एक्सप्लॉइट्सचा चिंताजनक मार्ग
Google च्या Threat Analysis Group ने रशियन राज्य हेरगिरी गट आणि चिनी साइबर अपराधी संस्थेद्वारे वापरलेल्या परिष्कृत iPhone-हॅकिंग साधने ओळखली आहेत, आणि यू.एस. सरकारी संरक्षण कॉन्ट्रॅक्टरच्या स्रोतांनी पुष्टी केली आहे की त्यापैकी काही साधने त्यांच्या स्वतःच्या विकास कार्यातून आली आहेत. हा खुलासा राष्ट्रीय सुरक्षेसाठी विकसित केलेली आक्रमणकारक साइबर क्षमता विदेशी विरोधकांच्या हातात कशी पोहोचते या बाबतीत जरूरी प्रश्न निर्माण करतो.
हा शोध, TechCrunch द्वारा अहवाल दिलेला, साइबर सुरक्षा तज्ञांनी वर्षांपासून सावधान केलेल्या एक्सप्लॉइट प्रसार समस्येचे सर्वात मूर्त उदाहरण आहे. सरकारें आक्रमणकारक साइबर क्षमता विकसित करण्यात मोठ्या प्रमाणावर गुंतवणूक करते, परंतु ही साधने आणि तंत्रे विविध मार्गांतून - व्यावसायिक स्पायवेअर विक्रेत्यांनी जाणूनबुजून विक्रयापासून ते चोरी, गळती आणि एकाधिक अभिनेत्यांद्वारे समान असुरक्षिततेचा स्वतंत्र पुनरावलोकन - प्रसारित होऊ शकतात.
टूलकिट आणि त्याची क्षमता
Google च्या संशोधकांनी राज्य-प्रायोजित धमकी अभिनेत्यांच्या सतत निरीक्षणाद्वारे हॅकिंग साधने ओळखली. टूलकिटने iOS, Apple च्या मोबाईल ऑपरेटिंग सिस्टमचे असुरक्षितता लक्ष्य केले, ज्यामुळे iPhone मध्ये प्रवेश करणारे लक्ष्य लोकांना दुर्भावनापूर्ण लिंकवर क्लिक करण्याची किंवा कोणतीही कारवाई करण्याची आवश्यकता नसून - हे क्षमता zero-click exploit म्हणून ओळखली जाते.
Zero-click exploits हे मोबाईल हॅकिंग साधनांचे सर्वात मूल्यवान आणि धोकादायक वर्ग आहेत. ते फोनांच्या येणारे डेटा प्रक्रिया करते या पद्धतीतील दोष शोषण करतात, जसे की संदेश, ई-मेल किंवा नेटवर्क पॅकेट, वापरकर्ता काहीही झाले हे जाणण्यापूर्वी दुर्भावनापूर्ण कोड कार्यान्वित करते. हे exploits विकसित करण्यासाठी खोल तांत्रिक कौशल्य आणि लक्षणीय संसाधनांची आवश्यकता असते, ज्या कारणास्तव ते प्राथमिकपणे सरकारी संस्था आणि व्यावसायिक स्पायवेअर उद्योगाशी संबंधित आहेत.
टूलकिटद्वारे शोषण केलेले विशिष्ट असुरक्षितता तेव्हापासून Apple द्वारा पॅच केले गेले आहेत, परंतु हे पॅच स्थापित होण्यापूर्वीची साधने ज्ञात संख्या उपकरणांना पर्यवेक्षणासाठी असुरक्षित राहिली.
साधने सीमानदेशी कसे पसरतात
यू.एस. संरक्षण कॉन्ट्रॅक्टरच्या विकास प्रयोगशाळेतून रशियन बुद्धिमत्ता कार्यांपर्यंत मार्ग अद्याप पूर्णपणे समजला जात नाही. अनेक परिस्थिती संभव आहेत. कॉन्ट्रॅक्टर स्वतः लक्ष्य करणार्या साइबर घुसखोरीद्वारे साधने चोरली जाऊ शकतात - हा आपूर्ती साखळी हल्ला एक प्रकार ज्यास बुद्धिमत्ता संस्था पुरस्कृत करते. वैकल्पिकरित्या, साधने किंवा त्यांच्या अंतर्निहित असुरक्षितता माहिती मध्यस्थ दलालांद्वारे साझा केली जाऊ शकते ज्या exploits च्या ग्रे बाजारात कार्य करतात.
व्यावसायिक exploit बाजार हा एक वैश्विक इकोसिस्टम आहे जेथे असुरक्षितता संशोधक, दलाले आणि सरकारी ग्राहक आक्रमणकारक क्षमता व्यापार करतात. जरी संयुक्त राज्य आणि त्याचे सहयोगी प्रमुख भागीदार आहेत, बाजार त्या ग्राहकांना देखील सेवा देतो ज्यांना पाश्चात्य सरकारें बाहेर ठेवू इच्छितील. दलाले मूळ विकासकर्त्याचे ज्ञान किंवा संमती न घेता समान exploit अनेक ग्राहकांना विक्री करू शकतात.
