अमेरिका की cyber defense अंदर से ही बिखर रही है
(theregister.com)- CVE database रुकने का संकट दिखाता है कि अमेरिकी संघीय cyber security ढांचा केवल बजट, स्टाफिंग और संगठनात्मक फैसलों से भी हिल सकता है
- पिछले 25 वर्षों से security vulnerabilities के common reference point रहे CVE के डगमगाने पर defenders को यह जांचने में समय लगाना पड़ेगा कि वे उसी vulnerability की बात कर रहे हैं या नहीं, और attackers इस भ्रम का फायदा उठा सकते हैं
- CISA में कर्मचारियों के एक-तिहाई से अधिक की कटौती प्रस्तावित थी और MITRE का CVE contract समाप्ति-सीमा से ठीक पहले बढ़ाया गया, लेकिन यह मार्च 2026 में फिर समाप्त होगा
- NSA·US Cyber Command प्रमुख की बर्खास्तगी, CSRB का लगभग विघटन, Salt Typhoon जांच का रुकना, state और local-केंद्रित preparedness की ओर बदलाव, और संघीय grants में कटौती संघीय defense capability को कमजोर कर रहे हैं
- DOGE की sensitive federal systems तक पहुंच के जुड़ने से, अमेरिका द्वारा खुद पैदा की गई security weakening का असर अमेरिका के बाहर के tech ecosystem पर भी पड़ सकता है
CVE रुकने का संकट और vulnerability management में भ्रम
- Common Vulnerabilities and Exposures, यानी CVE database, पिछले 25 वर्षों से लगभग सभी security vulnerabilities को व्यवस्थित करने वाली मुख्य सूची रही है
- CISA की पूर्व निदेशक Jen Easterly ने CVE को एक global catalog बताया, जो security teams, software vendors, researchers और governments को vulnerabilities को एक ही reference framework में व्यवस्थित और चर्चा करने देता है
- CVE के बिना, हर organization अलग सूची इस्तेमाल कर सकती है या बिना सूची के प्रतिक्रिया दे सकती है, इससे यह पुष्टि करने में अधिक समय लगेगा कि क्या सब एक ही समस्या की बात कर रहे हैं, और attackers इस भ्रम का फायदा उठा सकते हैं
- CVE की निगरानी करने वाली CISA में कर्मचारियों के एक-तिहाई से अधिक की कटौती प्रस्तावित थी, और कर्मचारियों को बताया गया कि वे सोमवार आधी रात तक तय करें कि काम जारी रखना है या इस्तीफा देना है
- MITRE का CVE contract समाप्ति-सीमा से ठीक पहले बढ़ाया गया, लेकिन यह मार्च 2026 में फिर समाप्त होने वाला है
CISA और संघीय cyber संगठनों का संकुचन
- CISA में workforce cut और contracts को लेकर अनिश्चितता सीधे CVE की निरंतरता की समस्या से जुड़ी है
- पहले CVE contract extension लगभग एक स्वाभाविक फैसला माना जाता था, लेकिन अगला extension होगा या नहीं, यह अब भी अनिश्चित है
- CVE जैसी common foundation डगमगाने पर व्यापक tech security में vulnerability response का समन्वय करना कठिन हो जाता है
वरिष्ठ cyber security अधिकारियों और advisory bodies का विघटन
- NSA और US Cyber Command के प्रमुख General Timothy D. Haugh को अप्रैल की शुरुआत में बर्खास्त किया गया
- उन्हें 2016 चुनाव के बाद Russia की दखलअंदाजी से निपटने सहित राष्ट्रीय cyber infrastructure defense में एक महत्वपूर्ण व्यक्ति माना जाता था
- बर्खास्तगी के कारणों में यह भी कहा गया कि far-right conspiracy theorist और Trump से जुड़ी Laura Loomer उन्हें नापसंद करती थीं
- Cyber Safety Review Board, यानी CSRB, Biden administration द्वारा बड़े cyber incidents की जांच के लिए बनाया गया संगठन था
- इसके सभी सदस्यों का कार्यकाल समाप्त कर दिया गया और यह लगभग भंग हो गया
- China के “Salt Typhoon” hack सहित महत्वपूर्ण cyber attacks की जांच रुक गई
- Salt Typhoon attack ने Trump और उपराष्ट्रपति JD Vance को भी निशाना बनाया था, लेकिन administration पर इस मामले को गंभीरता से न लेने की आलोचना हुई
state·local-केंद्रित preparedness और संघीय समर्थन में कटौती
- Trump के Achieving Efficiency Through State and Local Preparedness executive order में कहा गया कि preparedness capability का स्वामित्व और प्रबंधन state, local और individual स्तर पर सबसे प्रभावी ढंग से होता है, और federal government इसका समर्थन करती है
- यह आदेश cyberattacks, wildfires, hurricanes और space weather तक को local decision-making और investment के दायरे में रखता है
