Site icon Trendy Blog Spot

माइक्रोसॉफ्ट ने बग बाउंटी योजना का विस्तार करते हुए इसमें थर्ड-पार्टी सॉफ्टवेयर को भी शामिल किया है।

Rahul Tansi
MS Ignite

परिचय

माइक्रोसॉफ्ट ने अपने बग बाउंटी प्रोग्राम को विस्तारित करने का सुझाव दिया है ताकि उन लोगों को आर्थिक प्रोत्साहन दिया जा सके जो माइक्रोसॉफ्ट की ऑनलाइन सेवाओं की सुरक्षा को खतरे में डालने वाली गंभीर सुरक्षा खामियों का पता लगाते हैं। संभव है कि इन खामियों के कारण माइक्रोसॉफ्ट की ऑनलाइन सेवाओं की सुरक्षा पर सवाल उठ सकते हैं। इस कदम से कंपनी ऐसे लोगों को आर्थिक प्रोत्साहन प्रदान कर सकेगी।

माइक्रोसॉफ्ट द्वारा पेश किए जा रहे प्रोत्साहन कार्यक्रम का विस्तार किया जा रहा है ताकि उन सॉफ़्टवेयर कमियों को दूर किया जा सके जो कंपनी द्वारा प्रदान की जाने वाली सेवाओं को प्रभावित कर सकती हैं। यह कार्रवाई इस बात की परवाह किए बिना की जा रही है कि संबंधित एप्लिकेशन का मालिक माइक्रोसॉफ्ट है या नहीं और इसके प्रबंधन के लिए जिम्मेदार है या नहीं। वे यह कदम हर हाल में उठा रहे हैं।

माइक्रोसॉफ्ट क्लाउड सेवाएं

पिछले वर्ष के दौरान, माइक्रोसॉफ्ट ने अपने बग बाउंटी प्रोग्राम और लाइव हैकिंग इवेंट्स के माध्यम से सुरक्षा शोधकर्ताओं को सत्रह मिलियन डॉलर से अधिक की राशि उपलब्ध कराई। ये प्रोग्राम और इवेंट्स पूरे वर्ष आयोजित किए गए। वर्ष 2026 में, कंपनी वित्तीय संसाधनों में अतिरिक्त वृद्धि करने की योजना बना रही है। रेडमंड स्थित मुख्यालय वाली कंपनी ने घोषणा की है कि “डिफ़ॉल्ट रूप से दायरे में” घोषित की गई यह पहल, माइक्रोसॉफ्ट क्लाउड सेवाओं से संबंधित गंभीर कमजोरियों को भी शामिल करने के लिए बग रिवॉर्ड सिस्टम के दायरे को बढ़ाएगी। विवरण में इस प्रयास को “डिफ़ॉल्ट रूप से दायरे में” बताया गया है।

यह उन परिस्थितियों में ओपन-सोर्स और थर्ड-पार्टी कोड के लिए मौद्रिक प्रोत्साहन प्रदान करेगा जहां वर्तमान में कोई बग बाउंटी प्रोग्राम लागू नहीं है। हालांकि, इसके संभव होने के लिए, संबंधित खामियों का माइक्रोसॉफ्ट द्वारा ऑनलाइन बिक्री के लिए उपलब्ध कराए जाने वाले उत्पादों पर प्रभाव पड़ना आवश्यक है।

खुला स्रोत सॉफ्टवेयर

माइक्रोसॉफ्ट ने ऐसे बयान दिए हैं जिनसे संकेत मिलता है कि कंपनी ओपन-सोर्स सॉफ्टवेयर और तीसरे पक्ष द्वारा बनाए गए सॉफ्टवेयर में मौजूद समस्याओं को दूर करने के लिए हर संभव प्रयास करेगी। ये बयान माइक्रोसॉफ्ट द्वारा पहले दिए गए सार्वजनिक बयानों के जवाब में दिए गए थे। यह जवाब माइक्रोसॉफ्ट द्वारा विचाराधीन विषय पर पूछे गए एक प्रश्न के उत्तर में दिया गया था। नीचे दिए गए बयान का एक अंश है, जिसमें विशेष रूप से निम्नलिखित शामिल है: “इसमें पैच लिखना या कोड के मालिक को समस्याओं को हल करने में सहायता प्रदान करना शामिल हो सकता है।” दी जाने वाली सहायता की उचित मात्रा निर्धारित करने के लिए, प्रत्येक मामले की विशिष्ट आवश्यकताओं को ध्यान में रखा जाएगा। इससे उचित मात्रा का निर्धारण सुनिश्चित होगा।

