पढ़ने का समय: 3 मिनट
क्या हुआ है इसकी पहचान करने के बाद, हमें अपने खतरे के मॉडल का पुनर्मूल्यांकन करना होगा।
इंटरनेट सुरक्षा अन्य क्षेत्रों की तुलना में बहुत कठिन है क्योंकि इंटरनेट लगातार बदल रहा है और सुरक्षा नियंत्रणों की उपयोगकर्ता सहिष्णुता बहुत कम है। सेना के विपरीत, हम लोगों को सुरक्षा प्रक्रियाओं का पालन करने का आदेश नहीं दे सकते। नागरिक सुरक्षा नियंत्रण के डिजाइन में स्वीकार्यता एक सर्वोच्च प्राथमिकता होनी चाहिए या इसका उपयोग नहीं किया जाएगा।
RSI एसएसएल ब्राउज़र में प्रयुक्त सुरक्षा तंत्र मूल रूप से ऑनलाइन व्यापारियों से सामान खरीदने के लिए क्रेडिट कार्ड के उपयोग को सक्षम करने के लिए डिज़ाइन किया गया था। जबकि अन्य अनुप्रयोगों और उपयोग के मामलों पर चर्चा की गई थी, इनको आवश्यकताओं को चलाने की अनुमति नहीं थी। पंद्रह साल बाद, इंटरनेट अब उत्तरी अफ्रीका और खाड़ी में लोकप्रिय विद्रोहों की लहर के पीछे ड्राइविंग बल के रूप में देखा जाता है। उपयोग के मामले बदल गए हैं और इसलिए हमें अपने खतरे के मॉडल को संशोधित करना चाहिए।
अकादमिक शोध में प्रवृत्ति पर संदेह किया जाता है और कम से कम आश्चर्यजनक कारण का सुझाव दिया जाता है। यहां जो मायने रखता है वह वास्तविक अपराधी या हमले के वास्तविक मकसद का निर्धारण नहीं कर रहा है बल्कि प्रशंसनीय अपराधियों और प्रशंसनीय उद्देश्यों के लिए है। हम निश्चितता के साथ नहीं जानते कि अपराधी कौन था, यह बहुत कम संभावना है कि हम कभी भी जान पाएंगे। अगले हमले को रोकने के लिए जो मायने रखता है वह है प्रशंसनीय अपराधियों और प्रशंसनीय उद्देश्यों की सीमा की पहचान करना।
गोलमटोल प्रमाण से पता चलता है कि हमले की शुरुआत ईरान में हुई थी। मूल प्रमाणपत्र अनुरोध ईरानी आईपी पते से प्राप्त किए गए थे और एक प्रमाण पत्र एक सर्वर पर ईरानी आईपी पते के साथ स्थापित किया गया था। जबकि परिस्थितियाँ दृढ़ता से एक ईरानी संबंध का सुझाव देती हैं, हम नहीं जानते कि क्या यह है क्योंकि हमलावर ईरान से था या क्योंकि यह निष्कर्ष है कि हमलावर ने हमें बनाने का इरादा किया था।
परिस्थितियां यह भी बताती हैं कि हमले का मकसद वित्तीय नहीं था। हालांकि निश्चित रूप से ऐसे तरीके हैं जिनसे हमले को वित्तीय लाभ हो सकता है, यह देखना मुश्किल है कि अपराधी ने अपने प्रयास के लिए हमले को आसान, सुरक्षित या अधिक लाभदायक रिटर्न प्रदान करने की उम्मीद कैसे की हो सकती है। बैंक धोखाधड़ी का कठिन हिस्सा खाते से पैसा निकाल रहा है। चोरी हुए क्रेडिट कार्ड नंबर और बैंक खाते का विवरण बाजार पर एक चमक है।
फर्जी तरीके से जारी किए गए प्रमाणपत्रों का उपयोग करने के लिए, अपराधी को वैध उपयोगकर्ताओं के बजाय अपने नकली साइटों पर इंटरनेट उपयोगकर्ताओं को निर्देशित करने की क्षमता होगी। इसके बदले में DNS बुनियादी ढांचे पर नियंत्रण की आवश्यकता होती है जिसके लिए बड़े स्तर पर या विस्तारित अवधि के लिए सरकारी स्तर के संसाधनों की आवश्यकता होती है।
