విదేశీ లక్ష్యాలను హ్యాక్ చేయడానికి NSA యొక్క సాఫ్ట్‌వేర్ లోపాలను ఉపయోగించడం సైబర్‌ సెక్యూరిటీకి ప్రమాదాలను కలిగిస్తుంది

బ్లాగులు

విదేశీ లక్ష్యాల కంప్యూటర్లలోకి చొచ్చుకుపోవడానికి, నేషనల్ సెక్యూరిటీ ఏజెన్సీ ఇంటర్నెట్ పైపులలో గుర్తించబడని సాఫ్ట్‌వేర్ లోపాలపై ఆధారపడుతుంది. సంవత్సరాల తరబడి, భద్రతా నిపుణులు ఈ బగ్‌లను బహిర్గతం చేయమని ఏజెన్సీని ఒత్తిడి చేశారు, తద్వారా వాటిని పరిష్కరించవచ్చు, అయితే ఏజెన్సీ హ్యాకర్లు తరచుగా విముఖత చూపుతున్నారు.

బాబ్ బెకెల్ తిరిగి నక్కపైకి వచ్చాడు

ఇప్పుడు వారాంతంలో NSA హ్యాకింగ్ టూల్స్‌ని రహస్యంగా విడుదల చేయడంతో, ఏజెన్సీ ప్రమాదకర ప్రయోజనాన్ని కోల్పోయింది, నిపుణులు అంటున్నారు మరియు ప్రపంచవ్యాప్తంగా ఉన్న లెక్కలేనన్ని పెద్ద కంపెనీలు మరియు ప్రభుత్వ ఏజెన్సీల భద్రతను ప్రమాదంలో పడే అవకాశం ఉంది.

అనేక సాధనాలు వాణిజ్య ఫైర్‌వాల్‌లలోని లోపాలను ఉపయోగించుకున్నాయి, అవి అన్‌ప్యాచ్ చేయబడి ఉన్నాయి మరియు అవి అందరికీ చూడటానికి ఇంటర్నెట్‌లో ఉన్నాయి. బేస్మెంట్ హ్యాకర్ నుండి అధునాతన విదేశీ గూఢచారి ఏజెన్సీ వరకు ఎవరైనా ఇప్పుడు వాటిని యాక్సెస్ చేయగలరు మరియు లోపాలను పరిష్కరించే వరకు, అనేక కంప్యూటర్ సిస్టమ్‌లు ప్రమాదంలో ఉండవచ్చు.

NSA కాష్ యొక్క వెల్లడి, ఇది 2013 నాటిది మరియు ఏజెన్సీ ద్వారా ధృవీకరించబడలేదు, ఏ సాఫ్ట్‌వేర్ లోపాలను బహిర్గతం చేయాలి మరియు ఏది రహస్యంగా ఉంచాలి అనేదానిని గుర్తించడానికి పరిపాలన యొక్క అంతగా తెలియని ప్రక్రియను కూడా హైలైట్ చేస్తుంది.

హ్యాకర్ సాధనాల విడుదల U.S. ప్రభుత్వం తన స్వంత ఉపయోగం కోసం కంప్యూటర్ దుర్బలత్వాలను నిల్వచేసే కీలక ప్రమాదాన్ని ప్రదర్శిస్తుంది: వేరొకరు వాటిని పట్టుకుని మనకు వ్యతిరేకంగా వాటిని ఉపయోగించవచ్చని న్యూ అమెరికాస్ ఓపెన్ టెక్నాలజీ ఇన్స్టిట్యూట్ డైరెక్టర్ కెవిన్ బ్యాంక్‌స్టన్ అన్నారు.

అందుకే సాఫ్ట్‌వేర్ విక్రేతలు కొనుగోలు చేసే లేదా కనుగొనే దుర్బలత్వాలను వీలైనంత త్వరగా తెలియజేయడం US ప్రభుత్వ విధానంగా ఉండాలి, కాబట్టి మనమందరం మన స్వంత సైబర్‌ భద్రతను మరింత మెరుగ్గా కాపాడుకోగలం.

