Press "Enter" to skip to content

ज़ीरो-डे एक्सप्लॉइट्स: पेशेवरों के लिए एक धोखा पत्र

शून्य-दिन के कारनामे – या हैकर-बोली में 0 दिन – हमलावरों को चुपचाप किसी नेटवर्क या सॉफ़्टवेयर तक पहुंचने की अनुमति देते हैं। उनकी कमी और ऐप्पल या बैंकों जैसे उच्च-मूल्य वाले लक्ष्यों से जुड़े उच्च दांव के कारण, ये बग अक्सर डार्क वेब पर हजारों डॉलर में बेचे जाते हैं।

यह चीट शीट नियमित रूप से अपडेट की जाती है जीरो-डे एक्सप्लॉइट्स कैसे काम करते हैं, गुप्त कमजोरियाँ किसे प्रभावित करती हैं और कोड एक्सप्लॉइट्स और हैकिंग के बारे में अधिक कैसे जानें, इसके बुनियादी सिद्धांतों के बारे में नवीनतम जानकारी।

देखें: टेकरिपब्लिक की चीट शीट और स्मार्ट व्यक्ति गाइड का अन्वेषण करें।

पर जाएं:

शून्य-दिन क्या हैं कारनामे? शून्य दिन क्यों मायने रखते हैं? शून्य कौन करता है -दिन के कारनामे प्रभावित करते हैं? शून्य-दिन के कारनामे कब हो रहे हैं? मैं शून्य-दिन के कारनामों के बारे में और अधिक कैसे जान सकता हूं? शून्य-दिवस क्या हैं कारनामे? जीरो-डे कारनामे कोड की कमजोरियां और खामियां हैं जो सॉफ्टवेयर विक्रेताओं, सुरक्षा शोधकर्ताओं और जनता के लिए अज्ञात हैं। सुप्रसिद्ध शून्य-दिनों के उदाहरण हैं स्टक्सनेट, MOVEit ट्रांसफर भेद्यता और क्रोम ब्राउज़र और एंड्रॉइड को लक्षित करने वाले शून्य-दिन के कारनामे।

शब्द “शून्य दिवस” ​​एक सॉफ्टवेयर के लिए शेष समय से उत्पन्न हुआ है विक्रेता को बग्गी कोड को पैच करना होगा। प्रतिक्रिया देने के लिए शून्य दिन – या 0 घंटे – के साथ, डेवलपर्स हमले के प्रति संवेदनशील होते हैं और उनके पास कोड को पैच करने और छेद को ब्लॉक करने का समय नहीं होता है। एक बग हैकर्स को आंतरिक नेटवर्क का पता लगाने और मैप करने, मूल्यवान डेटा को बाहर निकालने और अन्य आक्रमण वैक्टर ढूंढने के लिए पर्याप्त पहुंच प्रदान कर सकता है।

देखें: नवीनतम खोजें 2015 में तकनीकी नेताओं के लिए साइबर सुरक्षा भविष्यवाणियां।

शून्य-दिन के कारनामे मैलवेयर के लिए पहुंच बिंदु हैं और कई रूप ले सकते हैं: स्टक्सनेट, सबसे प्रसिद्ध शून्य-दिवसीय शोषण, ने प्रोग्रामयोग्य तर्क नियंत्रकों को लक्षित किया जो ईरान के परमाणु कार्यक्रम द्वारा उपयोग किए जाने वाले सेंट्रीफ्यूज को विनियमित करते थे। शून्य-दिवसीय SQL इंजेक्शन MoveIT भेद्यता ने उत्तरी अमेरिका में संगठनों को लक्षित किया। और एक वाणिज्यिक निगरानी कंपनी सरकार समर्थित अभिनेताओं को शून्य-दिन के कारनामे बेचती है जो उन्हें एंड्रॉइड डिवाइस पर लक्षित करते हैं।

