ज़ीरो-क्लिक हैक अब गुप्त एजेंटों और अवास्तविक भूखंडों वाली विज्ञान-फाई फिल्मों के लिए नहीं हैं। साइबर सुरक्षा की दुनिया में विकास के आधार पर, शून्य-क्लिक हैक स्थिर गति से बढ़ रहे हैं – विशेष रूप से चीजों के सबसे गंभीर अंत में। इस तरह के हमले आमतौर पर प्रकृति में बहुत अधिक लक्षित होते हैं, और बड़े पैमाने पर साइबर हमलों की तुलना में कहीं अधिक परिष्कृत रणनीति को तैनात करते हैं जिसे हम दैनिक आधार पर देखते और जानते हैं। इन हमलों के बड़े पैमाने पर परिणाम हो सकते हैं, जिससे आप यह जाने बिना कि पृष्ठभूमि में कुछ गड़बड़ है, आप अपने जीवन पर पूरा नियंत्रण खो देते हैं।
जीरो-क्लिक हैक वास्तव में क्या हैं?
वे वही हैं जो नाम से पता चलता है – हैक जिन्हें पीड़ित की ओर से एक भी स्वैच्छिक कार्रवाई के बिना निष्पादित किया जा सकता है। ठेठ में साइबर हमले, व्यक्तिगत उपयोगकर्ताओं पर उल्लंघन और शोषण, हैकर्स आमतौर पर एक फ़िशिंग नेटवर्क जैसे जाल बिछाते हैं, जहां एक उपयोगकर्ता को एक कमजोर URL पर क्लिक करने के लिए, या एक अनुलग्नक डाउनलोड करने के लिए धोखा दिया जाता है जिसमें एम्बेडेड मैलवेयर वाले मैक्रो होते हैं। दूसरे शब्दों में, यदि आप “मानक” साइबर हमले के शिकार हो जाते हैं, तो संभावना अधिक है कि कम से कम किसी बिंदु पर, आपने किसी दुर्भावनापूर्ण लिंक पर क्लिक किया होगा, या कुछ ऐसी कार्रवाई की होगी जिससे उल्लंघन शुरू हो गया हो। एक शून्य- हैक पर क्लिक करें, इस संबंध में, संभावित रूप से उस सब को छोड़ देता है।
इसलिए, एक शून्य-क्लिक हैक कोई भी साइबर हमला हो सकता है जो आपके द्वारा उपयोग किए जा रहे डिवाइस में एक दोष का शोषण करता है – चाहे वह आईओएस या एंड्रॉइड हो, और विंडोज या मैकओएस हो, जो एक का उपयोग करता है डेटा सत्यापन खामी अपने सिस्टम में अपना काम करने के लिए। सरल शब्दों में, सभी ज्ञात साइबर उल्लंघनों को दरवाजे से बाहर रखने के लिए, दुनिया के अधिकांश सॉफ़्टवेयर डेटा सत्यापन के विभिन्न रूपों और प्रक्रियाओं को नियोजित करते हैं। हालाँकि, अभी भी लगातार जीरो-डे हैक हैं जिन्हें अभी तक पैच नहीं किया गया है, जो साइबर अपराधियों के लिए अमूल्य संसाधन हैं। ये हैकर्स अत्यधिक परिष्कृत साइबर हमलों को अंजाम देने के लिए हैकर्स को रास्ता देते हैं जिन्हें आज आपकी ओर से शून्य क्रियाओं के साथ लागू किया जा सकता है।
जीरो-क्लिक हैक कैसे काम करते हैं?
उदाहरण के लिए, ले लो 2019 में कुख्यात व्हाट्सएप उल्लंघन जो एक मिस्ड कॉल द्वारा ट्रिगर किया गया था – विचाराधीन हमले ने अनिवार्य रूप से किसी भी उपयोगकर्ता को सभी व्यावहारिक कारणों से रक्षाहीन बना दिया, क्योंकि कोई भी वास्तविक रूप से किसी भी मिस्ड कॉल को प्राप्त करने से खुद को रोक नहीं सकता है। मिस्ड कॉल ट्रिक ने दुनिया के सबसे लोकप्रिय मैसेजिंग ऐप व्हाट्सएप के सोर्स कोड फ्रेमवर्क में एक खामी का फायदा उठाया। यह शून्य-दिन का शोषण (साइबर कमजोरियां जो पहले से ज्ञात या पैच नहीं हैं) ने हमलावर को मिस्ड कॉल के कारण दो उपकरणों के बीच डेटा एक्सचेंज में स्पाइवेयर लोड करने की अनुमति दी। एक बार लोड हो जाने पर, स्पाइवेयर स्वतः ही एक पृष्ठभूमि संसाधन के रूप में सक्षम हो जाएगा, जो आपके डिवाइस के सॉफ़्टवेयर ढांचे के अंदर गहराई से एम्बेडेड होगा।
जीरो-क्लिक हैक की एक प्रमुख विशेषता इसकी कोई निशान नहीं छोड़ने की क्षमता है, जिसका उपयोग साइबर सुरक्षा एजेंसियां परिष्कृत हमलों को ट्रैक करने के लिए करती हैं। ए शून्य-क्लिक कारनामों पर पोस्ट करें द सिटीजन लैब के सुरक्षा शोधकर्ता बिल मार्कज़क कहते हैं, “शून्य-क्लिक संक्रमण वैक्टर और अधिक परिष्कृत एंटी-फोरेंसिक क्षमताओं की ओर मौजूदा रुझान निगरानी के अधिक परिष्कृत, कम पता लगाने योग्य साधनों की ओर व्यापक उद्योग-व्यापी बदलाव का हिस्सा है। हालांकि यह एक अनुमानित तकनीकी विकास है, लेकिन यह नेटवर्क प्रशासकों और जांचकर्ताओं दोनों के सामने आने वाली तकनीकी चुनौतियों को बढ़ाता है।”
क्या ऐसे हैक्स के खिलाफ कोई बचाव है?
