ভিডিও: ये कà¥?या है जानकार आपके à¤à¥€ पसीने छà¥?ट ज (সেপ্টেম্বর 2024)
সুরক্ষা গবেষকরা যারা অনুপ্রবেশ পরীক্ষায় বিশেষজ্ঞ হন তারা তাদের দিনগুলি (এবং রাতারাতি) সুরক্ষা ব্যবস্থা ভাঙ্গার চেষ্টা করে ব্যয় করেন। খারাপ লোকেরা করার আগে যদি তারা কোনও পণ্যটিতে কোনও সুরক্ষা গর্ত খুঁজে পায়, তবে এটি পণ্যটির নির্মাতাকে একটি প্যাচ বের করার সময় দেয়। এতে গবেষকের কী আছে? সমস্যাটি যদি কোনও মাইক্রোসফ্ট প্রোডাক্টে থাকে তবে হতে পারে একটি, 000 100, 000 বাগের অনুদান। সুরক্ষা সেবা ও অনুপ্রবেশ পরীক্ষার প্রতিষ্ঠান হাই-টেক ব্রিজের গবেষকরা জানিয়েছেন যে ইয়াহুও একটি বাগ অনুদানের প্রস্তাব দেয়। যাচাইযোগ্য সুরক্ষা বাগের প্রথম প্রতিবেদক… $ 12.50, কেবল ইয়াহুর কোম্পানির দোকানে "কর্পোরেট টি-শার্ট, কাপ, কলম এবং অন্যান্য আনুষাঙ্গিকগুলির জন্য" খননযোগ্য gets সত্যিই, ইয়াহু?
দ্রুত ফাটল
ইয়াহু ওয়েব পৃষ্ঠায় সুরক্ষা টিপস সংগ্রহের পাশাপাশি ইতিমধ্যে সংস্থা কর্তৃক গৃহীত সুরক্ষা পদক্ষেপের প্রতিবেদন করে। যে সমস্ত ব্যক্তিরা মনে করেন যে তাদের অ্যাকাউন্টগুলি হ্যাক হয়েছে বা আপস করা হয়েছে তারা সাহায্যের জন্য এই পৃষ্ঠা থেকে ইয়াহুর সাথে যোগাযোগ করতে পারেন। এতে আরও বলা হয়েছে, "আপনি যদি সুরক্ষা সম্প্রদায়ের সদস্য হন এবং কোনও প্রযুক্তিগত দুর্বলতার প্রতিবেদন করতে চান তবে যোগাযোগ করুন: امنیت@yahoo-inc.com"।
বাগ বন্টি সিস্টেমটি মূল্যায়নের জন্য, হাই-টেক ব্রিজের গবেষকরা বসে ইয়াহুর ওয়েবসাইটগুলিতে সুরক্ষা গর্ত খুঁজতে শুরু করলেন। তারা এখুনি খুঁজে পেয়েছে, তবে এটি ইতিমধ্যে রিপোর্ট করা হয়েছিল। আরও দু'দিন ধরে তারা আরও তিনটি ক্রস-সাইট স্ক্রিপ্টিং দুর্বলতা পেয়েছিল। (এটি কি নিজের মধ্যে কিছুটা উদ্বেগজনক নয়?) প্রতিবেদনে বলা হয়েছে, "আবিষ্কৃত প্রতিটি দুর্বলতার ফলে কোনও লগ ইন করা ইয়াহু ব্যবহারকারীর জন্য বিশেষভাবে তৈরি একটি লিঙ্ক প্রেরণ করে যে কোনও ইয়াহু ডট কম ইমেইল অ্যাকাউন্টকে আপস করতে দেওয়া হয়েছিল।" ব্যবহারকারী একবারে এই লিঙ্কটি ক্লিক করেন, এটি খেলা শেষ।
