पिछले दरवाजे, शोषण, और छोटी बॉबी टेबलें
नीचे कोई ऑडियो प्लेयर नहीं है? सुनना सीधे साउंडक्लाउड पर।
डग आमोथ और पॉल डकलिन के साथ। इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डौग पिछले दरवाजे, कारनामे, और लिटिल बॉबी टेबल्स की विजयी वापसी।
वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।
[संगीत मोडेम]
पॉडकास्ट में आपका स्वागत है, सब लोग।
मैं डौग आमोथ हूं, और वह पॉल डकलिन है।
पॉल, आप कैसे हैं?
बत्तख। मुझे लगता है कि वह शायद "मिस्टर" हैं। रॉबर्ट टेबल्स'' अब, डगलस। [हँसी]
लेकिन आप सही हैं, उसने बदनाम वापसी की है।
डौग बढ़िया, हम उस बारे में सब बात करेंगे।
लेकिन पहले, टेक इतिहास में यह सप्ताह.
7 जून 1983 को माइकल ईटन को इसका पेटेंट प्रदान किया गया AT
मॉडेम के लिए कमांड सेट।
आज तक, यह अभी भी मॉडेम को नियंत्रित करने के लिए व्यापक रूप से उपयोग किया जाने वाला संचार प्रोटोकॉल है।
इसका अर्थ है ATTENTION
, और इसका नाम मॉडेम संचार आरंभ करने के लिए उपयोग किए जाने वाले कमांड उपसर्ग के नाम पर रखा गया है।
RSI AT
कमांड सेट मूल रूप से हेस मॉडेम के लिए विकसित किया गया था, लेकिन यह एक वास्तविक मानक बन गया है और आज उपलब्ध अधिकांश मॉडेम द्वारा समर्थित है।
पॉल, हमारे पास ऐसी कितनी तकनीकी चीजें हैं जो 1983 से बची हुई हैं और अभी भी उपयोग में हैं?
बत्तख। अरे...
एमएस-डॉस?
ओह, नहीं, क्षमा करें! [हँसी]
ATDT
"ध्यान दें, डायल करें, टोन करें" के लिए।
ATDP
[पी फॉर पल्स] यदि आपके पास टोन-डायलिंग एक्सचेंज नहीं है...
...और आप मॉडेम सुनेंगे।
इसमें क्लिक-क्लिक-क्लिक-क्लिक-क्लिक, क्लिक-क्लिक-क्लिक, क्लिक-क्लिक का एक छोटा सा रिले था।
जिस नंबर को डायल किया जा रहा था उसे जांचने के लिए आप अपना रास्ता गिन सकते हैं।
और आप सही हैं: आज भी इसका उपयोग किया जाता है।
इसलिए, उदाहरण के लिए, ब्लूटूथ मॉडेम पर, आप अभी भी ऐसी बातें कह सकते हैं AT+NAME=
और फिर वह ब्लूटूथ नाम जिसे आप प्रदर्शित करना चाहते हैं।
आश्चर्यजनक रूप से दीर्घजीवी।
डौग आइये हमारी कहानियों में आते हैं।
सबसे पहले हमने इस अपडेट पर नजर रखी...क्या चल रहा है KeePass, पॉल?
गंभीर सुरक्षा: वह कीपास "मास्टर पासवर्ड क्रैक", और हम इससे क्या सीख सकते हैं
बत्तख। यदि आपको याद हो, डौग, हमने एक बग के बारे में बात की थी (वह था)। CVE-2023-32784).
वह बग वह था जहां, जैसे ही आप अपना पासवर्ड टाइप करते थे, ब्लॉब्स की स्ट्रिंग जो पहले से दर्ज किए गए पासवर्ड वर्णों की संख्या को इंगित करती थी, स्मृति में झंडे के रूप में कार्य करती थी जो कहती थी, "अरे, वे पांच ब्लॉब वर्ण जो दिखाते हैं कि आप पहले ही टाइप कर चुके हैं पासवर्ड के पाँच अक्षर? स्मृति में उनके ठीक पास एक अक्षर है (जो अन्यथा समय और स्थान में खो जाएगा) जो आपके पासवर्ड का छठा अक्षर है।
इसलिए मास्टर पासवर्ड को कभी भी एक जगह एकत्र नहीं किया जाता था - अक्षर पूरी मेमोरी में बिखरे पड़े थे।
आप उन्हें कभी एक साथ कैसे रखेंगे?
और रहस्य यह था कि आपने मार्करों, ब्लॉब-ब्लॉब-ब्लॉब-ब्लॉब आदि की तलाश की थी।
और अच्छी खबर यह है कि KeePass के लेखक ने वादा किया था कि वह इसे ठीक कर देगा, और उसने ऐसा किया है।
इसलिए यदि आप KeePass उपयोगकर्ता हैं, तो जाएं और KeyPass 2.54 प्राप्त करें।
डौग जी श्रीमान!
ठीक है, हम इस पर नज़र रखना बंद कर देंगे।
जब तक यह दोबारा सामने नहीं आता, उस स्थिति में हम इस पर नई नज़र डालेंगे। [हँसी]
आइए हमारी कहानियों की सूची में शामिल हों।
पॉल, हमारे पास पुराने ज़माने का एक अच्छा एसक्यूएल इंजेक्शन हमला है वापसी की घोषणा करता है हमारे मित्र लिटिल बॉबी टेबल्स का।
यहाँ क्या चल रहा है?
बत्तख। को उद्धृत करने के लिए मूल पागल स्टंटमैन [नृत्य कलाकार मार्क क्वाशी], "मुझे इसे हिलाना, हिलाना पसंद है!"
यह आश्चर्यजनक रूप से व्यापक रूप से उपयोग किया जाने वाला फ़ाइल साझाकरण-और-प्रबंधन उत्पाद/सेवा है।
इसके दो फ्लेवर हैं.