- आलोचकों का कहना है कि cyberattacks किसी एक state तक सीमित नहीं रहते, इसलिए 50 states द्वारा अलग-अलग state-backed hacking teams का सामना करना अव्यावहारिक है
- Trump ने अपने कार्यकाल की शुरुआत में cyber security के लिए समर्पित federal grant program की funding भी घटाई
- state governments के लिए top-tier security experts को पर्याप्त संख्या में नियुक्त करना मुश्किल हो सकता है
DOGE की sensitive systems तक पहुंच और data risk
- Elon Musk का Department of Government Efficiency, यानी DOGE, sensitive federal systems तक पहुंच रखता है
- जिन systems तक पहुंच मिली, उनमें Treasury Department का payment system और Social Security System शामिल हैं
- चिंता जताई गई कि यह data कहीं कॉपी किया गया हो सकता है, और ऐसे लोग भी इसे access कर सकते हैं जिन्हें इसे देखने या इस्तेमाल करने का अधिकार नहीं है
- आलोचना यह भी है कि सिर्फ बाहरी cyber defense ही नहीं, बल्कि individual citizens को निशाना बनाने वाले बड़े security attacks की नींव बन सकने वाला data भी उजागर हो गया
- एक insurer से 16 लाख लोगों की Social Security जानकारी चोरी होने की घटना भी इस संदर्भ में अपेक्षाकृत छोटी लगती है
असर अमेरिका के बाहर भी फैल सकता है
- अमेरिका लंबे समय से tech security में अग्रणी भूमिका निभाता रहा है, इसलिए संघीय cyber defense की कमजोरी केवल अमेरिका के भीतर की समस्या नहीं है
- सबसे बड़ा नुकसान अमेरिका को होगा, लेकिन पूरी दुनिया भी इसका असर महसूस कर सकती है
1 टिप्पणियां
Hacker News की राय
आखिर यह किस तरह अमेरिकी जनता की मदद करता है?
लागत के नजरिए से बहस की जा सकती है। उदाहरण के लिए, यह पूछा जा सकता है कि CVE डेटाबेस की कीमत सालाना 50 मिलियन डॉलर थी या नहीं, खासकर backlog को देखते हुए
यह भी माना जा सकता है कि निजी या अर्ध-निजी विकल्प उभरेंगे, और कई सेवाएं प्रतिस्पर्धा करते हुए बेहतर होंगी। Libertarians की तरह यह भी तर्क दिया जा सकता है कि जिन सेवाओं में coercion monopoly नहीं है, वे सभी निजी क्षेत्र को करनी चाहिए
लेकिन यह अच्छा तर्क नहीं है। 50 मिलियन डॉलर बड़ा दिखता है और कटौती की गुंजाइश हो सकती है। फिर भी, प्रोग्राम को सीधे खत्म करने के बजाय मैं वास्तविक operational analysis देखना चाहूंगा
दूसरा तर्क और भी खराब है। NIST और NOAA ऐसी संस्थाओं के उदाहरण हैं जिनका cost-benefit ratio बड़ा है, और for-profit NIST या for-profit NOAA का कोई खास मतलब नहीं दिखता। फिर भी public-funded services और private versions के फायदे-नुकसान पर आम तौर पर विचार करना उपयोगी है। खराब तर्क भी किसी तर्क के न होने से बेहतर है, लेकिन मौजूदा प्रशासन तो ऐसे तर्क भी पेश नहीं करता
कई conspiracy theories हैं कि इसका इस्तेमाल अधिकारों को दबाने के लिए होगा, और अंत में शायद ऐसा हो भी सकता है। लेकिन वह शायद इस अनाड़ी हरकत के नतीजों पर बाद की प्रतिक्रिया जैसा होगा
अभी Trump प्रशासन की आम धारणा यह है कि ये cybersecurity programs पैसों की बर्बादी हैं, और private sector जादू की तरह प्रकट होकर हमें बचा लेगा
अब सभी को कम human capital की ऊंची कीमत झेलनी पड़ेगी
दुर्भाग्य से Putin के जर्मनी के Fulda Gap तक हमला जारी रखने की काफी संभावना है। अगर हम तब भी NATO में हैं, तो हमें युद्ध की घोषणा करनी ही पड़ेगी
Trump प्रशासन ऐसे projects पर पैसा खर्च होते देखता है जिनसे, उनकी internal value से अलग, अमेरिका के बाहर के लोगों को भी फायदा होता है, और मान लेता है कि अमेरिकी पैसा दूसरे देशों पर खर्च हो रहा है
वे न तो पर्याप्त समझदार हैं, न पर्याप्त जानकारी रखते हैं, और न ही सीखने या अपने से ज्यादा समझदार लोगों की बात सुनने की खास इच्छा रखते हैं। वे कोई ऐसा budget item देखते हैं जिसे वे समझते नहीं, तो मान लेते हैं कि उसे हटाया जा सकता है
लगता है इसके पीछे धारणा है कि अगर यह सच में महत्वपूर्ण है, तो कोई इसे business बना देगा
Signal chats तो सरकार को data leaks और विदेशी प्रभाव के लिए खोल देने की तुलना में बस side issue हैं
https://www.newsweek.com/doge-whistleblower-stalked-threaten...
