လူမဟုတ္တဲ့ ဟက္ကာ

ပန္တဂြန္ရဲ႕ ေဒၚလာ ၂ သန္းတန္ဆုကို ဆြတ္ခူးထားတဲ့ Mayhem ဟာ အင္တာနက္ႀကီ:ကို ျပဳျပင္ဖို႔ အသင့္ျဖစ္ေနပါၿပီ။ လုံၿခဳံေရးလုပ္ငန္းသစ္တစ္ခုျဖစ္တဲ့ ForAllSecure ရဲ႕ ထုတ္ကုန္ Mayhem ကို ပေရာ္ဖက္ဆာ ေဒးဗစ္ ဘရမ္ေလ နဲ႔ သူ႕ရဲ႕ ေဒါက္တာဘြဲ႕ယူမဲ့ တပည့္ႏွစ္ေယာက္က ေပါင္းေရးထားတာပါ။ ဘရမ္ေလရဲ႕ အဆိုအရေတာ့ Mayhem ကို အင္တာနက္ေပၚက ေဈးကြက္ဝင္ပစၥည္းေတြရဲ႕ အားနည္းခ်က္ေတြကို အလိုအေလ်ာက္ ရွာေဖြ ျပဳျပင္သြားဖို႔ ပုံသြင္းေပးေနတယ္လို႔ သိရပါတယ္။ အဓိကကေတာ့ Router နဲ႔ အင္တာနက္ကင္မရာတို႔လို Online  ခ်ိတ္သုံးတဲ့ ပစၥည္းေတြအတြက္ပါ။

အဲဒီ့ပစၥည္းေတြထုတ္တဲ့ ကုမၸဏီႀကီ:ေတြနဲ႔လည္း ခ်ိတ္ဆက္လုပ္ကိုင္ၿပီး စမ္းသပ္မႈတခ်ိဳ႕ လုပ္ထားၿပီးပါၿပီ။ အဓိကရည္႐ြယ္တာကေတာ့ ကုမၸဏီေတြကလည္း မလုပ္ေပးႏိုင္၊ သုံးစြဲသူေတြဘက္ကလည္း ဂ႐ုစိုက္မႈနည္းတဲ့ ဒီလိုထုတ္ကုန္ေတြကို လုံၿခဳံေရးနဲ႔ဆိုင္တဲ့ Update ေတြ ပုံမွန္ေထာက္ပံ့ႏိုင္ဖို႔ပါ။ အရင္ႏွစ္တုန္းက တစခန္းထလာတဲ့ IoT Botnets ေတြေၾကာင့္ Reddit နဲ႔ Twitter အပါအဝင္ နာမည္ႀကီ: ဝက္ဘ္ဆိုက္ (Website) တခ်ိဳ႕ေတာင္ လိုင္းက်တဲ့ အေျခအေန ဆိုက္ခဲ့တာပါ။ ဒီလိုအေျခအေနမ်ိဳးဟာ Mayhem သာ ရွိေနရင္ ျဖစ္လာစရာ မရွိပါဘူး။

"အခုအေျခအေနက စက္တခုထဲ Malware ဝင္သြားမယ္ဆိုရင္ Patch မထည့္မခ်င္း ရက္ပိုင္းကာလကေန ရက္သတၱပါတ္ အေတာ္ၾကာတဲ့အထိ စက္ထဲမွာ ရွိေနမွာပါ။ Mayhem သာ ေအာင္ျမင္ခဲ့မယ္ဆို လုံၿခဳံေရးအားနည္းခ်က္တခုကို သိထားတဲ့ ဟက္ကာတေယာက္က စက္တမ်ိဳးကို ဝင္ေရာက္လိုက္ၿပီဆိုတာနဲ႔ အလားတူစက္ေတြကို မဝင္ႏိုင္ေအာင္ Patch လုပ္ေပးႏိုင္မယ့္ အေျခအေနကို ေရာက္သြားမွာပါ" လို႔ ဘရမ္ေလက ေျပာပါတယ္။

မႏွစ္က Mayhem နည္းပညာ ထည့္သြင္းထားတဲ့ Router Firmware Image ေပါင္း ၂၀၀၀ ေလာက္ကို ဘရမ္ေလက ေၾကျငာေပးခဲ့ပါတယ္။ [https://www.dcddcc.com/docs/2016_paper_firmadyne.pdf] ေဖာ္ျပခဲ့တဲ့ ထုတ္ကုန္အမ်ိဳးအစား ၉၈ ခုမွာ ၄၀ ရာခိုင္ႏႈန္းေလာက္ဟာ လုံၿခဳံေရးအားနည္းခ်က္အေနနဲ႔ အနည္းဆုံးတခုစီေလာက္ ရွိေနတာ ေတြ႕ရမွာပါ။ Mayhem ဟာ Software Build ေပါင္း ၆၉ ခုကေန အရင္က မေတြ႕ေသးတဲ့ လုံၿခဳံေရးအားနည္းခ်က္ ၁၄ ခုကို ရွာေတြ႕ ထားပါတယ္။ ေလာေလာဆယ္မွာ ForAllSecure ဟာ DoD (Department of Defense) နဲ႔ ပူးေပါင္းၿပီး အင္တာနက္ေပၚက လုံၿခဳံေရးယိုေပါက္ေတြကို ဘယ္လိုျပင္ဆင္မလဲဆိုတာ စမ္းသပ္ေနပါတယ္။

