EDWARD SNOWDEN के 3 बड़े खुलासे: ZERO-DAY EXPLOIT दुनिया का सबसे खतरनाक CYBER हथियार?
MagnatesMedia1.8M subscribersक्या आपको भी कभी लगा है कि कोई आपकी webcam से आपको देख रहा है? या आपके password protected files और messages उतने private नहीं हैं जितने आपको लगते हैं? जैसे-जैसे हमारी जिंदगी technology से जुड़ती जा रही है, क्या हमने कभी इसके risks के बारे में सोचा है? आज हम बात करेंगे एक ऐसे ultra राज़ underground market की, जो system की गलतियों का फायदा उठाता है। इस market में hackers, terrorists, dictators और यहां तक कि आपकी अपनी सरकार से भी लाखों dollars कमाते हैं। ये एक ऐसा खतरनाक खेल है, जिसे समझना बहुत ज़रूरी है।
जब तक vendor को पता नहीं चलता और वो update नहीं देता, तब तक हर कोई vulnerable होता है। ये किसी भी hacker के लिए सबसे powerful साधन है। ये दुनिया के किसी भी system में backdoor की तरह काम कर सकता है। मिसाल के तौर पर, Apple के iOS में Zero-Day किसी को भी iPhone में remotely घुसने और बिना पता लगे हर file, app, photo देखने की इजाज़त दे सकता है। Zero-Day exploit के खिलाफ कोई protection नहीं होती, कोई antivirus भी मदद नहीं करेगा।
इसे detect करने में महीनों या सालों लग सकते हैं, मतलब उससे पहले ही बड़ा damage हो सकता है। एक hacker दुनिया की किसी भी company या system में घुस सकता है, चाहे वो military base हो, chemical plant हो या electricity grid। ये इतने powerful होते हैं कि सही buyer लाखों dollars pay करता है।
<h2>Zero-Day Market: Hackers कैसे बने 'Merchants of Death'?</h2> ये खेल 80s और 90s में शुरू हुआ, जब hackers software में bugs ढूंढते थे। वे Microsoft जैसी tech companies को flaws बताते थे, लेकिन companies उन्हें nuisance मानती थीं और legal action की धमकी देती थीं। इस reaction से कई white hat hackers, black hat में बदल गए।जब companies ने बात नहीं सुनी, तो hackers ने bugs को publicly online साझा करो करना शुरू कर दिया। 2003 में, ID Defense नाम की company ने hackers को vulnerabilities ढूंढने के लिए pay करना शुरू किया। ये bugs vendors को fix करने के लिए दिए जाते थे। यहीं से Zero-Day market का जन्म हुआ।
लेकिन जल्द ही government agency contractors और उनके intermediaries ने hackers को ज़्यादा prices offer करना शुरू कर दिया। एक exploit के लिए लाखों dollars मिलते थे, लेकिन शर्त थी पूरी silence। क्योंकि Zero-Day तभी valuable होता है जब कोई और इसके बारे में न जानता हो। अगर vendor security hole fix कर देता है, तो hacker की access खत्म हो जाती है। इसलिए secrecy बहुत ज़रूरी थी।
Hackers को अक्सर पता नहीं होता था कि वे किसे बेच रहे हैं या Zero-Day का इस्तेमाल कैसे होगा। हो सकता है कि exploit आपकी अपनी सरकार को बेचा जाए जो terrorists पर spy करेगी, लेकिन असल में, इसे एक rogue nation state को बेचा जा सकता है जो chemical plant में explosion कर सकता है। आपको जानने का कोई तरीका नहीं है। इसीलिए Zero-Day बेचने वालों को 'merchants of death' कहा गया है, जो cyber war के लिए bullets बेचते हैं।
Edward Snowden के leaks से पता चला कि United States Zero-Day market में सबसे बड़े players में से एक था। NSA ने हर app, server और system में invisible back doors की एक vast library हासिल कर ली थी। असल में, दुनिया का हर country अब Zero-Day market में active है।
