सबसे बढ़कर, वॉल्ट 7 आपको सीआईए के बारे में घबराहट में नहीं डालेगा - यदि आप वैसे भी ध्यान दे रहे हैं तो नहीं। कागजात में वर्णित सबसे अधिक ध्यान खींचने वाली तकनीकें कोई नई बात नहीं हैं। वास्तव में, उन्हें कई बार सार्वजनिक रूप से प्रदर्शित किया जा चुका है। यहां रहस्योद्घाटन यह तथ्य नहीं है कि सीआईए और एनएसए अमेरिकी और विदेशी दोनों नागरिकों की जासूसी करते हैं, बल्कि यह अविश्वसनीय है अंतर्दृष्टि वे - और संभवतः दुनिया भर में अन्य जासूसी संगठन - उन सुरक्षाओं में सेंध लगाने में लगे हैं जिन पर ज्यादातर लोग विचार करते हैं सुरक्षित।
निगरानी का इतिहास
रयान ने कहा, "मैं कहूंगा कि इसमें से 100 प्रतिशत ऐसी चीजें हैं जो सुरक्षा समुदाय को कुछ समय से ज्ञात हैं।" वॉल्ट 7 के संदर्भ में सुरक्षा फर्म प्रूफप्वाइंट में साइबर सुरक्षा रणनीति के वरिष्ठ उपाध्यक्ष कालेम्बर दस्तावेज़. "सैमसंग स्मार्ट टीवी हैक का प्रदर्शन कई साल पहले सुरक्षा सम्मेलनों में किया गया था, ब्लैकहैट में विभिन्न वाहनों पर कुछ अलग-अलग व्यक्तियों द्वारा वाहन हैक का प्रदर्शन किया गया था।"
एवेक्टो के वरिष्ठ सुरक्षा इंजीनियर जेम्स मौड ने सहमति व्यक्त करते हुए कहा, "जो चीजें सामने आई हैं उनमें से अधिकांश ज्ञात तकनीकों में मामूली बदलाव हैं।" “एंटीवायरस विक्रेताओं के लिए कुछ लक्षित समाधान हैं जिनके बारे में पहले से ज्ञात नहीं था - हालांकि समान हैं अतीत में शोषण पाए गए हैं - और उपयोगकर्ता खाता नियंत्रण को बायपास करने के लिए कुछ नई तकनीकें थीं खिड़कियाँ।"
वॉल्ट 7 पेपर्स में उल्लिखित तकनीकों के बारे में सुनने के लिए आपको सुरक्षा पेशेवर होने की आवश्यकता नहीं है। आपको आश्चर्य हो सकता है कि सीआईए इन तकनीकों का उपयोग कर रही है, लेकिन आपको शायद नहीं होना चाहिए, यह देखते हुए कि संगठन की स्थापना खुफिया जानकारी इकट्ठा करने के उद्देश्य से की गई थी।
पुस्तक की प्रस्तावना में स्पाईक्राफ्ट: साम्यवाद से अल-कायदा तक सीआईए के स्पाईटेक का गुप्त इतिहासएजेंसी के तकनीकी सेवा कार्यालय के पूर्व निदेशक, रॉबर्ट वालेस, उन समूहों का वर्णन करते हैं जो 1995 में संगठन में शामिल होने पर इसमें शामिल थे। एक व्यक्ति स्पष्ट रूप से "ऑडियो बग, टेलीफोन टैप और दृश्य निगरानी" के डिजाइन और तैनाती के लिए जिम्मेदार था सिस्टम।" दूसरे के बारे में कहा जाता है कि उसने "ट्रैकिंग डिवाइस और सेंसर का उत्पादन किया" और "विदेशी जासूसी उपकरणों का विश्लेषण किया।"
CIA एक ऐसा संगठन है जिसे निगरानी और जासूसी के उद्देश्य से स्थापित किया गया था। सीआईए क्या कर रही है, इसके संदर्भ में वॉल्ट 7 दस्तावेज़ रहस्योद्घाटन करने वाले नहीं हैं - वे एजेंसी इसे कैसे कर रही है, इसके संदर्भ में रहस्योद्घाटन करने वाले हैं। जिस तरह से संगठन प्रौद्योगिकी को लागू करता है वह समय के साथ बदल रहा है, और वॉल्ट 7 हमें इसकी प्रगति को ट्रैक करने देता है।
जासूसी विकसित होती है
पिछले कुछ दशकों में कंप्यूटर ने अधिकांश उद्योगों में क्रांति ला दी है, और इसके परिणामस्वरूप जासूसी संगठनों द्वारा उन उद्योगों से डेटा एकत्र करने का तरीका बदल गया है। तीस साल पहले, संवेदनशील जानकारी आम तौर पर भौतिक दस्तावेज़, या मौखिक बातचीत का रूप ले लेती थी स्पाइक्राफ्ट का ध्यान किसी सुरक्षित स्थान से दस्तावेज़ निकालने, या कमरे में बातचीत सुनने पर केंद्रित होता है निजी। आज, अधिकांश डेटा डिजिटल रूप से संग्रहीत किया जाता है, और इंटरनेट उपलब्ध कहीं से भी पुनर्प्राप्त किया जा सकता है। जिसका फायदा जासूस उठा रहे हैं.
