यदि आपने कभी साइबर सुरक्षा के बारे में पढ़ा है, तो हैकर्स द्वारा शोषण की गई कमजोरियों का वर्णन करने के लिए "शून्य-दिन" शब्द एक बार आने की संभावना है। आप जल्दी से यह भी पाएंगे कि ये सबसे घातक होते हैं। वे क्या हैं और वे कैसे काम करते हैं, इस पर मेरे सहयोगी साइमन बैट ने पहले ही संक्षेप में चर्चा की है।
लेकिन जैसे-जैसे आप इस विषय में गहराई से उतरेंगे, आपको कुछ ऐसी चीजें मिलेंगी जिनके बारे में शायद आप नहीं जानते होंगे क्योंकि आप अपने उपकरणों पर चलने वाली हर चीज के बारे में दो बार सोचना शुरू करते हैं (जो जरूरी नहीं कि बुरी चीज हो)। साइबर सुरक्षा अध्ययन जैसे कि रैंड कॉर्पोरेशन (एक अमेरिकी सशस्त्र बल थिंक टैंक) के लोगों के इस शोध से पता चलता है कि शून्य-दिन के कारनामों में हमें यह दिखाने के कई तरीके हैं कि हमारी डिजिटल दुनिया कितनी नाजुक है।
जीरो-डे एक्सप्लॉइट्स करना इतना कठिन नहीं है
रैंड अध्ययन कुछ ऐसे प्रोग्रामर की पुष्टि करता है, जिन्होंने प्रूफ-ऑफ-कॉन्सेप्ट हैकिंग में दबोच लिया है, उन्हें संदेह है:एक ऐसे टूल को विकसित करने में बहुत समय नहीं लगता है जो एक बार एक भेद्यता का पता लगाने की प्रक्रिया को सरल बनाता है। सीधे अध्ययन का हवाला देते हुए,
<ब्लॉकक्वॉट>एक बार शोषण योग्य भेद्यता मिल जाने के बाद, 22 दिनों के औसत समय के साथ, पूरी तरह से काम कर रहे शोषण को विकसित करने का समय अपेक्षाकृत तेज़ होता है।
ध्यान रखें कि यह औसत . है . कई कारनामे वास्तव में दिनों के भीतर समाप्त हो जाते हैं, यह इस बात पर निर्भर करता है कि सॉफ़्टवेयर को तैयार करने में कितनी जटिलता शामिल है और आप अपने मैलवेयर के प्रभाव को कितना दूर तक चाहते हैं।
जहां तक सुविधा का संबंध है, लाखों अंतिम उपयोगकर्ताओं के लिए सॉफ्टवेयर विकसित करने के विपरीत, मैलवेयर बनाने के लिए केवल एक ही व्यक्ति को ध्यान में रखा जाता है:इसका निर्माता। चूंकि आप अपने कोड और सॉफ़्टवेयर को "जानते हैं", उपयोगकर्ता-मित्रता पर ध्यान केंद्रित करने के लिए कोई प्रोत्साहन नहीं है। इंटरफ़ेस डिज़ाइन और कोड को फ़ूल-प्रूफ़ करने के कारण उपभोक्ता सॉफ़्टवेयर विकास कई बाधाओं का अनुभव करता है, इसलिए इसमें अधिक समय लगता है। आप अपने लिए लिख रहे हैं और इसलिए सभी को हाथ से पकड़ने की आवश्यकता नहीं है, जो प्रोग्रामिंग प्रक्रिया को बेहद तरल बनाता है।
वे एक चौंकाने वाले समय के लिए जीते हैं
एक हैकर के लिए यह जानना गर्व की बात है कि उन्होंने जो कारनामा किया है वह बहुत लंबे समय तक काम करता है। इसलिए उनके लिए यह जानना थोड़ा निराशाजनक हो सकता है कि यह एक सामान्य घटना है। रैंड के अनुसार, औसत भेद्यता 6.9 साल तक जीवित रहेगी, सबसे कम के साथ उन्होंने डेढ़ साल तक जीवित रहने का आकलन किया है। हैकर्स के लिए यह निराशाजनक है क्योंकि इसके माध्यम से उन्हें पता चलता है कि जब भी वे वेब के माध्यम से वर्षों तक भगदड़ मचाने वाले कारनामे करते हैं तो वे विशेष रूप से विशेष नहीं होते हैं। हालांकि, उनके पीड़ितों के लिए यह भयानक है।
