வெளிநாட்டு இலக்குகளை ஹேக் செய்ய மென்பொருள் குறைபாடுகளை NSA பயன்படுத்துவது இணைய பாதுகாப்பிற்கு ஆபத்தை ஏற்படுத்தியது

வலைப்பதிவுகள்

வெளிநாட்டு இலக்குகளின் கணினிகளில் ஊடுருவ, தேசிய பாதுகாப்பு நிறுவனம் இணையத்தின் குழாய்களில் கண்டறியப்படாத மென்பொருள் குறைபாடுகளை நம்பியுள்ளது. பல ஆண்டுகளாக, பாதுகாப்பு வல்லுநர்கள் இந்த பிழைகளை வெளிப்படுத்த ஏஜென்சிக்கு அழுத்தம் கொடுத்துள்ளனர், அதனால் அவை சரிசெய்யப்படலாம், ஆனால் ஏஜென்சி ஹேக்கர்கள் பெரும்பாலும் தயக்கம் காட்டுகின்றனர்.

கருப்புக்கு சொந்தமான விஸ்கி பிராண்டுகள்

இப்போது வார இறுதியில் NSA ஹேக்கிங் கருவிகளின் தற்காலிக சேமிப்பின் மர்மமான வெளியீட்டில், நிறுவனம் ஒரு தாக்குதல் நன்மையை இழந்துவிட்டது, நிபுணர்கள் கூறுகின்றனர், மேலும் உலகெங்கிலும் உள்ள எண்ணற்ற பெரிய நிறுவனங்கள் மற்றும் அரசாங்க நிறுவனங்களின் பாதுகாப்பை ஆபத்தில் ஆழ்த்தியுள்ளது.

பல கருவிகள் வணிக ஃபயர்வால்களில் உள்ள குறைபாடுகளைப் பயன்படுத்துகின்றன, அவை இணைக்கப்படாமல் உள்ளன, மேலும் அவை இணையத்தில் அனைவருக்கும் தெரியும். அடித்தள ஹேக்கர் முதல் அதிநவீன வெளிநாட்டு உளவு நிறுவனம் வரை எவரும் இப்போது அவற்றை அணுகலாம், மேலும் குறைபாடுகள் சரி செய்யப்படும் வரை, பல கணினி அமைப்புகள் ஆபத்தில் இருக்கலாம்.

NSA தற்காலிக சேமிப்பின் வெளிப்பாடு, இது 2013 ஆம் ஆண்டு வரையிலானது மற்றும் ஏஜென்சியால் உறுதிப்படுத்தப்படவில்லை, எந்த மென்பொருள் பிழைகளை வெளிப்படுத்துவது மற்றும் எதை ரகசியமாக வைத்திருக்க வேண்டும் என்பதைக் கண்டறிவதற்கான நிர்வாகத்தின் அதிகம் அறியப்படாத செயல்முறையையும் எடுத்துக்காட்டுகிறது.

ஹேக்கர் கருவிகளின் வெளியீடு, அமெரிக்க அரசாங்கம் தனது சொந்த பயன்பாட்டிற்காக கணினி பாதிப்புகளை சேமித்து வைப்பதன் முக்கிய ஆபத்தை நிரூபிக்கிறது: வேறு யாராவது அவற்றைப் பிடித்து நமக்கு எதிராகப் பயன்படுத்தக்கூடும் என்று நியூ அமெரிக்காவின் திறந்த தொழில்நுட்ப நிறுவனத்தின் இயக்குனர் கெவின் பேங்க்ஸ்டன் கூறினார்.

அதனால்தான், சாப்ட்வேர் விற்பனையாளர்களிடம் அது வாங்கும் அல்லது கண்டுபிடிக்கும் பாதிப்புகளை விரைவில் வெளிப்படுத்துவது அமெரிக்க அரசாங்கத்தின் கொள்கையாக இருக்க வேண்டும், எனவே நாம் அனைவரும் நமது சொந்த இணையப் பாதுகாப்பை சிறப்பாகப் பாதுகாக்க முடியும்.

