2 पॉइंट द्वारा GN⁺ 2024-05-19 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • यूरोप की साइबर सुरक्षा अब हैकिंग और रैंसमवेयर से निपटने से आगे बढ़कर यह पूछने का मुद्दा बन रही है कि युद्ध-पूर्व दौर में संचार, बिजली, पुल और सरकारी IT अव्यवस्था के बीच भी टिक पाएंगे या नहीं
  • मुख्य शर्तें हैं मजबूत infrastructure जो अपने-आप न ढहे, ज्ञात dependencies, और समस्या आने पर खुद ठीक कर सकने वाली तकनीकी ownership
  • Stuxnet, Viasat modem का विनाश, यूक्रेन के power grid और Kyivstar पर हमले दिखाते हैं कि साइबर हमले service outage से आगे बढ़कर equipment destruction और सामाजिक infrastructure paralysis तक पहुंच सकते हैं
  • Netherlands के emergency communication network और bridge operations cloud, telephone network, VPN और विदेशी maintenance staff पर निर्भर हैं, जिससे power outage या युद्ध की स्थिति में recovery chain टूट सकती है
  • Google, Microsoft, AWS और विदेशी telecom equipment operations पर निर्भरता बढ़ने के दौरान internal technical staff घट रहे हैं, और संगठनों की self-recovery capability भी कमजोर हो रही है

युद्ध-पूर्व दौर की साइबर सुरक्षा

  • Donald Tusk ने कहा कि यूरोप एक “नए युग”, यानी युद्ध-पूर्व दौर में प्रवेश कर चुका है, और इस संदर्भ में साइबर सुरक्षा को secret protection या ransomware defence से आगे बढ़कर social infrastructure की survivability के मुद्दे के रूप में देखा जाना चाहिए
  • NATO Secretary General Mark Rutte ने भी 12 दिसंबर 2024 के भाषण में कहा कि “wartime mindset में shift करने का समय” है
  • बिजली कटना, internet outage, hospitals का ठप होना जैसे catastrophic cyber incidents को लेकर सभी चिंतित हैं, लेकिन अभी तक वे सीमित रूप में ही हुए हैं
  • 2013 में Brenno de Winter का मानना था कि Titanic के डूबने जैसी बड़ी दुर्घटना होने पर ही regulation सच में तेज होगा, लेकिन ऐसी घटना के बिना भी EU ने कई cyber security laws बनाए
    • पहले से तैयार कानून लगभग 6–7 के स्तर पर मौजूद हैं, लेकिन केवल एक आंशिक रूप से active हुआ है और बाकी अभी introduction phase में हैं
    • ये कानून कुछ हद तक cyber security स्थिति सुधार सकने वाले post-Titanic environment जैसे हैं

वास्तविक सैन्य cyber attack के उदाहरण

  • Stuxnet ईरान की uranium centrifuge facility को निशाना बनाने वाला operation था, जिसने facility को केवल बंद नहीं किया बल्कि उसे physically खुद खराब होने पर मजबूर किया
  • Russia के Ukraine invasion से ठीक पहले Viasat modem attack हुआ
    • हमलावरों ने satellite communication modems का firmware मिटा दिया, जिससे equipment को replace करना पड़ा
    • Germany में इन modems का उपयोग करने वाली 4,000 wind turbines अब operate नहीं हो सकीं
    • Ukraine military communications भी बुरी तरह बाधित हुए, जिससे Russia को फायदा हुआ
  • Russia इससे पहले भी मिलते-जुलते तरीके से Ukraine power grid को paralysed कर चुका था
    • Ukraine की ओर से system सरल और robust था, और response capability भी अच्छी थी, इसलिए outage लगभग 6 घंटे तक ही रहा
  • ये उदाहरण दुर्लभ हैं, लेकिन दिखाते हैं कि युद्ध की स्थिति में cyber attacks network outage से आगे बढ़कर equipment destruction और social infrastructure paralysis तक जा सकते हैं

अव्यवस्था में जरूरी तीन शर्तें

  • युद्ध, बड़े पैमाने की अव्यवस्था और power outage की स्थितियों में तीन properties महत्वपूर्ण हैं
    • Robustness: infrastructure पर हमला न भी हो, तो भी उसे अपने-आप नहीं गिरना चाहिए
    • सीमित और ज्ञात dependencies: यह पता होना चाहिए कि क्या आप 5,000 km दूर मौजूद computer या व्यक्ति पर निर्भर हैं
    • Repairable ownership: equipment, firmware, wiring और configuration state को खुद समझने और temporary fixes तक करने की क्षमता होनी चाहिए
  • Microsoft 365 जैसे modern communication tools बिना attack के भी साल में एक-दो दिन outage दे सकते हैं, इसलिए इस अर्थ में उन्हें robust infrastructure मानना मुश्किल है
  • जिस telecom operator का equipment maintenance 5,000 km दूर से होता है, connection टूटने पर उससे मदद मिलना मुश्किल होगा
  • emergency में सही cable न होने पर unofficial cable इस्तेमाल करनी पड़ सकती है, या firmware खुद ठीक करना पड़ सकता है

