पूर्ण प्रकटीकरण (कंप्यूटर सुरक्षा)
कंप्यूटर सुरक्षा के क्षेत्र में, स्वतंत्र शोधकर्ता अक्सर सॉफ़्टवेयर में ऐसी खामियों का पता लगाते हैं जिनका दुरुपयोग करके अनपेक्षित व्यवहार किया जा सकता है; इन दोषों को भेद्यता (कंप्यूटिंग) कहा जाता है। जिस प्रक्रिया से इन कमजोरियों का विश्लेषण तीसरे पक्ष के साथ साझा किया जाता है, वह बहुत बहस का विषय है, और इसे शोधकर्ता की प्रकटीकरण नीति कहा जाता है। 'पूर्ण प्रकटीकरण' सॉफ्टवेयर भेद्यता के विश्लेषण को जितनी जल्दी हो सके प्रकाशित करने का अभ्यास है, जिससे डेटा बिना किसी प्रतिबंध के सभी के लिए सुलभ हो जाता है। भेद्यताओं के बारे में व्यापक रूप से जानकारी प्रसारित करने का प्राथमिक उद्देश्य यह है कि संभावित पीड़ित उतने ही जानकार हों जितना कि उन पर हमला करने वाले।[1] इस विषय पर अपने 2007 के निबंध में, ब्रूस श्नेयर ने पूर्ण प्रकटीकरण - सुरक्षा कमजोरियों के विवरण को सार्वजनिक करने का अभ्यास - एक शापित अच्छा विचार बताया। सुरक्षा में सुधार के लिए सार्वजनिक जांच ही एकमात्र विश्वसनीय तरीका है, जबकि गोपनीयता ही हमें कम सुरक्षित बनाती है।[2] लियोनार्ड गुलाब (हैकर) हैकर), एक इलेक्ट्रॉनिक मेलिंग सूची के सह-निर्माता, जिसने सलाहों के प्रसार के लिए वास्तविक मंच बनने के लिए बुगराया को हटा दिया है, बताते हैं कि हम अस्पष्टता से सुरक्षा में विश्वास नहीं करते हैं, और जहां तक हम जानते हैं, पूर्ण प्रकटीकरण है यह सुनिश्चित करने का एकमात्र तरीका है कि हर किसी की, न कि केवल अंदरूनी लोगों की, उस जानकारी तक पहुंच हो जिसकी हमें आवश्यकता है।[3]
भेद्यता प्रकटीकरण बहस
संवेदनशील जानकारी के सार्वजनिक खुलासे को लेकर विवाद कोई नया नहीं है। पूर्ण प्रकटीकरण का मुद्दा सबसे पहले 19वीं शताब्दी के एक विवाद में ताला बनाने के संदर्भ में उठाया गया था कि क्या ताला प्रणाली में कमजोरियों को ताला बनाने वाले समुदाय में गुप्त रखा जाना चाहिए, या जनता के सामने प्रकट किया जाना चाहिए।[4] आज, तीन प्रमुख प्रकटीकरण नीतियाँ हैं जिनके अंतर्गत अधिकांश अन्य को वर्गीकृत किया जा सकता है:[5] गैर-प्रकटीकरण समझौता, उत्तरदायित्वपूर्ण प्रकटीकरण और पूर्ण प्रकटीकरण।
भेद्यता अनुसंधान में प्रमुख हितधारकों की अपनी प्रकटीकरण नीतियों को विभिन्न प्रेरणाओं द्वारा आकार दिया गया है, अभियान, विपणन या अपनी पसंदीदा नीति को अपनाने और असहमति रखने वालों को दंडित करने के लिए पैरवी करना असामान्य नहीं है। कई प्रमुख सुरक्षा शोधकर्ता पूर्ण प्रकटीकरण के पक्ष में हैं, जबकि अधिकांश विक्रेता समन्वित प्रकटीकरण को प्राथमिकता देते हैं। गैर-प्रकटीकरण आम तौर पर व्यावसायिक शोषण करने वाले विक्रेताओं और हैकर (कंप्यूटर सुरक्षा) #ब्लैक हैट द्वारा पसंद किया जाता है।[6]
समन्वित भेद्यता प्रकटीकरण
