CrowdStrike घटना ने दुश्मनों के सामने अमेरिका की कमजोरियों को उजागर करने वाला रोडमैप दिया
(nytimes.com)डिजिटल रेज़िलिएंस के साथ क्या हुआ?
-
डिजिटल आपदा का कारण
- शुक्रवार को हवाईअड्डों, अस्पतालों और TV प्रसारण केंद्रों को प्रभावित करने वाला डिजिटल ठप पड़ना एक software update में bug के कारण हुआ
- यह किसी शत्रुतापूर्ण ताकत की कार्रवाई नहीं थी, बल्कि अमेरिका की कमजोरियों को उजागर करने वाली घटना थी
-
रिकवरी मुश्किल क्यों है
- Biden प्रशासन रूस और चीन के hackers के हमले के scenarios का simulation करता रहा है
- लेकिन यह घटना एक साधारण मानवीय त्रुटि के कारण हुई
- जटिल network systems में छोटी गलती भी बड़ी समस्या पैदा कर सकती है
-
cyber योद्धाओं की प्रतिक्रिया
- इस बात से राहत मिली कि यह कोई राष्ट्र-स्तरीय हमला नहीं था
- चीन के Volt Typhoon जैसे malware को ढूंढना कठिन है और हटाना उससे भी अधिक कठिन
- इस घटना ने एक बार फिर cyber resilience की सीमाओं को उजागर किया
-
सरकार और private sector का सहयोग
- पिछले कुछ वर्षों में अमेरिका ने cyber security समस्याओं को गंभीरता से लेना शुरू किया है
- FBI, NSA, CISA जैसी सरकारी एजेंसियां private कंपनियों के साथ मिलकर कमजोरियां साझा करती हैं और hackers के बारे में चेतावनी देती हैं
- राष्ट्रपति Biden ने बड़े घटनाक्रमों की समीक्षा के लिए Cyber Safety Review Board की स्थापना की
GN⁺ की संक्षिप्त प्रस्तुति
- यह घटना एक साधारण software update त्रुटि के कारण हुई डिजिटल तबाही थी
- इसने जटिल network systems की कमजोरियों को उजागर किया और cyber resilience की सीमाएं दिखाईं
- सरकार और private sector का सहयोग महत्वपूर्ण है, और बड़े घटनाक्रमों की समीक्षा करने वाली प्रणाली की आवश्यकता है
- समान कार्यक्षमता वाले उत्पादों या projects में CrowdStrike जैसे cyber security software शामिल हैं
1 टिप्पणियां
Hacker News की राय
मीडिया में देखी गई व्याख्याओं में यह बात लगभग नहीं दिखती कि जिस OS को बार-बार security patches की ज़रूरत पड़ती है, उसे शुरुआत से ही infrastructure में इस्तेमाल नहीं करना चाहिए था—यह दिलचस्प है
मैंने airport display board की flight list screen पर blue screen दिखती हुई तस्वीर भी देखी, और सोचता हूं कि ऐसी चीजें Linux या OpenBSD पर क्यों नहीं बनाई जातीं
Security कोई ऐसी feature नहीं है जिसे बाद में ऊपर से जोड़ दिया जाए; इसे शुरुआत से built-in होना चाहिए. आज Windows के ऊपर security की परत चढ़ाने की कोशिश करने वाली पूरी industry खड़ी हो गई है, लेकिन फिर भी यह ठीक से काम नहीं करती
असल में कई मामलों में शुरुआत DOS या OS/2 के लिए हुई थी और फिर NT4 पर shift किया गया; history, inertia, familiarity, cost और support की आसानी—सबका असर होता है
Security कोई product नहीं, बल्कि process है, और distributions को भी frequent updates की ज़रूरत होती है, लेकिन installed software का scope कम किया जा सकता है
Airport display device को MPEG2, VP1 जैसे codecs की ज़रूरत शायद नहीं होगी
ऐसे specialized systems में garage-built software भी बहुत होता है; आप SAML/OIDC चाहें, फिर भी वे plaintext LDAP या बहुत हुआ तो Active Directory ही support करते हैं, और latest Apache Tomcat चाहें, तब भी vendor issue fix नहीं कर पाता, इसलिए तीन साल पुराना vulnerable version ही “supported” बताता है
अगर CrowdStrike blue screen की वजह null pointer वाली परिकल्पना सही है, तो safe language इस्तेमाल करनी चाहिए थी; इस मामले में जिम्मेदारी CrowdStrike पर डालना आसान लगता है
