क्यों एक चूकते साइबर हमले ने अमेरिकी अधिकारियों और तकनीकी उद्योग को खतरे में डाल दिया?

वाशिंगटन: जर्मन सॉफ्टवेयर डेवलपर एंड्रेस फ्रायंड पिछले महीने कुछ विस्तृत प्रदर्शन परीक्षण चला रहे थे, जब उन्होंने एक अल्पज्ञात कार्यक्रम में अजीब व्यवहार देखा। जब उन्होंने जांच की तो उन्हें जो मिला, उससे पूरे सॉफ्टवेयर जगत में खलबली मच गई और तकनीकी अधिकारियों तथा सरकारी अधिकारियों का ध्यान इस ओर आकर्षित हुआ।फ्रायंड, जो सैन फ्रांसिस्को में माइक्रोसॉफ्ट के लिए काम करता है, ने पाया कि ओपन सोर्स सॉफ्टवेयर प्रोग्राम इंटरनेट।सुरक्षा विशेषज्ञों का कहना है कि यह केवल इसलिए है क्योंकि फ्रायंड ने XZ के नवीनतम संस्करण को व्यापक रूप से तैनात किए जाने से पहले बदलाव को देखा था, जिससे दुनिया डिजिटल सुरक्षा संकट से बच गई थी।टेनेबल के एक सुरक्षा शोधकर्ता सतनाम नारंग, जो खोज के परिणामों पर नज़र रख रहे हैं, ने कहा, "हम वास्तव में एक गोली से बच गए।"

"यह उन क्षणों में से एक है जहां हमें अपनी भौंह पोंछनी पड़ती है और कहना पड़ता है, 'हम वास्तव में इसके साथ भाग्यशाली थे।'"लगभग चूक ने ओपन सोर्स सॉफ़्टवेयर की सुरक्षा पर फिर से ध्यान केंद्रित किया है - मुफ़्त, अक्सर स्वयंसेवक-रखरखाव वाले कार्यक्रम जिनकी पारदर्शिता और लचीलेपन का मतलब है कि वे इंटरनेट अर्थव्यवस्था की नींव के रूप में काम करते हैं।ऐसी कई परियोजनाएँ अवैतनिक स्वयंसेवकों के एक छोटे समूह पर निर्भर करती हैं जो सुधार और उन्नयन की माँगों के ढेर से बाहर निकलने के लिए संघर्ष कर रहे हैं।XZ, लिनक्स ऑपरेटिंग सिस्टम के वितरण में पैक किए गए फ़ाइल संपीड़न टूल का एक सूट, लंबे समय तक एक ही लेखक, लेसे कॉलिन द्वारा बनाए रखा गया था।हाल के वर्षों में वह तनाव में दिखे।

सार्वजनिक मेलिंग सूची पर पोस्ट किए गए एक संदेश में, जून 2022 में नया टैब खुलता है, कोलिन ने कहा कि वह "दीर्घकालिक मानसिक स्वास्थ्य मुद्दों" से निपट रहे थे और संकेत दिया कि वह जिया टैन नामक एक नए डेवलपर के साथ निजी तौर पर काम कर रहे हैं और "शायद उनके पास एक होगा" भविष्य में बड़ी भूमिका।”ओपन सोर्स सॉफ्टवेयर साइट जीथब के माध्यम से उपलब्ध अपडेट लॉग से पता चलता है कि टैन की भूमिका तेजी से बढ़ी है। 2023 तक लॉग से पता चलता है कि टैन अपने कोड को XZ में विलय कर रहा था, यह एक संकेत है कि उसने परियोजना में एक विश्वसनीय भूमिका जीती है।लेकिन लॉग की जांच करने वाले साइबर सुरक्षा विशेषज्ञों का कहना है कि टैन एक मददगार स्वयंसेवक के रूप में दिखावा कर रहा था। वे कहते हैं, अगले कुछ महीनों में, टैन ने XZ में लगभग अदृश्य पिछला दरवाज़ा पेश किया।

कॉलिन ने टिप्पणी मांगने वाले संदेशों का जवाब नहीं दिया और अपनी वेबसाइट पर कहा कि वह पत्रकारों को तब तक जवाब नहीं देंगे जब तक कि वह स्थिति को अच्छी तरह से समझ नहीं लेते।टैन ने अपने जीमेल खाते पर भेजे गए संदेशों का जवाब नहीं दिया। रॉयटर्स यह पता लगाने में असमर्थ है कि टैन कौन है, वह कहां है, या वह किसके लिए काम कर रहा था, लेकिन जिन लोगों ने उसके अपडेट की जांच की है, उनमें से कई का मानना है कि टैन एक विशेषज्ञ हैकर या हैकर्स के समूह का छद्म नाम है - संभवतः वह काम कर रहा है एक शक्तिशाली ख़ुफ़िया सेवा की ओर से."यह किंडरगार्टन सामान नहीं है," ओपन सोर्स सिक्योरिटी फाउंडेशन के महाप्रबंधक ओमखार अरासरत्नम ने कहा, जो एक्सजेड जैसी परियोजनाओं की रक्षा के लिए काम करता है। "यह अविश्वसनीय रूप से परिष्कृत है।