अन्य लक्ष्यों के खिलाफ हाल के हमलों के साथ मिलकर, दोनों ने रिपोर्ट की और बिना लाइसेंस के यह संभावना प्रकट की कि यह घटना इंटरनेट प्रमाणीकरण बुनियादी ढांचे पर हमलों के पैटर्न का हिस्सा है और यह कम से कम अत्यधिक संभावना है कि अपराधी (एस) अत्यधिक परिष्कृत और सरकार हैं का निर्देशन किया।
स्वतंत्र 'हकीमवादियों' के काम के रूप में देखी गई घटनाओं में से एक या किसी अन्य की व्याख्या करना काफी संभव है। लेकिन एक पूरे पैटर्न के रूप में लिया गया अन्यथा पता चलता है। यदि हम इस खतरे का सफलतापूर्वक पता लगाने जा रहे हैं, तो हमें यह मान लेना चाहिए कि हमारे विरोधी राष्ट्रीय स्तर पर वित्तपोषित सूचना सगाई की टीम हैं और वे जो संसाधन जुटाते हैं वे महत्वपूर्ण होंगे।
हालांकि इस तरह के खतरे को सफलतापूर्वक हराने के लिए, हमें गहराई से दृष्टिकोण में एक बचाव को अपनाने की आवश्यकता है। हमें इंटरनेट ट्रस्ट के बुनियादी ढांचे को सुदृढ़ करना चाहिए लेकिन हमें उन साधनों को भी सुदृढ़ करना चाहिए जिनके द्वारा अनुप्रयोग इसके साथ सहभागिता करते हैं। यहां उजागर अंतर्निहित कमजोरी यह तथ्य है कि एक फर्जी सर्वर क्रेडेंशियल प्राप्त करना एक हमलावर को अंतिम उपयोगकर्ता एक्सेस क्रेडेंशियल प्राप्त करने की अनुमति देता है। हमें एक धोखेबाज सर्वर क्रेडेंशियल प्राप्त करने के लिए एक हमलावर के लिए इसे और अधिक कठिन बनाने की आवश्यकता है, लेकिन हमें उन अनुप्रयोगों और सेवाओं में अंतर्निहित कमजोरियों को भी संबोधित करना होगा जो उनका उपयोग करते हैं।
इस विशेष हमले की खोज से पहले ही इंटरनेट ट्रस्ट के बुनियादी ढांचे को सुदृढ़ करने के प्रयास चल रहे थे और इन्हें अगले पोस्ट में समझाया जाएगा। निम्नलिखित पोस्ट में कि मैं अंतर्निहित कारण को दूर करने के उपायों को देखूंगा।
निशुल्क आजमाइश शुरु करें मुफ़्त के लिए अपनी सुरक्षा स्कोर प्राप्त करें
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://blog.comodo.com/other/the-changing-threat-model/
- :है
- :नहीं
- a
- क्षमता
- शैक्षिक
- शैक्षिक अनुसंधान
- पहुँच
- लेखा
- पाना
- के पार
- वास्तविक
- पता
- अपनाना
- अफ्रीका
- के खिलाफ
- की अनुमति दी
- की अनुमति देता है
- पहले ही
- भी
- an
- और
- अन्य
- प्रकट होता है
- अनुप्रयोगों
- दृष्टिकोण
- हैं
- क्षेत्रों के बारे में जानकारी का उपयोग करके ट्रेडिंग कर सकते हैं।
- AS
- मान लीजिये
- At
- आक्रमण
- आक्रमण
- प्रमाणीकरण
- बैंक
- बैंक खाता
- BE
- भालू
- क्योंकि
- से पहले
- पीछे
- जा रहा है
- ब्लॉग
- के छात्रों
- ब्राउज़रों
- लेकिन
- खरीदने के लिए
- by