வாரயிறுதியின் வெளியீடு அதன் பின்னணியில் யார் இருக்கலாம் என்ற உடனடி ஊகத்தைத் தூண்டியது. நிழல் தரகர்கள் என்று தங்களை அழைத்துக் கொள்ளும் குழு பொறுப்பேற்றது. சில நிபுணர்கள் மற்றும் முன்னாள் ஊழியர்கள் சந்தேகிக்கிறார்கள், கடினமான ஆதாரங்கள் இல்லாமல், ரஷ்யா சம்பந்தப்பட்டிருக்கிறது. மற்ற முன்னாள் பணியாளர்கள் இது லாபம் ஈட்ட முயலும் ஒரு அதிருப்தி உள்ளவர் என்று கூறுகிறார்கள்.

யாராக இருந்தாலும், வேறொரு அரசாங்கத்தில் பணிபுரியும் ஒருவர், இந்த ஃபயர்வால்களுக்குப் பின்னால் அமர்ந்திருக்கும் நிறுவனங்களை பணயக்கைதிகளாக வைத்திருப்பது மிகவும் கவலைக்குரியது, இது அவர்களை மிகவும் பாதிக்கக்கூடியதாக ஆக்குகிறது என்று ஏரியா 1 செக்யூரிட்டியின் தலைமை நிர்வாகியும் முன்னாள் NSA ஆய்வாளருமான Oren Falkowitz கூறினார்.

சிஸ்கோ, ஜூனிபர் மற்றும் ஃபோர்டினெட் ஆகியவற்றால் விற்கப்படும் ஃபயர்வால்கள் மிகவும் பிரபலமானவை மற்றும் பெரிய அளவிலான நிறுவன அமைப்புகளில் வேலை செய்கின்றன. இவை மிகவும் சக்திவாய்ந்த மற்றும் வெற்றிகரமான தயாரிப்புகள், பால்கோவிட்ஸ் கூறினார். அவை இரண்டு நபர்களால் வாங்கப்பட்ட சாதனங்கள் அல்ல.

ஏற்கனவே, நிறுவனங்கள் குறியீட்டை மாற்றியமைக்கவும், ஏதேனும் குறைபாடுகளை அடையாளம் காணவும் மற்றும் இணைப்புகளை உருவாக்கவும் போட்டியிடுகின்றன. குறைபாடுகளில் ஒன்று பூஜ்ஜிய நாள் என்று சிஸ்கோ புதன்கிழமை உறுதிப்படுத்தியது - முன்பு பொதுமக்களுக்குத் தெரியாது - மேலும் அது சரிசெய்து வருகிறது. எக்ஸ்ட்ராபேகன் என்ற குறியீட்டுப் பெயரிடப்பட்ட கருவி அல்லது சுரண்டலில் குறைபாடு இருந்தது.

ஒரு அடமானத்தை எவ்வாறு திரும்பப் பெறுவது

ஜூனிபர் செய்தித் தொடர்பாளர் லெஸ்லி மூர் நிறுவனம் வெளியிட்ட கோப்பை மதிப்பாய்வு செய்து வருகிறது என்றார். ஒரு தயாரிப்பு பாதிப்பு அடையாளம் காணப்பட்டால், நாங்கள் விஷயத்தை நிவர்த்தி செய்து எங்கள் வாடிக்கையாளர்களுக்கு தொடர்பு கொள்வோம், என்று அவர் கூறினார்.

Fortinet செய்தித் தொடர்பாளர் Sandra Wheatley Smerdon, FortiGate ஃபயர்வால் பதிப்பு 4.X ஐ இயக்கும் வாடிக்கையாளர்களுடன் நிறுவனம் தீவிரமாகச் செயல்பட்டு வருவதாகவும், அவர்கள் தங்கள் கணினிகளை அதிக முன்னுரிமையுடன் புதுப்பிக்க வேண்டும் என்று கடுமையாக பரிந்துரைக்கிறது என்றும் கூறினார்.

மென்பொருளின் குறைபாடுகளை எப்போது பகிர வேண்டும் என்பதை தீர்மானிக்க அரசாங்கம் ஒரு செயல்முறையைக் கொண்டுள்ளது. NSA மற்றும் FBI போன்ற ஏஜென்சிகள் தாங்கள் கண்டறியும் ஏதேனும் குறைபாடுகளை நிபுணர்களின் பல்துறை குழுவிடம் சமர்ப்பிக்க வேண்டும், பின்னர் அவர்கள் பாதிப்புகளை ரகசியமாக வைத்திருப்பதன் நன்மை பொதுமக்களின் இணைய பாதுகாப்பை விட அதிகமாக உள்ளதா என்று எடைபோட வேண்டும்.

