विषयसूची:
- सफेद टोपी और काली टोपी
- पिन क्रैक करने में मदद चाहिए?
- कैसे एक ईंट में एक सेब बारी करने के लिए
- क्या हैकर्स एक मूल्यवान सेवा प्रदान करते हैं?
- सुरक्षा शोधकर्ताओं और हैकर्स के बीच चल रहे द्वंद्वयुद्ध
जब 2011 में कहानी टूट गई कि शोधकर्ताओं ने घातक एच 5 एन 1 वायरस को संशोधित करने के लिए और अधिक संचरित किया था और अपने निष्कर्षों को प्रकाशित करना चाहते थे, तो हम में से ज्यादातर उचित रूप से चिंतित थे। हालांकि वायरस को अनुसंधान के एक भाग के रूप में संशोधित किया गया था जो यह निर्धारित करने में मदद करने के लिए डिज़ाइन किया गया था कि वायरस के मानव संचरण को कम करने में क्या मदद मिल सकती है, आलोचक मदद नहीं कर सकते हैं, लेकिन पूछें: यदि कोई इस जानकारी का उपयोग इस घातक वायरस का उत्पादन और वितरित करने के लिए करता है तो क्या होगा?
यद्यपि संभावित रूप से जीवन-धमकी नहीं है, कंप्यूटर सुरक्षा के क्षेत्र में एक समान गतिशील मौजूद है। सुरक्षा शोधकर्ता, कुछ शैक्षणिक और कुछ शौकिया, सुरक्षा प्रणालियों, ऑपरेटिंग सिस्टम और अनुप्रयोगों में खामियों की खोज करते हैं। जब उन्हें इस तरह का दोष लगता है, तो वे आमतौर पर अपने निष्कर्षों को सार्वजनिक करते हैं, अक्सर इस जानकारी के साथ कि कैसे दोष का फायदा उठाया जा सकता है। कुछ मामलों में, यह जानकारी वास्तव में दुर्भावनापूर्ण हैकर्स को अपने हमलों की योजना बनाने और मार्शल करने में मदद कर सकती है।
सफेद टोपी और काली टोपी
हैकर्स को आमतौर पर दो मूल श्रेणियों में बांटा जाता है: काली टोपी और सफेद टोपी। ब्लैक हैट हैकर्स "बुरे लोग" हैं, जो सुरक्षा कमजोरियों की पहचान करने का प्रयास करते हैं ताकि वे वेबसाइटों पर जानकारी चोरी कर सकें या हमले शुरू कर सकें। व्हाइट हैट हैकर्स सुरक्षा कमजोरियों की भी खोज करते हैं, लेकिन वे या तो सॉफ़्टवेयर विक्रेता को सूचित करते हैं या अपने निष्कर्षों को सार्वजनिक करते हैं ताकि विक्रेता को भेद्यता को संबोधित करने के लिए मजबूर किया जा सके। व्हाइट हैट हैकर्स विश्वविद्यालय के शिक्षाविदों से लेकर किशोर तंतुओं के लिए सुरक्षा अनुसंधान कर सकते हैं जो जिज्ञासा से प्रेरित हैं और पेशेवरों के खिलाफ अपने कौशल को गड्ढे में डालने की इच्छा रखते हैं।
जब सफेद टोपी हैकर द्वारा सुरक्षा दोष को सार्वजनिक किया जाता है, तो यह अक्सर प्रूफ-ऑफ-कॉन्सेप्ट कोड के साथ होता है जो दर्शाता है कि कैसे दोष का फायदा उठाया जा सकता है। क्योंकि ब्लैक हैट हैकर्स और व्हाइट हैट हैकर्स एक ही वेबसाइट पर लगातार आते हैं और एक ही साहित्य पढ़ते हैं, ब्लैक हैट हैकर्स अक्सर इस जानकारी तक पहुंच पाते हैं, इससे पहले कि सॉफ्टवेयर विक्रेता सुरक्षा छेद को बंद कर सके। अध्ययनों से पता चला है कि हैकिंग के कारनामे सुरक्षा दोष के खुलासे के 24 घंटों के भीतर अक्सर उपलब्ध होते हैं।
पिन क्रैक करने में मदद चाहिए?
