নতুন হার্ডওয়্যার বাগ রিপোর্ট করা হয়েছে যা প্রসেসরকে প্রভাবিত করে। যেগুলি ইন্টেল, এএমডি এবং এআরএম দ্বারা ডিজাইন করা হয়েছে। এই নিরাপত্তা ত্রুটিগুলি গুগলের প্রোজেক্ট জিরো দ্বারা রিপোর্ট করা হয়েছে। এবং ইতিমধ্যেই পাওয়া সবচেয়ে খারাপ CPU অ্যাটাক বাগ হিসেবে আখ্যায়িত করা হচ্ছে৷
৷
স্পেক্টার মেল্টডাউন ব্যাখ্যা করা হয়েছে:
মেলডাউন এবং স্পেকটার দুর্বলতাগুলি দূষিত প্রোগ্রামগুলি পড়ার অনুমতি দেয়। পাশাপাশি অন্যান্য প্রোগ্রাম থেকে ডেটা অ্যাক্সেস করা। সমস্ত সিস্টেম প্রভাবিত যারা কোন আধুনিক কম্পিউটিং ডিভাইস ব্যবহার করে। আপনি ওয়ার্ডপ্রেস সাইটের মালিক বা ওয়েবসাইটগুলির নৈমিত্তিক ব্রাউজার হতে পারেন। এই সমস্যা আপনার ক্ষতি করতে পারে। উদাহরণস্বরূপ, আপনার একটি ব্রাউজার ট্যাব একটি দূষিত সাইট অ্যাক্সেস করছে৷ এই ট্যাব ব্রাউজারে ইনস্টল করা পাসওয়ার্ড ম্যানেজার থেকে ডেটা অ্যাক্সেস করতে সক্ষম৷৷ অথবা এমনকি অন্যান্য ট্যাব থেকে কুকিজ. একইভাবে, আপনার যদি একটি ওয়ার্ডপ্রেস সাইট ওয়েব হোস্ট দিয়ে হোস্ট করা থাকে। এবং এটিতে একই হার্ডওয়্যার ভাগ করে নেওয়া একাধিক সাইট রয়েছে। আপনার সাইট ডেটা লঙ্ঘন চুরির জন্য সংবেদনশীল। এর মানে আপনি শেয়ার করা বা হোস্টে পরিচালিত হোক না কেন। আপনি একটি খারাপ পরিস্থিতিতে আছে.
স্পেক্টার এবং মেল্টডাউন কেন বিপজ্জনক?
এই বিশেষ সমস্যাটি প্রত্যেককে প্রভাবিত করে যারা যেকোনো আধুনিক কম্পিউটিং ডিভাইস ব্যবহার করে। আপনি ওয়ার্ডপ্রেস সাইটের মালিক বা ওয়েবসাইটগুলির নৈমিত্তিক ব্রাউজার হতে পারেন। এই সমস্যা আপনার ক্ষতি করতে পারে। উদাহরণস্বরূপ, আপনার একটি ব্রাউজার ট্যাব একটি দূষিত সাইট অ্যাক্সেস করছে৷ এই ট্যাব ব্রাউজারে ইনস্টল করা পাসওয়ার্ড ম্যানেজার থেকে ডেটা অ্যাক্সেস করতে পারে . অথবা অন্যান্য ট্যাব থেকে কুকিজ থেকেও। একইভাবে, আপনার যদি একটি ওয়ার্ডপ্রেস সাইট ওয়েব হোস্ট দিয়ে হোস্ট করা থাকে। এবং হোস্টের একই হার্ডওয়্যার ভাগ করে নেওয়া একাধিক সাইট রয়েছে। আপনার সাইট ডেটা চুরির জন্য সংবেদনশীল। এর মানে আপনি শেয়ার্ড বা ম্যানেজড হোস্টিং-এ আছেন কিনা তা নির্বিশেষে। আপনি একটি খারাপ পরিস্থিতিতে আছে.
আমি কি একজন ওয়েবসাইটের মালিক হিসেবে প্রভাবিত?