साइबर अपराध और जासूसी के बीच की रेखाएँ धुंधली हो गई हैं
कालेम्बर के अनुसार, यह "पूरी तरह से उम्मीद की जानी चाहिए" कि सीआईए समय के साथ आगे बढ़ेगी। "यदि आप जो जानकारी खोज रहे हैं वह किसी के ईमेल खाते में मौजूद है, तो निश्चित रूप से आपकी रणनीति उन्हें स्पीयर-फ़िशिंग की ओर ले जाएगी," उन्होंने समझाया।
फ़िशिंग जैसी युक्तियाँ अपराधियों के लिए गुप्त लग सकती हैं, लेकिन जासूस उनका उपयोग करते हैं क्योंकि वे प्रभावी हैं। मौड ने समझाया, "ऐसे बहुत से तरीके हैं जिनसे आप सिस्टम पर कुछ चलाने के लिए कुछ प्राप्त कर सकते हैं।" वास्तव में, यदि सीआईए जासूसी का एक अभूतपूर्व और अत्यधिक प्रभावी तरीका शुरू करती है, तो यह लगभग निश्चित है कि आपराधिक संस्थाएं इसे अपने उपयोग के लिए रिवर्स-इंजीनियरिंग करने में सक्षम होंगी।
"हम ऐसे माहौल में हैं, जहां, विशेष रूप से याहू हमले के खुलासे के साथ, साइबर क्रिमिनल ट्रेडक्राफ्ट और स्पाईक्राफ्ट के बीच की रेखाएं धुंधली हो गई हैं," कालेम्बर ने कहा। "उपकरणों का एक पारिस्थितिकी तंत्र है जिसमें एक बड़ा ओवरलैप है।"
इंटेलिजेंस ऑपरेटर और साइबर अपराधी बहुत ही समान उद्देश्यों के लिए एक ही उपकरण का उपयोग कर रहे हैं, भले ही उनके लक्ष्य और उनके अंतिम लक्ष्य बहुत भिन्न हो सकते हैं। इसलिए, निगरानी की व्यावहारिकताएं व्यक्ति के नैतिक या नैतिक संरेखण के आधार पर नहीं बदलती हैं थोड़ा आश्चर्य होना चाहिए जब यह सामने आए कि सीआईए सैमसंग टीवी की सुनने की क्षमता में रुचि रखती है बात चिट। वास्तव में, सैमसंग टीवी में पाए जाने वाले ऐसे कारनामे अपराधियों की तुलना में जासूसों के लिए अधिक रुचिकर हैं। यह कोई ऐसा शोषण नहीं है जो तत्काल वित्तीय लाभ प्रदान करता है, लेकिन यह निजी बातचीत सुनने का एक उत्कृष्ट तरीका प्रदान करता है।
"जब हम सीआईए लीक को देखते हैं, जब हम साइबर आपराधिक मंचों और मैलवेयर को देखते हैं जिन्हें मैंने देखा है, एक साइबर अपराधी और एक खुफिया विश्लेषक के बीच का अंतर वस्तुतः यह है कि उनके वेतन का भुगतान कौन करता है,'' ने कहा मौड. "उन सभी की मानसिकता एक जैसी है, वे सभी एक ही चीज़ करने की कोशिश कर रहे हैं।"
यह पिघलने वाला बर्तन गुर्गों को अपने कार्यों को छिपाने की अनुमति देता है, जिससे उनका काम अपराधियों और अन्य खुफिया एजेंसियों द्वारा अपनाई गई समान रणनीति के साथ मिश्रित हो जाता है। एट्रिब्यूशन, या इसकी कमी का मतलब है कि दूसरों द्वारा विकसित टूल का पुन: उपयोग करने से न केवल समय की बचत होती है - यह हर तरह से एक सुरक्षित विकल्प है।
लेखक अनजान है
मौड ने कहा, "सुरक्षा हलकों में यह सर्वविदित है कि रिपोर्ट और प्रेस कॉन्फ्रेंस में आरोप लगाना बहुत अच्छा लगता है, लेकिन वास्तव में, खतरों को जिम्मेदार ठहराने का बहुत कम महत्व है।" "मूल्य उनके खिलाफ बचाव में है।"
एनएसए के पास कई अलग-अलग प्रकार के संचार इकट्ठा करने की व्यापक क्षमताएं हैं जो मोटे तौर पर अनएन्क्रिप्टेड हैं