Microsoft ने shotgun दिया था; उसकी नली अपनी तरफ न मोड़ना vendor की जिम्मेदारी है
https://news.ycombinator.com/item?id=41018029
इसका मतलब है कि मुद्दे उठाए जा रहे हैं और risk mitigate हो रहा है
Security कोई checkbox नहीं, बल्कि लगातार बदलते environment के साथ चलने वाली लगभग अंतहीन process है; ऐसा OS जो updates नहीं पाता या बार-बार update नहीं होता, बेहतर नहीं है
असली ज़रूरत उन updates की है जो OS को unstable न बनाएं, और इसके पीछे हर organization द्वारा इन devices को operate करते हुए लिए गए फैसलों की बहुत बड़ी layers हैं
Security को layered तरीके से design किया जाना चाहिए और built-in होना चाहिए
बात यह नहीं कि “यह काम नहीं करता”; बल्कि लंबे समय तक चुपचाप रहने की वजह से यह काम करता रहा है, और लोग सिर्फ failed incidents को ही ज्यादा notice करते हैं
ज्यादातर लोग Windows computer चलाना जानते हैं, desktop IT support staff भी Windows management में familiar होता है, और building facilities team भी कुछ हद तक मदद कर सकती है
Microsoft computer fleets को manage करना आसान बनाता है, और अपनी training/certification के साथ-साथ ढेर सारी third-party training भी देता है
Windows असल में business standard machine है, और ज्यादातर signage companies भी Windows इस्तेमाल करती हैं
BSD जानने वाला व्यक्ति ढूंढना आसान नहीं है
Big Brand अच्छा target होता है, लेकिन OpenBSD जैसा open source project नहीं
करोड़ों डॉलर का नुकसान हो जाए, तब भी Linux/BSD की जगह Windows+CrowdStrike चुनने के कारण CTO को निकाले जाने की संभावना कम लगती है
“IBM खरीदने पर किसी को नौकरी से नहीं निकाला गया” वाली कहावत कम से कम corporate world में अब भी सही है
पता नहीं “डिजिटल resilience” कभी वाकई थी भी या नहीं, और अगर थी तो कब थी, यह जानने की उत्सुकता है
यह अफरातफरी किसी adversary ने नहीं कराई थी, लेकिन इसने अहम मौके पर अमेरिका की कमजोरियों का नक्शा दे दिया
जिन पक्षों के अमेरिका से रिश्ते अच्छे नहीं हैं, वे शायद पहले से ही ऐसे vulnerability maps बना और जमा कर रहे होंगे
यह हैरान करने वाला भी है कि अमेरिका और दूसरे देश ऐसे खतरों को लेकर इतने ढीले हैं और vulnerabilities को और मजबूत नहीं कर रहे, लेकिन एक तरह से यह साफ भी है
लागत भी एक factor है, लेकिन मेरे हिसाब से बड़ा factor सुविधा है
vulnerabilities के हिसाब से systems को harden करने पर वे कम सुविधाजनक और कम आसान हो जाते हैं, और लोग तुरंत विरोध करते हैं
Microsoft ने जब Windows, खासकर Windows 95, निकाला तो non-expert users को पकड़ने के लिए सब कुछ क्लिक से आसान बना दिया, और security पर पर्याप्त ध्यान नहीं दिया गया
जब viruses, vulnerabilities और breaches बेकाबू हो गए, तो restrictions लाई गईं, और users को अपनी आदत बन चुकी आजादी कम मिलने लगी
Microsoft ने दुनिया को ढीले operational तरीके की आदत डाल दी, और इसे पलटने की कोशिशें तब से लगातार user resistance से टकराती रही हैं
हम आज एक ऐसी बड़ी समस्या में फंसे हैं जो Windows 95 के launch से पहले भी आसानी से predict की जा सकती थी, और इसे ठीक करना बेहद कठिन होगा
कंपनियों को सुरक्षित, redundant और भरोसेमंद computer systems चलाने के लिए reward नहीं किया जाता; उन्हें इस बात के लिए reward किया जाता है कि income statement के bottom-line numbers, 90 दिन पहले Lower Manhattan के किसी analyst द्वारा तय expectations को पार कर जाएं