अब तक, माइक्रोसॉफ्ट द्वारा किए गए अधिकांश सुरक्षा खामियों के शोध का ध्यान विशिष्ट उत्पादों से संबंधित बग बाउंटी कार्यक्रमों पर केंद्रित रहा है। अभी तक यही स्थिति रही है।

माइक्रोसॉफ्ट सुरक्षा प्रतिक्रिया केंद्र

नई प्रोत्साहन योजना में “समग्र दृष्टिकोण” का उपयोग किया जाएगा, जो इस पद्धति का वर्णन करता है। यह शब्द दुर्भावनापूर्ण हैकर्स द्वारा सिस्टम पर हमला करने के तरीके को दर्शाता है और उनके द्वारा अपनाई जाने वाली विधियों का प्रतिबिंब है। विभिन्न प्रकार के सॉफ़्टवेयर उत्पादों में मौजूद कमजोरियों की पहचान करना, विभिन्न दृष्टिकोणों से कई पद्धतियों का एक साझा घटक है।

माइक्रोसॉफ्ट सिक्योरिटी रिस्पॉन्स सेंटर के उपाध्यक्ष टॉम गैलाघर ने कहा है कि इस कदम से आपूर्ति श्रृंखलाओं में मौजूद कमजोरियों से बचाव के लिए बेहतर सुरक्षा सुनिश्चित होगी। उन्होंने एक बयान में यह बात कही। यह टिप्पणी गैलाघर ने ही की थी। इन कमजोरियों का फायदा उठाकर और उनका पूरा इस्तेमाल करके हमलावर उच्च-मूल्य वाले लक्ष्यों पर निशाना साध सकते हैं। इससे वे अपने लक्ष्यों को अधिक प्रभावी ढंग से प्राप्त कर पाते हैं।

एज़्योर क्लाउड प्लेटफ़ॉर्म

कंप्यूटर वीकली को दिए गए उनके बयान के अनुसार, माइक्रोसॉफ्ट का लक्ष्य बग रिपोर्ट का उपयोग न केवल खामियों को दूर करने के लिए करना है, बल्कि उन क्षेत्रों की पहचान करने के लिए एक चेतावनी के रूप में भी करना है जहां कंपनी को सुरक्षा के लिए अधिक संसाधनों की आवश्यकता होगी। यही माइक्रोसॉफ्ट का निर्धारित लक्ष्य है। माइक्रोसॉफ्ट की रणनीति का विवरण नीचे दिया गया है। उनके कथन को ध्यान में रखते हुए, यही सही रास्ता है।

सूचना सुरक्षा के क्षेत्र में काम कर रहे कई विशेषज्ञों ने Azure क्लाउड प्लेटफॉर्म में मौजूद महत्वपूर्ण खामियों को दूर करने की प्रक्रिया में Microsoft द्वारा की जा रही “अस्वीकार्य देरी” पर असंतोष व्यक्त किया है। ये दोनों शोधकर्ता सूचना सुरक्षा के क्षेत्र में कार्यरत हैं। इसके अलावा, Microsoft पर एक सुरक्षा अपडेट को ठीक से इंस्टॉल न करने का भी आरोप है, जिसके परिणामस्वरूप अंततः चीनी साइबर जासूसी ने सिस्टम की कमजोरी का फायदा उठाया।

CVE रिपोर्ट

गैलाघर के अनुसार, पिछले एक वर्ष में संगठन ने सुरक्षा उपायों के संबंध में अधिक स्पष्ट और पारदर्शी होने की दिशा में महत्वपूर्ण प्रगति की है। इस प्रतिबद्धता में कंपनी की क्लाउड सेवाओं में पाई गई सॉफ़्टवेयर कमियों पर CVE रिपोर्ट प्रकाशित करने की ज़िम्मेदारी शामिल है। यह ज़िम्मेदारी इस दायित्व के दायरे में आती है। आम जनता को इन कमियों के बारे में काफी समय बीत जाने के बाद ही पता चला। ऐसा इसलिए हुआ क्योंकि Microsoft ने इन्हें खोजते ही स्वचालित रूप से ठीक कर दिया था। यह ध्यान रखना आवश्यक है कि यह एक बहुत ही महत्वपूर्ण तथ्य है।