समन्वित भेद्यता प्रकटीकरण एक नीति है जिसके तहत शोधकर्ता एक समन्वयक प्राधिकरण को कमजोरियों की रिपोर्ट करने के लिए सहमत होते हैं, जो फिर विक्रेता को रिपोर्ट करता है, सुधारों और शमन को ट्रैक करता है, और जनता सहित हितधारकों के साथ सूचना के प्रकटीकरण का समन्वय करता है।[7][8] कुछ मामलों में समन्वयक प्राधिकारी विक्रेता होता है। समन्वित प्रकटीकरण का आधार आमतौर पर यह है कि किसी को भी भेद्यता के बारे में तब तक सूचित नहीं किया जाना चाहिए जब तक कि सॉफ़्टवेयर विक्रेता यह न कहे कि यह समय है।[9][10] जबकि इस नीति के अक्सर अपवाद या विविधताएं होती हैं, वितरण शुरू में सीमित होना चाहिए और विक्रेताओं को गैर-सार्वजनिक अनुसंधान के लिए विशेषाधिकार प्राप्त पहुंच प्रदान की जाती है।
इस दृष्टिकोण का मूल नाम "जिम्मेदार प्रकटीकरण" था, जो Microsoft सुरक्षा प्रबंधक स्कॉट कल्प के निबंध "इट्स टाइम टू एंड इंफॉर्मेशन एनार्की" पर आधारित था।[11] (पूर्ण प्रकटीकरण का जिक्र करते हुए)। Microsoft ने बाद में "समन्वित भेद्यता प्रकटीकरण" (CVD) के पक्ष में इस शब्द को चरणबद्ध रूप से समाप्त करने का आह्वान किया।[12][13]
हालांकि तर्क भिन्न होता है, कई चिकित्सकों का तर्क है कि अंत-उपयोगकर्ता विक्रेता से मार्गदर्शन या पैच के बिना भेद्यता जानकारी तक पहुंच से लाभान्वित नहीं हो सकते हैं, इसलिए दुर्भावनापूर्ण अभिनेताओं के साथ अनुसंधान साझा करने का जोखिम बहुत कम लाभ के लिए बहुत बड़ा है। जैसा कि Microsoft समझाता है, [समन्वित प्रकटीकरण] यह सुनिश्चित करके सभी के सर्वोत्तम हितों की सेवा करता है कि ग्राहकों को सुरक्षा कमजोरियों के लिए व्यापक, उच्च-गुणवत्ता वाले अपडेट प्राप्त हों, लेकिन अपडेट विकसित होने के दौरान दुर्भावनापूर्ण हमलों के संपर्क में न आएं।[13]
पूर्ण प्रकटीकरण
पूर्ण प्रकटीकरण भेद्यता पर बिना किसी प्रतिबंध के सूचना को जल्द से जल्द प्रकाशित करने की नीति है, जिससे जानकारी को बिना किसी प्रतिबंध के आम जनता के लिए सुलभ बनाया जा सके। सामान्य तौर पर, पूर्ण प्रकटीकरण के समर्थकों का मानना है कि स्वतंत्र रूप से उपलब्ध भेद्यता अनुसंधान के लाभ जोखिमों से अधिक हैं, जबकि विरोधी वितरण को सीमित करना पसंद करते हैं।
भेद्यता जानकारी की मुफ्त उपलब्धता उपयोगकर्ताओं और प्रशासकों को अपने सिस्टम में कमजोरियों को समझने और प्रतिक्रिया करने की अनुमति देती है, और ग्राहकों को विक्रेताओं को उन कमजोरियों को ठीक करने के लिए दबाव डालने की अनुमति देती है जो अन्यथा हल करने के लिए कोई प्रोत्साहन महसूस नहीं कर सकते हैं। समन्वित प्रकटीकरण के साथ कुछ मूलभूत समस्याएं हैं जिनका पूर्ण प्रकटीकरण समाधान कर सकता है।
- यदि ग्राहक कमजोरियों के बारे में नहीं जानते हैं, तो वे पैच का अनुरोध नहीं कर सकते हैं, और विक्रेताओं को कमजोरियों को दूर करने के लिए कोई आर्थिक प्रोत्साहन नहीं मिलता है।
- प्रशासक अपने सिस्टम के जोखिमों के बारे में सूचित निर्णय नहीं ले सकते, क्योंकि कमजोरियों पर जानकारी प्रतिबंधित है।
