Breaking News

Home / antivirus software / black Hat Hacker / cyber attack / ethical hackers / firewalls / Grey Hat Hacker / Internet Security / Michael Jackson / White Hat Hacker / The black white and grey of hacking

The black white and grey of hacking

November 12, 2017 , , , , , , , ,

The black white and grey of hacking..

A peek into the off-grid world of ethical hackers

माइकल जैक्सन की सबसे बड़ी हिट के शब्दों में, "अगर आप काले या सफेद हो, तो इससे कोई फर्क नहीं पड़ता" लेकिन जब हैकिंग की गोपनीय, ग्रिड दुनिया की बात आती है, तो दोनों के बीच का अंतर महत्वपूर्ण है। और यह एक साइबर हमले में अच्छा बनाम बुराई के मामले में उतरने लगता है - बेहद चालाक कंप्यूटर geeks अन्य बहुत ही चतुर कंप्यूटर geeks से हमलों बंद fending प्रणाली, दुर्भावनापूर्ण एक सिस्टम नीचे ले जाने के लिए काम कर रहे, एक कंपनी तोड़फोड़, अपने जीवन चोरी। वे रेखा कहां लाते हैं?

हैकर्स दो मुख्य शिविरों में आते हैं, जो कानून के विपरीत पक्षों पर काम करते हैं: सफेद टोपी और काली टोपी। अधिक औपचारिक रूप से, सफेद टोपी को नैतिक हैकर्स या पैठ परीक्षकों के रूप में जाना जाता है। वे काले टोपी हैकर्स को जानबूझकर करवाने के लिए कार्यरत हैं, सिवाय इसके कि वे इसे साइबर सुरक्षा का परीक्षण करने के लिए कंपनी के पूर्ण ज्ञान से करते हैं, कमजोर अंक को मजबूत करते हैं और अनलॉक विंडो को सील करते हैं।

संरक्षित डेटा को सुरक्षित रखने के लिए अतिरिक्त सुरक्षा मांगने वाले निगमों द्वारा सफेद टोपी की मांग बढ़ रही है - और अच्छी तरह से पुरस्कृत किया गया है। जैसे-जैसे हमला फ़ायरवॉल और एंटीवायरस सॉफ़्टवेयर के साथ-साथ, और अधिक परिष्कृत और लगातार बढ़ते हैं, साइबर अपराध से लड़ने में सक्षम होने की आवश्यकता में सिंक करना शुरू हो रहा है।

सिमेंटेक इंटरनेट सुरक्षा धमकी रिपोर्ट के अनुसार, 2017 में वैश्विक स्तर पर आक्रमणकारियों द्वारा 357 मिलियन से अधिक मैलवेयर संस्करण जारी किए गए थे। रिपोर्ट में कहा गया है कि 2016 में प्रति उल्लंघन की पहचान की औसत संख्या लगभग 10 लाख तक पहुंच गई - सबसे अधिक औसत पिछले तीन साल
इस साल मई में, WannaCry मैलवेयर आधारित हमले दुनिया भर में एक विनाशकारी संक्रमण है कि सिंगापुर में 500 सिंगापुर आईपी पते के बारे में प्रभावित में फैल गया था। एक महीने बाद आया नोपेेटिया मैलवेयर, जिसकी कीमत पर रिपोर्ट किया गया था ग्लोबल फार्मा विशाल मर्क यूएस $ 135 मिलियन का राजस्व में है।

सिंगापुर में केपीएमजी, साइबर सुरक्षा के प्रमुख, डार्ल परेरा, द बिज़नेस टाइम्स से कहता है कि प्रवेश परीक्षकों की मांग दिन से बढ़ रही है और यह दोनों सरकारी एजेंसियों और निजी क्षेत्रों में देखा जाता है।

वे कहते हैं, "वे मांग में हैं क्योंकि उनकी कंपनियों में साइबर सुरक्षा में सुधार करने के लिए एक अद्वितीय कौशल है। पेशे को परिपक्व कर रहे हैं। हमले के तहत भी ऐसे क्षेत्र हैं जो साइबर सुरक्षा पेशेवरों की मांग कर रहे हैं।"



