কম্পিউটার

পেগাসাস দুর্বলতার অর্থ হল আপনার অ্যাপল ডিভাইস প্যাচ করার সময়

আপনি সম্প্রতি একটি অপ্রত্যাশিত iOS আপডেট পেয়েছেন। যাও, দেখে নিন। এতক্ষণে, আপনার আইফোনটিকে iOS 9.3.5-এ আপডেট করা উচিত তিনটি শূন্য-দিনের দুর্বলতাগুলিকে প্যাচ করার জন্য সক্রিয়ভাবে কাজে লাগানোর জন্য আক্রমণকারীদের একটি বিশাল পরিসরের অ্যাপ থেকে গোপনীয় তথ্য আটকানোর এবং চুরি করার সুযোগ দেওয়ার জন্য৷

পেগাসাস নামক স্পাইওয়্যারটি টরন্টো ইউনিভার্সিটির সিটিজেন ল্যাবের সহায়তায় মোবাইল সিকিউরিটি রিসার্চ কোম্পানি লুকআউট আবিষ্কার করেছে। তারা বিশ্বাস করে যে স্পাইওয়্যারটি কিছু সময়ের জন্য সঞ্চালিত হচ্ছে, যদিও প্রাথমিকভাবে সংবেদনশীল তথ্যের দখলে থাকা উচ্চ-মূল্যের লক্ষ্যগুলিকে সংক্রামিত করতে ব্যবহৃত হয়েছে।

পেগাসাস সোয়ারিং ফ্রি

পেগাসাস আবিষ্কৃত হয় যখন বিশিষ্ট মানবাধিকার রক্ষক, আহমেদ মনসুর, সংযুক্ত আরব আমিরাতের কারাগারে বন্দীদের নির্যাতনের বিষয়ে "নতুন গোপন" প্রতিশ্রুতি দিয়ে একটি সন্দেহজনক এসএমএস পেয়েছিলেন যদি তিনি দেওয়া লিঙ্কে ক্লিক করেন। পরিবর্তে, মনসুর বিশ্লেষণের জন্য সিটিজেন ল্যাবে বার্তাটি ফরোয়ার্ড করেছেন।

তারা স্পাইওয়্যারের একটি বিশেষভাবে উন্নত অংশ আবিষ্কার করেছে যা যতটা সম্ভব অস্পষ্ট থাকার জন্য বিশেষভাবে সজ্জিত, স্ব-ধ্বংস নির্দেশাবলীর সাথে সম্পূর্ণ। সিটিজেন ল্যাব এবং লুকআউট একটি বিবৃতি প্রকাশ করেছে যাতে সম্ভাব্য হ্যাকটিকে ছায়াময়-কিন্তু বিশিষ্ট এনএসও গ্রুপের বৈশিষ্ট্য বহন করে, যেটি ইসরায়েলি ইন্টেলিজেন্স কর্পস 8200 ইউনিটের অভিজ্ঞদের দ্বারা প্রতিষ্ঠিত হয়েছে বলে ধারণা করা হয়েছে৷

আমরা লিঙ্কগুলিকে এনএসও গ্রুপের সাথে সংযুক্ত একটি শোষণ অবকাঠামোর অন্তর্গত হিসাবে স্বীকৃতি দিয়েছি, একটি ইস্রায়েল-ভিত্তিক 'সাইবার যুদ্ধ' কোম্পানি যেটি পেগাসাস বিক্রি করে, একটি সরকারী-একচেটিয়া 'আইনসম্মত ইন্টারসেপ্ট' স্পাইওয়্যার পণ্য। একবার সংক্রমিত হলে, মনসুরের ফোন একটি ডিজিটাল গুপ্তচর হয়ে উঠত। তার পকেটে, ডিভাইসের আশেপাশে ক্রিয়াকলাপ স্নুপ করার জন্য তার আইফোনের ক্যামেরা এবং মাইক্রোফোন ব্যবহার করতে, তার হোয়াটসঅ্যাপ এবং ভাইবার কল রেকর্ড করতে, মোবাইল চ্যাট অ্যাপে প্রেরিত বার্তাগুলি লগিং করতে এবং তার গতিবিধি ট্র্যাক করতে সক্ষম৷