- दुर्भावनापूर्ण शोधकर्ता जो दोष के बारे में भी जानते हैं, उनके पास दोष का दोहन जारी रखने के लिए एक लंबी अवधि है।
एक विशिष्ट दोष या भेद्यता की खोज एक पारस्परिक रूप से अनन्य घटना नहीं है, अलग-अलग प्रेरणा वाले कई शोधकर्ता एक ही दोष को स्वतंत्र रूप से खोज सकते हैं और करते हैं।
जनता के लिए भेद्यता की जानकारी उपलब्ध कराने का कोई मानक तरीका नहीं है, शोधकर्ता अक्सर विषय, अकादमिक कागजात या उद्योग सम्मेलनों को समर्पित मेलिंग सूचियों का उपयोग करते हैं।
गैर प्रकटीकरण
गैर-प्रकटीकरण नीति है कि भेद्यता जानकारी साझा नहीं की जानी चाहिए, या केवल गैर-प्रकटीकरण समझौते (या तो अनुबंध या अनौपचारिक रूप से) के तहत साझा की जानी चाहिए।
गैर-प्रकटीकरण के सामान्य समर्थकों में व्यावसायिक शोषण करने वाले विक्रेता, शोधकर्ता शामिल हैं जो अपनी खामियों का फायदा उठाने का इरादा रखते हैं,[5]और अस्पष्टता के माध्यम से सुरक्षा के समर्थक।
बहस
समन्वित प्रकटीकरण के विरुद्ध तर्क
समन्वित प्रकटीकरण के पक्ष में शोधकर्ताओं का मानना है कि उपयोगकर्ता विक्रेता के मार्गदर्शन के बिना भेद्यता के उन्नत ज्ञान का उपयोग नहीं कर सकते हैं, और भेद्यता जानकारी के वितरण को सीमित करके बहुमत को सबसे अच्छी सेवा दी जाती है। अधिवक्ताओं का तर्क है कि कम कुशल हमलावर इस जानकारी का उपयोग परिष्कृत हमलों को करने के लिए कर सकते हैं जो अन्यथा उनकी क्षमता से परे होगा, और संभावित लाभ पुरुषवादी अभिनेताओं द्वारा होने वाले संभावित नुकसान से अधिक नहीं है। केवल जब विक्रेता ने मार्गदर्शन तैयार किया है कि सबसे अपरिष्कृत उपयोगकर्ता भी पचा सकते हैं, तो जानकारी को सार्वजनिक किया जाना चाहिए।
यह तर्क मानता है कि भेद्यता की खोज एक पारस्परिक रूप से अनन्य घटना है, केवल एक व्यक्ति भेद्यता की खोज कर सकता है। कमजोरियों के एक साथ खोजे जाने के कई उदाहरण हैं, अक्सर अन्य शोधकर्ताओं द्वारा खोजे जाने से पहले गोपनीयता में उनका शोषण किया जाता है।[14] जबकि ऐसे उपयोगकर्ता मौजूद हो सकते हैं जो भेद्यता की जानकारी से लाभ नहीं उठा सकते हैं, पूर्ण प्रकटीकरण अधिवक्ताओं का मानना है कि यह अंतिम उपयोगकर्ताओं की बुद्धिमत्ता के लिए एक अवमानना प्रदर्शित करता है। हालांकि यह सच है कि कुछ उपयोगकर्ता भेद्यता की जानकारी से लाभान्वित नहीं हो सकते हैं, यदि वे अपने नेटवर्क की सुरक्षा से चिंतित हैं तो वे उनकी सहायता के लिए एक विशेषज्ञ को नियुक्त करने की स्थिति में हैं जैसे आप एक कार के साथ मदद करने के लिए एक मैकेनिक को नियुक्त करते हैं।
गैर प्रकटीकरण के खिलाफ तर्क
गैर-प्रकटीकरण का उपयोग आमतौर पर तब किया जाता है जब एक शोधकर्ता अपने दुश्मनों द्वारा संचालित कंप्यूटर सिस्टम पर हमला करने के लिए भेद्यता के ज्ञान का उपयोग करना चाहता है, या लाभ के लिए किसी तीसरे पक्ष के लिए भेद्यता के ज्ञान का व्यापार करना चाहता है, जो आमतौर पर अपने दुश्मनों पर हमला करने के लिए इसका उपयोग करेगा।
