सर्विलांस-ए-ए-सर्विस उद्योग को चरम पर लाने की आवश्यकता है

यहाँ हम फिर से चलते हैं: Apple और Google के स्मार्टफ़ोन से सरकारी निगरानी का एक और उदाहरण सामने आया है, और यह दिखाता है कि सरकार समर्थित हमले कितने परिष्कृत हो सकते हैं और मोबाइल प्लेटफ़ॉर्म को पूरी तरह से बंद रखने का औचित्य क्यों है।

यह क्या हो गया?

मैं समाचारों पर अधिक ध्यान केंद्रित करने का इरादा नहीं रखता, लेकिन संक्षेप में यह इस प्रकार है:

• Google के थ्रेट एनालिसिस ग्रुप ने हैक का खुलासा करने वाली प्रकाशित जानकारी.
• इटली की सर्विलांस फर्म आरसीएस लैब्स ने इस हमले को अंजाम दिया।
• हमले का इस्तेमाल इटली और कजाकिस्तान में और संभवतः कहीं और किया गया है।
• हमले की कुछ पीढ़ियां आईएसपी की मदद से संचालित होती हैं।
• IOS पर, हमलावरों ने Apple के एंटरप्राइज़ सर्टिफिकेशन टूल का दुरुपयोग किया जो इन-हाउस ऐप परिनियोजन को सक्षम करते हैं।
• लगभग नौ अलग-अलग हमलों का इस्तेमाल किया गया था।

हमला इस तरह काम करता है: लक्ष्य को एक अद्वितीय लिंक भेजा जाता है जिसका उद्देश्य उन्हें दुर्भावनापूर्ण ऐप डाउनलोड और इंस्टॉल करने के लिए धोखा देना है। कुछ मामलों में, उस कनेक्शन को पुनर्प्राप्त करने के लिए ऐप डाउनलोड करने में लक्ष्य को चकमा देने के लिए डेटा कनेक्टिविटी को अक्षम करने के लिए स्पूक्स ने आईएसपी के साथ काम किया।

इन हमलों में इस्तेमाल किए गए शून्य-दिन के कारनामे Apple द्वारा तय किए गए हैं। इसने पहले चेतावनी दी थी कि बुरे अभिनेता हैं अपने सिस्टम का दुरुपयोग करना जो व्यवसायों को वितरित करने देता है apps घर में. खुलासे हर्मिट नामक एंटरप्राइज़-ग्रेड एंड्रॉइड स्पाइवेयर के लुकआउट लैब्स की हालिया खबरों से जुड़े हैं।

जोखिम में क्या है?

यहाँ समस्या यह है कि इन जैसी निगरानी तकनीकों का व्यावसायीकरण कर दिया गया है। इसका मतलब है कि ऐतिहासिक रूप से केवल सरकारों के लिए उपलब्ध क्षमताओं का उपयोग निजी ठेकेदारों द्वारा भी किया जा रहा है। और यह एक जोखिम का प्रतिनिधित्व करता है, क्योंकि अत्यधिक गोपनीय उपकरण प्रकट हो सकते हैं, उनका शोषण किया जा सकता है, रिवर्स-इंजीनियर और दुरुपयोग किया जा सकता है।

As Google ने कहा: "हमारे निष्कर्ष इस बात को रेखांकित करते हैं कि किस हद तक वाणिज्यिक निगरानी विक्रेताओं ने ऐतिहासिक रूप से केवल तकनीकी विशेषज्ञता वाली सरकारों द्वारा शोषण के विकास और संचालन के लिए उपयोग की जाने वाली क्षमताओं को बढ़ाया है। यह इंटरनेट को कम सुरक्षित बनाता है और उस भरोसे के लिए खतरा है जिस पर उपयोगकर्ता निर्भर हैं।"

इतना ही नहीं, बल्कि ये निजी निगरानी कंपनियां खतरनाक हैकिंग टूल को आगे बढ़ने में सक्षम बना रही हैं, जबकि ये उच्च तकनीक वाली जासूसी सुविधाएं सरकारों को उपलब्ध करा रही हैं - जिनमें से कुछ असंतुष्टों, पत्रकारों, राजनीतिक विरोधियों और मानवाधिकार कार्यकर्ताओं की जासूसी करने का आनंद लेती हैं। 

इससे भी बड़ा खतरा यह है कि Google पहले से ही कम से कम 30 स्पाइवेयर निर्माताओं को ट्रैक कर रहा है, जो बताता है कि वाणिज्यिक निगरानी-ए-ए-सर्विस उद्योग मजबूत है। इसका मतलब यह भी है कि अब सैद्धांतिक रूप से कम से कम विश्वसनीय सरकार के लिए भी ऐसे उद्देश्यों के लिए उपकरणों का उपयोग करना संभव है - और इतने सारे पहचाने गए खतरों को देखते हुए साइबर अपराधियों द्वारा पहचाने गए कारनामों का उपयोग करते हैं, यह सोचना तर्कसंगत लगता है कि यह एक और आय धारा है जो दुर्भावनापूर्ण को प्रोत्साहित करती है अनुसंधान।

उसके खतरे क्या हैं?

