OpenSSF ওপেন সোর্স প্রজেক্টের নিয়ন্ত্রণ লাভের জন্য সোশ্যাল ইঞ্জিনিয়ারিং প্রচেষ্টা সনাক্ত করেছে

Darkcrizt

4 মিনিট

দুষ্ট মুখের সাথে লিনাক্সে পেঙ্গুইন (টাক্স) হ্যাকার

tux-হ্যাকার

XZ এ ঘটনাটি নিঃসন্দেহে একটি চিহ্ন রেখে যাবে যা বহু বছর ধরে স্মরণ করা হবে এবং তা হল সময় উল্লেখ একটি নিবন্ধে যেখানে আমরা ঘটনার ফলো-আপ শেয়ার করি, «কাজটি জিয়া তান করেছেন es ফলিত সামাজিক প্রকৌশলের সেরা উদাহরণগুলির মধ্যে একটি»এবং এটিই হবে আরও অনেক প্রচেষ্টা এবং মামলার ভিত্তি যা ভবিষ্যতে পরিচিত হবে৷

এই এটি এমন কিছু যা ডেভেলপার, প্রকল্প এবং ভিত্তি উভয়ই এই সময়ে খুব স্পষ্ট।, এবং তারা যে মহান প্রচেষ্টা এবং পরিবর্তনগুলি বাস্তবায়ন করা সত্ত্বেও, এমন অনেক প্যাকেজ এবং প্রকল্প রয়েছে যেগুলিতে কর্মী এবং তাদের রক্ষণাবেক্ষণকারীর অভাব রয়েছে যা XZ-এর ক্ষেত্রে ঘটেছিল।

ব্যাকডোর এক্সজেড
সম্পর্কিত নিবন্ধ:
কিভাবে ডেবিয়ানের পক্ষে XZ এ ব্যাকডোর বাইপাস করা সম্ভব ছিল? মামলার সংক্ষিপ্ত বিশ্লেষণ 

এই ক্ষেত্রে ইতিমধ্যে ঘটতে শুরু করেছে এবং OpenSSF (ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন, ওপেন সোর্স সফ্টওয়্যারের নিরাপত্তা উন্নত করতে লিনাক্স ফাউন্ডেশনের পৃষ্ঠপোষকতায় তৈরি একটি সত্তা) আপনি ইতিমধ্যে এই ধরনের কার্যকলাপ লক্ষ্য করা শুরু করেছেন, এটি সম্প্রতি জনপ্রিয় ওপেন সোর্স প্রকল্পগুলির নিয়ন্ত্রণ নেওয়ার প্রচেষ্টা সম্পর্কিত উদ্বেগজনক কার্যকলাপ সম্পর্কে সম্প্রদায়ের কাছে একটি সতর্কতা জারি করেছে৷

En এক্সজেডের ওপর হামলার অনুরূপ একটি ঘটনায় জানা গেছে, অজ্ঞাত ব্যক্তিরা আগে ওপেন সোর্স ডেভেলপমেন্টে ওপেন সোর্স সফ্টওয়্যার প্রকল্পগুলি পরিচালনা এবং নিয়ন্ত্রণ করার চেষ্টা করেছে. এই ব্যক্তিরা গভর্নিং কাউন্সিলের সদস্যদের সাথে যোগাযোগের জন্য সামাজিক প্রকৌশল পদ্ধতি ব্যবহার করেছিল OpenJS ফাউন্ডেশন থেকে, জাভাস্ক্রিপ্ট প্রকল্প উন্নয়নের জন্য একটি নিরপেক্ষ প্ল্যাটফর্ম।

এই ব্যক্তি সন্দেহজনক ট্র্যাক রেকর্ড সহ তৃতীয় পক্ষের বিকাশকারীদের অন্তর্ভুক্ত ওপেন সোর্স ডেভেলপমেন্টে। তাদের বার্তাগুলিতে, তারা ওপেনজেএস ম্যানেজমেন্টকে জনপ্রিয় জাভাস্ক্রিপ্ট প্রকল্পগুলির মধ্যে একটি আপডেট করার জরুরি প্রয়োজন সম্পর্কে রাজি করার চেষ্টা করছিল। তারা দাবি করেছে যে সমালোচনামূলক দুর্বলতার বিরুদ্ধে সুরক্ষা যোগ করার জন্য আপডেটটি প্রয়োজনীয় ছিল, যদিও তারা এই দুর্বলতাগুলি সম্পর্কে নির্দিষ্ট বিশদ প্রদান করেনি।

প্রস্তাবিত পরিবর্তনগুলি বাস্তবায়নের জন্য, সন্দেহভাজন বিকাশকারী প্রকল্পের রক্ষণাবেক্ষণকারীদের মধ্যে অন্তর্ভুক্ত হওয়ার প্রস্তাব দিয়েছিলেন, যদিও সেই বিন্দু পর্যন্ত বিকাশে সীমিত ভূমিকা ছিল। অতিরিক্তভাবে, ওপেনজেএস-এর সাথে যুক্ত নয় এমন দুটি জনপ্রিয় জাভাস্ক্রিপ্ট প্রকল্পে সন্দেহজনক কোড প্রচেষ্টার অনুরূপ ঘটনা সনাক্ত করা হয়েছে।

