Tec: हमारे नवीनतम शोध में पाया गया है कि वेबसाइटों पर क्लिक करने योग्य लिंक अक्सर दुर्भावनापूर्ण गंतव्यों पर पुनर्निर्देशित किए जा सकते हैं। हम इन्हें "अपहरणीय हाइपरलिंक" कहते हैं और इन्हें पूरे वेब पर लाखों की संख्या में पाया है, जिसमें विश्वसनीय वेबसाइटें भी शामिल हैं। 2024Web Conferenceमें प्रकाशित हमारा पेपर दिखाता है कि वेब पर साइबर सुरक्षा खतरों का पहले से कहीं ज़्यादा बड़े पैमाने पर शोषण किया जा सकता है। चिंताजनक रूप से, हमें ये अपहरणीय हाइपरलिंक बड़ी कंपनियों, धार्मिक संगठनों, वित्तीय फर्मों और यहाँ तक कि सरकारों की वेबसाइटों पर भी मिले। इन वेबसाइटों पर हाइपरलिंक को बिना किसी अलार्म के अपहृत किया जा सकता है। केवल सतर्क - कुछ लोग इसे पागल कह सकते हैं - उपयोगकर्ता इन जाल में फंसने से बचेंगे। अगर हम वेब पर इन कमज़ोरियों को खोजने में सक्षम थे, तो दूसरे भी ऐसा कर सकते हैं। यहाँ आपको जो जानना चाहिए वो है। अपहरणीय हाइपरलिंक क्या हैं? यदि आप अपने बैंक का वेब पता दर्ज करते समय कोई टाइपो करते हैं, तो आप गलती से किसी फ़िशिंग साइट पर पहुँच सकते हैं - जो आपकी व्यक्तिगत जानकारी चुराने के लिए आपके बैंक की वेबसाइट का प्रतिरूपण या "स्पूफ़" करती है।
यदि आप जल्दी में हैं और वेबसाइट का बारीकी से निरीक्षण नहीं करते हैं, तो आप संवेदनशील व्यक्तिगत विवरण दर्ज कर सकते हैं और अपनी गलती की भारी कीमत चुका सकते हैं। इसमें पहचान की चोरी, खाते से छेड़छाड़ या वित्तीय नुकसान शामिल हो सकता है। जब प्रोग्रामर अपने कोड में वेब पते गलत टाइप करते हैं, तो इससे भी ज़्यादा ख़तरनाक बात होती है। इस बात की संभावना है कि उनकी टाइपो उपयोगकर्ताओं को ऐसे इंटरनेट डोमेन पर ले जाएगी जिसे कभी खरीदा ही नहीं गया है। हम इन्हें फ़ैंटम डोमेन कहते हैं। उदाहरण के लिए, theconversation.com से लिंक बनाने वाला प्रोग्रामर गलती से tehconversation.com से लिंक कर सकता है - गलत वर्तनी पर ध्यान दें। यदि गलत टाइप किया गया डोमेन कभी खरीदा ही नहीं गया है, तो कोई व्यक्ति आकर उस फ़ैंटम डोमेन को लगभग A$10 में खरीद सकता है, और इनबाउंड ट्रैफ़िक को हाईजैक कर सकता है। इन मामलों में, प्रोग्रामर की गलतियों की कीमत उपयोगकर्ताओं को चुकानी पड़ती है। ये प्रोग्रामर लिंकिंग त्रुटियाँ केवल उपयोगकर्ताओं को फ़िशिंग या स्पूफ़िंग साइटों पर निर्देशित करने का जोखिम नहीं उठाती हैं। अपहृत ट्रैफ़िक को कई तरह के जाल की ओर निर्देशित किया जा सकता है, जिसमें दुर्भावनापूर्ण स्क्रिप्ट, गलत सूचना, आपत्तिजनक सामग्री, वायरस और भविष्य में आने वाले किसी भी अन्य हैक शामिल हैं।
