एन्क्रिप्शन बैकडोर एक बुरा विचार है, इसका कारण यह है...
एन्क्रिप्शन हाल के वर्षों में एक गर्म विषय बन गया है, और व्हाट्सएप, वाइबर और सिग्नल जैसे कई लोकप्रिय मैसेजिंग ऐप अब एंड-टू-एंड सुरक्षित हैं।
जबकि यह सुरक्षा और गोपनीयता के लिए एक सकारात्मक विकास भी है कानून प्रवर्तन के लिए नई चुनौतियाँ और अक्सर जाँच को और अधिक कठिन बना दिया जाता है . जब डेटा ठीक से एन्क्रिप्ट किया जाता है, तो अधिकारी कुंजी के बिना उस तक नहीं पहुंच सकते।
यदि आतंकवादी और आपराधिक गिरोह इन सुरक्षित संचार विधियों का उपयोग करते हैं, तो पुलिस वायरटैप स्थापित नहीं कर सकती है और पहले की तरह कनेक्शन की जासूसी नहीं कर सकती है। यह बहुत सारे जटिल गणित द्वारा संरक्षित है, जो वारंट या धमकियों के आगे नहीं झुकेगा, जिससे जानकारी अनिवार्य रूप से अप्राप्य हो जाएगी।
कानून प्रवर्तन एजेंसियों के सामने आने वाली समस्याओं को कई देशों में राष्ट्रीय विधायकों के ध्यान में लाया गया है, वकील या तो ऐसे कानूनों पर जोर दे रहे हैं या पारित कर रहे हैं जिनका उद्देश्य एन्क्रिप्शन को तोड़ना और अधिकारियों को डेटा तक पहुंचने में मदद करना है। यह धक्का विशेष रूप से फ़ाइव आइज़ साझेदारों में प्रमुख रहा है ऑस्ट्रेलिया , कनाडा , न्यूज़ीलैंड , द यूके और यह हिरन .
यह आंदोलन समस्याग्रस्त है, क्योंकि जैसा कि हमने ऊपर बताया, एन्क्रिप्शन का एकमात्र मास्टर वह गणित है जिससे यह बना है। जबकि हममें से अधिकांश लोग अधिकारियों को उनके आपराधिक लक्ष्यों का पीछा करने में मदद करना चाहेंगे, अधिकारियों की जरूरतों और वैश्विक सूचना सुरक्षा के हितों के बीच एक संघर्ष भी है।
केंद्रीय दुविधा यह है कि हम केवल एन्क्रिप्शन को नहीं तोड़ सकते हैं या पिछले दरवाजे को इस तरह से नहीं डाल सकते हैं कि केवल अधिकारी ही इसका फायदा उठा सकें - ऐसा करने से पूरा सिस्टम कमजोर हो जाएगा, इससे हमलावरों के लिए पिछले दरवाजे को हाईजैक करना संभव हो जाता है, जिससे उन्हें हर किसी के संचार तक पहुंचने की अनुमति मिलती है।
क्योंकि हम सभी अपने ऑनलाइन जीवन को सुरक्षित रखने के लिए एन्क्रिप्शन पर भरोसा करते हैं, इस तरह का कदम हर किसी को खतरे में डाल देगा, और संभावित नकारात्मकताएं कानून प्रवर्तन के लिए ऐसे उपायों से मिलने वाली सहायता से कहीं अधिक हैं।
आख़िरकार, अपराधियों की रुचि पकड़े न जाने में होती है, इसलिए वे अन्य प्रणालियों की ओर चले जाते हैं जो उनके संचार की सुरक्षा करेंगी। इस बीच, हममें से बाकी लोग कमजोर प्रणालियों का उपयोग जारी रखेंगे, जिससे हम पर हमले का खतरा बढ़ जाएगा।
एन्क्रिप्शन और डेटा सुरक्षा की दुनिया जटिल हो सकती है, तो आइए पहले एक कदम पीछे हटें और देखें कि हमें एन्क्रिप्शन की आवश्यकता क्यों है, यह कैसे काम करता है, तकनीकी दृष्टि से बैकडोर क्या है, साथ ही कुछ उदाहरण भी देते हैं कि बैकडोर डालना क्यों है भयानक विचार.
यह सभी देखें: सामान्य एन्क्रिप्शन प्रकार
हमें सबसे पहले अपने डेटा को सुरक्षित रखने की आवश्यकता क्यों है?
जीवन इनमें से किसी एक से भरा है संवेदनशील या मूल्यवान जानकारी जिसके बारे में हम नहीं चाहते कि दूसरों को पता चले। यह कोई नई घटना नहीं है - हममें से कई लोगों के पास बचपन के शर्मनाक रहस्य हैं जिन्हें हम दूसरों को नहीं जानना पसंद करेंगे, जबकि सुरक्षित-मालिक आमतौर पर अपने संयोजनों को छिपाकर रखना चाहते हैं।
अब चूँकि हमारा अधिकांश व्यक्तिगत और कामकाजी जीवन ऑनलाइन संचालित होता है, यह इस प्रकार है डिजिटल दुनिया में महत्वपूर्ण मात्रा में संवेदनशील और मूल्यवान जानकारी भी शामिल है जिसे हमें सुरक्षित रखने की आवश्यकता है। उदाहरण के लिए, बहुत से लोग अब अपनी बैंकिंग ऑनलाइन करते हैं। यदि कोई सुरक्षा उपाय नहीं होते, तो कोई भी व्यक्ति जो आपके खाते तक पहुंच सकता है, आसानी से आपके पैसे तक पहुंच सकता है और स्थानांतरण कर सकता है।
यदि आप अपने मित्र को ऑनलाइन संदेश में कोई रहस्य भेजते हैं तो यह वैसा ही है। यदि कोई सुरक्षा उपाय नहीं होते, अनिवार्य रूप से थोड़ा समय और जानकारी वाला कोई भी व्यक्ति इसे रोक सकता था, तो या तो विवरण का उपयोग अपने लाभ के लिए करें या उन्हें दुनिया के सामने उजागर करें।
भौतिक संसार में, आप अपना सुरक्षित संयोजन लिख सकते हैं और इसे अपने घर में छिपा सकते हैं। इसे पाने के लिए न केवल किसी को आपके घर में घुसना होगा, बल्कि उन्हें यह भी जानना होगा कि यह कहां है। कुल मिलाकर, यह एक अपेक्षाकृत सुरक्षित प्रणाली है।
यदि आप आमने-सामने बातचीत में अपने मित्र को कोई रहस्य बता रहे थे, तो आप चारों ओर देख सकते हैं और सुनिश्चित कर सकते हैं कि कोई भी आपकी बात नहीं सुन रहा है। यदि आप एक उच्च मूल्य वाले लक्ष्य हैं जिस पर सक्रिय रूप से निगरानी रखी जा रही है, तो आप दोनों बाहर निकल सकते हैं जंगल में किसी यादृच्छिक स्थान पर जाएँ और वहाँ अपनी बातचीत करें। इन कदमों को उठाने का मतलब यह होगा कि आप रहस्य को बिना किसी बड़े खतरे के सुरक्षित रूप से बता सकते हैं।
इसके विपरीत, इंटरनेट पर चीजें वास्तव में उस तरह से काम नहीं करती हैं। यदि कोई सुरक्षा उपाय या निगरानी उपकरण का उपयोग नहीं किया जा रहा था, आपको पता नहीं चलेगा कि कोई सुन रहा है या नहीं, और आपके पास हमलावरों को आपका डेटा चुराने से रोकने का कोई तरीका नहीं होगा।
उदाहरण के तौर पर, आप सोच सकते हैं कि आप किसी मित्र से ऑनलाइन सुरक्षित रूप से बात कर रहे हैं, जबकि वास्तव में आप इसके बजाय किसी हमलावर को संदेश भेज रहे हैं। हमलावर गुप्त रूप से खुद को बातचीत के बीच में शामिल कर सकते हैं, जिसे मैन-इन-द-मिडिल हमले के रूप में जाना जाता है।
हैकर्स इंटरनेट की जटिल संरचना का लाभ उठाते हैं, वे जो भी संचार कर सकते हैं उसे बाधित करके उस डेटा को उजागर करते हैं जिसे वे बेच सकते हैं या आगे अपराध करने के लिए उपयोग कर सकते हैं। इस खतरे के कारण, हम अपनी सुरक्षा और अपने डेटा को सुरक्षित रखने के लिए एन्क्रिप्शन और प्रमाणीकरण जैसे उपायों का उपयोग करते हैं। उनके बिना, इंटरनेट एक खून-खराबा होगा और कोई भी इसका सुरक्षित रूप से उपयोग नहीं कर पाएगा।
हमारा डेटा कैसे सुरक्षित है?
