1 पॉइंट द्वारा GN⁺ 2025-01-01 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • AT&T, Verizon, Lumen Technologies ने चीनी सरकार-समर्थित हैकर्स द्वारा अपने सिस्टम तक पहुँच की पुष्टि की, जिससे Salt Typhoon सेंध अमेरिकी टेलीकॉम नेटवर्क में व्यापक राष्ट्रीय सुरक्षा मुद्दा बन गई
  • White House ने बताया कि इस घुसपैठ से चीन पक्ष को लाखों लोगों की लोकेशन ट्रैक करने और फोन कॉल्स को मनमाने ढंग से रिकॉर्ड करने की क्षमता मिली, और एक मामले में administrator account के समझौता होने से 100,000 से अधिक routers तक पहुँच संभव हुई
  • AT&T और Verizon ने कहा कि प्रभावित ग्राहक कम संख्या में थे, जबकि Lumen ने बताया कि customer data तक पहुँच के कोई सबूत नहीं मिले और एक स्वतंत्र forensic firm ने हमलावरों को हटाए जाने की पुष्टि की
  • location information और phone metadata से प्रभावित लोगों की संख्या बड़ी है, लेकिन वास्तविक calls और texts की collection का लक्ष्य कम था और संभवतः 100 से कम लोग थे
  • FCC टेलीकॉम कंपनियों से basic cybersecurity practices की मांग करने वाला rules proposal आगे बढ़ा रहा है, और Senator Ron Wyden ने भी FCC द्वारा बाध्यकारी telecom security rules जारी कराने की मांग वाला bill प्रस्तावित किया

अमेरिकी टेलीकॉम कंपनियों में सेंध की पुष्टि बढ़ी

  • AT&T, Verizon, Lumen Technologies ने पुष्टि की कि चीनी सरकार-समर्थित जासूसों ने इस साल की शुरुआत में उनके कुछ systems तक पहुँच बनाई थी
  • White House ने कहा कि Salt Typhoon से प्रभावित टेलीकॉम कंपनियों की संख्या पहले की 8 से बढ़कर 9 हो गई है
  • T-Mobile ने पहले Salt Typhoon की reconnaissance कोशिशों के साथ “consistent” जासूसी गतिविधि का उल्लेख किया था, लेकिन स्पष्ट किया कि वह सरकार द्वारा बताए गए 9 carriers में से एक नहीं है

AT&T·Verizon·Lumen ने नुकसान के बारे में क्या पुष्टि की

  • AT&T ने कहा कि विदेशी जासूसों ने intelligence campaign में कम संख्या में ग्राहकों को प्रभावित किया, और वे तत्व पहले ही network से हटा दिए गए हैं
    • फिलहाल network में nation-state actor की activity detect नहीं हो रही है
    • माना जा रहा है कि चीन ने विदेशी intelligence रुचि के target रहे कुछ व्यक्तियों को निशाना बनाया
    • जिन अपेक्षाकृत कम मामलों में personal information प्रभावित हुई, उनमें law enforcement agencies के साथ मिलकर notification obligations पूरी की गईं
    • सरकारी अधिकारियों, अन्य telecom carriers और cybersecurity experts के साथ investigation जारी है
  • Verizon ने पुष्टि की कि चीनी घुसपैठियों ने सरकार और राजनीति से जुड़े कुछ high-profile customers तक पहुँच बनाई
    • उन customers को notify किया गया, और company ने कहा कि nation-state threat से उत्पन्न cyber incident को contain कर लिया गया
    • नाम न बताने वाली एक “highly respected” cybersecurity company ने भी containment की पुष्टि की
    • federal law enforcement agencies, national security agencies, अन्य communications partners और security companies के साथ सहयोग किया गया
    • Verizon की chief legal officer Vandana Venkatesh ने कहा कि Verizon network में threat actor activity कुछ समय से detect नहीं हुई है
  • Lumen Technologies ने चीनी attackers को अपने systems से हटा दिया और customer data access का कोई सबूत नहीं मिला
    • एक independent forensic firm ने पुष्टि की कि Salt Typhoon अब network के अंदर नहीं है
    • federal partners ने भी इससे अलग कोई जानकारी साझा नहीं की, ऐसा company ने कहा