Emergency communication network का पीछे हटना

  • sound-powered phone ऐसा simple equipment है जो बिजली के बिना काम करता है, और ship में आग लगने की स्थिति में भी deck से बात कर सकता है
    • इतना simple और robust कि hammer से मारने पर भी काम कर सकता है
    • अधिकतम 10 stations से बात कर सकता है और 50 km cable पर भी operate कर सकता है
  • Netherlands का पुराना Mini-noodnet 20 bunkers को जोड़ने वाला copper wire-based emergency communication network था
    • यह ordinary telephone network से पूरी तरह independent था, और युद्ध व disaster में survive करने के लिए design किया गया था
    • इसका structure A/B fully redundant था
  • यह network बंद कर दिया गया, और modernised emergency communication facilities KPN VPN service और DSL modem पर निर्भर हैं
    • सभी calls KPN के कई routers से होकर जाती हैं, और कुछ टूटे तो पहले इसी के टूटने की संभावना अधिक है
    • कुछ साल पहले power outage के दौरान इस system को इस्तेमाल करने की कोशिश हुई, लेकिन यह काम नहीं किया
  • WhatsApp Netherlands government के de facto disaster communication medium की तरह बहुत इस्तेमाल होता है
    • short text message-based emergency network का concept अपने-आप में उपयोगी है
    • लेकिन America से cable कट जाए तो WhatsApp भी down हो सकता है, इसलिए emergency network की redundancy कम है

Bridges और on-site repair capability

  • Rijkswaterstaat अक्सर बताता है कि bridge बंद नहीं हो रहा तो “engineer को बुलाया गया”
    • bridge ठीक करने के लिए telephone network चालू होना चाहिए, और engineer का phone number cloud Excel file में हो सकता है
    • 2024 की bridge recovery chain में cloud, telephone network, on-site vehicle और कुछ मामलों में electric van का cloud भी शामिल हो सकता है
  • Modern social infrastructure ऐसी संरचना बन चुका है जिसे maintain करने के लिए power, America जाने वाली cables, cloud और telephone network—सबका काम करना जरूरी है
  • Botlek Bridge एक modern bridge है जो कुल 250 बार खराब हुआ, और शुरुआती दौर में सालाना लगभग 75 बार खराब होता था
    • truck traffic के critical route पर होने से outage का impact बड़ा था
    • dedicated engineer को on-site van में तैनात करके downtime लगभग आधा कर दिया गया
    • outage tracking website और SMS notification service तक मौजूद है
  • कई साल बाद कारण status और sensors manage करने वाले server की faulty Ethernet cable या port निकला
    • 3 साल से ज्यादा समय तक कारण न मिलना अपने infrastructure पर control की कमी दिखाता है
  • Maeslantkering इसके उलट simple और robust large infrastructure का उदाहरण है
    • यह high water रोकने वाली structure है, और इसे बंद करने में इस्तेमाल होने वाला red engine केवल structure को धक्का देकर बंद करने का काम करता है
    • engine काम न करे तो भी इसे बंद करने के दूसरे तरीके हैं, और इसका पूरी तरह बंद होना भी जरूरी नहीं है
    • यह passive structure है और sensors पर निर्भर नहीं है

Communication infrastructure और foreign dependency

  • 5G चर्चा के समय politics ने इसे ऐसे लिया जैसे नया Chinese equipment इस्तेमाल करना है या नहीं, यह तय करने का मामला हो, लेकिन असल में Chinese side पहले से ही बहुत सा telecom equipment operate कर रही थी
  • KPN job postings में 5G-related operations roles नहीं दिखना यह बताता है कि telecom operator उस infrastructure को सीधे operate नहीं कर रहा
  • पहले communication को इतना महत्वपूर्ण माना जाता था कि 20 bunkers और independent communication network बनाए गए, लेकिन अब Beijing से operated structure स्वीकार कर लिया गया है
  • Telecom operators का Ericsson और Nokia equipment की ओर जाना positive है, लेकिन maintenance staff Sweden का “Sven” नहीं बल्कि दूर मौजूद staff हो सकता है
  • China और India Russia के साथ close alignment में हैं, और Russian hacker attacks की स्थिति में Infosys जैसे external organisation rescue में आएंगे या नहीं, यह uncertain है
  • Europe में advanced optics और chip manufacturing equipment क्षेत्रों में capability है, लेकिन critical infrastructure को खुद operate करने पर पर्याप्त focus नहीं रहा