प्रौद्योगिकी नए उपकरणों और प्लेटफार्मों की सुविधा प्रदान करती है जिन्होंने हमारे जीवन को आसान बना दिया है, लेकिन इसकी प्रगति नए हमलों की प्रगति को भी प्रेरित करती है। हमारी कुछ हद तक टेढ़ी-मेढ़ी दुनिया में, प्रौद्योगिकी कई समाधान भी प्रदान करती है, हालाँकि यह नवीनतम खतरों से निपटने के लिए लगातार संघर्ष कर रहा है।
जब हम अपने बैंक क्रेडेंशियल टाइप करते हैं या कई प्रमुख वेबसाइटों पर जाते हैं, तो कनेक्शन को एक सुरक्षा प्रोटोकॉल के साथ एन्क्रिप्ट किया जाता है जिसे कहा जाता है टीएलएस . यह अनिवार्य रूप से मानकों का एक सेट है जो कंप्यूटर और सर्वर को बताता है कि उन्हें एक दूसरे के साथ डेटा को कैसे प्रमाणित और एन्क्रिप्ट करना चाहिए, ताकि दोनों पक्ष अंतर-संचालनीय और सुरक्षित तरीके से संचार कर सकें।
टीएलएस पार्टियों के बीच स्थानांतरित होने वाले डेटा को लॉक कर देता है, इसे सिफरटेक्स्ट में बदल देता है। जब डेटा को इस तरह से एन्क्रिप्ट किया जाता है, तो हमलावर कनेक्शन पर भेजे जा रहे वास्तविक डेटा को नहीं देख सकते हैं, जिससे उन्हें पासवर्ड और अन्य गोपनीय जानकारी एकत्र करने से रोका जा सकता है।
इसी तरह, व्हाट्सएप जैसे मैसेजिंग प्लेटफॉर्म में एंड-टू-एंड एन्क्रिप्शन की सुविधा है, जिसका मतलब है कि अगर कोई डेटा को इंटरसेप्ट करता है, तो भी वे आपके मित्र को आपके द्वारा भेजे जा रहे महत्वपूर्ण विवरण तक नहीं पहुंच सकते हैं। सब कुछ सिफरटेक्स्ट के रूप में भेजा जाता है, जो केवल आपके प्राप्तकर्ता के एप्लिकेशन में यात्रा के अंत में डिक्रिप्ट किया जाता है।
हमारी डिजिटल दुनिया के विभिन्न हिस्सों को सुरक्षित करने में कई अन्य प्रोटोकॉल, एल्गोरिदम और तकनीकें शामिल हैं। ये प्रमाणीकरण और एन्क्रिप्शन की प्रक्रियाओं पर केंद्रित हैं, लेकिन वास्तव में ये क्या हैं?
डेटा सुरक्षा के महत्वपूर्ण पहलू
यदि हम जानकारी की सुरक्षा करना चाहते हैं और इसे विरोधियों के हाथों से दूर रखना चाहते हैं, तो इसे बनाने की आवश्यकता है गोपनीय . इस संदर्भ में, इसका सीधा सा मतलब है कि डेटा को निजी रखा जाना चाहिए, ताकि केवल अधिकृत व्यक्ति ही उस तक पहुंच सकें।
डेटा सुरक्षा में, एन्क्रिप्शन के माध्यम से गोपनीयता हासिल की जाती है, जो अनिवार्य रूप से एक जटिल कोड है जो डेटा को अपठनीय वर्णों के मिश्रण में बदल देता है जिसे कहा जाता है सिफर .
जब डेटा को पर्याप्त रूप से सुरक्षित क्रिप्टोग्राफ़िक एल्गोरिदम के साथ एन्क्रिप्ट किया जाता है, तो इसे किसी भी व्यक्ति या इकाई द्वारा एक्सेस नहीं किया जा सकता है जब तक कि उनके पास वह कुंजी न हो जिसका उपयोग इसे एन्क्रिप्ट करने के लिए किया गया था (चीज़ों को सरल रखने के लिए, हम सार्वजनिक-कुंजी जैसी अधिक जटिल योजनाओं को अनदेखा कर देंगे) इस आलेख में एन्क्रिप्शन)। कुंजियों को लंबे और जटिल पासवर्ड के रूप में सोचना सबसे आसान है। हालाँकि कुछ अंतर हैं, लेकिन उन्हें समझाने से हम एक स्पष्ट बिंदु पर पहुँच जाएँगे।
जब एन्क्रिप्शन का उपयोग किया जाता है, तो यह सुनिश्चित करना महत्वपूर्ण है कि केवल अधिकृत लोग ही डेटा तक पहुंच सकें। कंप्यूटर पर एन्क्रिप्टेड फ़ोल्डरों के मामले में, मालिक एकमात्र अधिकृत पक्ष होना चाह सकता है।
अन्य स्थितियों में, जैसे मैसेजिंग एप्लिकेशन, संचार के दोनों पक्षों को इसे एक्सेस करने के लिए अधिकृत करने की आवश्यकता होती है। ऐसी भी कई परिस्थितियाँ हैं जहाँ कई लोगों को कुछ सिस्टम या डेटा तक पहुँचने के लिए अधिकृत करने की आवश्यकता होती है।
इनमें से प्रत्येक स्थिति में, पहुंच को नियंत्रित किया जाता है प्रमाणीकरण . इसमें उपयोगकर्ताओं को सीधे अपनी कुंजी इनपुट करना, या उनकी एन्क्रिप्शन कुंजी से जुड़े कई तंत्रों का उपयोग करना शामिल हो सकता है। इन्हें निम्नलिखित श्रेणियों में विभाजित किया गया है:
- ज्ञान - ये पासवर्ड, पिन नंबर और सुरक्षा प्रश्न जैसी चीजें हैं।
- स्वामित्व -चीजें जो आपके पास हैं. एक अच्छा उदाहरण आपका फ़ोन है, जो एसएमएस प्रमाणीकरण या प्रमाणीकरण ऐप्स के माध्यम से प्रक्रिया का हिस्सा हो सकता है। भौतिक सुरक्षा टोकन एक अन्य सामान्य प्रकार हैं।
- अंतर्निहित होना - ये मूलतः वे चीज़ें हैं जो आप हैं। उनमें अधिकतर बायोमेट्रिक कारक शामिल हैं, जैसे उंगलियों के निशान, स्वर पैटर्न, चेहरे की पहचान, आदि।
प्रमाणीकरण उपाय हमें किसी ऐसे व्यक्ति की पहचान की पुष्टि करने की अनुमति देते हैं जो सिस्टम में अपना रास्ता बनाने या डेटा देखने का प्रयास कर रहा है। यदि व्यक्ति आवश्यक जानकारी, वस्तु या सुविधा प्रदान नहीं कर सकता है, तो उन्हें पहुंच से वंचित कर दिया जाएगा और डेटा को गोपनीय रखा जाएगा।
ये प्रक्रियाएं हमलावरों या किसी अन्य अनधिकृत कर्मियों को संरक्षित सिस्टम में प्रवेश करने और एन्क्रिप्टेड डेटा तक पहुंचने से रोकती हैं। मल्टी-फैक्टर प्रमाणीकरण सिस्टम इनमें से कई प्रक्रियाओं को जोड़ते हैं, जिससे हमलावरों के लिए सिस्टम में प्रवेश करना अधिक कठिन हो जाता है, जिससे इसकी सुरक्षा बढ़ जाती है।
डेटा सुरक्षा के अन्य महत्वपूर्ण पहलुओं में शामिल हैं अखंडता , जो इंगित करता है कि क्या डेटा अपने मूल स्वरूप को बनाए रखता है, या क्या इसके साथ छेड़छाड़ या दूषित किया गया है। वहाँ भी है गैर परित्याग , जो एक ऐसी विशेषता है जो डेटा के लेखक के लिए अपनी भागीदारी से इनकार करना असंभव बना देती है।
इन अन्य गुणों को क्रिप्टोग्राफी के साथ भी संबोधित किया जा सकता है, लेकिन हम उन्हें विस्तार से कवर नहीं करेंगे, क्योंकि वे यह समझने के लिए उतने महत्वपूर्ण नहीं हैं कि बैकडोर कैसे काम करते हैं।
यह ध्यान देने योग्य है कि इनमें से कोई भी उपाय अचूक नहीं है, और हमलावर अक्सर उनके आसपास अपना रास्ता खोज सकते हैं। हालाँकि, जब उन्हें सर्वोत्तम सुरक्षा प्रथाओं के साथ ठीक से लागू किया जाता है, तो आप यथोचित आश्वस्त हो सकते हैं कि ये तंत्र आपके सिस्टम और डेटा की पर्याप्त सुरक्षा कर रहे हैं।
पिछला दरवाज़ा वास्तव में क्या है?