गैर-प्रकटीकरण का अभ्यास करने वाले शोधकर्ता आमतौर पर सुरक्षा में सुधार या नेटवर्क की सुरक्षा से संबंधित नहीं होते हैं। हालाँकि, कुछ समर्थक[who?] तर्क देते हैं कि वे केवल विक्रेताओं की सहायता नहीं करना चाहते हैं, और दूसरों को नुकसान पहुँचाने का कोई इरादा नहीं होने का दावा करते हैं।
जबकि पूर्ण और समन्वित प्रकटीकरण अधिवक्ता समान लक्ष्यों और प्रेरणाओं की घोषणा करते हैं, केवल इस बात पर असहमत होते हैं कि उन्हें कैसे प्राप्त किया जाए, गैर-प्रकटीकरण पूरी तरह से असंगत है।
इस पेज में लापता आंतरिक लिंक की सूची
- जिम्मेदार खुलासा
- गैर प्रकटीकरण समझौता
संदर्भ
- ↑ Heiser, Jay (January 2001). "इन्फोसिक्योरिटी हाइप को एक्सपोज करना". Information Security Mag. TechTarget. Archived from the original on 28 March 2006. Retrieved 29 April 2013.
- ↑ Schneier, Bruce (January 2007). "शापित अच्छा विचार". CSO Online. Retrieved 29 April 2013.
- ↑ Rose, Leonard. "पूरा खुलासा". A lightly-moderated mailing list for the discussion of security issues. Archived from the original on 23 December 2010. Retrieved 29 April 2013.
- ↑ Hobbs, Alfred (1853). ताले और तिजोरियां: तालों का निर्माण. London: Virtue & Co.
- ↑ 5.0 5.1 Shepherd, Stephen. "भेद्यता प्रकटीकरण: हम उत्तरदायी प्रकटीकरण को कैसे परिभाषित करते हैं?". SANS GIAC SEC PRACTICAL VER. 1.4B (OPTION 1). SANS Institute. Retrieved 29 April 2013.
- ↑ Moore, Robert (2005). साइबर अपराध: उच्च प्रौद्योगिकी कंप्यूटर अपराध की जांच. Matthew Bender & Company. p. 258. ISBN 1-59345-303-5.
- ↑ "यूरोप में सॉफ़्टवेयर भेद्यता प्रकटीकरण". CEPS (in English). 2018-06-27. Retrieved 2019-10-18.
- ↑ Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (2018-11-19). "दूत को गोली मत मारो! समन्वित भेद्यता प्रकटीकरण पर एक अपराध विज्ञान और कंप्यूटर विज्ञान परिप्रेक्ष्य". Crime Science (in English). 7 (1): 16. doi:10.1186/s40163-018-0090-8. ISSN 2193-7680.
- ↑ "प्रोजेक्ट ज़ीरो: भेद्यता प्रकटीकरण अक्सर पूछे जाने वाले प्रश्न". Project Zero. Retrieved 2019-10-18.
- ↑ Christey, Steve. "जिम्मेदार भेद्यता प्रकटीकरण प्रक्रिया". IETF. p. 3.3.2. Retrieved 29 April 2013.
- ↑ Culp, Scott. "सूचना अराजकता को समाप्त करने का समय आ गया है". Technet Security. Microsoft TechNet. Archived from the original on November 9, 2001. Retrieved 29 April 2013.
- ↑ Goodin, Dan. "Microsoft सभी कर्मियों पर सुरक्षा प्रकटीकरण नीति लागू करता है". The Register. Retrieved 29 April 2013.
- ↑ 13.0 13.1 Microsoft Security. "समन्वित भेद्यता प्रकटीकरण". Microsoft. Archived from the original on 2014-12-16. Retrieved 29 April 2013.
- ↑ B1tch3z, Ac1d. "Ac1db1tch3z बनाम x86_64 लिनक्स कर्नेल". Retrieved 29 April 2013.