वहाँ MOVEit स्थानांतरण और MOVEit बादल; वे प्रोग्रेस सॉफ्टवेयर कॉर्पोरेशन नामक कंपनी से आते हैं।
यह एक फ़ाइल साझाकरण उपकरण है जिसमें अन्य चीज़ों के अलावा, एक वेब फ्रंट एंड शामिल है जो आपके लिए आपकी टीम, विभाग, कंपनी, शायद आपकी आपूर्ति श्रृंखला में भी साझा की गई फ़ाइलों तक पहुंच आसान बनाता है।
समस्या... वेब फ्रंट-एंड भाग में, जैसा कि आप कहते हैं, एक SQL इंजेक्शन बग था (डब किया गया)। सीवीई 2023-34362, यदि आप इसे ट्रैक करना चाहते हैं)।
और इसका मतलब यह है कि कोई व्यक्ति जो बिना लॉग इन किए आपके वेब इंटरफेस तक पहुंच सकता है, वह सर्वर, बैक-एंड सर्वर को अपनी पसंद के कुछ कमांड चलाने के लिए धोखा दे सकता है।
और जो चीज़ें वे कर सकते हैं उनमें ये होंगी: आपके आंतरिक डेटाबेस की संरचना का पता लगाना, ताकि वे जान सकें कि क्या कहाँ संग्रहीत है; संभवतः आपके डेटा को डाउनलोड करना और उसके साथ खिलवाड़ करना; और, वैकल्पिक रूप से बदमाशों के लिए, जिसे वेबशेल के रूप में जाना जाता है उसे इंजेक्ट करना।
यह मूल रूप से एक दुष्ट फ़ाइल है जिसे आप वेब सर्वर भाग में चिपका देते हैं ताकि जब आप बाद में उस पर वापस जाएं, तो यह आपके लिए, एक मासूम दिखने वाले ब्राउज़र वाले विज़िटर के लिए एक वेब पेज न परोसे।
इसके बजाय, यह वास्तव में सर्वर पर मनमाने कमांड ट्रिगर करता है।
और दुर्भाग्य से, क्योंकि यह एक शून्य-दिवस था, इसका स्पष्ट रूप से कुछ बहुत बड़े संगठनों से डेटा चुराने के लिए व्यापक रूप से उपयोग किया गया है, और फिर डेटा को दबाने के लिए उन्हें पैसे देने के लिए ब्लैकमेल किया गया है।
यूके में, हम उन सैकड़ों-हजारों प्रभावित कर्मचारियों के बारे में बात कर रहे हैं जो अनिवार्य रूप से इस MOVEit बग के कारण हैक किए गए थे, क्योंकि यह वह सॉफ़्टवेयर था जिसे उनके सामान्य पेरोल प्रदाता ने उपयोग करने के लिए चुना था।
और आप कल्पना करें, यदि आप सीधे XYZ Corp में सेंध नहीं लगा सकते हैं, लेकिन आप XYZ Corp के आउटसोर्स पेरोल प्रदाता में सेंध लगा सकते हैं, तो संभवतः आपके पास उन व्यवसायों के सभी कर्मचारियों के बारे में व्यक्तिगत रूप से पहचाने जाने योग्य अद्भुत मात्रा में जानकारी होगी।
दुर्भाग्य से, ऐसी जानकारी का पहचान की चोरी के लिए दुरुपयोग करना वास्तव में आसान है।
तो आप सामाजिक सुरक्षा नंबर, राष्ट्रीय बीमा नंबर, कर फ़ाइल नंबर, घर का पता, फ़ोन नंबर, शायद बैंक खाता नंबर, पेंशन योजना अपलोड जानकारी, ऐसी सभी चीज़ों के बारे में बात कर रहे हैं।
तो, जाहिरा तौर पर, ऐसा लगता है कि इस मामले में जो नुकसान हुआ है: जो कंपनियां इस MOVEit सॉफ़्टवेयर का उपयोग करती हैं, उन्हें जानबूझकर, जानबूझकर, इन बदमाशों द्वारा लक्षित किया गया है।
और, माइक्रोसॉफ्ट की रिपोर्टों के अनुसार, ऐसा प्रतीत होता है कि वे या तो कुख्यात क्लॉप रैनसमवेयर गिरोह से जुड़े हुए हैं।
डौग ठीक है.
इसे क्लाउड-आधारित संस्करण सहित, जल्दी से पैच कर दिया गया था, इसलिए आपको वहां कुछ भी करने की ज़रूरत नहीं है... लेकिन यदि आप ऑन-प्रिमाइसेस संस्करण चला रहे हैं, तो आपको पैच करना चाहिए।
लेकिन हमें इस बारे में कुछ सलाह मिली है कि क्या करना है, और मेरी पसंदीदा में से एक है: यदि आप प्रोग्रामर हैं तो अपने इनपुट को साफ करें।
जो हमें लिटिल बॉबी टेबल्स कार्टून की ओर ले जाता है।
यदि आपने कभी XKCD कार्टून देखा है (https://xkcd.com/327), स्कूल एक माँ को बुलाता है और कहता है, "हमें कंप्यूटर में कुछ परेशानी हो रही है।"
और वह कहती है, "क्या मेरा बेटा इसमें शामिल है।"
और वे कहते हैं, “ठीक है, वास्तव में नहीं। लेकिन क्या आपने अपने बेटे का नाम रॉबर्ट ड्रॉप टेबल स्टूडेंट्स रखा है?”
और वह कहती है, "ओह, हाँ, हम उसे लिटिल बॉबी टेबल्स कहते हैं।"
और निश्चित रूप से, उस कमांड को अनुचित तरीके से साफ किए गए डेटाबेस में इनपुट करने से छात्रों की तालिका हटा दी जाएगी।
क्या मैने इसे सही समझा?
बत्तख। तुमने किया, डगलस।
और, वास्तव में, जैसा कि हमारे एक टिप्पणीकार ने बताया, कुछ साल पहले (मुझे लगता है कि यह 2016 की बात है) किसी ऐसे व्यक्ति का प्रसिद्ध मामला था जिसने जानबूझकर यूके में कंपनी हाउस के साथ एक कंपनी पंजीकृत की थी। SEMICOLON
(जो SQL में एक कमांड सेपरेटर है) [हँसी] DROP TABLE COMPANIES SEMICOLON COMMENT SIGN LIMITED
.
जाहिर है, वह एक मजाक था, और महामहिम सरकार की वेबसाइट के प्रति निष्पक्ष रहने के लिए, आप वास्तव में उस पृष्ठ पर जा सकते हैं और कंपनी का नाम सही ढंग से प्रदर्शित कर सकते हैं।
तो ऐसा लगता है कि उस मामले में इसने काम नहीं किया... ऐसा लगता है कि वे अपने इनपुट को सैनिटाइज़ कर रहे थे!