अब जब आपके पास इस बारे में कुछ पृष्ठभूमि है कि हमें अपने डेटा को सुरक्षित रखने की आवश्यकता क्यों है, साथ ही यह कैसे किया जाता है इसकी मूल बातें, तो हम अधिक गहराई से जान सकते हैं कि वास्तव में बैकडोर क्या हैं। बैकडोर मूल रूप से कोई भी साधन है जो जानबूझकर किसी को प्रमाणीकरण या एन्क्रिप्शन उपायों से बचने की अनुमति देता है जिसका उपयोग हम अपने डेटा और सिस्टम को सुरक्षित रखने के लिए करते हैं।
बैकडोर को या तो डेवलपर या उन्हें डालने वाले हमलावर द्वारा जाना जा सकता है। जो चीज़ उन्हें कारनामों से अलग करती है वह यह है कि उन्हें जानबूझकर किसी के द्वारा स्थापित किया गया है।
कभी-कभी उन्हें विकास के दौरान जानबूझकर डाला जाता है। अक्सर, ऐसा प्रतीत होता है कि वैध कारणों से किया जाएगा, जैसे समस्याओं का निवारण करते समय डेवलपर्स की मदद करना। अन्य समय में, एन्क्रिप्टेड उपयोगकर्ता डेटा तक पहुंच प्राप्त करने जैसे अधिक भयावह उद्देश्यों के लिए सिस्टम में पिछले दरवाजे रखे जा सकते हैं। वे हमेशा आधिकारिक मार्गदर्शन के तहत नहीं बनाए जाते हैं - कभी-कभी उन्हें दुर्भावनापूर्ण अंदरूनी सूत्रों द्वारा गुप्त रूप से डाला जाता है।
कभी-कभी, पिछले दरवाज़े से उनका जीवन अनजाने कारनामे के रूप में शुरू हो सकता है। इन परिदृश्यों में, उन्हें डेवलपर्स द्वारा खोजा जा सकता है, फिर निरंतर पहुंच की अनुमति देने के लिए उन्हें वहीं छोड़ दिया जाता है। कभी-कभी पिछले दरवाजे ऐसे प्रतीत हो सकते हैं मानो वे आकस्मिक थे, जबकि वास्तव में उन्हें जानबूझकर वहां रखा गया था।
इससे अपराधी को प्रशंसनीय इनकार करने की क्षमता मिलती है - वे दिखावा कर सकते हैं कि उन्होंने जानबूझकर पिछला दरवाजा नहीं डाला है और सार्वजनिक रूप से इनकार कर सकते हैं कि वे इसका फायदा उठा रहे हैं।
हैकर्स ट्रोजन हॉर्स और अन्य उन्नत तकनीकों के माध्यम से बैकडोर भी बना सकते हैं। यदि उनके पास अच्छे संसाधन हैं या उन्हें राष्ट्र-राज्य का समर्थन प्राप्त है, तो ये हमले अविश्वसनीय रूप से परिष्कृत हो सकते हैं।
पिछले दरवाजे खतरनाक क्यों हैं?
यदि कोई पिछला दरवाजा है और हमलावर को इसके बारे में पता है, या कोई अनजाने में इसमें ठोकर खाता है, तो यह उन्हें उन सिस्टम या डेटा तक पहुंच प्रदान कर सकता है जिन्हें प्रमाणीकरण और एन्क्रिप्शन द्वारा संरक्षित किया जाना चाहिए।
जाहिर है, यह विनाशकारी है, क्योंकि यह जानकारी को सुरक्षित करने के लिए किए गए सभी प्रयासों को दरकिनार कर देता है, जिससे डेटा खुले में रह जाता है और पिछले दरवाजे से जाने वाले किसी भी व्यक्ति के लिए असुरक्षित हो जाता है। पिछले दरवाजे कई रूपों में आ सकते हैं और स्थिति के आधार पर अलग-अलग डिग्री तक पहुंच प्रदान कर सकते हैं।
पिछले दरवाजे का उपयोग इसके लिए किया जा सकता है:
- सिस्टम तक दूरस्थ पहुंच प्राप्त करें.
- मैलवेयर इंस्टॉल करें.
- संवेदनशील या मूल्यवान डेटा तक पहुंचें, चोरी करें, कॉपी करें, बदलाव करें या हटाएं।
- सिस्टम सेटिंग्स बदलें.
कुछ अतिरिक्त कार्य हैं जिनके लिए बैकडोर का उपयोग किया जा सकता है, लेकिन उपरोक्त सूची में सबसे चिंताजनक स्थिति तब होती है जब उनका उपयोग खातों या सिस्टम तक अनधिकृत पहुंच प्राप्त करने के लिए किया जाता है, और जब उनका उपयोग कंपनी के रहस्य, क्रेडिट कार्ड जैसे डेटा चोरी करने के लिए किया जाता है। विवरण, और पासवर्ड।
यदि हमलावर इस प्रकार की अप्रतिबंधित पहुंच प्राप्त कर लेते हैं, तो वे भारी मात्रा में नुकसान पहुंचा सकते हैं, या आगे के हमलों और आपराधिक अभियानों को चलाने के लिए पाए गए किसी भी डेटा का उपयोग कर सकते हैं।
पिछले दरवाजे कहाँ रखे जा सकते हैं?
दोनों में बैकडोर डाले जा सकते हैं हार्डवेयर और सॉफ्टवेयर . यदि उन्हें हार्डवेयर में रखा जाता है, तो यह निर्माण के दौरान, आपूर्ति श्रृंखला के किसी बिंदु पर हो सकता है, या बाद में उन्हें गुप्त रूप से जोड़ा जा सकता है। एक बार जब कोई व्यक्ति या संगठन किसी उपकरण का मालिक हो जाता है, तो उस तक भौतिक पहुंच रखने वाला कोई भी व्यक्ति पिछले दरवाजे भी डाल सकता है
सॉफ्टवेयर में भी बैकडोर एक बड़ा खतरा है। उन्हें सबसे निचले स्तर पर डाला जा सकता है, जैसे कि कंपाइलर और फ़र्मवेयर में, सभी तरह से। सॉफ़्टवेयर बैकडोर को प्रारंभिक विकास चरण के दौरान रखा जा सकता है, अपडेट के भाग के रूप में धकेला जा सकता है, या यहाँ तक कि ट्रोजन वाले एक हमलावर द्वारा स्थापित किया गया .
यदि अधिकारी पीछे का दरवाज़ा बना दें तो क्या हो सकता है?
यह समझने के लिए कि कानूनी रूप से अनिवार्य बैकडोर एक बुरा विचार क्यों है, हमें यह देखना होगा कि ऐसी प्रणाली कैसे स्थापित की जा सकती है। सबसे व्यावहारिक समाधानों में से एक एन्क्रिप्टेड सेवाओं के प्रत्येक प्रदाता के लिए होगा सर्व - कुंची जिसका उपयोग वे उन व्यक्तिगत कुंजियों तक पहुंचने के लिए कर सकते हैं जो उनके प्रत्येक उपयोगकर्ता के डेटा की सुरक्षा करती हैं। अगर ऐसी व्यवस्था आदर्श तरीके से भी लागू की जाए, तो भी इसका नतीजा निकलेगा अनुचित सुरक्षा जोखिम .
हालाँकि अधिकांश सिस्टम को स्वचालित किया जा सकता है, कर्मचारियों को किसी न किसी स्तर पर शामिल करना होगा, और यहीं से बड़े जोखिम उत्पन्न होते हैं त्रुटियाँ या भ्रष्टाचार घटित हो सकता है. मान लीजिए कि एक बड़ी टेक कंपनी को ऐसी प्रणाली स्थापित करनी है, और उसे कानून प्रवर्तन की विभिन्न शाखाओं से एन्क्रिप्टेड उपयोगकर्ता डेटा तक पहुंचने के लिए हर दिन सैकड़ों या हजारों अनुरोध मिलते हैं।
इस प्रकार की मात्रा को संभालने के लिए, मास्टर कुंजी को संभालने और संबंधित व्यक्तियों की निजी कुंजी से निपटने के लिए कई कर्मचारियों को शामिल करना होगा। जब ऐसी जटिल प्रणाली को लगातार एक्सेस करने की आवश्यकता होती है, तो यह देखना मुश्किल नहीं है कि गलतियाँ कैसे हो सकती हैं, जो अंततः अनधिकृत पहुंच की अनुमति दे सकती हैं।
पीछे का दरवाजा इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन द्वारा लाइसेंस प्राप्त सीसी0
मानवीय भूल से उत्पन्न जोखिम के अलावा, हमें ऐसे भंडार के अविश्वसनीय मूल्य पर भी विचार करना होगा। यदि इसमें लाखों या यहां तक कि अरबों उपयोगकर्ताओं की निजी कुंजी होती और यह उनके डेटा का प्रवेश द्वार होता, तो प्रत्येक आपराधिक गिरोह और राष्ट्र-राज्य हैकिंग समूह इसे खोलने के लिए अविश्वसनीय रूप से प्रलोभित होता। वे डेटाबेस के विरुद्ध हमलों पर करोड़ों डॉलर खर्च करने को तैयार होंगे।
समस्या पर इतनी बड़ी मात्रा में संसाधन झोंके जाने के कारण, प्रेरित समूहों द्वारा जो भी सुरक्षा उपाय मौजूद हैं, उन्हें पराजित करने में अधिक समय नहीं लग सकता है। यह रिश्वतखोरी, जबरदस्ती या तकनीकी हमलों के माध्यम से किया जा सकता है, लेकिन परिणाम एक ही होगा - डेटा के खजाने तक बेलगाम पहुंच।
दुनिया पहले से ही लगातार डेटा उल्लंघनों से घिरी हुई है, इसलिए हमें पीछे के दरवाज़े क्यों डालने चाहिए जिससे और भी अधिक घुसपैठ हो सकती है?
