शून्य-दिन के हमले तब होते हैं जब बुरे लोग अच्छे लोगों से आगे निकलते हैं, हमें कमजोरियों के साथ हमला करते हैं, जिन्हें हम कभी भी नहीं जानते थे। वे तब होते हैं जब हमारे पास अपनी सुरक्षा तैयार करने का समय नहीं होता है।
सॉफ्टवेयर कमजोर है
सॉफ्टवेयर सही नहीं है। जिस ब्राउजर में आप इसे पढ़ रहे हैं - चाहे वह क्रोम, फ़ायरफ़ॉक्स, इंटरनेट एक्सप्लोरर, या कुछ और है - इसमें बग होने की गारंटी है। सॉफ्टवेयर का ऐसा एक जटिल टुकड़ा मनुष्यों द्वारा लिखा गया है और इसमें ऐसी समस्याएं हैं जिन्हें हम अभी तक नहीं जानते हैं। इनमें से कई बग बहुत खतरनाक नहीं हैं - हो सकता है कि वे किसी वेबसाइट को खराब होने या आपके ब्राउज़र को क्रैश करने का कारण बनें। हालांकि, कुछ कीड़े सुरक्षा छेद हैं। एक हमलावर जो बग के बारे में जानता है वह एक शोषण तैयार कर सकता है जो आपके सिस्टम तक पहुंच प्राप्त करने के लिए सॉफ़्टवेयर में बग का उपयोग करता है।
बेशक, कुछ सॉफ्टवेयर दूसरों की तुलना में अधिक कमजोर है। उदाहरण के लिए, जावा की भेद्यता की कभी-कभी समाप्त होने वाली स्ट्रीम नहीं है जो जावा प्लग-इन का उपयोग जावा सैंडबॉक्स से बचने के लिए वेबसाइटों की अनुमति देती है और आपकी मशीन तक पूर्ण पहुंच प्राप्त करती है। Google Chrome की सैंडबॉक्सिंग तकनीक से समझौता करने का प्रबंधन करने वाले एक्सप्लॉइट्स अधिक दुर्लभ हैं, हालांकि क्रोम में शून्य-दिन भी हैं।
जिम्मेदार प्रकटीकरण
कभी-कभी, अच्छे लोगों द्वारा भेद्यता की खोज की जाती है। या तो डेवलपर खुद को भेद्यता की खोज करता है या "व्हाइट-टोपी" हैकर्स भेद्यता की खोज करता है और इसे जिम्मेदार रूप से प्रकट करता है, शायद Pwn2Own या Google के क्रोम बग बाउंटी प्रोग्राम जैसे कुछ के माध्यम से, जो कमजोरियों की खोज के लिए हैकर्स को पुरस्कृत करता है और उन्हें जिम्मेदारी से प्रकट करता है। डेवलपर बग को ठीक करता है और इसके लिए एक पैच जारी करता है।
दुर्भावनापूर्ण लोग बाद में प्रकट होने और पैच किए जाने के बाद भेद्यता का फायदा उठाने का प्रयास कर सकते हैं, लेकिन लोगों के पास तैयारी करने का समय है।
कुछ लोग समय-समय पर अपने सॉफ़्टवेयर को पैच नहीं करते हैं, इसलिए ये हमले अभी भी खतरनाक हो सकते हैं। हालांकि, अगर कोई हमला ज्ञात भेद्यता का उपयोग करके सॉफ़्टवेयर के एक टुकड़े को लक्षित करता है कि पहले से ही एक पैच उपलब्ध है, तो यह "शून्य-दिन" हमला नहीं है।
शून्य दिवस हमले
कभी-कभी, बुरे लोगों द्वारा भेद्यता की खोज की जाती है। जो लोग भेद्यता की खोज करते हैं उन्हें अन्य लोगों और संगठनों को शोषण की तलाश में बेच सकते हैं (यह एक बड़ा व्यवसाय है - यह सिर्फ आपके साथ गड़बड़ करने की कोशिश करने वाले बेसमेंट्स में किशोर नहीं है, यह कार्रवाई में संगठित अपराध है) या इसे स्वयं इस्तेमाल करें। भेद्यता पहले से ही डेवलपर को ज्ञात हो सकती है, लेकिन डेवलपर समय पर इसे ठीक करने में सक्षम नहीं हो सकता है।
इस मामले में, न तो डेवलपर और न ही सॉफ्टवेयर का उपयोग करने वाले लोगों को अग्रिम चेतावनी है कि उनका सॉफ्टवेयर कमजोर है। लोग केवल यह सीखते हैं कि सॉफ़्टवेयर कमजोर है जब पहले से ही हमला किया जा रहा है, अक्सर हमले की जांच करके और यह सीखने के लिए कि कौन सा बग इसका शोषण करता है।
यह शून्य-दिन का हमला है - इसका मतलब है कि डेवलपर्स के पास जंगली में पहले से ही शोषण होने से पहले समस्या से निपटने के लिए शून्य दिन हैं। हालांकि, बुरे लोगों को इस बारे में पता चला है कि वे शोषण तैयार करने और हमला शुरू करने के लिए काफी समय तक जानते हैं। सॉफ्टवेयर तब तक हमला करने के लिए कमजोर रहता है जब तक कि पैच जारी नहीं किया जाता है और उपयोगकर्ताओं द्वारा लागू किया जाता है, जिसमें कई दिन लग सकते हैं।
खुद को कैसे सुरक्षित रखें
शून्य दिन डरावने हैं क्योंकि हमारे पास उनके बारे में कोई अग्रिम सूचना नहीं है। हम अपने सॉफ़्टवेयर को पैच करके शून्य-दिन के हमलों को रोक नहीं सकते हैं। परिभाषा के अनुसार, शून्य-दिन के हमले के लिए कोई पैच उपलब्ध नहीं है।
तो हम शून्य-दिन के शोषण से खुद को बचाने के लिए क्या कर सकते हैं?
