1 पॉइंट द्वारा GN⁺ 2024-07-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें

डिजिटल रेज़िलिएंस के साथ क्या हुआ?

  • डिजिटल आपदा का कारण

    • शुक्रवार को हवाईअड्डों, अस्पतालों और TV प्रसारण केंद्रों को प्रभावित करने वाला डिजिटल ठप पड़ना एक software update में bug के कारण हुआ
    • यह किसी शत्रुतापूर्ण ताकत की कार्रवाई नहीं थी, बल्कि अमेरिका की कमजोरियों को उजागर करने वाली घटना थी
  • रिकवरी मुश्किल क्यों है

    • Biden प्रशासन रूस और चीन के hackers के हमले के scenarios का simulation करता रहा है
    • लेकिन यह घटना एक साधारण मानवीय त्रुटि के कारण हुई
    • जटिल network systems में छोटी गलती भी बड़ी समस्या पैदा कर सकती है
  • cyber योद्धाओं की प्रतिक्रिया

    • इस बात से राहत मिली कि यह कोई राष्ट्र-स्तरीय हमला नहीं था
    • चीन के Volt Typhoon जैसे malware को ढूंढना कठिन है और हटाना उससे भी अधिक कठिन
    • इस घटना ने एक बार फिर cyber resilience की सीमाओं को उजागर किया
  • सरकार और private sector का सहयोग

    • पिछले कुछ वर्षों में अमेरिका ने cyber security समस्याओं को गंभीरता से लेना शुरू किया है
    • FBI, NSA, CISA जैसी सरकारी एजेंसियां private कंपनियों के साथ मिलकर कमजोरियां साझा करती हैं और hackers के बारे में चेतावनी देती हैं
    • राष्ट्रपति Biden ने बड़े घटनाक्रमों की समीक्षा के लिए Cyber Safety Review Board की स्थापना की

GN⁺ की संक्षिप्त प्रस्तुति

  • यह घटना एक साधारण software update त्रुटि के कारण हुई डिजिटल तबाही थी
  • इसने जटिल network systems की कमजोरियों को उजागर किया और cyber resilience की सीमाएं दिखाईं
  • सरकार और private sector का सहयोग महत्वपूर्ण है, और बड़े घटनाक्रमों की समीक्षा करने वाली प्रणाली की आवश्यकता है
  • समान कार्यक्षमता वाले उत्पादों या projects में CrowdStrike जैसे cyber security software शामिल हैं

1 टिप्पणियां

 
GN⁺ 2024-07-22
Hacker News की राय
  • मीडिया में देखी गई व्याख्याओं में यह बात लगभग नहीं दिखती कि जिस OS को बार-बार security patches की ज़रूरत पड़ती है, उसे शुरुआत से ही infrastructure में इस्तेमाल नहीं करना चाहिए था—यह दिलचस्प है
    मैंने airport display board की flight list screen पर blue screen दिखती हुई तस्वीर भी देखी, और सोचता हूं कि ऐसी चीजें Linux या OpenBSD पर क्यों नहीं बनाई जातीं
    Security कोई ऐसी feature नहीं है जिसे बाद में ऊपर से जोड़ दिया जाए; इसे शुरुआत से built-in होना चाहिए. आज Windows के ऊपर security की परत चढ़ाने की कोशिश करने वाली पूरी industry खड़ी हो गई है, लेकिन फिर भी यह ठीक से काम नहीं करती