अमेरिका में समाज का अधिकतर काम कंपनियां करती हैं, इसलिए critical systems भी उसी तरह design होते हैं
यह मामला अदालत में जा सकता है और CrowdStrike को 19 जुलाई से ग्राहकों को हुए नुकसान की भरपाई करने के लिए शायद acquire होना पड़े, लेकिन इसमें सालों लगेंगे और plaintiffs को सिर्फ symbolic damages मिल सकते हैं या कुछ भी नहीं मिल सकता
तब तक market hedge कर चुका होगा, regulators को capture कर चुका होगा, losses काट चुका होगा और आगे बढ़ चुका होगा
assets को वे लोग सस्ते में खरीद लेंगे जो इसे “creative destruction” मानते हैं, और इस बात की परवाह नहीं करेंगे कि लोगों की जान जोखिम में पड़ी थी
और cycle चलता रहेगा
लगभग सभी critical infrastructure पर कई वर्षों तक cyber attacks हुए, systems down हुए और outages भी आए, लेकिन उन्होंने adapt किया
कभी-कभी वे low-tech solutions पर लौटे, और कभी robustness वाले नए systems बनाए और पुराने हटाए
जब समस्या concrete और immediate होती है, तो उसे राजनीतिक रूप से justify करना भी कहीं आसान होता है
मुझे याद है कि tensions बढ़ने शुरू होने पर अमेरिका के शुरुआती कदमों में से एक NSA cybersecurity experts की टीम भेजना था, ताकि locking down और intrusions हटाने में मदद मिल सके
क्योंकि points हासिल करना और यह दिखाना आसान है कि कुछ किया जा रहा है
इसके उलट defense, ढेरों पुराने endpoints को protect करने या highly profitable mega-corporations को कम vulnerable लेकिन कम profitable काम करने के लिए मनाने जैसा उबाऊ काम है
जब software installs private networks के अंदर होते थे, machines और topology मूल रूप से अलग structures में होते थे, और quality कम होने पर भी तरह-तरह के software इस्तेमाल होते थे, वह दौर आज की तुलना में कहीं ज्यादा robust था
अब AWS जैसी किसी single service की failure बहुत-सी कंपनियों को रोक सकती है, और इस बार जैसा खराब update तुरंत सबको प्रभावित करता है और domino effect पैदा करता है
पहले ऐसी चीजें आम नहीं थीं
हमने अपनी collective architecture को कुछ best-practice tools में concentrate कर दिया है, और यह सिर्फ digital attacks ही नहीं, बल्कि misconfiguration, management failure, company failure, थके हुए कम-paid engineers और optimization जैसी चीजों के लिए भी single point of failure बन जाता है
मैं इस बात से सहमत नहीं हूं कि system hardening अनिवार्य रूप से चीजों को कम सुविधाजनक बना देती है
पिछले 10 साल में security industry उलटी दिशा में चली है, और उसने समझा है कि बहुत कड़ी security users को सरल और predictable workarounds खोजने पर मजबूर करती है, जिससे overall security posture कमजोर होता है
passwords पर NIST recommendations में आए बदलाव देखिए
अगर हर 90 दिन में बदलना हो, पिछले 10 passwords से अलग होना हो, और complexity requirements भी हों, तो users minimum length पर predictable patterns इस्तेमाल करते हैं और अंत में बस number बढ़ाते जाते हैं
reuse check करने के लिए रखे गए पुराने password hashes, breach होने पर attackers को हर user का pattern बता देने वाला बोझ बन जाते हैं
आजकल end users के लिए लगभग या पूरी तरह transparent usable security कहीं ज्यादा deploy की जाती है
पुराने websites के CAPTCHA आम, खराब और bypass करने में आसान थे, लेकिन Cloudflare और Google के CAPTCHA solutions काफी transparent हैं और कहीं बेहतर काम करते हैं