उनके द्वारा प्रस्तुत साक्ष्य के अनुसार, यह कहा गया था कि “माइक्रोसॉफ्ट पहला क्लाउड प्रदाता था जिसने कहा, ‘अगर क्लाउड में कोई गंभीर समस्या है, भले ही आपको उसे ठीक करने की आवश्यकता न हो, हम वह CVE जारी करेंगे।'” यह कथन इस तथ्य के संदर्भ में दिया गया था कि माइक्रोसॉफ्ट ने इसका प्रमाण प्रस्तुत किया था। कभी-कभी, CVE शब्द का प्रयोग किसी महत्वपूर्ण मानी जाने वाली सुरक्षा खामी के संदर्भ में किया जाता है। हम सुरक्षा क्षेत्र में कार्यरत शोधकर्ताओं द्वारा हमारे ध्यान में लाई गई समस्याओं के जवाब में इस प्रयास में शामिल होते हैं।

विंडोज़ और माइक्रोसॉफ्ट एज़्योर पर

इंटरनेट पर खोजी गई आधी से अधिक सुरक्षा खामियों का पता माइक्रोसॉफ्ट के सुरक्षा विशेषज्ञों ने लगाया है। इन खामियों की पहचान करने की जिम्मेदारी उन्हीं की है। सुरक्षा खामी का विचार अत्यंत महत्वपूर्ण होने के कारण, किसी खामी के लिए दिए जाने वाले मुआवजे की राशि तय करते समय कंपनी कई पहलुओं को ध्यान में रखती है। इसके अलावा, कंपनी उपभोक्ताओं को महत्वपूर्ण क्षेत्रों में कमजोरियों की खोज करने के लिए प्रोत्साहित करने हेतु अधिक उपकरण उपलब्ध कराएगी।

संभव है कि माइक्रोसॉफ्ट की हाइपर वी, जो विंडोज और माइक्रोसॉफ्ट एज़्योर में वर्चुअल मशीनों को अलग करने के लिए इस्तेमाल की जाने वाली तकनीक है, एक ही खामी के परिणामस्वरूप ढाई लाख डॉलर तक का मुआवजा वसूल रही हो। कंपनी इस विशेष विषय को उच्च प्राथमिकता देती है।

माइक्रोसॉफ्ट में रोजगार

कंप्यूटर वीकली को दिए एक साक्षात्कार में गैलाघर ने कहा कि 1999 में माइक्रोसॉफ्ट में काम शुरू करने के बाद से ही दुर्भावनापूर्ण तत्वों और सुरक्षा शोधकर्ताओं के लिए माइक्रोसॉफ्ट सॉफ्टवेयर में खामियों का पता लगाना बहुत मुश्किल हो गया है। गैलाघर ने माइक्रोसॉफ्ट में अपनी नौकरी शुरू करने के बाद से ही इस बात को महसूस किया है। उनका आरोप है कि “यह काम बहुत मुश्किल हो गया है।” अपने पूरे पेशेवर करियर के दौरान, गैलाघर ने इस घटना के कई उदाहरण देखे हैं।

जांच करने वाले शोधकर्ता के अनुसार, “आधुनिक प्रणाली में, शुरुआती बग का पता लगाने के लिए आपको काफी मेहनत करनी पड़ेगी, और एक पूर्ण एक्सप्लॉइट बनाने के लिए, अक्सर आपको ऐसी कमजोरियों की एक श्रृंखला की आवश्यकता होगी जो पूरी तरह से संरेखित हों।” “एक पूर्ण एक्सप्लॉइट बनाने के लिए, इन कमजोरियों का पूरी तरह से संरेखित होना आवश्यक है।” कम से कम, कृत्रिम बुद्धिमत्ता के उपयोग से दोषों की पहचान करना संभव है।

कृत्रिम बुद्धिमत्ता (एआई)

इसके अलावा, कंपनी सुरक्षा खामियों का पता लगाने की प्रक्रिया को स्वचालित बनाने में कृत्रिम बुद्धिमत्ता (एआई) के संभावित उपयोगों का अध्ययन कर रही है। यह पहले बताए गए कार्यों के अतिरिक्त है। गैलाघर के अनुसार, अब तक जो भी विकास हुआ है, वह अभी शुरुआती दौर में है, इससे पहले कि वह अपनी पूरी क्षमता तक पहुंचे। “इसके बेहद फलदायी होने की संभावना को लेकर मैं बहुत उत्साहित हूं।”

