हमने देखा है कि कम्प्यूटर पार्लान्स में सुरक्षा भेद्यता का क्या मतलब है। आज हम देखेंगे कि क्या है शोषण, अनुचित लाभ उठाना और क्या है एक्सप्लोर किट । जब भेद्यता का पता चला है, तो एक शोषण निम्नानुसार होता है, जब तक भेद्यता को संबोधित करने के लिए पैच जारी नहीं किया जाता है। भेद्यता और शोषण में यह बुनियादी अंतर है। अब हम उन्हें थोड़ी अधिक विस्तार से देखते हैं - शोषण और शोषण किट क्या हैं।
समय में एक पैच शोषण को रोकने में मदद करता है। इस लेख को लिखने के समय, पुडल भेद्यता उन लोगों के लिए सबसे बड़ी भेद्यता थी जो एसएसएल 3.0 को शोषण के लिए प्रवण करती थीं।
Exploits क्या हैं
एक्सप्लॉयट कमजोरियों पर आधारित होते हैं - इससे पहले कि वे पैच किए जाएं। वे हैकर्स और हमलावरों को आपके कंप्यूटर पर दुर्भावनापूर्ण कोड चलाने की अनुमति देते हैं, इसके बिना आप इसके बारे में भी जानते हैं। सामान्य जावा, डॉक्टर और पीडीएफ दस्तावेज़, जावास्क्रिप्ट और एचटीएमएल में हमारी खोज करता है।
कोई शोषण को परिभाषित कर सकता है:
Attacks on a system (where the system can be part of computer, a computer, or a network as a whole; it can be software or hardware – including Intranets and databases thereof) to make use of a certain vulnerability of the system for personal/own benefits/advantages.
इस प्रकार, यह स्पष्ट है कि "शोषण" "कमजोरियों" का पालन करते हैं। यदि कोई वेब आपराधिक इंटरनेट या अन्य जगहों पर किसी भी उत्पाद में भेद्यता का पता लगाता है, तो वह या तो कुछ हासिल करने के लिए भेद्यता वाले सिस्टम पर हमला कर सकती है या अधिकृत उपयोगकर्ताओं को उत्पाद का उपयोग करने से वंचित कर सकती है। एक शून्य-दिन भेद्यता सॉफ़्टवेयर, फ़र्मवेयर या हार्डवेयर में एक छेद है जो अभी तक उपयोगकर्ता, विक्रेता या डेवलपर को ज्ञात नहीं है, और हैकर्स द्वारा इसका उपयोग किया जाता है, इसके लिए पैच जारी किए जाने से पहले। इस तरह के हमलों को शून्य-दिन के शोषण कहा जाता है।
एक्सप्लॉयट किट क्या हैं
एक्सप्लॉयट किट दुर्भावनापूर्ण टूलकिट हैं जिनका उपयोग सॉफ़्टवेयर और सेवाओं में भेद्यता या सुरक्षा छेद का शोषण करने के लिए किया जा सकता है। संक्षेप में, वे कमजोरियों का फायदा उठाने में आपकी सहायता करते हैं। इन शोषण किट में अच्छी कमजोरियों को लक्षित करने के लिए कंप्यूटर और इंटरनेट के औसत उपयोगकर्ताओं की सहायता करने के लिए अच्छा जीयूआई इंटरफेस होता है। इस तरह के किट इंटरनेट पर स्वतंत्र रूप से उपलब्ध हैं और सहायता दस्तावेज़ों के साथ आते हैं, ताकि सेवा के खरीदारों प्रभावी ढंग से किट का उपयोग कर सकें। वे अवैध हैं, लेकिन अभी तक उपलब्ध हैं और सुरक्षा एजेंसियां इसके बारे में ज्यादा कुछ नहीं कर सकती हैं, क्योंकि खरीदारों और विक्रेता अज्ञात हो जाते हैं।
Commercial exploit kits have existed since at least 2006 in various forms, but early versions required a considerable amount of technical expertise to use, which limited their appeal among prospective attackers. This requirement changed in 2010 with the initial release of the Blackhole exploit kit, which was designed to be usable by novice attackers with limited technical skills-in short, anyone who wanted to be a cybercriminal and could afford to pay for the kit, says Microsoft.
एक्सप्लॉयट किट इंटरनेट पर आसानी से उपलब्ध हैं। एक स्टैंडअलोन सॉफ़्टवेयर या सास (एक सेवा के रूप में सॉफ़्टवेयर) के रूप में एक शोषण किट खरीदने के लिए आपको डार्कनेट या दीपनेट में जाने की आवश्यकता नहीं है। हालांकि डार्कनेट में बहुत कुछ उपलब्ध है, लेकिन बिटकॉइन जैसे इलेक्ट्रॉनिक मुद्रा में भुगतान किया जाना है। सामान्य इंटरनेट पर कई दुर्भावनापूर्ण हैकर फ़ोरम हैं जो पूरी तरह से या सेवा के रूप में शोषण किट बेचते हैं।
माइक्रोसॉफ्ट के मुताबिक,
“In addition to one-on-one transactions in which buyers purchase exclusive access to exploits, exploits are also monetized through exploit kits-collections of exploits bundled together and sold as commercial software or as a service.”
शोषण किट लगातार अपग्रेड की जाती हैं - कमजोरियों को खत्म करने और नई भेद्यता के लिए नए शोषण जोड़ने के लिए। यह एक दयालु बात है कि वेब अपराधियों को कमजोरियों को पता चलता है, सॉफ्टवेयर विक्रेताओं और डेवलपर्स इसे करने से पहले। यह एक उच्च आय व्यवसाय बनाता है जो कि किटों को खरीदने और अपने उत्पादों के लिए अलग-अलग उत्पादों का शोषण करने में कई लोगों को आकर्षित करता है। लक्षित मुख्य सॉफ्टवेयर विंडोज, जावा, इंटरनेट एक्सप्लोरर, एडोब फ्लैश, आदि हैं - संभवतः उनकी अत्यधिक लोकप्रियता और उपयोग के कारण। आप नीचे दिए गए ग्राफ को यह जानने के लिए देख सकते हैं कि कौन से उत्पादों का शोषण किट लक्षित किया जाता है।