लेकिन समस्या तब आती है जब आपके पास वेब यूआरएल या वेब फॉर्म होते हैं जिन्हें आप सर्वर पर भेज सकते हैं जिसमें डेटा शामिल होता है *जिसे सबमिट करने वाले को चुनने के लिए मिलता है*, जो तब सिस्टम कमांड में इंजेक्ट हो जाता है जो आपके नेटवर्क पर किसी अन्य सर्वर पर भेजा जाता है।
तो यह एक पुराने जमाने की गलती है, लेकिन इसे बनाना काफी आसान है, और इसका परीक्षण करना काफी कठिन है, क्योंकि इसमें बहुत सारी संभावनाएं हैं।
यूआरएल और कमांड लाइनों में वर्ण... एकल उद्धरण चिह्न, दोहरे उद्धरण चिह्न, बैकस्लैश वर्ण, अर्धविराम (यदि वे कथन विभाजक हैं) जैसी चीजें, और एसक्यूएल में, यदि आप एक डैश-डैश छिपा सकते हैं (--
) वहां चरित्र अनुक्रम है, फिर वह कहता है, "आगे जो भी आता है वह एक टिप्पणी है।"
जिसका अर्थ है, यदि आप इसे अपने विकृत डेटा में इंजेक्ट कर सकते हैं, तो आप कमांड के अंत में सिंटैक्स त्रुटि वाली सभी चीज़ों को गायब कर सकते हैं, क्योंकि कमांड प्रोसेसर कहता है, "ओह, मैंने डैश-डैश देखा है , इसलिए मुझे इसकी उपेक्षा करने दीजिए।
तो, अपने इनपुट को स्वच्छ कर रहे हैं?
आपको यह अवश्य करना चाहिए, और आपको वास्तव में इसके लिए परीक्षण करना होगा...
...लेकिन सावधान रहें: सभी आधारों को कवर करना वास्तव में कठिन है, लेकिन आपको करना होगा, अन्यथा एक दिन कोई उस आधार को ढूंढ लेगा जिसे आप भूल गए हैं।
डौग ठीक है, और जैसा कि हमने बताया...
अच्छी ख़बर है, इसे ठीक कर दिया गया है।
बुरी खबर, यह शून्य दिवस था।
इसलिए, यदि आप MOVEit उपयोगकर्ता हैं, तो सुनिश्चित करें कि यदि आप क्लाउड संस्करण के अलावा कुछ भी चला रहे हैं तो इसे अपडेट कर दिया गया है।
और यदि तुम अभी पैच नहीं कर सकते, तो तुम क्या कर सकते हो, पॉल?
बत्तख। आप बस MOVEit फ्रंट एंड के वेब-आधारित हिस्से को बंद कर सकते हैं।
अब, यह उन कुछ चीजों को तोड़ सकता है जिन पर आप अपने सिस्टम में भरोसा करते आए हैं, और इसका मतलब है कि जिन लोगों के लिए वेब यूआई ही एकमात्र तरीका है जिससे वे सिस्टम के साथ बातचीत करना जानते हैं... वे कट जाएंगे।
लेकिन ऐसा लगता है कि यदि आप MOVEit सेवा के साथ इंटरैक्ट करने के लिए SFTP (सिक्योर फाइल ट्रांसफर प्रोटोकॉल) जैसे कई अन्य तंत्रों का उपयोग करते हैं, तो आप इस बग को ट्रिगर नहीं कर पाएंगे, इसलिए यह वेब सेवा के लिए विशिष्ट है।
लेकिन यदि आपके पास इसका ऑन-प्रिमाइसेस संस्करण है तो पैचिंग वास्तव में आपको करने की ज़रूरत है।
महत्वपूर्ण बात यह है कि आजकल इतने सारे हमलों के साथ, ऐसा नहीं है कि बग मौजूद था और आपने अब इसे ठीक कर लिया है।
अगर बदमाश अंदर आ गए तो क्या होगा?
अगर उन्होंने कुछ बुरा किया तो क्या होगा?
जैसा कि हमने कहा है, जहां कथित क्लॉप रैंसमवेयर गिरोह के लोग रहे हैं, ऐसा लगता है कि वहां कुछ स्पष्ट संकेत हैं जिन्हें आप देख सकते हैं, और प्रोग्रेस सॉफ्टवेयर के पास अपनी वेबसाइट पर उनकी एक सूची है (जिसे हम समझौता संकेतक [आईओसी) कहते हैं ] जिसे आप जाकर खोज सकते हैं)।
लेकिन, जैसा कि हमने पहले भी कई बार कहा है, साक्ष्य का अभाव अनुपस्थिति का प्रमाण नहीं है।
इसलिए, आपको अपना सामान्य हमले के बाद के खतरे का शिकार करने की ज़रूरत है।
उदाहरण के लिए, नए बनाए गए उपयोगकर्ता खातों (क्या वे वास्तव में वहां होने चाहिए?), अप्रत्याशित डेटा डाउनलोड, और सभी प्रकार के अन्य परिवर्तनों जैसी चीज़ों की तलाश करना जिनकी आप उम्मीद नहीं कर सकते हैं और अब उन्हें उलटने की आवश्यकता है।
और, जैसा कि हमने कई बार कहा है, यदि आपके पास स्वयं ऐसा करने के लिए समय और/या विशेषज्ञता नहीं है, तो कृपया मदद मांगने से न डरें।
(बस जाएं https://sophos.com/mdr, जहां एमडीआर, जैसा कि आप शायद जानते हैं, संक्षिप्त रूप है प्रबंधित जांच और प्रतिक्रिया.)
यह सिर्फ यह जानना नहीं है कि क्या देखना है, बल्कि यह जानना है कि इसका क्या तात्पर्य है, और यदि आप पाते हैं कि ऐसा हुआ है तो आपको तत्काल क्या करना चाहिए...
...भले ही जो हुआ वह आपके हमले में अनोखा हो सकता है, और अन्य लोगों के हमले थोड़े अलग तरीके से सामने आए होंगे।
डौग मुझे लगता है हम इस पर नज़र रखेंगे!