ပန္တဂြန္ရဲ႕ DARPA (Defense Advanced Research Projects Agency) က က်င္းပတဲ့ Cyber Grand Challenge ၿပိဳင္ပြဲမွာ အႏိုင္ရခဲ့တဲ့ Mayhem ဟာ လုံၿခဳံေရးပညာရွင္ေတြရဲ႕ အလုပ္ေတြကို အလိုအေလ်ာက္လုပ္ေဆာင္ႏိုင္ဖို႔ ႀကံဆထားတာပါ။ ဆာဗာေဆာ့ဝဲလ္ (Server Software) ေတြကို ကာကြယ္ဖို႔၊ Patch လုပ္ေပးဖို႔နဲ႔ တျခားအဖြဲ႕က ဖန္တီးထားတဲ့ေဆာ့ဝဲလ္ရဲ႕ အားနည္းခ်က္ေတြကိုပါ ေက်ာ္လႊားႏိုင္ စစ္ေဆးႏိုင္ေအာင္ ၿပိဳင္ပြဲဝင္ အဖြဲ႕ေတြအေနနဲ႔ ျပင္ဆင္ ေပးရတာပါ။ ယွဥ္ၿပိဳင္ခ်ိန္ (၁၂) နာရီၾကာခဲ့ၿပီး အက်ိတ္အနယ္ရွိခဲ့ပါတယ္။ 

ကာလီဖိုးနီးယားတကၠသိုလ္က ပေရာ္ဖက္ဆာတစ္ဦးျဖစ္တဲ့ ဂ်ီ႐ိုဗန္နီ ဗစ္ဂနာကေတာ့ ဒီလိုၿပိဳင္ပြဲရွိလာတာ ေကာင္းေပမဲ့ လုံၿခဳံေရးအားနည္းခ်က္ေတြကို အလိုအေလ်ာက္ျပင္ဆင္ဖို႔ဆိုတာက လက္ေတြ႕မွာ မျဖစ္ႏိုင္ေသးဘူးလို႔ ဆိုပါတယ္။ သက္ဆိုင္ရာကုမၸဏီေတြရဲ႕ ဝိုင္းဝန္းပူးေပါင္းမႈကလည္း လိုေသးတာကိုး။

"ခင္ဗ်ားက Router ကုမၸဏီပဲ ထားပါေတာ့။ ကိုယ့္စက္ကို ပိုေကာင္းသြားေစမလား၊ offline ျဖစ္သြားေစမလား မေသခ်ာတဲ့ ဒီ Patch ကို အသြင္းခံမလား" လို႔ ဗစ္ဂနာက ေျပာပါတယ္။ ဗစ္ဂနာဟာ အဲဒီ့ၿပိဳင္ပြဲတုန္းက တတိယရခဲ့တဲ့ MechnicalPhish ေဆာ့ဝဲလ္ကို ဖန္တီးတဲ့အဖြဲ႕ရဲ႕ ေခါင္းေဆာင္ပါ။ သူကေတာ့ MechnicalPhish ကို တျခားသူေတြ ေလ့လာႏိုင္ေအာင္ open-source လုပ္ထားေပးပါတယ္။ [https://github.com/mechaphish]

ဘရမ္ေလကလည္း ဒီျပႆနာကို လက္ခံပါတယ္။ "US အစိုးရအပါအဝင္ လူေတာ္ေတာ္မ်ားမ်ားဟာ ေဆာ့ဝဲလ္နဲ႔ လုပ္ဖို႔ထက္ လူနဲ႔လုပ္ရတာကို ပိုသေဘာက်ေနတုန္းပါ" လို႔ ေျပာပါတယ္။ "က်ေနာ္ ဇြတ္လုပ္ခ်င္တာေတာ့ မဟုတ္ပါဘူး၊ ဒါေပမဲ့ ဒီလိုျဖစ္ေနတာက လုပ္ရကိုင္ရ ေႏွးေစတယ္" လို႔ ဘရမ္ေလက ဖြင့္ဟပါတယ္။ သူကေတာ့ အလိုအေလ်ာက္အလုပ္လုပ္တဲ့ ဟက္ကာ (Hacker) ေတြဟာ သူတို႔နဲ႔ ထိုက္တန္တဲ့ေနရာ ရွိရမယ္လို႔ ေမၽွာ္လင့္ေနပါတယ္။

23-2-2017

သတင္း စီစဥ္တင္ဆက္သူ - Nub90d (MEHN Team)