वे ऐसी चीजें देखते ही नहीं। ठीक से reporting होती ही नहीं। मेरी मां को tariffs का दायरा भी नहीं पता था, और DJT cryptocurrency scam के बारे में भी नहीं पता था। Signal भी कई बार समझाया, लेकिन वे सच में जटिल चीजें समझ नहीं पातीं
मां कहती हैं कि “मुझे पता है Trump बदतमीज इंसान है”, लेकिन उनके शब्दों में, वे “Americans के लिए America” चाहती हैं, चीन को उसकी जगह दिखाना चाहती हैं, और border सुरक्षित रखना चाहती हैं
मैंने पिता से कहा, “आपको क्यों लगता है कि America इतना शक्तिशाली और प्रभावशाली है? क्योंकि यह दुनिया में invest करता है और students को America आने देता है। हम बिना वजह दुनिया का केंद्र नहीं हैं।” तो उन्होंने बस जवाब दिया, “हम दुनिया का केंद्र हैं”
हमारा देश ऐसे लोगों से भरा है जो abstract thinking नहीं कर पाते और झूठ के आदी हैं
Budget असली मुद्दा नहीं, ध्यान भटकाने वाली चीज है। private cybersecurity framework को तोड़ना जनता को influence operations और दूसरे नुकसानों के लिए खुला छोड़ने का तरीका है, ताकि बाद में और “strong leader” style solutions की जरूरत पड़े [0,1]
“cyber defense” को नष्ट करने के बाद ही वे संकट का दावा कर सकते हैं और “cybersecurity मर चुकी है, नई cybersecurity अमर रहे” घोषित कर सकते हैं
और वह security आपके लिए बिल्कुल नहीं होगी
[0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
[1] https://cybershow.uk/blog/posts/usw/
लेख थोड़ा कमजोर है। CVE budget लगभग बंद हो जाने वाली बात निश्चित रूप से त्रासदी है, लेकिन इसमें NLRB से data निकालने और सभी को accounts से lock out करने वाली घटना शामिल नहीं है, और cybersecurity federal grants व CISA budget cuts पर भी बस संक्षेप में बात की गई है
Trump प्रशासन और Musk की DOGE team वास्तव में कितनी अक्षम है, यह दिखाने के लिए बहुत ज्यादा ammunition मौजूद है
इसमें काफी विस्तार से बताया गया है कि DOGE employees ने NLRB के Azure account में अपनी activities छिपाने की जानबूझकर कोशिश की। government transparency के लिए यह निश्चित ही अच्छी बात होगी
Berulis के खुलासे के मुताबिक, DOGE को NLRB systems तक access मिलने के कुछ ही मिनटों में Russian IP address वाले किसी व्यक्ति ने login attempts शुरू कर दिए। ये attempts “लगभग real time” थे
login attempts block कर दिए गए, लेकिन वे खास तौर पर चिंताजनक थे। बताया गया कि login करने की कोशिश करने वाला व्यक्ति newly created DOGE accounts में से एक का इस्तेमाल कर रहा था, और उसे सही username और password पता था
शायद अमेरिकी सरकार पर निर्भर न रहने वाला CVE जैसा डेटाबेस चाहिए। यह IT दुनिया की अपनी कमजोरी है
पिछले 10 सालों का CVE इतिहास जानने के बाद भी आप गंभीरता से किसे प्रस्तावित कर सकते हैं? क्या इसे Cisco या Oracle को subcontract कर देंगे?
https://www.thecvefoundation.org/
एक अजीब-सा विचार है: कैसा हो अगर CVE को कई देशों में distribute कर दिया जाए, ताकि किसी एक संगठन के पास इसे खत्म करने का अधिकार न हो?
भले ही अमेरिका सहयोग न करे, क्या यह public database नहीं है? UN, EU, UK, Australia आदि को इसकी copy करके संयुक्त CVE खड़ा करने से क्या रोकता है?
Trump दूसरी बार इस बात पर हैरान होंगे कि “सब कुछ computer है”
यह तो sabotage है, लेकिन किया किसने?
“Washington Monument syndrome, जिसे Mount Rushmore syndrome या firemen first principle भी कहा जाता है, उस स्थिति के लिए इस्तेमाल होने वाला शब्द है जब अमेरिकी सरकारी एजेंसियां budget cut का सामना करते समय सरकार द्वारा दी जाने वाली सबसे ज्यादा दिखने वाली या सबसे ज्यादा सराही जाने वाली services को घटा देती हैं”
https://en.wikipedia.org/wiki/Washington_Monument_syndrome