শোষণ স্বয়ংক্রিয় আপডেটের ডার্ক সাইড প্রকাশ করে

ওয়েব ব্রাউজার ইনস্টলেশনের একটি সাম্প্রতিক গবেষণায় দেখানো হয়েছে যে সাম্প্রতিক নিরাপত্তা প্যাচগুলির সাথে অনেকগুলি আপ টু ডেট আছে। এবং ব্রাউজার একা নয়; যেহেতু আমার প্রিয় পুরানো মম স্বীকার করতে পারেন, আপনি যখন কাজ করতে চান তখন আপনার কম্পিউটারটি কাজের জন্য ব্যবহার করা হলে ওএস এবং অ্যাপ্লিকেশন প্যাচগুলির সাথে রাখা কঠিন হতে পারে। এটি এমন কোন আশ্চর্যের বিষয় নয় যে অনেকগুলি পিসি সুরক্ষার নিবিড়তার জন্য ঝুঁকিপূর্ণ হতে পারে যা অন্যথায় প্রতিরোধ করা যেতে পারে।

ব্রাউজারের স্বয়ংক্রিয় আপডেট বৈশিষ্ট্যটির কারণে ফায়ারফক্স ব্রাউজারের অধ্যয়নের শীর্ষ চিহ্ন পেয়েছে, আবার উপলব্ধ একটি ক্রমবর্ধমান সংখ্যক বিক্রেতারা একই পদ্ধতি ব্যবহার করছেন, যখনই আপনি তাদের সফ্টওয়্যার ব্যবহার করেন স্বয়ংক্রিয়ভাবে আপডেটের জন্য চেক করা কিন্তু এখন এটি সক্রিয় যে স্বয়ংক্রিয় আপডেট সবসময় সব তারা আপ ফাটল করছি না। Evilgrade নামক একটি নতুন শোষণ অপ্রচলিত সিস্টেমে দূষিত কোড ইনস্টল করার জন্য স্বয়ংক্রিয় আপডেটকারীর সুবিধা গ্রহণ করতে পারে এবং আপনার কম্পিউটারগুলি আপনার মতামত থেকে বেশি ঝুঁকিপূর্ণ হতে পারে।

Evilgrade একটি মডুলার ফ্রেমওয়ার্ক হিসাবে ডিজাইন করা হয়েছে যা প্লট-ইনগুলিকে মাউন্ট করা আক্রমণগুলিতে সক্ষম করে। বিভিন্ন সফ্টওয়্যার প্যাকেজ যা তাদের নিজস্ব অটোমেটিক আপডেট পদ্ধতিগুলি নিযুক্ত করে। বর্তমানে সমর্থিত লক্ষ্যগুলি হল জাভা ব্রাউজার প্লাগইন, WinZip, Winamp, OpenOffice.org, লিঙ্কডইন টুলবার, আইটিউনস এবং ম্যাক ওএস এক্স। এখনও আরো প্লাগইনগুলি আগামী মাসগুলিতে উন্নত হতে দায়ী।

[আরও পড়ুন: মিডিয়া স্ট্রিমিং এবং ব্যাকআপের জন্য সর্বোত্তম NAS বাক্সে]

একটি প্রকৃত আপগ্রেড সাইট হতে ভান করে কাজ করে এবং যখন আপনার সফ্টওয়্যার একটি প্যাচ প্রত্যাশা ছিল। কোড হয়তো ট্রোজান হর্স থেকে এমন একটি কী-লগার যা পাসওয়ার্ড এবং ব্যবহারকারীর অ্যাকাউন্টের মধ্য থেকে বিচ্ছিন্ন হয়ে থাকে।

শোষণ ব্যবহার করা একটি বোতাম চাপানোর মত যথেষ্ট নয়। এটি একটি প্রাক-বিদ্যমান "মধ্যবর্তী অবস্থানে মানুষ" প্রয়োজন, যেখানে একটি আক্রমণকারী একটি জাল ওয়েব হোস্ট সেট আপ করে যা ক্লায়েন্ট এবং একটি জেনুইন সার্ভারের মধ্যে ভ্রমণ ট্রাফিক আটক পারে। কিন্তু সাধারণভাবে এটি অর্জন করতে বেশ কঠিন হতে পারে, তবে সম্প্রতি প্রকাশ করা DNS এর নিরাপত্তা ত্রুটি অনেক সাইট খোলা রেখেছে।

সুতরাং নিরাপত্তার ত্রুটিগুলি প্যাচ করার জন্য যে সিস্টেমটি ব্যবহার করে এমন একটি নিরাপত্তা ত্রুটি সম্পর্কে কী করতে হবে? প্রথমে, আপনার স্পষ্টতই নিশ্চিত হওয়া উচিত যে আপনার DNS সার্ভারটি আপনার সাইটে দেখাশোনা করেছে। যে Evilgrade এর আক্রমণ রুট ব্লক হবে।

পরবর্তী, Evilgrade জন্য ডকুমেন্টেশন পড়া এবং আপনার নেটওয়ার্কের উপর ব্যবহার করা যেতে পারে কি সফটওয়্যার ব্যবহার করা হতে পারে যে শোষণ করতে প্রবন হতে পারে সফটওয়্যারটি যদি আপনার সংস্থার জন্য যথেষ্ট গুরুত্বপূর্ণ হয় তবে তার বিক্রেতা বা ডেভেলপারের সাথে যোগাযোগ করুন এবং তার স্বতঃপ্রতিক্রিয়া ফাংশনের নিরাপত্তার বিষয়ে আপনার উদ্বেগের কথা শুনুন।

পরিশেষে, আপনার সংস্থার নিরাপত্তা যদি উচ্চ অগ্রাধিকার পায় তবে আপনি চাইবেন আপনার ফায়ারওয়াল নিয়মের মধ্যে তাদের স্বয়ংক্রিয় আপডেট সাইটগুলি অবরুদ্ধ করে নির্বাচিত সফ্টওয়্যারগুলির জন্য স্বয়ংক্রিয় আপডেটগুলি অক্ষম করার কথা বিবেচনা করুন। বেশিরভাগ সফ্টওয়্যার যে স্বয়ংক্রিয় আপডেটগুলি সমর্থন করে তা আপনাকে ম্যানুয়ালি প্যাচগুলি ডাউনলোড এবং ইনস্টল করতে দেয় (যদিও ব্যক্তিগত প্যাচ ফাইলগুলিকে সনাক্ত করা আরও কঠিন হতে পারে)।

এখন জন্য, ইভিলগ্রিড দ্বারা আরোপিত ঝুঁকি সম্ভবত কম, কিন্তু লুল না করা অস্পষ্টতা মধ্যে স্বয়ংক্রিয় সফ্টওয়্যার আপডেট সুবিধাজনক হতে পারে, তবে ব্যবহারকারীর হাত থেকেও তারা সবচেয়ে গুরুত্বপূর্ণ পিসি নিরাপত্তা ফাংশনগুলির মধ্যে একটি গ্রহণ করে। যে সহজেই নিরাপত্তার একটি মিথ্যা ধারনা হতে পারে; এবং যখন আপনি আপনার রক্ষক নিচে দেওয়া, যে একইভাবে তারা পেতে।