CrowdStrike घटना ने दुश्मनों के सामने अमेरिका की कमजोरियों को उजागर करने वाला रोडमैप दिया

 (nytimes.com)
1 पॉइंट द्वारा GN⁺ 2024-07-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें

डिजिटल रेज़िलिएंस के साथ क्या हुआ?

  • डिजिटल आपदा का कारण

    • शुक्रवार को हवाईअड्डों, अस्पतालों और TV प्रसारण केंद्रों को प्रभावित करने वाला डिजिटल ठप पड़ना एक software update में bug के कारण हुआ
    • यह किसी शत्रुतापूर्ण ताकत की कार्रवाई नहीं थी, बल्कि अमेरिका की कमजोरियों को उजागर करने वाली घटना थी

  • रिकवरी मुश्किल क्यों है

    • Biden प्रशासन रूस और चीन के hackers के हमले के scenarios का simulation करता रहा है
    • लेकिन यह घटना एक साधारण मानवीय त्रुटि के कारण हुई
    • जटिल network systems में छोटी गलती भी बड़ी समस्या पैदा कर सकती है

  • cyber योद्धाओं की प्रतिक्रिया

    • इस बात से राहत मिली कि यह कोई राष्ट्र-स्तरीय हमला नहीं था
    • चीन के Volt Typhoon जैसे malware को ढूंढना कठिन है और हटाना उससे भी अधिक कठिन
    • इस घटना ने एक बार फिर cyber resilience की सीमाओं को उजागर किया

  • सरकार और private sector का सहयोग

    • पिछले कुछ वर्षों में अमेरिका ने cyber security समस्याओं को गंभीरता से लेना शुरू किया है
    • FBI, NSA, CISA जैसी सरकारी एजेंसियां private कंपनियों के साथ मिलकर कमजोरियां साझा करती हैं और hackers के बारे में चेतावनी देती हैं
    • राष्ट्रपति Biden ने बड़े घटनाक्रमों की समीक्षा के लिए Cyber Safety Review Board की स्थापना की

GN⁺ की संक्षिप्त प्रस्तुति

  • यह घटना एक साधारण software update त्रुटि के कारण हुई डिजिटल तबाही थी
  • इसने जटिल network systems की कमजोरियों को उजागर किया और cyber resilience की सीमाएं दिखाईं
  • सरकार और private sector का सहयोग महत्वपूर्ण है, और बड़े घटनाक्रमों की समीक्षा करने वाली प्रणाली की आवश्यकता है
  • समान कार्यक्षमता वाले उत्पादों या projects में CrowdStrike जैसे cyber security software शामिल हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-07-22
Hacker News राय

  • यह राय है कि अगर किसी operating system को बार-बार security patches की ज़रूरत पड़ती है, तो उसे infrastructure में इस्तेमाल नहीं किया जाना चाहिए

    • उदाहरण के लिए, किसी ने airport monitor पर BSOD दिखने वाली तस्वीरें देखी हैं
    • सुरक्षा कोई ऐसा फीचर नहीं है जिसे बाद में जोड़ा जा सके; इसे शुरू से built-in होना चाहिए
    • Windows में सुरक्षा जोड़ने की कोशिश करने वाला एक पूरा industry मौजूद है, लेकिन यह अब भी प्रभावी नहीं है

  • digital resilience पर सवाल उठाए गए हैं

    • यह भरोसा जताया गया है कि अमेरिका की कमजोरियों का एक roadmap तैयार किया जा रहा है
    • समस्या यह है कि लागत और सुविधा की वजह से कमजोरियों को मज़बूत नहीं किया जाता
    • जब Microsoft ने Windows 95 जारी किया था, तब उसने सुरक्षा पर विचार किए बिना ease of use पर ज़ोर दिया था
    • बाद में security issues की वजह से users की आज़ादी सीमित हुई, और इससे user resistance पैदा हुआ

  • यह राय है कि Crowdstrike ने पश्चिमी सभ्यता को disaster recovery और resilience testing जबरन उपलब्ध करा दी

    • एक दुर्भावनापूर्ण कर्मचारी सभी computers को नष्ट कर सकता है
    • तर्क यह है कि technology systems को किसी एक vendor की गलती या hacking के प्रति अधिक resilient होना चाहिए
    • automatic recovery mechanisms लागू किए जा सकते हैं

  • एक ऐसा राज़ है जो दशकों से जाना जाता है

    • प्रमुख OS और browser vendors लगातार patches प्रदान करते रहे हैं
    • software supply chain इतनी विशाल है कि उसका audit करना असंभव है
    • "security" software attack surface को बढ़ा देता है

  • यह राय है कि अगर कोई कंपनी अमेरिकी नहीं है, तो CrowdStrike services का इस्तेमाल करना जोखिम भरा है

    • FBI गुप्त warrants का उपयोग करके CrowdStrike को DLL inject करने के लिए मजबूर कर सकती है

  • यह राय है कि अगर युद्ध हुआ, तो 8 घंटे के भीतर सब कुछ काम करना बंद कर देगा

    • फिर नकद और कागज़ी कामकाज पर लौटना पड़ेगा, लेकिन वह कष्टदायक और धीमा होगा

  • CrowdStrike इंस्टॉल किए हुए Windows machines इस्तेमाल करने वाली कंपनियों में दुनिया भर में बड़े पैमाने पर computer outage हुआ

    • संदेह है कि क्या यह घटना कोई सबक देगी

  • यह राय है कि computing infrastructure में diversity की ज़रूरत है

    • अगर अधिक महत्वपूर्ण machines किसी दूसरे OS का इस्तेमाल करें, तो नुकसान सीमित रहेगा

  • Google के Kent Walker की उस राय का विरोध किया गया है कि AI कमजोरियों की पहचान करने और उन्हें patch करने में मदद करेगा