वैश्विक सुरक्षा यहां एकमात्र मुद्दा नहीं है। हमें इन प्रणालियों के दुरुपयोग की संभावना पर भी विचार करना होगा। ऑस्ट्रेलिया का हाल ही में निधन हो गया सहायता और पहुंच विधेयक यह कानून के सबसे चिंताजनक टुकड़ों में से एक है जो पिछले दरवाजे को शामिल करने का कारण बन सकता है।
यह बिल अपने आप में काफी अस्पष्ट है, जो सबसे चिंताजनक पहलुओं में से एक है। इसके अलावा, यदि कभी भी पिछले दरवाजे की मांग की जाती है, तो प्रक्रिया में निगरानी सीमित होती है। अधिकारियों को अपनी मांगों के लिए किसी विशिष्ट वारंट की भी आवश्यकता नहीं होती है (हालांकि मामले में वारंट पहले ही जारी किया जाना चाहिए), इसलिए एक न्यायाधीश यह निर्धारित नहीं करता है कि वांछित पहुंच उपाय उचित हैं या नहीं।
यह बदतर हो जाता है, क्योंकि प्रक्रिया का अधिकांश भाग गोपनीयता में छिपा हुआ है . यदि कंपनियों को पिछला दरवाजा डालने के लिए मजबूर किया गया है तो उन्हें कानूनी तौर पर सार्वजनिक होने की अनुमति नहीं है।
ऑस्ट्रेलिया एक अपेक्षाकृत लोकतांत्रिक देश है, इसलिए इसका दृष्टिकोण शायद ही सबसे खराब स्थिति वाला हो। लेकिन क्या होगा यदि सत्तावादी शासन इस प्रकार की पहुंच की मांग करने लगे? यदि कंपनियों को इन व्यवस्थाओं द्वारा उपयोगकर्ता डेटा को डिक्रिप्ट करने के लिए मजबूर किया जाता है, तो इससे लक्ष्यों के खिलाफ मानवाधिकारों का उल्लंघन हो सकता है।
पिछले दरवाजे के उदाहरण
बैकडोर विभिन्न प्रकार के विभिन्न विन्यासों में आते हैं। वे हार्डवेयर या सॉफ़्टवेयर-आधारित हो सकते हैं, जिन्हें डेवलपर एक्सेस जैसे प्रतीत होने वाले वैध उद्देश्यों के लिए डाला जा सकता है, जासूसी को सक्षम करने के लिए कोड के अंदर छिपाया जा सकता है, या डेटा चोरी करने या अन्य साइबर हमले शुरू करने के लिए हैकर्स द्वारा भी डाला जा सकता है।
निम्नलिखित कुछ सबसे बेशर्म पिछले दरवाजे के उदाहरण हैं जिन्हें खोजा गया है, जो विभिन्न प्रकार की स्थितियों को कवर करते हैं:
क्लिपर चिप
पिछले दरवाजे के शुरुआती विवादों में से एक नब्बे के दशक में एनएसए द्वारा क्लिपर चिप को पेश करने के प्रयास से जुड़ा था। हालाँकि, चिप को ध्वनि संचार और अन्य डेटा को एन्क्रिप्ट करने के लिए डिज़ाइन किया गया था। इसमें जानबूझकर एक पिछला दरवाजा शामिल किया गया था जो अधिकारियों को संदेशों को डिक्रिप्ट करने में सक्षम बनाता था .
प्रत्येक चिप की अपनी अनूठी कुंजी होती है जो एन्क्रिप्टेड संचार को अनलॉक कर सकती है, और इन चाबियों को सरकार द्वारा एस्क्रो में एकत्र और संग्रहीत किया जाएगा . माना जाता है कि कुंजियों तक केवल इसी से पहुंचा जा सकेगा अदालत की मंजूरी हालाँकि, कई साइबरपंक और नागरिक स्वतंत्रतावादी संशय में थे।
चिप की अंतर्निहित सुरक्षा की गुप्त प्रकृति इस बेचैनी को और बढ़ा रही थी। जबकि चिप और उसका पिछला दरवाज़ा सार्वजनिक रूप से ज्ञात था, यह स्किपजैक नामक एल्गोरिदम पर निर्भर था , जिसे उस समय वर्गीकृत किया गया था, जिससे शोधकर्ताओं को सुरक्षा छिद्रों के लिए इसका विश्लेषण करने से रोका गया। केवल इतना ही विवरण सार्वजनिक किया गया कि एल्गोरिदम समान था की , सममित, और एक 80-बिट कुंजी थी।
अंततः कुछ बाहरी शोधकर्ताओं को यह जानकारी देने के लिए लाया गया स्वतंत्र मूल्यांकन चिप का. उन्होंने पाया कि एल्गोरिदम अपनी समय अवधि के लिए अपेक्षाकृत सुरक्षित है, बिना किसी स्पष्ट छेद के। यहां तक कि शिक्षाविद भी जो एल्गोरिथम का अध्ययन किया इसे अवर्गीकृत किए जाने के बाद कोई भी अपमानजनक कमज़ोरियाँ नहीं पाई गईं।
इन आश्वासनों के बावजूद, एल्गोरिथम के विरोधियों को अभी भी संदेह करने का अधिकार था। आख़िरकार, एनएसए के पास क्रिप्टोग्राफ़िक योजनाओं को कमज़ोर करने और उनके किनारों से छेड़छाड़ करने का एक लंबा इतिहास है। आसपास की गोपनीयता ने निश्चित रूप से किसी भी डर को दूर करने में मदद नहीं की।
जबकि एन्क्रिप्शन योजना सुरक्षित निकली, इसके बजाय कुंजी एस्क्रो प्रणाली असुरक्षित थी . लॉ एनफोर्समेंट एक्सेस फील्ड (LEAF) नाम दिया गया, इसे एक्सेस प्राप्त करने के लिए सही 16-बिट हैश की आवश्यकता थी। हैश बहुत छोटा था, और अन्य उपयुक्त हैश मान हो सकते हैं जानवर-मजबूर सापेक्ष सहजता के साथ.
इससे प्राप्तकर्ता चिप द्वारा अन्य हैश मानों को स्वीकार किए जाने की संभावना पैदा हो गई, जो अंततः कानून प्रवर्तन तक पहुंच से इनकार कर सकती है। संक्षेप में, इसका मतलब यह है कि पर्याप्त दृढ़ संकल्प वाले लोग एस्क्रो क्षमता को अक्षम करने में सक्षम हो सकते हैं, उन्हें चिप के माध्यम से अपने डेटा को एन्क्रिप्ट करने की इजाजत देता है, लेकिन अधिकारियों को उस तक पहुंचने से रोकता है .