औसत "दीर्घकालिक" भेद्यता की खोज में 9.53 वर्ष लगेंगे। यह लगभग एक दशक है जब दुनिया के हर हैकर को इसे ढूंढना है और अपने फायदे के लिए इसका इस्तेमाल करना है। यह परेशान करने वाला आँकड़ा कोई आश्चर्य की बात नहीं है, क्योंकि सुविधा अक्सर सवारी पर शॉटगन कहती है जबकि विकास प्रक्रिया में सुरक्षा को पीछे की सीट के साथ छोड़ दिया जाता है। इस घटना के होने का एक और कारण पुरानी कहावत है, "आप नहीं जानते कि आप क्या नहीं जानते हैं।" यदि आपकी दस प्रोग्रामर की टीम यह पता नहीं लगा पाती है कि आपके सॉफ़्टवेयर में कोई भेद्यता है, तो निश्चित रूप से उन हज़ारों हैकरों में से एक जो सक्रिय रूप से इसकी तलाश कर रहे हैं, आपको एक हाथ देंगे और आपको इसे कठिन रास्ता दिखाएंगे। और फिर आपको इसे पैच करना होगा, जो कि अपने आप में एक और कीड़े का कैन है, क्योंकि आप अंत में एक और भेद्यता का परिचय दे सकते हैं, या हैकर्स आपके द्वारा लागू किए गए कार्यों को रोकने के लिए जल्दी से एक रास्ता खोज सकते हैं।
परोपकारिता उच्च आपूर्ति में नहीं है
फ़िनिफ़्टर, अखावे, और वैगनर ने 2013 में पाया कि खोजी गई सभी कमजोरियों में से केवल 2-2.5 प्रतिशत वास्तव में अच्छे समरिटन्स द्वारा रिपोर्ट किए गए थे, जो एक भेद्यता पुरस्कार कार्यक्रम के हिस्से के रूप में सुबह की सैर पर उनके पास आए थे (यानी “हम आपको देते हैं अच्छा है अगर आप हमें बताएं कि हमारे सॉफ़्टवेयर को कैसे हैक किया जा सकता है")। उनमें से बाकी या तो डेवलपर द्वारा या एक हैकर द्वारा खोजे गए थे, जिन्होंने अपने अस्तित्व के लिए सभी को "प्रबुद्ध" किया था। हालांकि अध्ययन बंद और खुले स्रोत के बीच अंतर नहीं करता है, यह मेरा संदेह है कि ओपन-सोर्स सॉफ़्टवेयर को अधिक परोपकारी रिपोर्टिंग मिलती है (क्योंकि स्रोत कोड को खुले में रखने से लोगों के लिए सटीक रूप से रिपोर्ट करना आसान हो जाता है कहां उन्हें> एक भेद्यता होती है)।
द टेकअवे
यहाँ मेरी आशा यह है कि यह एक परिप्रेक्ष्य प्रदान करता है कि किसी शोषण का शिकार होना कितना आसान है और कैसे शून्य-दिन के कारनामे उतने दुर्लभ नहीं हैं जितने वे लगते हैं। उनके बारे में अभी भी कई अनुत्तरित प्रश्न हैं, और शायद करीब से अध्ययन हमें उन उपकरणों से लैस करने में मदद करेगा जिनकी हमें उनका मुकाबला करने की आवश्यकता है। यहाँ विचार यह है कि हमें अपने पैर की उंगलियों पर बने रहने की आवश्यकता है।
क्या आप इन निष्कर्षों से हैरान थे? इसके बारे में हमें कमेंट में बताएं!