Vulnerabilities बहुत basic और बहुत ज्यादा हैं

  • Dutch journalist Joost Schellevis ने एक weekend में Netherlands internet scan करके hackers के लिए open 10,000 points खोजे
    • NCSC आदि improvement work कर रहे हैं और vulnerability scanning भी संभव हुई है
    • एक समय journalist ऐसी scanning कर सकता था, लेकिन Dutch government legal reasons से नहीं कर पाती थी
  • “अच्छा firewall खरीद लो तो safe हो” जैसी सलाह भी काम करना मुश्किल है
    • कई बड़े security vendors हर साल सैकड़ों issues वाले बेहद insecure products जारी कर रहे हैं
    • Oracle, Microsoft जैसे बड़े vendors के security updates में हर महीने सैकड़ों vulnerabilities आने की स्थिति दोहराई जाती है
  • हालिया security incidents में कई सिर्फ advanced attacks नहीं, बल्कि बहुत basic mistakes से पैदा हुए हैं
    • helpdesk software में URL के अंत में एक extra slash लगाने पर नए admin के रूप में access लेकर password reset किया जा सकता था
    • GitLab में password reset के दौरान reset link दूसरी email address पर भेजते समय सिर्फ पहली email का admin status check करने की समस्या लगभग 6 महीने रही
    • Ivanti में ../ जैसे basic path manipulation के 2024 में भी काम करने का case बना हुआ है
  • US government ने Ivanti के इस्तेमाल पर ban लगाया, लेकिन Dutch government का stance है कि front में दूसरा firewall रख दिया जाए तो ठीक है

Cloud automatic answer नहीं है

  • “Cloud पर move करने से safe हो जाएंगे” वाला conclusion सही नहीं है
  • Microsoft ने कहा कि उसे breach का पता है और वह response कर रहा है, लेकिन बाद में उसने माना कि वह इसके बाद भी hacked state में था
  • किसी company की actual security state देखने के लिए securities market disclosures पढ़ने पड़ते हैं, ऐसी interpretation संभव है
    • disclosures में problem छिपाने पर board penalised हो सकता है, इसलिए वे अपेक्षाकृत honest हो जाते हैं
  • US Cyber Safety Review Board ने Microsoft से जुड़े incident की जांच की, और संबंधित report को important reference बताया गया है
  • Europe और Netherlands बहुत सा IT Google, Microsoft, AWS जैसे large clouds में move कर रहे हैं
    • Dutch government ने कहा है कि classified information और basic government registers जैसी कुछ चीजें cloud में move नहीं की जाएंगी
    • इसके अलावा अधिकांश चीजें cloud migration targets बन सकती हैं
  • जो organisations अपना IT खुद operate करती थीं, वे cloud पर move करती हैं तो internal operations staff चला जाता है
    • कभी-कभी काम खुद boring हो जाने से लोग अपने-आप चले जाते हैं
    • अच्छे technical staff cloud companies में चले जाते हैं, और उसके बाद उन companies की internal operations style समझना मुश्किल हो जाता है
  • core problem यह है कि important organisations के अंदर ऐसे लोग नहीं बचते जो जानते हों कि computers असल में क्या कर रहे हैं

Non-technical decision-making की कीमत

  • Netherlands और Europe में decision-making बहुत non-technical दिशा में जा सकती है
  • cloud strategy जैसे decisions लेने वाली जगहों पर law, history, art, French आदि पढ़े हुए लोग हो सकते हैं, लेकिन computer क्या करता है यह जानने वाले लोग कम हो सकते हैं
  • engineers के meetings में न होने के दौरान company सब कुछ overseas outsource करने का decision ले सकती है
  • मौजूदा trend यह है कि जो आप operate करते हैं उसके बारे में कम से कम जानना, और दूर बैठे लोगों पर ज्यादा से ज्यादा निर्भर होना
  • यह trend पहले ही बहुत आगे जा चुका है, और रुकने के बजाय और खराब होने के करीब है