    • इसकी बहुत संभावना है कि वह software बनाने वाला vendor हमेशा से उसे सिर्फ Windows के लिए ही बनाता आया हो
      असल में कई मामलों में शुरुआत DOS या OS/2 के लिए हुई थी और फिर NT4 पर shift किया गया; history, inertia, familiarity, cost और support की आसानी—सबका असर होता है
      Security कोई product नहीं, बल्कि process है, और distributions को भी frequent updates की ज़रूरत होती है, लेकिन installed software का scope कम किया जा सकता है
      Airport display device को MPEG2, VP1 जैसे codecs की ज़रूरत शायद नहीं होगी
      ऐसे specialized systems में garage-built software भी बहुत होता है; आप SAML/OIDC चाहें, फिर भी वे plaintext LDAP या बहुत हुआ तो Active Directory ही support करते हैं, और latest Apache Tomcat चाहें, तब भी vendor issue fix नहीं कर पाता, इसलिए तीन साल पुराना vulnerable version ही “supported” बताता है
      अगर CrowdStrike blue screen की वजह null pointer वाली परिकल्पना सही है, तो safe language इस्तेमाल करनी चाहिए थी; इस मामले में जिम्मेदारी CrowdStrike पर डालना आसान लगता है
      Microsoft ने shotgun दिया था; उसकी नली अपनी तरफ न मोड़ना vendor की जिम्मेदारी है
    • अभी front page पर भी एक पोस्ट है कि CrowdStrike ने कुछ महीने पहले Debian और Rocky Linux को खराब कर दिया था, लेकिन किसी को पता नहीं चला
      https://news.ycombinator.com/item?id=41018029
    • “अक्सर security updates पाने वाला OS” उल्टा एक अच्छा संकेत है
      इसका मतलब है कि मुद्दे उठाए जा रहे हैं और risk mitigate हो रहा है
      Security कोई checkbox नहीं, बल्कि लगातार बदलते environment के साथ चलने वाली लगभग अंतहीन process है; ऐसा OS जो updates नहीं पाता या बार-बार update नहीं होता, बेहतर नहीं है
      असली ज़रूरत उन updates की है जो OS को unstable न बनाएं, और इसके पीछे हर organization द्वारा इन devices को operate करते हुए लिए गए फैसलों की बहुत बड़ी layers हैं
      Security को layered तरीके से design किया जाना चाहिए और built-in होना चाहिए
      बात यह नहीं कि “यह काम नहीं करता”; बल्कि लंबे समय तक चुपचाप रहने की वजह से यह काम करता रहा है, और लोग सिर्फ failed incidents को ही ज्यादा notice करते हैं
    • इसे airport staff support कर सके, ऐसा होना चाहिए; सिर्फ HN वाले लोग ही इसे handle कर सकें, ऐसा नहीं
      ज्यादातर लोग Windows computer चलाना जानते हैं, desktop IT support staff भी Windows management में familiar होता है, और building facilities team भी कुछ हद तक मदद कर सकती है
      Microsoft computer fleets को manage करना आसान बनाता है, और अपनी training/certification के साथ-साथ ढेर सारी third-party training भी देता है
      Windows असल में business standard machine है, और ज्यादातर signage companies भी Windows इस्तेमाल करती हैं
      BSD जानने वाला व्यक्ति ढूंढना आसान नहीं है
    • कई CTO/CISO के लिए stable और secure system से ज्यादा महत्वपूर्ण ऐसा अच्छा target होता है जिस पर कुछ गड़बड़ होने पर जिम्मेदारी डाली जा सके
      Big Brand अच्छा target होता है, लेकिन OpenBSD जैसा open source project नहीं
      करोड़ों डॉलर का नुकसान हो जाए, तब भी Linux/BSD की जगह Windows+CrowdStrike चुनने के कारण CTO को निकाले जाने की संभावना कम लगती है
      “IBM खरीदने पर किसी को नौकरी से नहीं निकाला गया” वाली कहावत कम से कम corporate world में अब भी सही है
  • पता नहीं “डिजिटल resilience” कभी वाकई थी भी या नहीं, और अगर थी तो कब थी, यह जानने की उत्सुकता है
    यह अफरातफरी किसी adversary ने नहीं कराई थी, लेकिन इसने अहम मौके पर अमेरिका की कमजोरियों का नक्शा दे दिया
    जिन पक्षों के अमेरिका से रिश्ते अच्छे नहीं हैं, वे शायद पहले से ही ऐसे vulnerability maps बना और जमा कर रहे होंगे
    यह हैरान करने वाला भी है कि अमेरिका और दूसरे देश ऐसे खतरों को लेकर इतने ढीले हैं और vulnerabilities को और मजबूत नहीं कर रहे, लेकिन एक तरह से यह साफ भी है
    लागत भी एक factor है, लेकिन मेरे हिसाब से बड़ा factor सुविधा है
    vulnerabilities के हिसाब से systems को harden करने पर वे कम सुविधाजनक और कम आसान हो जाते हैं, और लोग तुरंत विरोध करते हैं
    Microsoft ने जब Windows, खासकर Windows 95, निकाला तो non-expert users को पकड़ने के लिए सब कुछ क्लिक से आसान बना दिया, और security पर पर्याप्त ध्यान नहीं दिया गया
    जब viruses, vulnerabilities और breaches बेकाबू हो गए, तो restrictions लाई गईं, और users को अपनी आदत बन चुकी आजादी कम मिलने लगी
    Microsoft ने दुनिया को ढीले operational तरीके की आदत डाल दी, और इसे पलटने की कोशिशें तब से लगातार user resistance से टकराती रही हैं
    हम आज एक ऐसी बड़ी समस्या में फंसे हैं जो Windows 95 के launch से पहले भी आसानी से predict की जा सकती थी, और इसे ठीक करना बेहद कठिन होगा