आइए कारनामों पर कायम रहें, और आगे बात करें इन-द-वाइल्ड जीरो-डे क्रोमियम आधारित ब्राउज़रों को प्रभावित कर रहा है, पॉल।
क्रोम और एज शून्य-दिन: "यह शोषण जंगली में है", इसलिए अब अपने संस्करणों की जांच करें
बत्तख। हां, इसके बारे में हम सब जानते हैं... यह उन समयों में से एक है जहां Google, जो आम तौर पर दिलचस्प कारनामों के बारे में बड़ी कहानियां बताना पसंद करता है, अपने कार्ड अपने सीने के बहुत करीब रख रहा है, इस तथ्य के कारण कि यह एक शून्य-दिवस है।
और क्रोम के लिए Google अपडेट नोटिस बस इतना कहता है, "Google को पता है कि CVE-2023-3079 का एक शोषण जंगल में मौजूद है।"
यह उससे एक कदम ऊपर है जिसे मैं अलगाव की दो डिग्री कहता हूं जिसे Google और Apple जैसी कंपनियां अक्सर टालना पसंद करती हैं, जिसके बारे में हम पहले भी बात कर चुके हैं, जहां वे कहते हैं, "हम उन रिपोर्टों से अवगत हैं जो सुझाव देते हैं कि अन्य लोग ऐसा दावा करते हैं हो सकता है उन्होंने इसे देखा हो।” [हँसी]
वे बस यही कह रहे हैं, “वहाँ एक शोषण है; हमने इसे देखा है।”
और यह आश्चर्य की बात नहीं है, क्योंकि जाहिर तौर पर इसकी जांच और खुलासा Google की अपनी खतरा विश्लेषण टीम द्वारा किया गया था।
बस हमें यही पता है…
...वह, और तथ्य यह है कि इसे एक के रूप में जाना जाता है भ्रम टाइप करें V8 में, जो जावास्क्रिप्ट इंजन है, क्रोमियम का हिस्सा है जो आपके ब्राउज़र के अंदर जावास्क्रिप्ट को संसाधित और निष्पादित करता है।
डौग मुझे यकीन है कि काश मैं टाइप कन्फ्यूजन के बारे में और अधिक जानता होता।
मैं टाइप कन्फ्यूजन को लेकर उलझन में हूं।
शायद कोई मुझे यह समझा सके?
बत्तख। ओह, डौग, यह एक तरह का बहस है जो मुझे पसंद है! [हंसते हुए]
सीधे शब्दों में कहें तो, यह वह जगह है जहां आप किसी प्रोग्राम को डेटा प्रदान करते हैं और कहते हैं, "यहां डेटा का एक हिस्सा है, मैं चाहता हूं कि आप इसे ऐसे मानें जैसे कि यह एक तारीख है।"
एक अच्छी तरह से लिखा हुआ सर्वर जाएगा, “आप जानते हैं क्या? आप मुझे जो डेटा भेज रहे हैं उस पर मैं आंख मूंदकर भरोसा नहीं करूंगा। मैं यह सुनिश्चित करने जा रहा हूं कि आपने मुझे कुछ यथार्थवादी भेजा है”…
...इस प्रकार लिटिल बॉबी टेबल्स समस्या से बचा जा सकता है।
लेकिन कल्पना करें कि, सर्वर के निष्पादन में भविष्य के किसी क्षण में, आप सर्वर को यह कहकर धोखा दे सकते हैं, "अरे, क्या आपको वह डेटा याद है जो मैंने आपको भेजा था और मैंने आपको बताया था कि यह एक तारीख है?" और आपने सत्यापित किया है कि दिनों की संख्या 31 से अधिक नहीं थी, और महीना 12 से अधिक नहीं था, और वर्ष 1920 और 2099 के बीच था, उन सभी त्रुटि जांचों को आपने किया है? खैर, असल में, उसे भूल जाओ! अब, मैं चाहता हूं कि आप वह डेटा लें जो मैंने प्रदान किया था, वह एक कानूनी तारीख थी, लेकिन *मैं चाहता हूं कि आप इसे ऐसे मानें जैसे कि यह एक मेमोरी एड्रेस था*। और मैं चाहता हूं कि आप वहां चलने वाले प्रोग्राम को निष्पादित करना शुरू करें, क्योंकि आपने पहले ही डेटा स्वीकार कर लिया है और आपने पहले ही तय कर लिया है कि आप उस पर भरोसा करते हैं।
इसलिए हम नहीं जानते कि V8 में इस प्रकार के भ्रम ने वास्तव में क्या रूप लिया, लेकिन जैसा कि आप कल्पना कर सकते हैं, एक जावास्क्रिप्ट इंजन के अंदर, बहुत सारे अलग-अलग प्रकार के डेटा होते हैं जिनसे जावास्क्रिप्ट इंजन को अलग-अलग समय पर निपटने और संसाधित करने की आवश्यकता होती है।
कभी-कभी पूर्णांक होंगे, कभी-कभी वर्ण स्ट्रिंग होंगे, कभी-कभी स्मृति पते होंगे, कभी-कभी निष्पादित करने के लिए फ़ंक्शन होंगे, इत्यादि।
इसलिए, जब जावास्क्रिप्ट इंजन इस बात को लेकर भ्रमित हो जाता है कि उसे उस डेटा के साथ क्या करना चाहिए जिसे वह अभी देख रहा है, तो बुरी चीजें हो सकती हैं!
डौग फिक्स सरल है।
आपको बस अपना क्रोमियम-आधारित ब्राउज़र अपडेट करना होगा।
हमारे पास Google Chrome और Microsoft Edge के लिए ऐसा करने के निर्देश हैं।
और आखिरी, लेकिन निश्चित रूप से कम महत्वपूर्ण नहीं, हमारे पास एक है तथाकथित विंडोज़ "बैकडोर" यह गीगाबाइट मदरबोर्ड मालिकों को प्रभावित कर रहा है।
हालाँकि, पॉल, जैसा कि आप कहना चाहते हैं, शैतान विवरण में है।
शोधकर्ताओं का दावा है कि विंडोज "बैकडोर" सैकड़ों गीगाबाइट मदरबोर्ड को प्रभावित करता है
बत्तख। [आह] ओह प्रिय, हाँ!
अब, अंत से शुरू करते हैं: अच्छी खबर यह है कि मैंने अभी देखा है कि गीगाबाइट ने इसके लिए एक पैच निकाला है।
समस्या यह थी कि यदि आप इसके बारे में सोचें तो यह काफी उपयोगी सुविधा है।
यह एक प्रोग्राम था जिसका नाम था GigabyteUpdateService
.
खैर, अनुमान लगाओ कि उसने क्या किया, डगलस?