Microsoft की व्यापक और लगातार ढिलाई ने खराब security practices में योगदान दिया, यह सही है, लेकिन वह ecosystem अपने inherently unstable environment की वजह से अजीब था, और थोड़े समय की peak को छोड़ दें तो वह internet infrastructure की core foundation शायद ही कभी रहा
दुर्भाग्य से enterprise infrastructure में वह core था, और लगता है कि usable या transparent security वाला memo उसे आखिर तक नहीं मिला
उम्मीद है कि अब वे पीछे से ही सही, कोशिश कर रहे होंगे
एक अजीब तरह से देखें तो CrowdStrike ने पश्चिमी सभ्यता के लिए disaster recovery और resilience का forced test कर दिया
असली हमला एक घंटे के भीतर रोल back नहीं होगा
CrowdStrike अकेली ऐसी कंपनी नहीं है जिसके पास इतनी सारी कंपनियों, सरकारों और संसाधनों तक बड़े पैमाने की access है
अगर कोई अंदरूनी कर्मचारी disk wiper deploy कर दे और Windows के साथ-साथ Linux और macOS कंप्यूटरों को भी नष्ट कर दे, तो प्रभावित systems शायद बिल्कुल recover न हो पाएं
ऐसे में critical systems को online वापस आने में महीनों लग सकते हैं, और वैश्विक अर्थव्यवस्था COVID के समय से भी ज्यादा बुरी तरह रुक सकती है
मुख्य बात यह भी है कि “CrowdStrike ने बेहतर क्यों नहीं किया”, लेकिन उससे भी बड़ा सवाल यह है कि critical systems की technology एक vendor की गलती या hack के खिलाफ ज्यादा मजबूत क्यों नहीं है
मसलन, अगर boot loop की जगह disk wiper ने सभी boot disks मिटा दिए होते, तो servers, ATM, kiosks, POS वगैरह पर PXE boot recovery image या backup image पहले से configure न करने की क्या वजह हो सकती है, यह सवाल है
UEFI और BIOS तक मिट जाएं, तब भी automatic recovery mechanism लागू करना technically असंभव तो नहीं लगता
अगर आपने IT/security incident response में root cause analysis कभी नहीं किया है, तो गहराई से न सोच पाना समझ में आता है, लेकिन ransomware, disk wiper और supply-chain risk 10 साल से ज्यादा समय से फैले हुए हैं, फिर भी जो root cause analysis छूटा हुआ था, वह ठीक इसी तरह का है
दोषी ढूंढना और गुस्सा करना आसान है, लेकिन इससे root cause हल नहीं होता
कठिन technical decisions लेना, अच्छे crisis को बेकार न जाने देना, और resilient technology investments को आगे बढ़ाना ही इस समस्या और बार-बार आने वाली समस्याओं के root cause को सच में हल करता है
किसी point पर ऐसी चीजों को unrecoverable बनाया जा सकता है, लेकिन असल में हल करने वाली समस्या वह नहीं है
एक कदम आगे बढ़ें तो security पर जोर resilience की चर्चा की कीमत पर आ रहा है
खासकर financial तौर पर, resilience security से कहीं ज्यादा महत्वपूर्ण है
यह दशकों से खुला राज रहा है
बड़े OS और browser vendors गिने-चुने हैं, वे लगातार patches भेजते रहते हैं, और ज्यादातर software की supply chain इतनी विशाल है कि किसी भी चीज का audit करना व्यावहारिक रूप से असंभव है और उसे सच में safe certify करना भी मुश्किल है
“Security” software सिर्फ attack surface बढ़ाता है
industry के लोग यह सब जानते थे, इसलिए NYT का अब catch up करना दिलचस्प है
अमेरिका के बाहर की company के लिए यह CrowdStrike service इस्तेमाल करना पागलपन है, ऐसा मुझे लगता है
FBI secret warrants के जरिए CrowdStrike को infrastructure में DLL inject करने के लिए मजबूर कर सकती है
https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court
मेरी समझ में अमेरिकी सरकार किसी company को data सौंपने का आदेश दे सकती है, लेकिन उसे सच में काम करने के लिए मजबूर नहीं कर सकती
San Bernardino shooting के बाद सरकार और Apple के बीच विवाद का मुख्य मुद्दा भी यही था, और Apple के पास support देने से इनकार करने का legal right था