    • Charlie Munger की बात सही है: “मुझे incentives दिखाइए, मैं आपको outcomes दिखा दूंगा”
      कंपनियों को सुरक्षित, redundant और भरोसेमंद computer systems चलाने के लिए reward नहीं किया जाता; उन्हें इस बात के लिए reward किया जाता है कि income statement के bottom-line numbers, 90 दिन पहले Lower Manhattan के किसी analyst द्वारा तय expectations को पार कर जाएं
      अमेरिका में समाज का अधिकतर काम कंपनियां करती हैं, इसलिए critical systems भी उसी तरह design होते हैं
      यह मामला अदालत में जा सकता है और CrowdStrike को 19 जुलाई से ग्राहकों को हुए नुकसान की भरपाई करने के लिए शायद acquire होना पड़े, लेकिन इसमें सालों लगेंगे और plaintiffs को सिर्फ symbolic damages मिल सकते हैं या कुछ भी नहीं मिल सकता
      तब तक market hedge कर चुका होगा, regulators को capture कर चुका होगा, losses काट चुका होगा और आगे बढ़ चुका होगा
      assets को वे लोग सस्ते में खरीद लेंगे जो इसे “creative destruction” मानते हैं, और इस बात की परवाह नहीं करेंगे कि लोगों की जान जोखिम में पड़ी थी
      और cycle चलता रहेगा
    • यूक्रेन के अनुभव का अध्ययन करना बहुत उपयोगी होगा, और संभव है कि पहले ही उपयोगी रहा हो
      लगभग सभी critical infrastructure पर कई वर्षों तक cyber attacks हुए, systems down हुए और outages भी आए, लेकिन उन्होंने adapt किया
      कभी-कभी वे low-tech solutions पर लौटे, और कभी robustness वाले नए systems बनाए और पुराने हटाए
      जब समस्या concrete और immediate होती है, तो उसे राजनीतिक रूप से justify करना भी कहीं आसान होता है
      मुझे याद है कि tensions बढ़ने शुरू होने पर अमेरिका के शुरुआती कदमों में से एक NSA cybersecurity experts की टीम भेजना था, ताकि locking down और intrusions हटाने में मदद मिल सके
    • “Cyber agencies” हमले पर focus करती हैं
      क्योंकि points हासिल करना और यह दिखाना आसान है कि कुछ किया जा रहा है
      इसके उलट defense, ढेरों पुराने endpoints को protect करने या highly profitable mega-corporations को कम vulnerable लेकिन कम profitable काम करने के लिए मनाने जैसा उबाऊ काम है
    • कम-से-कम 90s और early 2000s में, अगर आप किसी important चीज को internet से जोड़ते, तो conference room में आपका मजाक उड़ता और तुरंत नौकरी से निकाल दिया जाता
    • लंबे समय तक resilience ही लक्ष्य था, और मुझे लगता है कि cloud SaaS और automatic updates के हर चीज पर हावी होने से पहले systems ज्यादा resilient थे
      जब software installs private networks के अंदर होते थे, machines और topology मूल रूप से अलग structures में होते थे, और quality कम होने पर भी तरह-तरह के software इस्तेमाल होते थे, वह दौर आज की तुलना में कहीं ज्यादा robust था
      अब AWS जैसी किसी single service की failure बहुत-सी कंपनियों को रोक सकती है, और इस बार जैसा खराब update तुरंत सबको प्रभावित करता है और domino effect पैदा करता है
      पहले ऐसी चीजें आम नहीं थीं
      हमने अपनी collective architecture को कुछ best-practice tools में concentrate कर दिया है, और यह सिर्फ digital attacks ही नहीं, बल्कि misconfiguration, management failure, company failure, थके हुए कम-paid engineers और optimization जैसी चीजों के लिए भी single point of failure बन जाता है
      मैं इस बात से सहमत नहीं हूं कि system hardening अनिवार्य रूप से चीजों को कम सुविधाजनक बना देती है