Kyivstar और wartime recovery capability का फर्क

  • Ukraine दो साल से युद्ध झेल रहा था, इसलिए जो चीजें आसानी से टूट सकती थीं, वे काफी हद तक पहले ही टूट चुकी थीं
  • Russia ने बाद में Ukraine के बड़े telecom operators में से एक Kyivstar पर destructive attack किया
  • Kyivstar और Ukraine side disorder के लिए तैयार थे, और system को scratch से restore कर सकते थे, इसलिए 2 दिन में फिर से चालू हो गए
  • चिंता है कि VodafoneZiggo या Odido पर वैसा ही attack हो और external help न मिले, तो वे आधे साल तक down रह सकते हैं
    • वजह यह है कि वे अपने systems को पर्याप्त रूप से नहीं जानते
  • Covid के दौर में personal protective equipment और masks खुद न बना पाने के कारण China पर निर्भरता की तरह, युद्ध की स्थिति में cloud problem solve करने के लिए India या Donald Trump administration से मदद मांगनी पड़े, यह risky है

छोटे software experiment और complexity problem

  • cloud का इस्तेमाल किए बिना images share करने की कोशिश में, Imgur जैसी modern image sharing sites को लगभग 5 million lines of code और high complexity वाला माना गया
  • खुद बनाया गया image sharing solution 1,600 lines of code था, और competing services से हजारों गुना छोटा था
  • IEEE ने इस case को cover किया, और यह paper magazine में भी छपा
  • security experts ने इस 1,600-line code का audit करके तीन major vulnerabilities खोजीं
    • छोटे code में भी serious vulnerabilities छिपी हो सकती हैं
    • 5 million lines के scale का code practically लगातार insecure रह सकता है, ऐसा conclusion निकलता है
  • छोटा code, कम dependencies और understandable structure अभी भी संभव हैं, लेकिन सिर्फ इससे security automatic guarantee नहीं होती

मौजूदा स्थिति और practical warning

  • daily life को support करने वाले systems इतने complex और fragile हैं कि attack के बिना भी अपने-आप fail हो जाते हैं
  • बड़े telecom operator outage हो तो अब यह distinguish करना पड़ता है कि यह cyber attack है या simple incompetence
  • technical maintenance लगातार दूर जा रहा है, और telecom operator job postings में wireless network को directly संभालने वाले लोग भी मुश्किल से दिखते हैं
  • self technical capability कमजोर हो रही है, और communications चलते रहने के लिए दुनिया भर की मदद चाहिए
  • इस स्थिति को wartime context में रखें तो बहुत खराब परिणाम की आशंका है
  • कारण यह है कि non-technical decision-makers ने चीजों को सस्ता या hassle-free बनाने की दिशा में choices कीं, और अधिक technical thinking की जरूरत है, लेकिन इसे implement करने का तरीका स्पष्ट नहीं है

1 टिप्पणियां

 
GN⁺ 2024-05-19
Hacker News की रायें
  • लेखक के नज़रिए से पूरी तरह सहमत हूं। उदाहरण के लिए European Train Control Systems में ट्रेन की सुरक्षित स्थिति पता करने के लिए GPS इस्तेमाल करना चाहने वाले बहुत लोग हैं, और स्पेस सेक्टर को यह पसंद है क्योंकि इससे Galileo जैसे satellites को orbit में भेजने की लागत को सही ठहराया जा सकता है
    लेकिन अगर युद्ध-पूर्व readiness drill की जाए, तो तुरंत निष्कर्ष निकलेगा कि GPS jam या interfere होने पर यूरोप की सभी ट्रेनें रेंगते-रेंगते रुकने को मजबूर हो सकती हैं। Ukraine युद्ध से पहले तक ऐसी चेतावनियों पर खास ध्यान नहीं दिया गया था
    महत्वपूर्ण infrastructure को space या पृथ्वी के दूसरे छोर पर मौजूद चीज़ों पर निर्भर नहीं होना चाहिए। ऐसे क्षेत्रों में market logic से पहले regulation आना चाहिए, और हम अगले Titanic का इंतज़ार नहीं कर सकते