उन्होंने कहा कि कृत्रिम बुद्धिमत्ता को जटिल प्रणालियों को समझने की शिक्षा देना संभव है और यह मनुष्यों की तुलना में कहीं अधिक व्यापक स्तर पर त्रुटियों का पता लगाने में सक्षम होगी। उन्होंने यह भी कहा कि यह मनुष्यों के साथ संवाद करने में सक्षम होगी। उन्होंने आगे कहा कि यह व्यापक स्तर पर त्रुटियों की पहचान करने में सक्षम होगी। इसके अतिरिक्त, उन्होंने कहा कि यह करना व्यावहारिक है।

सुरक्षा कमजोरियों पर अध्ययन

गैलाघर के अनुसार, हमारी जैसी कंपनी के लिए यह इतना मूल्यवान इसलिए है क्योंकि इससे हम बहुत कम समय में कई चुनौतियों की पहचान कर पाते हैं। यही इसकी उपयोगिता का एक मुख्य कारण है। उद्योग जगत में यह सर्वविदित है कि यह इसकी लोकप्रियता का एक प्रमुख कारण है। जब हम इसे अगले स्तर पर ले जाने की बात करते हैं, जहाँ इसका उपयोग समस्याओं को हल करने और उनके प्रभाव को कम करने के लिए भी किया जाएगा, तो ऐसा करने की संभावना को ध्यान में रखना आवश्यक है। इस बात को ध्यान में रखना एक अतिरिक्त कदम है जिसे उठाना होगा।

आगे बोलते हुए उन्होंने कहा कि भविष्य में, विशाल भाषा मॉडल पर आधारित कृत्रिम बुद्धिमत्ता प्रणालियों की सुरक्षा के अध्ययन पर अधिक ध्यान दिया जाएगा। उन्होंने यह बात भविष्य के संदर्भ में कही। भविष्य वह परिदृश्य था जिसमें उन्होंने यह कथन दिया। सुरक्षा कमजोरियों के पारंपरिक अध्ययन में शोध का हिस्सा बनने के लिए उच्च तकनीकी क्षमता वाले व्यक्तियों की आवश्यकता नहीं होगी। यह इस तथ्य के विपरीत है कि शोध में भाग लेने के लिए ऐसे व्यक्तियों की आवश्यकता होगी।

निष्कर्ष

सवाल के जवाब में गैलाघर ने कहा, “अगर आप एक माहिर धोखेबाज़ हैं, या सोशल इंजीनियर हैं, या फिर किसी से बात करने में माहिर हैं, तो आपको तकनीकी विशेषज्ञता की ज़रूरत नहीं है।” उन्होंने आगे कहा, “आपको उस स्तर की तकनीकी विशेषज्ञता की भी ज़रूरत नहीं है।” उन्होंने यह भी बताया कि माइक्रोसॉफ्ट ऐसे प्रोग्राम उपलब्ध कराता है जो सुरक्षा शोधकर्ताओं को बग खोजने के लिए प्रोत्साहित करते हैं और सुरक्षा कमजोरियों की जांच में रुचि रखने वाले युवाओं की क्षमता को बढ़ाते हैं। ये प्रोग्राम माइक्रोसॉफ्ट द्वारा पेश किए जाते हैं। माइक्रोसॉफ्ट द्वारा इन एप्लिकेशन के अलावा, ये खास प्रोग्राम भी उपलब्ध हैं। इसके तुरंत बाद उन्होंने कहा कि इन गतिविधियों में भाग लिया जा सकता है।

ब्लू हैट के अनेक सम्मेलन विभिन्न स्थानों पर आयोजित किए जाते हैं, जिनमें से कुछ में रेडमंड, इज़राइल और भारत शामिल हैं। ये सम्मेलन विशेष रूप से उन व्यक्तियों के लिए डिज़ाइन किए गए हैं जो सुरक्षा अनुसंधान के क्षेत्र में अभी शुरुआत कर रहे हैं, और इन सम्मेलनों के लक्षित दर्शक वे ही हैं जो अभी शुरुआत कर रहे हैं। व्याख्यान के समापन में, गैलाघर ने निम्नलिखित कथन दिया: “हम उन्हें शुरुआत में ही शामिल करना चाहते हैं और उन्हें यह समझने में मदद करना चाहते हैं कि वे कुछ बुनियादी कौशलों का लाभ कैसे उठा सकते हैं।” हम निम्नलिखित लक्ष्य को सफलतापूर्वक प्राप्त करना चाहेंगे, जो नीचे सूचीबद्ध है।

Exit mobile version