SharePoint की सुरक्षा कमजोरियों के कारण विदेशी हैकर्स ने अमेरिकी परमाणु हथियार सुविधा में घुसपैठ की

 (csoonline.com)
1 पॉइंट द्वारा GN⁺ 2025-10-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • SharePoint की सुरक्षा कमजोरियों के कारण विदेशी हैकरों ने अमेरिकी परमाणु हथियार सुविधा में घुसपैठ की
  • यह घटना सिर्फ IT तक सीमित नहीं थी; इसमें संकेत है कि इसका असर गुणवत्ता आश्वासन और SCADA सिस्टम जैसे ऑपरेशनल वातावरण पर भी पड़ सकता है
  • IT और OT सुरक्षा के बीच असंगति संघीय एजेंसियों के पूरे तंत्र में एक अहम समस्या के रूप में सामने आई
  • संघीय सरकार ने पारंपरिक IT नेटवर्क के लिए ज़ीरो ट्रस्ट रणनीति को आगे बढ़ाया है, लेकिन OT वातावरण में इसका अनुप्रयोग अभी धीमा है
  • रक्षा विभाग OT के लिए ज़ीरो ट्रस्ट कंट्रोल विकसित करने की दिशा में काम कर रहा है, और आगे चलकर IT तथा OT को समेटने वाली एक समेकित सुरक्षा रणनीति तैयार करने की अपेक्षा है

SharePoint की कमजोरी और अमेरिकी परमाणु हथियार सुविधा में सेंधमारी

  • SharePoint की खामी का उपयोग करके विदेशी हैकरों ने अमेरिकी परमाणु हथियार सुविधा में पहुँच बनाने की घटना सामने आई
  • विशेषज्ञ Sovada ने जोर दिया कि ऐसा एक्सेस गुणवत्ता आश्वासन संभालने वाले वितरण नियंत्रण सिस्टम और पावर व पर्यावरण नियंत्रण संभालने वाले SCADA सिस्टम को भी प्रभावित कर सकता है
  • यह मामला केवल एक सामान्य IT कमजोरी नहीं है

IT/OT एकीकरण और ज़ीरो ट्रस्ट सुरक्षा में अंतर

  • कैंसस सिटी की घटना ने संघीय एजेंसियों में IT और OT सुरक्षा प्रथाओं के बीच असंगति के रूप में एक संरचनात्मक समस्या उजागर की
  • संघीय सरकार मौजूदा IT नेटवर्क के लिए ज़ीरो ट्रस्ट रोडमैप को आगे बढ़ा रही है
  • लेकिन ऑपरेशनल टेक्नोलॉजी (OT) वातावरण में ऐसा समान सुरक्षा फ्रेमवर्क निर्माण अभी भी अपेक्षाकृत देर से हो रहा है
  • हाल के समय में इस दिशा में OT सुरक्षा फ्रेमवर्क के विकास में भी प्रगति हो रही है

IT और OT सुरक्षा को एकीकृत करने के प्रयास

  • Sovada ने बताया कि ज़ीरो ट्रस्ट, नेटवर्क सेगमेंटेशन, प्रमाणीकरण और आइडेंटिटी प्रबंधन के लिए मौजूद IT प्रबंधन उपकरण (फैन चार्ट) मौजूद हैं
  • अमेरिकी रक्षा विभाग OT वातावरण के लिए ज़ीरो ट्रस्ट लागू करने के लिए फैन चार्ट विकसित कर रहा है
  • अंततः IT और OT के लिए ज़ीरो ट्रस्ट प्रबंधन दिशानिर्देशों को एकीकृत करके सभी नेटवर्क प्रकारों पर व्यापक सुरक्षा हासिल करने का लक्ष्य रखा गया है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-10-22
Hacker News टिप्पणी
  • जब मुझे किसी कंपनी से जॉब ऑफर मिलता है, मैं सबसे पहले उस कंपनी के ईमेल डोमेन का MX record देखता हूँ। इससे बिना सामने वाले को पता चले 1 सेकंड में पता चल जाता है कि कंपनी Microsoft-आधारित है या नहीं। अगर Microsoft निकली तो मेरे लिए यह बड़ा रेड फ्लैग है। Microsoft products लोकप्रिय हैं, इसलिए यह सिर्फ मेरा निजी अनुभव-आधारित अवलोकन है, लेकिन 20 साल से अधिक काम करते हुए मैंने अक्सर महसूस किया है कि MSFT-आधारित IT stack वाली कंपनियों में