এটি প্রথম "আইফোন রিমোট জেলব্রেক করার উদাহরণ হিসাবে বিশ্বাস করা হয় যেটি লক্ষ্যবস্তু আক্রমণ অভিযানের অংশ হিসাবে বন্য অঞ্চলে ব্যবহৃত হয়," এটির আবিষ্কারকে বিরল এবং গুরুত্বপূর্ণ উভয়ই করে তোলে। তিনটি শূন্য-দিনের দুর্বলতার সংগ্রহকে সম্মিলিতভাবে ট্রাইডেন্ট বলা হয়েছে এবং এতে রয়েছে:

  • CVE-2016-4657 -- একটি দূষিতভাবে তৈরি করা ওয়েবসাইট পরিদর্শন করা নির্বিচারে কোড সম্পাদনের দিকে পরিচালিত করতে পারে৷
  • CVE-2016-4655 -- একটি অ্যাপ্লিকেশন কার্নেল মেমরি প্রকাশ করতে সক্ষম হতে পারে।
  • CVE-2016-4656 -- একটি অ্যাপ্লিকেশন কার্নেল বিশেষাধিকার সহ নির্বিচারে কোড কার্যকর করতে সক্ষম হতে পারে।

পেগাসাসের পৌরাণিক ক্ষমতা

আমরা শুধুমাত্র তথাকথিত পেগাসাস স্পাইওয়্যারের অস্তিত্ব সম্পর্কে সচেতন কারণ মনসুর তার সংক্রামিত এসএমএস টরন্টোর নিরাপত্তা গবেষকদের কাছে পাঠিয়েছিলেন। মনসুরের কাছে পাঠানো লিঙ্কটি নিষ্ক্রিয় হওয়ার আগে তারা স্পাইওয়্যারটি আনপ্যাক এবং বিচ্ছিন্ন করতে সক্ষম হয়েছিল। তাহলে এটা কি করে?

সাধারণভাবে বলতে গেলে, আপনি আধুনিক, উন্নত স্পাইওয়্যারের একটি অংশ থেকে যা আশা করেন তার বেশিরভাগই। এটি বিশেষভাবে মোবাইল ফোন, ব্রাউজারের ইতিহাস চুরি, ইমেল, এসএমএস এবং মেসেজিং ডেটা (আইমেসেজ এবং হোয়াটসঅ্যাপের মতো অ্যাপের ডেটা সহ), সেইসাথে পরিচিতি তালিকা, ক্যালেন্ডার রেকর্ড, অবস্থানের ইতিহাস এবং আরও অনেক কিছুকে লক্ষ্য করে।

নিরাপত্তার জন্য আইফোনের সুনাম রয়েছে। যেহেতু আইফোন প্ল্যাটফর্মটি অ্যাপল দ্বারা শক্তভাবে নিয়ন্ত্রিত, তাই প্রায়শই আইফোন মনিটরিং সরঞ্জামগুলির দূরবর্তী ইনস্টলেশন এবং অপারেশন সক্ষম করার জন্য প্রযুক্তিগতভাবে পরিশীলিত শোষণের প্রয়োজন হয়। এই শোষণগুলি বিরল এবং ব্যয়বহুল৷

নিরাপত্তা গবেষকরা পেগাসাস স্পাইওয়্যার-এর বর্ধিত সময়ের জন্য অস্পষ্ট থাকার ক্ষমতা দেখে মুগ্ধ হয়েছেন, লুকআউটের নিরাপত্তা গবেষণার ভাইস প্রেসিডেন্ট মাইক মারে, মাদারবোর্ডকে বলেছেন:

এনএসও গ্রুপ সফ্টওয়্যার এবং এটি যেভাবে কনফিগার করা হয় এবং চালানো হয়, এটি সনাক্ত না করা, [এটি] স্টিলথ এবং অদৃশ্য হওয়ার জন্য ডিজাইন করা হয়েছে৷