White House के अनुसार घुसपैठ का दायरा और तरीका

  • White House की cyber और emerging technology के लिए Deputy National Security Advisor Anne Neuberger ने बताया कि इस घुसपैठ को “अमेरिकी इतिहास का सबसे खराब telecom hack” कहा गया है
  • चीन पक्ष ने networks में प्रवेश कर “व्यापक और पूर्ण पहुँच” हासिल की, जिसके परिणामस्वरूप उसे लाखों लोगों की location track करने और phone calls को मनमाने ढंग से record करने की क्षमता मिली
  • एक मामले में जासूसों ने administrator account में सेंध लगाई, और उस account से 100,000 से अधिक routers तक पहुँचा जा सकता था
    • Neuberger ने समझाया कि उस account को compromise करके चीन ने पूरे network में व्यापक access rights हासिल कर लिए
    • इस स्थिति को nation-state actors से बचाव के लिए जरूरी cybersecurity स्तर से कम आंका गया

प्रभावित लोगों की संख्या और data का दायरा

  • White House अभी कुल victims की संख्या नहीं जानता
  • location information और phone metadata से प्रभावित individuals की संख्या काफी अधिक है
  • वास्तविक phone calls और texts की collection के targets कम थे, और वास्तविक लोगों की संख्या संभवतः 100 से कम हो सकती है

telecom security response regulation की ओर बढ़ रहा है

  • White House ने इस घुसपैठ के बाद जोर दिया कि nation-state threats के खिलाफ केवल voluntary cybersecurity measures पर्याप्त नहीं हैं
  • FCC ने telecom operators से basic cybersecurity practices की मांग करने वाला public rule proposal शुरू किया
    • commissioners 15 जनवरी तक इस rule पर vote करने वाले हैं
  • Senator Ron Wyden ने FCC को communication systems के लिए binding rules जारी करने की मांग वाला bill प्रस्तावित किया
  • सेंध से प्रभावित 9 telecom companies के सभी CEOs सरकार के 60-day Enduring Security Framework में शामिल हुए
    • इस public-private effort का लक्ष्य intelligence agencies, CISA, FBI और telecom security experts द्वारा सहमत minimum cybersecurity practices तैयार करना है

1 टिप्पणियां

 
GN⁺ 2025-01-01
Hacker News टिप्पणियां
  • अगर कंपनियां data minimization अपनातीं, और जिस ग्राहक डेटा को देखने की जरूरत नहीं है उसे end-to-end encryption से सुरक्षित करतीं, तो ऐसी breaches कम होतीं
    क्योंकि घुसपैठ करने की प्रेरणा ही खत्म हो जाती, लेकिन खुफिया एजेंसियां इस बात पर अड़ी रहती हैं कि उन्हें निर्दोष नागरिकों की बातचीत तक पहुंच मिलनी चाहिए

    • खुफिया एजेंसियों की समस्या तो है ही, लेकिन कंपनियां भी ऐसे उपायों पर पैसा खर्च नहीं करना चाहतीं
      असल में कोई दंडात्मक सजा या जुर्माना नहीं है, और short-term profit बचाना user data की सुरक्षा से ज्यादा अहम माना जाता है। जब तक breach कंपनी को गंभीर आर्थिक नुकसान नहीं पहुंचाती, तब तक यह “माफ कीजिए, हम आपको credit monitoring दे देंगे” की तरह यूजर्स पर डाल दिया जाएगा। Software development और engineering industry में भी data security को गंभीरता से लेने वाले लोग ज्यादा नहीं हैं; बातें बहुत होती हैं, लेकिन असली business implementation में बेहद खराब practices दिखती हैं
    • Apple कई सालों से कह रहा था कि सरकार के लिए बनाया गया encryption-bypass backdoor दुर्भावनापूर्ण पक्षों द्वारा भी इस्तेमाल किया जा सकता है, लेकिन सरकार बस कहती रही कि सब ठीक रहेगा
      अब वही अनिवार्य privacy-bypass backdoor दुर्भावनापूर्ण पक्षों द्वारा इस्तेमाल हो रहा है, और FBI, खुद पैदा की गई स्थिति की वजह से, सभी को end-to-end encrypted apps इस्तेमाल करने की सलाह दे रही है। लेकिन यह आपदा गुजरने के बाद वे फिर “encryption खराब है, security खराब है, हमें data आसानी से लेने का तरीका दीजिए” वाली दलील पर लौट आएंगे
    • यह पूरी तरह सही बात नहीं है। FCC911 और कई कानून carriers से location data तक पहुंच रखने और warrant लागू करने के लिए calls और texts record करने की मांग करते हैं
      समस्या यह है कि regulation और commercial interests दोनों उलझे हुए हैं। यह उम्मीद करना अवास्तविक है कि जनता या सरकार मोबाइल फोन के लिए वास्तविक privacy स्वीकार करेगी। लोग चाहते हैं कि 911 पर कॉल करने पर पुलिस या firefighters पहुंचें, और organized crime या गंभीर अपराधों का पता चले और prosecution हो
    • अभी सार्वजनिक जानकारी बहुत कम है जिससे तय किया जा सके कि यह मामला stored personally identifiable information या lawful interception से जुड़ा है या नहीं। जो पता है वह बस इतना है कि subscriber location का पता लगाया गया
      SS7 protocol यह जानने देता है कि किसी खास समय पर फोन किस RNC/MMC से जुड़ा है, और यह network operation का मूल हिस्सा है। अगर पर्याप्त sophisticated attacker के पास telecom equipment तक पर्याप्त access हो, तो वह सीधे protocol commands भेजकर location पता कर सकता है
    • थोड़ा अलग सवाल है, लेकिन क्या ऐसे apps में end-to-end encryption design और implement करने पर कोई resources हैं जहां users का shared “team” data होता है?
      एक user के लिए basic principles समझता हूं, लेकिन Facebook Messenger जैसे shared end-to-end encrypted group chat कैसे implement होते हैं, इसके बारे में और जानना चाहता हूं
  • यह अजीब है कि अमेरिकी banks, Venmo, PayPal वगैरह अभी भी authentication के लिए “असली” phone number मांगते हैं
    Venmo VoIP numbers इस्तेमाल नहीं करने देता, लेकिन Tello में sign up करके विदेश में eSIM activate किया तो तुरंत SMS मिला और sign up कर पाया। barrier सिर्फ 5 डॉलर था; कमाल की security है

    • यह इस जरूरत से आता है कि users की पहचान एक verifiable तरीके से की जाए। यह legal और regulatory requirement है, और financial services के लिए fraud, theft, money laundering, black markets, terrorist financing जैसे crimes को असल में रोकने का उपाय है
      आखिर सबसे असरदार तरीका यह जानना है कि transaction के parties कौन हैं। कुछ कंपनियों के Know Your Customer standards कम होते हैं, लेकिन समय के साथ वे अपराध में मदद करने का रास्ता बन जाती हैं और regulatory partners व सरकार की निगरानी में आ जाती हैं। Singapore, Canada, Japan और धीरे-धीरे सख्त होते EU की तुलना में अमेरिका अपेक्षाकृत ढीला है, और कई jurisdictions में biometric verification, photo authentication, और कभी-कभी agent के साथ video interview में documents दिखाने पड़ते हैं
    • मेरा Google Voice number छीने जाने की संभावना कम है, लेकिन उसकी जगह मुझे एक “असली” phone number इस्तेमाल करना पड़ता है जिसे store employee को cash देकर hijack किया जा सकता है
      एक कंपनी ने बाद में VoIP number को retroactively block कर दिया, जो सचमुच मूर्खतापूर्ण था
    • समस्या blanket rejection है
      यह check करने और allow करने की प्रक्रिया होनी चाहिए कि number fraud में इस्तेमाल नहीं हो रहा है। कई सालों से customer होना, उसी number को लगातार इस्तेमाल करना, और platform पर हजारों dollars के transactions बिना किसी issue के कर चुका होना—इतना तो judgment का आधार हो सकता है, ऐसा लगता है
    • क्या Tello Know Your Customer मांगता है? यानी मैं जानना चाहता हूं कि eSIM असली identity से linked है या नहीं
      कम से कम Europe में PSD2 standards के तहत phone number को two-factor authentication method मानने की मुख्य बात यही है
    • कुछ कंपनियां मेरे साथ business करने से इनकार करती हैं क्योंकि family business account मेरे पिता के नाम पर है। जबकि मुझे पिता होने का नाटक करने के लिए जरूरी सारी सही जानकारी पता है
      फोन उठाकर “मैं … हूं” न कहने का एकमात्र कारण यह है कि मैं ईमानदार हूं। कोई malicious user जो पूछी जाने वाली सारी जानकारी पहले से जानता है, उसे यह नहीं रोक सकता; वह बस झूठ बोलकर खुद को business owner या account owner बता देगा
  • मैं सुरक्षा क्षेत्र में काम करता/करती हूँ, और यह घटना चौंकाने वाली थी। हैरानी इस बात से ज़्यादा नहीं थी कि कंपनियाँ hack हो गईं, बल्कि इस बात से थी कि हमले का दायरा एक साथ कई जगह और coordinated दिख रहा था
    कई कंपनियों में एक साथ सेंध लगाना चीन के लक्ष्यों के बारे में कुछ बताता है। ऐसा करने से “noise” बढ़ने का जोखिम होता है, इसलिए सवाल है कि high-level targets की सुनवाई करने के लिए किसी कर्मचारी को खरीदने के बजाय उन्होंने सबको क्यों छेड़ा और राष्ट्रपति-स्तर की प्रतिक्रिया तक क्यों बुला ली। यह image और राजनीति से प्रेरित लगता है, और मुझे लगता है कि आधुनिक Cold War का मतलब infrastructure attacks है

    • यह कोई खास चौंकाने वाली बात नहीं, बल्कि सामान्य बात है। telecom companies पर काम करने वाली team के tools expose हो गए, इसलिए यह coordinated लग रहा है
      रुचि के लगभग किसी भी industry को चुन लीजिए—top 50 देशों की intelligence agencies में उस sector को hack करने के लिए dedicated team होती है, और उनमें से अधिकांश सफल होती हैं। दुख की बात है कि security industry के लोग भी अक्सर ऐसे operations के दायरे और पैमाने को ठीक से नहीं समझते, यहाँ तक कि उन networks के अंदर भी नहीं जिनकी जिम्मेदारी उन्हीं की होती है। यहाँ “noise” attacker ने जानबूझकर नहीं किया; attacker भी पकड़ा जाना नहीं चाहता, लेकिन गलतियाँ हो जाती हैं
    • शायद यह simultaneous attack नहीं रहा होगा। लंबे समय में घुसपैठ हुई होगी, और defenders ने उन्हें एक साथ खोज लिया होगा
      क्योंकि एक चीज़ मिल जाए तो आप दूसरी चीज़ें भी ढूँढना शुरू कर देते हैं। किसी कर्मचारी को recruit करना जटिल और कठिन है, लेकिन SS7 पर remotely attack करना, खासकर जब surveillance targets कई हों, कहीं आसान है
    • Huawei या spy cranes विवाद को देखते हुए, मैं सोच रहा/रही हूँ कि इस “attack” ने सभी telecom equipment को target किया था या सिर्फ Chinese-made equipment को
      telecom और power cables से खुलेआम छेड़छाड़ करना Western politicians के लिए एक signal जैसा लगता है। यह दावा भी है कि North Korea ने cryptocurrency चुराई, लेकिन कोई identifiable victim सामने नहीं आया। Western politicians हमें अभी हो रही चीज़ों से बचाने के नाम पर पूरी global economy को reshape करने की कोशिश कर रहे हैं, इसलिए यह संयोग से ज़्यादा लगता है
    • मुझे लगता है कि presidential transition period के बीचोंबीच ऐसा कुछ करने के लिए perfect timing है
      outgoing और incoming की political leanings चाहे जो हों, यह ज्यादा chaotic होगा, और दिखेगा तो सही, लेकिन संभव है कि इसे संभालने वाली to-do list में नीचे धकेल दिया जाए या भुला दिया जाए
    • सबसे अयोग्य criminals पहले पकड़े जाते हैं
      खबरों में दिखने वाले attacks में भारी selection bias होता है
  • हैकिंग का विवरण स्पष्ट नहीं है, इसलिए पुष्टि नहीं की जा सकती, लेकिन जितनी ज्यादा telecom companies के hacked होने की बात सामने आती है, उतनी ही संभावना बढ़ती है कि चीन ने lawful interception पर हमला करके घुसपैठ की हो
    तरीके कई हो सकते हैं। जैसे lawful interception management system तक access रखने वाले law enforcement अधिकारियों को रिश्वत देना या धमकाना, उस system की supply chain पर हमला करना, या network और management system के बीच authentication को hack करना। अगर यह lawful interception पर हमला है, तो automated lawful interception support करने वाले सभी networks compromised माने जाएंगे। यह एक बेहद खराब हमला है, क्योंकि यह इस तरह design किया गया होता है कि interception targets operators को आसानी से दिखाई न दें, इसलिए detection मुश्किल होती है

    • ज्यादा संभावित बात यह है कि access हासिल करने के बाद network equipment management में इस्तेमाल होने वाले कई कमजोर protocols की जासूसी की गई हो
      जिन्होंने networking का काम किया है, वे समझेंगे कि इसका मतलब क्या है। यह industry हास्यास्पद रूप से खराब हालत में है। SSH इस्तेमाल होता है, लेकिन host keys verify नहीं की जातीं, agent forwarding इस्तेमाल होती है, और RADIUS या SNMP जैसे protocols चलते हैं जिनमें एक device compromise होते ही लगभग हमेशा globally shared secret values के कारण सब ढह जाता है। यह भी शक है कि secure boot का meaningful इस्तेमाल होता है या file system verify किया जाता है
      20 साल पहले जब किसी ने पाया कि forged TCP reset inject करके BGP connection तोड़ा जा सकता है, तो industry ने BGP over TLS नहीं अपनाया। इसके बजाय 1999 में shared secret value पर आधारित TCP MD5 hash ही जोड़ा गया: https://datatracker.ietf.org/doc/html/rfc2385. आज भी PKI इस्तेमाल करने की कल्पना तक न कर पाने जैसा माहौल बना हुआ है, और deployment भी आम तौर पर नहीं होता
      इस industry को समझने के लिए बस यही देखना काफी है। सीधे TLS इस्तेमाल करने के बजाय https://datatracker.ietf.org/doc/html/rfc5925 जैसी चीज बनाई गई, और actual deployments में वही shared tuple model जारी रखा गया, इसलिए यह 2385 जितना ही खराब है। “support” का दावा करने वाले vendors में भी कुछ पूरे RFC को support नहीं करते। यह स्थिति दशकों से ज्ञात थी, लेकिन vendors ने पकड़े गए बेवकूफी भरे issues पर patch लगाने के अलावा security सुधारने में शायद ही रुचि दिखाई, और security researchers भी critical network equipment को ज्यादा नहीं खंगालते
    • वह inference संदिग्ध है
      बात यह नहीं है कि और जगह hack हुई हैं, बल्कि यह है कि उसी hack से जुड़े और अधिक मामले पाए गए हैं। इस स्तर का attacker news देख रहा होगा, और अपने फायदे के लिए सही कदम उठाएगा या indicators of compromise reverse-engineer होने से पहले network समेट लेगा
      यह lawful interception आधारित attack से ज्यादा ऐसी स्थिति हो सकती है जहां पक्का पता ही नहीं है कि अंदर कैसे आए। CISA guidance का बड़ा हिस्सा standard cybersecurity best practices है, जैसे monitoring/visibility हासिल करना और attack surface कम करना। मुख्य बदलाव TFTP का इस्तेमाल बंद करने की मांग और manufacturers को baseline hashes का source मानने वाला हिस्सा लगता है। Send/receive path में firmware-based attack की संभावना बहुत ज्यादा लगती है
      TFTP servers ISP network के endpoints, यानी customer modems, को configuration भेजते हैं और firmware images भी शामिल करते हैं, लेकिन इसमें authentication, authorization या auditing नहीं होती। संबंधित hardware design के कारण changes का ठीक से audit करना मुश्किल होता है, TR-47 शायद ही सही तरीके से इस्तेमाल होता है, और संबंधित encryption को कानूनी तौर पर ऐसे encryption के साथ backward compatibility रखने को कहा जाता है जो पहले ही टूट चुका है। कुछ साल पहले Cyphercon 6 में इस पर अच्छी presentation थी: https://www.youtube.com/watch?v=_hk2DsCWGXs
      TLS 1.3 पर असामान्य जोर यह संकेत देता है कि connections downgrade हो रहे हैं, या CPE bridge का hardware/firmware पुराने versions में public sites के खिलाफ transparent man-in-the-middle attack कर रहा है। किसी खास DH group के इस्तेमाल पर जोर भी यह संकेत दे सकता है कि कोई key exchange group ऐसा हो सकता है जिसे अभी public तौर पर टूटा हुआ नहीं माना जाता, लेकिन वास्तव में वह टूट चुका हो
      अगर attacker पहले से access वाले sensitive लोगों के traffic में malicious code तुरंत inject कर सकता है, तो वह उस traffic के जरिए अत्यधिक sensitive systems में आसानी से घुस सकता है। एक और ज्यादा किनारे की hypothesis यह है कि Feistel structure तोड़ने का तरीका मिल गया हो। NSA ने पहले कहा था कि cryptography में कोई breakthrough हुआ था; अगर वह आधुनिक cryptography के बड़े हिस्से के आधार Feistel network structure पर attack से जुड़ा हो, तो यह एक और explanation हो सकता है
      लगभग हर computer में TrustZone, Management Engine, AMD PSP जैसे backdoor-जैसे auxiliary processors मौजूद होते हैं, और वे proper audit trail के बिना सिर्फ cryptography पर निर्भर होकर protected रहते हैं। यह पृथ्वी के लगभग हर computing platform पर केंद्रित low-hanging fruit जैसा दिखता है। अगर quantum computer ऐसे systems की single signing key तोड़ दे, तो वह हर चीज के लिए golden key बन सकता है, और nation-state level पर यह पूरी तरह असंभव भी नहीं है। Visibility न होने पर problem detect करने, respond करने या isolate करने के तरीके भी सिर्फ indirect रह जाते हैं
  • संबंधित पिछली चर्चाएं:
    PRC Targeting of Commercial Telecommunications Infrastructure
    https://news.ycombinator.com/item?id=42132014
    AT&T, Verizon reportedly hacked to target US govt wiretapping platform
    https://news.ycombinator.com/item?id=41766610

  • कुछ साल पहले तक intelligence agencies backdoor अनिवार्य करने की बात कर रही थीं, और अब FBI सुरक्षित चैट के लिए Signal की सलाह दे रही है—यह किसी कॉमेडी जैसा लगता है
    उम्मीद है नई administration पिछले 4 सालों में उनके emails और texts भी खंगालेगी। बात ऐसी है: “मेरी privacy ठीक, तुम्हारी privacy नहीं”

    • “यह संकेत देता है कि हमला broadband provider पर नहीं, बल्कि सरकार की CALEA requests और broadband provider के बीच मौजूद middle कंपनियों में से किसी एक को निशाना बनाकर हुआ” — यह बात सही लगती है
      हमला intercept outsourcing company के जरिए CALEA backdoor पर था। कौन-सी company रही होगी?
      NEX-TECH: https://www.nex-tech.com/carrier/calea/
      Substentio: https://www.subsentio.com/solutions/platforms-technologies/
      Sy-Tech: https://www.sytechcorp.com/calea-lawful-intercept
      और कौन-सी कंपनियां यह business करती हैं? intercept outsourcing companies इतनी ज्यादा नहीं हैं। Verisign भी पहले यह business करती थी, लेकिन अब शायद नहीं
    • दार्शनिक रूप से यह विरोधाभास नहीं है। अमेरिकी law enforcement agencies ने कहा था कि warrant होने पर उन्हें encryption तोड़ने में सक्षम होना चाहिए, और अब वे कह रही हैं कि Chinese spies को ऐसा नहीं कर पाना चाहिए
      बेशक, तकनीकी तौर पर यह असंभव है, लेकिन intelligence agencies के नजरिये से उनकी desired end state काफी समझ में आती है
    • FBI का mission structure अजीब है, जिसमें वह counterintelligence और crime response दोनों संभालती है, और दोनों के goals काफी अलग हैं
      इसमें हैरानी नहीं कि counterintelligence side मजबूत encryption चाहती है, और crime response side backdoor-able encryption चाहती है
    • क्या आप यह चाह रहे हैं कि नई anti-democratic और authoritarian administration FBI emails खंगालकर कुछ फंसा दे? मुझे शक है कि यह वाकई समझदारी है या नहीं
      भले ही FBI privacy का वह सम्मान न करती हो जो उसे करना चाहिए
    • लगता है हर कुछ साल में law enforcement agencies बयान जारी करती हैं कि encryption अपराधियों के लिए कितना अच्छा है, और फिर कोई data breach होने के बाद वे फिर पीछे हट जाती हैं—यह cycle दोहराता रहता है
  • carriers के पास मौजूद सारी security के ऊपर device-to-device encryption की जरूरत इसी वजह से है
    मेरे द्वारा बनाई गई किसी भी connection के recipient के अलावा किसी भी point पर unencrypted रहने की कोई वजह नहीं है