बेशक, यह सीधे गंभीर अपराधियों और आतंकवादियों के हाथों में चला गया, जिनके पास सुरक्षा तंत्र से बचने के लिए समय और संसाधन थे। यदि वे पहले स्थान पर एस्क्रो सिस्टम के मुख्य लक्ष्य थे, तो इस भेद्यता ने पूरे सिस्टम को निरर्थक बना दिया। एस्क्रो प्रणाली केवल उन लोगों के लिए उपयोगी होगी जिनके पास सामान्य, कानून का पालन करने वाले नागरिकों जैसी क्षमताएं या संसाधन नहीं हैं।
एस्क्रो सिस्टम पर कई अन्य हमले प्रकाशित किए गए, जिससे पता चला कि यह न तो सुरक्षित था, न ही अपने इच्छित उद्देश्य के लिए उपयुक्त था। इसकी परिणति 1997 में हुई कागज़ ,कुंजी पुनर्प्राप्ति, कुंजी एस्क्रो और विश्वसनीय तृतीय पक्ष एन्क्रिप्शन के जोखिम, जिसने केवल क्लिपर चिप के कार्यान्वयन के बजाय सिद्धांत पर कुंजी एस्क्रो और असाधारण पहुंच प्रणालियों पर हमला किया।
अखबार ने तर्क दिया, 'कुंजी पुनर्प्राप्ति प्रणालियाँ स्वाभाविक रूप से कम सुरक्षित, अधिक महंगी और पुनर्प्राप्ति सुविधा के बिना समान प्रणालियों की तुलना में उपयोग में अधिक कठिन हैं।' इसने इन प्रणालियों से उत्पन्न होने वाले सुरक्षा बलिदानों और सुविधा संबंधी मुद्दों पर विस्तार से चर्चा की, और तर्क दिया कि पैमाने और जटिलता के कारण 'अंततः अस्वीकार्य जोखिम और लागत।'
इस और अन्य मुद्दों के परिणामस्वरूप क्लिपर चिप का व्यापक विरोध हुआ, और चिप्स को निर्माताओं या उपभोक्ताओं द्वारा किसी भी महत्वपूर्ण तरीके से कभी नहीं अपनाया गया। उसी समय, पीजीपी जैसी उभरती सुरक्षा प्रणालियों का मतलब था कि सुरक्षित एन्क्रिप्शन विकल्प बाजार में थे, जिससे क्लिपर चिप जैसी समझौता प्रणाली अनावश्यक हो गई।
हालाँकि कुंजी एस्क्रो सिस्टम के खिलाफ सबसे हानिकारक पेपर 20 साल से भी पहले प्रकाशित हुआ था, लेकिन इसके कई सिद्धांत अभी भी सच हैं। पिछले कुछ वर्षों में एन्क्रिप्शन बैकडोर के लिए कॉल के पुनरुत्थान के साथ, पेपर के मूल लेखकों ने एक जारी किया अनुवर्ती रिपोर्ट , यह रेखांकित करते हुए कि ऐसी प्रणालियाँ अभी भी एक बुरा विचार क्यों थीं।
सुपरमाइक्रो बैकडोर
बैकडोर को थोक स्तर पर विभिन्न घटकों के डिज़ाइन में डाला जा सकता है, या उन्हें विरोधियों द्वारा व्यक्तिगत रूप से लगाया जा सकता है। किसी भी तरह से पिछले दरवाजे डालना चुनौतीपूर्ण है, और हाल के वर्षों में सबसे प्रमुख उदाहरणों में से एक शायद एक मनगढ़ंत कहानी थी।
2018 के अक्टूबर में, ब्लूमबर्ग ने नामक एक कवर स्टोरी प्रकाशित कीबड़ी हैक, जिसमें इसके पत्रकारों ने आरोप लगाया कि चीनी आपूर्तिकर्ता अपने उत्पादों में जासूसी चिप्स लगा रहे थे, जिनका उपयोग दुनिया की कुछ सबसे बड़ी तकनीकी कंपनियों द्वारा किया जा रहा था।
रिपोर्ट का पालन किया गया जोरदार खंडन सुपरमाइक्रो, ऐप्पल और अमेज़ॅन सहित शामिल प्रत्येक कंपनी से। तब से वहाँ एक है व्यापक समीक्षा , और अभी भी एक भी जासूसी चिप सामने नहीं आई है।
ब्लूमबर्ग अपनी बात पर अड़ा हुआ है और उसने कहानी को वापस लेने से इनकार कर दिया है, लेकिन इस स्तर पर, सबसे संभावित निष्कर्ष यह है कि कहानी बनाई गई थी, या पत्रकारों को उनके स्रोतों द्वारा गलत सूचना दी गई थी।
एनएसए हार्डवेयर बैकडोर
एनएसए के पास गुप्त रूप से संचार तक पहुँचने के लिए समर्पित एक पूरी टीम है, जिसे के रूप में जाना जाता है टेलर्ड एक्सेस ऑपरेशंस (टीएओ) प्रभाग . के अनुसार स्पीगेल , प्रभाग के पास अपनी हस्तकला के लिए एक कैटलॉग भी है। इसकी हार्डवेयर-संबंधित पेशकशों में एक रिग्ड मॉनिटर केबल शामिल है जो ऑपरेटरों को यह देखने की अनुमति देता है कि 'लक्षित मॉनिटर पर क्या प्रदर्शित होता है'।
एक अन्य उत्पाद एक 'सक्रिय जीएसएम बेस स्टेशन' है जिसका उपयोग मोबाइल फोन की निगरानी के लिए किया जा सकता है, जबकि कंप्यूटर में सुनने के लिए छिपे हुए बग भी उपलब्ध हैं। उपर्युक्त उत्पादों को क्रमशः $30, $40,000 और 50 के पैक में $1 मिलियन में खरीदा जा सकता है।
सूची इसमें कई अलग-अलग हार्डवेयर बैकडोर भी शामिल हैं जो विभिन्न निर्माताओं के उत्पादों की सुरक्षा में मदद कर सकते हैं। इनमें BIOS इम्प्लांट शामिल हैं जिनका उपयोग एचपी सर्वर को कमजोर करने के लिए किया जा सकता है, ऐसे उपकरण जिनका उपयोग सिस्को और एएसए फ़ायरवॉल के खिलाफ किया जा सकता है, और बैकडोर जो हुआवेई राउटर की सुरक्षा के आसपास काम करते हैं।
अन्य हार्डवेयर बैकडोर
उपरोक्त उदाहरणों के अलावा, हार्डवेयर बैकडोर के उदाहरण विशेष रूप से आम नहीं हैं . हालाँकि, वे सैन्य, खुफिया और गुप्त सरकारी संदर्भों में एक विशेष चिंता का विषय बने हुए हैं। इस बारे में कुछ तर्क हैं कि जासूसी में इस प्रकार के संशोधनों का उपयोग करना कितना व्यावहारिक है, खासकर जब सॉफ़्टवेयर बैकडोर जैसे विकल्पों की सापेक्ष आसानी पर विचार किया जाता है।
उपर्युक्त क्षेत्रों में संगठनों द्वारा बरती गई व्यापक सावधानी के आलोक में, दो सबसे संभावित निष्कर्ष ये हैं कि ये क्षेत्र अत्यधिक सतर्क हैं, या वे खोजे गए किसी भी हार्डवेयर-आधारित जासूसी प्रयासों के बारे में अधिक जानकारी जारी नहीं करते हैं।
बाद वाला निष्कर्ष निश्चित रूप से प्रशंसनीय है क्योंकि खुफिया एजेंसियों में प्रतिद्वंद्वी की क्षमताओं के बारे में अपना ज्ञान प्रदर्शित नहीं करने की प्रवृत्ति होती है। इस प्रकार का झांसा देना फायदेमंद हो सकता है क्योंकि इससे एजेंसियों को लाभ मिलता है जो उन्हें अपने विरोधियों पर बारीकी से नजर रखने, उन्हें गलत जानकारी देने और ज्ञात क्षमताओं के खिलाफ गुप्त रूप से बचाव करने में मदद करता है।
सरकारी एजेंसियों द्वारा खोजे गए किसी भी पिछले दरवाजे को सार्वजनिक रूप से प्रकट करने से जानकारी प्रतिद्वंद्वी को वापस मिल जाएगी, इसलिए ऐसी नीति उपर्युक्त लाभों को छीन लेगी। इन कारणों से, यह सोचना अनुचित नहीं है कि हार्डवेयर बैकडोर जनता के विश्वास से कहीं अधिक सामान्य हैं .