https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
NSA और CIA द्वारा backdoor लगाने के लिए laptops/phones की delivery intercept करके खुद काम करने तक जाना भी इस ओर इशारा करता है कि वे ऐसे action को compel नहीं कर सकते
कल मैंने परिवार से कहा कि अगर हम सचमुच युद्ध में चले गए, तो 8 घंटे के भीतर सब कुछ काम करना बंद कर देगा
हम cash और paperwork पर लौट आएंगे, लेकिन यह दर्दनाक और धीमा होगा
https://cbr.ru/eng/press/event/?id=18776
https://bank.gov.ua/en/news/all/drugiy-rik-povnomasshtabnoyi-viyni-obsyagi-bezgotivkovih-rozrahunkiv-zrostayut
outages ज्यादातर missile attacks से प्रभावित physical infrastructure तक सीमित रहे, और Russia digital warfare में कमजोर भी नहीं है
hostile hackers की कमी भी नहीं है
जरूरत “diversity” की है, बेशक marginalized groups वाले अर्थ में diversity नहीं
अगर ज्यादा critical equipment अलग-अलग OS चला रहे होते, तो नुकसान सीमित रहता
“Monoculture” का खतरा आम तौर पर पौधों के संदर्भ में बताया जाता है, लेकिन वही खतरा computing infrastructure पर भी लागू होता है
सभ्यता का collapse न होना ही इस बात का सबूत है कि Windows और CrowdStrike न इस्तेमाल करने वाला infrastructure बहुत बड़ी मात्रा में मौजूद है
थोड़ा सख्ती से कहें तो CrowdStrike से प्रभावित companies भी कल की घटना की कुछ जिम्मेदारी साझा करती हैं
CrowdStrike इस क्षेत्र की नंबर 1 company भी नहीं है, फिर भी network effects की वजह से ऐसा हुआ
इस स्तर की safety पाने के लिए जितने platforms चाहिए होंगे, वह अवास्तविक रूप से बहुत ज्यादा होंगे
दुनिया भर में जिन कंपनियों की Windows मशीनों पर CrowdStrike चल रहा था, उनमें बड़े पैमाने पर कंप्यूटर आउटेज हुआ
CrowdStrike को हैकिंग-रोधी software के रूप में बेचा जाता है, लेकिन असल में यह C-level executives द्वारा कर्मचारियों के व्यवहार पर नजर रखने के लिए इस्तेमाल किया जाने वाला लोकप्रिय software है
यह बहुत ऊंचे privileges के साथ install होता है, और design के हिसाब से इसे ठीक करना या हटाना मुश्किल बनाया गया है
मुझे उत्सुकता है कि क्या यह घटना सच में किसी को कुछ सबक देगी
Microsoft ने कहा कि प्रभावित मशीनें 85 लाख थीं, जिस पर विश्वास करना मुश्किल है, लेकिन हमारे जैसे अपेक्षाकृत मध्यम आकार के संगठन में भी response में लगी मेहनत को देखें तो “जब आधे कर्मचारी remote work कर रहे हैं, तो इन machines तक आखिर पहुंचेंगे कैसे?” जैसे बेहद बुनियादी सवाल उठते हैं
response हमेशा “अगर यह करें तो लागत कितनी होगी” होता था, लेकिन अब दूसरी तरफ का आंकड़ा भी आ गया है, यानी “अगर नहीं करें तो लागत कितनी होगी”
screenshots हों तो अच्छा होगा
मैं उस हिस्से से सहमत नहीं हूं जहां Google के Kent Walker ने “उम्मीद पूरी तरह खत्म नहीं हुई है” कहते हुए कहा कि AI vulnerabilities की पहचान, holes को patch करने और code quality सुधारने में अर्थपूर्ण प्रगति संभव बनाता है
अगर इकलौती उम्मीद सिर्फ धुंधले AI वादे हैं, तो मेरे हिसाब से असल में कोई उम्मीद नहीं है
यह कुछ-कुछ ऐसा कहने जैसा है कि स्कूल shootings रोकने का सबसे अच्छा तरीका teachers को guns देना है
मुझे नहीं लगता कि AI ने CrowdStrike management को यह बेहतर तरीके से मनाया होता कि phased rollout strategy पर खर्च करना वाकई worthwhile है
ऐसी समस्याएं technology नहीं, लोग पैदा करते हैं, इसलिए और technology जोड़ देने से ये हल नहीं होंगी