MS Ignite

माइक्रोसॉफ्ट ने बग बाउंटी योजना का विस्तार करते हुए इसमें थर्ड-पार्टी सॉफ्टवेयर को भी शामिल किया है।

by

परिचय

माइक्रोसॉफ्ट ने अपने बग बाउंटी प्रोग्राम को विस्तारित करने का सुझाव दिया है ताकि उन लोगों को आर्थिक प्रोत्साहन दिया जा सके जो माइक्रोसॉफ्ट की ऑनलाइन सेवाओं की सुरक्षा को खतरे में डालने वाली गंभीर सुरक्षा खामियों का पता लगाते हैं। संभव है कि इन खामियों के कारण माइक्रोसॉफ्ट की ऑनलाइन सेवाओं की सुरक्षा पर सवाल उठ सकते हैं। इस कदम से कंपनी ऐसे लोगों को आर्थिक प्रोत्साहन प्रदान कर सकेगी।

माइक्रोसॉफ्ट द्वारा पेश किए जा रहे प्रोत्साहन कार्यक्रम का विस्तार किया जा रहा है ताकि उन सॉफ़्टवेयर कमियों को दूर किया जा सके जो कंपनी द्वारा प्रदान की जाने वाली सेवाओं को प्रभावित कर सकती हैं। यह कार्रवाई इस बात की परवाह किए बिना की जा रही है कि संबंधित एप्लिकेशन का मालिक माइक्रोसॉफ्ट है या नहीं और इसके प्रबंधन के लिए जिम्मेदार है या नहीं। वे यह कदम हर हाल में उठा रहे हैं।

माइक्रोसॉफ्ट क्लाउड सेवाएं

पिछले वर्ष के दौरान, माइक्रोसॉफ्ट ने अपने बग बाउंटी प्रोग्राम और लाइव हैकिंग इवेंट्स के माध्यम से सुरक्षा शोधकर्ताओं को सत्रह मिलियन डॉलर से अधिक की राशि उपलब्ध कराई। ये प्रोग्राम और इवेंट्स पूरे वर्ष आयोजित किए गए। वर्ष 2026 में, कंपनी वित्तीय संसाधनों में अतिरिक्त वृद्धि करने की योजना बना रही है। रेडमंड स्थित मुख्यालय वाली कंपनी ने घोषणा की है कि “डिफ़ॉल्ट रूप से दायरे में” घोषित की गई यह पहल, माइक्रोसॉफ्ट क्लाउड सेवाओं से संबंधित गंभीर कमजोरियों को भी शामिल करने के लिए बग रिवॉर्ड सिस्टम के दायरे को बढ़ाएगी। विवरण में इस प्रयास को “डिफ़ॉल्ट रूप से दायरे में” बताया गया है।

यह उन परिस्थितियों में ओपन-सोर्स और थर्ड-पार्टी कोड के लिए मौद्रिक प्रोत्साहन प्रदान करेगा जहां वर्तमान में कोई बग बाउंटी प्रोग्राम लागू नहीं है। हालांकि, इसके संभव होने के लिए, संबंधित खामियों का माइक्रोसॉफ्ट द्वारा ऑनलाइन बिक्री के लिए उपलब्ध कराए जाने वाले उत्पादों पर प्रभाव पड़ना आवश्यक है।

खुला स्रोत सॉफ्टवेयर

माइक्रोसॉफ्ट ने ऐसे बयान दिए हैं जिनसे संकेत मिलता है कि कंपनी ओपन-सोर्स सॉफ्टवेयर और तीसरे पक्ष द्वारा बनाए गए सॉफ्टवेयर में मौजूद समस्याओं को दूर करने के लिए हर संभव प्रयास करेगी। ये बयान माइक्रोसॉफ्ट द्वारा पहले दिए गए सार्वजनिक बयानों के जवाब में दिए गए थे। यह जवाब माइक्रोसॉफ्ट द्वारा विचाराधीन विषय पर पूछे गए एक प्रश्न के उत्तर में दिया गया था। नीचे दिए गए बयान का एक अंश है, जिसमें विशेष रूप से निम्नलिखित शामिल है: “इसमें पैच लिखना या कोड के मालिक को समस्याओं को हल करने में सहायता प्रदान करना शामिल हो सकता है।” दी जाने वाली सहायता की उचित मात्रा निर्धारित करने के लिए, प्रत्येक मामले की विशिष्ट आवश्यकताओं को ध्यान में रखा जाएगा। इससे उचित मात्रा का निर्धारण सुनिश्चित होगा।

