Google এর ChromeOS, প্রথম নজরে, অপারেটিং সিস্টেম নিরাপত্তার জন্য একটি টাচডাউন কিছু। এটি সম্ভবত বিশ্বের সবচেয়ে নিরাপদ অপারেটিং সিস্টেম (কিছু সীমিত কার্যকারিতার মূল্যে)। দুর্ভাগ্যবশত, ChromeOS একটি নিরাময় নয়, এবং প্ল্যাটফর্ম সম্পর্কে গুরুতর নিরাপত্তা উদ্বেগ রয়ে গেছে।
প্রথম, যদিও, ভাল খবর:
ChromeOS (স্ট্রিপড-ডাউন লিনাক্স অপারেটিং সিস্টেম যা সস্তা ক্রোম-ব্র্যান্ডেড নেটবুকগুলিতে চলে) নিরাপত্তা-সচেতন ব্যবহারকারীদের জন্য সত্যিই চমৎকার বৈশিষ্ট্যগুলির একটি গুচ্ছ রয়েছে৷ বুটলোডিং কোডটি শুধুমাত্র-পঠনযোগ্য মেমরিতে সংরক্ষণ করা হয় এবং বুট-আপের আগে OS কার্নেলের ডিজিটাল স্বাক্ষর পরীক্ষা করে ("যাচাই করা বুট" বৈশিষ্ট্য)। যেহেতু বুটলোডারটি রমে রয়েছে, তাই হ্যাকাররা চিপের সাথে শারীরিকভাবে টেম্পারিং না করে এটিকে সম্ভবত পরিবর্তন করতে পারে না। যদি সিস্টেম ফাইলগুলি চেক করতে ব্যর্থ হয়, তাহলে বুটলোডার সম্পূর্ণ মেশিনটিকে ফ্যাক্টরি সেটিংসে রিসেট করবে, যে কোনো দূষিত কোড ঢোকানো হতে পারে তা ধ্বংস করবে।
প্ল্যাটফর্মের নিরাপত্তা আরও জোরদার করা হয়েছে কারণ এটি একটি স্যান্ডবক্সে চালানো ওয়েব অ্যাপের উপর ভিত্তি করে:তাদের থ্রেড এবং মেমরি আলাদা রাখা হয়, তাত্ত্বিকভাবে ক্ষতিকারক ওয়েব অ্যাপকে তথ্য অ্যাক্সেস করা বা অন্য অ্যাপের নিয়ন্ত্রণ নিতে বাধা দেয়। ক্রোমবুকগুলি সর্বদা আপ টু ডেট আছে তা নিশ্চিত করার জন্য, যখন কম্পিউটার নেটওয়ার্কের সাথে সংযুক্ত থাকে তখন নিরাপত্তা সংশোধন সমন্বিত সিস্টেম আপডেটগুলি স্বয়ংক্রিয়ভাবে এবং অদৃশ্যভাবে প্রয়োগ করা হয়৷ এমনকি কয়েকটি নিরাপত্তা বিকল্প রয়েছে যা আপনি ডিভাইসটিতে শারীরিক অ্যাক্সেস সহ আক্রমণকারীদের থেকে ডিভাইসটিকে রক্ষা করতে সক্ষম করতে পারেন। একটি ChromeOS মেশিনে ম্যালওয়্যার পাওয়ার চেষ্টা করা একটি ঈর্ষণীয় কাজ নয়। আপনি এখানে ChromeOS প্ল্যাটফর্মের নিরাপত্তা সম্পর্কে আরও পড়তে পারেন৷
৷তাহলে সমস্যা কি?