हालाँकि, इस प्रकार के हमलों की जटिलता और खर्च को देखते हुए, यह संभव है कि वे व्यापक तरीके के बजाय लक्षित तरीके से किए गए हों। बड़ी संख्या में लक्ष्यों से हार्डवेयर बैकडोर की खोज की संभावना भी बढ़ जाएगी, इसलिए हार्डवेयर-आधारित हमलों की सीमा को सीमित करने से उन्हें गुप्त रखने में मदद मिलेगी।
पिछला छिद्र
बैक ओरिफ़िस एक प्रसिद्ध सॉफ़्टवेयर बैकडोर है जिसे नब्बे के दशक के अंत में जारी किया गया था। वह था मूलतः प्रकाशित विंडोज़ 95 और 98 में अंतर्निहित सुरक्षा समस्याओं को दिखाने के लिए, लेकिन यह वैध रिमोट एक्सेस सॉफ़्टवेयर के रूप में भी काम कर सकता है।
इन अनुप्रयोगों के साथ-साथ, इसका उपयोग अधिक नापाक तरीके से किया जा सकता है - एक ट्रोजन के रूप में जो लक्षित प्रणालियों पर कब्ज़ा कर सकता है। जब हैकर्स ने अपने पीड़ितों को प्रोग्राम इंस्टॉल करने के लिए धोखा दिया, तो इसने एक पिछला दरवाजा बनाया जो उन्हें अपनी मशीनों तक दूरस्थ रूप से पहुंचने, कीस्ट्रोक्स लॉग करने, पासवर्ड चुराने और कंप्यूटर पर विभिन्न प्रक्रियाओं को नियंत्रित करने में सक्षम बनाता था। बैक ओरिफिस के बाद बैक ओरिफिस 2000 आया, जिसने विंडोज एनटी, विंडोज 2000 और विंडोज एक्सपी को समान तरीके से लक्षित किया।
यादृच्छिक संख्या जनरेटर में एनएसए का पिछला दरवाजा
हाल के दिनों में सबसे साहसी पिछले दरवाजे के उदाहरणों में से एक था एनएसए द्वारा लगाया गया दोहरी अण्डाकार वक्र नियतात्मक रैंडम बिट जेनरेटर (DualL_EC_DRBG) में। इसे एक क्रिप्टोग्राफ़िक रूप से सुरक्षित छद्म यादृच्छिक संख्या जनरेटर माना जाता था जिसे राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) द्वारा एक उद्योग मानक बना दिया गया था।
आइए आपको मुद्दे की गहरी समझ देने के लिए थोड़ा पीछे चलते हैं। यादृच्छिक संख्या जनरेटर क्रिप्टोग्राफी का एक महत्वपूर्ण हिस्सा हैं, और कई अनुप्रयोगों में उपयोग किए जाते हैं। हमारे कई एल्गोरिदम पर्याप्त रूप से यादृच्छिक संख्याएँ उत्पन्न करने के लिए इस प्रकार के जनरेटर पर भरोसा करते हैं - यदि यादृच्छिक संख्या जनरेटर ऐसी संख्याएँ उत्पन्न करता है जो बहुत अधिक पूर्वानुमानित होती हैं, तो हैकर्स एल्गोरिदम के साथ एन्क्रिप्ट किए गए किसी भी डेटा को डिक्रिप्ट करने में सक्षम हो सकते हैं।
2000 के दशक की शुरुआत में, एनएसए ने एक नए यादृच्छिक संख्या जनरेटर को मानकीकृत करने के प्रयास का नेतृत्व किया जो अण्डाकार वक्र क्रिप्टोग्राफी का उपयोग करता है, जिसे Dual_EC_DRBG कहा जाता है। एजेंसी ने सबसे पहले इसे अमेरिकी राष्ट्रीय मानक संस्थान (एएनएसआई) द्वारा अपनाने पर जोर दिया। मानक के लेखकों में से एक के अनुसार, जॉन केल्सी , संभावित पिछले दरवाजे के संबंध में प्रश्न पहली बार 2005 में एक बैठक में उठाए गए थे .
मुख्य मुद्दा यह था कि कुछ संख्याएँ थीं सावधानीपूर्वक इस तरह से चुना गया कि यादृच्छिक संख्या जनरेटर का आउटपुट तैयार हो सके उम्मीद के मुताबिक . इस सेटअप ने NSA को उस डेटा को डिक्रिप्ट करने में सक्षम बनाया जो Dual_EC_DRBG का उपयोग करने वाले प्रोटोकॉल द्वारा एन्क्रिप्ट किया गया था।
इन आशंकाओं को दूर करने के लिए, मानक के लेखकों ने कार्यान्वयनकर्ताओं के लिए अपने स्वयं के नंबर चुनना संभव बना दिया, जो कथित तौर पर पिछले दरवाजे को बेअसर कर देगा। हालांकि ठीक छाप मानक में कहा गया है कि अन्य मूल्यों को चुनने से वास्तव में मानक का अनुपालन नहीं होगा। वास्तव में, कार्यान्वयनकर्ताओं को पिछले दरवाजे को सक्षम करते हुए, समझौता किए गए नंबरों का उपयोग करने के लिए मजबूर किया गया था।
एक और अध्ययन पाया कि यादृच्छिक संख्या जनरेटर था अलग-अलग कारणों से असुरक्षित। क्रिप्टोनालिसिस से पता चला कि जनरेटर से आउटपुट वास्तव में यादृच्छिक नहीं था, जिससे यह अन्य हमलों के प्रति संवेदनशील हो गया।
अगले वर्षों में आलोचना और अटकलें जारी रहीं, हालांकि दोषपूर्ण एल्गोरिदम को अभी भी कुछ मुख्यधारा में अपनाया गया, विशेष रूप से आरएसए की बीएसएएफई क्रिप्टोग्राफी लाइब्रेरी के हिस्से के रूप में। एडवर्ड स्नोडेन के लीक हुए एनएसए दस्तावेजों के हिस्से के रूप में, सितंबर 2013 तक पिछले दरवाजे की जानबूझकर प्रकृति की पुष्टि नहीं हुई थी।
बड़ी मात्रा में लीक हुए डेटा के सबूत थे एनएसए का बुलरुन कार्यक्रम , जिसका उद्देश्य था एन्क्रिप्शन एल्गोरिदम को तोड़ें, बैकडोर डालें और डेटा को डिक्रिप्ट करें विभिन्न अन्य माध्यमों से। डेटा डंप में कई खुलासों में से एक यह था कि एनएसए ने Dual_EC_DRBG मानक में पिछले दरवाजे को सम्मिलित करने के लिए सक्रिय रूप से काम किया था।
लीक के बाद, एनआईएसटी, एनएसए और आरएसए ने बयान जारी कर अपने संगठनों को किसी भी भागीदारी से दूर कर दिया। इन इनकारों के बावजूद, जो तोड़फोड़ हुई थी वह क्रिप्टोग्राफी समुदाय के लोगों के लिए स्पष्ट थी।
वर्ष के अंत में, ए रॉयटर्स की रिपोर्ट पता चला कि एनएसए ने आरएसए को गुप्त रूप से $10 मिलियन का भुगतान करने की योजना बनाई ताकि Dual_EC_DRBG को बीएसएएफई में शामिल किया जा सके। विनाशकारी रिपोर्टों के बावजूद, घोटाले में शामिल संगठनों ने देना जारी रखा ध्यान से लिखे गए बयान इसके बजाय अधिक सुरक्षित यादृच्छिक संख्या जनरेटर को लागू करने की सामान्य सिफारिशों के साथ, घोटाले में उनकी भूमिका को कम कर दिया गया।
2015 तक, जुनिपर नेटवर्क अभी भी अपने नेटस्क्रीन वीपीएन राउटर्स के लिए ऑपरेटिंग सिस्टम में Dual_EC_DRBG का उपयोग कर रहा था। माना जाता है कि पिछले दरवाजे को निष्क्रिय करने के लिए जवाबी उपाय किए गए थे, लेकिन साल के अंत तक ऐसा ही हुआ की खोज की वह कोड जो इन बचावों को रद्द कर देता था, अज्ञात हमलावरों द्वारा डाला गया था . इस भेद्यता ने नेटस्क्रीन वीपीएन राउटर पर एन्क्रिप्ट किए गए ट्रैफ़िक को डिक्रिप्ट करना संभव बना दिया।
वर्डप्रेस प्लगइन बैकडोर
मई 2019 में, डिफिएंट के शोधकर्ताओं ने एक पाया पीछे का दरवाजा स्लिक पॉपअप नामक वर्डप्रेस प्लगइन में। दोष ने 1.71 तक के सभी संस्करणों को प्रभावित किया प्लगइन चलाने वाली वेबसाइटों तक पहुंचने के लिए हमलावरों द्वारा इसका उपयोग किया जा सकता है।
प्लगइन के नवीनतम संस्करणों में, क्रेडेंशियल्स को उपयोगकर्ता नाम के साथ हार्डकोड किया गया थाslickpopupteamऔर एक पासवर्डओमाकपास13#. ये क्रेडेंशियल तकनीकी कौशल वाले किसी भी व्यक्ति को मिल सकते हैं, जिससे सिस्टम की सुरक्षा जांच अप्रचलित हो जाती है .