వారాంతంలో విడుదల దాని వెనుక ఎవరు ఉండవచ్చనే దాని గురించి తక్షణ ఊహాగానాలు ప్రేరేపించబడ్డాయి. షాడో బ్రోకర్స్ అని పిలుస్తున్న ఒక సమూహం బాధ్యత వహించింది. కొంతమంది నిపుణులు మరియు మాజీ ఉద్యోగులు అనుమానిస్తున్నారు, అయితే కఠినమైన సాక్ష్యం లేకుండా, రష్యా ప్రమేయం ఉంది. ఇతర మాజీ ఉద్యోగులు లాభాన్ని పొందాలని కోరుకునే అసంతృప్త అంతర్గత వ్యక్తి అని అంటున్నారు.

అది ఎవరైనప్పటికీ, మరొక ప్రభుత్వం కోసం పనిచేసే వారు తప్పనిసరిగా ఈ [ఫైర్‌వాల్‌ల] వెనుక కూర్చున్న కంపెనీలను బందీలుగా ఉంచడం చాలా ఆందోళన కలిగిస్తుంది, ఇది చాలా హాని కలిగిస్తుంది, అని ఏరియా 1 సెక్యూరిటీ చీఫ్ ఎగ్జిక్యూటివ్ మరియు మాజీ NSA విశ్లేషకుడు ఓరెన్ ఫాల్కోవిట్జ్ అన్నారు.

సిస్కో, జునిపెర్ మరియు ఫోర్టినెట్ విక్రయించే ఫైర్‌వాల్‌లు బాగా ప్రాచుర్యం పొందాయి మరియు పెద్ద-స్థాయి ఎంటర్‌ప్రైజ్ సిస్టమ్‌లలో పని చేస్తాయి. ఇవి చాలా చాలా శక్తివంతమైన మరియు విజయవంతమైన ఉత్పత్తులు, ఫాల్కోవిట్జ్ చెప్పారు. అవి ఇద్దరు వ్యక్తులు కొనుగోలు చేసిన పరికరాలు కాదు.

ఇప్పటికే, కంపెనీలు కోడ్‌ను రివర్స్-ఇంజనీర్ చేయడానికి, ఏవైనా లోపాలను గుర్తించడానికి మరియు ప్యాచ్‌లను రూపొందించడానికి పోటీపడుతున్నాయి. సిస్కో బుధవారం లోపాలలో ఒకటి జీరో-డే అని ధృవీకరించింది - ఇది మునుపు ప్రజలకు తెలియదు - మరియు ఇది పరిష్కారానికి పని చేస్తోంది. లోపం ఒక సాధనం లేదా ఎక్స్‌ట్రాబాకాన్ అనే కోడ్‌ని ఉపయోగించుకోవడంలో ఉంది.

ఈ రోజు ఎందుకు తగ్గింది

విడుదల చేసిన ఫైల్‌ను కంపెనీ సమీక్షిస్తోందని జునిపెర్ ప్రతినిధి లెస్లీ మూర్ తెలిపారు. ఉత్పత్తి దుర్బలత్వం గుర్తించబడితే, మేము విషయాన్ని పరిష్కరిస్తాము మరియు మా కస్టమర్లకు కమ్యూనికేట్ చేస్తాము, ఆమె చెప్పారు.

ఫోర్టిగేట్ ఫైర్‌వాల్ వెర్షన్ 4.Xని నడుపుతున్న కస్టమర్‌లతో సంస్థ చురుకుగా పనిచేస్తోందని మరియు వారు తమ సిస్టమ్‌లను అత్యధిక ప్రాధాన్యతతో అప్‌డేట్ చేయాలని గట్టిగా సిఫార్సు చేస్తున్నామని ఫోర్టినెట్ ప్రతినిధి సాండ్రా వీట్లీ స్మెర్డాన్ తెలిపారు.

సాఫ్ట్‌వేర్ లోపాలను ఎప్పుడు పంచుకోవాలో నిర్ణయించడానికి ప్రభుత్వం ఒక ప్రక్రియను కలిగి ఉంది. NSA మరియు FBI వంటి ఏజెన్సీలు వారు కనుగొన్న ఏవైనా లోపాలను బహుళ ఏజెన్సీ నిపుణుల సమూహానికి సమర్పించవలసి ఉంటుంది, వారు బలహీనతలను రహస్యంగా ఉంచడం వల్ల ప్రజల సైబర్ భద్రత కంటే ఎక్కువ ప్రయోజనం ఉందో లేదో అంచనా వేస్తారు.