आधे मिलियन से अधिक प्रेत डोमेन- उच्च-प्रदर्शन कंप्यूटिंग क्लस्टर का उपयोग करते हुए, हमने इन कमज़ोरियों के लिए पूरे ब्राउज़ करने योग्य वेब को संसाधित किया। शोध में पहले कभी नहीं देखे गए पैमाने पर, कुल मिलाकर हमने 10,000 से अधिक हार्ड ड्राइव के डेटा का विश्लेषण किया। ऐसा करने पर, हमें 572,000 से अधिक प्रेत डोमेन मिले। उपयोगकर्ताओं को उन तक निर्देशित करने वाले अपहृत हाइपरलिंक कई विश्वसनीय वेबसाइटों पर पाए गए। विडंबना यह है कि इसमें वेबसाइटों पर गोपनीयता कानून लागू करने के लिए डिज़ाइन किए गए वेब-आधारित सॉफ़्टवेयर भी शामिल थे। हमने जांच की कि इन कमज़ोरियों के कारण कौन सी त्रुटियाँ हुईं और उन्हें वर्गीकृत किया। अधिकांश हाइपरलिंक में टाइपो के कारण थे, लेकिन हमें Programmerद्वारा उत्पन्न एक अन्य प्रकार की कमज़ोरी भी मिली: प्लेसहोल्डर डोमेन। जब प्रोग्रामर ऐसी वेबसाइट बनाते हैं, जिसका अभी तक कोई विशिष्ट डोमेन नहीं है, तो वे अक्सर इस उम्मीद के साथ किसी फ़ैंटम डोमेन के लिंक डालते हैं कि बाद में लिंक ठीक हो जाएँगे। हमने पाया कि वेबसाइट डिज़ाइन टेम्प्लेट के साथ यह आम बात है, जहाँ वेबसाइट के सौंदर्य घटक इन-हाउस विकसित करने के बजाय किसी दूसरे प्रोग्रामर से खरीदे जाते हैं। जब डिज़ाइन टेम्प्लेट को बाद में किसी वेबसाइट पर इंस्टॉल किया जाता है, तो फ़ैंटम डोमेन अक्सर अपडेट नहीं होते, जिससे उनके लिंक हाईजैक हो जाते हैं।
यह निर्धारित करने के लिए कि क्या हाईजैक करने योग्य हाइपरलिंक का व्यवहार में शोषण किया जा सकता है, हमने उनके द्वारा इंगित किए गए फ़ैंटम डोमेन में से 51 खरीदे और निष्क्रिय रूप से इनबाउंड ट्रैफ़िक का निरीक्षण किया। इससे, हमने हाईजैक किए गए लिंक से आने वाले पर्याप्त ट्रैफ़िक का पता लगाया। हाईजैक किए गए लिंक की कमी वाले समान नए डोमेन की तुलना में, हमारे 88% फ़ैंटम डोमेन को ज़्यादा ट्रैफ़िक मिला, जिसमें दस गुना ज़्यादा विज़िटर थे।
क्या किया जा सकता है?- औसत वेब उपयोगकर्ताओं के लिए, जागरूकता महत्वपूर्ण है। लिंक पर भरोसा नहीं किया जा सकता। सतर्क रहें। कंपनियों और उनकी वेबसाइटों के प्रभारी लोगों के लिए, हम कई तकनीकी प्रतिवाद सुझाते हैं। सबसे सरल उपाय यह है कि वेबसाइट संचालक अपनी वेबसाइट पर टूटे हुए लिंक को "क्रॉल" करें। ऐसा करने के लिए अनगिनत निःशुल्क उपकरण उपलब्ध हैं। यदि कोई टूटा हुआ लिंक मिलता है, तो उसे हाईजैक होने से पहले ठीक कर लें।
हम, वेब- ब्रिटिश वैज्ञानिक सर टिम बर्नर्स-ली ने सबसे पहले 1989 में CERN में वेब का प्रस्ताव रखा था। इसके शुरुआती विवरण में - जो आज भी वेब पर अपने आप में एक प्रमाण के रूप में व्यापक रूप से उपलब्ध है - "गैर-आवश्यकताओं" नामक एक खंड है, जहाँ सुरक्षा को संबोधित किया गया है। इस खंड में यह महत्वपूर्ण वाक्यांश शामिल है: CERN में [डेटा सुरक्षा] द्वितीयक महत्व की है, जहाँ सूचना विनिमय अभी भी अधिक महत्वपूर्ण है। जबकि 1989 में CERN के लिए यह सच था, वेब अब आधुनिक युग का प्राथमिक सूचना विनिमय माध्यम है। हम वेब को अपने मस्तिष्क के बाहरी घटक के रूप में मानने लगे हैं। इसका प्रमाण ChatGPT जैसे बड़े भाषा मॉडल की लोकप्रियता से मिलता है, जो स्वयं वेब से डेटा पर प्रशिक्षित होते हैं। जैसे-जैसे हमारी निर्भरता बढ़ती जा रही है, शायद यह समय आ गया है कि हम मानसिक रूप से वेब डेटा सुरक्षा को "गैर-आवश्यकताओं" से "महत्वपूर्ण आवश्यकताओं" के रूप में पुनः वर्गीकृत करें।
खबरों के अपडेट के लिए जुड़े रहे जनता से रिश्ता पर