উচ্চ-মূল্যের লক্ষ্যগুলির বিরুদ্ধে এর ব্যবহারকে আন্ডারলাইন করে, স্পাইওয়্যারটি তার চারপাশে রেকর্ড করতে এবং ছবি তোলার জন্য ডিজাইন করা হয়েছে, কিন্তু শুধুমাত্র যখন স্ক্রীন বন্ধ থাকে। পেগাসাসের কিছু স্ব-ধ্বংস প্রক্রিয়াও রয়েছে যা নির্দিষ্ট পরিস্থিতিতে ট্রিগার হতে পারে।

পেগাসাস আমাদের জীবনে কতটা সমন্বিত মোবাইল ডিভাইস এবং শুধুমাত্র মোবাইলে উপলব্ধ বৈশিষ্ট্যগুলির সমন্বয়ের সুবিধা নেয় -- সর্বদা সংযুক্ত (ওয়াইফাই, 3G/4G), ভয়েস যোগাযোগ, ক্যামেরা, ইমেল, মেসেজিং, GPS, পাসওয়ার্ড এবং পরিচিতি তালিকা। এর কার্যকরী মডুলারিটি, যোগাযোগের প্রশস্ততা এবং ব্যবহারকারীর ডেটা এটি নিরীক্ষণ করে, এবং সেগুলির থেকে ডেটা বের করে দেওয়ার জন্য এটি অন্যান্য অ্যাপ্লিকেশনগুলিতে ব্যবহৃত উপযোগী পদ্ধতিগুলির ফলস্বরূপ, পেগাসাস হল সবচেয়ে পরিশীলিত ব্যক্তিগতভাবে-উন্নত আক্রমণ লুকআউটের সম্মুখীন হয়েছে মোবাইল এন্ডপয়েন্ট।

"আইনসম্মত বাধা"

এনএসও গ্রুপ, পেগাসাসের বিকাশকারী, পানামা এবং মেক্সিকোতে স্পাইওয়্যারটির লাইসেন্স দিয়েছে, অ্যাক্টিভিস্ট গ্রুপ প্রাইভেসি ইন্টারন্যাশনাল দ্বারা সংগৃহীত তথ্য অনুসারে। স্থানীয়ভাবে রিপোর্ট অনুযায়ী, পানামানিয়ার সরকার পেগাসাসের জন্য $8 মিলিয়ন দিয়েছে বলে জানা গেছে। আমরা নিশ্চিতভাবে সংযুক্ত আরব আমিরাতকে সেই তালিকায় যুক্ত করতে পারি, কারণ তারা সরাসরি এই প্রকাশের সাথে জড়িত।

"লফুল ইন্টারসেপ্ট" প্রযুক্তি নতুন কিছু নয় এবং এই প্রযুক্তির অপব্যবহার যাতে না হয় তা নিশ্চিত করার জন্য অনেক দেশেই কঠোর আইন রয়েছে। দুর্ভাগ্যবশত, আমরা জানি যে এটি সবসময় হয় না। এমনকি আহমেদ মনসুরের একক কেসও এই ধরনের শক্তিশালী স্পাইওয়্যার সম্পর্কিত সমস্যাগুলিকে হাইলাইট করে, এটি তৃতীয় "আইনসম্মত বাধা" টুল যা তথ্য সংগ্রহ করতে ব্যবহৃত হয় যা সম্ভবত তার বিরুদ্ধে ব্যবহার করা হবে।

পেগাসাস দুর্বলতার অর্থ হল আপনার অ্যাপল ডিভাইস প্যাচ করার সময়

এটা আমার জন্য কি মানে?

আপনি যদি ইতিমধ্যেই আপনার আইফোন আপডেট করে থাকেন, তাহলে আপনি ভালো থাকবেন। পেগাসাসের সাথে বেশিরভাগ আইফোন-মালিকানাধীন জনসংখ্যার সবচেয়ে বেশি ইন্টারঅ্যাকশন হবে অ্যাপল দ্বারা জারি করা সমালোচনামূলক আপডেটটি দেখা এবং এটি ইনস্টল করা। যেমন ইরাটা সিকিউরিটি ব্লগ বলে:

আমি মনে করি এটি সাইবারসেক সম্প্রদায়ের বাইরের লোকদের জন্য নতুন, তবে আমাদের অভ্যন্তরীণ ব্যক্তিদের জন্য এটি বিশেষভাবে খবরের যোগ্য নয়। এটা শুধু আরো সরকারী ম্যালওয়্যার কর্মীদের পিছনে যাচ্ছে. এটি [শূন্য-দিনের] আরও একটি সেট।

