हार्ड कोड | एक सौम्य अनुस्मारक: कुछ भी हैक करने योग्य नहीं है

पिछले दरवाजे से समुदाय के भीतर तीखी प्रतिक्रिया हुई।

तीन चिंताएँ

एक के लिए, सॉफ़्टवेयर पैकेज, सुरक्षा अपडेट और यहां तक ​​कि कोर सिस्टम फ़ाइलों को संपीड़ित करने के लिए लिनक्स और अन्य यूनिक्स ऑपरेटिंग सिस्टम में XZ-Utils का व्यापक रूप से उपयोग किया जाता है। पिछला दरवाजा एसएसएच नामक एक सुरक्षित संचार प्रारूप को तोड़ता है, जो एक कंप्यूटर को दूसरे कंप्यूटर से दूरस्थ रूप से कनेक्ट करने की अनुमति देता है, एक ऐसी सुविधा जिसका उपयोग अक्सर न केवल संगठनों में आईटी टीमों द्वारा किया जाता है, बल्कि अपने काम के लिए कंप्यूटर का उपयोग करने वाले लोगों द्वारा भी किया जाता है।

लिनक्स और यूनिक्स कुछ सबसे व्यापक रूप से उपयोग किए जाने वाले ऑपरेटिंग सिस्टम हैं (तकनीकी रूप से, लिनक्स के कुछ संस्करण हैं जिन्हें “वितरण” कहा जाता है, जैसे कि फेडोरा और उबंटू) तकनीकी कंपनियों में, वित्तीय सेवाओं और स्वास्थ्य सेवा के लिए, सरकारी एजेंसियों द्वारा और महत्वपूर्ण बुनियादी ढांचे में – दूसरे शब्दों में, कई संवेदनशील क्षेत्र इस ऑपरेटिंग सिस्टम का उपयोग करते हैं जो अन्यथा रोजमर्रा के उपयोगकर्ताओं के लिए अज्ञात है।

दूसरे, ऐसा प्रतीत होता है कि पिछला दरवाज़ा किसी अज्ञात व्यक्ति द्वारा डाला गया है जिसने XZ-Utils के मूल “रखरखाव” की मदद की, जो ऑनलाइन पहचान जिया टैन के नाम से जाना जाता था। टैन ने एक साल पहले सामान्य ओपन-सोर्स डेवलपमेंट वर्कफ़्लो का हिस्सा बनने के लिए अनुरक्षकों के बीच एक स्थान अर्जित किया। यह विशेष रूप से चिंताजनक है क्योंकि ओपन-सोर्स सॉफ़्टवेयर, या ओएसएस सॉफ़्टवेयर विकसित करने और बनाए रखने के लिए पारदर्शी, विश्वास-आधारित सहयोग पर निर्भर करता है।

तथ्य यह है कि दुर्भावनापूर्ण परिवर्तन किसी का ध्यान नहीं गया, समीक्षा पारित हुई और आधिकारिक रिलीज़ संस्करणों में अपना रास्ता बना लिया, यह उस विश्वास मॉडल का गंभीर उल्लंघन है। अब यह इस बारे में गहरे सवाल उठाता है कि क्या इस तरह के समझौते अन्य उपयोगिताओं या सॉफ़्टवेयर में मौजूद हैं, जिनमें से कई महत्वपूर्ण ओपन-सोर्स परियोजनाएं हैं जो आज के सिस्टम और सेवाओं के निर्माण खंड बनाती हैं।

तीसरा, उस अभिनेता की पहचान और उद्देश्य क्या हैं जिसने उस दुर्भावनापूर्ण कोड को डाला? इस तरह के कृत्य को तकनीकी रूप से आपूर्ति श्रृंखला हमला कहा जाता है, जो विशेष रूप से विनाशकारी है क्योंकि इसमें रणनीतिक रूप से आश्रित अनुप्रयोगों में कमजोरी डालना शामिल है – इसे नींव के एक समझौता किए गए टुकड़े के रूप में सोचें जिस पर एक बहुमंजिला इमारत टिकी हुई है।

इस तरह का समझौता कैसा दिख सकता है, इसका वास्तविक दुनिया में प्रदर्शन 2020 में हुआ। माना जाता है कि हैकर्स रूस की विदेशी खुफिया सेवा से जुड़े हुए हैं, जिन्होंने सोलरविंड्स के ओरियन नेटवर्क मॉनिटरिंग टूल के समझौता किए गए संस्करणों को तोड़ दिया है। इसके बाद गुप्त अपडेट स्थापित करके अमेरिकी सरकारी एजेंसियों और प्रमुख निगमों सहित लगभग 18,000 ग्राहकों को दूषित अपडेट वितरित किए गए। माना जाता है कि लगभग सभी संवेदनशील अमेरिकी सरकारी विभागों के नेटवर्क से समझौता किया गया था।