వైట్ హౌస్ సైబర్ సెక్యూరిటీ కోఆర్డినేటర్ మైఖేల్ డేనియల్ మాట్లాడుతూ, చాలా సందర్భాలలో, బగ్‌ను బహిర్గతం చేయడం జాతీయ ప్రయోజనాలకు సంబంధించినది. మల్టీ ఏజెన్సీ ప్రక్రియ 2014 వసంతకాలం వరకు నిజంగా ప్రారంభం కాలేదు. NSA దాని స్వంత అంతర్గత ప్రక్రియను కలిగి ఉంది.

ఎలాగైనా, ఈ సందర్భంలో, బహిర్గతం ఎప్పుడూ జరగలేదు.

మీరు అసురక్షిత దోపిడీలను కలిగి ఉన్న భద్రతా ఏజెన్సీలను కలిగి ఉన్నప్పుడు ఇది జరుగుతుంది - అందరికీ పేద భద్రత, కెవిన్ బ్యూమాంట్, లీకైన కొన్ని సాధనాలు ఇప్పటికీ అన్‌ప్యాచ్ చేయని దుర్బలత్వాలపై ఆధారపడతాయని ధృవీకరించిన సైబర్‌ సెక్యూరిటీ పరిశోధకుడు చెప్పారు.

విడుదలైన టూల్ కాష్‌తో పనిచేసిన మాజీ NSA సిబ్బంది, వారు ఏజెన్సీలో పనిచేసినప్పుడు, బహిర్గతం చేయడానికి విముఖత ఉందని చెప్పారు.

నేను అక్కడ ఉన్నప్పుడు, ఏజెన్సీ ఉపయోగించిన జీరో-డే [లోపం] యొక్క ఒక్క ఉదాహరణ గురించి నేను ఆలోచించలేను, అక్కడ మేము తర్వాత, 'సరే, మేము పూర్తి చేసాము మరియు దానిని రక్షణ వైపుకు మారుద్దాం కాబట్టి వారు దానిని ప్యాచ్ చేయవచ్చు,' అని ఏజెన్సీ యొక్క టైలర్డ్ యాక్సెస్ ఆర్గనైజేషన్‌లో సంవత్సరాలుగా పనిచేసిన మాజీ ఉద్యోగి చెప్పారు. ఆ సమయంలో ఇలాంటి లోపాలను వందల సంఖ్యలో చూశానన్నారు.

వర్ణమాల యొక్క 17వ అక్షరం

అతను జోడించాడు: ఇది సక్రియంగా ఉపయోగంలో ఉన్నట్లయితే, అది బహిర్గతం కాకుండా నిరోధించడానికి వారు అన్ని గెట్-అవుట్‌ల వలె పోరాడుతారని నా అనుభవం.

సున్నితమైన ప్రభుత్వ కార్యకలాపాలను వివరించడానికి అజ్ఞాత పరిస్థితిపై మాట్లాడిన రెండవ మాజీ ఉద్యోగి ఇలా అన్నారు: మీకు సామర్థ్యాలు ఉన్న ప్రపంచంలో జీవించడం చాలా కష్టం మరియు మీరు మీ సామర్థ్యాలను మీ రక్షణ బృందానికి వెల్లడిస్తున్నారు.

ఈ మాజీ ఆపరేటర్ మాట్లాడుతూ, కొన్నిసార్లు దుర్బలత్వం ఏర్పడుతుందని, అయితే మీరు దానిని ప్రత్యేక సాంకేతికతతో వేరే పద్ధతిలో ఆయుధం చేస్తే, సాధనం యొక్క దీర్ఘాయువును పెంచడానికి ఇది ఒక మార్గం.

ఆ విధంగా, ఒక లోపం చాలా సంవత్సరాలు మంచిగా ఉంటుంది.