से अधिकतर में वह इंजीनियरिंग कल्चर मिलता है जो मुझे पसंद नहीं। सिर्फ Outlook, SharePoint, Teams जैसे टूल इस्तेमाल करने से किसी कंपनी को सीधे ही खराब संस्कृति वाली नहीं कह सकते, लेकिन यह इंटरव्यू में पूछे जाने वाले किसी भी प्रश्न से अधिक संभावित संकेत है कि तकनीकी संस्कृति कमजोर हो सकती है, इसलिए मैं आज भी यह तरीका अपनाता हूँ। Microsoft-केंद्रित इंजीनियरों को यह असभ्य लग सकता है—सच में माफ़ी चाहता हूँ। गलती शायद मुझमें ही है।
    • सच कहूँ तो अगर ऐसा सोचो तो खुद को ही समस्या वाली कर्मचारी/कर्मचारी जैसा महसूस होता है।
      Microsoft न इस्तेमाल करने वाली कंपनियाँ आमतौर पर Google पर होती हैं, और मेरे अनुभव में सच कहूँ तो वो भी अक्सर और खराब निकलीं।
      सच में, मैंने Microsoft-विरोधी लोगों के साथ काम करके देखा है; ये लोग अक्सर टीम में कंपनी के चुने हुए टूल्स का इस्तेमाल नहीं करते और लगातार रुकावट बनते हैं।
      (वैसे, पता नहीं पुराने पोस्ट की rating अचानक क्यों गिर गई।)
    • अगर कंपनी Mac laptop दे तो मेरे लिए यह अच्छा संकेत है, जबकि Windows laptop देने पर नकारात्मक संकेत।
      मैंने जिस सबसे अच्छी कंपनी में काम किया, वहाँ हर software engineer को Mac laptop और Linux desktop बेसलाइन इक्विपमेंट के रूप में मिलते थे।
  • मैं पूरी तरह सहमत हूँ। मैंने दोनों तरह के environments में काम किया है, और अब मैं MS environment में सात-आंकड़ा (million+) वेतन से कम पर कभी वापस काम नहीं करना चाहता।
  • मुझे अक्सर लगता है कि श्रम के प्रति कम सम्मान वाली कंपनियाँ (जैसे H1B visa का misuse) और Microsoft वातावरण के इस्तेमाल में एक रिश्ता होता है।
    चूँकि मैं California में रहता हूँ, वहाँ खासकर local talent या workers के प्रति सम्मान लगभग नहीं के बराबर है।
    यूनियन हो या राज्य-स्तर की सिस्टम्स—यहाँ माहौल ऐसा है कि उन्हें तेजी से तोड़ा जा सकता है।
  • यह माहौल सच में बेहद बुरा होता है।
    Software और कंप्यूटर को ही कमतर समझने की मानसिकता बनती है, और शायद यही मानसिकता software बनाने वालों पर भी नकारात्मक असर डालती है।
  • ऐसे थ्रेड पर अक्सर लोग लिखते हैं, “Microsoft खराब है हाहा”, लेकिन वे उस business logic को नहीं देखते जो इसे चला रही है।
    Exchange मत इस्तेमाल करो, तो विकल्प क्या है? 15 से लेकर 150,000 यूज़र्स तक स्केल करने वाला क्या कोई विकल्प है? मैंने 70,000 users वाला Exchange cluster संभाला था। कोई software है जो non-shared disk पर replicated single-endpoint access वाला ऐसा stack replace कर सके? SharePoint में दो और RCE निकल गए? मैं हैरान नहीं हूँ; software पहले ही ठीक नहीं था। फिर भी ये software भारी लोड अच्छी तरह झेल लेता है। छोटे scale पर तो अधिकांश open source ठीक दिखते हैं, लेकिन बड़े scale पर अक्सर टूट जाते हैं। मुझे यह भी समझ आता है कि ओपन सोर्स डेवलपर्स मुफ्त में ऐसे boring और computer-literacy कम wale users के साथ इंटरफेस करने का काम नहीं करना चाहते। और Microsoft software कुछ हद तक backward compatibility देता