ইয়াহুর নিজস্ব গবেষকরা যাচাই করেছেন যে এই দুর্বলতাগুলি সত্যই বিদ্যমান ছিল (সেগুলি পরে স্থির হয়ে গেছে)। তারা গবেষণা দলকে আন্তরিক ধন্যবাদ জানিয়েছে এবং কোম্পানির দোকানে মুক্তির যোগ্য প্রতি বাগের জন্য 50 12.50 প্রদান করে। গবেষকরা ছিলেন সংকুচিত; প্রতিবেদনে বলা হয়েছে, "এই মুহূর্তে আমরা আরও গবেষণা চালিয়ে যাওয়ার সিদ্ধান্ত নিয়েছি।"
বড় ধরণের
মাইক্রোসফ্ট কিছু প্রতিবেদনের জন্য $ 100, 000 অনুদান প্রদান করবে। ফেসবুক এক মিলিয়ন ডলারের বেশি অর্থ প্রদান করেছে। অ্যাপল বাগ অনুদান প্রদান করে না, তবে খ্যাতির সাথে "দায়বদ্ধ প্রকাশ" পুরষ্কার দেয়। আমার কাছে, অ্যাপলের নন-নগদ সুনাম-নীতিটি চম্প পরিবর্তনের পুরষ্কারের চেয়ে ভাল বলে মনে হচ্ছে।
হাই-টেক ব্রিজের প্রধান নির্বাহী কর্মকর্তা ইলিয়া কোলোচেঙ্কো মন্তব্য করেছিলেন, "ইয়াহুর সম্ভবত নিরাপত্তা গবেষকদের সাথে তাদের সম্পর্ক সংশোধন করা উচিত।" "দুর্বলতার জন্য বেশ কয়েকটি ডলার প্রদান করা একটি খারাপ রসিকতা এবং লোকেদের কাছে তাদের নিরাপত্তার দুর্বলতার খবর দিতে উত্সাহিত করবে না, বিশেষত যখন এই ধরণের দুর্বলতাগুলি সহজেই কালো বাজারে আরও বেশি দামের জন্য বিক্রি করা যায়।" তিনি উপসংহারে পৌঁছেছেন যে, যদি ইয়াহু কর্পোরেট সুরক্ষায় বেশি ব্যয় না করে, "ইয়াহুর কোনও গ্রাহকই কখনও নিরাপদ বোধ করতে পারবেন না।"
অন্যান্য সংস্থাগুলি বুঝতে অনুগ্রহ করে যে বাগ বাগান্টিগুলি বড়-সময় পরিশোধ করে off কয়েক বছর আগে ফেসবুক মাত্র 500 ডলার অফার করেছিল। সম্প্রতি এক গবেষক, ফেসবুকের অনুগ্রহ অস্বীকার করে, মার্ক জুকারবার্গের দেওয়ালে পোস্ট করে তার আবিষ্কারটি প্রকাশ করেছিলেন। ওপেন সিকিউরিটি ফাউন্ডেশনের সভাপতি ব্রায়ান মার্টিন উল্লেখ করেছেন যে "এমনকি মাইক্রোসফ্ট, যিনি বাগ বাগানের প্রোগ্রামগুলির মধ্যে সর্বাধিক কুখ্যাত ছিলেন, তারা মূল্যটি উপলব্ধি করেছিলেন এবং ১০, ০০, ০০০ ডলার পর্যন্ত অফার করেছিলেন।" তিনি আরও বলেছিলেন, "এগুলির মধ্যে কয়েকটি সংস্থা তাদের পরিদর্শকদের অফিস পরিস্কার করার জন্য বেশি অর্থ প্রদান করে, তারা নিরাপত্তা গবেষকদের যে দুর্বলতাগুলি খুঁজে পায় যা তাদের হাজার হাজার গ্রাহককে ঝুঁকির মধ্যে ফেলতে পারে।"
আমাকে একমত হতে হবে যদি বিক্রেতারা সুরক্ষা গবেষকদের দ্বারা আবিষ্কারের জন্য অর্থ প্রদান না করে, তবে অবশ্যই অন্যরা আছেন যারা। আমরা চাই না যে এই চালাক গবেষকরা তাদের বাচ্চাদের খাওয়ানোর জন্য ডার্ক সাইডের দিকে ঝুঁকছেন।