क्योंकि शून्य-दिन स्वाभाविक रूप से उपयोगकर्ता और कॉर्पोरेट गोपनीयता का उल्लंघन करते हैं, और कुछ मामलों में कानून, इन कारनामों के उपयोग पर कानून प्रवर्तन, हैकर्स और डेवलपर्स द्वारा गर्मागर्म बहस चल रही है। बाज़ार में महत्वपूर्ण कारनामों की संख्या को कम करने के प्रयास में, Google और अन्य बड़ी तकनीकी कंपनियाँ बग बाउंटी कार्यक्रम पेश करती हैं जो खामियों का पता लगाने, दस्तावेजीकरण करने और खुलासा करने वाले व्यक्तियों को नकद प्रोत्साहन प्रदान करती हैं।

ग्रे और सफेद हैट हैकर्स, और कई तकनीकी कंपनियां, रेन फॉरेस्ट पपी (आरएफपी) नीति का पालन करती हैं, अनौपचारिक मार्गदर्शन जो निर्धारित करता है कि विक्रेताओं के पास जनता के सामने बग का खुलासा करने से पहले प्रतिक्रिया देने के लिए कम से कम पांच कार्य दिवस होने चाहिए। बेईमान हैकरों के साथ जुड़ाव से बचने के लिए, कई निजी साइबर सुरक्षा फर्म, हैकिंग टीमें और सरकारी संगठन आरएफपी और इसी तरह की नीतियों का पालन करते हैं।

शून्य दिन क्यों मायने रखते हैं? जीरो-डे कारनामों के परिणामस्वरूप अक्सर भौतिक क्षति होती है, कंपनियों को लाखों डॉलर का नुकसान होता है और उपभोक्ताओं को साइबर खतरों का सामना करना पड़ता है।

जहां डेवलपर्स और विक्रेता जोखिम देखते हैं, उद्यमशील हैकर और अन्य अपराधी अवसर देखते हैं। शून्य-दिन मायने रखते हैं क्योंकि वे जनता, व्यवसाय और सरकार को खतरे में डालते हैं, और क्योंकि वे डार्क वेब पर काफी बड़ी रकम के लायक हैं।

देखें: टेकरिपब्लिक प्रीमियम की इस सुरक्षा जागरूकता और प्रशिक्षण नीति के साथ अपने संगठन को तैयार रखें।

में पहचाना गया 2010 सुरक्षा शोधकर्ता सर्गेई उलासेन द्वारा, स्टक्सनेट वर्म कथित तौर पर इजरायली और अमेरिकी खुफिया सेवाओं के बीच साझेदारी में विकसित किया गया था और ईरान की नटानज़ सुविधा को लक्षित किया गया था। कृमि ने सीमेंस औद्योगिक नियंत्रण प्रणालियों पर शून्य-दिनों का शोषण किया और सेंट्रीफ्यूज को उच्च गति पर घूमने और टूटने का कारण बना दिया। अमेरिकी साइबर-विशेषज्ञों का अनुमान है कि साइबर हमले ने ईरानी परमाणु महत्वाकांक्षा को तीन से पांच साल पीछे धकेल दिया।

स्टक्सनेट सबसे प्रसिद्ध शून्य-दिवस बना हुआ है और इसने आधुनिक साइबरयुद्ध में एक नया अध्याय खोला है जो एक डायस्टोपियन भविष्य की भविष्यवाणी करता है जहां भौतिक बुनियादी ढांचे के खिलाफ साइबर हमले से लोगों की जान जाती है और अरबों का नुकसान होता है। TechRepublic के साथ साक्षात्कार। “समय के साथ पैच लागू किए जा सकते हैं, लेकिन अक्सर गंभीर आर्थिक क्षति होती है।”

सॉन्डर्स ने जारी रखा: “अज्ञात अज्ञात [हार्डवेयर] आपूर्ति श्रृंखला के लिए खतरा है। एक मोबाइल डिवाइस में डाले गए एक सस्ते घटक या चिप की कल्पना करें जो प्रत्येक उपभोक्ता के फोन से डेटा को बाहर निकालने के लिए एक राष्ट्र राज्य के लिए एक पिछला दरवाजा बनाता है। इन खतरों का पता लगाना बहुत मुश्किल है क्योंकि ये मानक कोड में अंतर्निहित हो सकते हैं। हमारे सर्वश्रेष्ठ सुरक्षा विशेषज्ञों को हमारे सबसे बड़े निर्माताओं, दूरसंचार, बिजली संयंत्रों और अन्य भौतिक बुनियादी ढांचे की सहायता करने की आवश्यकता है जो कोड पर निर्भर हैं। ,” सॉन्डर्स ने कहा।

