ज़ीरो डे एक्सप्लॉइट्स के बारे में कुछ बदसूरत सत्य

यदि आपने कभी साइबर सुरक्षा के बारे में पढ़ा है, तो "शून्य-दिन" शब्द कुछ समय में एक साथ आने की संभावना है ताकि हैकर्स द्वारा शोषित भेद्यताओं का वर्णन किया जा सके। आप जल्दी से यह भी पता लगाएंगे कि ये सबसे घातक हैं। वे क्या हैं और वे कैसे काम करते हैं, मेरे सहयोगी साइमन बट्ट द्वारा संक्षेप में चर्चा की जा चुकी है।

लेकिन जब आप इस विषय में गहराई से पहुंचते हैं, तो आप कुछ चीजों को खोज लेंगे, शायद आप इसके बारे में नहीं जानते हैं क्योंकि आप अपने डिवाइस पर चलने वाली हर चीज़ के बारे में दो बार सोचना शुरू करते हैं (जो एक बुरी चीज नहीं है)। रैंड कॉर्पोरेशन (एक अमेरिकी सशस्त्र बलों के विचार टैंक) में लोगों से इस शोध जैसे साइबर सुरक्षा अध्ययन का प्रदर्शन करता है कि शून्य-दिन के शोषण में हमें दिखाए जाने के कई तरीके हैं कि हमारी डिजिटल दुनिया कितनी कमजोर है।

ज़ीरो-डे एक्सप्लॉयट्स बनाना मुश्किल नहीं है

रैंड स्टडी ने कुछ प्रोग्रामर की पुष्टि की है जो प्रमाण-अवधारणा हैकिंग में डब किए गए हैं, संदेह है: ऐसा उपकरण विकसित करने में बहुत लंबा समय नहीं लगता है जो एक बार पाया जाने पर भेद्यता का शोषण करने की प्रक्रिया को सरल बनाता है। सीधे अध्ययन से उद्धरण,

एक बार एक शोषण योग्य भेद्यता पाई जाने के बाद, पूरी तरह से कामकाजी शोषण विकसित करने का समय अपेक्षाकृत तेज़ है, 22 दिनों के औसत समय के साथ।

ध्यान रखें कि यह औसत है । सॉफ़्टवेयर को क्राफ्ट करने में शामिल जटिलता और आपके मैलवेयर के प्रभाव को कितना दूर करना चाहते हैं, इसके आधार पर कई शो वास्तव में दिनों के भीतर समाप्त हो जाते हैं।

लाखों अंतिम उपयोगकर्ताओं के लिए सॉफ्टवेयर विकसित करने के विरोध में, मैलवेयर बनाने के लिए केवल एक व्यक्ति को ध्यान में रखते हुए सुविधा है: इसके निर्माता। चूंकि आप अपने कोड और सॉफ़्टवेयर को "जानते हैं", उपयोगकर्ता-मित्रता पर ध्यान केंद्रित करने के लिए कोई प्रोत्साहन नहीं है। उपभोक्ता सॉफ्टवेयर विकास को इंटरफ़ेस डिज़ाइन और कोड को बेवकूफ बनाने के कारण कई बाधाएं आती हैं, इसलिए इसमें अधिक समय लगता है। आप अपने लिए लिख रहे हैं और इसलिए सभी हाथ-होल्डिंग की आवश्यकता नहीं है, जो प्रोग्रामिंग प्रक्रिया को बेहद तरल पदार्थ बनाता है।

वे समय की एक चौंकाने वाली राशि के लिए रहते हैं

यह हैकर के लिए गर्व का एक बिंदु है कि यह जानना कि उन्होंने जो शोषण किया है, वह बहुत लंबे समय तक काम करता है। इसलिए यह जानना थोड़ा निराशाजनक हो सकता है कि यह एक आम घटना है। रैंड के मुताबिक, औसत भेद्यता 6.9 साल तक जीवित रहेगी, कम से कम एक साढ़े सालों तक रहने वाले लोगों के साथ। हैकर्स के लिए यह निराशाजनक है क्योंकि इसके माध्यम से वे यह पता लगाते हैं कि जब भी वे वेब के माध्यम से वेब के माध्यम से छेड़छाड़ करते हैं तो वे विशेष रूप से विशेष नहीं होते हैं। उनके पीड़ितों के लिए, हालांकि, यह डरावना है।

औसत "दीर्घकालिक" भेद्यता की खोज 9.53 साल लग जाएगी। यह लगभग एक दशक है कि दुनिया के हर हैकर को इसे ढूंढना है और इसे अपने लाभ के लिए उपयोग करना है। यह परेशानीत्मक आंकड़ा कोई आश्चर्य की बात नहीं है, क्योंकि सुविधा अक्सर सवारी पर शॉटगन को कॉल करती है जबकि सुरक्षा प्रक्रिया में पिछली सीट के साथ सुरक्षा छोड़ दी जाती है। पुरानी कहावत के कारण यह घटना एक और कारण मौजूद है, "आप नहीं जानते कि आपको क्या पता नहीं है।" यदि दस प्रोग्रामर की आपकी टीम यह नहीं समझ सकती कि आपके सॉफ़्टवेयर में भेद्यता है, तो निश्चित रूप से हजारों में से एक हैकर्स जो सक्रिय रूप से इसकी तलाश में हैं, आपको एक हाथ देंगे और आपको कठिन तरीके से दिखाएंगे। और फिर आपको इसे पैच करना होगा, जो स्वयं में कीड़े का एक और कर सकता है, क्योंकि आप एक और भेद्यता को पेश कर सकते हैं, या हैकर्स जल्दी से आपके द्वारा लागू किए गए कार्यों को रोकने के लिए एक रास्ता खोज सकते हैं।

Altruism उच्च आपूर्ति में नहीं है

फिनिफ्टर, अख्वा और वाग्नेर ने 2013 में पाया कि सभी भेद्यताओं में से पता चला है कि उनमें से केवल 2 - 2.5 प्रतिशत वास्तव में अच्छे समरिटानों द्वारा रिपोर्ट किए गए थे, जो एक भेद्यता पुरस्कार कार्यक्रम (यानी "हम आपको देते हैं) उपहार अगर आप हमें बताते हैं कि हमारे सॉफ़्टवेयर को हैक किया जा सकता है ")। उनमें से बाकी को या तो डेवलपर द्वारा या एक हैकर द्वारा खोजा गया था, जो दर्द से "अस्तित्व में" हर किसी के अस्तित्व में था। हालांकि अध्ययन बंद और मुक्त स्रोत के बीच अंतर नहीं करता है, लेकिन यह मेरा संदेह है कि ओपन-सोर्स सॉफ़्टवेयर को अधिक परोपकारी रिपोर्टिंग मिलती है (चूंकि स्रोत कोड को खुले में बाहर रखना लोगों के लिए यह रिपोर्ट करना आसान बनाता है कि भेद्यता कहां होती है) ।

टेकवे

मेरी आशा यह है कि यह एक परिप्रेक्ष्य प्रदान करता है कि शोषण के शिकार होने में कितना आसान है और शून्य-दिन का शोषण उतना दुर्लभ नहीं है जितना लगता है। उनके बारे में अभी भी कई अनुत्तरित प्रश्न हैं, और शायद निकट अध्ययन से हमें उन उपकरणों के साथ लैस करने में मदद मिलेगी जिन्हें हमें मुकाबला करने के लिए आवश्यक है। यहां विचार यह है कि हमें अपने पैर की उंगलियों पर रहने की जरूरत है।

क्या आप इन निष्कर्षों से आश्चर्यचकित थे? टिप्पणी के बारे में सब कुछ बताओ!