पिछले 12 से 18 महीनों में, टीम ने एक विशेष प्रकार के मैलवेयर में वृद्धि देखी है जिसे रैनसमवेयर कहा जाता है। श्री परेरा कई कारण बताते हैं कि ऐसे हमले क्यों अधिक सफल होते जा रहे हैं? हमलावर अब बिटकॉइन द्वारा फिरौती के भुगतान की इजाजत कर रहे हैं, तथा लक्षित अधिक व्यक्तियों या कंपनियों को अपने डेटा को खोने के बजाय जोखिम के बजाय फिरौती का भुगतान करना चुनना है। मैलवेयर-आधारित हमलों का उदय ई-मेल के इस्तेमाल से जुड़ा हुआ है, जैसे कि वितरण तंत्र (हमला वेक्टर कहा जाता है), और वेबसाइटों में गुप्त रखने वाली मैलवेयर जो बहुत से लोग नियमित रूप से यात्रा करते हैं, जैसे मुफ्त स्ट्रीमिंग साइट या अश्लील साहित्य।

"यदि एंटीवायरस अद्यतन, बैकअप और पुनर्प्राप्ति प्रक्रियाओं को बनाए रखने, पैच प्रबंधन की तरह बुनियादी सुरक्षा स्वच्छता का पालन करते हैं, (और) नियमित भेद्यता मूल्यांकन करते हैं, तो मैलवेयर / रैनसोमवेयर हमलों के बहुमत से रोका जा सकता है। WannaCry और notPetya ransomware हमलों के मामले में ... माइक्रोसॉफ्ट दो महीने पहले एक पैच जारी किया था (वेन कैरी हमले), और अगर संगठन ने समय पर अपने माइक्रोसॉफ्ट सिस्टम समझौता किया था, तो रेंसोमवेयर के हमलों को रोका जा सकता था "।

एलिज़ाबेथ टैन, सलाहकार, सूचना और साइबर सुरक्षा / प्रशासन, जोखिम और अनुपालन, प्रौद्योगिकी, रॉबर्ट वाल्टर्स सिंगापुर, देखता है कि अगले छह से अठारह महीनों में साइबर सुरक्षा में भर्ती बढ़ाई जाएगी।


"संगठन यह सुनिश्चित करने में अधिक सक्रिय हैं कि वे साइबर हमले की स्थिति में अच्छी तरह तैयार होंगे। इस प्रकार, अधिक संगठन सुरक्षा संचालन केंद्र टीमों को भर्ती कर रहे हैं, और भेद्यता मूल्यांकन और पैठ परीक्षण (नैतिक हैकर्स के रूप में भी जाना जाता है) टीमों।"

हैकर्स भी बेहतर हो रहे हैं केपीएमजी से एक नैतिक हैकर हेनरी (नहीं उसका असली नाम), देखता है कि वह जो इंटर्न का प्रबंधन करता है वह पिछले वर्षों की तुलना में बेहतर हो रहा है।

"जब हम नैतिक हैकर्स को किराए पर लेते हैं, हम उन्हें एक घंटे (खोजने) के रूप में कई कमजोरियों के रूप में देते हैं। हम देखते हैं कि उनके पास क्षमताओं हैं ... उनके परीक्षण के साथ गंदे हाथ पाने के लिए," वे कहते हैं।

सफेद टोपी जो किराए पर ले रही है पर एक नजर से पता चलता है कि बैंकिंग क्षेत्र सबसे ज्यादा चिंतित है - और सबसे अधिक लक्षित रॉबर्ट वाल्टर्स के सुश्री टैन कहते हैं कि सिंगापुर में प्रवेश परीक्षकों की भर्ती में वित्तीय क्षेत्र से आते हैं, जिसमें फार्मास्युटिकल, लॉजिस्टिक्स और परिवहन क्षेत्र के भीतर फर्म होते हैं "सूचना सुरक्षा पर बढ़ते ध्यान देना शुरू करते हैं और वे अपनी सुरक्षा स्थिति में सुधार कैसे कर सकते हैं" ।