हैकर्स इन मानों का उपयोग अपने लक्ष्य की वेबसाइटों में लॉग इन करने के लिए कर सकते हैं, फिर अन्य बैकडोर बना सकते हैं और आगे हमले शुरू कर सकते हैं। इस बात पर जोर दिया जाना चाहिए कि प्लगइन की खामी इसे तैनात करने वाले किसी भी व्यक्ति को पूरी साइट तक पहुंच प्रदान कर सकती है। यह एक और अनुस्मारक है कि उपयोगकर्ताओं को हमेशा सतर्क रहने की आवश्यकता है, क्योंकि उनकी सभी सुरक्षाओं से सिर्फ एक अविश्वसनीय प्लगइन द्वारा समझौता किया जा सकता है।
प्रारंभ में, डेवलपर ने प्लगइन के भुगतान किए गए संस्करण के लिए एक फिक्स जारी किया, लेकिन मुफ़्त संस्करण के लिए नहीं। हालाँकि डेवलपर ने मुफ़्त संस्करण के डाउनलोड को अनुपलब्ध कर दिया, लेकिन जो लोग पहले से ही प्लगइन का उपयोग कर रहे थे वे असुरक्षित बने रहे
हाल ही में सरकार ने बैकडोर की मांग की
उद्योग में अधिकांश लोगों द्वारा बैकडोर को एक बुरा विचार माने जाने के बावजूद, विभिन्न सरकारें एन्क्रिप्टेड डेटा तक विशेष पहुंच पर जोर देती रहती हैं . समय के साथ, जनता बैकडोर में शामिल अंतर्निहित जोखिमों के बारे में अधिक जागरूक हो गई है, हालांकि एक चिंताजनक प्रवृत्ति सामने आई है राजनेता अब अलग-अलग नामों से एक ही प्रकार की पहुंच की मांग करते हैं।
इससे कोई फर्क नहीं पड़ता कि राजनीतिक रूप से आकर्षक शब्दों का उपयोग किया जाता है, कोई भी प्रस्ताव जो पिछले दरवाजे जैसा दिखता है, उसमें शामिल होता है एन्क्रिप्शन और प्रमाणीकरण के मौजूदा सुरक्षा तंत्र को नष्ट करना, जो बदले में संपूर्ण सुरक्षा पारिस्थितिकी तंत्र को खतरे में डालता है।
प्रवृत्ति का एक उदाहरण एफबीआई निदेशक से आता है क्रिस रे का 2018 भाषण , जिसमें उन्होंने विशेष रूप से कहा, 'हम 'बैक डोर' की तलाश नहीं कर रहे हैं', केवल इस टिप्पणी के साथ कि, 'हम जो मांग रहे हैं वह डिवाइस तक पहुंचने की क्षमता है जब हम वारंट प्राप्त कर लेंगे।' एक स्वतंत्र न्यायाधीश, जिन्होंने कहा है कि हमारे पास संभावित कारण हैं।'
रे के सर्वोत्तम प्रयासों के बावजूद, उनके दो बयान विरोधाभासी हैं। पिछले दरवाजे की प्रणाली ही एकमात्र उचित तरीका है जिससे अधिकारियों को एन्क्रिप्टेड संचार तक विशेष पहुंच प्रदान की जा सकती है, चाहे इस प्रक्रिया में न्यायाधीश और वारंट शामिल हों या नहीं।
एफबीआई अपनी परस्पर विरोधी मांगों में अकेली नहीं है। यूके के समकक्ष, जीसीएचक्यू ने एक अलग दृष्टिकोण अपनाया है, जिसका वैश्विक सुरक्षा पर समान प्रकार का संभावित प्रभाव है। एक में निबंध लॉफ़ेयर ब्लॉग पर पोस्ट किया गया, जीसीएचक्यू के तहत काम करने वाले दो तकनीकी निदेशकों ने एक ऐसी प्रणाली के लिए तर्क दिया जो फोन के तार पर मगरमच्छ क्लिप लगाने और सुनने की पुरानी चाल के अनुरूप प्रतीत होती थी।
हालांकि उनका प्रस्ताव आशाजनक लग सकता है, लेकिन जांच के दौरान यह विफल हो जाता है। विवाद का पहला प्रमुख मुद्दा यह है हमारी ऑनलाइन दुनिया में एंड-टू-एंड एन्क्रिप्शन पहले की फोन लाइनों से काफी अलग है . किसी फ़ोन लाइन में गड़बड़ी करने के लिए उस तक भौतिक पहुंच की आवश्यकता होती है, जबकि डिजिटल संचार जो ठीक से सुरक्षित नहीं किया गया है, सैद्धांतिक रूप से दुनिया में कहीं से भी उसमें सेंध लगाई जा सकती है।
यह एक असुरक्षित ऑनलाइन संचार चैनल को एक असुरक्षित फोन तार की तुलना में कहीं अधिक असुरक्षित बनाता है। एक मंगोलियाई हैकर शायद ही पहाड़ों और समुद्रों में अपना रास्ता बनाने की जहमत उठाएगा ताकि वे फोन लाइन पर सुन सकें, लेकिन जब इंटरनेट-आधारित हमले चलन में आते हैं तो भौगोलिक दूरी अप्रासंगिक हो जाती है।
जीसीएचक्यू योजना तकनीकी कंपनियों पर दबाव डालने की वकालत करती है 'चुपचाप एक कानून प्रवर्तन भागीदार को समूह चैट या कॉल में जोड़ें।' निबंध में दावा किया गया है कि इस तरह का सेटअप अधिकारियों को एंड-टू-एंड एन्क्रिप्शन बनाए रखते हुए सुनने की अनुमति देगा, लेकिन यह इतना आसान नहीं है।
Apple, Google और Microsoft के साथ-साथ प्रमुख क्रिप्टोग्राफरों सहित तकनीकी कंपनियों के एक समूह ने इसे अपने में सबसे अच्छा बताया खुला पत्र प्रस्ताव का विरोध
“ जीसीएचक्यू घोस्ट प्रोटोकॉल डिजिटल सुरक्षा के लिए गंभीर खतरे पैदा करता है: यदि लागू किया जाता है, तो यह प्रमाणीकरण प्रक्रिया को कमजोर कर देगा जो उपयोगकर्ताओं को यह सत्यापित करने में सक्षम बनाता है कि वे सही लोगों के साथ संचार कर रहे हैं, संभावित अनजाने कमजोरियों का परिचय देते हैं, और जोखिम बढ़ाते हैं कि संचार प्रणालियों का दुरुपयोग या दुरुपयोग किया जा सकता है।
“इन साइबर सुरक्षा जोखिमों का मतलब है कि उपयोगकर्ता भरोसा नहीं कर सकते कि उनका संचार सुरक्षित है, क्योंकि उपयोगकर्ता अब इस बात पर भरोसा नहीं कर पाएंगे कि वे जानते हैं कि उनके संचार के दूसरे छोर पर कौन है, जिससे गोपनीयता और स्वतंत्र अभिव्यक्ति सहित मौलिक मानवाधिकारों के लिए खतरा पैदा हो गया है। इसके अलावा, सिस्टम नई संभावित कमजोरियों और दुरुपयोग के जोखिमों के अधीन होंगे।'
इसके विपरीत निबंध के सावधानीपूर्वक तर्क के बावजूद, जीसीएचक्यू का प्रस्ताव चाहता है संचार प्लेटफ़ॉर्म में सामान्य प्रमाणीकरण तंत्र को बायपास करें। यह अनिवार्य रूप से इसे किसी अन्य नाम से बैकडोर बना देगा, और वही जोखिम उठाएगा।
जर्मनों ने खुद को एन्क्रिप्शन-विरोधी सर्कस से बाहर नहीं रखा है, इस पर विचार कर रहे हैं अपने कानून इससे तकनीकी कंपनियों को अदालत द्वारा आदेश दिए जाने पर एन्क्रिप्टेड बातचीत के सादे पाठ को सौंपने के लिए मजबूर किया जाएगा।
यह वर्तमान में किसी भी सार्थक एन्क्रिप्टेड मैसेजिंग सिस्टम में असंभव है, इसलिए यदि कानून बनाए जाते हैं, कंपनियों को अपनी सेवाओं में बदलाव करना होगा और सुरक्षा को कमजोर करना होगा . जैसा कि हमने बार-बार चर्चा की है, ऐसा प्रस्ताव वैश्विक सुरक्षा के लिए हानिकारक होगा।
जब खराब तरीके से सोचे गए सुरक्षा कानूनों की बात आती है तो ऑस्ट्रेलिया ने हाल ही में खुद को विश्व नेता के रूप में स्थापित किया है। पिछले साल के अंत में, यह पारित हो गया सहायता और पहुंच विधेयक , जो कानून का एक अस्पष्ट और बिना पॉलिश किया हुआ संग्रह था जो तकनीकी कंपनियों को अपनी सुरक्षा को कमजोर करने के लिए भी मजबूर कर सकता है।
दुर्भाग्य से, ऐसी माँगों के पीछे की प्रक्रियाएँ गोपनीयता में डूबी हुई हैं, इसलिए जनता को कभी पता नहीं चलेगा कि शक्तियों का उपयोग कैसे किया जा रहा है और उनके क्या प्रभाव हो सकते हैं।
हम पिछले दरवाजे के जोखिमों को कम करने में कैसे मदद कर सकते हैं?