है। कई कंपनियों के पास decades पुराने रिज़्यूमे, macro वाली Excel files जैसे legacy artifacts पड़े रहते हैं। Registry टेंपरिंग से security थोड़ा गिरता होगा, फिर भी 1997 का Excel macro file अभी भी चल जाता है। मुझे लगता है कि Microsoft Office के बराबर की compatibility देने वाला कोई office product ढूँढना मुश्किल है। मुद्दा यह है कि Microsoft एक असली Gordian knot है, और practically विकल्प बस यही है कि “अब backward compatibility छोड़ो, पूरी तरह upgrade करो।” इसी बीच कुछ साल पहले एक कंपनी से कॉल आया कि Exchange Web Services पर बना solution upgrade करना है; Microsoft ने Office 365 में Exchange Web Services हटा दिया है और अब GraphAPI पर बदलना पड़ेगा।
    • अब जब Exchange-केंद्रित Microsoft products के फायदे की बात हो रही है, अभी असली issue SharePoint है। जैसे Windows के साथ, Microsoft ने Exchange जैसा एक defense layer बनाया था। असली सवाल यह है कि सभी कंपनियाँ Microsoft का पूरा ecosystem क्यों चुनती हैं, जबकि web-tech में Microsoft काफ़ी पीछे है और SharePoint तो शायद सबसे खराबों में है। फिर भी Postfix/Dovecot जैसे large-scale mail system deployment के real-world examples काफी मौजूद लगते हैं। reddit पर बड़े मेल सर्वर सेटअप का अनुभव साझा किया गया है
  • SharePoint में फिर RCE निकलने की बात हो तो लोग कहते हैं यह software critical है।
    लेकिन आख़िरकार यह भी एक तरह का file sharing server ही नहीं है? (मैंने इस्तेमाल नहीं किया)। Samba या FTP server भी भारी लोड संभाल लेते हैं। मुझे लगता है असली समस्या UI (interface) में है।
  • सच में पूछना चाहता हूँ, पहले की weapons manufacturing facilities बिना ऐसे सिस्टम के कैसे काम करती थीं?
  • सच में कितनी कंपनियों को Exchange server को 150,000 users तक support करने की जरूरत पड़ती होगी? आम manufacturing outfits में ऐसा scale शायद बहुत कम होता है।
  • ओपन सोर्स डेवलपर्स शायद ही इस niche, नीरस और computer-illiterate users को serve करने वाले software पर काम करना चाहते हैं। इसे सुधारने के लिए शायद सरकारों को सीधे ओपन सोर्स developers को hire करके public good में योगदान के लिए funding देनी चाहिए। Obama administration के दौरान US government ने 18F बनाया था और सच में नागरिकों के काम का software बनाया। tax filing जैसी हमेशा से मुश्किल रहती services भी बेहतर तरीके से चलने लगीं; लेकिन Trump की दूसरा कार्यकाल शुरू होते ही उसने तुरंत उस संगठन को बंद कर दिया। (देखें: 18F का इतिहास और मूल मूल्य, Lawfare: 18F से मिली सीख)
  • देश के critical facilities में SharePoint install करने का rationale समझ नहीं आता। इतने sensitive जानकारी वाले सेटअप में लोग SharePoint जैसे Microsoft products कैसे चला रहे हैं? MS Office 365, Teams, Edge तक भी शामिल। लगता है तुरंत security policy का redesign जरूरी है।
    • और इसका सच में बहुत बुरा अपडेट है।
    • इसलिए पूछना चाहता हूँ, कोई practical alternative recommendation है?