    • रेलवे भी अब train control को outsource कर सकता है। Wabtec का “Wabtec Cloud Positive Train Control Communication Solution” खुद को “I-ETMS आधारित Positive Train Control system के लिए पूर्ण turnkey hosted office solution” बताता है
      Wabtec में intrusion incident हुआ था, लेकिन उसका दावा है कि वह control system से नहीं बल्कि केवल employee information से जुड़ा था
      https://www.wabteccorp.com/digital-intelligence/signaling-an...
      https://industrialcyber.co/ransomware/wabtec-suffers-data-br...
    • पूरी तरह सहमत होना मुश्किल है। Ascension Healthcare के पूरे hospital system को 8 मई से paper records पर लौटना पड़ा, जिससे मरीजों को transfer करने की स्थिति बन गई, और Change Healthcare ने फरवरी के attack के बाद 872 मिलियन डॉलर गंवाए
      pandemic की तरह, सीधे प्रभावित होने से पहले यह कोई बड़ी बात नहीं लगती
      https://en.wikipedia.org/wiki/Ascension_(healthcare_system)
      https://www.wired.com/story/change-healthcare-admits-it-paid...
      साथ ही 5,000km दूर का computer जरूरी नहीं कि बुरी चीज़ ही हो। अगर आप hurricanes के exposure वाले Gulf Coast में रहते हैं, तो आप चाहेंगे कि उस region के बाहर backup computing resources चालू हों। Katrina के बाद Tulane medical school Romania की VM पर चल रहे bulletin board की वजह से जल्दी reorganize हो गया, जबकि बाकी सब पानी में डूब गया था
      sound-powered phone जहाज पर damage control की जिम्मेदारी निभाने के अनुभव में लगभग ठीक से काम नहीं करता। असली fire response coordination के लिए radios और shipboard announcement system चाहिए, और ये power पर निर्भर करते हैं
      2011 में जब पूरा San Diego commute time पर 4 घंटे के लिए blackout में चला गया था, तब भी cellular network चल रहा था, और traffic lights के बिना कार में बैठे हुए Tokyo को documents email किए जा सकते थे
      America की तरफ cable कटने के मामले भी हुए हैं, लेकिन कई disasters में cables बिल्कुल ठीक रहती हैं। graceful degradation व्यापक रूप से distributed विकल्प रखने से आती है, और अगर आपको लगता है कि IP network कमजोर है, तो मेरे हिसाब से Starlink terminal और amateur radio license रखना बेहतर है
      https://en.wikipedia.org/wiki/SpaceX_Starshield
    • ट्रेनें distance measurement के लिए कई sensors का इस्तेमाल करती हैं, इसलिए उनमें से एक खोने से तुरंत catastrophe नहीं हो जाती
    • रेलवे को बेशक GPS इस्तेमाल करना चाहिए। बस aviation की तरह इसे local transmitters से complement करना चाहिए, और ऐसे बहुत सारे transmitters लगाने चाहिए
  • HN पर अब तक पढ़ी गई चीज़ों में यह सबसे अच्छी में से एक थी, और चाहता हूं कि इसे और लोग देखें। एक “nerd” होने के नाते भी, मैं अक्सर सोचता हूं कि कहीं हम ऐसे problems को बेवजह nerd-style approach से solve करने की कोशिश तो नहीं कर रहे जिन्हें और सरल तरीके से हल किया जा सकता है
    अक्सर लगता है कि हम सबसे complex या सबसे nerdy तरीका इसलिए चुनते हैं ताकि खुद को और दूसरों को साबित कर सकें कि हम कर सकते हैं, न कि इसलिए कि हमें करना चाहिए। जाहिर है इसका मतलब यह नहीं कि ऐसा approach हमेशा खराब है; कुछ problems के लिए simpler solution ज्यादा सही होता है

    • curriculum में Therac-25 incidents को software पर अति-भरोसे के प्रमुख उदाहरण के रूप में काफी महत्व से पढ़ाया गया था
      https://en.m.wikipedia.org/wiki/Therac-25
    • लेखक लंबे समय से outsourcing के नुकसान बताते आए हैं, और उनकी पिछली posts भी interesting हैं
  • इस बात से सहमत हूं कि non-technical लोगों ने सबसे सस्ता विकल्प optimize करते हुए चुना, और इसमें दो बातें और जुड़ती हैं। cybersecurity के malicious actors decentralized और distributed हैं, तेजी से innovate और share करते हैं, जबकि defenders centralized, proprietary और boundary के अंदर बंधे हैं
    साथ ही software और service providers पारंपरिक रूप से safe networking को products में built-in नहीं कर पाए, और इसे consumers पर बाद में जोड़ने के लिए छोड़ते रहे। network अक्सर सबसे बड़ा और कमजोर attack surface होता है, इसलिए यह खतरनाक है