अब तक, माइक्रोसॉफ्ट द्वारा किए गए अधिकांश सुरक्षा खामियों के शोध का ध्यान विशिष्ट उत्पादों से संबंधित बग बाउंटी कार्यक्रमों पर केंद्रित रहा है। अभी तक यही स्थिति रही है।

माइक्रोसॉफ्ट सुरक्षा प्रतिक्रिया केंद्र

नई प्रोत्साहन योजना में “समग्र दृष्टिकोण” का उपयोग किया जाएगा, जो इस पद्धति का वर्णन करता है। यह शब्द दुर्भावनापूर्ण हैकर्स द्वारा सिस्टम पर हमला करने के तरीके को दर्शाता है और उनके द्वारा अपनाई जाने वाली विधियों का प्रतिबिंब है। विभिन्न प्रकार के सॉफ़्टवेयर उत्पादों में मौजूद कमजोरियों की पहचान करना, विभिन्न दृष्टिकोणों से कई पद्धतियों का एक साझा घटक है।

माइक्रोसॉफ्ट सिक्योरिटी रिस्पॉन्स सेंटर के उपाध्यक्ष टॉम गैलाघर ने कहा है कि इस कदम से आपूर्ति श्रृंखलाओं में मौजूद कमजोरियों से बचाव के लिए बेहतर सुरक्षा सुनिश्चित होगी। उन्होंने एक बयान में यह बात कही। यह टिप्पणी गैलाघर ने ही की थी। इन कमजोरियों का फायदा उठाकर और उनका पूरा इस्तेमाल करके हमलावर उच्च-मूल्य वाले लक्ष्यों पर निशाना साध सकते हैं। इससे वे अपने लक्ष्यों को अधिक प्रभावी ढंग से प्राप्त कर पाते हैं।

एज़्योर क्लाउड प्लेटफ़ॉर्म

कंप्यूटर वीकली को दिए गए उनके बयान के अनुसार, माइक्रोसॉफ्ट का लक्ष्य बग रिपोर्ट का उपयोग न केवल खामियों को दूर करने के लिए करना है, बल्कि उन क्षेत्रों की पहचान करने के लिए एक चेतावनी के रूप में भी करना है जहां कंपनी को सुरक्षा के लिए अधिक संसाधनों की आवश्यकता होगी। यही माइक्रोसॉफ्ट का निर्धारित लक्ष्य है। माइक्रोसॉफ्ट की रणनीति का विवरण नीचे दिया गया है। उनके कथन को ध्यान में रखते हुए, यही सही रास्ता है।

सूचना सुरक्षा के क्षेत्र में काम कर रहे कई विशेषज्ञों ने Azure क्लाउड प्लेटफॉर्म में मौजूद महत्वपूर्ण खामियों को दूर करने की प्रक्रिया में Microsoft द्वारा की जा रही “अस्वीकार्य देरी” पर असंतोष व्यक्त किया है। ये दोनों शोधकर्ता सूचना सुरक्षा के क्षेत्र में कार्यरत हैं। इसके अलावा, Microsoft पर एक सुरक्षा अपडेट को ठीक से इंस्टॉल न करने का भी आरोप है, जिसके परिणामस्वरूप अंततः चीनी साइबर जासूसी ने सिस्टम की कमजोरी का फायदा उठाया।

CVE रिपोर्ट

गैलाघर के अनुसार, पिछले एक वर्ष में संगठन ने सुरक्षा उपायों के संबंध में अधिक स्पष्ट और पारदर्शी होने की दिशा में महत्वपूर्ण प्रगति की है। इस प्रतिबद्धता में कंपनी की क्लाउड सेवाओं में पाई गई सॉफ़्टवेयर कमियों पर CVE रिपोर्ट प्रकाशित करने की ज़िम्मेदारी शामिल है। यह ज़िम्मेदारी इस दायित्व के दायरे में आती है। आम जनता को इन कमियों के बारे में काफी समय बीत जाने के बाद ही पता चला। ऐसा इसलिए हुआ क्योंकि Microsoft ने इन्हें खोजते ही स्वचालित रूप से ठीक कर दिया था। यह ध्यान रखना आवश्यक है कि यह एक बहुत ही महत्वपूर्ण तथ्य है।