"टैन आसानी से इससे बच सकता था, अगर यह माइक्रोसॉफ्ट डेवलपर फ्रायंड के लिए नहीं होता, जिसकी जिज्ञासा तब बढ़ गई जब उसने देखा कि एक्सज़ेड का नवीनतम संस्करण रुक-रुक कर उस सिस्टम पर अप्रत्याशित मात्रा में प्रसंस्करण शक्ति का उपयोग कर रहा था जिसका वह परीक्षण कर रहा था।माइक्रोसॉफ्ट ने फ्रायंड को साक्षात्कार के लिए उपलब्ध कराने से इनकार कर दिया, लेकिन सार्वजनिक रूप से उपलब्ध ईमेल में, सोशल मीडिया पर नए टैब और पोस्ट खोलते हुए, फ्रायंड ने कहा कि आसानी से छूट जाने वाले सुरागों की एक श्रृंखला ने उन्हें पिछले दरवाजे की खोज करने के लिए प्रेरित किया।फ्रायंड ने सोशल नेटवर्क मैस्टोडॉन पर कहा, "इस खोज के लिए वास्तव में बहुत सारे संयोगों की आवश्यकता है," नया टैब खुलता है।माइक्रोसॉफ्ट के सीईओ सत्य नडेला ने सप्ताहांत में फ्रायंड को बधाई देते हुए सोशल नेटवर्क एक्स पर एक पोस्ट में कहा कि उन्हें यह देखकर अच्छा लगा कि कैसे डेवलपर, "अपनी जिज्ञासा और शिल्प कौशल के साथ, हम सभी की मदद करने में सक्षम था।"खुले स्रोत समुदाय में, यह खोज गंभीर रही है।

अरासररत्नम ने कहा, जो स्वयंसेवक इंटरनेट को संचालित करने वाले सॉफ़्टवेयर का रखरखाव करते हैं, वे कम वेतन या मान्यता के विचार से अजनबी नहीं हैं, लेकिन यह अहसास कि अच्छे सामरी होने का दिखावा करने वाले अच्छे संसाधन वाले जासूस उनका शिकार कर रहे हैं, "अविश्वसनीय रूप से डराने वाला" था। , ओपन सोर्स सिक्योरिटी फाउंडेशन का।सरकारी अधिकारी भी निकट-चूक के निहितार्थों का आकलन कर रहे हैं, जिसने ओपन सोर्स सॉफ़्टवेयर की सुरक्षा के बारे में चिंताओं को रेखांकित किया है। सहायक राष्ट्रीय साइबर निदेशक अंजना राजन ने पोलिटिको को बताया, नया टैब खोलता है कि "ओपन सोर्स कोड की सुरक्षा के लिए हमें आगे क्या करना है इसके बारे में बहुत सारी बातचीत करने की ज़रूरत है।"

साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) का कहना है कि वह अमेरिकी कंपनियों पर निर्भर रही है जो समुदायों में संसाधनों को वापस लाने के लिए ओपन सोर्स सॉफ्टवेयर का उपयोग करती हैं। जो इसका निर्माण और रखरखाव करता है। सीआईएसए के सलाहकार जैक केबल ने रॉयटर्स को बताया कि तकनीकी कंपनियों पर बोझ न केवल खुले सॉफ्टवेयर की जांच करने का था, बल्कि "टिकाऊ ओपन सोर्स पारिस्थितिकी तंत्र के निर्माण में योगदान देने और मदद करने का भी था, जिससे हमें इतना मूल्य मिलता है।"यह स्पष्ट नहीं है कि सॉफ़्टवेयर कंपनियों को ऐसा करने के लिए उचित रूप से प्रोत्साहित किया गया है।

ऑनलाइन ओपन सोर्स मेलिंग सूचियां तकनीकी दिग्गजों के बारे में शिकायतों से भरी हुई हैं, जो मांग कर रही हैं कि स्वयंसेवक उन ओपन सोर्स सॉफ़्टवेयर के मुद्दों का निवारण करें जिनका उपयोग कंपनियां अरबों डॉलर कमाने के लिए करती हैं।समाधान जो भी हो, लगभग हर कोई इस बात से सहमत है कि XZ एपिसोड दिखाता है कि कुछ बदलना होगा।"हम यहां अनुचित रूप से भाग्यशाली हो गए," फ्रायंड ने एक अन्य मास्टोडन पोस्ट में कहा, नया टैब खोलता है। "हम आगे बढ़ने के लिए केवल उस पर निर्भर नहीं रह सकते।"