शून्य-दिन के कारनामे किसे प्रभावित करते हैं? जनता, छोटे और मध्यम आकार के व्यवसायों से लेकर बड़े उद्यमों, कार्यकर्ताओं और पत्रकारों, गैर सरकारी संगठनों और गैर-लाभकारी संस्थाओं और सरकारी संगठनों तक की कंपनियां शून्य-दिनों से होने वाले संभावित नुकसान के प्रति संवेदनशील हैं।

सभी कोड में बग हैं . शून्य-दिन बग्स में शोषण योग्य होते हैं और स्वाभाविक रूप से सॉफ़्टवेयर के साथ जुड़े होते हैं। जैसे-जैसे मोबाइल और IoT उपकरणों का प्रसार हो रहा है, वैसे-वैसे सॉफ़्टवेयर से जुड़ा जोखिम भी बढ़ रहा है जो महत्वपूर्ण भौतिक बुनियादी ढांचे को नियंत्रित करता है, वित्तीय प्रणालियों की सुरक्षा करता है और प्रतिदिन अरबों उपभोक्ताओं द्वारा उपयोग किया जाता है।

देखें : शून्य-दिन के हमलों के बारे में और जानें और वे पारंपरिक सुरक्षा मॉडल के बारे में क्या कहते हैं।

“एसएमबी [शून्य-दिन] हमलों के प्रति संवेदनशील हैं क्योंकि वे अक्सर देखे जाते हैं एक बड़े पारिस्थितिकी तंत्र के लिए एक माध्यम के रूप में,” सॉन्डर्स ने कहा। उजागर और असुरक्षित. अक्सर, एसएमबी के पास परिष्कृत सुरक्षा उपाय नहीं होते हैं। उन्हें समाधान प्रदाताओं पर भरोसा करने और ऐसे लोगों को शामिल करने की ज़रूरत है जो उनके डेटा की सुरक्षा में मदद करें। स्टार्टअप अक्सर चुराई गई बौद्धिक संपदा का लक्ष्य होते हैं क्योंकि उन्हें अत्याधुनिक और नवोन्मेषी माना जाता है। “मैं उस साइट का नाम नहीं बता सकता जिसका मैं उपयोग करता हूं, लेकिन मुझे लगता है कि अधिकांश हैकर उसी [साइट] का उपयोग करेंगे,” कपुस्तकी के नाम से जाने जाने वाले रूसी हैकर ने कहा।

“मैं राजनीतिक कारणों से हैक करता हूं,” उन्होंने टूटी-फूटी अंग्रेजी में अनुवादित कहा, “लेकिन मैं कभी-कभी हैक बेचकर पैसे कमाता हूं।” वह ज़ीरोडियम, या दर्जनों बग बाउंटी और शून्य-दिन अधिग्रहण बाज़ारों में से एक का उपयोग कर सकता है जो $100 से शुरू होने वाले शून्य-दिन के कारनामे बेचते हैं , से $100, और ऊपर।

फ्रांसीसी हैकर x0rz ने कहा कि यह सच है कि “ए भेद्यता को $100,2010 में बेचा जा सकता है ,” लेकिन ओवरहेड लागत ऊंची बनी हुई है ”क्योंकि रिवर्स इंजीनियर और शोषण योग्य बग ढूंढने में एक या दो साल लग सकते हैं।”

”यह कठिन काम है,” उन्होंने कहा। इसका मतलब है कि छोटी हैकिंग टीमों और व्यक्तिगत हैकर्स द्वारा किसी बग का पता लगाने की संभावना नहीं है।

देखें: साइबर सुरक्षा पेशेवरों को अपने संगठनों की सुरक्षा में मदद करने के लिए इन युक्तियों का पता लगाएं .