उनके द्वारा प्रस्तुत साक्ष्य के अनुसार, यह कहा गया था कि “माइक्रोसॉफ्ट पहला क्लाउड प्रदाता था जिसने कहा, ‘अगर क्लाउड में कोई गंभीर समस्या है, भले ही आपको उसे ठीक करने की आवश्यकता न हो, हम वह CVE जारी करेंगे।'” यह कथन इस तथ्य के संदर्भ में दिया गया था कि माइक्रोसॉफ्ट ने इसका प्रमाण प्रस्तुत किया था। कभी-कभी, CVE शब्द का प्रयोग किसी महत्वपूर्ण मानी जाने वाली सुरक्षा खामी के संदर्भ में किया जाता है। हम सुरक्षा क्षेत्र में कार्यरत शोधकर्ताओं द्वारा हमारे ध्यान में लाई गई समस्याओं के जवाब में इस प्रयास में शामिल होते हैं।

विंडोज़ और माइक्रोसॉफ्ट एज़्योर पर

इंटरनेट पर खोजी गई आधी से अधिक सुरक्षा खामियों का पता माइक्रोसॉफ्ट के सुरक्षा विशेषज्ञों ने लगाया है। इन खामियों की पहचान करने की जिम्मेदारी उन्हीं की है। सुरक्षा खामी का विचार अत्यंत महत्वपूर्ण होने के कारण, किसी खामी के लिए दिए जाने वाले मुआवजे की राशि तय करते समय कंपनी कई पहलुओं को ध्यान में रखती है। इसके अलावा, कंपनी उपभोक्ताओं को महत्वपूर्ण क्षेत्रों में कमजोरियों की खोज करने के लिए प्रोत्साहित करने हेतु अधिक उपकरण उपलब्ध कराएगी।

संभव है कि माइक्रोसॉफ्ट की हाइपर वी, जो विंडोज और माइक्रोसॉफ्ट एज़्योर में वर्चुअल मशीनों को अलग करने के लिए इस्तेमाल की जाने वाली तकनीक है, एक ही खामी के परिणामस्वरूप ढाई लाख डॉलर तक का मुआवजा वसूल रही हो। कंपनी इस विशेष विषय को उच्च प्राथमिकता देती है।

माइक्रोसॉफ्ट में रोजगार

कंप्यूटर वीकली को दिए एक साक्षात्कार में गैलाघर ने कहा कि 1999 में माइक्रोसॉफ्ट में काम शुरू करने के बाद से ही दुर्भावनापूर्ण तत्वों और सुरक्षा शोधकर्ताओं के लिए माइक्रोसॉफ्ट सॉफ्टवेयर में खामियों का पता लगाना बहुत मुश्किल हो गया है। गैलाघर ने माइक्रोसॉफ्ट में अपनी नौकरी शुरू करने के बाद से ही इस बात को महसूस किया है। उनका आरोप है कि “यह काम बहुत मुश्किल हो गया है।” अपने पूरे पेशेवर करियर के दौरान, गैलाघर ने इस घटना के कई उदाहरण देखे हैं।

जांच करने वाले शोधकर्ता के अनुसार, “आधुनिक प्रणाली में, शुरुआती बग का पता लगाने के लिए आपको काफी मेहनत करनी पड़ेगी, और एक पूर्ण एक्सप्लॉइट बनाने के लिए, अक्सर आपको ऐसी कमजोरियों की एक श्रृंखला की आवश्यकता होगी जो पूरी तरह से संरेखित हों।” “एक पूर्ण एक्सप्लॉइट बनाने के लिए, इन कमजोरियों का पूरी तरह से संरेखित होना आवश्यक है।” कम से कम, कृत्रिम बुद्धिमत्ता के उपयोग से दोषों की पहचान करना संभव है।

कृत्रिम बुद्धिमत्ता (एआई)

इसके अलावा, कंपनी सुरक्षा खामियों का पता लगाने की प्रक्रिया को स्वचालित बनाने में कृत्रिम बुद्धिमत्ता (एआई) के संभावित उपयोगों का अध्ययन कर रही है। यह पहले बताए गए कार्यों के अतिरिक्त है। गैलाघर के अनुसार, अब तक जो भी विकास हुआ है, वह अभी शुरुआती दौर में है, इससे पहले कि वह अपनी पूरी क्षमता तक पहुंचे। “इसके बेहद फलदायी होने की संभावना को लेकर मैं बहुत उत्साहित हूं।”