আপনি স্যান্ডবক্সকে বিশ্বাস করতে পারবেন না
দুর্ভাগ্যবশত, ওয়েব স্যান্ডবক্সিং দ্বারা প্রদত্ত নিরাপত্তা মূলত অনানুষ্ঠানিক এবং অপ্রমাণিত। জাভা সহ প্রচুর স্যান্ডবক্সে বাগ আবিষ্কৃত হয়েছে যা অ্যাপ্লিকেশনগুলিকে সেগুলি থেকে বেরিয়ে আসতে এবং মেশিনে নির্বিচারে নির্দেশাবলী কার্যকর করতে দেয়। ক্রোম নিজেই ব্ল্যাক-হ্যাট হ্যাকারদের দ্বারা স্যান্ডবক্স-ব্রেকিং আক্রমণের বিরুদ্ধে প্রদর্শিত হয়েছে। এই নির্দিষ্ট শোষণগুলি এখন স্থির করা হয়েছে, তবে এর বেশি নেই এমন কোনও গ্যারান্টি নেই। রিক ফার্গুসন, একজন নিরাপত্তা গবেষক, এটিকে এভাবে রেখেছেন:
"স্যান্ডবক্সিং থেকে বেরিয়ে আসা শোষণগুলি ইতিমধ্যেই ইন্টারনেট এক্সপ্লোরার, জাভা, গুগল অ্যান্ড্রয়েড এবং অবশ্যই ক্রোম ব্রাউজারের জন্য প্রদর্শিত হয়েছে (নাম হিসাবে তবে কয়েকটি), যদিও গুগল স্যান্ডবক্স কার্যকর, এটি দুর্ভেদ্য নয় এবং 100 শতাংশ নিরাপত্তার জন্য এটির উপর নির্ভর করা অদূরদর্শী হবে।"
এখানে সবচেয়ে খারাপ অপরাধী হল ইন্টারেক্টিভ ওয়েব, বিশেষ করে ওয়েবজিএল, ওয়েব ব্রাউজারে ব্যবহারের উদ্দেশ্যে ওপেনজিএল (একটি সাধারণ গ্রাফিক্স লাইব্রেরি) এর বাস্তবায়ন। WebGL আপনাকে আপনার ব্রাউজার থেকে গ্রাফিক্যালি চিত্তাকর্ষক 3D ডেমো চালাতে দেয়, যা সত্যিই দুর্দান্ত (যেমন এই উদাহরণগুলি), কিন্তু, দুর্ভাগ্যবশত, এটি নিরাপত্তার জন্য একটি দুঃস্বপ্নও। WebGL ওয়েব অ্যাপগুলিকে মেশিনের ভিডিও কার্ডে নির্বিচারে শেডার নির্দেশাবলী পাঠাতে দেয়, যা সম্ভবত স্যান্ডবক্স-ভাঙ্গা শোষণের সম্পূর্ণ কল্পনাপ্রসূত রংধনুকে অনুমতি দেয়। মাইক্রোসফটের অফিসিয়াল অবস্থান [ব্রোকেন ইউআরএল রিমুভড] হল ওয়েবজিএল অভ্যন্তরীণ ব্যবহারের জন্য খুবই অনিরাপদ:
"সামগ্রিকভাবে WebGL-এর নিরাপত্তা OEM ড্রাইভার সহ সিস্টেমের নিম্ন স্তরের উপর নির্ভর করে, নিরাপত্তা গ্যারান্টি বজায় রাখে যা তাদের আগে কখনও চিন্তা করতে হবে না। আগে যে আক্রমণগুলি শুধুমাত্র বিশেষাধিকারের স্থানীয় উচ্চতায় পরিণত হতে পারে সেগুলির ফলাফল হতে পারে দূরবর্তী সমঝোতায়। যদিও এই ঝুঁকিগুলিকে কিছুটা কমানো সম্ভব হতে পারে, WebGL দ্বারা উন্মোচিত বৃহৎ আক্রমণের পৃষ্ঠটি একটি উদ্বেগের বিষয়। আমরা আশা করি যে বাগগুলি কেবলমাত্র নির্দিষ্ট প্ল্যাটফর্মে বা নির্দিষ্ট ভিডিও কার্ডের সাথে বিদ্যমান, সম্ভাব্য লক্ষ্যবস্তু আক্রমণগুলিকে সহজতর করে। "
আপনি মেঘকে বিশ্বাস করতে পারবেন না