बिल्कुल वही जो टिन पर कहा गया था - फीचर को कहा जाता है एप्लिकेशन केंद्र (यह इसके लिए गीगाबाइट का नाम है)।
अच्छा है।
सिवाय इसके कि अपडेट करने की प्रक्रिया क्रिप्टोग्राफ़िक रूप से सही नहीं थी।
वहाँ अभी भी कुछ पुराने समय का कोड था... यह एक C# प्रोग्राम, एक .NET प्रोग्राम था।
जाहिरा तौर पर, इसमें तीन अलग-अलग यूआरएल थे जिन्हें डाउनलोड करने का प्रयास किया जा सकता था।
उनमें से एक सादा पुराना HTTP, डौग था।
और समस्या, जैसा कि हम फ़ायरशीप के दिनों से जानते हैं, यह है कि HTTP डाउनलोड [ए] रोकना आसान है और [बी] रास्ते में संशोधित करना इतना आसान है कि प्राप्तकर्ता यह पता नहीं लगा सके कि आपने उनके साथ छेड़छाड़ की है।
अन्य दो यूआरएल HTTPS का उपयोग करते थे, इसलिए डाउनलोड के साथ आसानी से छेड़छाड़ नहीं की जा सकती थी।
लेकिन दूसरी ओर से सबसे बुनियादी HTTPS प्रमाणपत्र सत्यापन करने का भी कोई प्रयास नहीं किया गया, जिसका अर्थ है कि कोई भी यह दावा करते हुए सर्वर स्थापित कर सकता है कि उसके पास गीगाबाइट प्रमाणपत्र है।
और क्योंकि प्रमाणपत्र को किसी मान्यता प्राप्त सीए (प्रमाणपत्र प्राधिकारी), जैसे गोडैडी या लेट्स एनक्रिप्ट, या उसके जैसे किसी व्यक्ति द्वारा हस्ताक्षरित करने की आवश्यकता नहीं है, इसका मतलब है कि जो कोई भी, एक पल की सूचना पर, बस अपना प्रमाणपत्र बना सकता है। मस्टर पास होगा.
और तीसरी समस्या यह थी कि प्रोग्राम डाउनलोड करने के बाद, गीगाबाइट यह जांच कर सकता था, लेकिन नहीं, कि उन पर न केवल एक मान्य डिजिटल प्रमाणपत्र के साथ हस्ताक्षर किए गए थे, बल्कि एक प्रमाणपत्र के साथ जो निश्चित रूप से उनमें से एक था।
डौग ठीक है, तो वे तीन चीज़ें बुरी हैं, और यही बुरी चीज़ों का अंत है, है ना?
इसमें और कुछ नहीं है.
हमें बस यही चिंता करनी है? [हँसी]
बत्तख। खैर, दुर्भाग्य से, इसका एक और स्तर है जो इसे और भी बदतर बना देता है।
गीगाबाइट BIOS, उनके फर्मवेयर, में एक सुपर-कूल विशेष सुविधा है।
(हमें यकीन नहीं है कि यह डिफ़ॉल्ट रूप से चालू है या नहीं - कुछ लोग सुझाव दे रहे हैं कि यह कुछ मदरबोर्ड के लिए डिफ़ॉल्ट रूप से बंद है, और अन्य टिप्पणीकारों ने कहा है, "नहीं, मैंने हाल ही में एक मदरबोर्ड खरीदा है और यह सुविधा डिफ़ॉल्ट रूप से चालू थी।")
यह फर्मवेयर में ही एक सुविधा है जो एपीपी सेंटर स्वचालित अपडेट प्रक्रिया को सक्रिय करती है।
तो हो सकता है कि आपके पास यह सॉफ़्टवेयर इंस्टॉल हो, और सक्रिय हो, और चल रहा हो, भले ही आपने इसे स्वयं इंस्टॉल नहीं किया हो।
और इससे भी बदतर, डौग, क्योंकि यह फ़र्मवेयर द्वारा ही व्यवस्थित है, इसका मतलब है कि यदि आप विंडोज़ में जाते हैं और कहते हैं, "तो, मैं बस इस चीज़ को हटा दूंगा"...
...अगली बार जब आप अपने कंप्यूटर को बूट करते हैं, तो फर्मवेयर स्वयं अनिवार्य रूप से अपडेट चीज़ को आपके विंडोज फ़ोल्डर में वापस इंजेक्ट कर देता है!
डौग यदि हम सप्ताह की अपनी टिप्पणी का थोड़ा जल्दी स्वागत करते हैं... हमारे पास इस लेख पर एक गुमनाम टिप्पणीकार था जो हमें बताता है:
मैंने कुछ हफ़्ते पहले ही गीगाबाइट आईटीएक्स बोर्ड के साथ एक सिस्टम बनाया था, और गीगाबाइट एपीपी सेंटर बॉक्स से बाहर था (यानी डिफ़ॉल्ट रूप से चालू था)।
इससे पहले कि मुझे पता चले कि यह BIOS सेटिंग्स में छिपा हुआ है, मैंने इसे कई बार डिलीट भी किया। मैं उन षडयंत्रों का प्रशंसक नहीं हूं।
तो यह व्यक्ति इस एपीपी सेंटर को हटा रहा है, लेकिन यह बस वापस आता रहता है, और वापस आता रहता है, और वापस आता रहता है।
बत्तख। यह मेरे सुझाव से थोड़ा अधिक जटिल है।
आप सोचो। "ओह, ठीक है, फर्मवेयर बस ऑनलाइन हो जाता है, एक फ़ाइल डाउनलोड करता है, और इसे आपके विंडोज फ़ोल्डर में चिपका देता है।"
लेकिन क्या इन दिनों अधिकांश कंप्यूटरों में BitLocker नहीं है, या कम से कम कॉर्पोरेट कंप्यूटरों पर, क्या लोगों के पास पूर्ण डिस्क एन्क्रिप्शन नहीं है?
आपका फ़र्मवेयर कैसा काम करता है, जो यह जानने से पहले ही चलता है कि आप विंडोज़ चलाने जा रहे हैं या नहीं...
...फर्मवेयर एन्क्रिप्टेड Windows C: ड्राइव में एक नई फ़ाइल को कैसे इंजेक्ट करता है?
आख़िर यह कैसे काम करता है?
और बेहतर या बदतर के लिए, Microsoft Windows में वास्तव में... मुझे लगता है कि यह एक सुविधा है, हालाँकि जब आप सुनेंगे कि यह कैसे काम करता है, तो आप अपना विचार बदल सकते हैं। [हंसी]
इसे WPBT कहा जाता है.