उन्होंने कहा कि कृत्रिम बुद्धिमत्ता को जटिल प्रणालियों को समझने की शिक्षा देना संभव है और यह मनुष्यों की तुलना में कहीं अधिक व्यापक स्तर पर त्रुटियों का पता लगाने में सक्षम होगी। उन्होंने यह भी कहा कि यह मनुष्यों के साथ संवाद करने में सक्षम होगी। उन्होंने आगे कहा कि यह व्यापक स्तर पर त्रुटियों की पहचान करने में सक्षम होगी। इसके अतिरिक्त, उन्होंने कहा कि यह करना व्यावहारिक है।

सुरक्षा कमजोरियों पर अध्ययन

गैलाघर के अनुसार, हमारी जैसी कंपनी के लिए यह इतना मूल्यवान इसलिए है क्योंकि इससे हम बहुत कम समय में कई चुनौतियों की पहचान कर पाते हैं। यही इसकी उपयोगिता का एक मुख्य कारण है। उद्योग जगत में यह सर्वविदित है कि यह इसकी लोकप्रियता का एक प्रमुख कारण है। जब हम इसे अगले स्तर पर ले जाने की बात करते हैं, जहाँ इसका उपयोग समस्याओं को हल करने और उनके प्रभाव को कम करने के लिए भी किया जाएगा, तो ऐसा करने की संभावना को ध्यान में रखना आवश्यक है। इस बात को ध्यान में रखना एक अतिरिक्त कदम है जिसे उठाना होगा।

आगे बोलते हुए उन्होंने कहा कि भविष्य में, विशाल भाषा मॉडल पर आधारित कृत्रिम बुद्धिमत्ता प्रणालियों की सुरक्षा के अध्ययन पर अधिक ध्यान दिया जाएगा। उन्होंने यह बात भविष्य के संदर्भ में कही। भविष्य वह परिदृश्य था जिसमें उन्होंने यह कथन दिया। सुरक्षा कमजोरियों के पारंपरिक अध्ययन में शोध का हिस्सा बनने के लिए उच्च तकनीकी क्षमता वाले व्यक्तियों की आवश्यकता नहीं होगी। यह इस तथ्य के विपरीत है कि शोध में भाग लेने के लिए ऐसे व्यक्तियों की आवश्यकता होगी।

निष्कर्ष

सवाल के जवाब में गैलाघर ने कहा, “अगर आप एक माहिर धोखेबाज़ हैं, या सोशल इंजीनियर हैं, या फिर किसी से बात करने में माहिर हैं, तो आपको तकनीकी विशेषज्ञता की ज़रूरत नहीं है।” उन्होंने आगे कहा, “आपको उस स्तर की तकनीकी विशेषज्ञता की भी ज़रूरत नहीं है।” उन्होंने यह भी बताया कि माइक्रोसॉफ्ट ऐसे प्रोग्राम उपलब्ध कराता है जो सुरक्षा शोधकर्ताओं को बग खोजने के लिए प्रोत्साहित करते हैं और सुरक्षा कमजोरियों की जांच में रुचि रखने वाले युवाओं की क्षमता को बढ़ाते हैं। ये प्रोग्राम माइक्रोसॉफ्ट द्वारा पेश किए जाते हैं। माइक्रोसॉफ्ट द्वारा इन एप्लिकेशन के अलावा, ये खास प्रोग्राम भी उपलब्ध हैं। इसके तुरंत बाद उन्होंने कहा कि इन गतिविधियों में भाग लिया जा सकता है।

ब्लू हैट के अनेक सम्मेलन विभिन्न स्थानों पर आयोजित किए जाते हैं, जिनमें से कुछ में रेडमंड, इज़राइल और भारत शामिल हैं। ये सम्मेलन विशेष रूप से उन व्यक्तियों के लिए डिज़ाइन किए गए हैं जो सुरक्षा अनुसंधान के क्षेत्र में अभी शुरुआत कर रहे हैं, और इन सम्मेलनों के लक्षित दर्शक वे ही हैं जो अभी शुरुआत कर रहे हैं। व्याख्यान के समापन में, गैलाघर ने निम्नलिखित कथन दिया: “हम उन्हें शुरुआत में ही शामिल करना चाहते हैं और उन्हें यह समझने में मदद करना चाहते हैं कि वे कुछ बुनियादी कौशलों का लाभ कैसे उठा सकते हैं।” हम निम्नलिखित लक्ष्य को सफलतापूर्वक प्राप्त करना चाहेंगे, जो नीचे सूचीबद्ध है।