साइबर हमलावरों 911 डायल करने के लिए इसे असंभव बना सकते हैं

यह अक्सर नहीं है कि हम में से किसी को भी 911 डायल करने की जरूरत है, लेकिन हम जानते हैं कि जब इसकी ज़रूरत होती है, तब काम करने के लिए यह कितना महत्वपूर्ण है। यह महत्वपूर्ण है कि 911 सेवाएं हमेशा उपलब्ध रहेंगी - दोनों आपात स्थिति का जवाब देने की व्यावहारिकता के लिए और लोगों को मन की शांति प्रदान करने के लिए। लेकिन एक नए प्रकार के हमले सामने आए हैं जो कर सकते हैं 911 का उपयोग करें - हमारा शोध बताता है कि सिस्टम के परिणामों के परिणामस्वरूप ये हमले कैसे होते हैं vulnerablities। हम दिखाते हैं कि ये हमले सार्वजनिक सुरक्षा के लिए बेहद गंभीर नतीजे पैदा कर सकते हैं।

हाल के वर्षों में, लोग "साइरेटैकैक" की एक तरह से और अधिक जागरूक हो गए हैं जिन्हें "इनकार-ऑफ-सर्विस" कहा जाता है, जिसमें वेबसाइटों को यातायात में बाढ़ आ जाता है - अक्सर कई कंप्यूटरों द्वारा उत्पन्न की जाती है, जो एक हैकर द्वारा अपहृत होते हैं और एक-दूसरे के साथ मिलकर काम करते हैं। इस हमेशा होता है, और ने यातायात को प्रभावित किया है वित्तीय संस्थाएं, मनोरंजन कंपनियों, सरकारी एजेंसियों और भी प्रमुख इंटरनेट रूटिंग सेवाएं.

911 कॉल सेंटर पर एक समान हमले संभव है। अक्टूबर में, क्या प्रतीत होता है एरिजोना में एक स्मार्टफोन से शुरू हुआ पहला आक्रमण. एक 18 वर्षीय हैकर को गिरफ्तार किया गया था आरोपों पर कि उन्होंने स्थानीय 911 सेवा पर टेलीफोन पर नकार-ऑफ-सर्विस हमले का आयोजन किया। अगर हम इसे और जगहों से होने से रोकने के लिए हैं, तो हमें यह समझने की आवश्यकता है कि प्रौद्योगिकी और नीति दोनों में, 911 सिस्टम कैसे काम करते हैं और जहां कमजोरियों की झूठ होती है।

सेवा के इनकार को समझना

कंप्यूटर नेटवर्क में क्षमता सीमाएं हैं - वे एक समय में केवल इतना यातायात, बहुत सारे कनेक्शन, को संभाल सकते हैं। यदि वे अतिभारित होते हैं, तो नए कनेक्शन के माध्यम से नहीं मिल सकता है। वही बात फोन लाइनों के साथ होती है - जो कि ज्यादातर कंप्यूटर नेटवर्क कनेक्शन हैं।

इसलिए यदि कोई हमलावर दुर्भावनापूर्ण यातायात के साथ सभी उपलब्ध कनेक्शनों को बांटने का प्रबंधन कर सकता है, तो कोई भी वैध जानकारी नहीं है - जैसे कि नियमित रूप से एक वेबसाइट ब्राउज़ करने वाले लोग, या वास्तविक आपातकाल में 911 को बुला रहे हैं - इसे माध्यम से बना सकते हैं

इस तरह के हमले को अक्सर मैलवेयर को कई सारे कंप्यूटरों तक फैलाने के द्वारा किया जाता है, जिससे उन्हें संक्रमित किया जा सके ताकि उन्हें दूर से नियंत्रित किया जा सके। स्मार्टफोन, जो सभी बहुत ही छोटे कंप्यूटर के बाद होते हैं, को भी इस तरह से हाइजैक किया जा सकता है। फिर हमलावर उन्हें किसी विशेष साइट या फोन नंबर को ट्रैफ़िक के साथ उतारने के लिए कह सकते हैं, प्रभावी रूप से इसे ऑफ़लाइन ले जा सकते हैं।