    • यह बात सही है कि end-to-end encryption की जरूरत है, लेकिन इस बार उससे मदद नहीं मिलती
      China ने जिस चीज को target किया वह यह metadata था कि कौन किससे communicate कर रहा है, और यह पूरी तरह अलग problem है
    • इसकी एक स्पष्ट वजह है। Users आम तौर पर key management चाहते भी नहीं और कर भी नहीं पाते
      phone numbers संभालना ही झंझट है, और उसके ऊपर public keys जोड़ने की बात हो रही है। उन्हें आसानी से लिखकर रखा भी नहीं जा सकता और वे संभवतः handset से बंधी होंगी; अगर फोन खो गया और बदलना पड़ा, तो जब तक आप किसी तरह नई key सब तक distribute नहीं कर देते, आप calls receive नहीं कर पाएंगे
      मुझे लगता है end-to-end encryption जितने भी contexts में आजमाई गई है, उनमें practically unworkable साबित हुई है। आज वास्तव में useful कोई real end-to-end encryption system नहीं है, और industry ने इस term को “pseudo-encryption” के अर्थ में इस्तेमाल करना शुरू कर दिया है, जहां adversary द्वारा controlled software encryption करता है, जिससे यह term meaningless हो गई है। वैसे भी real end-to-end encryption कहीं इस्तेमाल नहीं हो रही थी, इसलिए ऐसा फैसला लेने वाले engineers को कुछ हद तक समझा जा सकता है
  • अमेरिकी Treasury Department ने भी Chinese threat actor की intrusion की घोषणा की है
    कहा गया कि उनके “cybersecurity vendor” के पास मौजूद remote access key leak हो गई, जिससे attacker Treasury के internal endpoints तक पहुंच सका

  • मेरी जानकारी में यह EU carriers के लिए शायद news नहीं होगी। क्योंकि Chinese companies उन्हें operate करती हैं और लगभग हर चीज तक permanent access रखती हैं
    https://berthub.eu/articles/posts/5g-elephant-in-the-room/
    क्या अमेरिकी carriers ऐसे नहीं हैं?

    • कम से कम अमेरिकी carriers China से लड़ रहे हैं। European model तो न सिर्फ खुद को conquered होने देता है, बल्कि असल में China को पैसे देकर ऐसा करवाता है
      सौभाग्य से अमेरिकी online services Europe के पक्ष में खड़ी होकर communications की सुरक्षा के लिए सबसे ज्यादा मेहनत करती हैं। यहां तक कि वे Europe से पैसे भी नहीं लेतीं, और बदले में Europe उन पर अरबों डॉलर का जुर्माना लगाता है। Europe ने attention economy पर tax लगाने के लिए websites को नुकसान पहुंचाया, और open source developers के लिए legal protections भी हटा दीं
  • “लाखों लोगों की location पता लगाने की क्षमता” की बात हो, तो Starlink भी विशाल direct-to-cell antenna के जरिए सभी 4G/5G phones के IMEI location आसानी से पता कर सकता है, ऐसा लगता है

    • आधुनिक mobile phone protocols IMEI को unencrypted रूप में expose नहीं करते
      device को network के ज्यादातर हिस्सों के सामने identify करने के लिए temporary identifiers वाली multi-step प्रक्रिया होती है, इसलिए जरूरी नहीं कि ऐसा हो
    • https://www.he360.com/ यह काम काफी समय से कर रहा है