வெள்ளை மாளிகையின் இணைய பாதுகாப்பு ஒருங்கிணைப்பாளர் மைக்கேல் டேனியல், பெரும்பாலான சந்தர்ப்பங்களில், பிழையை வெளிப்படுத்துவது தேசிய நலனுக்காக உள்ளது என்று கூறினார். மல்டிஏஜென்சி செயல்முறை உண்மையில் 2014 வசந்த காலம் வரை தொடங்கவில்லை. அதற்கு முன் பல ஆண்டுகளாக NSA அதன் சொந்த உள் செயல்முறையைக் கொண்டிருந்தது.

எப்படியிருந்தாலும், இந்த விஷயத்தில், வெளிப்படுத்தல் நடக்கவில்லை.

பாதுகாப்பற்ற முறையில் சுரண்டல்களை பதுக்கி வைத்திருக்கும் பாதுகாப்பு ஏஜென்சிகள் உங்களிடம் இருந்தால் இதுதான் நடக்கும் - அனைவருக்கும் மோசமான பாதுகாப்பு, கசிந்த சில கருவிகள் இன்னும் இணைக்கப்படாத பாதிப்புகளை நம்பியுள்ளன என்பதைச் சரிபார்த்த இணைய பாதுகாப்பு ஆராய்ச்சியாளர் கெவின் பியூமண்ட் கூறினார்.

காட்ஜில்லா vs காங் திரையரங்குகள்

வெளியிடப்பட்ட கருவி தற்காலிக சேமிப்பில் பணிபுரிந்த முன்னாள் NSA பணியாளர்கள், அவர்கள் ஏஜென்சியில் பணிபுரிந்தபோது, ​​வெளிப்படுத்துவதில் வெறுப்பு இருந்தது என்று கூறுகிறார்கள்.

நான் அங்கு இருந்தபோது, ​​ஏஜென்சி பயன்படுத்திய பூஜ்ஜிய நாள் [குறைபாடு] பற்றிய ஒரு உதாரணத்தையும் என்னால் நினைத்துப் பார்க்க முடியவில்லை, பின்னர் நாங்கள் சொன்னோம், 'சரி, நாங்கள் அதை முடித்துவிட்டோம், அதை தற்காப்பு பக்கத்திற்கு மாற்றுவோம். அவர்கள் அதை இணைக்க முடியும்,' என்று ஏஜென்சியின் டெய்லர்டு அக்சஸ் ஆர்கனைசேஷனில் பல ஆண்டுகளாக பணிபுரிந்த முன்னாள் ஊழியர் கூறினார். அந்தக் காலத்தில், இதுபோன்ற நூற்றுக்கணக்கான குறைகளைக் கண்டதாக அவர் கூறினார்.

அவர் மேலும் கூறியதாவது: இது செயலில் பயன்பாட்டில் உள்ள ஒன்று என்றால், அது வெளிப்படுவதைத் தடுக்க அவர்கள் அனைவரும் வெளியேறுவது போல் சண்டையிடுகிறார்கள் என்பது எனது அனுபவம்.

உணர்திறன் வாய்ந்த அரசாங்க செயல்பாடுகளை விவரிக்க பெயர் தெரியாத நிலையில் பேசிய இரண்டாவது முன்னாள் ஊழியர் கூறினார்: நீங்கள் திறன்களைக் கொண்ட உலகில் வாழ்வது கடினம் மற்றும் உங்கள் தற்காப்புக் குழுவிடம் உங்கள் திறன்களை வெளிப்படுத்துகிறீர்கள்.

இந்த முன்னாள் ஆபரேட்டர் கூறுகையில், சில சமயங்களில் பாதிப்பு ஏற்படும், ஆனால் நீங்கள் அதை ஒரு சிறப்பு நுட்பத்துடன் வேறு பாணியில் ஆயுதமாக்கினால், ஒரு கருவியின் ஆயுளை அதிகரிக்க இது ஒரு வழியாகும்.

டேவ் க்ரோல் எங்கிருந்து வருகிறார்

அந்த வகையில், ஒரு குறைபாடு இன்னும் பல ஆண்டுகளுக்கு நன்றாக இருக்கும்.