और इसका मतलब है... [याद नहीं आ रहा]
डौग विंडोज़ प्लेटफ़ॉर्म बाइनरी टेबल।
बत्तख। आह, तुम्हें मुझसे बेहतर याद है!
मैं लगभग विश्वास नहीं कर सकता कि यह इस तरह काम करता है...
मूल रूप से, फ़र्मवेयर कहता है, “अरे, मुझे एक निष्पादन योग्य मिल गया है; मेरे फ़र्मवेयर में एक प्रोग्राम दबा हुआ है।"
यह एक विंडोज़ प्रोग्राम है, इसलिए फ़र्मवेयर इसे नहीं चला सकता क्योंकि आप यूईएफआई फ़र्मवेयर अवधि के दौरान विंडोज़ प्रोग्राम नहीं चला सकते।
लेकिन फ़र्मवेयर जो करता है वह यह है कि यह प्रोग्राम को मेमोरी में पढ़ता है, और विंडोज़ को बताता है, "अरे, मेमोरी में 0xABCDEF36C0 पते पर एक प्रोग्राम पड़ा हुआ है, या जो भी हो। जब आपने ड्राइव को अनलॉक कर लिया हो और आप वास्तव में सुरक्षित बूट प्रक्रिया से गुजर चुके हों तो कृपया इस प्रोग्राम को अपने अंदर शामिल कर लें।''
डौग संभवतः क्या गलती हो सकती है? [हँसी]
बत्तख। ठीक है, Microsoft के प्रति निष्पक्ष रहने के लिए, उसके स्वयं के दिशानिर्देश निम्नलिखित कहते हैं:
WPBT का प्राथमिक उद्देश्य महत्वपूर्ण सॉफ़्टवेयर को तब भी बने रहने देना है, जब ऑपरेटिंग सिस्टम बदल गया हो या साफ-सुथरा पुनः स्थापित किया गया हो। उपयोग का एक मामला एंटी-थेफ़्ट सॉफ़्टवेयर को सक्षम करना है, जिसे किसी डिवाइस के चोरी हो जाने, फ़ॉर्मेट किए जाने या पुनः इंस्टॉल किए जाने की स्थिति में जारी रहना आवश्यक है।
तो आप एक तरह से देख सकते हैं कि वे कहाँ से आ रहे हैं, लेकिन फिर वे ध्यान देते हैं कि:
क्योंकि यह सुविधा विंडोज़ के संदर्भ में सिस्टम सॉफ़्टवेयर को लगातार निष्पादित करने की क्षमता प्रदान करती है, यह महत्वपूर्ण है कि ये समाधान यथासंभव सुरक्षित हों...
(यह बोल्डफेस्ड नहीं है; मैं ऐसे बोल रहा हूं जैसे यह बोल्डफेस्ड है।)
...और विंडोज़ उपयोगकर्ताओं को शोषणकारी स्थितियों में न डालें। विशेष रूप से, इन समाधानों में मैलवेयर, यानी दुर्भावनापूर्ण सॉफ़्टवेयर, या पर्याप्त उपयोगकर्ता की सहमति के बिना स्थापित अवांछित सॉफ़्टवेयर शामिल नहीं होना चाहिए।
और इस मामले में सहमति, जैसा कि हमारे टिप्पणीकार ने कहा, यह है कि गीगाबाइट मदरबोर्ड पर एक फर्मवेयर विकल्प, एक BIOS विकल्प है।
और यदि आप विकल्पों में काफी देर तक खोजबीन करते हैं, तो आपको वह मिल जाना चाहिए; यह कहा जाता है एपीपी सेंटर डाउनलोड और इंस्टॉल करें.
यदि आप उस विकल्प को बंद कर देते हैं, तो आप यह तय कर पाएंगे कि आप इस चीज़ को इंस्टॉल करना चाहते हैं या नहीं, और फिर आप चाहें तो इसे स्वयं अपडेट कर सकते हैं।
डौग ठीक है, तो यहाँ बड़ा सवाल है...
...क्या यह वास्तव में एक पिछला दरवाजा है?
बत्तख। मेरी अपनी राय है कि "बैकडोर" शब्द वास्तव में आईटी षडयंत्रों के एक विशेष वर्ग, अर्थात् अधिक घृणित साइबर सुरक्षा व्यवहार, के लिए आरक्षित होना चाहिए।
चीजें जैसे: जानबूझकर एन्क्रिप्शन एल्गोरिदम को कमजोर करना ताकि उन्हें जानकार लोगों द्वारा तोड़ा जा सके; जानबूझकर छिपे हुए पासवर्ड बनाना ताकि लोग लॉग इन कर सकें, भले ही आप अपना पासवर्ड बदल लें; और कमांड-एंड-कंट्रोल के लिए अप्रलेखित रास्ते खोलना।
हालाँकि आपको यह एहसास नहीं होगा कि यह एपीपी सेंटर कमांड-एंड-कंट्रोल मार्ग अस्तित्व में है, यह बिल्कुल अनिर्दिष्ट नहीं है।
और वहीं BIOS में एक विकल्प है, जो आपको इसे चालू और बंद करने देता है।
अपने आप को गीगाबाइट वेबसाइट, उनकी समाचार साइट पर ले जाएं, और आपको नवीनतम संस्करण के बारे में पता चल जाएगा।
डौग मैं उस अनाम टिप्पणीकार को धन्यवाद देना चाहता हूं.
वह बहुत उपयोगी जानकारी थी जिसने कहानी को आगे बढ़ाने में मदद की।
बत्तख। वास्तव में!
डौग और मैं सभी को याद दिलाना चाहता हूं: यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हम इसे पॉडकास्ट पर पढ़ना पसंद करेंगे।
आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सामाजिक: @nakedsecurity पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है; सुनने के लिए बहुत बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, आपको अगली बार तक याद दिला रहा हूं ...
दोनों को। सुरक्षित रहें!