मार्कज़क और उनकी टीम ने सिटीजन लैब की रिपोर्ट में आगे नोट किया कि संभावित पहचानकर्ता होने पर भी, ये हैक पहले की तुलना में कहीं अधिक जटिल हैं। “जबकि शून्य-क्लिक हमलों की पहचान करना अभी भी संभव है, मामलों की पहचान करने के लिए आवश्यक तकनीकी प्रयास स्पष्ट रूप से बढ़ जाते हैं, जैसा कि जांच की तार्किक जटिलता है। जैसे-जैसे तकनीकें अधिक परिष्कृत होती जाती हैं, स्पाइवेयर डेवलपर्स अपनी गतिविधियों को बेहतर ढंग से बाधित करने, वैश्विक निगरानी बाजार में बिना किसी बाधा के काम करने में सक्षम होते हैं, और इस प्रकार सार्वजनिक जवाबदेही से बचते हुए मानवाधिकारों के निरंतर दुरुपयोग की सुविधा प्रदान करते हैं।”
यही वह है जो ज़ीरो-क्लिक कारनामों का बचाव करने के लिए सबसे बड़ी चुनौती खड़ी करता है। Google प्रोजेक्ट ज़ीरो के साइबर सुरक्षा विशेषज्ञ इयान बीयर ने पाया iPhones का यह मैराथन शून्य-क्लिक शोषण 2020 में वापस, और विशेष रूप से रेखांकित किया, “इस परियोजना से टेकअवे नहीं होना चाहिए: कोई भी अपने जीवन के छह महीने सिर्फ मेरे फोन को हैक करने के लिए खर्च नहीं करेगा, मैं ठीक हूं। इसके बजाय, यह होना चाहिए: एक व्यक्ति, जो अपने बेडरूम में अकेले काम कर रहा था, एक ऐसी क्षमता का निर्माण करने में सक्षम था जो उन्हें उन iPhone उपयोगकर्ताओं से गंभीरता से समझौता करने की अनुमति देगा जिनके साथ वे निकट संपर्क में आएंगे।”
बीयर का सुझाव है कि शून्य-क्लिक हैक के खिलाफ सुरक्षा बनाने का एक तरीका सबसे बड़ी उपभोक्ता कंपनियों के लिए इस मोर्चे पर अपने संसाधनों को एक साथ जोड़ना होगा। जैसा कि उन्होंने नोट किया, “सुरक्षा समुदाय के साथ जानकारी साझा करने से उन ट्रेडऑफ़ को समझने में काफी मदद मिलती है। वास्तविक प्रभाव को मापने के लिए कमजोरियों के पूरे स्थान पर इसके प्रभाव के अनुमान की आवश्यकता होती है, और यह इस अनुमान में है जहां रक्षात्मक और आक्रामक समुदाय भिन्न होते हैं। जैसा कि वर्तमान में चीजें खड़ी हैं, इनमें से किसी भी शमन के लिए एक प्रेरित हमलावर के लिए बहुत अधिक चुनौती देने के लिए शायद बहुत अच्छी कमजोरियां हैं। और, निश्चित रूप से, केवल भविष्य के हार्डवेयर में मौजूद शमन पहले से भेजे गए और वर्तमान में उपयोग में आने वाले अरबों उपकरणों को लाभान्वित नहीं करता है।”
जैसे ही चीजें खड़ी होती हैं, मार्कज़क का मानना है कि सबसे बड़ी समस्या यह है कि कार्रवाई करने से पहले, शून्य-क्लिक हैक की पहचान करना कितना मुश्किल है। जैसा कि वे कहते हैं, “हो सकता है कि लक्ष्य अपने फोन पर कुछ भी संदिग्ध न देखें। भले ही वे ‘अजीब’ कॉल व्यवहार जैसा कुछ देखते हों, घटना क्षणिक हो सकती है और डिवाइस पर कोई निशान नहीं छोड़ती है। एक उद्योग द्वारा शून्य-क्लिक हमलों की ओर बदलाव और पहले से ही गोपनीयता में डूबे हुए ग्राहकों के दुरुपयोग की संभावना बढ़ जाती है।”
सभी पढ़ें ताजा खबर, आज की ताजा खबर तथा कोरोनावाइरस खबरें यहां
.