केपीएमजी के श्री परेरा एक ही प्रवृत्ति को देख रहे हैं: ग्राहकों के लिए अपने प्रवेश परीक्षा दल द्वारा किए गए 30-40 प्रतिशत कार्य बैंकिंग क्षेत्र से संबंधित हैं। ग्राहक सभी प्रकार के भेद्यता मूल्यांकन और प्रवेश परीक्षण हैक्स को निष्पादित करने के लिए वर्ष में एक या दो बार टीम को किराये पर लेगा।

"आपके व्यक्तिगत डेटा के बाद क्या (ब्लैक टोपियाँ) वास्तव में जा रहे हैं। जब आप बैंकों के बारे में सोचते हैं, तो आप सोचते हैं कि हैकर्स पैसे चोरी करना चाहते हैं, लेकिन वे वास्तव में चोरी करने की कोशिश कर रहे हैं आपकी पहचान है

"हेल्थकेयर कंपनियों के पास मजबूत संरक्षण नहीं है क्योंकि बैंक ऐसा करते हैं, लेकिन उनके पास जिस तरह का डेटा है, वह बैंक में आपके पास बहुत ही समान है। हेल्थकेयर डेटा अधिक समृद्ध है क्योंकि यह आपके बीमारियों (रिकॉर्ड) और चीजें हैं वे कहते हैं, 'मैंने इसे चोरी किया था और आपको ब्लैकमेल किया था।'

यह भी चिंता का विषय है कि यह तथ्य है कि 30 से 40 प्रतिशत हमले अंदरूनी कारणों से होता है। तो एक कंपनी का असंतुष्ट कर्मचारी "पिछला दरवाजा खोल सकता है और बुरे लोगों को जाने" देता है

"साइबर हमलावर सभी अज्ञेयवादी हैं। वे वहां जाते हैं जहां धन है और जहां कमजोर सुरक्षाएं हैं," श्री परेरा कहते हैं।

यही कारण है कि किसी कंपनी के शीर्ष प्रबंधन के उपयोगकर्ता आईडी बहुत अधिक सुरक्षा में हैं अगर किसी कंपनी के व्यवसाय या वित्तीय स्वास्थ्य के लिए महत्वपूर्ण जानकारी अपने प्रतिद्वंद्वियों, जनता या लघु-विक्रेता को लीक की जाती है, तो परिणामस्वरूप खराब प्रेस और शेयर कीमत में अपरिहार्य डुबकी काफी नुकसान पहुंचेगी

वेरिज़ोन द्वारा 2017 डेटा ब्रेक अन्वेषण रिपोर्ट के अनुसार, दुनिया भर में प्रभावित वित्तीय संस्थाओं के 24 प्रतिशत उल्लंघन और 15 प्रतिशत स्वास्थ्य सेवा क्षेत्र में शामिल थे। अन्य उल्लंघनों सार्वजनिक क्षेत्र की संस्थाओं, और खुदरा और आवास से आईं। अध्ययन में यह भी कहा गया है कि 25 प्रतिशत तक का अंतर आंतरिक अभिनेताओं को शामिल करता है



फिर भी साइबर सुरक्षा पर खर्च किए जा रहे खर्च पर्याप्त नहीं हैं, सलाहकार कहते हैं। "आईटी (खर्च) ज्यादातर कम्पनियों के कुल राजस्व का 5 से 20 प्रतिशत तक कहीं भी है। सामान्य तौर पर, हमने पाया कि पूरे राजस्व का 5 से 20 प्रतिशत, सुरक्षा प्रपत्र केवल 5 प्रतिशत है। समस्या की अपर्याप्त निवेश। क्या हो रहा है यह है कि सुरक्षा के लिए कुल खर्च आपके कुल बजट का लगभग 1 से 5 प्रतिशत होना चाहिए। "

