব্যবহার করে একটি উপায় পেয়েছি যা প্রায় এক ঘন্টা সময় নেয়, মোটামুটি গড় CPU-তে, শুধুমাত্র একটি কোর ব্যবহার করে।"

---

DOUG.  আমি অনুমান করি যে এটিকে প্রমিতকরণ এবং বন্যের মধ্যে খুঁজে বের করার চেয়ে এখন এটি খুঁজে পাওয়া ভাল?

---

হাঁস.  প্রকৃতপক্ষে!

আমি অনুমান করি যদি এটি এমন অ্যালগরিদমগুলির মধ্যে একটি হয়ে থাকে যা ইতিমধ্যেই মানসম্মত হয়েছে, তবে তাদের মানটি বাতিল করতে হবে এবং একটি নতুন নিয়ে আসতে হবে?

এটা অদ্ভুত বলে মনে হচ্ছে যে এটি পাঁচ বছর ধরে লক্ষ্য করা যায়নি।

কিন্তু আমি অনুমান করি যে এটিই জনসাধারণের যাচাই-বাছাইয়ের সম্পূর্ণ ধারণা: আপনি কখনই জানেন না যে কেউ কখন প্রয়োজনের ফাটলে আঘাত করতে পারে, বা সামান্য কীলক যা তারা ভেঙে ফেলতে এবং প্রমাণ করতে পারে যে অ্যালগরিদমটি ততটা শক্তিশালী নয় যেমনটি প্রাথমিকভাবে চিন্তা করা হয়েছিল।

একটি ভাল অনুস্মারক যে আপনি যদি *কখনও* আপনার নিজের ক্রিপ্টোগ্রাফি বুননের কথা ভেবে থাকেন...

---

DOUG.  [হাসি] আমি না!

---

হাঁস.  .. যদিও আমরা আপনাকে নেকেড সিকিউরিটি পডকাস্ট N বার বলেছি, "এটা করবেন না!"

এটি চূড়ান্ত অনুস্মারক হওয়া উচিত যে, এমনকি যখন সত্যিকারের বিশেষজ্ঞরা এমন একটি অ্যালগরিদম তৈরি করে যা একটি বিশ্বব্যাপী প্রতিযোগিতায় পাঁচ বছরের জন্য জনসাধারণের যাচাই-বাছাইয়ের সাপেক্ষে, এটি এখনও অগত্যা ত্রুটিগুলি প্রকাশ করার জন্য যথেষ্ট সময় দেয় না যা বেশ খারাপ হতে পারে।

সুতরাং, এটা অবশ্যই এই জন্য ভাল খুঁজছেন না SIKE অ্যালগরিদম।

আর কে জানে, হয়তো প্রত্যাহার করা হবে?

---

DOUG.  আমরা সেদিকে নজর রাখব।

এবং এই সপ্তাহের জন্য আমাদের শোতে সূর্য ধীরে ধীরে অস্ত যাওয়ার সাথে সাথে, আমরা আগে আলোচনা করা গিটহাব গল্পে আমাদের একজন পাঠকের কাছ থেকে শোনার সময় এসেছে।

হরণ করা লিখেছেন:

"মন্তব্যে কিছু চক এবং পনির আছে, এবং আমি এটা বলতে ঘৃণা করি, কিন্তু আমি সত্যিকার অর্থে যুক্তির উভয় দিক দেখতে পাচ্ছি। এটা কি বিপজ্জনক, ঝামেলা, সময় নষ্ট এবং সম্পদ গ্রহণকারী? হ্যা, অবশ্যই। এটা কি অপরাধমূলক মানসিকতার ধরনের কাজ করবে? হ্যাঁ হ্যাঁ এটাই. GitHub, বা সেই বিষয়ে অন্য কোনো কোড রিপোজিটরি সিস্টেম ব্যবহার করে কি এটা একটা অনুস্মারক, যে নিরাপদে ইন্টারনেট ভ্রমণের জন্য স্বাস্থ্যকর ডিগ্রী নিন্দুকতা এবং প্যারানয়া প্রয়োজন? হ্যাঁ. একজন সিসাডমিন হিসাবে, আমার একটি অংশ হাতের ঝুঁকির প্রকাশকে সাধুবাদ জানাতে চায়। একগুচ্ছ ডেভেলপারদের একজন সিসাডমিন হিসাবে, আমাকে এখন নিশ্চিত করতে হবে যে সবাই সম্প্রতি সন্দেহজনক এন্ট্রির জন্য কোনও টানাপড়েন করেছে।"

---

হাঁস.  হ্যাঁ, আপনাকে ধন্যবাদ, RobB, সেই মন্তব্যের জন্য, কারণ আমি মনে করি যুক্তির উভয় পক্ষই দেখা গুরুত্বপূর্ণ।

সেখানে মন্তব্যকারীরা ছিলেন যারা শুধু বলছিলেন, “এতে সমস্যা কী? এটা অসাধারণ!"