- कमजोर सॉफ्टवेयर से बचें: हम निश्चित रूप से नहीं जानते कि भविष्य में जावा में एक और शून्य दिन की भेद्यता होगी, लेकिन जावा के शून्य-दिन के हमलों का लंबा इतिहास का अर्थ है कि संभवतः वहां होगा। (वास्तव में, जावा वर्तमान में कई शून्य-दिन के हमलों के लिए कमजोर है, जिन्हें अभी तक पैच नहीं किया गया है।) जावा अनइंस्टॉल करें (या यदि आपको जावा स्थापित करने की आवश्यकता है तो प्लग-इन अक्षम करें) और आप शून्य-दिन के हमलों से कम जोखिम वाले हैं । एडोब के पीडीएफ रीडर और फ्लैश प्लेयर में भी ऐतिहासिक रूप से शून्य-दिन के हमलों की संख्या बहुत अधिक है, हालांकि हाल ही में उन्होंने सुधार किया है।
- अपने हमले की सतह को कम करें: कम सॉफ़्टवेयर जो शून्य-दिन के हमलों के लिए कमजोर है, बेहतर है। यही कारण है कि ब्राउज़र प्लग-इन को अनइंस्टॉल करना अच्छा होता है जिसका आप उपयोग नहीं करते हैं और इंटरनेट पर सीधे अनावश्यक सर्वर सॉफ़्टवेयर का खुलासा करने से बचें। भले ही सर्वर सॉफ़्टवेयर पूरी तरह से पैच किया गया हो, फिर भी शून्य-दिन का हमला अंततः हो सकता है।
- एंटीवायरस चलाएं: एंटीवायरस शून्य-दिन के हमलों के खिलाफ मदद कर सकते हैं। एक ऐसा हमला जो आपके कंप्यूटर पर मैलवेयर इंस्टॉल करने का प्रयास करता है, एंटीवायरस द्वारा मैलवेयर स्थापना को विफल कर सकता है। एक एंटीवायरस की हेरिस्टिक (जो संदिग्ध दिखने वाली गतिविधि का पता लगाती है) भी शून्य-दिन के हमले को अवरुद्ध कर सकती है। एंटीवायरस को कमजोर सॉफ़्टवेयर के लिए उपलब्ध पैच की तुलना में शून्य-दिन के हमले के खिलाफ सुरक्षा के लिए अद्यतन किया जा सकता है। यही कारण है कि विंडोज पर एंटीवायरस का उपयोग करना स्मार्ट है, इससे कोई फर्क नहीं पड़ता कि आप कितने सावधान हैं।
- अपने सॉफ्टवेयर को अद्यतन रखें: नियमित रूप से आपके सॉफ़्टवेयर को अपडेट करने से आपको शून्य-दिनों के विरुद्ध सुरक्षा नहीं होगी, लेकिन यह सुनिश्चित करेगा कि आपके द्वारा रिलीज़ होने के तुरंत बाद आपके पास ठीक हो जाए। यही कारण है कि अपने हमले की सतह को कम करना और संभावित रूप से कमजोर सॉफ़्टवेयर से छुटकारा पाने के लिए महत्वपूर्ण है जिसका उपयोग आप नहीं करते हैं - यह कम सॉफ्टवेयर है जिसे आपको अपडेट करने के लिए आवश्यक है।
हमने समझाया है कि शून्य दिन का शोषण क्या है, लेकिन एक स्थायी और अप्रत्याशित सुरक्षा भेद्यता क्या है? देखें कि क्या आप हमारे गीक ट्रिविया सेक्शन पर जवाब का पता लगा सकते हैं!