    • असल में बड़ा problem यह है कि secure products बनाना, कुछ exceptions को छोड़कर, एक ऐसी बाधा माना जाता है जिसे cybersecurity team पर डाल दिया जाए। उस team में भी अक्सर actual product development engineering capability की कमी होती है
      इसलिए वे बस उन हजारों vendors में से एक और tool खरीद सकते हैं जो कहते हैं “इसे खरीदो और secure हो जाओ”, जबकि जिसने secure product बनाया हो उसे यह साफ तौर पर बकवास लगना चाहिए
      ज्यादातर tools थोड़े उपयोगी होते हैं या बिल्कुल बेकार, और वे कभी भी silver bullet नहीं होते। secure product बनाने के लिए security को first-class requirement बनाकर पहले दिन से design में शामिल करना पड़ता है। कहना आसान है, करना मुश्किल
    • non-technical लोगों के फैसलों को रोकना चाहिए
  • करीब 10 साल पहले मैंने एक लेख लिखा था, जिसमें अनुमान लगाया था कि पश्चिमी infrastructure cyber operations के लिए vulnerable है, इसलिए अमेरिका किसी छोटे ally की मदद के लिए intervene नहीं कर पाएगा। तर्क यह था कि infrastructure पर हमले से पैदा होने वाली domestic अव्यवस्था की cost के कारण विदेश में युद्ध में दखल देने से हिचक होगी, और यही vulnerability Russia या China जैसे adversaries को और दुस्साहसी बनाएगी
    अब तक यह गलत साबित हुआ है। हाल की कुछ infrastructure घटनाएं ऐसी लगीं मानो Russian deterrence operation हों—“पीछे नहीं हटे तो हम इतना तो दिखा सकते हैं”—लेकिन अमेरिका अब भी Ukraine युद्ध में गहराई से शामिल है और Iran के खिलाफ Israel को भी cover देता दिखता है। इस बात की ज्यादा चिंता नहीं दिखती कि दोनों adversaries के पास अमेरिकी power grid बंद करने की क्षमता हो सकती है
    China भी Taiwan को लेकर सख्त है, लेकिन लगता है कि पूर्ण राजनीतिक विलय के बजाय उसे manage करने से संतुष्ट है, और Taiwan के लिए अमेरिकी समर्थन को भी गंभीरता से लेता दिखता है। भले ही यह मान लें कि China अमेरिका के भीतर semiconductor वाले लगभग हर चीज को रोक सकता है
    शायद नई world order में, अगर कोई देश अपनी जरूरत की चीजों को प्रभावी रूप से manage कर सकता है, तो उसे जरूरी नहीं कि अपना sovereign territory बढ़ाना पड़े। missile deployment जैसी बातों को छोड़ दें, तो जब दूध मिल सकता है तो गाय पर invasion करके governance का बोझ क्यों उठाया जाए। ऐसे में cyber, space और network से पहले की geopolitics की assumptions की तुलना में ज्यादा fluid dynamics में आ जाता है

    • इस analysis में जो चीज छूट गई है, वह मुझे अमेरिका की offensive cyber capability लगती है। मुझे शक है कि इस capability को जितना पूरी तरह छोटा करके बताया जाता है, वह उसकी ताकत के अनुपात में ही है
      अगर offensive cyber में और investment करने की जरूरत पर बहुत शोर-शराबे वाली discussion होती, तो मैं चिंतित होता। इसके अस्तित्व में न होने जैसा व्यवहार ही काफी कुछ बता देता है
  • मैं ही लेखक हूं। कोई सवाल हो तो बता दें