బగ్ కనుగొనబడకుండా ఉండటానికి రెండు లేదా మూడు సంవత్సరాలు చాలా కాలం కాదు, సెంటర్ ఫర్ డెమోక్రసీ & టెక్నాలజీలో చీఫ్ టెక్నాలజిస్ట్ జోసెఫ్ లోరెంజో హాల్ అన్నారు.

ఉదాహరణకు, హార్ట్‌బ్లీడ్ అనే పెద్ద దుర్బలత్వం 2011లో విస్తృతంగా ఉపయోగించే ఎన్‌క్రిప్షన్ సాఫ్ట్‌వేర్ కోడ్‌లోకి ప్రవేశించింది, కానీ 2014 వరకు వెలుగులోకి రాలేదు, అతను పేర్కొన్నాడు. గత సంవత్సరం, మైక్రోసాఫ్ట్ కనీసం ఒక దశాబ్దం పాటు విండోస్‌లో దాగి ఉన్న క్లిష్టమైన జీరో-డే బగ్‌ను పరిష్కరించింది.

సాఫ్ట్‌వేర్‌లో చాలా దుర్బలత్వాలు ఉన్నాయి, వాటిని మనం కనుగొనలేము, హాల్ చెప్పారు. ఇది నిజంగా భయానకంగా ఉంది, ప్రత్యేకించి మీరు సిస్టమ్‌లను సురక్షితంగా ఉంచడంలో సహాయపడే ఫైర్‌వాల్‌ల వంటి సాంకేతికత గురించి మాట్లాడుతున్నప్పుడు.

విడుదలను అధ్యయనం చేస్తున్న నిపుణులు, చివరి ఫైల్ సృష్టించిన తేదీ అయిన అక్టోబర్ 2013లో బహుశా దొంగిలించబడిందని చెప్పారు. అది నిజమైతే, హాని కలిగించే ఫైర్‌వాల్‌లను ఉపయోగించి కంపెనీలను హ్యాక్ చేయడానికి లేదా NSA యొక్క స్వంత సైబర్ గూఢచర్యాన్ని చూడటానికి ఎవరైనా లేదా మరొక గూఢచారి ఏజెన్సీకి సమయం ఉంది.

మాజీ కాంట్రాక్టర్ ఎడ్వర్డ్ స్నోడెన్‌తో సహా గత NSA ఉద్యోగులు, ఏజెన్సీ యొక్క సర్వర్‌ల నుండి పదార్థం హ్యాక్ చేయబడే అవకాశం లేదని చెప్పారు. లక్ష్యాలపై హ్యాక్‌లను నిర్వహించడానికి ఉపయోగించే సర్వర్‌లో TAO హ్యాకర్ ద్వారా టూల్స్ అప్‌లోడ్ చేయబడి, అనుకోకుండా వదిలివేయబడిందని కొందరు అంటున్నారు. ఈ సర్వర్‌లను కొన్నిసార్లు రీడైరెక్టర్‌లు లేదా స్టేజింగ్ సర్వర్లు అని పిలుస్తారు మరియు అవి హ్యాకర్ యొక్క నిజమైన స్థానాన్ని మాస్క్ చేస్తాయి.

NSA ఎల్లప్పుడూ దాని సిస్టమ్‌లపై ఆడిట్ నియంత్రణలను కలిగి ఉంటుంది. కానీ ముఖ్యంగా జూన్ 2013లో మీడియాలో కనిపించడం ప్రారంభించిన స్నోడెన్ వర్గీకృత మెటీరియల్ లీక్‌ల నేపథ్యంలో, ఏజెన్సీ తన నియంత్రణ విధానాలను బలోపేతం చేసింది.

ఇంకా చదవండి:

శక్తివంతమైన NSA సాధనాలు ఆన్‌లైన్‌లో వెల్లడయ్యాయి

ఐఫోన్ హ్యాకింగ్ సాధనాన్ని FBI కొనుగోలు చేయడాన్ని కోమీ సమర్థించారు

గ్రీన్ కార్డ్ తాజా వార్తలు ఈరోజు

NSA హ్యాకింగ్ టూల్స్ ఆన్‌లైన్‌లో లీక్ అయ్యాయి. మీరు తెలుసుకోవలసినది ఇక్కడ ఉంది.