<h2>बड़ी तबाही: Stuxnet, WannaCry और NotPetya की कहानी</h2> पहले, exploits का इस्तेमाल espionage के लिए होता था। लेकिन अब जब factories, nuclear plants, power grids और pipelines में एक ही software का इस्तेमाल होता है, तो ये Zero-Day exploits cyber war के लिए एक नया साधन बन गए हैं। जो Zero-Day आपके दुश्मनों के खिलाफ इस्तेमाल हो सकता है, वही आपके खिलाफ भी इस्तेमाल हो सकता है।2010 में, Iran के nuclear program पर Stuxnet नाम के malicious computer worm ने हमला किया। ये दुनिया का सबसे sophisticated cyber weapon था, जिसमें 4 Zero-Day exploits का इस्तेमाल हुआ। एक infected USB drive से शुरू होकर, Stuxnet Microsoft Zero-Day और printers की vulnerability का फायदा उठाकर पूरे plant में फैल गया। इसने Iran के uranium centrifuges को नियंत्रण से बाहर overload कर दिया, जिससे वे ज़्यादा गरम होकर self-destruct हो गए। Monitors पर सब आम दिख रहा था, लेकिन physical damage हो रहा था। Experts ने इसे United States और Israel का joint operation बताया, जिसने Iran को कई साल पीछे धकेल दिया। ये दुनिया का पहला cyber weapon of mass destruction था, जिसने cyber arms race को तेज़ कर दिया।
12 मई 2017 को London में panic फैल गया जब British health system पर ransomware Wuk Cry से हमला हुआ। लाखों computers दुनिया भर में encrypt हो गए। Attackers ने NSA के चुराए गए exploit, Eternal Blue का इस्तेमाल किया था। ये attack Lazarus Group (North Korea) से जुड़ा था। fortunately, Marcus Hutchkins ने एक kill switch ढूंढकर इसे रोक दिया, लेकिन Wuk Cry से $4 billion का damage हुआ।
27 जून 2017 को Russia ने Ukraine में leaked NSA cyber weapon का इस्तेमाल किया, जो history का सबसे destructive cyber attack बन गया। Ukrainians ने black screens देखीं, groceries, ATMs, pay सब ठप हो गए। इस attack से $10 billion से ज़्यादा का नुकसान हुआ। Russia ने Ukraine की सरकार की weakness दिखाने के लिए इसका इस्तेमाल किया। Experts ने चेतावनी दी है कि जैसे-जैसे हम ज़्यादा devices को connect करते रहेंगे – hospitals, chemical plants, pipelines, cars तक – हम दुनिया का सबसे बड़ा attack surface बना रहे हैं।
<h2>आपके लिए ये क्यों ज़रूरी है? और आगे क्या?</h2> आप सोच सकते हैं कि ये incidents एक wakeup call होने चाहिए थे। Hackers ने दुनिया भर में files encrypt कर दीं, billions of dollars का नुकसान हुआ, power भी shut off कर दी। लेकिन new cycle चलता रहता है, exploits hoard किए जाते रहते हैं, और secretive Zero-Day market thrive करता रहता है।Tech companies ने अब hackers के प्रति अपना नज़रिया बदल दिया है। पहले उन्हें दुश्मन मानते थे, अब quality assurance का cheap form मानते हैं। इसलिए कई companies अब अपने bug bounty programs offer करती हैं, hackers को vulnerabilities ढूंढने के लिए pay करती हैं।
लेकिन समस्या ये है कि Zero-Day brokers significantly ज़्यादा पैसे pay करते हैं। Zerodium जैसे brokers Android या iOS के लिए एक Zero-Day के लिए $2 से $2.5 million तक pay करते हैं, जो user के device को पूरी तरह से access कर सके। ये Zero-Days का 'holy grail' है। तो, जैसा कि आप देख सकते हैं, Zero-Day exploits के लिए एक thriving market है, क्योंकि वे असल में cyber weapons of mass destruction हो सकते हैं। और ये damage पहले ही हो चुका है।
आप क्या सोचते हो? टिप्पणी में बताओ! 🎧 इस विषय पर full interview सुनने के लिए ऊपर Play button दबाओ! अगर ये जानकारी अच्छी लगी तो साझा करो ज़रूर करो।
Jhakkas के बारे में
Jhakkas लाता है दुनिया के सबसे interesting ideas और interviews. आसान भाषा में, आपकी भाषा में. Tech, काम और future के बारे में articles और podcasts.