वह कहते हैं कि कंपनियां अपने खर्च को बजट के अनुसार देती हैं, जो कि उन्हें लगता है कि यह व्यवसाय साइबर हमलों के लिए है, लेकिन ग्राहकों को आम तौर पर पता नहीं है कि कितना खर्च करना है

अनुसंधान और सलाहकार फर्म गार्टनर इंक ने पाया कि सूचना सुरक्षा पर दुनिया भर में खर्च इस साल 9 0 अरब डॉलर तक पहुंचने की संभावना है, 2016 तक 7.6 फीसदी की वृद्धि, और 2020 तक यूएस $ 113 अरब हो जाएगा। पता लगाने और प्रतिक्रिया क्षमताओं को बढ़ाने पर खर्च की उम्मीद है 2020 के माध्यम से सुरक्षा खरीदारों के लिए एक महत्वपूर्ण प्राथमिकता

ताले उठा रहा है

साइबर सुरक्षा व्यवसाय में, प्रवेश परीक्षण साइबर हमले के लिए तैयार करने का अंतिम चरण है। एथिकल हैकर "लॉकर् लेने के लिए भाड़े वाले चोरों" की तरह हैं, यह देखने के लिए कि क्या सिस्टम में तोड़ दिया जा सकता है।

चूंकि यह परीक्षण प्रक्रिया का अंतिम चरण है, केपीएमजी के हेनरी का कहना है कि प्रवेश परीक्षकों का सामना करना पड़ना एक बड़ी चुनौती यह है कि ग्राहकों ने सुरक्षा परीक्षणों को आखिरी मिनट में धकेल दिया, जिससे टीम को कमजोरियों को खोजने के लिए कम समय मिल गया। वे कहते हैं, "हम हमेशा समय की कमी रखते हैं, जबकि हेकर्स दुनिया में हर समय परीक्षण करने के लिए हर समय है, इसे तोड़ने के लिए, लेकिन वास्तविक जीवन में, हमारे पास बहुत ही कम समय है"। परीक्षण प्रक्रिया कुछ दिनों से तीन सप्ताह के बीच फैल सकती है।

श्री परेरा का कहना है: "अगर यह एक लाइव सिस्टम है, तो यह ऑफ-पीक (घंटों) के दौरान किया जाता है.उदाहरण के लिए, बैंक की इंटरनेट बैंकिंग वेबसाइट के लिए, हम ऐसा करेंगे, जब कम ग्राहक होंगे। हम वास्तव में भी हैक करने का प्रबंधन करते हैं कड़ी मेहनत और प्रणाली दुर्घटना, वहाँ ग्राहक को सीमित प्रभाव है

"एक बदमाश को पकड़ने के लिए, आपको एक बदमाश की तरह लगता है, इसलिए महत्वपूर्ण गुणों में से एक है कि उन्हें समान रूप से चालाक होना चाहिए।"

दिलचस्प बात यह है कि "सर्वश्रेष्ठ पकड़ने वालों" का कल्किस्तान, पूर्वी यूरोप जैसे बुल्गारिया, रोमानिया, पोलैंड, रूस और यहां तक ​​कि दक्षिण ईरान और इज़रायल जैसे बहुत से मध्य एशिया से आए हैं। कई अच्छे उम्मीदवार चीन, उत्तर कोरिया और अमेरिका से भी उभरे हैं।

सिंगापुर में सफेद टोपी पर कोई आधिकारिक आंकड़े नहीं हैं, लेकिन इन्फोकॉम मीडिया डेवलपमेंट अथॉरिटी के मुताबिक जून 2016 तक लगभग 3,700 साइबर सुरक्षा नौकरी की भूमिका में काम पर रखा गया था। सिंगापुर के साइबर सुरक्षा उद्योग के दृष्टिकोण पर पीडब्ल्यूसी की एक रिपोर्ट में अनुमानित 2,500-4,500 2015 में साइबर सिक्योरिटी जॉब में पूर्णकालिक कार्यरत है। संख्या 2020 तक 4,400-7,900 के बीच बढ़ने का अनुमान है।