    • किसी ने mention किया कि core confidential दस्तावेज़ किसी रिसॉर्ट के public toilet में रखे गए थे…
    • लेकिन इस तरह तो सब कुछ मुफ्त में मिल रहा है! /मज़ाक
  • मैंने पहले भी Excel से alerting system crash करा दिया था。 (ये Microsoft से ज्यादा unintended consequences वाली घटना थी।) मैं alerting system चला रहा था; इसमें लॉग में alert_log keyword खोजने की logic थी। ट्रैकिंग के लिए मैंने Excel spreadsheet बनाई और उसके एक sheet का नाम alert_log रखा। क्योंकि हमने cloud Excel का उपयोग किया, इसलिए डाला गया text पूरी तरह firewall से pass होकर गया। Firewall logs में alert_log शब्द दिखा। alerting system को लगा logs में यही keyword आ रहा है, और उसने alerts trigger करना शुरू कर दिया। दूसरी alert में फिर वही firewall log content जुड़ गया और infinite loop शुरू हो गया। इस तरह systems अनजाने में interact करके ऐसी unexpected behavior पैदा कर सकते हैं। इसलिए audit, red team, और defense in depth जैसी layered approach महत्वपूर्ण है।
    • firewall engineer होने के नाते, मैंने इसे देखते हुए सलाह दी कि traffic logs को syslog पर भेजते वक्त logging disable रखनी चाहिए।
  • SharePoint मेरे अनुभव की शायद सबसे खराब और सबसे buggy software है। SolidWorks (3D CAD tool) के साथ इंटीग्रेशन में वर्षों से एक bug है जहाँ फाइल अचानक खुलती ही नहीं। Microsoft को समस्या पता है, और इसे fix न कर पाने का कोई स्पष्ट कारण नहीं दिखता, फिर भी सालों से यह पड़ा है। Microsoft की cloud storage भूलभुलैया जैसी है—कभी समझ ही नहीं आता कि ज़रूरी फाइल कहाँ है और काम कर भी रही है या नहीं। कुछ फीचर सिर्फ browser में चलते हैं, कुछ सिर्फ app में, और इनका कोई साफ़ सूचीबद्ध दस्तावेज़ भी नहीं। इसलिए मुझे भरोसा है कि ऐसे और भी अनेक exploit हो सकने वाले vulnerabilities मौजूद हैं।
    • हाल के Microsoft products (especially cloud) में हर बार जब काम करता हूँ तो कई-कई bug, errors और अपेक्षा से धीमी performance का सामना होता है। हाल में 365 में नया subdomain लेकर emails भेजनी थी और DKIM सेटिंग खोजने में काफी मुश्किल हुई। आखिर पता चला कि subdomain email के लिए DKIM key भी root domain पर attach करनी पड़ती है। ये सच में बहुत inefficient है।
    • अभी मैं एक सरकारी contract project पर काम कर रहा हूँ जहाँ Slack से पूरा MS Teams migration करने का दबाव है। लगभग 20 साल बिना Microsoft products के गुज़ारने के बाद समझ आया कि big enterprises/सरकारी संस्थाएँ UX pain को absurd हद तक tolerate कर लेती हैं।
    • हम MS-hosted SharePoint के साथ rsync से file sync करते हैं। Microsoft files (जैसे Excel) के लिए जब भी फाइल आती है, उसका internal metadata बदल जाता है और checksum बदल जाता है; फिर rsync बार-बार मान लेता है कि फाइल बदल गई है और repeated sync करनी पड़ती है।