अधिकांश निगरानी का उद्देश्य गुप्त होना होता है, लेकिन जब किसी प्रयास का पता चल जाता है, तब भी उसके स्रोत का सटीक पता लगाना बहुत मुश्किल हो सकता है। सीआईए दूसरों द्वारा विकसित उपकरणों और तकनीकों का उपयोग करके इस तथ्य का लाभ उठाती है। किसी और के काम को लागू करके - या इससे भी बेहतर, दूसरों के काम का एक पैचवर्क - एजेंसी सवाल पूछ सकती है कि उसकी जासूसी के लिए कौन जिम्मेदार है।
कालेम्बर ने कहा, "एट्रिब्यूशन एक ऐसी चीज़ है जो निजी क्षेत्र में एक विवादास्पद विषय रहा है।" जब सुरक्षा शोधकर्ता हमलों की जांच कर रहे हैं, तो वे उपयोग किए गए उपकरणों को देख सकते हैं, और अक्सर जहां जानकारी भेजी गई थी, यह जानने के लिए कि कौन जिम्मेदार था।
मैलवेयर के बारे में और गहराई से जानने पर, इसके लेखकों के बारे में और भी अच्छी जानकारी प्राप्त करना संभव है। टेक्स्ट स्ट्रिंग्स के लिए उपयोग की जाने वाली भाषा एक सुराग प्रदान कर सकती है। दिन का वह समय जब कोड संकलित किया गया था, उनकी भौगोलिक स्थिति का संकेत दे सकता है। शोधकर्ता यह पता लगाने के लिए डिबग पथों को भी देख सकते हैं कि डेवलपर का ऑपरेटिंग सिस्टम किस भाषा पैक का उपयोग कर रहा था।
दुर्भाग्य से, इन सुरागों को गढ़ना आसान है। कालेम्बर ने समझाया, "ये सभी चीजें प्रसिद्ध तकनीकें हैं जिनका उपयोग शोधकर्ता प्रयास करने और करने के लिए कर सकते हैं।" "हमने हाल ही में साइबर-आपराधिक समूहों और राष्ट्र राज्य समूहों दोनों को क्लासिक गलत 'ध्वज प्रकार' परिदृश्य बनाने के लिए जानबूझकर उन तरीकों के साथ खिलवाड़ करते देखा है।"
उन्होंने लाजर नामक मैलवेयर से संबंधित अभ्यास का उदाहरण दिया, जिसके बारे में माना जाता है कि इसकी उत्पत्ति उत्तर कोरिया में हुई थी। कोड में रूसी भाषा के तार पाए गए, लेकिन रूसी बोलने वालों के लिए उनका कोई मतलब नहीं था। यह संभव है कि यह गुमराह करने का आधा-अधूरा प्रयास था, या शायद दोहरा धोखा भी। वॉल्ट 7 पेपर्स ने प्रदर्शित किया कि सीआईए सक्रिय रूप से मैलवेयर को ट्रैक करने की कोशिश करने वालों को धोखा देने के लिए इस पद्धति में सक्रिय रूप से संलग्न है।
कलेम्बर ने कहा, "वॉल्ट 7 लीक का एक बड़ा हिस्सा UMBRAGE नामक इस कार्यक्रम पर केंद्रित था, जहां CIA उपयोग के लिए उपलब्ध उपकरणों के व्यापक पारिस्थितिकी तंत्र की ओर इशारा कर रहा था।" "ऐसा प्रतीत होता है कि वे अधिकतर अपना समय बचाने की कोशिश कर रहे थे, जैसा कि इस कार्य में शामिल बहुत से लोग पहले से मौजूद चीज़ों का पुन: उपयोग करके करते हैं।"
UMBRAGE दर्शाता है कि कैसे CIA जासूसी और निगरानी के मामले में अपनी प्रभावशीलता बनाए रखने के लिए रुझानों की निगरानी कर रही है। कार्यक्रम एजेंसी को अधिक तेज़ी से काम करने की अनुमति देता है, और खोजे जाने की कम संभावना के साथ - उसके प्रयासों के लिए एक बड़ा वरदान। हालाँकि, वॉल्ट 7 दस्तावेज़ यह भी प्रदर्शित करते हैं कि कैसे संगठन को गोपनीयता के प्रति अपने रवैये की आलोचना करने वालों को आश्वस्त करने के लिए अपनी रणनीति बदलने के लिए मजबूर किया गया है।