এই ক্ষেত্রে, একটি সামান্য পার্থক্য আছে। যেখানে বেশিরভাগ শূন্য-দিনের দুর্বলতা সাধারণত নিরাপত্তা গবেষকরা বা কোম্পানির দ্বারা আবিষ্কৃত হয়, এটি এমন একটি যা ব্যক্তিগত এবং সম্ভবত অত্যন্ত সংবেদনশীল তথ্য চুরি করার জন্য সক্রিয়ভাবে কাজে লাগানো হচ্ছে যা মানুষকে খুব তাৎক্ষণিক বিপদে ফেলতে পারে।

এর পাশাপাশি, পেগাসাস বিকাশের প্রেক্ষাপটটি এটির আবিষ্কার এবং ব্যবহারকে স্বাভাবিকের চেয়ে কিছুটা বেশি আকর্ষণীয় করে তোলে:একটি গণতান্ত্রিক দেশ, ইস্রায়েলে একটি সম্ভাব্য বিপজ্জনক স্পাইওয়্যার সরঞ্জাম তৈরি করা হয়েছে, যা সংযুক্ত আরব আমিরাতের মতো নিপীড়নমূলক শাসনব্যবস্থার কাছে বিক্রি হচ্ছে৷ যদিও টুলটি একটি "আইনসম্মত বাধা" টুল হিসাবে বৈধভাবে বিকশিত হয়েছে, এই কেসটি উদাহরণ দেয় যে কীভাবে স্পাইওয়্যারটি বন্যে ব্যবহার করা হয়। এনএসও গ্রুপ আইনের মধ্যে কাজ করে এবং তাদের নিজের কথায়, শুধুমাত্র "বিশ্বকে একটি নিরাপদ জায়গা করে তুলতে সাহায্য করতে চায়, অনুমোদিত সরকারগুলিকে প্রযুক্তি প্রদান করে যা তাদের সন্ত্রাস ও অপরাধের বিরুদ্ধে লড়াই করতে সহায়তা করে।"

যাই হোক না কেন, এটি এখনও একটি ভিন্নমতাবলম্বীর বিরুদ্ধে ব্যবহার করা হচ্ছে, এমন একটি দেশে মানবাধিকার রক্ষার জন্য যা এই ধরনের কর্মকাণ্ডের জন্য বরং ম্লান দৃষ্টিভঙ্গি নিতে পরিচিত, বরং তাদের সরকারী অবস্থানকে অস্বীকার করে যে তাদের "পণ্যটি শুধুমাত্র প্রতিরোধ এবং তদন্তের জন্য ব্যবহার করা যেতে পারে। অপরাধের।" অবশ্যই, সংযুক্ত আরব আমিরাতের মধ্যে মনসুরের ক্রিয়াকলাপগুলি মূলত অপরাধমূলক কার্যকলাপকে যুক্ত করে (তাদের এখতিয়ারের মধ্যে)৷

ওএস এক্স এবং সাফারিতে বাগ পাওয়া গেছে

অ্যাপল নিঃশব্দে তার ডেস্কটপ প্ল্যাটফর্ম, OS X, এবং এর প্রধান ব্রাউজার, Safari-এর জন্য সমালোচনামূলক প্যাচগুলি সরিয়ে দিয়েছে, এটি আবির্ভূত হওয়ার পরে যে ট্রাইডেন্ট জিরো-ডে দুর্বলতা সেই পরিষেবাগুলিকেও প্রভাবিত করবে। এই প্ল্যাটফর্মগুলির মধ্যে ভাগ করা কোডের পরিমাণের কারণে এটি কিছুটা আশ্চর্যজনক, তাই যখন একটিতে একটি দুর্বলতা পাওয়া যায়, তখন এটি অন্যটিকে প্রভাবিত করার সম্ভাবনা বেশি থাকে৷