प्रौद्योगिकी के वर्तमान युग में बैकडोर एक गर्म विषय है, हमले के तरीके के रूप में और प्रस्तावों के हिस्से के रूप में जिसका उद्देश्य हमारे समाजों को आपराधिक खतरों से बचाना है। हालाँकि किसी भी प्रकार के ख़त्म होने का कोई संकेत नहीं है, लेकिन ऐसी कई चीज़ें हैं जो हम पिछले दरवाजे के जोखिमों को कम करने के लिए कर सकते हैं।
ऐसे किसी भी कानून का विरोध करें जो पिछले दरवाजे को अनिवार्य बनाता हो
सबसे स्पष्ट कदम है ऐसे किसी भी कानून का विरोध करें जिसका उद्देश्य पिछले दरवाजे जोड़ना या अन्यथा हमारी सुरक्षा प्रणालियों से समझौता करना है . इससे कोई फर्क नहीं पड़ता कि सरकार किस प्रकार के औचित्य का उपयोग करने की कोशिश करती है, चाहे वह आतंकवाद हो या अपराध, इन प्रस्तावों से सामान्य सुरक्षा को कहीं अधिक नुकसान होने की संभावना है, जिसकी भरपाई वे बुरे लोगों को पकड़ने में कभी नहीं कर सकते।
यदि आपका देश ऐसे कानूनों का प्रस्ताव कर रहा है जो सुरक्षा के लिए हानिकारक हो सकते हैं, तो आप राजनीतिक प्रक्रिया में शामिल होना चाहेंगे और कानूनों को खत्म करने की मांग करेंगे। इसमें विरोध प्रदर्शन में जाना, अपने प्रतिनिधियों को पत्र लिखना या अन्य राजनीतिक कार्रवाई करना शामिल हो सकता है।
आपके सर्वोत्तम प्रयासों के बावजूद, ऐसा विरोध हमेशा प्रभावी नहीं हो सकता है - बस ऑस्ट्रेलिया को देखें। सहायता और पहुंच विधेयक के मसौदे के प्रकाशन के जवाब में किए गए 343 प्रस्तुतियों में से एक को छोड़कर सभी विधेयक की आलोचना करते थे। इतने भारी विरोध के बाद भी किसी तरह कानून पारित हो गया।
चुनौतियों के बावजूद, ऐसे प्रस्तावों के खिलाफ राजनीतिक कार्रवाई प्रयास के लायक है। जनता के विरोध ने पहले भी बहस जीती है - आपको यह आश्वासन देने के लिए ऊपर दिए गए क्लिपर चिप उदाहरण को देखने की ज़रूरत है कि यह हमेशा एक निराशाजनक प्रयास नहीं है।
हार्डवेयर बैकडोर
हार्डवेयर बैकडोर का पता लगाना अविश्वसनीय रूप से कठिन हो सकता है, खासकर यदि उन्हें एक परिष्कृत हमले के हिस्से के रूप में पेश किया गया हो। यह हमें असुरक्षित बनाता है, खासकर जब आप इस पर विचार करते हैं अधिकांश प्रौद्योगिकी आपूर्ति शृंखला उन देशों में आधारित है जहां विरोधियों के पास पिछले दरवाजे से घुसपैठ करने के कई अवसर हैं।
आपूर्ति श्रृंखला को स्थानांतरित करना शायद ही कोई व्यावहारिक दृष्टिकोण है। आवश्यक बुनियादी ढाँचा स्थापित करने में दशकों लगेंगे, और श्रम लागत में वृद्धि के कारण तकनीकी उत्पादों की कीमत काफी अधिक होगी . हालाँकि, इसे दीर्घकालिक विकल्प के रूप में मानना अभी भी सार्थक है, विशेष रूप से संवेदनशील प्रक्रियाओं में उपयोग किए जाने वाले महत्वपूर्ण बुनियादी ढांचे और हार्डवेयर के लिए।
जब सैन्य और सरकारी प्रणालियों जैसे उच्च मूल्य वाले लक्ष्यों की बात आती है तो विभिन्न प्रकार की जाँचें अपेक्षाकृत प्रभावी लगती हैं। हालाँकि ये नियमित उपयोगकर्ताओं तक विस्तारित नहीं हैं, लेकिन रोजमर्रा के उपभोक्ताओं को अपने कंप्यूटर और उपकरणों में हार्डवेयर बैकडोर की संभावना के बारे में बहुत चिंतित नहीं होना चाहिए। ऐसा इसलिए है क्योंकि अधिकांश लोग उस जानकारी से निपटते नहीं हैं जो व्यापक पैमाने पर बैकडोर डालने की लागत को उचित ठहराने के लिए पर्याप्त मूल्यवान है।
सॉफ़्टवेयर बैकडोर
सॉफ़्टवेयर बैकडोर अधिक चिंता का विषय हैं, क्योंकि उन्हें सम्मिलित करना बहुत सस्ता और आसान है। इन पिछले दरवाजों के जोखिम हो सकते हैं जहां संभव हो, ओपन-सोर्स सॉफ़्टवेयर का उपयोग करके इसे आंशिक रूप से कम किया जाए। स्रोत कोड की खुली प्रकृति का मतलब है कि कई लोग स्वतंत्र रूप से इसे देख सकते हैं, जिससे पिछले दरवाजे की खोज की संभावना अधिक हो जाती है।
पिछले दरवाज़ों को भी सीमित किया जा सकता है सॉफ़्टवेयर को प्रतिलिपि प्रस्तुत करने योग्य बिल्ड के रूप में संकलित करना। यह प्रक्रिया अनिवार्य रूप से उस स्रोत कोड के बीच विश्वास की एक श्रृंखला स्थापित करती है जिसे मनुष्य पढ़ सकते हैं, और बाइनरी कोड जिसे मशीनें संचार के लिए उपयोग करती हैं।
इस तरीके से सॉफ़्टवेयर डिज़ाइन करने से यह साबित करना संभव हो जाता है कि स्रोत कोड के साथ हस्तक्षेप किया गया है या नहीं, जिससे पिछले दरवाजे जैसे खतरों का पता लगाना आसान हो जाता है।
जोखिमों को कम करने के लिए एक और महत्वपूर्ण कदम है यथाशीघ्र सॉफ़्टवेयर अद्यतन करें . ऐसा इसलिए है क्योंकि जब पिछले दरवाजे खोजे जाते हैं और सार्वजनिक किए जाते हैं, तो अगले सॉफ़्टवेयर अपडेट में अक्सर इसके लिए एक समाधान होता है। यदि आप अपडेट को रोकते हैं, तो आप अधिक असुरक्षित हो सकते हैं, क्योंकि पिछले दरवाजे के आसपास के प्रचार के कारण अन्य हैकर इसके माध्यम से हमले शुरू कर सकते हैं।
यदि सरकारों द्वारा पिछले दरवाजे लागू कर दिए जाएं तो क्या होगा?
यदि पिछले दरवाजे को अनिवार्य करने वाले कानून पेश किए जाते हैं, तो संभावना यह है कि यह एक पर होगा देश-दर-देश आधार पर . मान लीजिए कि अमेरिका अपनी सभी कंपनियों को पिछले दरवाजे लागू करने के लिए मजबूर करता है जो अधिकारियों को पहले से एन्क्रिप्टेड उपयोगकर्ता डेटा तक पहुंचने की इजाजत देता है। यदि कोई कंपनी ऐसी मांगों से बचना चाहती है, तो वह ऐसा करने में सक्षम हो सकती है अपने परिचालन को किसी अन्य क्षेत्राधिकार में ले जाएं जहां उसे अनुपालन के लिए बाध्य नहीं किया जाए।
वैकल्पिक रूप से, उपयोगकर्ता किसी अन्य देश में स्थित संदेश सेवा पर स्थानांतरित हो सकते हैं यह ऐसे कानूनों के अधीन नहीं है, जो उन्हें पिछले दरवाजे से होने वाले संभावित समझौतों से बचने की अनुमति देता है। यदि हर देश में बैकडोर अनिवार्य हो, तो विकेन्द्रीकृत एन्क्रिप्शन ऐप्स सामने आ सकते हैं जो किसी भी अधिकार क्षेत्र पर आधारित नहीं हैं।
हमें यथार्थवादी होना होगा और इसे समझना होगा किसी भी संभावित एन्क्रिप्शन बैकडोर कानून से बचने के रास्ते हमेशा मौजूद रहेंगे . समस्या यह है कि केवल सबसे मजबूत प्रेरणा वाले लोग - आतंकवादी, अपराधी और उनके जैसे - ही इन तरीकों का उपयोग करने के लिए परेशान होंगे .
वास्तव में, पिछले दरवाजे से कानून बनाने से केवल सामान्य सुरक्षा से समझौता होगा, और क्योंकि अपराधी अपने संचार को सुरक्षित करने के लिए और अधिक जटिल तरीकों की ओर बढ़ेंगे, ऐसे कानून अधिकारियों को वह परिणाम नहीं देंगे जिनका वे किसी भी महत्वपूर्ण तरीके से पीछा कर रहे हैं।
ए विशेषज्ञों का बड़ा बहुमत क्षेत्र में इस बात से सहमत हैं कि जानबूझकर हमारे सिस्टम में पिछले दरवाजे डालने से हर कोई अधिक असुरक्षित हो जाता है। अधिकारियों को जो भी न्यूनतम लाभ मिल सकता है, उसके मुकाबले संभावित खतरों को उचित ठहराना कठिन है। तो हम विशेषज्ञों की बात क्यों नहीं सुन रहे हैं?
पीछे का दरवाजा जोस्ट मार्करिंक द्वारा लाइसेंस प्राप्त सीसी0