[संगीत मोडेम]
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- ईवीएम वित्त। विकेंद्रीकृत वित्त के लिए एकीकृत इंटरफ़ेस। यहां पहुंचें।
- क्वांटम मीडिया समूह। आईआर/पीआर प्रवर्धित। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/06/08/s3-ep138-i-like-to-moveit-moveit/
- :हैस
- :है
- :नहीं
- :कहाँ
- ][पी
- $यूपी
- 12
- 2016
- 31
- 7
- a
- क्षमता
- योग्य
- About
- इसके बारे में
- ऊपर
- बिल्कुल
- गाली
- स्वीकृत
- पहुँच
- अनुसार
- लेखा
- अकौन्टस(लेखा)
- वास्तव में
- पता
- पतों
- सलाह
- प्रभावित करने वाले
- भयभीत
- बाद
- फिर
- पूर्व
- एल्गोरिदम
- सब
- ने आरोप लगाया
- अनुमति देना
- साथ में
- पहले ही
- ठीक है
- भी
- am
- अद्भुत
- बीच में
- राशियाँ
- an
- विश्लेषण
- और
- गुमनाम
- अन्य
- कोई
- कुछ भी
- कहीं भी
- अनुप्रयोग
- प्रकट होता है
- Apple
- हैं
- चारों ओर
- लेख
- लेख
- कलाकार
- AS
- At
- आक्रमण
- आक्रमण
- ऑडियो
- लेखक
- अधिकार
- स्वचालित
- उपलब्ध
- से बचने
- जागरूक
- वापस
- बैक-एंड
- पिछले दरवाजे
- पिछले दरवाजे
- बुरा
- बैंक
- बैंक खाता
- आधार
- आधारित
- बुनियादी
- मूल रूप से
- BE
- क्योंकि
- बन
- किया गया
- से पहले
- व्यवहार
- मानना
- नीचे
- बेहतर
- के बीच
- खबरदार
- बड़ा
- बिट
- भयादोहन
- आंखों पर पट्टी से
- ब्लूटूथ
- मंडल
- बॉबी
- खरीदा
- मुक्केबाज़ी
- भंग
- टूटना
- टूटा
- ब्राउज़र
- ब्राउज़रों
- दोष
- इमारत
- बनाया गया
- व्यवसायों
- लेकिन
- by
- CA
- कॉल
- बुलाया
- कॉल
- कर सकते हैं
- पत्ते
- कार्टून
- मामला
- केंद्र
- निश्चित रूप से
- प्रमाण पत्र
- प्रमाणपत्र प्राधिकार
- श्रृंखला
- परिवर्तन
- बदल
- परिवर्तन
- चरित्र
- अक्षर
- चेक
- जाँचता
- चुनाव
- करने के लिए चुना
- Chrome
- क्रोमियम
- दावा
- यह दावा करते हुए
- कक्षा
- समापन
- बादल
- कोड
- COM
- कैसे
- आता है
- अ रहे है
- टिप्पणी
- सामान्य
- संचार
- कंपनियों
- कंपनी
- जटिल
- समझौता
- कंप्यूटर
- कंप्यूटर्स
- स्थितियां
- उलझन में
- भ्रम
- जुड़ा हुआ
- सहमति
- प्रसंग
- नियंत्रित
- कॉर्प
- कॉर्पोरेट
- निगम
- सका
- कोर्स
- आवरण
- बनाया
- महत्वपूर्ण
- फसलों
- कट गया
- साइबर सुरक्षा
- नृत्य
- तिथि
- डेटा भंग
- डाटाबेस
- डेटाबेस
- तारीख
- दिन
- दिन
- सौदा
- तय
- का फैसला किया
- चूक
- निश्चित रूप से
- विभाग
- विवरण
- खोज
- विकसित
- युक्ति
- डीआईडी
- विभिन्न
- डीआईजी
- डिजिटल
- डिजिटल प्रमाण पत्र
- सीधे
- गायब होना
- डिस्प्ले
- do
- कर देता है
- नहीं करता है
- कर
- किया
- dont
- डबल
- नीचे
- डाउनलोड
- डाउनलोड
- ड्राइव
- बूंद
- करार दिया
- दौरान
- e
- शीघ्र
- पृथ्वी
- आसानी
- आसान
- Edge
- भी
- ईमेल
- कर्मचारियों
- सक्षम
- एन्क्रिप्टेड
- एन्क्रिप्शन
- समाप्त
- इंजन
- इंजन
- पर्याप्त
- घुसा
- त्रुटि
- अनिवार्य
- आदि
- और भी
- कभी
- हर कोई
- सबूत
- ठीक ठीक
- उदाहरण
- निष्पादित
- निष्पादित करता है
- को क्रियान्वित
- निष्पादन
- मौजूद
- उम्मीद
- विशेषज्ञता
- समझाना
- समझाया
- शोषण करना
- कारनामे
- आंख
- तथ्य
- निष्पक्ष
- काफी
- प्रसिद्ध
- प्रशंसक
- पसंदीदा
- Feature
- कुछ
- पट्टिका
- फ़ाइलें
- खोज
- खोज
- प्रथम
- फिक्स
- झंडे
- निम्नलिखित
- के लिए
- प्रपत्र
- रूपों
- पाया
- मित्र
- से
- सामने
- फ़्रंट एंड
- पूर्ण
- कार्यों
- भविष्य
- गिरोह
- गैंग्स
- मिल
- Go
- चला जाता है
- जा
- चला गया
- अच्छा
- गूगल
- Google Chrome
- गूगल की
- दी गई
- महान
- अधिक से अधिक
- दिशा निर्देशों
- hacked
- था
- सुविधाजनक
- हुआ
- कठिन
- नुकसान
- है
- होने
- he
- सुनना
- मदद
- मदद की
- सहायक
- यहाँ उत्पन्न करें
- छिपा हुआ
- उसे
- उसके
- मारो
- होम
- मकान
- कैसे
- How To
- तथापि
- http
- HTTPS
- सैकड़ों
- शिकार
- i
- मैं करता हूँ
- पहचान
- if
- कल्पना करना
- in
- शामिल
- शामिल
- सहित
- संकेत दिया
- संकेतक
- बदनाम
- करें-
- आरंभ
- इंजेक्षन
- निविष्टियां
- स्थापित
- installed
- निर्देश
- बीमा
- बातचीत
- बातचीत
- दिलचस्प
- इंटरफेस
- आंतरिक
- में
- शामिल
- IT
- आईटी इस
- खुद
- जावास्क्रिप्ट
- जून
- केवल
- रखना
- रखना
- रखा
- बच्चा
- जानना
- ज्ञान
- जानने वाला
- बड़ा
- पिछली बार
- बाद में
- ताज़ा
- बिक्रीसूत्र
- जानें
- कम से कम
- कानूनी
- चलो
- चलें
- स्तर
- पसंद
- को यह पसंद है
- सूची
- सुनना
- थोड़ा
- लॉग इन
- लॉगिंग
- लंबा
- देखिए
- देखा
- देख
- लग रहा है
- खोया
- मोहब्बत
- बनाया गया
- बनाना
- बनाता है
- मैलवेयर
- बहुत
- निशान
- मास्टर
- मई..