कई इंटरनेट कंपनियों ने ऑनलाइन इस तरह के हमले से बचाव के लिए महत्वपूर्ण कदम उठाए हैं उदाहरण के लिए, Google शील्ड एक ऐसी सेवा है जो Google के विशाल नेटवर्क इंटरनेट सर्वर का उपयोग करके ट्रैफिक पर हमला करने के लिए केवल वैध कनेक्शन के माध्यम से अनुमति देने के लिए हमलों से समाचार साइटों को सुरक्षित करती है। हालांकि, फोन कंपनियों ने इसी तरह की कार्रवाई नहीं की है।

911 टेलीफोन सिस्टम को संबोधित करते हुए

1968 से पहले, अमेरिकी आपातकालीन सेवाओं में स्थानीय फोन नंबर था लोगों को करना था विशिष्ट नंबर डायल करें आग, पुलिस या एम्बुलेंस सेवाओं तक पहुंचने के लिए - या ऑपरेटर के लिए "0" डायल कर सकता है, जो उन्हें कनेक्ट कर सकता था। लेकिन यह असुविधाजनक और खतरनाक था - लोगों को सही संख्या याद नहीं आई, या उन्हें पता नहीं था क्योंकि वे सिर्फ इस क्षेत्र का दौरा कर रहे थे।

911 सिस्टम को अधिक सार्वभौमिक और प्रभावी प्रणाली के रूप में बनाया गया था। जैसा कि यह वर्षों में विकसित हुआ है, एक एक्सएनएक्सएक्स कॉलर एक विशेष कॉल सेंटर से जुड़ा है - जिसे एक सार्वजनिक सुरक्षा जवाब देने वाला बिंदु कहा जाता है - जो कॉलर से जानकारी प्राप्त करने और उचित आपातकालीन सेवाओं को प्रेषित करने के लिए ज़िम्मेदार है

ये कॉल सेंटर देश भर के समुदायों में स्थित हैं, और प्रत्येक विशिष्ट भौगोलिक क्षेत्रों के लिए सेवा प्रदान करते हैं। कुछ व्यक्ति अलग-अलग शहरों की सेवा करते हैं, जबकि अन्य बड़े क्षेत्रों में काम करते हैं, जैसे काउंटियों। जब टेलीफ़ोन ग्राहक अपने लैंडलाइन या मोबाइल फोन पर 911 डायल करते हैं, टेलीफोन कंपनियों की व्यवस्था उपयुक्त कॉल सेंटर से कनेक्शन बनाती है

बेहतर समझने के लिए कि इनकार सेवा के हमले 911 कॉल सिस्टम को कैसे प्रभावित कर सकते हैं, हमने नॉर्थ कैरोलिना के 911 अवसंरचना का एक विस्तृत कंप्यूटर सिमुलेशन बनाया है, और पूरे अमेरिकी आपातकालीन कॉल सिस्टम के सामान्य सिमुलेशन।

हमले के प्रभाव की जांच करना

हमारे अनुकरण को स्थापित करने के बाद, हमने यह पता लगाने के लिए हमला किया कि यह कितना कमजोर है। हमने पाया कि केवल 911 संक्रमित मोबाइल फोन के साथ 6,000 सेवा की उपलब्धता को कम करने के लिए संभवतः संभव था - राज्य की आबादी का केवल 0.0006 प्रतिशत।

केवल अपेक्षाकृत छोटी संख्या वाले फ़ोनों का उपयोग करके, यह उत्तरी कैरोलिना के लैंडलाइन कॉलरों के 911 प्रतिशत और मोबाइल ग्राहकों के आधे हिस्से से 20 कॉल को प्रभावी ढंग से ब्लॉक करने के लिए संभावित है। हमारे अनुकरण में, यहां तक ​​कि जिन लोगों ने चार या पांच बार वापस बुलाया हो, वे सहायता पाने के लिए एक 911 ऑपरेटर तक नहीं पहुंच पाएंगे।