      पिछले 10 साल में security industry उलटी दिशा में चली है, और उसने समझा है कि बहुत कड़ी security users को सरल और predictable workarounds खोजने पर मजबूर करती है, जिससे overall security posture कमजोर होता है
      passwords पर NIST recommendations में आए बदलाव देखिए
      अगर हर 90 दिन में बदलना हो, पिछले 10 passwords से अलग होना हो, और complexity requirements भी हों, तो users minimum length पर predictable patterns इस्तेमाल करते हैं और अंत में बस number बढ़ाते जाते हैं
      reuse check करने के लिए रखे गए पुराने password hashes, breach होने पर attackers को हर user का pattern बता देने वाला बोझ बन जाते हैं
      आजकल end users के लिए लगभग या पूरी तरह transparent usable security कहीं ज्यादा deploy की जाती है
      पुराने websites के CAPTCHA आम, खराब और bypass करने में आसान थे, लेकिन Cloudflare और Google के CAPTCHA solutions काफी transparent हैं और कहीं बेहतर काम करते हैं
      Microsoft की व्यापक और लगातार ढिलाई ने खराब security practices में योगदान दिया, यह सही है, लेकिन वह ecosystem अपने inherently unstable environment की वजह से अजीब था, और थोड़े समय की peak को छोड़ दें तो वह internet infrastructure की core foundation शायद ही कभी रहा
      दुर्भाग्य से enterprise infrastructure में वह core था, और लगता है कि usable या transparent security वाला memo उसे आखिर तक नहीं मिला
      उम्मीद है कि अब वे पीछे से ही सही, कोशिश कर रहे होंगे
  • एक अजीब तरह से देखें तो CrowdStrike ने पश्चिमी सभ्यता के लिए disaster recovery और resilience का forced test कर दिया
    असली हमला एक घंटे के भीतर रोल back नहीं होगा
    CrowdStrike अकेली ऐसी कंपनी नहीं है जिसके पास इतनी सारी कंपनियों, सरकारों और संसाधनों तक बड़े पैमाने की access है
    अगर कोई अंदरूनी कर्मचारी disk wiper deploy कर दे और Windows के साथ-साथ Linux और macOS कंप्यूटरों को भी नष्ट कर दे, तो प्रभावित systems शायद बिल्कुल recover न हो पाएं
    ऐसे में critical systems को online वापस आने में महीनों लग सकते हैं, और वैश्विक अर्थव्यवस्था COVID के समय से भी ज्यादा बुरी तरह रुक सकती है
    मुख्य बात यह भी है कि “CrowdStrike ने बेहतर क्यों नहीं किया”, लेकिन उससे भी बड़ा सवाल यह है कि critical systems की technology एक vendor की गलती या hack के खिलाफ ज्यादा मजबूत क्यों नहीं है
    मसलन, अगर boot loop की जगह disk wiper ने सभी boot disks मिटा दिए होते, तो servers, ATM, kiosks, POS वगैरह पर PXE boot recovery image या backup image पहले से configure न करने की क्या वजह हो सकती है, यह सवाल है
    UEFI और BIOS तक मिट जाएं, तब भी automatic recovery mechanism लागू करना technically असंभव तो नहीं लगता
    अगर आपने IT/security incident response में root cause analysis कभी नहीं किया है, तो गहराई से न सोच पाना समझ में आता है, लेकिन ransomware, disk wiper और supply-chain risk 10 साल से ज्यादा समय से फैले हुए हैं, फिर भी जो root cause analysis छूटा हुआ था, वह ठीक इसी तरह का है
    दोषी ढूंढना और गुस्सा करना आसान है, लेकिन इससे root cause हल नहीं होता
    कठिन technical decisions लेना, अच्छे crisis को बेकार न जाने देना, और resilient technology investments को आगे बढ़ाना ही इस समस्या और बार-बार आने वाली समस्याओं के root cause को सच में हल करता है

