xz Utils-এ করা   আপডেটের কারণে,   প্রভাবটি 2020 সালে   অনুরূপ ধ্বংসযজ্ঞের সম্ভাবনা ছিল যা রাশিয়ান হ্যাকারদের মার্কিন যুক্তরাষ্ট্রের অনেক সরকারি সংস্থার মূলে প্রবেশ করতে দেয়। দূষিত সম্প্রতি উন্মোচিত ব্যাকডোর ঘটনা দ্বারা বিশ্ব সংক্রমিত হওয়ার কাছাকাছি ছিল। সোলারউইন্ডস আক্রমণের  আক্রমণটি সাফল্যের "ভয়ঙ্করভাবে কাছাকাছি" ছিল, এবং সফ্টওয়্যার এবং ক্রিপ্টোগ্রাফি ইঞ্জিনিয়ার ফিলিপ্পো ভালসোর্দা এটিকে "সেরা-সম্পাদিত সাপ্লাই চেইন আক্রমণ" হিসাবে বর্ণনা করেছিলেন যা আজ অবধি পর্যবেক্ষণ করা হয়েছিল, আরস টেকনিকা রিপোর্ট করেছে৷  ইন্টারনেটের ক্রাউডসোর্সড কোডের বেশিরভাগই খারাপ অভিনেতা এবং জাতি-রাষ্ট্র দ্বারা অনুপ্রবেশের জন্য ঝুঁকিপূর্ণ। ওপেন সোর্স সফ্টওয়্যারটি "ইন্টারনেটের কেন্দ্রস্থলে", এটি মূলত কিছু স্বেচ্ছাসেবক দ্বারা রক্ষণাবেক্ষণ করা হয় এবং এটি কর্পোরেশন এবং সরকারগুলির জন্য একইভাবে একটি বড় নিরাপত্তা ঝুঁকি তৈরি করে,   রিপোর্ট করেছে।   কম খরচের কারণে সাধারণত ডিজিটাল   জুড়ে স্থাপন করা হয়। সেই অবকাঠামো, যা ডিজিটাল বিশ্ব জুড়ে এমবেড করা হয়েছে, বিভিন্ন শত্রু দেশ-রাষ্ট্র দ্বারা আক্রমণের মুখে রয়েছে। দ্য ইকোনমিস্ট ওপেন-সোর্স সফ্টওয়্যার অবকাঠামো   সাম্প্রতিক xz ব্যবহার করে ওপেন সোর্স ভীতি  29 শে মার্চ, 2024-এ,   একজন সফ্টওয়্যার প্রকৌশলী আন্দ্রেস ফ্রেউন্ড "লিনাক্স অপারেটিং সিস্টেমের অংশ সফ্টওয়্যারের একটি অংশে লুকানো একটি ব্যাকডোর" খুঁজে পান। এই ব্যাকডোরটি xz Utils-এর সোর্স কোড থেকে এসেছে, যেটির সাথে টেম্পার করা হয়েছে এবং প্রভাবিত সংস্করণ ব্যবহার করে সিস্টেমে অননুমোদিত অ্যাক্সেসের অনুমতি দেওয়া হয়েছে। যে সোর্স কোডটি আপস করা হয়েছিল সেটি ছিল লিনাক্স সিস্টেমে   ।   লিখেছে যে ইঞ্জিনিয়ার একটি "সম্ভাব্য ঐতিহাসিক সাইবার আক্রমণ" প্রতিরোধ করেছিলেন। মাইক্রোসফ্টের xz Utils ওপেন-সোর্স ডেটা কম্প্রেশন ইউটিলিটি নিউ ইয়র্ক টাইমস  যেহেতু xz Utils হল ওপেন সোর্স সফ্টওয়্যার, যে কেউ কোডটি দেখতে পারে কারণ এটি সর্বজনীন এবং তখন কী পরিবর্তন করা হয়েছে।  জিয়া ট্যান নামে একজন বিকাশকারী প্রকল্পে সহায়ক কোড অবদান রাখতে শুরু করেছেন এবং ধীরে ধীরে বিশ্বাস অর্জন করেছেন। তারপর সময়ের সাথে সাথে, খারাপ অভিনেতা ম্যালওয়্যারে পাচার করে। রাশিয়ার বিদেশী গোয়েন্দা পরিষেবা, এসভিআর, হামলার পিছনে সন্দেহভাজন, সোলারউইন্ডস হামলার পিছনে একই গোয়েন্দা পরিষেবা।  ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন (ওএসএসএফ) xz ইউটিলস আক্রমণের বিষয়ে   কারণ সম্ভবত এটি একটি বিচ্ছিন্ন ঘটনা নয়। জাভাস্ক্রিপ্ট প্রজেক্টের জন্য   মতো অন্যান্য প্রজেক্টের চেষ্টা এবং দখল করার জন্য একই ধরনের সামাজিক প্রকৌশল কৌশল ব্যবহার করে খারাপ অভিনেতারা ধরা পড়ে। সতর্ক করেছে OpenJS ফাউন্ডেশনের   ওপেন সোর্স সফটওয়্যারের দুর্বলতা  ফ্রন্টসাইট মিডিয়ার সাথে কথা বলার সময়, রায়ান ওয়্যার, একজন ওপেন-সোর্স সফ্টওয়্যার বিশেষজ্ঞ, খেলার ঝুঁকিগুলির নিছক মাত্রা ব্যাখ্যা করেছেন:  "আমাদের ডিজিটাল অবকাঠামো খুবই দুর্বল," ওয়্যারের মতে। “আজ পর্যন্ত, 177,914টি CVE প্রকাশিত হয়েছে। যুক্তির খাতিরে বলা যাক যে ওপেন সোর্সে কোডের 1 বিলিয়ন লাইন রয়েছে (এটি আরও অনেক বেশি, তবে আমরা সেই যুক্তিটি অন্য দিনের জন্য ছেড়ে দেব)। তর্কের খাতিরে এটাও বলি যে সেই CVE-এর অর্ধেক ওপেন সোর্সের জন্য (একটি চমৎকার রাউন্ড নম্বরের জন্য 90,000)। এর মানে হল ওপেন সোর্স কোডের জন্য আমরা প্রতি 11,111 লাইন কোডের জন্য শুধুমাত্র একটি দুর্বলতা খুঁজে পেয়েছি,” তিনি বলেছিলেন।  "কোম্পানিগুলি এত পরিষ্কার কোড রাখতে মেরে ফেলবে যে কোডের প্রতি 11,000 লাইনের জন্য শুধুমাত্র একটি দুর্বলতা পাওয়া গেছে," "অতিরিক্ত, এই মুহূর্তে ওপেন সোর্স সফ্টওয়্যার লেখার পরিমাণে কিছুটা হ্রাস পেলেও, আমরা এখনও আছি কোড লেখার পরিমাণ সর্বকালের উচ্চতায়,” ওয়্যার ব্যাখ্যা করেছেন। তিনি এমন একটি দৃশ্যের বর্ণনা দিয়েছেন যেখানে, প্রতিটি দুর্বলতার জন্য, কোডটি সাউন্ড হওয়ার আগে আরও 5-10টি আরও দুর্বলতা খুঁজে পেতে হবে।   xz Utils থেকে পাঠ  মিসের কাছাকাছি XZ Utils এর মাত্রা ক্রাউডসোর্সড সফ্টওয়্যারের ভঙ্গুরতা এবং ফেইলসেফ ইন্সটলেশনের জরুরী প্রয়োজনের একটি প্রখর অনুস্মারক হিসাবে কাজ করে, যেমন ওয়্যার আরও ব্যাখ্যা করে:  “আমরা পুরোপুরি জানি যে জাতি-রাষ্ট্রগুলি সফ্টওয়্যারের নিরাপত্তা নষ্ট করতে চায়। আপনাকে যা করতে হবে তা হল   তালিকাটি দেখতে যা সেখানে রয়েছে।" ওয়্যার বলেন, আরও ব্যাখ্যা করে যে "ঐতিহাসিকভাবে, এই হুমকি অভিনেতারা তাদের লক্ষ্য অর্জনের জন্য শূন্য-দিনের দুর্বলতা ব্যবহার করার উপর দৃষ্টি নিবদ্ধ করেছে।" যাইহোক, তিনি এও উল্লেখ করেছেন যে "অপারেশনালভাবে, এই হুমকি অভিনেতারা কেবল একটি শূন্য-দিন খুঁজে পায় না এবং তারপরে অবিলম্বে এটি শোষণ করে। তারা শূন্য-দিনের দুর্বলতাগুলি জমা করে (তাদের নিজস্ব গবেষণার মাধ্যমে আবিষ্কৃত বা কেনা) এবং তারপরে যখন তাদের কর্মক্ষম লক্ষ্যগুলি পূরণ করে এমন একটি প্রয়োজন তখন সেগুলি ব্যবহার করে।" এপিটিগুলির  ইতিমধ্যে, ওয়্যার একটি দুর্বলতার অস্তিত্ব এবং সফ্টওয়্যার বিকাশকারীদের তাদের সিস্টেমগুলি প্যাচ করতে যে সময় লাগে তার মধ্যে দীর্ঘ-টেইল সময়কাল নির্দেশ করে। মেরামতের এই বিলম্ব অব্যাহত থাকায় হুমকি অভিনেতারা দীর্ঘ সময়ের জন্য দুর্বলতা জমা করতে পারে।   সফটওয়্যার ম্যানিপুলেশনের জন্য দৃষ্টির একটি অস্পষ্ট লাইন  সময়ের সাথে সাথে যা খুব বেশি দৃশ্যমান হয়নি তা হ'ল জাতি-রাষ্ট্র অভিনেতারা সফ্টওয়্যার ম্যানিপুলেট করার জন্য যা করছে। "এক্সজেড-এর সাথে পুরো ঘটনাটি এই জাতীয় রাষ্ট্রগুলি কী ধরণের সংস্থান বহন করতে পারে তা দেখানো সহ এর মধ্যে কিছু জানালার একটি বিট দিয়েছে," ওয়্যার বলেছেন। যাইহোক, xz ঘটনাটি একমাত্র প্রমাণ নয় যে এই   পরিশীলতার কিছু চেষ্টা করা হয়েছে। "সত্যিই, আমার উদ্বেগের বিষয় হল ওপেন সোর্স সফ্টওয়্যার এবং বাণিজ্যিক সফ্টওয়্যার উভয় ক্ষেত্রেই দেশ-রাষ্ট্র দ্বারা যা করা হয়েছে যা আমরা এখনই জানি না," রায়ান হাইলাইট করেছেন। সামাজিক প্রকৌশল  সোলারউইন্ডস ঘটনাটি সাম্প্রতিক স্মৃতি থেকে বিবর্ণ হয়েছে কিনা জিজ্ঞাসা করা হলে, ওয়্যারের দৃষ্টিতে, এটি আপনি কাকে জিজ্ঞাসা করছেন তার উপর নির্ভর করে:  “আমি মনে করি না যে সরকারী কর্মকর্তাদের কাছ থেকে SolarWinds এর পাঠ বিবর্ণ হয়েছে। OpenSSF (যেমন SLSA এবং GUAC) সফ্টওয়্যার সাপ্লাই চেইন সুরক্ষার আশেপাশে বেশিরভাগ কাজ করা হচ্ছে কারণ CISA এই ক্ষেত্রে সমাধান দেখতে চায়,” তিনি বলেছিলেন।  "আমি মনে করি এটি অবশ্যই জনসাধারণের চেতনা থেকে বাদ পড়েছে, কিন্তু একই সাথে আমি জানি না এটি জনসাধারণের চেতনাকে কতটা প্রসারিত করেছিল," ওয়্যার যোগ করেছেন, গড় শখের সফ্টওয়্যার বিকাশকারীর জন্য প্রভাব সহ একটি দৃষ্টিভঙ্গি তুলে ধরে, প্রায়শই এর সদস্য "জনচেতনা।"