আপনি এখানে এল ক্যাপিটান এবং ইয়োসেমাইটের জন্য প্যাচ খুঁজে পেতে পারেন এবং সাফারির জন্য একটি প্যাচ এখানে পাওয়া যাবে। এই প্যাচগুলি স্ট্যান্ডার্ড আপডেট মেকানিজমের মাধ্যমে ডাউনলোড এবং ইনস্টল করা যেতে পারে এবং আমরা আপনাকে এটি করার জন্য সুপারিশ করব৷

নিরাপদ... পরবর্তী সময় পর্যন্ত

আপনি আপডেট করে থাকলে আপনার অ্যাপল ডিভাইস সুরক্ষিত। আপনি এখনও অনিশ্চিত হলে, Lookout Security অ্যাপ ডাউনলোড করুন এবং আপনার সিস্টেম স্ক্যান করুন। যদি এটি কিছু খুঁজে পায়, তাহলে আপনাকে একটি প্যাচ ইনস্টল করতে হবে। যে সমস্ত ব্যবহারকারীরা প্যাচ করতে চান না (উদাহরণস্বরূপ, যদি আপনি ইতিমধ্যেই জেলব্রোকেন) এই টিউটোরিয়ালটি বিবেচনা করতে পারেন। (অস্বীকৃতি:আমি এটি করিনি এবং এটি কোনোভাবেই MakeUseOf-এর সাথে লিঙ্কযুক্ত বা অনুমোদিত বা অনুমোদিত নয়৷ )

জিরো-ডে দুর্বলতাগুলি সর্বদা আবিষ্কৃত হয় এবং নিরাপত্তা গবেষক বা তাদের প্রভাবিত হতে পারে এমন লোকেদের অনুমোদন ছাড়াই প্যাচ করা হয়। যাইহোক, আইফোন ব্যবহারকারীদের সত্যিই মনে রাখা উচিত -- অ্যান্ড্রয়েড ব্যবহারকারীরা যে কোনো পুরানো হ্যাকারের কাছে আত্মবিশ্বাসের ধারণা এবং কিছু YouTube ভিডিও দেখার জন্য উন্মুক্ত।

iPhones এখনও শুধুমাত্র জাতি-রাষ্ট্র অভিনেতাদের দ্বারা শোষিত হচ্ছে. সংবাদে উপস্থিত অসংখ্য শূন্য-দিনের দুর্বলতা থাকা সত্ত্বেও এটি বেশিরভাগ ভোক্তার কাছে উপলব্ধ সবচেয়ে সুরক্ষিত ফোন। জিরো-ডে শোষণ সর্বদা তদন্ত করা হবে এবং উন্মোচিত হবে। অ্যাপল তাদের বাগ বাউন্টি প্রোগ্রামে সর্বাধিক $200,000 অফার করে এবং গত বছর সফ্টওয়্যার ব্রোকার জিরোডিয়াম আক্রমণকারীদের একটি আইফোনে অ্যাক্সেস দেওয়ার জন্য $1 মিলিয়ন প্রস্তাব করেছিল। আপনি সমস্যা দেখতে পাচ্ছেন।

আপনি এবং আপনার ডেটা ঠিক থাকবে। কিন্তু স্পাইওয়্যার কর্মী বা সাংবাদিকদের টার্গেট করার শেষ ঘটনা হবে না।

আপনি কি আপনার আইফোন আপডেট করেছেন? আপনি কি মনে করেন যে জাতি-রাষ্ট্র অভিনেতাদের তাদের "অস্ত্রযুক্ত" ম্যালওয়্যার এবং স্পাইওয়্যার বিক্রয়ের জন্য আরও দায়ী হওয়া উচিত? নীচে আপনার চিন্তা আমাদের জানান!


  1. একটি ধীর আইফোন আছে? অ্যাপল আপনার আইফোনকে থ্রোটলিং করছে কিনা তা কীভাবে পরীক্ষা করবেন

  2. আপনি যখন আপনার আইফোন হারাবেন এবং আপনার অ্যাপল আইডি না থাকলে কী করবেন

  3. আপনার আইফোনে অ্যাপলের গোপন ইমোজি কীবোর্ড ব্যবহার করুন

  4. কীভাবে আপনার ম্যাক, আইফোন এবং আইপ্যাড পরিষ্কার, স্যানিটাইজ এবং জীবাণুমুক্ত করবেন