मछली पकड़ने के जाल से लेकर मछली पकड़ने वाली छड़ी तक
2013 में, एडवर्ड स्नोडेन ने दस्तावेजों का एक समूह लीक किया, जिसमें एनएसए और अन्य खुफिया एजेंसियों द्वारा संचालित विभिन्न वैश्विक निगरानी पहलों का खुलासा किया गया था। वॉल्ट 7 दस्तावेज़ दर्शाते हैं कि कैसे स्नोडेन लीक ने जासूसी के सर्वोत्तम तरीकों को बदल दिया।
कालेम्बर ने कहा, "यदि आप स्नोडेन लीक को देखें, तो एनएसए के पास कई अलग-अलग प्रकार के संचार इकट्ठा करने की व्यापक क्षमताएं हैं जो कुल मिलाकर अनएन्क्रिप्टेड थे।" “इसका मतलब यह था कि वास्तव में किसी को पता चले बिना, उनके पास बहुत सारी दिलचस्प जानकारी थी पहुंच, और उन्हें किसी भी व्यक्ति की जानकारी तक पहुंच प्राप्त करने के लिए कोई जोखिम नहीं उठाना पड़ता जो कि बहकर आया हो वह।"
सीधे शब्दों में कहें तो, एनएसए व्यापक जाल बिछाने और डेटा एकत्र करने के लिए एन्क्रिप्शन की व्यापक कमी का उपयोग कर रहा था। यह कम-जोखिम वाली रणनीति तभी फायदेमंद साबित होगी जब किसी हितैषी व्यक्ति के संचार को ढेर सारी बेकार बक-बक के साथ इंटरसेप्ट किया जाएगा।
"स्नोडेन लीक के बाद से हमने वास्तव में एंड-टू-एंड एन्क्रिप्शन की आवश्यकता पर बात की है, और इसे शुरू कर दिया गया है बड़े पैमाने पर, चैट ऐप्स से लेकर वेबसाइट, एसएसएल, ये सभी अलग-अलग चीजें जो वहां मौजूद हैं,'' कहा मौड. यह व्यापक डेटा संग्रह को बहुत कम प्रासंगिक बनाता है।
उन्होंने कहा, "हम जो देख रहे हैं वह यह है कि खुफिया एजेंसियां सीधे अंतिम बिंदु पर जाकर एंड-टू-एंड एन्क्रिप्शन के आसपास काम कर रही हैं।" "क्योंकि स्पष्ट रूप से यहीं पर उपयोगकर्ता संचार टाइप कर रहा है, एन्क्रिप्ट कर रहा है और डिक्रिप्ट कर रहा है, इसलिए यहीं से वे अनएन्क्रिप्टेड तक पहुंच प्राप्त कर सकते हैं।"
स्नोडेन लीक ने एंड-टू-एंड एन्क्रिप्शन को मानकीकृत करने के लिए एक उद्योग-विस्तारित पहल का नेतृत्व किया। अब, निगरानी के लिए अधिक सटीक दृष्टिकोण की आवश्यकता होती है, जहां विशिष्ट लक्ष्यों पर ध्यान केंद्रित किया जाता है। इसका मतलब है समापन बिंदु तक पहुंचना, वह उपकरण जहां उपयोगकर्ता अपने संचार को इनपुट या संग्रहीत कर रहा है।
कोई भी डिजिटल चीज़ कभी भी 100 प्रतिशत सुरक्षित नहीं होती
कालेम्बर ने कहा, "स्नोडेन लीक के विपरीत, सीआईए की वॉल्ट 7 लीक, लगभग पूरी तरह से लक्षित हमलों का वर्णन करती है जिन्हें विशिष्ट व्यक्तियों या उनके उपकरणों के खिलाफ लॉन्च किया जाना है।" "ज्यादातर मामलों में, उनमें पकड़े जाने और पहचाने जाने का थोड़ा अधिक जोखिम शामिल होता है, और उन्हें पूरी तरह से गुप्त तरीके से करना बहुत कठिन होता है शर्तें, क्योंकि यह अपस्ट्रीम से नहीं किया जा रहा है जहां से सभी संचार हो रहे हैं, यह व्यक्ति और व्यक्ति के स्तर पर किया जा रहा है उपकरण।"