এখন পর্যন্ত, আপনি ইতিমধ্যেই মেল্টডাউন নিরাপত্তা বাগ দ্বারা প্রভাবিত। ডেটা চুরির মধ্যে পাসওয়ার্ড, SSL কী এবং অন্যান্য সংবেদনশীল তথ্য অন্তর্ভুক্ত থাকতে পারে।
ওয়ার্ডপ্রেস সাইটের মালিক হিসেবে আমার কী করা উচিত?
একটি ওয়ার্ডপ্রেস সাইট হোস্ট করার চারটি জনপ্রিয় উপায় রয়েছে:
শেয়ারড হোস্টিং – GoDaddy, Bluehost, SiteGround ইত্যাদি।
শেয়ার্ড হোস্টিং-এ, অন্য অনেকের পাশাপাশি অনেক সাইট চলছে। এবং একটি সার্ভারে খুব কাছাকাছি সান্নিধ্যে. এই সার্ভারগুলির একটি নির্দিষ্ট স্তরের সুরক্ষা রয়েছে। এক সাইট থেকে অন্য সাইটের নিরাপত্তা নিশ্চিত করা। সাইটগুলির মধ্যে এই প্রাচীর স্বাভাবিক অপারেশনের অধীনে যথেষ্ট। তবে এটি লঙ্ঘন করা যেতে পারে৷ সমস্ত ওয়েবসাইটের উদাহরণ একই মেশিনে চলছে। এই দুর্বলতা একটি দূষিত সাইটকে অন্য সাইটের ডেটা অ্যাক্সেস করার চেষ্টা করার অনুমতি দিতে পারে৷
ওয়েব হোস্ট, এই ক্ষেত্রে, স্পেকটার মেল্টডাউন প্যাচ স্থাপনের জন্য দায়ী। আপনি আপনার ওয়েব হোস্ট সঙ্গে অনুসরণ করা উচিত. এবং নিশ্চিত করুন যে তাদের এই জন্য একটি পরিকল্পনা আছে।
পরিচালিত ওয়ার্ডপ্রেস হোস্টিং – WP ইঞ্জিন, প্যান্থিয়ন, ইত্যাদি।
পরিচালিত ওয়ার্ডপ্রেস হোস্টিং ঐতিহ্যগতভাবে একটি ভাল হোস্টিং হিসাবে বিবেচিত হয়। এবং শেয়ার্ড হোস্টিং এর চেয়েও একটি নিরাপদ বিকল্প। বেশিরভাগ জনপ্রিয় ম্যানেজড ওয়ার্ডপ্রেস হোস্টিং প্রোভাইডার বড় ক্লাউড প্রোভাইডারে সাইটগুলো হোস্ট করে। এই প্রদানকারীদের মধ্যে রয়েছে AWS, Digital Ocean, Google ক্লাউড। পরিচালিত হোস্টিং একটি সাইট অন্য সাইটকে ক্ষতিগ্রস্ত করতে সক্ষম হওয়ার ঝুঁকি কমায়৷ এটি একই সার্ভারের অন্যান্য সাইট। যাইহোক, এই ক্ষেত্রে ভিন্ন কারণ Specter এবং Meltdown হার্ডওয়্যার বাগ। আপনি একটি ডেডিকেটেড পাত্রে হোস্ট করা হয়? জেনে রাখুন যে একই মেশিনে একাধিক কন্টেইনার চলতে পারে। এটি আপনাকে শেয়ার্ড হোস্টিং-এ হোস্ট করা সাইটের মতো একই ঝুঁকিতে ফেলে৷
৷অনেক ক্লাউড প্ল্যাটফর্ম ইতিমধ্যেই তাদের অন্তর্নিহিত প্ল্যাটফর্ম ঠিক করেছে। আরও কেউ কেউ এর জন্য একটি পরিকল্পনাও তৈরি করেছেন। পরিচালিত ওয়েব হোস্টদের মেল্টডাউন বা স্পেকটার মেল্টডাউন প্যাচের জন্য সফ্টওয়্যার প্যাচ প্রয়োগ করতে হবে। তাদের নিজেদের সিস্টেমেও এটি করতে হবে।
ক্লাউড হোস্টিং – ডিজিটাল মহাসাগর, AWS ইত্যাদি।