जानकारी का एक अन्य स्रोत सफेद टोपी शिक्षाविदों द्वारा प्रकाशित कंप्यूटर सुरक्षा शोध पत्र है। यद्यपि अकादमिक पत्रिकाएं और शोध पत्र शायद औसत हैकर के स्वाद के लिए नहीं हैं, कुछ हैकर्स (रूस और चीन में संभावित खतरनाक लोगों सहित) पचाने और शोध सामग्री का उपयोग कर सकते हैं।
2003 में, कैम्ब्रिज विश्वविद्यालय के दो शोधकर्ताओं ने व्यक्तिगत पहचान संख्या (पिन) का अनुमान लगाने के लिए एक विधि की रूपरेखा प्रकाशित की, जो कई हैकरों का उपयोग करने वाली क्रूर बल तकनीक पर बहुत सुधार करेगी। इस पत्र में एन्क्रिप्टेड पिन उत्पन्न करने के लिए उपयोग किए जाने वाले हार्डवेयर सुरक्षा मॉड्यूल (HSM) के बारे में भी जानकारी थी।
2006 में, इजरायल के शोधकर्ताओं ने हमले के एक अलग तरीके को रेखांकित करते हुए एक पेपर प्रकाशित किया जिसमें एक अंदरूनी सूत्र की सहायता की आवश्यकता थी। इसके तुरंत बाद, एडिनबर्ग विश्वविद्यालय के एक सुरक्षा शोधकर्ता ग्राहम स्टील, जिन्होंने उसी वर्ष पिन ब्लॉक के हमलों का विश्लेषण प्रकाशित किया, ने रूसी ईमेल प्राप्त करना शुरू कर दिया कि क्या वे पिन को क्रैक करने के बारे में जानकारी प्रदान कर सकते हैं।
2008 में, हैकर्स के एक समूह को पिन नंबर की चोरी और डिक्रिप्टिंग ब्लॉक के लिए प्रेरित किया गया था। अदालत में दायर हलफनामे में कहा गया है कि आरोपी हैकर्स को "एन्क्रिप्टेड पिन नंबरों को डिक्रिप्ट करने में आपराधिक सहयोगियों से तकनीकी सहायता मिली थी।"
क्या उन "आपराधिक सहयोगियों" ने एन्क्रिप्टेड पिनों को चुराने और डिक्रिप्ट करने में वसीयत करने में मदद करने के लिए मौजूदा शैक्षणिक अनुसंधान का उपयोग किया है? क्या वे सुरक्षा शोध पत्रों की सहायता के बिना आवश्यक जानकारी प्राप्त कर पाएंगे? (अधिक हैकर ट्रिक्स के लिए, 7 डरपोक तरीके हैकर्स आपका फेसबुक पासवर्ड प्राप्त कर सकते हैं।)
कैसे एक ईंट में एक सेब बारी करने के लिए
Apple लैपटॉप की बैटरी में एक एम्बेडेड चिप होती है जो इसे अन्य घटकों और ऑपरेटिंग सिस्टम के साथ मिलकर काम करने में सक्षम बनाती है। 2011 में एप्पल उत्पादों में विशेषज्ञता वाले एक सुरक्षा शोधकर्ता चार्ली मिलर ने सोचा कि अगर वह बैटरी चिप तक पहुंच प्राप्त कर सकता है तो वह क्या कहर बरपा सकता है।
प्राप्त करना काफी सरल साबित हुआ, क्योंकि मिलर डिफ़ॉल्ट पासवर्ड का पता लगाने में सक्षम था जिसने चिप को पूर्ण एक्सेस मोड में डाल दिया। इसने उन्हें बैटरी को निष्क्रिय करने में सक्षम किया (कभी-कभी "ईंटिंग" के रूप में संदर्भित किया जाता है, शायद इसलिए कि एक ईंट वाली बैटरी एक ईंट के रूप में कंप्यूटर के लिए उपयोगी है)। मिलर ने सिद्ध किया कि एक हैकर बैटरी चिप पर मैलवेयर लगाने के लिए पूर्ण एक्सेस मोड का भी उपयोग कर सकता है।