    • MS Word Online में कम से कम दो साल से Firefox Linux (और शायद अन्य OS पर भी) पर text हटाने वाला bug है। एक text editor का पहला काम ही दस्तावेज़ में text लिखना होना चाहिए, लेकिन यह काम ठीक से नहीं होता और bug ठीक भी नहीं हुआ। उल्टे paid Overleaf पर शिफ्ट होकर गैर-विशेषज्ञों को LaTeX या built-in editor सिखाना बेहतर लगा। दस्तावेज़ आउटपुट भी बेहतर आता है और Overleaf लगातार ठीक चलता है—मुझे बहुत पसंद है। मैं Microsoft 365 का paid customer हूँ, फिर भी Microsoft की priorities अजीब लगीं। MS Word web version में text हटने वाले bug पर official Q&A
    • SharePoint जैसे Microsoft services को अंदर से critical role निभानी पड़ती है, लेकिन इन्हें ऐसे treat किया जाता है जैसे कोई forgotten issue child हो।
  • अगर SharePoint इतना खराब है तो बड़े पैमाने पर abuse cases क्यों नहीं दिखते? मैं अक्सर Fortune 500 companies के साथ काम करता रहा हूँ और लगभग 90% से ज्यादा कहीं न कहीं SharePoint use करती दिखीं। इंस्टॉलेशन तरीके अलग-अलग हैं, और ठीक से set up करने पर यह काफी usable हो सकता है। बेहतर विकल्प मौजूद हों भी, तो अलग-अलग vendors के 5-10 tools maintain करना खुद में बड़ी headache है। मुझे समझ नहीं आता कि लोग Teams को क्यों dislike करते हैं। मैं Zoom, Slack, Discord जैसी कई collaboration tools use करता हूँ, लेकिन schedule, meetings, recording और Copilot use-case तक Teams पर्याप्त है। Discord का real-time multi-screen sharing और खुला channel join करना debugging/pair programming में अच्छा लगता है, लेकिन Teams बेसिक ज़रूरतों को पूरा कर देता है।
    • SharePoint इस्तेमाल करने वाली ज्यादातर कंपनियाँ इसे सिर्फ internal services के लिए expose रखती हैं। Microsoft ने o365 (Office 365) के जरिए नया SharePoint SaaS mode push किया और अब इसे इंटरनेट पर expose किया जाता है। बदले में MS ही patching और WAF जैसी security management की जिम्मेदारी लेता है।
  • OT systems support करने वाली कंपनियों में, जब भी मैं देखता हूँ कि Purdue model के Level 5 से सीधे Level 1/0 तक write access दे रखा है, तो बड़ा अजीब लगता है। (अतिरिक्त) Purdue model के बारे में विस्तार के लिए यह लिंक
  • इस issue को देखकर मुझे howfuckedismydatabase.com पर MSSQL सेक्शन याद आ गया।
    • MSSQL शायद Microsoft products में सच में अच्छे के करीब लगता है। इसकी कुछ खास बातें हैं (Oracle जैसा ही), और फीचर व stability दोनों बहुत अच्छी हैं।
  • (CVE-2025-53770 से जुड़े हाल के security incidents के लिंक share करना चाहता हूँ)
  • मेरे हिसाब से जो लोग ऐसे critical nuclear facility को इंटरनेट पर expose करते हैं उन्हें जेल होनी चाहिए।
    • सच यह है कि यह सीधे nuclear-fission facility नहीं, बल्कि US nuclear weapons के लिए core components बनाने वाली manufacturing unit है। रिपोर्ट के मुताबिक attack का target IT systems थे, और actual production systems शायद air-gapped रहे हों। फिर भी sensitive production facilities को पूरी तरह बाहर की दुनिया से अलग करना आसान नहीं होता। वहाँ के employees को भी खाना, ऑफिस supplies, toilet paper जैसी बेसिक जरूरतें चाहिए—इसलिए किसी न किसी स्तर पर बाहरी connectivity अनिवार्य हो जाती है।