திருடப்பட்ட சான்றிதழ் குறியீடு திருடும் முயற்சிக்கு வழிவகுத்ததாக Grafana கூறுகிறது

பரவலாக பயன்படுத்தப்படும் open source observability platform-இன் பின்னணியில் உள்ள நிறுவனம் Grafana Labs, திருடப்பட்ட டோக்கன் சான்றிதழை தாக்குதலாளர்கள் தவறாகப் பயன்படுத்தி அதன் GitLab மேம்பாட்டு சூழலுக்கு அணுகல் பெற்றதால் தம்மீது தாக்குதல் நடந்ததாக கூறுகிறது. நிறுவனத்தின் பொது அறிக்கைகளின்படி, கைப்பற்றப்பட்ட டோக்கன் வாடிக்கையாளர் பதிவுகளையோ நிதி தகவல்களையோ அணுக அனுமதிக்கவில்லை; ஆனால் அது தாக்குதலாளர்கள் நிறுவனத்தின் மூலக் குறியீட்டு களஞ்சியங்களைப் பெற்றுக்கொள்ளச் செய்தது.

விசாரணை தொடரும் நிலையில், அந்த டோக்கனை ஏற்கனவே செல்லாது செய்துவிட்டதாகவும் கூடுதல் பாதுகாப்பு நடவடிக்கைகளை சேர்த்துள்ளதாகவும் நிறுவனம் கூறுகிறது. விசாரணை முடிந்ததும் மேலும் கண்டறிந்தவற்றை வெளியிடும் என்றும் தெரிவித்துள்ளது.

பணம் பறிக்கும் முயற்சிக்கு மறுப்பு

குறியீட்டுத் தளத்தை வெளியிடாமல் இருக்குவதற்குப் பதிலாக பணம் கோரியதாக Grafana கூறுகிறது. நிறுவனம் அதை மறுத்தது. அந்த முடிவை விளக்குகையில், பாதிக்கப்பட்டவர்கள் பணம் செலுத்த வேண்டாம் என்று நீண்ட காலமாக FBI வழங்கி வரும் வழிகாட்டுதலை Grafana சுட்டிக்காட்டியது; ஏனெனில் பணம் செலுத்துவது தரவின் பாதுகாப்பான மீட்பை உறுதி செய்யாது, பின்னர் அதை வெளியிடுவதையும் தடுக்காது.

Grafana-வின் முக்கிய மென்பொருள் open source ஆகவும் ஏற்கனவே பொதுவாகக் கிடைக்கக்கூடியதாகவும் இருப்பதால் இந்த வழக்கு அபூர்வமானது. இது பணம் பறிப்பு குற்றச்சாட்டை சிக்கலாக்குகிறது: தாக்குதலாளர்கள் களஞ்சியங்களை அணுகியிருக்கலாம், ஆனால் அதன் முதன்மை குறியீடு இயல்பாகவே பொதுமக்கள் பார்வைக்கு திறந்திருப்பதாக நிறுவனம் கூறுகிறது; எனவே எந்த தனியுரிமை உள்ளகப் பொருள் கூட எடுக்கப்பட்டதா என்ற கேள்வி திறந்தவாறே உள்ளது.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic IPO செயல்முறையை தொடங்க ரகசியமாக தாக்கல் செய்தது

அமெரிக்க பங்குச் சந்தை மற்றும் பரிவர்த்தனை ஆணையத்திடம் ஒரு draft registration statement சமர்ப்பித்ததாக Anthropic கூறியுள்ளது; இதனால் பொதுப் பட்டியலிடல் நோக்கிய செயல்முறை தொடங்குகிறது.

Read article

open source நிறுவனத்திற்கு இது இன்னும் ஏன் முக்கியம்

முக்கிய தயாரிப்பு open source ஆக இருந்தாலும், மேம்பாட்டு அமைப்புகள் கைப்பற்றப்படுவது இன்னும் ஒரு தீவிர பாதுகாப்பு சம்பவமே. மூலக் குறியீட்டு களஞ்சியங்களில் பயனர்கள் பதிவிறக்கும் குறியீட்டைவிட அதிகமானவை இருக்கலாம். அவற்றில் உள்ளக கருவிகள், இன்னும் வெளியிடப்படாத அம்சங்கள், செயல்பாட்டு ஸ்கிரிப்ட்கள், சிக்கல் வரலாறுகள் மற்றும் ஒரு நிறுவனம் மென்பொருளை எவ்வாறு உருவாக்கி வெளியிடுகிறது என்பதை தாக்குதலாளர்கள் புரிந்துகொள்ள உதவும் கட்டமைப்பு விவரங்களும் அடங்கலாம்.

அதனால்தான் வாடிக்கையாளர் மற்றும் நிதி தரவுகள் அணுகப்படவில்லை என்ற Grafana-வின் அறிக்கை முக்கியமானது; ஆனால் சம்பவத்தை அற்பமாக்கத் தேவையான அளவு போதுமானதல்ல. பொறியியல் அமைப்புகளுக்கான அணுகல் தனித்துவமான அபாயங்களை உருவாக்குகிறது, குறிப்பாக தாக்குதலாளர்கள் உள்ளக செயல்முறைகளை வரைபடமாக்கவோ, தவறுதலாக commit செய்யப்பட்ட ரகசியங்களைத் தேடவோ முடிந்தால்.