This story contains new, firsthand information uncovered by the writer.

Read My Stories

গল্পের মূল ভাষায় এই অডিও তৈরি!

অতিদীর্ঘ; পড়তে

Boost your HackerNoon story @ $159.99! 🚀

About Author

মন্তব্য

আসে ট্যাগ

এই নিবন্ধটি উপস্থাপন করা হয়েছে

Related Stories

সফল ক্লাউড মাইগ্রেশনের সম্পূর্ণ নির্দেশিকা: কৌশল এবং সর্বোত্তম অনুশীলন

টেলিগ্রাম: ক্রিপ্টো দ্বীপের মূল ভূখণ্ডের সেতু

এআই/এমএল ডাটালেকের জন্য রেফারেন্স আর্কিটেকচার তৈরির জন্য একজন স্থপতির গাইড

সেলিং দ্য ওয়াটারস: ডেটা লেক সহ প্রোডাকশন-গ্রেড RAG অ্যাপ্লিকেশন তৈরি করা

সফল ক্লাউড মাইগ্রেশনের সম্পূর্ণ নির্দেশিকা: কৌশল এবং সর্বোত্তম অনুশীলন

টেলিগ্রাম: ক্রিপ্টো দ্বীপের মূল ভূখণ্ডের সেতু

এআই/এমএল ডাটালেকের জন্য রেফারেন্স আর্কিটেকচার তৈরির জন্য একজন স্থপতির গাইড

সেলিং দ্য ওয়াটারস: ডেটা লেক সহ প্রোডাকশন-গ্রেড RAG অ্যাপ্লিকেশন তৈরি করা

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps