राष्ट्रीय साइबर हमले के रूप में DOGE

 (schneier.com)
2 पॉइंट द्वारा GN⁺ 2025-02-14 | 1 टिप्पणियां | WhatsApp पर शेयर करें

DOGE का राष्ट्रीय साइबर हमला

  • पिछले कुछ हफ्तों में अमेरिकी सरकार ने अपने इतिहास के सबसे गंभीर सुरक्षा उल्लंघनों में से एक का सामना किया है। यह किसी जटिल साइबर हमले या विदेशी जासूसी के कारण नहीं, बल्कि सरकार में अस्पष्ट भूमिका वाले एक अरबपति के आधिकारिक आदेशों के जरिए हुआ।

  • हाल ही में स्थापित Department of Government Efficiency (DOGE) से जुड़े लोगों ने अमेरिकी Treasury के कंप्यूटर सिस्टम तक पहुंच हासिल की और वे सालाना लगभग 5.45 ट्रिलियन डॉलर के संघीय भुगतान डेटा को इकट्ठा करने और नियंत्रित करने की क्षमता रखते थे।

  • संभव है कि DOGE के अनधिकृत कर्मियों ने U.S. Agency for International Development के गोपनीय डेटा तक पहुंच बनाई और उसकी प्रतिलिपि की हो, तथा Office of Personnel Management (OPM) और Medicare एवं Medicaid के रिकॉर्ड भी प्रभावित हुए हों।

  • CIA कर्मचारियों के नाम आंशिक रूप से सेंसर किए गए रूप में अनौपचारिक ईमेल अकाउंट पर भेजे गए, और DOGE कर्मियों ने Department of Education के डेटा को artificial intelligence software में डाला तथा Department of Energy में भी काम शुरू किया।

  • 8 फ़रवरी को एक संघीय न्यायाधीश ने DOGE टीम को Treasury सिस्टम तक आगे की पहुंच से रोक दिया, लेकिन चूंकि वे संभवतः पहले ही डेटा कॉपी कर चुके थे और software इंस्टॉल तथा संशोधित कर चुके थे, इसलिए समाधान अस्पष्ट है।

  • जिन सिस्टमों तक DOGE पहुंचा, वे राष्ट्रीय अवसंरचना के मुख्य तत्व हैं, और Treasury सिस्टम में संघीय सरकार के धन प्रवाह का तकनीकी ब्लूप्रिंट शामिल है।

  • यह घटना इसलिए अभूतपूर्व है क्योंकि बाहरी ऑपरेटर सीमित अनुभव और न्यूनतम निगरानी के साथ सार्वजनिक रूप से काम करते हुए अमेरिका के सबसे संवेदनशील नेटवर्कों पर सर्वोच्च स्तर की प्रशासनिक पहुंच हासिल कर रहे हैं और उनमें बदलाव कर रहे हैं।

  • सबसे चिंताजनक बात सिर्फ पहुंच देना नहीं, बल्कि सुरक्षा उपायों को व्यवस्थित तरीके से तोड़ना है। इसका मतलब है मानक incident response protocol, audit और change-tracking mechanisms को हटाकर उनकी जगह कम अनुभवी ऑपरेटरों को बैठाना।

  • Treasury के कंप्यूटर सिस्टम परमाणु हथियार प्रक्षेपण प्रोटोकॉल जैसे सिद्धांतों पर डिज़ाइन किए गए थे, ताकि कोई एक व्यक्ति असीमित अधिकार न रखे। यह "separation of duties" नामक सुरक्षा सिद्धांत है, जो भ्रष्टाचार और त्रुटि को रोकने के लिए एक आवश्यक सुरक्षा उपाय है।

  • DOGE से जुड़े लोगों ने Treasury कंप्यूटरों के मुख्य programs को संशोधित करने की अनुमति हासिल कर ली थी, और वे encrypted keys तक पहुंच सकते थे तथा system changes को रिकॉर्ड करने वाले audit logs को बदल सकते थे।

  • ऐसे सिस्टमों में किए गए संशोधन न केवल वर्तमान संचालन को नुकसान पहुंचा रहे हैं, बल्कि भविष्य के हमलों में इस्तेमाल की जा सकने वाली कमजोरियां भी छोड़ रहे हैं।

  • तीन प्रमुख सुरक्षा क्षेत्र खतरे में हैं: सिस्टम में हेरफेर, डेटा एक्सपोज़र, और सिस्टम कंट्रोल।

  • इन कमजोरियों को दूर करने के लिए अनधिकृत पहुंच वापस लेनी होगी और उचित authentication protocols बहाल करने होंगे, साथ ही व्यापक system monitoring और change management फिर से शुरू करना होगा।

  • यह राजनीतिक मुद्दा नहीं बल्कि राष्ट्रीय सुरक्षा का मामला है, और विदेशी खुफिया एजेंसियां इस अव्यवस्था और नई अस्थिरता का फायदा उठाकर अमेरिकी डेटा चुरा सकती हैं और backdoor इंस्टॉल कर सकती हैं।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-02-14
Hacker News राय
  • इस बात की चिंता जायज़ है कि शत्रुतापूर्ण पक्ष या दुश्मन देश डेटा इकट्ठा करने और देश पर हमला करने के तरीके समझने का अवसर पा रहे हैं
    • चुने हुए अधिकारियों का मूर्खतापूर्ण या असुरक्षित तरीके से काम करना और गैर-चुने हुए लोगों का बिना किसी जवाबदेही के ऐसा कर पाना, इन दोनों में फर्क है
    • Bruce Schneier की राय का सम्मान करता हूँ, और इस विषय पर सभी पोस्ट flag होने से रोकने के लिए इस पोस्ट की सिफारिश करता हूँ
  • Schneier के तर्क में त्रुटि हो सकती है
    • ऐसी रिपोर्टें हैं कि "वे इस संवेदनशील डेटा पर AI software को train कर रहे हैं"
    • inference चलाना training जैसा नहीं है
    • इस पोस्ट को flag नहीं किया जाना चाहिए; यह अभिव्यक्ति की स्वतंत्रता के खिलाफ है
    • HN पर बहुत से लोग हैं जो उनकी अंतर्दृष्टि को मूल्यवान मानते हैं
    • असहमति को गायब करने की कोशिश करने के बजाय comments में व्यक्त करना बेहतर है
  • अगर राज्य इस अराजकता से बच जाता है, तो software को शुरू से फिर से लिखा जाना चाहिए
    • नहीं तो यह पता नहीं चलेगा कि किन विदेशी और घरेलू actors को system की जानकारी है
  • Schneier को flag नहीं किया जाना चाहिए
    • कई दिनों से cyber security जोखिमों के शांत और समग्र आकलन का इंतज़ार कर रहा था
    • यह शायद उस तरह के आकलन के सबसे करीब है जो हमें मिल सकता है
  • Chesterton's Fence सिद्धांत को पहचानना चाहिए
    • "Chesterton's Fence" वह सिद्धांत है कि मौजूदा व्यवस्था के पीछे के कारण को समझे बिना reform नहीं किया जाना चाहिए
  • यह व्यवहार तब तक जारी रहेगा जब तक परिणाम नहीं दिए जाते
    • ये परिणाम विधायी या कानूनी होने चाहिए
  • ईश्वर ने चाहा तो administrative state को उस पर निगरानी रखने के लिए चुने गए अधिकारी घुटनों पर ला देंगे
  • कंपनियाँ अनौपचारिक सरकार की चौथी शाखा हैं
    • अगर stock market ध्वस्त होता है, तो वे गायब हो जाएँगी
    • राजनेताओं के लिए campaign donations और lobbyists की धनधारा बंद हो जाएगी
    • घबराहट और leadership बदल जाएगी
    • Citizens United भले ही कहीं से भी आने वाले dark money को campaigns को अनिश्चित काल तक support करने दे, लेकिन अमेरिकी डॉलर और बाजार पर भरोसे की कमी से होने वाली stock market गिरावट की भरपाई के लिए यह पर्याप्त नहीं है
  • संबंधित लेख: "Treasury को चेतावनी दी गई थी कि DOGE access को 'insider threat' के रूप में चिह्नित किया गया था"
    • Booz Allen Hamilton द्वारा किया गया आकलन Elon Musk के सहयोगी को sensitive payment systems का overseer नियुक्त किए जाने से पहले किया गया था
  • सरकारी contractor Booz Allen Hamilton ने कहा कि उसने शुक्रवार रात उस subcontractor को निकाल दिया जिसने रिपोर्ट तैयार की थी
    • यह एक draft report थी, जिसमें दावा किया गया था कि Treasury के payment systems तक Elon Musk के Department of Government Efficiency की पहुँच "अभूतपूर्व insider threat risk" पैदा करती है और इसे तुरंत रोका जाना चाहिए