- एमडीआर
- साधन
- मतलब
- तंत्र
- याद
- माइकल
- माइक्रोसॉफ्ट
- Microsoft Edge
- माइक्रोसॉफ्ट विंडोज
- हो सकता है
- मन
- टकसाल
- गलती
- संशोधित
- माँ
- पल
- धन
- महीना
- अधिक
- अधिकांश
- चाल
- बहुत
- संगीत
- संगीत
- चाहिए
- my
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नाम
- नामांकित
- यानी
- राष्ट्रीय
- निकट
- आवश्यकता
- जाल
- नेटवर्क
- कभी नहीँ
- नया
- नए नए
- समाचार
- अगला
- नहीं
- सामान्य रूप से
- सूचना..
- कुख्यात
- अभी
- संख्या
- संख्या
- अनेक
- of
- बंद
- अक्सर
- oh
- पुराना
- on
- ONE
- ऑनलाइन
- केवल
- उद्घाटन
- परिचालन
- ऑपरेटिंग सिस्टम
- राय
- विकल्प
- ऑप्शंस
- or
- ऑर्केस्ट्रेटेड
- संगठनों
- मौलिक रूप से
- अन्य
- अन्यथा
- हमारी
- आउट
- के ऊपर
- अपना
- मालिकों
- पृष्ठ
- भाग
- विशेष
- पास
- पासवर्ड
- पासवर्ड
- पैच
- पैच
- पेटेंट
- पॉल
- का भुगतान
- पेरोल
- पेंशन
- स्टाफ़
- लोगों की
- शायद
- अवधि
- लगातार
- व्यक्तिगत रूप से
- फ़ोन
- जगह
- मैदान
- योजना
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- खिलाड़ी
- कृप्या अ
- पॉडकास्ट
- पॉडकास्ट
- संभावनाओं
- संभवतः
- पोस्ट
- प्राथमिक
- शायद
- मुसीबत
- प्रक्रिया
- प्रक्रियाओं
- प्रोसेसर
- कार्यक्रम
- प्रोग्रामर
- प्रोग्राम्स
- प्रगति
- वादा किया
- प्रोटोकॉल
- प्रदान करना
- प्रदाता
- प्रदान करता है
- नाड़ी
- उद्देश्य
- रखना
- प्रश्न
- जल्दी से
- उद्धरण
- Ransomware
- बल्कि
- पढ़ना
- वास्तव में
- हाल ही में
- पहचान लिया
- पंजीकृत
- भरोसा करना
- याद
- रिपोर्ट
- अपेक्षित
- आरक्षित
- वापसी
- उल्टा
- सही
- रॉबर्ट
- दौर
- आरएसएस
- रन
- दौड़ना
- कहा
- कहना
- कहावत
- कहते हैं
- स्कूल के साथ
- Search
- गुप्त
- सुरक्षित
- सुरक्षा
- देखना
- लगता है
- लगता है
- देखा
- भेजें
- भेजना
- भेजा
- अनुक्रम
- सेवा
- सेवा
- सेट
- सेटिंग्स
- साझा
- बांटने
- वह
- कम
- चाहिए
- दिखाना
- हस्ताक्षर
- पर हस्ताक्षर किए
- लक्षण
- सरल
- केवल
- के बाद से
- एक
- साइट
- छठा
- उचक्का
- So
- सोशल मीडिया
- सॉफ्टवेयर
- समाधान ढूंढे
- कुछ
- कोई
- कुछ
- इसके
- ध्वनि
- Soundcloud
- अंतरिक्ष
- बोल रहा हूँ
- विशेष
- विशिष्ट
- बात
- Spotify
- कर्मचारी
- मानक
- खड़ा
- प्रारंभ
- कथन
- रहना
- कदम
- फिर भी
- चुराया
- संग्रहित
- कहानियों
- कहानी
- संरचना
- छात्र
- प्रस्तुत
- ऐसा
- सुझाव
- आपूर्ति
- आपूर्ति
- आपूर्ति श्रृंखला
- समर्थित
- माना
- आश्चर्य की बात
- बच गई
- वाक्यविन्यास
- प्रणाली
- तालिका
- लेना
- बातचीत
- में बात कर
- लक्षित
- कर
- टीम
- तकनीक
- टेक्नोलॉजी
- कहना
- बताता है
- परीक्षण
- से
- धन्यवाद
- धन्यवाद
- कि
- RSI
- यूके
- चोरी
- लेकिन हाल ही
- उन
- फिर
- वहाँ।
- इन
- वे
- बात
- चीज़ें
- सोचना
- तीसरा
- इसका
- उन
- हालांकि?
- हजारों
- धमकी
- तीन
- यहाँ
- पहर
- बार
- सेवा मेरे
- आज
- एक साथ
- ले गया
- साधन
- ट्रैक
- स्थानांतरण
- उपचार
- ट्रिगर
- मुसीबत
- ट्रस्ट
- कोशिश
- मोड़
- दो
- टाइप
- ui
- Uk
- पर्दाफाश
- अप्रत्याशित
- दुर्भाग्य से
- अद्वितीय
- जब तक
- अवांछित
- अपडेट
- अद्यतन
- अपडेट
- यूआरएल
- us
- उपयोग
- उदाहरण
- प्रयुक्त
- उपयोगकर्ता
- उपयोगकर्ताओं
- मान्य
- सत्यापन
- सत्यापित
- संस्करण
- बहुत
- आगंतुक
- करना चाहते हैं
- जरूरत है
- था
- मार्ग..
- we
- वेब
- वेब सर्वर
- वेब आधारित
- वेबसाइट
- सप्ताह
- सप्ताह
- में आपका स्वागत है
- कुंआ
- थे
- क्या
- जो कुछ
- कब
- या
- कौन कौन से
- कौन
- क्यों
- व्यापक रूप से
- जंगली
- मर्जी
- खिड़कियां
- साथ में
- बिना
- शब्द
- काम
- काम किया
- कार्य
- चिंता
- बदतर
- होगा
- लिखा हुआ
- गलत
- वर्ष
- साल
- हाँ
- आप
- आपका
- स्वयं
- जेफिरनेट