इसे अनएन्क्रिप्टेड संचार के संबंध में सार्वजनिक सेवा घोषणा के रूप में इसकी स्थिति के माध्यम से सीधे स्नोडेन लीक पर नज़र रखी जा सकती है। कलेम्बर ने कहा, "वह बड़ी चीज़ जो बदल गई, जिसने इस पूरे बदलाव को जन्म दिया, वह एंड-टू-एंड एन्क्रिप्शन का उदय था।"
औसत व्यक्ति के लिए इसका क्या मतलब है? कुछ साल पहले की तुलना में अब इस बात की संभावना कम है कि आपके संचार को इंटरसेप्ट किया जा रहा है।
सीआईए और मैं
दिन के अंत में, एक व्यक्ति के रूप में सीआईए द्वारा आप पर जासूसी करने की चिंता करना ऊर्जा की बर्बादी है। यदि एजेंसी के पास आपकी जासूसी करने का कोई कारण है, तो उनके पास ऐसा करने के लिए उपकरण हैं। इस तथ्य से बचना बहुत मुश्किल है, जब तक कि आप पूरी तरह से ग्रिड से बाहर जाने की योजना नहीं बनाते। जो, अधिकांश लोगों के लिए, व्यावहारिक नहीं है।
एक तरह से, यदि आप अपने डेटा की सुरक्षा को लेकर चिंतित हैं, तो लीक में शामिल जानकारी आश्वस्त करने वाली होनी चाहिए। अंतर्राष्ट्रीय जासूसी एजेंसियों और शीर्ष साइबर अपराधियों द्वारा उपकरणों के एक ही पारिस्थितिकी तंत्र का उपयोग करने से, चिंता करने के लिए हमले के कम रूप होते हैं। अच्छी सुरक्षा आदतें अपनाने से आपको सबसे बड़े खतरों से बचाव करना चाहिए, और कुछ सावधानियां जो आप बरत सकते हैं वे आपकी अपेक्षा से अधिक सरल हैं।
एवेक्टो द्वारा प्रकाशित विंडोज कमजोरियों पर एक हालिया रिपोर्ट में पाया गया कि 94 प्रतिशत कमजोरियां हो सकती हैं व्यवस्थापक अधिकारों को हटाकर इसे कम किया गया, एक आँकड़ा जो एंटरप्राइज़ उपयोगकर्ताओं को अपने सिस्टम के बेड़े को बनाए रखने में मदद कर सकता है सुरक्षित। इस बीच, व्यक्तिगत उपयोगकर्ता फ़िशिंग तकनीकों की तलाश करके अपने उल्लंघन के परिवर्तनों को कम कर सकते हैं।
मौड ने कहा, "सुरक्षा के साथ बात यह है कि डिजिटल रूप से कुछ भी कभी भी 100 प्रतिशत सुरक्षित नहीं होता है, लेकिन आप जानते हैं कि ऐसे उपाय हैं जो आप उठा सकते हैं जो आपकी सुरक्षा को बेहतर बनाते हैं।" “सीआईए के लीक से हमें पता चलता है कि साइबर अपराधियों से बचाव के लिए आप सामान्य उपायों का इस्तेमाल कर सकते हैं रैंसमवेयर उपकरण मोटे तौर पर वही उपाय हैं जो आप सीआईए द्वारा आप पर कुछ थोपने से बचाव के लिए अपना सकते हैं प्रणाली।"
वॉल्ट 7 के कागजात घबराने की बात नहीं है, जब तक कि आप ऐसे व्यक्ति न हों जिसकी जांच में सीआईए पहले से ही रुचि रखती हो। यदि यह जानकर कि सीआईए आपके टीवी के माध्यम से आपकी बातचीत सुन सकती है, आपको डर लगता है, तो संभवतः ऐसा नहीं है यह सुनने में मदद करें कि कैरियर अपराधी जो जबरन वसूली और ब्लैकमेल के माध्यम से जीवन यापन करते हैं, उनकी पहुंच इस तक है औजार।
सौभाग्य से, एक ही बचाव दोनों पक्षों के खिलाफ भी उतना ही अच्छा काम करता है। जब ऑनलाइन सुरक्षा के मामले सुर्खियों में आते हैं, तो निष्कर्ष आमतौर पर एक ही होता है; सतर्क रहें और तैयार रहें, और आप संभवतः ठीक रहेंगे।
संपादकों की सिफ़ारिशें
- हैकर्स आपके डिवाइस को संक्रमित करने के लिए एक नई कुटिल चाल का इस्तेमाल कर रहे हैं