केपीएमजी के श्री परेरा का कहना है कि केपीएमजी में साइबर सुरक्षा टीम में लगभग 80 कर्मचारी हैं और लगभग 15 प्रवेश परीक्षक हैं। वे खुलासा नहीं करेंगे कि वे पूर्णकालिक कर्मचारी थे।

क्रेस्ट वेबसाइट के बारे में जानकारी के अनुसार, सिस्को और अर्न्स्ट एंड यंग सहित 26 कंपनियां सूचीबद्ध हैं, जो सिंगापुर में प्रवेश परीक्षा सेवाएं प्रदान करती हैं। क्रेस्ट तकनीकी सूचना सुरक्षा उद्योग का प्रतिनिधित्व करता है जो सदस्य संगठनों की प्रक्रियाओं और प्रक्रियाओं को प्रमाणित करता है।

रॉबर्ट वाल्टर्स के सुश्री टैन कहते हैं कि फर्म के साथ आने वाले अधिकांश प्रवेश परीक्षकों में 24 से 35 साल के बीच की आयु के पुरुषों होते हैं

जिन उद्योगों से वे आते हैं उनके आधार पर, वेतन प्रति माह लगभग 4,000 डॉलर से शुरू होता है, एमएस टैन कहते हैं। पांच साल का अनुभव वाले लोग आम तौर पर एस $ 7,000 से एस 10,000 डॉलर प्रति माह से आकर्षित होते हैं। और आठ से अधिक वर्षों के अनुभव वाले उम्मीदवार कहीं भी एस $ 10,000 और एस $ 12,000 मासिक के बीच कमान कर सकते हैं।

साइबर सुरक्षा की भूमिका में उम्मीदवारों के लिए मजदूरी भी किसी अन्य आईटी से संबंधित भूमिका में किसी की तुलना में थोड़ा अधिक होती है। औसतन, पिछले कुछ वर्षों में रॉबर्ट वाल्टर्स ने बेस वेतन पर 10-15 फीसदी की बढ़ोतरी देखी है, जब आईटी उम्मीदवार किसी अन्य कंपनी को आगे बढ़ते हैं।

साइबर सुरक्षा उम्मीदवारों के लिए, हालांकि वेतन वृद्धि 20 प्रतिशत के उत्तर में है। सुश्री टैन का कहना है कि यह साइबर सुरक्षा के कारण "उम्मीदवार-कम बाज़ार" है और इस क्षेत्र में काम की प्रकृति एक जगह है। कुछ ग्राहकों को यहां पर यहां की कमी के कारण विदेशों से सफेद टोपी की भर्ती करने पर भी विचार किया गया है।



"हालांकि, यह ध्यान रखना ज़रूरी है कि सभी अभ्यर्थी भेद्यता मूल्यांकन और प्रवेश परीक्षा के मार्ग में नहीं रहते। हमने उम्मीदवारों को सूचना के भीतर अलग-अलग वर्कस्ट्रीम में चलते देखा है, कुछ वर्षों के बाद प्राकृतिक प्रगति के रूप में," उसने कहा।

उसमें क्या लगेगा? शुरुआत के लिए, गणित, कंप्यूटर विज्ञान और प्रोग्रामिंग में एक पृष्ठभूमि मजबूत है, न्यूनतम है सीईआरटी, आपत्तिजनक सुरक्षा वायरलेस प्रोफेशनल, आपत्तिजनक सुरक्षा प्रमाणित व्यावसायिक (ओएससीपी), प्रमाणित एथिकल हैकर (सीईएच) जैसे विशिष्ट प्रमाणपत्र वाले उम्मीदवार भी प्रीमियम का आदेश देंगे। वास्तव में, सबसे पुराने प्रमाणपत्रों में से एक, CEH, जो 20 साल बाद चला जाता है, अब काफी अच्छा नहीं माना जाता क्योंकि परीक्षा उत्तीर्ण एक हवा बन गई है।