क्या हैकर्स को अंततः मिलर के काम के बिना Apple लैपटॉप में यह अस्पष्ट कमजोरी मिली होगी? ऐसा लगता है कि संभावना नहीं है, लेकिन हमेशा एक मौका है कि एक दुर्भावनापूर्ण हैकर उस पर भी ठोकर खा सकता है।
बाद के वर्ष में मिलर ने आईपैड और आईफ़ोन के लिए ऐप्पल के आईओएस ऑपरेटिंग सिस्टम में एक बग को उजागर किया जो एक हैकर को दुर्भावनापूर्ण कोड चलाने में सक्षम कर सकता था। फिर उसने बग प्रदर्शित करने के लिए एक हानिरहित प्रूफ-ऑफ-कांसेप्ट एप्लिकेशन बनाया और इसे स्टॉक टिकर एप्लिकेशन के रूप में प्रच्छन्न करके Apple स्टोर के लिए अनुमोदित किया।
ऐप्पल को आश्चर्य नहीं हुआ, यह कहते हुए कि मिलर ने ऐप्पल डेवलपर समझौते की शर्तों का उल्लंघन किया था। Apple ने अपने डेवलपर कार्यक्रमों से मिलर को बाहर कर दिया।
क्या हैकर्स एक मूल्यवान सेवा प्रदान करते हैं?
यद्यपि वे जानकारी प्रदान कर सकते हैं जो दुर्भावनापूर्ण हैकर्स के लिए उपयोग की जा सकती हैं, सफ़ेद टोपी हैकर्स भी सॉफ़्टवेयर विक्रेताओं के लिए अमूल्य हैं। उदाहरण के लिए, चार्ली मिलर ने अपने डेवलपर के लाइसेंस को समाप्त करने से पहले ऐप्पल को दर्जनों बग के बारे में सचेत किया था। भले ही एक सुरक्षा भेद्यता के बारे में जानकारी प्रकाशित करना अस्थायी रूप से हमला करने की प्रणाली को उजागर कर सकता है, सार्वजनिक प्रकटीकरण संभवतः एक दुर्भावनापूर्ण हैकर को भेद्यता की खोज करने और विक्रेता के लिए इसे अनपेक्षित रूप से शोषण करने के लिए बेहतर है।
सुरक्षा पेशेवरों ने यहां तक कि ब्लैक हैट हैकर्स के महत्व को भी माना है। हैकिंग के बारे में प्रस्तुतियों को सुनने के लिए हैकर्स और क्रैकर्स के साथ DEFCON, सुरक्षा शोधकर्ताओं, शिक्षाविदों और कानून प्रवर्तन अधिकारियों के रूप में ब्लैक हैट सम्मेलनों में। कंप्यूटर विज्ञान शिक्षाविदों ने हैकर के दृष्टिकोण से मूल्यवान अंतर्दृष्टि प्राप्त की है और उनका उपयोग अपने पाठ्यक्रम में सुधार करने के लिए किया है। कई कंपनियों ने अपने नेटवर्क और सिस्टम का परीक्षण करने के लिए सिक्योरिटी कंसल्टेंट के रूप में (संभवतया) हैकर्स में सुधार किया है। (हैकर्स के बारे में अधिक जानने के लिए, 5 कारण देखें जो आपको हैकर्स के लिए आभारी होना चाहिए।)
सुरक्षा शोधकर्ताओं और हैकर्स के बीच चल रहे द्वंद्वयुद्ध
क्या सुरक्षा अनुसंधान अक्सर अनजाने में हैकर्स को उपयोगी जानकारी प्रदान करते हैं? हाँ। हालांकि, हैकर्स द्वारा किए गए शोध से शिक्षाविदों और सुरक्षा प्रणालियों के डिजाइनरों को उपयोगी जानकारी मिलती है। इंटरनेट की स्वतंत्रता द्वारा संचालित, हैकर्स और सुरक्षा शोधकर्ताओं के रचनात्मक दिमागों को एक निरंतर द्वंद्व और एक गहरी अंतरनिर्भरता दोनों में बंद रहने की संभावना है।