மென்பொருள் பாதுகாப்பில் வளர்ந்து வரும் வடிவம்

இந்த breach, மென்பொருள் பாதுகாப்பில் ஒரு பெரிய உண்மையையும் பிரதிபலிக்கிறது: திருடப்பட்ட சான்றிதழ்கள் இன்னும் முக்கிய அமைப்புகளுக்குள் நுழைவதற்கான வேகமான வழிகளில் ஒன்றாக உள்ளன. இலக்கின் தயாரிப்பில் புதிய குறைபாட்டை கண்டுபிடிப்பதற்குப் பதிலாக, தாக்குதலாளர்கள் பெரும்பாலும் அதன் சுற்றியுள்ள பலவீனமான இடத்தை குறிவைக்கின்றனர்; உதாரணமாக, மேம்பாட்டு உள்கட்டமைப்பைத் திறக்கும் டோக்கன், கடவுச்சொல் அல்லது அணுகல் பணிப்பாய்வு.

GitLab போன்ற மேம்பாட்டு தளங்கள் நவீன மென்பொருள் நிறுவனத்தின் மையத்திற்கு அருகில் உள்ளன. அவை குறியீடு, ஒத்துழைப்பு பதிவுகள், வெளியீட்டு குழாய்கள், சில நேரங்களில் நிறுவல் பாதைகளையும் வெளிப்படுத்த முடியும். இறுதி தயாரிப்பு itself open source ஆக இருந்தாலும், அவை ஈர்க்கக்கூடிய இலக்குகளாகின்றன.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

ஸ்மார்ட் டிவிகளில் VPN பயன்பாடு இப்போது வீட்டுத்-தள நெட்வொர்க் பாதுகாப்பு நடவடிக்கையாக மாறுகிறது

ஸ்மார்ட் டிவிகளுக்கான ரவுட்டர்-அடிப்படையிலான VPN என்பது ஸ்ட்ரீமிங் அணுகலுக்காக மட்டுமல்ல, இணைக்கப்பட்ட வீட்டுப் பொருட்களுக்கிடையே தரவு வெளிப்பாட்டை குறைக்கும் வழியாகவும் முன்வைக்கப்படுகிறது.

Read article

சமீபத்திய பிற மீட்கத் தொகை முடிவுகளுடன் மாறுபாடு

TechCrunch, கல்வி தொழில்நுட்ப நிறுவனம் Instructure-ஐ உள்ளடக்கிய சமீபத்திய வழக்குடன் இதை ஒப்பிடுகிறது; அங்கு திருடப்பட்ட தரவு மற்றும் பின்னர் நடந்த வலைத்தள மாற்றம் தொடர்பான தனித்தொரு மீறலுக்குப் பிறகு தாக்குதலாளர்களுக்கு பணம் செலுத்த ஒப்புக்கொண்டதாக கூறப்படுகிறது. Grafana இதற்கு எதிர்மறையான நிலைப்பாட்டை எடுத்துள்ளது; மறுப்பு தான் அதிக நியாயமான பதில் என்று வாதிடுகிறது.

இந்த நிலைப்பாடு பல பாதுகாப்பு நிபுணர்களால் வரவேற்கப்படலாம்; ஏனெனில் வழக்கமான மீட்கத் தொகை செலுத்துதல்கள் பணம் பறிக்கும் தாக்குதல்களின் பின்னணியில் இருக்கும் குற்றவியல் வணிக மாதிரியைத் தொடரச் செய்கின்றன என்று அவர்கள் நீண்ட காலமாக வாதிட்டு வருகின்றனர். அதே நேரத்தில், பணம் செலுத்த மறுக்கும் நிறுவனங்கள் திருடப்பட்ட பொருள் இன்னும் வெளியிடப்படலாம் என்ற சாத்தியத்தை ஏற்றுக்கொள்கின்றன.

அடுத்து கவனிக்க வேண்டியது

முக்கியமாக இன்னும் விடை காணப்படாத கேள்வி, தாக்குதலாளர்கள் Grafana-வின் பொது குறியீட்டுடன் தொடர்புடைய களஞ்சியங்களைத் தாண்டி எதையாவது பெற்றார்களா என்பதுதான். தனியுரிமை உள்ளகக் குறியீடு, சான்றிதழ்கள் அல்லது செயல்பாட்டு ஆவணங்கள் வெளிப்பட்டனவா என்பதை நிறுவனம் இன்னும் கூறவில்லை. அதன் இறுதி சம்பவ அறிக்கையே இது முக்கியமாக ஒரு வெட்ககரமான பணம் பறிப்பு முயற்சியா அல்லது அதிக விளைவுள்ள பொறியியல் breach-ஆ என்பதைக் தீர்மானிக்கும்.

இப்போதைக்கு, தெளிவான உண்மைகள் குறுகியவையாக இருந்தாலும் முக்கியமானவையாக உள்ளன: ஒரு திருடப்பட்ட டோக்கன் கதவைத் திறந்தது, மூலக் குறியீட்டு களஞ்சியங்கள் அணுகப்பட்டன, நிறுவனத்தின் தகவலின்படி வாடிக்கையாளர் மற்றும் நிதி தரவுகள் வெளிப்படுத்தப்படவில்லை, மேலும் Grafana பணம் செலுத்த வேண்டாம் என்று முடிவு செய்தது.

இந்த கட்டுரை TechCrunch-ன் செய்தி அறிக்கையை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.

NVIDIA
More in News

NVIDIA RTX Spark-ஐ அறிமுகப்படுத்தி, Windows-ல் AI PCs-ஐ இன்னும் ஆழமாக தள்ளுகிறது

NVIDIA, RTX Spark எனும் Arm-அடிப்படையிலான Windows PC சிப்பை அறிமுகப்படுத்தியது; இது லேப்டாப்கள் மற்றும் சிறிய டெஸ்க்டாப்புகளுக்கு 1 petaflop வரை AI செயல்திறன் வழங்க முடியும் என அது கூறுகிறது.

Read article

Originally published on techcrunch.com