এই কারণেই OpenSSF (ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন) এবং OpenJS (ওপেনজেএস ফাউন্ডেশন) সতর্কতা জারি করেছে ওপেন সোর্স প্রকল্পগুলির সমস্ত বিকাশকারী এবং রক্ষণাবেক্ষণকারীদের নিম্নলিখিত সন্দেহজনক নিদর্শনগুলির সন্ধানে থাকা উচিত যা প্রকল্পের নিয়ন্ত্রণ নেওয়ার চেষ্টাকে নির্দেশ করতে পারে৷

কিভাবে আপনার ওপেন সোর্স প্রকল্প রক্ষা করবেন?

ওপেনএসএসএফ উল্লেখ করেছে যে ওপেন সোর্স প্রকল্পগুলির সহযোগিতামূলক প্রকৃতির কারণে, এটি তাদের দুর্বলতার একটি সিরিজের প্রবণ করে তোলে যা আক্রমণকারীরা সুবিধা নিতে পারে, তাই এটি সবচেয়ে সাধারণ দুর্বলতার একটি তালিকা শেয়ার করে যা আক্রমণকারীরা সামাজিক প্রয়োগ করার জন্য ব্যবহার করে। প্রকৌশল.
প্রচেষ্টায় সন্দেহজনক নিদর্শন:

  • পুরানো নির্ভরতা: সবচেয়ে সাধারণ দুর্বলতাগুলির মধ্যে একটি হল পুরানো নির্ভরতার ব্যবহার।
  • বন্ধুত্বপূর্ণ কিন্তু আক্রমণাত্মক এবং অবিরাম আচরণ: একটি তুলনামূলকভাবে অজানা সম্প্রদায়ের সদস্য রক্ষণাবেক্ষণকারী বা এটি হোস্টকারী সত্তার (ফাউন্ডেশন বা কোম্পানি) অনুসরণ করতে চায়।
  • পদমর্যাদায় উন্নীত হওয়ার অনুরোধ: নতুন বা অপরিচিত ব্যক্তিরা প্রকল্পে অবদানের একটি উল্লেখযোগ্য ইতিহাস ছাড়াই পদোন্নতির জন্য আবেদন করেন।
  • অন্যান্য অজানা সম্প্রদায়ের সদস্যদের কাছ থেকে অনুমোদন: আক্রমণকারীরা তাদের অনুরোধ সমর্থন করতে এবং বিশ্বাসের মিথ্যা অনুভূতি তৈরি করতে মিথ্যা পরিচয় ব্যবহার করতে পারে।
  • অনুরোধ টানুন: ক্ষতিকারক ফাইলগুলি বাইনারি বা ব্লবগুলির মধ্যে লুকিয়ে থাকতে পারে, তাদের সনাক্ত করা কঠিন করে তোলে৷
  • ইচ্ছাকৃতভাবে অস্পষ্ট বা উত্স কোড বোঝা কঠিন: লক্ষ্য হল কোড পর্যালোচনা কঠিন করা এবং সম্ভাব্য দুর্বলতাগুলি আড়াল করা।
  • নিরাপত্তা সমস্যার ক্রমশ বৃদ্ধি: আক্রমণকারী ছোটখাট দুর্বলতার পরিচয় দিয়ে শুরু করতে পারে এবং তারপর আরও গুরুতর সমস্যার দিকে যেতে পারে।
  • সাধারণ প্রকল্প সংকলন, নির্মাণ এবং স্থাপনা অনুশীলন থেকে বিচ্যুতি: এই বিচ্যুতিগুলি বাইনারিগুলিতে দূষিত কোড ঢোকানোর অনুমতি দিতে পারে।

তাত্ক্ষণিকতার মিথ্যা অনুভূতি: আক্রমণকারী রক্ষণাবেক্ষণকারীকে কোডের একটি সারসরি পর্যালোচনা করার জন্য চাপ দেওয়ার জন্য জরুরি পরিবেশ তৈরি করতে পারে।
এই সামাজিক প্রকৌশল আক্রমণগুলি তাদের প্রকল্প এবং সম্প্রদায়ের প্রতি রক্ষণাবেক্ষণকারীর দায়িত্বের অনুভূতির সদ্ব্যবহার করার চেষ্টা করে যা সেগুলি পরিচালনা করার জন্য, যেহেতু পরিবর্তনগুলি প্রবর্তন করার জন্য চাপ তৈরি করে, দুর্বলতাগুলি সমাধান করে বা খুব জোরালোভাবে একজন সদস্যকে আরও বেশি আস্থা প্রদান করে, তারা এই কাজটি করে। ব্যক্তি বা দায়িত্বে থাকা ব্যক্তিরা প্রাসঙ্গিক পরীক্ষা যাচাই বা পরিচালনা করার আগে সম্মতি দেন।
আপনি যদি iএটা সম্পর্কে আরো জানতে আগ্রহী, আপনি বিশদটি পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্ক।