Get best of the week

सुरक्षा सप्ताह 10: आरएसए सम्मेलन और साइबर सुरक्षा जागरूकता

अगले साइबर स्पेस सम्मेलन RSA सम्मेलन 2020 सैन फ्रांसिस्को में पिछले सप्ताह आयोजित किया गया था, एक घटना जिसमें प्रौद्योगिकी की तुलना में बहुत अधिक व्यवसाय है। उद्योग की व्यावसायिक विशेषताएं तकनीकी लोगों की तुलना में कम महत्वपूर्ण नहीं हैं, हालांकि यह बातचीत कुछ प्रकार के विरोधाभासों के संकेत के तहत है: व्यवसाय विकास प्रबंधक अच्छा शब्द कहते हैं, और तकनीकी विशेषज्ञ ऊब जाते हैं। शब्दों का बोलना: यह कैसे आरएसए सम्मेलन के मुख्य विषय विकसित हुए हैं, पिछले पांच वर्षों में एकल सम्मेलन के आधार। में 2016 मुख्य विषय IoT सुरक्षा था, में 2017 - कृत्रिम बुद्धि, में 2018 - चांदी की गोलियों और साइबर रक्षा में सरल समाधान की कमी, में 2019 - प्रतिष्ठा की समस्या।

2020 में, आरएसए के अध्यक्षतकनीकी तौर पर कारोबारियों और व्यापारियों में फूट डालने के विषय को उठाते हुए , अप्रत्याशित रूप से वास्तविक समस्या की चर्चा में भव्य उद्घाटन को बदल दिया गया, हालांकि सामान्य शब्दों में: “हमारे मामलों का अंदाजा लगाया जाएगा कि उनके बारे में क्या कहानी बताई जाएगी। और हम चाहते हैं कि यह साइबर खतरों के सफल प्रतिरोध के बारे में एक कहानी हो, न कि साइबर पिंग पोंग के बारे में तकनीकी कहानियां। " वह है: आईटी-सुरक्षा का समुदाय बंद है, यह एक व्यक्ति के लिए समझ से बाहर है, और हमें इसे बदलने की आवश्यकता है। न केवल समस्याओं, बल्कि सफल समाधानों को भी साझा करें: "एक अभिजात्य से संस्कृति को एक खुले में सुधारें।"


सुंदर शब्द, लेकिन क्या हमें तकनीकियों से खुलेपन की उम्मीद करनी चाहिए - एक बड़ा सवाल। यह विशिष्ट लोगों की प्रकृति के बारे में नहीं है, बल्कि नौकरी की विशेषताओं के बारे में है, जिन्हें छोटे विवरणों पर अधिकतम एकाग्रता की आवश्यकता होती है, वही पिंग-पोंग। आईटी सुरक्षा में जीत दर्ज करने के लिए, आपको उन्हें उन शब्दों में समझाना होगा जो जनता के लिए समझ में आते हैं। कम से कम एक जीत पर विचार करने के लिए तैयार करें। यह हमेशा प्राप्त नहीं होता है, और कई उद्योग प्रतिभागियों के लिए यह कार्य प्राथमिकता से दूर है। कौन संस्कृति को एक नया प्रारूप देता है यह भी एक अच्छा सवाल है: सबसे अधिक बार वही गैर-तकनीकी प्रबंधन, जिसका प्रतिनिधि रोहित गाई है, वह इसमें लगा हुआ है। यह पता चला है कि जब वह आरएसए सम्मेलन के रोस्ट्रम से बदलाव की मांग करता है, तो क्या आवश्यकता स्वयं को संबोधित है? यह एक सम्मानजनक कार्य है। साइबर सुरक्षा को स्पष्ट करेंअधिक सटीक रूप से, ज्ञान के इस क्षेत्र की यथार्थवादी धारणा में मदद करना आवश्यक है। अन्यथा, ऐसी परिस्थितियां हैं जो हम अक्सर हाल ही में देखते हैं: जब साइबर हमले और साइबर रक्षा पर वास्तविक स्थिति से पूर्ण अलगाव में राजनीतिक विमान पर चर्चा की जाती है।

हम संक्षेप में RSA सम्मेलन 2020 में दिलचस्प भाषणों पर चलते हैं। क्रिप्टोग्राफर ब्रूस श्नेयर ने खुलेपन का विषय जारी रखा, लेकिन एक अलग कोण से: वह "हैकिंग संस्कृति" (इस मामले में, गैर-मानक तरीकों का उपयोग करके समस्याओं को हल करने की क्षमता) पेश करने का सुझाव देता है । उदाहरण के लिए, कानूनन में या कर नीति में। अन्यथा, सॉफ़्टवेयर में भेद्यताएँ सफलतापूर्वक मिल जाती हैं और बंद हो जाती हैं, और कर कोड में अंतराल वर्षों तक बनी रहती हैं।