समस्या: निजी निगरानी और साइबर अपराध के पैरोकारों के बीच ये घनिष्ठ संबंध हमेशा एक दिशा में काम नहीं करेंगे। वे कारनामे - जिनमें से कम से कम कुछ यह पता लगाना काफी कठिन प्रतीत होता है कि केवल सरकारों के पास ऐसा करने में सक्षम होने के लिए संसाधन होंगे - अंततः लीक हो जाएंगे।

और जबकि Apple, Google, और बाकी सभी इस तरह की आपराधिकता को रोकने के लिए बिल्ली-और-चूहे के खेल के लिए प्रतिबद्ध हैं, जहां वे कर सकते हैं, वहां कारनामे बंद करना, जोखिम यह है कि सरकार द्वारा अनिवार्य बैक डोर या डिवाइस सुरक्षा दोष अंततः वाणिज्यिक में फिसल जाएगा बाजार, जहां से यह अपराधियों तक पहुंचेगा।

यूरोप के डेटा संरक्षण नियामक ने चेतावनी दी: "पेगासस स्पाइवेयर के बारे में किए गए खुलासे ने मौलिक अधिकारों और विशेष रूप से गोपनीयता और डेटा सुरक्षा के अधिकारों पर आधुनिक स्पाइवेयर उपकरणों के संभावित प्रभाव के बारे में बहुत गंभीर सवाल उठाए।"

यह कहना नहीं है कि सुरक्षा अनुसंधान के वैध कारण नहीं हैं। खामियां किसी भी प्रणाली में मौजूद होती हैं, और हमें लोगों को उनकी पहचान करने के लिए प्रेरित करने की आवश्यकता होती है; सुरक्षा अद्यतन विभिन्न प्रकार के सुरक्षा शोधकर्ताओं के प्रयासों के बिना मौजूद नहीं होंगे। सेब छह अंकों तक भुगतान करता है उन शोधकर्ताओं के लिए जो इसके सिस्टम में कमजोरियों की पहचान करते हैं।

आगे क्या होता है?

यूरोपीय संघ के डेटा सुरक्षा पर्यवेक्षक ने इस साल की शुरुआत में एनएसओ समूह के कुख्यात पेगासस सॉफ्टवेयर के उपयोग पर प्रतिबंध लगाने का आह्वान किया। वास्तव में, कॉल आगे बढ़ गई, एकमुश्त "पेगासस की क्षमता के साथ स्पाइवेयर के विकास और तैनाती पर प्रतिबंध" की मांग की।

एनएसओ समूह अब जाहिरा तौर पर है बेचने के लिए.

RSI यूरोपीय संघ ने भी कहा इस घटना में इस तरह के कारनामों का उपयोग असाधारण स्थितियों में किया गया था, ऐसे उपयोग के लिए एनएसओ जैसी कंपनियों को नियामक निरीक्षण के अधीन होना चाहिए। उस के हिस्से के रूप में, उन्हें यूरोपीय संघ के कानून, न्यायिक समीक्षा, आपराधिक प्रक्रियात्मक अधिकारों का सम्मान करना चाहिए और अवैध खुफिया जानकारी के आयात, राष्ट्रीय सुरक्षा का कोई राजनीतिक दुरुपयोग और नागरिक समाज का समर्थन करने के लिए सहमत होना चाहिए।

दूसरे शब्दों में, इन कंपनियों को लाइन में लाने की जरूरत है।

आप क्या कर सकते है

पिछले साल NSO समूह के बारे में खुलासे के बाद, Apple निम्नलिखित सर्वोत्तम अभ्यास अनुशंसाएँ प्रकाशित कीं इस तरह के जोखिमों को कम करने में मदद करने के लिए।

• नवीनतम सॉफ़्टवेयर में उपकरणों को अपडेट करें, जिसमें नवीनतम सुरक्षा सुधार शामिल हैं।
• पासकोड के साथ उपकरणों को सुरक्षित रखें।
• Apple ID के लिए टू-फैक्टर ऑथेंटिकेशन और एक मजबूत पासवर्ड का उपयोग करें।
• स्थापित करें apps ऐप स्टोर से।
• ऑनलाइन मजबूत और अद्वितीय पासवर्ड का प्रयोग करें।
• अज्ञात प्रेषकों के लिंक या अटैचमेंट पर क्लिक न करें।

कृपया मुझे पर का पालन करें ट्विटर, या मेरे साथ जुड़ें AppleHolic's बार और ग्रिल और Apple चर्चा MeWe पर समूह।