तिसरी शक्यता स्वतंत्र पुनरावलोकन आहे - रशिया आणि संयुक्त राज्य यांमधील संशोधक स्वतंत्रपणे समान iOS असुरक्षितता शोधू आणि शोषण करू शकतात. तथापि, Google द्वारे ओळखलेल्या टूलकिट्सचे संरचनात्मक समानता समांतर विकासापेक्षा अधिक थेट संबंध सूचित करते.
संरक्षण कॉन्ट्रॅक्टर परिणाम
यू.एस. संरक्षण कॉन्ट्रॅक्टरचा समावेश एक जबाबदारीचे स्तर जोडतो जे मागील exploit प्रसार प्रकरणांमध्ये अभाव राहिला आहे. जेव्हा NSO Group सारख्या व्यावसायिक स्पायवेअर कंपन्या विदेशी सरकारांना विक्री करतात, तेव्हा हस्तांतरण कमीत कमी जाणूनबुजून असते, जरी विवादास्पद असले तरी. या प्रकरणात, कॉन्ट्रॅक्टरने स्पष्टपणे वैध राष्ट्रीय सुरक्षा हेतूंसाठी विकसित केलेल्या साधनांवर नियंत्रण गमावले असे दिसते.
आक्रमणकारक साइबर क्षमतांवर काम करणारे संरक्षण कॉन्ट्रॅक्टर कठोर सुरक्षा आवश्यकतांनुसार कार्य करतात, ज्यात वर्गीकृत नेटवर्क अवसंरचना, कार्मिक संवेदनशीलता आणि प्रायोजन सरकारी संस्थांकडून निरीक्षण यांचा समावेश असतो. कॉन्ट्रॅक्टर आणि त्याच्या सरकारी ग्राहकांद्वारे किंवा त्याच्या सरकारी ग्राहकांद्वारे दोहेरे तपास सुरू होऊ शकतील अशा गंभीर breach तपास करू शकते.
व्यापक प्रसार चुनौती
हा घटना आक्रमणकारक साइबर क्षेत्रातील मूलभूत तणाव हायलाइट करतो. सरकारें असे तर्क करतात की exploits विकसित करणे बुद्धिमत्ता संकलन, अतिरेकवाद विरोधी आणि सैन्य कार्यांसाठी आवश्यक आहे. परंतु विकसित केलेल्या प्रत्येक साधने संभाव्य प्रसार जोखीम दर्शवते. परमाणु शस्त्रांप्रमाणे, ज्यांना भारी भौतिक अवसंरचनेची आवश्यकता असते, साइबर साधने हे सॉफ्टवेअर आहेत - हे कॉपी केले जाऊ शकतात, चोरी केले जाऊ शकतात आणि जगभरात किमान अवसंरचनेसह तैनात केले जाऊ शकतात.
साइबर सुरक्षा समुदायाने exploit बाजारात अधिक पारदर्शकता आणि जबाबदारी यासाठी दीर्घकाळापासून वकालत केली आहे, ज्यात प्रभावित विक्रेत्यांकडे असुरक्षितेचे अनिवार्य प्रकटीकरण आणि असुरक्षित मानवाधिकार रेकॉर्ड असलेल्या सरकारांना आक्रमणकारक साधनांची विक्रय प्रतिबंध यांचा समावेश आहे. Wassenaar Arrangement, एक आंतरराष्ट्रीय निर्यात नियंत्रण व्यवस्था, पर्यवेक्षण तंत्रज्ञान कव्हर प्रावधान समाविष्ट करते, परंतु अंमलबजावणी असंगत राहते.
पुढे काय होते
Google ची प्रकटीकरण कॉंग्रेसी स्वारस्य पहाटे करू शकते, विशेषत: व्यावसायिक स्पायवेअर उद्योगच्या राष्ट्रीय सुरक्षा प्रभावासंबंधी आधीच चिंतित विधिमंडळी. हा शोध की यू.एस.-विकसित साधने सहयोगी लक्ष्यांविरुद्ध परिवर्तित केली जात आहेत हे आक्रमणकारक साइबर विकास आणि वितरणावर कठोर नियंत्रणांसाठी युक्तिवाद शक्तिशाली करू शकते. iPhone वापरकर्त्यांसाठी, तात्काळ सल्ला सुसंगत राहिल्ल्या असाधारण: उपकरणे सर्वशेष iOS आवृत्तीपर्यंत अद्यतन ठेवा, कारण Apple नियमितपणे हे साधने शोषण करणारे असुरक्षितता patch करते.
हा लेख TechCrunch द्वारे रिपोर्टिंगवर आधारित आहे. मूळ लेख वाचा.
