না
আদি হিসাবে বর্ণিত, আক্রমণটি কখনও হুমকি ছিল না। যদিও কোনও সংকলক তাত্ত্বিকভাবে এটি করতে পারে, আসলে আক্রমণটি সরিয়ে ফেলতে সংকলকটির প্রোগ্রামিংয়ের প্রয়োজন হবে
- উত্স কোডটি সংকলিত হওয়ার সময় সনাক্ত করুন এবং
- এটিতে হ্যাক sertোকাতে কীভাবে স্বেচ্ছাসেবক উত্স কোডটি পরিবর্তন করতে হবে তা চিত্রিত করুন।
এটি সংঘটন ছাড়াই এটি সংশোধন করতে পারে যাতে এটির উত্স কোড থেকে সংকলক কীভাবে কাজ করে তা নির্ধারণের জন্য এটি জড়িত।
উদাহরণস্বরূপ, কল্পনা করুন যে লিঙ্কিং ফর্ম্যাটটি এক্সিকিউটেবলের কোথাও সংকলিত মেশিন কোডের ডেটা দৈর্ঘ্য বা অফসেট সংরক্ষণ করে stores সংকলকটিকে নিজের জন্য নির্ধারণ করতে হবে যেগুলির মধ্যে কোনটি আপডেট করা দরকার এবং কোথায়, যখন শোষণের পেড লোড করা হচ্ছে। সংকলকের পরবর্তী সংস্করণগুলি (নিরীহ সংস্করণ) ইচ্ছামত এই ফর্ম্যাটটি পরিবর্তন করতে পারে, তাই শোষণ কোডটি কার্যকরভাবে এই ধারণাগুলি বুঝতে হবে।
এটি উচ্চ-স্তরের স্ব-পরিচালিত প্রোগ্রামিং, একটি শক্ত এআই সমস্যা (সর্বশেষে আমি পরীক্ষা করে দেখলাম, শিল্পের রাজ্যটি কোডটি উত্পন্ন করছিল যা কার্যত তার ধরণের দ্বারা নির্ধারিত হয়)। দেখুন: খুব কম মানুষই এটি করতে পারে; আপনাকে প্রোগ্রামিংয়ের ভাষা শিখতে হবে এবং কোড-বেসটি প্রথমে বুঝতে হবে।
এআই সমস্যা সমাধান হলেও, লোকেরা লক্ষ্য করবে যে যদি তাদের ছোট সংকলক ফলাফলগুলি একটি বাইনারিতে সংযুক্ত একটি বিশাল এআই লাইব্রেরির সাথে সংযুক্ত করে তা সংকলন করে।
অভিন্ন আক্রমণ: বুটস্ট্র্যাপিং বিশ্বাস
তবে আক্রমণটির একটি সাধারণীকরণ প্রাসঙ্গিক। মূল সমস্যাটি হ'ল আপনার বিশ্বাসের শৃঙ্খলাটি কোথাও থেকে শুরু করতে হবে এবং অনেকগুলি ডোমেনে এর উত্স পুরো চেইনটিকে একটি হার্ড-টু-ডিটেক্ট পদ্ধতিতে বিপর্যস্ত করতে পারে।
বাস্তব জীবনে সহজেই টানা যেতে পারে এমন একটি উদাহরণ
আপনার অপারেটিং সিস্টেমটি উবুন্টু লিনাক্স বলুন, সংগ্রহের স্বাক্ষর কী (পাবলিক-কী ক্রিপ্টোগ্রাফি ব্যবহার করে) এর বিপরীতে ডাউনলোড আপডেট প্যাকেজগুলি পরীক্ষা করে আপডেটের সুরক্ষা (অখণ্ডতা) নিশ্চিত করে। তবে এটি কেবলমাত্র আপডেটগুলির সত্যতার গ্যারান্টি দেয় যদি আপনি প্রমাণ করতে পারেন যে স্বাক্ষর কীটি বৈধ উত্সের মালিকানাধীন।
আপনি স্বাক্ষর কীটি পেয়েছেন? আপনি যখন প্রথম অপারেটিং সিস্টেম বিতরণ ডাউনলোড করেন।
আপনাকে বিশ্বাস করতে হবে যে আপনার শৃঙ্খলাবদ্ধতার উত্স, এই স্বাক্ষর কী, মন্দ নয়।
যে কেউ আপনার এবং উবুন্টু ডাউনলোড সার্ভারের মধ্যে ইন্টারনেট সংযোগ এমআইটিএম করতে পারে - এটি আপনার আইএসপি হতে পারে, এমন একটি সরকার যা ইন্টারনেট অ্যাক্সেস নিয়ন্ত্রণ করে (যেমন চীন), বা উবুন্টুর হোস্টিং সরবরাহকারী - এই প্রক্রিয়াটিকে হাইজ্যাক করতে পারে:
- আপনি উবুন্টু সিডি চিত্র ডাউনলোড করছেন তা সনাক্ত করুন। এটি সহজ: দেখুন যে অনুরোধটি (প্রকাশ্য-তালিকাভুক্ত) উবুন্টু আয়নাগুলির যে কোনও একটিতে চলেছে এবং আইএসও চিত্রটির ফাইলের নাম চেয়েছে।
- আক্রমণকারীর পাবলিক কী এবং উবুন্টুর পরিবর্তে ভান্ডারগুলির অবস্থান সম্বলিত একটি সিডি চিত্র উপহার দিয়ে তাদের নিজস্ব সার্ভার থেকে অনুরোধটি পরিবেশন করুন।
এরপরে, আপনি আক্রমণকারীর সার্ভার থেকে আপনার আপডেটগুলি নিরাপদে পাবেন। আপডেটগুলি রুট হিসাবে চালিত হয়, সুতরাং আক্রমণকারীর সম্পূর্ণ নিয়ন্ত্রণ থাকে।
আসলটি খাঁটি তা নিশ্চিত করে আপনি আক্রমণটি আটকাতে পারবেন। তবে এটির জন্য আপনি ডাউনলোড করা সিডি চিত্রটি একটি হ্যাশ ব্যবহার করে যাচাই করতে হবে ( কিছু লোক আসলে এটি করেন ) — এবং হ্যাশটি নিজেই সুরক্ষিতভাবে ডাউনলোড করা আবশ্যক, যেমন HTTPS- র মাধ্যমে। এবং যদি আপনার আক্রমণকারী আপনার কম্পিউটারে একটি শংসাপত্র যুক্ত করতে পারে (কর্পোরেট পরিবেশে সাধারণ) বা একটি শংসাপত্র কর্তৃপক্ষকে নিয়ন্ত্রণ করে (যেমন চীন), এমনকি এইচটিটিপিএস কোনও সুরক্ষা দেয় না।