“शून्य-दिन उन संस्थाओं से आते हैं जिनके पास [बग्स] को खोजने के लिए समय और ऊर्जा हो सकती है,” उन्होंने कहा। “हाँ, शून्य-दिन काफी खतरनाक हो सकते हैं। और कंपनियों के लिए महंगा है. लेकिन वे लगभग हमेशा सरकार से आते हैं, [व्यक्तिगत हैकर्स] से नहीं।”

शून्य-दिवसीय कारनामे कब हो रहे हैं? शून्य-दिन सभी प्रमुख उद्यम कंपनियों और विशेष रूप से Google और Apple जैसी बड़ी सॉफ्टवेयर कंपनियों के लिए एक शीर्ष चिंता का विषय है। जीरो-डे हैकर्स के लिए एक लाभ इंजन है और सरकारों को अन्य सरकारों को हैक करने में मदद करता है।

इन 2015, जीरो-डे सुरक्षा फर्म सिमेंटेक के अनुसार, प्रति सप्ताह लगभग एक की दर से खोज की गई और हर साल खोज की दर दोगुनी हो गई। फायरआई सिक्योरिटी के एक श्वेत पत्र ने सिमेंटेक अध्ययन की पुष्टि की, जिसमें अनुमान लगाया गया कि प्रत्येक वर्ष शून्य-दिन लगभग 115% बढ़ गए हैं।

देखें: जानें कि कैसे एथिकल हैकर्स साइबर सुरक्षा हमले की सतह को छोटा करने में मदद कर रहे हैं।

मानव की उच्च ओवरहेड लागत के कारण सॉन्डर्स ने कहा, शून्य-दिनों की खोज से उम्मीद है कि कृत्रिम बुद्धिमत्ता और मशीन लर्निंग जल्द ही शोषण परिदृश्य को बदल देगी। उन्होंने कहा, “यदि आप कृत्रिम बुद्धिमत्ता और अन्य नवाचारों के बारे में सोचते हैं, तो आपको पता चलता है कि बड़े पैमाने पर साइबर युद्ध मानवीय हस्तक्षेप के बिना खेला जा सकता है।” प्रकृति में आक्रामक और रक्षात्मक दोनों? कल्पना करें कि रोबोटों की एक स्व-उपचार सेना कृत्रिम बुद्धिमत्ता का उपयोग करके उन्हें रोकने के लिए डिज़ाइन किए गए कोड को त्याग देती है, और फिर अपने आक्रामक हमलों को फिर से शुरू करती है। यदि आप स्वयं को वहां जाने देते हैं, तो आप देख सकते हैं कि साइबर युद्ध नया शीत युद्ध है। -दिन के कारनामे? आधुनिक शून्य-दिन के कारनामे के बारे में जानने का सबसे अच्छा तरीका TechRepublic जैसी विश्वसनीय साइटों पर समसामयिक समाचार पढ़ना है। जीरो-डे बग के इतिहास के बारे में जानने के लिए, किम जेट्टर की आधिकारिक पुस्तक “काउंटडाउन टू जीरो डे” पढ़ें।

जीरो-डे इकोसिस्टम तेजी से विकसित हो रहा है और हर बाजार को छू रहा है। व्यावसायिक प्रौद्योगिकी से लेकर उपभोक्ता और कठिन समाचार तक, TechRepublic नवीनतम कारनामों पर अप-टू-द-सेकंड अपडेट प्रदान करता है।

आपको शून्य-दिनों के इतिहास और आर्थिक ताकतों को बेहतर ढंग से समझने में मदद करने के लिए सरकारों और हैकरों को प्रेरित करते हुए, फ्रेड कपलान की “डार्क टेरिटरी” साइबरयुद्ध पारिस्थितिकी तंत्र के अंदर शून्य-दिन के कारनामों की पड़ताल करती है। इसके अतिरिक्त, स्टक्सनेट के बारे में एलेक्स गिब्नी की डॉक्यूमेंट्री सभी साइबर सुरक्षा पेशेवरों के लिए देखना आवश्यक है।

अधिक समर्पित प्रशिक्षण और प्रमाणन के लिए, संपूर्ण एथिकल हैकिंग बूटकैंप देखें और 2023 TechRepublic अकादमी से पूर्ण साइबर सुरक्षा एथिकल हैकिंग प्रमाणन बंडल।

Be First to Comment

Leave a Reply

Your email address will not be published. Required fields are marked *