    • अगर firmware पूरी तरह उड़ जाए तो backup firmware चाहिए
      किसी point पर ऐसी चीजों को unrecoverable बनाया जा सकता है, लेकिन असल में हल करने वाली समस्या वह नहीं है
      एक कदम आगे बढ़ें तो security पर जोर resilience की चर्चा की कीमत पर आ रहा है
      खासकर financial तौर पर, resilience security से कहीं ज्यादा महत्वपूर्ण है
  • यह दशकों से खुला राज रहा है
    बड़े OS और browser vendors गिने-चुने हैं, वे लगातार patches भेजते रहते हैं, और ज्यादातर software की supply chain इतनी विशाल है कि किसी भी चीज का audit करना व्यावहारिक रूप से असंभव है और उसे सच में safe certify करना भी मुश्किल है
    “Security” software सिर्फ attack surface बढ़ाता है
    industry के लोग यह सब जानते थे, इसलिए NYT का अब catch up करना दिलचस्प है

    • शायद NYT इसे इसलिए cover कर रहा है क्योंकि कल एक बड़ी घटना हुई, और क्योंकि वह एक news company है
  • अमेरिका के बाहर की company के लिए यह CrowdStrike service इस्तेमाल करना पागलपन है, ऐसा मुझे लगता है
    FBI secret warrants के जरिए CrowdStrike को infrastructure में DLL inject करने के लिए मजबूर कर सकती है
    https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court

    • मुझे यकीन नहीं कि यह सही है
      मेरी समझ में अमेरिकी सरकार किसी company को data सौंपने का आदेश दे सकती है, लेकिन उसे सच में काम करने के लिए मजबूर नहीं कर सकती
      San Bernardino shooting के बाद सरकार और Apple के बीच विवाद का मुख्य मुद्दा भी यही था, और Apple के पास support देने से इनकार करने का legal right था
      https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
      NSA और CIA द्वारा backdoor लगाने के लिए laptops/phones की delivery intercept करके खुद काम करने तक जाना भी इस ओर इशारा करता है कि वे ऐसे action को compel नहीं कर सकते
    • असल दुनिया में FBI को लेकर paranoia से ज्यादा PCI DSS compliance महत्वपूर्ण है
    • सोचता हूं कि क्या आप मानते हैं कि Microsoft को ऐसा ही करने वाला “update” push करने के लिए मजबूर नहीं किया जा सकता, या वे ऐसा नहीं करते
  • कल मैंने परिवार से कहा कि अगर हम सचमुच युद्ध में चले गए, तो 8 घंटे के भीतर सब कुछ काम करना बंद कर देगा
    हम cash और paperwork पर लौट आएंगे, लेकिन यह दर्दनाक और धीमा होगा

    • असल लंबे युद्ध में शामिल दो देशों को देखें तो दोनों ने cashless payments का इस्तेमाल जारी रखा, और usage उल्टा बढ़ा
      https://cbr.ru/eng/press/event/?id=18776
      https://bank.gov.ua/en/news/all/drugiy-rik-povnomasshtabnoyi-viyni-obsyagi-bezgotivkovih-rozrahunkiv-zrostayut
    • Ukraine war मोटे तौर पर उलटी तस्वीर दिखाता है
      outages ज्यादातर missile attacks से प्रभावित physical infrastructure तक सीमित रहे, और Russia digital warfare में कमजोर भी नहीं है
    • Israel 10 महीने बाद भी अच्छी तरह टिक रहा है
      hostile hackers की कमी भी नहीं है
  • जरूरत “diversity” की है, बेशक marginalized groups वाले अर्थ में diversity नहीं
    अगर ज्यादा critical equipment अलग-अलग OS चला रहे होते, तो नुकसान सीमित रहता
    “Monoculture” का खतरा आम तौर पर पौधों के संदर्भ में बताया जाता है, लेकिन वही खतरा computing infrastructure पर भी लागू होता है