- नही सकता
- कार्ड
- पत्ते
- मामलों
- कारण
- निश्चित रूप से
- निश्चय
- प्रमाण पत्र
- प्रमाण पत्र
- बदल
- बदलना
- हालत
- क्लिक करें
- निष्कर्ष
- संबंध
- निरंतर
- नियंत्रण
- नियंत्रण
- सका
- क्रेडेंशियल
- साख
- श्रेय
- क्रेडिट कार्ड
- क्रेडिट कार्ड
- रक्षा
- गहराई
- डिज़ाइन
- बनाया गया
- विवरण
- निर्धारित करने
- मुश्किल
- प्रत्यक्ष
- निर्देशित
- की खोज
- चर्चा की
- DNS
- do
- ड्राइव
- ड्राइविंग
- आसान
- प्रयास
- सक्षम
- समाप्त
- सगाई
- कार्यक्रम
- कभी
- सबूत
- अपेक्षित
- समझाना
- समझाया
- उजागर
- तथ्य
- उल्लू बनाना
- पंद्रह
- वित्तीय
- का पालन करें
- निम्नलिखित
- के लिए
- सेना
- रूपों
- धोखा
- कपटपूर्ण
- मुक्त
- से
- वित्त पोषित
- लाभ
- पाने
- मिल
- जा
- माल
- सरकार
- हुआ
- कठिन
- और जोर से
- है
- यहाँ उत्पन्न करें
- अत्यधिक
- कैसे
- तथापि
- HTTPS
- i
- पहचान
- पहचान करना
- if
- in
- घटना
- स्वतंत्र
- करें-
- सूचना सगाई
- इंफ्रास्ट्रक्चर
- installed
- तुरंत
- इरादा
- बातचीत
- इंटरनेट
- IP
- आईपी एड्रेस
- ईरान
- ईरानी
- जारी किए गए
- IT
- जेपीजी
- जानना
- बड़ा
- बाद में
- कम से कम
- वैध
- स्तर
- संभावित
- देखिए
- निम्न
- बनाना
- बाजार
- मैटर्स
- साधन
- उपायों
- तंत्र
- व्यापारी
- सैन्य
- मोड
- आदर्श
- धन
- अधिक
- उद्देश्य
- बहुत
- चाहिए
- राष्ट्रीय स्तर पर
- आवश्यकता
- अगला
- उत्तर
- अभी
- nt
- संख्या
- प्राप्त
- of
- on
- ONE
- लोगों
- ऑनलाइन
- or
- आदेश
- मूल
- मौलिक रूप से
- उत्पन्न हुई
- अन्य
- अन्यथा
- हमारी
- के ऊपर
- भाग
- विशेष
- पैटर्न
- स्टाफ़
- अवधि
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- प्रशंसनीय
- लोकप्रिय
- संभव
- पद
- को रोकने के
- प्राथमिकता
- प्रक्रिया
- लाभदायक
- प्रदान करना
- बिल्कुल
- रेंज
- बल्कि
- प्राप्त
- हाल
- सुदृढ़
- की सूचना दी
- अनुरोधों
- आवश्यकताएँ
- की आवश्यकता होती है
- अनुसंधान
- उपयुक्त संसाधन चुनें
- वापसी
- संशोधन
- s
- सुरक्षित
- स्केल
- स्कोरकार्ड
- सुरक्षा
- देखना
- देखा
- भेजें
- सर्वर
- सेवाएँ
- महत्वपूर्ण
- साइटें
- उलझन में
- So
- परिष्कृत
- एसएसएल
- कदम
- चुराया
- दृढ़ता से
- सफलतापूर्वक
- ऐसा
- सुझाव
- पता चलता है
- आश्चर्य की बात
- लेना
- लिया
- लक्ष्य
- टीमों
- से
- कि
- RSI
- लेकिन हाल ही
- उन
- वहाँ।
- इन
- वे
- इसका
- धमकी
- पहर
- सेवा मेरे
- एक साथ
- सहिष्णुता
- ऊपर का
- ट्रस्ट
- मोड़
- आधारभूत
- प्रक्रिया में
- भिन्न
- संभावना नहीं
- us
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- उपयोगकर्ताओं
- बहुत
- था
- लहर
- तरीके
- we
- दुर्बलता
- थे
- क्या
- कौन कौन से
- जब
- कौन
- पूरा का पूरा
- मर्जी
- साथ में
- काम
- होगा
- साल
- आपका
- जेफिरनेट