আমাদের মধ্যে কয়েকজন ক্লাউড হোস্টিং প্ল্যাটফর্ম থেকে ভার্চুয়াল সার্ভার ভাড়া করে আমাদের সাইট চালায়। এই ক্লাউড প্ল্যাটফর্মগুলি একাধিক গ্রাহককে একটি শারীরিক সার্ভার ভাগ করার অনুমতি দেয়৷ গ্রাহক তাদের নিজস্ব অপারেটিং সিস্টেম ইনস্টল করতে পারেন৷ এবং তারপর এর উপরে সমগ্র স্ট্যাক পরিচালনা করুন৷৷ তাদের সম্পূর্ণ নমনীয়তা প্রদান। অন্তর্নিহিত সার্ভার সাধারণ। তাই, মেল্টডাউন দুর্বলতা বা স্পেক্টর দুর্বলতাকে কাজে লাগানো সম্ভব।
প্রধান ক্লাউড পরিষেবাগুলি দ্রুত তাদের প্ল্যাটফর্মগুলি প্যাচ করছে৷ যাইহোক, আপনার নিজের ভার্চুয়াল সার্ভার বজায় রাখার জন্য আপনি দায়ী। যত তাড়াতাড়ি সম্ভব আপনার ওএস আপডেট করা উচিত।
ডেডিকেটেড সার্ভার
ব্যক্তিগত মালিকানাধীন এবং রক্ষণাবেক্ষণ করা সার্ভারের হোস্টিং একটি জনপ্রিয় বিকল্প নয়। এটি জটিলতা এবং ব্যয়ের কারণে। যাইহোক, যদি আপনি এটি করেন তবে আপনি এই বাগ থেকে ন্যূনতম ঝুঁকিতে রয়েছেন। যদিও আমরা এখনও আপনার OS আপডেট রাখার পরামর্শ দেব৷
৷আমি কি জানতে পারি আমার সাইট আক্রমণের মুখে আছে কিনা?
দুর্ভাগ্যবশত, আপনি আক্রমণ করছেন কিনা তা জানার সম্ভাবনা নেই। এগুলি হার্ডওয়্যার বাগ যা ডেটা চুরি হতে পারে। তাও প্রথাগত লগ ফাইলে কোনো চিহ্ন না রেখে। আক্রমণটি অপারেটিং সিস্টেম থেকে স্বাধীন। এবং এটি কোনো সফ্টওয়্যার নিরাপত্তা দুর্বলতার উপর নির্ভর করে না৷৷ এই বাগগুলি ব্যক্তিগত কম্পিউটার চিপ, মোবাইল ডিভাইস এবং ক্লাউড সিস্টেমে কাজ করে। আপনার এবং আপনার দর্শকদের কাছ থেকে ডেটা চুরি করা সম্ভব হতে পারে। কিন্তু সেটা নির্ভর করে হোস্টিং প্রদানকারীর পরিকাঠামোর উপর।
আমি কিভাবে এটা ঠিক করতে পারি?
দুঃখের বিষয় এই মুহূর্তে আপনি অনেক কিছুই করতে পারবেন না। এই বাগ প্রায় সবাইকে প্রভাবিত করে। অপারেটিং সিস্টেম বিক্রেতারা ইতিমধ্যে ফিক্স রোল আউট শুরু করেছে. কিন্তু এগুলো হল স্টপগ্যাপ প্যাচ এবং খরচ কর্মক্ষমতা। মেল্টডাউন অ্যাটাক বা মেল্টডাউন স্পেকটার প্যাচের 5 থেকে 30% CPU পারফরম্যান্স প্রভাব রয়েছে বলে মনে করা হচ্ছে। যেখানে স্পেকটার (এবং স্পেকটার ভেরিয়েন্ট) শীঘ্রই কোনো সময় ঠিক করা হবে না। আমরা আশা করি ইন্টেল এবং এএমডির মতো চিপ নির্মাতারা পদক্ষেপ নেবে। এটি এই ধরনের ভবিষ্যতের আক্রমণ মোকাবেলা করতে সাহায্য করবে। এবং যেকোনো ধরনের চিপ ত্রুটি প্রতিরোধ করবে।
সম্প্রতি ইন্টেল প্রসেসরের ডিজাইনের ত্রুটি এবং যাকে ইন্টেল স্পেকটার মেল্টডাউন বা মেল্টডাউন ইন্টেল বলা হয় তা নিয়ে মোটামুটি আলোচনা হয়েছে। নিরাপদ ইন্টেল চিপস এবং AMD প্রসেসরের সাহায্যে, আপনি আপনার পিসিকে সুরক্ষিত রাখতে সক্ষম হবেন।
আমি সাহায্যের জন্য কার সাথে যোগাযোগ করব?