স্যান্ডবক্সের বিরুদ্ধে সম্ভাব্য হুমকির চেয়েও খারাপ, যদিও, প্ল্যাটফর্মের প্রকৃতি নিজেই। ক্রোমবুক, ডিজাইন অনুসারে, ক্লাউডের উপর অনেক বেশি নির্ভর করে। আপনি যদি ভুলবশত আপনার ক্রোমবুকটি ধ্বংস করেন (বলুন, এটিতে পা রেখে বা এটিকে গলিত পাথরের হ্রদে ফেলে), আপনার ডেটা যায় না৷ আপনি শুধু একটি নতুন কিনতে পারেন, লগ ইন করতে পারেন এবং আপনার সমস্ত ডেটা এবং সেটিংস ফিরে পেতে পারেন৷
৷দুর্ভাগ্যবশত, এটি ব্যবহারকারীদের সমীকরণের ক্লাউড সাইডে যথেষ্ট ঝুঁকির সম্মুখীন করে। আরস টেকনিকার শন গ্যালাঘার তার সম্পাদকীয় "কেন এনএসএ গুগলের ক্রোমবুককে ভালোবাসে" উল্লেখ করেছেন, আমরা জানি যে এনএসএ গুগলের ক্লাউড স্টোরেজে আক্রমণাত্মক ব্যাকডোর (এবং এখনও থাকতে পারে) এবং এটি ব্যবহার করে সমস্ত ফাইল গুপ্তচরবৃত্তি করতে পারে। ড্রাইভ ব্যবহারকারীদের মধ্যে, যাদের মধ্যে Chromebook ব্যবহার করছেন। গ্যালাঘের যেমন বলেছেন,
"এর কোনোটিই অগত্যা Google-এর দোষ নয়৷ কিন্তু এটি প্ল্যাটফর্ম হিসাবে ব্রাউজারের একটি দুর্বলতা—প্রেজেন্টেশন ছাড়াও, ক্লাউডে ব্যাক আপ করার জন্য প্রায় সমস্ত কম্পিউটিং সংস্থানগুলিকে পুশ করে, Chromebook মডেলটি একটি ওয়ান-স্টপ শপ তৈরি করে৷ আক্রমণকারী বা পর্যবেক্ষকদের আপনার কম্পিউটিং জগতে নিজেদেরকে ইনজেক্ট করার জন্য।"
এটা শুধু NSA নয়। যদিও বিশ্বস্ত বুটলোডার আপনাকে অপারেটিং সিস্টেমে ক্রমাগত, দূষিত পরিবর্তনগুলি থেকে রক্ষা করতে পারে যা আপনার কাজের রিপোর্ট করে, এমনকি একটি ওয়েব অ্যাপের দ্বারা একটি নিরাপত্তা লঙ্ঘন আপনার কী এবং প্রমাণীকরণের বিশদ চুরি করার জন্য যথেষ্ট হতে পারে, যা একজন আক্রমণকারী তখন অ্যাক্সেস করতে ব্যবহার করতে পারে। আপনার ক্লাউড ডেটা এবং তাদের অবসর সময়ে এটি ব্রাউজ করুন।
নেটিভ অ্যাপ আসছে
বিষয়টিকে আরও খারাপ করার জন্য, ChromeOS-এর স্যান্ডবক্স একটি বিশেষভাবে বিশুদ্ধ দৃষ্টান্ত নয়:অ্যাডব্লক প্লাস এবং গুগল ট্রান্সলেটের মতো ওয়েব পৃষ্ঠাগুলির শীর্ষে চলা ব্রাউজার এক্সটেনশনগুলি মেশিনে চলমান নেটিভ কোড, এবং তারা সমস্ত ধরণের বাজে জিনিস করতে পারে ( অ্যাডওয়্যার প্রদর্শন এবং আপনার পাসওয়ার্ড গুপ্তচরবৃত্তি সহ)। এমনকি এমন এক্সটেনশন রয়েছে যা আপনি ডাউনলোড করতে পারেন যা অন্যান্য দূষিত এক্সটেনশন সনাক্ত করে এবং অপসারণ করতে পারে - একটি অ্যান্টি-ভাইরাস সফ্টওয়্যার যা ChromeOS-এর প্রয়োজন হয় না৷ Google এর কৃতিত্বের জন্য, ChromeOS শুধুমাত্র Chrome এক্সটেনশন স্টোর থেকে অ্যাপগুলি ইনস্টল করবে যা ইতিমধ্যেই Google-এর অনুমোদন প্রক্রিয়ার মাধ্যমে অর্জিত হয়েছে৷ দুর্ভাগ্যবশত, সেই পরীক্ষণ প্রক্রিয়াটি মানুষের বিচারের উপর নির্ভর করে এবং সেই পরীক্ষা দ্বারা প্রদত্ত গ্যারান্টিগুলি ভাল স্যান্ডবক্সিং দ্বারা প্রদত্ত গ্যারান্টিগুলির তুলনায় অনেক দুর্বল৷