    • कुछ हद तक यह पहले से ही ऐसा है
      सभ्यता का collapse न होना ही इस बात का सबूत है कि Windows और CrowdStrike न इस्तेमाल करने वाला infrastructure बहुत बड़ी मात्रा में मौजूद है
    • इससे भी ज्यादा समझ से बाहर यह है कि अत्यधिक critical systems चलाने वाले organizations के जिम्मेदार लोगों ने यह विचार स्वीकार कर लिया कि third-party software provider कभी भी patches push कर सकता है
      थोड़ा सख्ती से कहें तो CrowdStrike से प्रभावित companies भी कल की घटना की कुछ जिम्मेदारी साझा करती हैं
    • अगर ज्यादा critical equipment अलग OS इस्तेमाल करते, लेकिन वही CrowdStrike चला रहे होते, तो नुकसान सीमित नहीं होता
    • जरूरी नहीं
      CrowdStrike इस क्षेत्र की नंबर 1 company भी नहीं है, फिर भी network effects की वजह से ऐसा हुआ
      इस स्तर की safety पाने के लिए जितने platforms चाहिए होंगे, वह अवास्तविक रूप से बहुत ज्यादा होंगे
  • दुनिया भर में जिन कंपनियों की Windows मशीनों पर CrowdStrike चल रहा था, उनमें बड़े पैमाने पर कंप्यूटर आउटेज हुआ
    CrowdStrike को हैकिंग-रोधी software के रूप में बेचा जाता है, लेकिन असल में यह C-level executives द्वारा कर्मचारियों के व्यवहार पर नजर रखने के लिए इस्तेमाल किया जाने वाला लोकप्रिय software है
    यह बहुत ऊंचे privileges के साथ install होता है, और design के हिसाब से इसे ठीक करना या हटाना मुश्किल बनाया गया है
    मुझे उत्सुकता है कि क्या यह घटना सच में किसी को कुछ सबक देगी

    • लगता है सबक देगी
      Microsoft ने कहा कि प्रभावित मशीनें 85 लाख थीं, जिस पर विश्वास करना मुश्किल है, लेकिन हमारे जैसे अपेक्षाकृत मध्यम आकार के संगठन में भी response में लगी मेहनत को देखें तो “जब आधे कर्मचारी remote work कर रहे हैं, तो इन machines तक आखिर पहुंचेंगे कैसे?” जैसे बेहद बुनियादी सवाल उठते हैं
      response हमेशा “अगर यह करें तो लागत कितनी होगी” होता था, लेकिन अब दूसरी तरफ का आंकड़ा भी आ गया है, यानी “अगर नहीं करें तो लागत कितनी होगी”
    • निगरानी वाले function के बारे में और विस्तृत जानकारी चाहिए
      screenshots हों तो अच्छा होगा
  • मैं उस हिस्से से सहमत नहीं हूं जहां Google के Kent Walker ने “उम्मीद पूरी तरह खत्म नहीं हुई है” कहते हुए कहा कि AI vulnerabilities की पहचान, holes को patch करने और code quality सुधारने में अर्थपूर्ण प्रगति संभव बनाता है
    अगर इकलौती उम्मीद सिर्फ धुंधले AI वादे हैं, तो मेरे हिसाब से असल में कोई उम्मीद नहीं है

    • सही है
      यह कुछ-कुछ ऐसा कहने जैसा है कि स्कूल shootings रोकने का सबसे अच्छा तरीका teachers को guns देना है
      मुझे नहीं लगता कि AI ने CrowdStrike management को यह बेहतर तरीके से मनाया होता कि phased rollout strategy पर खर्च करना वाकई worthwhile है
      ऐसी समस्याएं technology नहीं, लोग पैदा करते हैं, इसलिए और technology जोड़ देने से ये हल नहीं होंगी