राष्ट्रीय स्तर पर, एक समान प्रतिशत, जो केवल 200,000 अपहृत स्मार्टफोन का प्रतिनिधित्व करते हैं, का एक समान प्रभाव होता। लेकिन यह एक निश्चित अर्थ में, एक आशावादी खोज है नैशनल इमरजेंसी नंबर एसोसिएशन के लिए सरकार के मामलों के निदेशक ट्रे फैगेटी ने वाशिंगटन पोस्ट में हमारे निष्कर्षों पर प्रतिक्रिया दी, कह, "हम वास्तव में विश्वास करते हैं कि भेद्यता वास्तव में [शोधकर्ताओं] की गणना से भी बदतर है".

नीति खतरे को बदतर बना देती है

यदि ये दुर्भावनापूर्ण कॉल की पहचान की गई और जिस समय उन्हें रखा गया था, तो इन प्रकार के आक्रमण संभवतः कम प्रभावी हो सकते हैं। मोबाइल फोन के दो अलग-अलग प्रकार की पहचान करने वाली जानकारी है। IMSI (इंटरनेशनल मोबाइल सब्सक्राइबर आइडेंटिटी) वह फ़ोन नंबर है जिसे किसी व्यक्ति को उस फोन तक पहुंचने के लिए कॉल करना चाहिए। IMEI (अंतर्राष्ट्रीय मोबाइल स्टेशन उपकरण पहचान) का उपयोग नेटवर्क पर विशिष्ट भौतिक डिवाइस को ट्रैक करने के लिए किया जाता है।

किसी विशेष फोन से आने वाले 911 कॉल की पहचान करने के लिए एक रक्षा प्रणाली स्थापित की जा सकती है, जिसने एक निश्चित अवधि में 911 कॉल की एक निश्चित संख्या से अधिक किया है - पिछले दो मिनट में 10 कॉल से अधिक कहें।

यह नैतिक समस्याएं उठाती है - क्या होगा अगर कोई वास्तविक और चल रही आपात स्थिति है, और कोई डिस्पैबर से बात करते समय फोन रिसेप्शन खो देता है? अगर वे कई बार वापस बुलाते हैं, तो क्या उनकी मदद के लिए रुक जाएगा? किसी भी मामले में, कई फ़ोनों पर आने वाले हमलावरों ने अपने अपहृत फोन को कम बार कॉल करने के लिए कहकर रक्षा के इस तरह के तरीके को रोक सकता है - और अधिक व्यक्तिगत फ़ोन कॉल करके

लेकिन आपातकालीन सेवाओं तक पहुंच सुनिश्चित करने के लिए संघीय नियमों का मतलब है कि यह समस्या किसी भी तरह से विवादास्पद हो सकती है। एक 1996 फेडरल कम्युनिकेशंस कमिशन के आदेश के लिए मोबाइल फोन कंपनियों की आवश्यकता है सभी 911 को सीधे कॉल करें आपातकालीन प्रेषक सेलफोन कंपनियों को यह जांच करने की अनुमति नहीं है कि क्या फोन से आने वाला फोन ने सेवा में सक्रिय खाता रखने के लिए भुगतान किया है या नहीं। वे यह भी जांच नहीं कर सकते कि फोन में एक सिम कार्ड है या नहीं। एफसीसी नियम सरल है: यदि किसी मोबाइल फोन पर किसी को 911 डायल करता है, तो उसे एक आपातकालीन कॉल सेंटर से जोड़ा जाना चाहिए।