এটি আরও খারাপ হয়: Google একটি ইন্টারফেস স্তরের মাধ্যমে ChromeOS-এ চালানো Android অ্যাপের আকারে নেটিভ অ্যাপগুলি বাস্তবায়ন করার পরিকল্পনা করছে। এইগুলি হবে নেটিভ অ্যাপ যা ChromeOS-এ নিরাপত্তা সংক্রান্ত উদ্বেগের সম্পূর্ণ প্রস্থ এবং গভীরতার পরিচয় দেয় এবং সেই নিরাপত্তা উদ্বেগগুলিকে ক্লাউডের কী চুরির আপেক্ষিক দুর্বলতার কারণে আরও গুরুতর করে তোলে৷ লঙ্ঘনগুলি আরও গুরুতর হয় যখন সেগুলি অদৃশ্য এবং ক্রমাগত থাকে৷
এখন, অবশ্যই, ChromeOS-এ অনুমোদিত যেকোন অ্যান্ড্রয়েড অ্যাপ্লিকেশানগুলি সম্ভবত দূষিত কোডের জন্য Google এর টিম দ্বারা সতর্কতার সাথে যাচাই করা হবে, তবে এটি কেবলমাত্র মেশিনের নিরাপত্তা ঝুলিয়ে রাখার জন্য যথেষ্ট শক্তিশালী গ্যারান্টি নয়। কোডটি দূষিত না হলেও, তারা প্রায় অবশ্যই তাদের নিজস্ব শোষণ এবং দুর্বলতা নিয়ে আসবে যা অপারেটিং সিস্টেমে অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে। নেটিভ কোড বিপজ্জনক, এবং নিরাপত্তা নীতিগুলি লঙ্ঘন করে যা ChromeOS কে সুরক্ষিত রাখার উদ্দেশ্যে তৈরি৷
ChromeOS:নিরাপদ, কিন্তু উদ্বেগ বিদ্যমান
ChromeOS যে খুবই তা পুনর্ব্যক্ত করার জন্য এখানে কিছুক্ষণ সময় নেওয়া মূল্যবান৷ নিরাপদ. আপনি যদি Windows, Linux, বা OSX ব্যবহার করেন, তাহলে ChromeOS অনেক বেশি নিরাপদ। প্রকৃতপক্ষে, এটি প্ল্যান 9 ব্যতীত মূলত প্রতিটি অপারেটিং সিস্টেমের ক্ষেত্রে সত্য, একটি হাইপার-সিকিউর অপারেটিং সিস্টেম এতটাই অস্পষ্ট যে এটি ম্যালওয়্যারকে অন্তত আংশিকভাবে এড়িয়ে যায় যার কথা বলার মতো কোনো 'ওয়্যার' না থাকে৷ যাইহোক, এটিকে অসতর্ক হওয়ার অজুহাত হিসাবে নেবেন না:ChromeOS সম্পর্কে গুরুতর নিরাপত্তা উদ্বেগ রয়ে গেছে, এবং যখন আপনি সংবেদনশীল তথ্যের সাথে আপনার কম্পিউটারে বিশ্বাস করেন তখন সেগুলিকে মনে রাখা মূল্যবান৷
ইমেজ ক্রেডিট:শাটারস্টকের মাধ্যমে একটি ল্যাপটপ সহ হ্যাকার, স্টিফেন শ্যাঙ্কল্যান্ডের "Chrome ল্যাপেল পিন", slgckgc দ্বারা "Chromebook", "Chromebook ফটো টেস্ট", দ্বারা ?? ?, রায়ান সোমা দ্বারা "ক্রিহা-শিফ্রিয়ারমাশিন, ক্রিহা-এনক্রিপশন ডিভাইস",