सबसे हालिया मामले में, चिंता केवल काल्पनिकता से नहीं उपजी है। ऐसे संकेत थे कि जिया टैन को XZ-Utils के अनुरक्षकों में से एक बनाने के लिए एक ठोस प्रयास किया गया था। मूल अनुरक्षक लेसे कॉलिन नाम का एक व्यक्ति है, जिसने कई अवसरों पर संकेत दिया था कि नए अपडेट जारी करने में सक्षम होने के लिए उसके पास काम की बहुत अधिक भीड़ है। जिगर कुमार नाम के एक व्यक्ति को दर्ज करें, जिसने कोलिन को उसी समय एक और अनुरक्षक जोड़ने के लिए प्रेरित किया, जब टैन एक नियमित योगदानकर्ता बन गया, और सहयोगात्मक विकास में सुधार और समाधान का सुझाव दिया।

क्या वे मिलीभगत में थे?

एक साइबर सुरक्षा अग्रणी, थडियस ग्रुगक का तर्क है कि टैन और कुमार द्वारा प्रदर्शित व्यवहार परिष्कृत HUMINT कार्य की ओर इशारा करता है, जिसमें खुफिया एजेंटों के कार्य करने के समय-परीक्षणित तरीके का जिक्र है। “दुनिया की हर ख़ुफ़िया एजेंसी इस अभियान को चला सकती है, इन ऑपरेशनों को डिज़ाइन और निष्पादित कर सकती है। इसमें तकनीकी कौशल का एक गंभीर स्तर भी प्रदर्शित किया गया है, जिया टैन व्यक्तित्व को काम करने और बात करने में सक्षम होना चाहिए, लेकिन इस अभियान का मूल HUMINT है, “उन्होंने एक्स पर एक थ्रेड में लिखा।

“एक ख़ुफ़िया एजेंसी के लिए पूरा अभियान बहुत ही उचित गति वाला है। वे पास आते हैं, एक एजेंट को बुलाते हैं, टुकड़ों को स्थान पर ले जाते हैं, और फिर ट्रिगर खींचते हैं। प्रत्येक चरण को सुचारू रूप से और कार्रवाई के लिए पर्याप्त कवर के साथ पूरा किया जाता है, ”वह एक अन्य पोस्ट में कहते हैं।

यह एक अलग घटना की तरह लग सकता है, लेकिन सोलरविंड्स हमलों और इस तथ्य को याद करना महत्वपूर्ण है कि भारत जैसे देश राज्य के कार्यों और अपने नागरिकों के जीवन को डिजिटल बनाने के लिए पूरी ताकत से आगे बढ़ रहे हैं। जैसा कि एक्सज़ेड-यूटिल्स दिखाता है, कुछ भी हैक करने योग्य नहीं है। और यह केवल ख़तरनाक अभिनेताओं का विकास ही नहीं है जो इसे सच बनाता है, इसका संबंध प्रौद्योगिकी से भी है। आज के एन्क्रिप्शन को बड़े पैमाने पर क्वांटम कंप्यूटिंग प्रौद्योगिकियों की क्रूर शक्ति के प्रति असुरक्षित माना जाता है जब वे भविष्य में आते हैं। उस समय, आज हैकरों द्वारा छीने गए कई एन्क्रिप्टेड डेटाबेस संभवतः खुले रहेंगे, जिससे किसी भी व्यक्ति के लिए खतरा पैदा हो जाएगा, जिसके डेटा से छेड़छाड़ की गई है।

डिजिटल भविष्य के निर्माण के प्रयासों को इसी प्रकाश में देखा जाना चाहिए, खासकर उन देशों के लिए जिन्होंने अभी तक पर्याप्त तकनीकी, कानूनी और प्रक्रियात्मक सुरक्षा उपाय और शमन नहीं किए हैं।

बिनायक दासगुप्ता, एचटी पेज 1 संपादक, प्रौद्योगिकी से उभरती चुनौतियों पर नज़र डालते हैं और समाज, कानून और प्रौद्योगिकी स्वयं उनके बारे में क्या कर सकते हैं