হ্যাকাররা ফ্রিএসএসডি প্রোজেক্ট অ্যাভ ডিভিস্ট সার্ভারকে ফিক্স করে দেয়

হ্যাকাররা তৃতীয় পক্ষ সফ্টওয়্যার প্যাকেজ নির্মাণের জন্য FreeBSD প্রজেক্ট দ্বারা ব্যবহৃত দুটি সার্ভারের সাথে আপোস করেছে যে কেউ ২010 সালের সেপ্টেম্বর থেকে এই প্যাকেজগুলি ইনস্টল করে রেখেছেন সেগুলিই তাদের মেশিন পুনরায় ইনস্টল করতে হবে, প্রকল্পটির নিরাপত্তা দল সতর্ক করেছে। FreeBSD.org ক্লাস্টারের মধ্যে দুটি মেশিনের মধ্যে 11 নভেম্বর নিষ্ক্রিয়তা সনাক্ত করা হয়েছে, ফ্রিবিএসডি নিরাপত্তা দল শনিবার জানিয়েছে। প্রকল্পটির পাবলিক ঘোষণার মেইলিং লিস্টে পোস্ট করা একটি বার্তা জানায়, "ক্ষতিগ্রস্ত মেশিনগুলি বিশ্লেষণের জন্য অফলাইনে নেওয়া হয়েছিল।"

দুটি আপোষহীন সার্ভার হিসাবে কাজ করেছে প্রকল্পের লেগ্যাসি তৃতীয় পক্ষের প্যাকেজ-বিল্ডিং অবকাঠামোর জন্য নোডগুলি, ফ্রিবিএসডি প্রকল্পটি তার ওয়েবসাইটে পোস্ট করা একটি অ্যাডভাইসারিতে বলা হয়েছে।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

এই ঘটনাটি শুধুমাত্র সংগ্রহকে প্রভাবিত করেছিল অপারেটিং সিস্টেমের "বেস" উপাদানগুলি যেমন কার্নেল, সিস্টেম লাইব্রেরী, কম্পাইলার বা কোর কমান্ড-লাইন সরঞ্জাম নয় বরং তৃতীয় পক্ষের সফ্টওয়্যার প্যাকেজগুলি বিতরণ করে।

ফ্রিবিএসডি নিরাপত্তা দল বিশ্বাস করে যে অনুপ্রবেশকারীরা প্রবেশাধিকার লাভ করে একটি ডেভেলপার থেকে চুরি করা একটি বৈধ SSH প্রমাণীকরণ কী ব্যবহার করে সার্ভার, এবং অপারেটিং সিস্টেমের মধ্যে একটি দুর্বলতা শোষণ না করে।

যদিও দলের থী কোন প্রমাণ পাওয়া যায়নি হ্যাকারদের দ্বারা রেড-পার্টি সফটওয়্যার প্যাকেজগুলি সংশোধন করা হচ্ছে, তারা এই সম্ভাবনাকে বাদ দিতে পারে না।

"আমরা দুর্ভাগ্যবশত 19 সেপ্টেম্বর ২01২ এবং 11 নভেম্বর ২01২ সালের মধ্যে যে কোন প্যাকেজগুলির জন্য উপলব্ধ প্যাকেজগুলির অখণ্ডতার নিশ্চয়তা দিতে পারি না বা কোনও পোর্ট প্রাপ্ত গাছ থেকে সংকলিত এসভিএন.ফ্রিবিএসডিআরওর মাধ্যমে অথবা অন্য কোন আয়নার মাধ্যমে অন্য যেকোনো উপায়েই এটি ব্যবহার করা যায়। " "যদিও কোনও সংশোধনের জন্য আমাদের কোনও প্রমাণ নেই তবে বিশ্বাস করি যে এই ধরনের হস্তক্ষেপটি অসম্ভাব্য, আমরা আপনাকে বিশ্বস্ত উত্স ব্যবহার করে, স্ক্র্যাচ থেকে যে কোনও মেশিন পুনরায় ইনস্টল করার বিষয়ে পরামর্শ দেই।"

প্যাকেজটি বর্তমানে FreeBSD এর সকল সংস্করণের জন্য উপলব্ধ রয়েছে যাচাই করা হয়েছে এবং তাদের কেউই কোনও ভাবে পরিবর্তিত হয়নি, দলটি বলেছে।

এই ঘটনার ফলে, ফ্রিবিড প্রকল্পটি লিগ্যাসি বন্টন পরিষেবাগুলি, সিভিএসপের উপর ভিত্তি করে, যেমন আরো শক্তসমর্থ সাবসভারেশন সিস্টেম। অ্যাডভাইসারিতে সরঞ্জাম ব্যবহারকারীদের সম্পর্কে কয়েকটি সুপারিশ রয়েছে এবং ডেভেলপারদের আপডেট, সোর্স কোড অনুলিপি এবং বাইনারি ডিস্ট্রিবিউশনের জন্য ব্যবহার করা উচিত।

এটি প্রথমবার নয় যে একটি অপ্রত্যাশিত সফ্টওয়্যার প্রজেক্টটি কোনও অন্তর্নিহিত এসএসএইচ প্রমাণীকরণ কি। আগস্ট ২009 এ, আপাচি প্রজেক্টটি তার প্রাথমিক ওয়েব এবং মিরর সার্ভারগুলিকে বন্ধ করার জন্য বাধ্য করা হয়েছিল যে হ্যাকাররা কিছু সার্ভারে দূষিত কোড আপলোড এবং চালানোর জন্য স্বয়ংক্রিয় ব্যাকআপ একাউন্টে যুক্ত একটি SSH কী ব্যবহার করে।

"এটি একটি হৃদয়গ্রাহী অনুস্মারক যে একটি শৃঙ্খল তার দুর্বলতম লিঙ্ক হিসাবে শুধুমাত্র হিসাবে শক্তিশালী, "অ্যান্টিভাইরাস বিক্রেতার Sophos এশিয়া প্যাসিফিক জন্য প্রযুক্তি প্রধান পল Ducklin, রবিবার একটি ব্লগ পোস্টে বলেন,. "বিশেষত, আপনার অভ্যন্তরীণ সিস্টেমের নিরাপত্তার যে কোনও এবং সমস্ত বহিরাগত সিস্টেমের সুরক্ষার থেকেও ভাল নয় যা আপনার দূরবর্তী অ্যাক্সেস গ্রহণ করে কিনা তা ভুলে যান না- তা সার্ভার, ল্যাপটপ বা এমনকি মোবাইল ডিভাইসগুলিরও হয় না।"