    • software engineer के तौर पर मैं कुछ हद तक सहमत हूं, लेकिन कहानी पूरी नहीं है। Ukraine पर हमलों और cybersecurity damage को देखें तो बड़े picture में scale काफी छोटा था
      साथ ही Microsoft ने defense में मदद की, इसलिए यह बुरा investment नहीं था। मुझे जिज्ञासा है कि जब Russians ने Netherlands पर similar attack किया था, तब potential damage समझने के लिए कोई quantitative risk assessment था या नहीं
    • अच्छा लगा कि पुराने-school programming virtues का बचाव करने वाले लोग अभी भी हैं। capital-driven centralization, scaling और complexity के discussion पर हावी रहने के बीच मुझे लगने लगा था कि मैं ही पागल हो रहा हूं
    • सवाल नहीं है, लेकिन एक European के तौर पर, जिसने “देश/EU के लिए महत्वपूर्ण बड़ी company” में काम किया है, यह लेख मेरी frustration से काफी जुड़ता है। मैंने security-related काम नहीं किया था
      IT infrastructure की हर चीज India को outsource थी, और अगर थोड़ा बेहतर हो तो Poland को। EU offices में सक्षम लोग होने के बावजूद उन्हें अपना hardware इस्तेमाल करने की permission नहीं होती। outsourcing company के कम-skilled ticket handlers से हफ्तों तक गिड़गिड़ाना पड़ता है और endless meetings करनी पड़ती हैं
      EU employees को feature factory या process managers में धकेल दिया जाता है, operations बिल्कुल नहीं। बात कुछ ऐसी होती है कि “यह core competency नहीं है”
      मैं फिर कभी “national security के लिहाज से महत्वपूर्ण” European large enterprise में काम नहीं करूंगा। यह आत्मा को घिस देता है, और यह बिल्कुल साफ है कि किसी को परवाह नहीं है
      जब भी EU sovereignty के लिए tens of billions of euros allocated होने की news देखता हूं, दिल दुखता है। 10 managers और 2 engineers वाली team में बहुत लंबी meetings करते हुए $indian_outsourcing_company team से अपना काम करने देने की भीख मांगने के अनुभव बहुत हो चुके हैं
    • अगर यह presentation अमेरिका में करते हैं, तो यह बात भी mention कर सकते हैं कि अमेरिकी farmers GPS के बिना खेती नहीं कर पाते लगते हैं
      food supply का picky और आसानी से jam होने वाले satellite system पर पूरी तरह निर्भर होना बिना किसी समस्या के ठीक रहेगा, ऐसा नहीं हो सकता
      https://www.404media.co/solar-storm-knocks-out-tractor-gps-s...
    • शानदार presentation थी, और risks को highlight करने तथा मजबूत infrastructure की जरूरत को clear image के साथ समझाने के लिए अच्छा लगा। हालांकि “4,000 wind turbines अब operate नहीं किए जा सकते थे” वाले हिस्से को verify करना चाहूंगा
      मैंने जो ढूंढा, उसमें key details थोड़ी अलग हैं। turbines चलते रहे, और संख्या 4,000 नहीं बल्कि शायद 5,800 थी। जो खोया गया वह remote monitoring और remote control capability लगती है
      https://cyberconflicts.cyberpeaceinstitute.org/law-and-polic...
      अगर आप इस difference को explain कर सकें तो अच्छा होगा। मैं यह transcript दूसरों के साथ जरूर share करने वाला हूं, इसलिए इसे clarify करना worth it है
  • हाल ही में मैंने air traffic controllers से पूछा कि अगर GPS इस्तेमाल नहीं कर सकें तो क्या होगा, तो सबने असहज प्रतिक्रिया दी
    सभी aircraft को landing के लिए vector करने में बेहद व्यस्त दिन होगा। क्योंकि अचानक ज्यादातर planes safely navigate नहीं कर पाएंगे और effectively take off नहीं कर पाएंगे
    ground-based navigation aids का budget कम करना पागलपन है, मेरे हिसाब से

    • navigation के दूसरे साधन भी हैं। उदाहरण के लिए ground-based beacon VOR है
      दुर्भाग्य से GPS waypoints को प्राथमिकता देने के चलते ये साधन कम इस्तेमाल हो रहे हैं और व्यावहारिक रूप से phase out होने की दिशा में हैं। वे अभी बचे भी हों, तो pilots उन्हें रोज इस्तेमाल नहीं करते, इसलिए experience कम होता जा रहा है
    • Russian jamming की वजह से Eastern और Northern Europe में GPS पहले से ही अक्सर usable नहीं रहता। कुछ छोटे airfields को अपने systems update करने पड़े ताकि वे सिर्फ GPS पर निर्भर न रहें
    • मुझे लगता था कि GPS aviation में non-critical asset है, इसलिए कोई भी aircraft कभी भी safely उससे disconnect होकर VOR और दूसरे navigation aids के साथ उड़ता रह सकता है
      यह लेख कुछ scenarios बताता है जहां pilots केवल GPS पर निर्भर करते हैं। favorable winds और ज्यादा direct routes के लिए VOR न होने वाली जगहों पर भी GPS-based waypoints इस्तेमाल होते हैं, और RNAV departures/arrivals “radio-based aids नहीं, सिर्फ GPS” पर निर्भर करते हैं, जिससे ज्यादा precise spacing और higher capacity मिलती है। mountainous terrain जैसी जगहों में कुछ approaches में ILS के alternative के तौर पर GPS इस्तेमाल होता है
      https://simpleflying.com/gps-in-aviation-pilots-guide/
    • GPS अभी deployed satellite positioning systems में से सिर्फ एक है, तो जिज्ञासा है कि aircraft बाकी systems का इस्तेमाल क्यों नहीं करते
  • राष्ट्रीय इन्फ्रास्ट्रक्चर के रखरखाव का इतना बड़ा हिस्सा China को outsource करना पागलपन जैसा लगता है
    अगर China ने Taiwan पर हमला किया, तो हमारे ऊपर ऐसा leverage होते हुए हम क्या कर पाएंगे? Russia गैस पर निर्भरता ही काफी बुरी थी