প্রধান হোস্টিং কোম্পানিগুলি ইতিমধ্যে স্পেকটার এবং মেল্টডাউন প্যাচ বা মেল্টডাউন এবং স্পেকটার প্যাচ স্থাপন করা শুরু করেছে। একজন সাইটের মালিক আপনার হোস্টিং প্রদানকারীর সাথে তাদের সিস্টেমের অবস্থা সম্পর্কে চেক করে। যদি তারা ইতিমধ্যেই না করে থাকে তাহলে তাদেরকে অবিলম্বে সমাধান স্থাপন করতে বলুন। শেষ ব্যবহারকারী হিসাবে এই সংশোধনগুলি আপনার কাছে কী বোঝায় তা তাদের সাথে পরীক্ষা করুন৷ এটা কি সাইটের কর্মক্ষমতা প্রভাবিত করবে? এই প্রভাবগুলি কি আপনার শেষ ব্যবহারকারীদের কাছে দৃশ্যমান হবে?
কিন্তু যাইহোক এই মেল্টডাউন এবং স্পেকটার আক্রমণগুলি কী বা স্পেকটার দুর্বলতা ব্যাখ্যা করা হয়েছে?
Google Project Zero এই বাগটি প্রকাশ করেছে:
উপরের বিবৃতিটি মেল্টডাউন বা স্পেকটার দ্বারা তৈরি শোষণের সংক্ষিপ্তসার করে। প্রকৃতপক্ষে, তারা পার্শ্ব চ্যানেল দুর্বলতা বা পার্শ্ব চ্যানেল আক্রমণের একটি উদাহরণ৷
Amazon, Google, এবং AMD এর মত বড় কোম্পানিগুলি জানুয়ারিতে বিবৃতি প্রকাশ করেছে৷ তারা তাদের ব্যবহারকারীদের আশ্বস্ত করে যে তাদের সর্বশেষ সফ্টওয়্যার সংস্করণ নিরাপদ। অ্যাপলের মতো আরও অনেক জায়ান্ট এখনও মন্তব্য করেনি। আপনার কম্পিউটারে অ্যান্টিভাইরাস সফ্টওয়্যার ব্যবহার করুন। এছাড়াও আপনার কম্পিউটারে একটি স্পেকটার মেল্টডাউন চেকার পান। এছাড়াও আপনি Google এর টিম ব্লগস্পটে প্রোজেক্ট জিরো খবর এবং আপডেট সম্পর্কে আরও জানতে পারেন।
নিচে নতুন আবিষ্কৃত আক্রমণগুলির একটি তালিকা রয়েছে:৷
Meltdown-PK (Protection Key Bypass)
Meltdown-BR (Bounds Check Bypass)
Spectre-PHT-CA-OP
Spectre-PHT-SA-IP
Spectre-PHT-SA-OP
Spectre-BTB-SA-IP
Spectre-BTB-SA-OP
আশা করি যে আমাদের গবেষণা দলগুলি দ্বারা লিখিত এই ব্লগটি আপনার বেশিরভাগ সন্দেহকে পরিষ্কার করেছে। আরও নিরাপত্তা আপডেটের পাশাপাশি ওয়ার্ডপ্রেস নিরাপত্তা সংক্রান্ত একটি সম্পূর্ণ গাইডের জন্য এই স্থানটি দেখুন।