இரண்டு அல்லது மூன்று வருடங்கள் உண்மையில் ஒரு பிழை கண்டுபிடிக்கப்படாமல் இருக்க நீண்ட காலம் இல்லை என்று ஜனநாயகம் மற்றும் தொழில்நுட்ப மையத்தின் தலைமை தொழில்நுட்பவியலாளர் ஜோசப் லோரென்சோ ஹால் கூறினார்.

எடுத்துக்காட்டாக, ஹார்ட்ப்ளீட் எனப்படும் ஒரு பெரிய பாதிப்பு 2011 இல் பரவலாகப் பயன்படுத்தப்படும் குறியாக்க மென்பொருளின் குறியீட்டில் நுழைந்தது, ஆனால் 2014 வரை வெளிச்சத்திற்கு வரவில்லை, அவர் குறிப்பிட்டார். கடந்த ஆண்டு, மைக்ரோசாப்ட் குறைந்தது ஒரு தசாப்த காலமாக விண்டோஸில் பதுங்கியிருந்த ஒரு முக்கியமான பூஜ்ஜிய நாள் பிழையை சரிசெய்தது.

மென்பொருளில் பல பாதிப்புகள் உள்ளன, அவை அனைத்தையும் எங்களால் கண்டுபிடிக்க முடியாது, ஹால் கூறினார். இது மிகவும் பயமாக இருக்கிறது, குறிப்பாக ஃபயர்வால்கள் போன்ற தொழில்நுட்பத்தைப் பற்றி நீங்கள் பேசும்போது, ​​அவை கணினிகளைப் பாதுகாப்பாக வைத்திருக்க உதவும்.

குக்கீ மான்ஸ்டர் என்னை அழைக்கலாம்

வெளியீட்டைப் படிக்கும் நிபுணர்கள், கடைசியாக கோப்பு உருவாக்கப்பட்ட தேதியான அக்டோபர் 2013 இல் பொருள் திருடப்பட்டிருக்கலாம் என்று கூறுகிறார்கள். அது உண்மையாக இருந்தால், பாதிக்கப்படக்கூடிய ஃபயர்வால்களைப் பயன்படுத்தி நிறுவனங்களை ஹேக் செய்ய அல்லது NSA இன் சொந்த இணைய உளவு பார்ப்பதற்கு யாரோ அல்லது வேறு உளவு நிறுவனமோ நேரம் கிடைத்துள்ளது.

முன்னாள் கான்ட்ராக்டர் எட்வர்ட் ஸ்னோடென் உட்பட கடந்த என்எஸ்ஏ ஊழியர்கள், ஏஜென்சியின் சர்வர்களில் இருந்து பொருள் ஹேக் செய்யப்பட்டிருக்க வாய்ப்பில்லை என்று கூறுகிறார்கள். இலக்குகளை ஹேக் செய்யப் பயன்படுத்தப்படும் சர்வரில் TAO ஹேக்கரால் கருவிகள் பதிவேற்றப்பட்டு கவனக்குறைவாக விட்டுச் செல்லப்பட்டிருக்கலாம் என்று சிலர் கூறுகின்றனர். இந்த சேவையகங்கள் சில சமயங்களில் ரீடைரக்டர்கள் அல்லது ஸ்டேஜிங் சர்வர்கள் என்று அழைக்கப்படுகின்றன, மேலும் அவை ஹேக்கரின் உண்மையான இருப்பிடத்தை மறைக்கின்றன.

NSA எப்போதும் அதன் அமைப்புகளில் தணிக்கைக் கட்டுப்பாடுகளைக் கொண்டுள்ளது. ஆனால் குறிப்பாக ஜூன் 2013 இல் ஊடகங்களில் வெளிவரத் தொடங்கிய ஸ்னோவ்டனின் வகைப்படுத்தப்பட்ட பொருட்களின் கசிவை அடுத்து, நிறுவனம் அதன் கட்டுப்பாட்டு வழிமுறைகளை பலப்படுத்தியுள்ளது.

மேலும் படிக்க:

சக்திவாய்ந்த NSA கருவிகள் ஆன்லைனில் வெளிப்படுத்தப்பட்டுள்ளன

ஐபோன் ஹேக்கிங் கருவியை எஃப்.பி.ஐ வாங்குவதை கோமி பாதுகாக்கிறார்

NSA ஹேக்கிங் கருவிகள் ஆன்லைனில் கசிந்தன. நீங்கள் தெரிந்து கொள்ள வேண்டியது இங்கே.