    • अमेरिका अपनी energy demand के लिए किसी पर निर्भर नहीं है। China के साथ ऐसा नहीं है, और Nord Stream की तरह अगर कुछ pipelines फट जाएं तो वह काफी कमजोर हो सकता है
      यही वजह भी है कि अमेरिका Middle East में इतनी बड़ी मौजूदगी बनाए रखता है
  • सोचता हूं कि क्या गुप्त रूप से cyberwar में परस्पर सुनिश्चित विनाश मौजूद है
    यह मानना काफी plausible लगता है कि बड़ी शक्तियों के पास किसी भी समय पर्याप्त 0-day होते हैं, जिन्हें साथ में इस्तेमाल करने पर दुनिया के कंप्यूटरों और मोबाइल फोनों के बड़े हिस्से को format किया जा सकता है। किसी worm को IP का smartly इस्तेमाल कर किसी खास देश को target करने लायक बनाना भी बहुत मुश्किल नहीं होगा
    अगर सिर्फ 25% work और home computers मिटा दिए जाएं, 6 महीने से update न हुए ज्यादातर मोबाइल फोन और online servers का काफी बड़ा हिस्सा उड़ा दिया जाए, तो नुकसान कितना बड़ा होगा इसकी कल्पना करना मुश्किल है

    • अगर यह सच है, तो यह सवाल उठता है कि Ukraine में Russian hackers द्वारा मोबाइल फोन और कंप्यूटर data की mass deletion की खबरें हमें लगभग क्यों नहीं सुनाई देतीं
      यह जवाब कि Kremlin ज्यादा गंभीर टकराव के लिए 0-day बचाकर रख रहा है, convincing नहीं है। Kremlin Ukraine की स्थिति को Russian national security के लिए बहुत गंभीर मुद्दा मानता है, Ukraine power grid को कमजोर करने के लिए एक shot पर दस लाख डॉलर से ज्यादा की missiles बड़ी मात्रा में इस्तेमाल कर चुका है, और Ukraine के राष्ट्रपति की हत्या की भी कई बार कोशिश कर चुका है
      तो फिर cyberattacks के जरिए Ukraine को जितना संभव हो उतना नुकसान पहुंचाने के लिए उसने पूरी ताकत क्यों नहीं लगाई होगी
    • Low Earth orbit वाला nuclear EMP ऐसा एक विकल्प हो सकता है। तकनीकी रूप से cyber नहीं है, लेकिन
  • अगर COVID-19 भी विदेशों को छोटे-मोटे काम सौंपने पर हमारी निर्भरता नहीं बदल पाया, तो युद्ध से ठीक पहले की स्थिति में इसके बदलने की संभावना भी बहुत कम लगती है
    हम ऐसी प्रजाति हैं जो सबसे छोटा रास्ता optimize करती है और इस दौरान corners cut करती है। जब सब कुछ हो जाएगा और हम राख पर बैठे होंगे, तभी सोचेंगे “आखिर हमने क्या गलत किया”

    • शायद आप जिस term को ढूंढ रहे हैं वह Friendshoring है
      कुछ कंपनियां और सरकारें अंतरराष्ट्रीय बाजारों और supply chain तक पहुंच बनाए रखते हुए geopolitical risk घटाने के लिए Friendshoring को आगे बढ़ाती हैं। Bonnie Glick ने Covid-19 pandemic की शुरुआत में USAID की deputy administrator रहते हुए “allied shoring” शब्द पहली बार इस्तेमाल किया था, और USMCA व IPEF समेत नई अमेरिकी trade policy भी Friendshoring structure से मेल खाती है
      https://en.wikipedia.org/wiki/Friendshoring
  • अदालतों और judicial software की security concerns को काफी उठाने के कुछ ही समय बाद मेरा effectively fired हो जाना खटकता है
    उसके बाद से लगातार बेरोजगार हूं, income unstable होती जा रही है और job search में कोई progress नहीं है
    अभी high technical skill होने के बावजूद कितने लोग होंगे जिन्हें नौकरी ढूंढने में मुश्किल हो रही है। income की वजह से वे black hat की तरफ जाने का प्रलोभन कितना महसूस करते होंगे। ऐसा सोचने वाला सिर्फ मैं नहीं हो सकता

    • अभी स्थिति सच में बहुत खराब है। कुछ सालों में मैंने सीखा है कि बेवजह चीजों को छेड़ना नहीं चाहिए। अगर आपका main role security नहीं है, तो flow के साथ चलना बेहतर है
      जिन भी कंपनियों में काम किया, हर जगह बहुत बड़े security holes देखे। insurance के लिए checkboxes भर जाएं, तो किसी को परवाह नहीं होती
    • मैंने job search छोड़ दी है। मैंने खुद को हर रोज जबरदस्ती बिस्तर से उठकर cafe जाते और ऐसी नौकरी में reject होने के लिए resume का नया version बनाते पाया, जिसे मैं चाहता भी नहीं था
      अगर आपको black hat tips पता हों तो मेरी तरफ भी भेज दीजिए… मजाक कर रहा हूं