এক ব্যক্তি বলল, "না, আসলে, এই কলম পরীক্ষাটি ভাল এবং দরকারী। সত্যিকারের আক্রমণকারীর কাছ থেকে তাদের কুৎসিত মাথা লালন-পালনের পরিবর্তে এখন এইগুলি প্রকাশ করা হচ্ছে।”

এবং এর প্রতি আমার প্রতিক্রিয়া হল, "আচ্ছা, এটি * আসলে একটি আক্রমণ।"

এটা ঠিক যে কেউ এখন পরে বেরিয়ে এসেছে, বলছে “ওহ, না, না। কোন ক্ষতি হয়নি! সত্যি বলতে, আমি দুষ্টু ছিলাম না।"

আমি মনে করি না আপনি সেই অজুহাত কিনতে বাধ্য!

তবে যাইহোক, এটি অনুপ্রবেশ পরীক্ষা নয়।

আমার প্রতিক্রিয়া বলতে ছিল, খুব সহজভাবে: "দায়িত্বশীল অনুপ্রবেশ পরীক্ষকরা শুধুমাত্র স্পষ্ট অনুমতি পাওয়ার পরে [A] কাজ করে এবং [B] আচরণগত সীমার মধ্যে আগে থেকেই স্পষ্টভাবে সম্মত হয়।"

আপনি শুধু আপনার নিজের নিয়ম তৈরি করবেন না, এবং আমরা এটি আগে আলোচনা করেছি।

সুতরাং, অন্য একজন মন্তব্যকারী বলেছেন, যা, আমি মনে করি, আমার প্রিয় মন্তব্য… Ecurb ড, “আমি মনে করি যে দরজার তালাগুলি আসলে কতটা অকার্যকর তা দেখানোর জন্য কারও ঘরে ঘরে হেঁটে যাওয়া এবং জানালা ভেঙে দেওয়া উচিত। এটা অতীত কারণে. কেউ এর উপর ঝাঁপিয়ে পড়ুন, দয়া করে।"

এবং তারপরে, যদি আপনি বুঝতে না পারেন যে এটি ব্যঙ্গ, লোকেরা, তিনি বলেছেন, "না!"

---

হাঁস.  আমি ধারণা পেয়েছি যে এটি একটি ভাল অনুস্মারক, এবং আমি ধারণা পেয়েছি যে আপনি যদি একজন গিটহাব ব্যবহারকারী হন, একজন প্রযোজক এবং একজন ভোক্তা উভয় হিসাবে, আপনি কিছু করতে পারেন।

আমরা তাদের মন্তব্য এবং নিবন্ধে তালিকাভুক্ত করি।

উদাহরণস্বরূপ, আপনার সমস্ত প্রতিশ্রুতিতে একটি ডিজিটাল স্বাক্ষর রাখুন যাতে এটি স্পষ্ট হয় যে পরিবর্তনগুলি আপনার কাছ থেকে এসেছে এবং কিছু ধরণের সন্ধানযোগ্যতা রয়েছে।

এবং শুধু অন্ধভাবে জিনিসপত্র গ্রাস করবেন না কারণ আপনি একটি অনুসন্ধান করেছেন এবং এটি "মনে হচ্ছে" এটি সঠিক প্রকল্প হতে পারে।

হ্যাঁ, আমরা সকলেই এটি থেকে শিখতে পারি, কিন্তু এটি কি আসলে আমাদের শিক্ষার হিসাবে গণনা করা হয়, নাকি এটি এমন কিছু যা যাহোক আমাদের শেখা উচিত?

আমি মনে করি এটি * নয় * শিক্ষা।

এটি শুধুমাত্র *গবেষণা হিসাবে গণনা করার জন্য যথেষ্ট উচ্চমানের নয়*।

---

DOUG.  এই নিবন্ধটি ঘিরে দুর্দান্ত আলোচনা, এবং এটি পাঠানোর জন্য ধন্যবাদ, রব।

যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।

আপনি ইমেল করতে পারেন tips@sophos.com; আপনি আমাদের নিবন্ধগুলির যেকোনো একটিতে মন্তব্য করতে পারেন; অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @NakedSecurity.

এটাই আমাদের আজকের অনুষ্ঠান – শোনার জন্য অনেক ধন্যবাদ।

পল ডকলিনের জন্য, আমি ডগ আমথ আপনাকে মনে করিয়ে দিচ্ছি, পরের বার পর্যন্ত,...

---

উভয়।  নিরাপদ থাকুন!

[মিউজিক্যাল মডেম]