भरोसेमंद से टर्नकोट तक

एक ऐसे उद्योग में जहां बहुत सारी जानकारी और जानकारियां कुछ लोगों के हाथों में केंद्रित होती हैं, नैतिक जल आसानी से गुदगुदी हो जाते हैं। एक प्रमुख मुद्दा जो नैतिक हैकर्स के बढ़ते पूल को शिक्षित करने से उभरा है - शायद अपरिहार्य - व्यक्तियों का जन्म जो व्यक्तिगत लाभ के लिए ज्ञान का दुरुपयोग करेगा।

इंटरनेशनल जर्नल ऑफ साइंटेनिक एंड इंटरनेशनल जर्नल द्वारा प्रकाशित, भारत के इंजीनियरिंग और प्रौद्योगिकी के गीतांजली कॉलेज के एक अध्ययन ने लिखा, "छात्रों को छात्रों को शिकस्त देने के लिए उन्हें विषय विशेषज्ञों की मदद से कंप्यूटर सिस्टम में हैक करने का एक वैश्विक ज्ञान मिलता है।" 2013 में इंजीनियरिंग अनुसंधान

चूंकि सफेद और काले रंग के बीच की रेखा बहुत अच्छी है, एक से दूसरे में स्विच मुश्किल नहीं है, लेकिन संक्रमण, अंधेरे तरफ की तुलना में अधिक बार नहीं होता है। कुछ मामलों में, इरादों के एक ओवरलैप से उग आया है जिसे ग्रे टोपी कहा जाता है

श्री परेरा का कहना है: "सफेद टोपी में एथली का कोड है

उन्होंने कहा, "हम उसे दूसरे सप्ताह के लिए देख चुके थे, इससे पहले कि हम उसे पैक कर गए। उन्होंने बाकी सभी टीमों के साथ बग़दा किया कि उन्होंने अपने स्कूल में कंप्यूटर नेटवर्क में हैक किया और अपने ग्रेड को ए + बदल दिया।"

चूंकि हैलोस्फीयर में भूरे रंग के क्षेत्र बहुत से हैं, नैतिक दुविधाएं ऊपर उगती हैं। सुरक्षा विशेषज्ञ क्या करता है, उदाहरण के लिए, अगर वह कंपनी में धोखाधड़ी के तत्वों की खोज करता है जो उन्हें बचाने के लिए भुगतान कर रहा है? हमें हैकर्स को वॉचडॉग संगठनों के लिए एजेंट के रूप में कैसे देखना चाहिए? क्या वे सफेद शूरवीर हैं या क्या वे अंधेरे गए हैं?

भविष्य में, अप्रैल 2015 में सिंगापुर सरकार द्वारा स्थापित साइबर सेक्योरिटी एजेंसी (सीएसए), प्रवेश परीक्षण और प्रबंधित सुरक्षा संचालन केंद्र सेवाओं के प्रावधान का लाइसेंस प्राप्त करना चाहता है। एक प्रेस बयान ने जुलाई में कहा, "प्रस्तावित लाइसेंसिंग ढांचे का उद्देश्य साइबर सुरक्षा सेवाओं के उपभोक्ताओं के लिए सुरक्षा और सुरक्षा के अधिक से अधिक आश्वासन प्रदान करना है, उद्योग में जानकारी की असमानता को संबोधित करना और साइबर सुरक्षा सेवा प्रदाताओं और पेशेवरों के मानकों में सुधार करना है।"

वास्तविकता यह है कि साइबर अपराध केवल तेजी से जुड़े हुए, तेजी से ऑनलाइन दुनिया में ही बढ़ सकता है ऐसा लगता है कि सफेद टोपी हमेशा एक हारने वाली लड़ाई से लड़ेंगे लेकिन जब कानून बनाए रखने की बात आती है, तो सभी खो जाते हैं।

"कानून के अच्छे पक्ष में लोगों को खलनायकों के मुकाबले बहुत अधिक होना पड़ता है। क्या हम हार जाते हैं? नहीं," श्री परेरा कहते हैं।

जैसा कि यह मुड़ता है, यदि आप काला या सफेद हो तो यह कोई फर्क नहीं पड़ता

No comments

Subscribe to: Post Comments ( Atom )