नियम सार्वजनिक सुरक्षा परिप्रेक्ष्य से समझ में आता है: यदि किसी व्यक्ति को (या गवाह) एक जीवन-धमकी वाली आपात स्थिति हो रही है, तो उन्हें सहायता प्राप्त करने से रोक नहीं ली जानी चाहिए क्योंकि वे अपने सेलफोन बिल का भुगतान नहीं करते हैं या नहीं एक सक्रिय खाता है

लेकिन इस प्रणाली में सिस्टम में एक भेद्यता खुलती है, जो हमलावरों का फायदा उठा सकते हैं। एक परिष्कृत हमलावर एक फोन को ऐसे तरीके से संक्रमित कर सकता है जिससे इसे 911 डायल करता है लेकिन रिपोर्ट करता है कि इसमें सिम कार्ड नहीं है यह "अननामित" फोन की कोई पहचान नहीं, कोई फ़ोन नंबर नहीं है और इसकी कोई जानकारी नहीं है कि इसके मालिक कौन हैं न तो फोन कंपनी या न ही 911 कॉल सेंटर इस कॉल को संभवत: मदद के लिए वैध कॉल को अवरुद्ध किए बिना अवरुद्ध कर सकता है।

जिन काउंटरमेचर मौजूद हैं, या संभव है, आजकल मुश्किल और अत्यधिक दोषपूर्ण हैं। उनमें से बहुत से 911 फोन करने से कुछ डिवाइस को अवरुद्ध करना शामिल है, जो मदद के लिए एक वैध कॉल को रोकने का जोखिम उठाता है। लेकिन वे उन क्षेत्रों को इंगित करते हैं जहां आगे की जांच - और शोधकर्ताओं, दूरसंचार कंपनियों, नियामकों और आपातकालीन कर्मियों के बीच सहयोग - उपयोगी सफलताओं का उत्पादन कर सकता है।

उदाहरण के लिए, धोखाधड़ी 911 कॉल करने से खुद को अवरुद्ध करने के लिए सेलफोन को निगरानी सॉफ्टवेयर चलाने की आवश्यकता हो सकती है। या 911 सिस्टम आने वाली कॉल की पहचान जानकारी की जांच कर सकते हैं और उन लोगों से प्राथमिकता दे सकते हैं जो खुद को मुखौटा करने की कोशिश नहीं कर रहे हैं। हमें 911 सिस्टम की सुरक्षा के तरीकों को ढूंढना चाहिए, जो हमें सभी की सुरक्षा करता है।

वार्तालाप

लेखक के बारे में

मॉर्डचाई गुरी, आर एंड डी के प्रमुख, साइबर सिक्योरिटी रिसर्च सेंटर; मुख्य वैज्ञानिक, मोर्फीसेक अंत बिंदु सुरक्षा, नेगेव के बेन-गुरियन विश्वविद्यालय; यिशोएल मिर्स्की, पीएच.डी. सूचना प्रणाली इंजीनियरिंग में अभ्यर्थी, नेगेव के बेन-गुरियन विश्वविद्यालय, और युवल एलोविसी, प्रोफेसर ऑफ इंफॉर्मेशन सिस्टम इंजीनियरिंग, नेगेव के बेन-गुरियन विश्वविद्यालय

यह आलेख मूलतः पर प्रकाशित हुआ था वार्तालाप। को पढ़िए मूल लेख.

संबंधित पुस्तकें:

{amazonWS: searchindex = Books; कीवर्ड्स = साइबर अटैक; मैक्समूलस = एक्सएनयूएमएक्स}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

InnerSelf पर का पालन करें

फेसबुक आइकनट्विटर आइकनआरएसएस आइकन

ईमेल से नवीनतम प्राप्त करें

{Emailcloak = बंद}

इनर्सल्फ़ आवाज

एमएसएनबीसी का क्लाइमेट फोरम 2020 डे 1 और 2
by रॉबर्ट जेनिंग्स, इनरएसल्फ़। Com

सबसे ज़्यादा पढ़ा हुआ