शोधकर्ता पैट्रिक वार्डले ने साइबर अपराधियों के पक्ष में रिवर्स इंजीनियरिंग मैलवेयर के मामलों के बारे में बात की। Apple कंप्यूटरों पर साइबर हमलों का अध्ययन करते हुए, उन्होंने ऐसे उदाहरण पाए, जहां हमलावर किसी अन्य व्यक्ति द्वारा वितरित किए गए दुर्भावनापूर्ण कोड लेते हैं और इसे अपनी आवश्यकताओं के अनुसार अनुकूलित करते हैं। चेकमारक्स प्रतिनिधियों ने एक स्मार्ट रोबोट वैक्यूम क्लीनर में कमजोरियों के बारे में ( समाचार , अनुसंधान ) बताया । वैक्यूम क्लीनर एक वीडियो कैमरा से लैस है, इसलिए एक सफल हैकिंग न केवल डिवाइस के मालिकों का निरीक्षण करने की अनुमति देता है, बल्कि यदि आवश्यक हो तो अवलोकन बिंदु को बदलने के लिए भी। एक अन्य IoT अध्ययन एक बच्चे की निगरानी के लिए मॉनिटर में कमजोरियों पर केंद्रित है

ESET में Kr00k भेद्यता ( समाचार , सूचना मिलीवाई-फाई मॉड्यूल में कंपनी की वेबसाइट ), जो उपकरणों के बीच संचारित यातायात को आंशिक रूप से कम कर देती है। ब्रॉडकॉम और सरू द्वारा निर्मित मॉड्यूल का उपयोग किया जाता है, जिनका उपयोग मोबाइल फोन और लैपटॉप और राउटर दोनों में किया जाता है। अंत में, क्रिप्टोग्राफर्स का पैनल (पुराने दिनों का एक रूढ़िवाद जब RSA सम्मेलन एन्क्रिप्शन विशेषज्ञों के बीच एक आला था) फिर से ब्लॉकचेन के माध्यम से चला गया। क्रिप्टोग्राफ़र प्रीफ़िक्स "क्रिप्टो" को असाइन करने के लिए क्रिप्टोक्यूरेंसी उद्योग को पसंद नहीं करते हैं, लेकिन इस मामले में यह चुनावों के लिए ब्लॉकचेन का उपयोग करने का सवाल था। एमआईटी रोनाल्ड रिवेस्ट के प्रतिनिधि ने अवसरों के एक निश्चित विश्लेषण के परिणाम प्रस्तुत किए, जिससे निष्कर्ष निकला कि पेपर मतपत्र अधिक विश्वसनीय हैं। यहां तक ​​कि ब्लॉकचेन का उपयोग करते हुए, वोट दर्ज करने के लिए एक सॉफ्टवेयर सिस्टम बनाना मुश्किल है जिस पर भरोसा किया जा सकता है।

और क्या हुआ:


Zyxel NAS और फ़ायरवॉल में महत्वपूर्ण शून्य दिवस भेद्यता । काले बाजार में खुली बिक्री में शोषण का पता चला था। बग आपको डिवाइस पर मनमाने कोड को निष्पादित करने की अनुमति देता है, जो परिभाषा से नेटवर्क से सुलभ होना चाहिए, इस पर पूर्ण नियंत्रण प्राप्त करना चाहिए। पैच को बड़ी संख्या में ज़ीक्सेल उपकरणों के लिए जारी किया गया है, लेकिन सभी के लिए नहीं - कुछ कमजोर NAS का अब समर्थन नहीं किया जाता है।

ThreatFabric ने Cerberus Android ट्रोजन का एक नया संस्करण खोजा है , जो Google प्रमाणक एप्लिकेशन से दो-कारक प्रमाणीकरण कोड निकालने में सक्षम है।

त्रुटिGoogle वेतन भुगतान सेवा के साथ पेपैल वॉलेट को एकीकृत करने में, इसने मालिक के ज्ञान के बिना धन की चोरी करने के लिए थोड़े समय के लिए अनुमति दी। कोई विवरण नहीं है, लेकिन माना जाता है कि हमलावरों को वर्चुअल पेमेंट कार्ड के डेटा को निकालने का एक तरीका मिला, जो कि उस सेवा से जुड़ा होता है जब Google पे से जुड़ा होता है।

एक जर्मन शोधकर्ता ने एक "दुर्भावनापूर्ण" iOS एप्लिकेशन का खुलासा किया जो फोन पर सभी कार्यक्रमों के लिए उपलब्ध क्लिपबोर्ड की लगातार निगरानी करता है। शोधकर्ता तर्क: यदि क्रेडिट कार्ड नंबर बफर में कॉपी किया जाता है, तो एक हमलावर इसे चुरा सकता है। Apple प्रतिक्रिया: हाँ, लेकिन यह एक क्लिपबोर्ड है। यह सभी अनुप्रयोगों के लिए उपलब्ध होना चाहिए, अन्यथा इसका कोई मतलब नहीं है।

More articles:


All Articles