सामग्री पर जाएँ

कंप्यूटर सुरक्षा

भौतिक सुरक्षा उपाय का एक उदाहरण: हार्डवेयर से छेड़छाड़ को रोकने के लिए व्यक्तिगत संगणक के पीछे लगा धातु का लॉक।

कंप्यूटर सुरक्षा (जिसे साइबर सुरक्षा, डिजिटल सुरक्षा या सूचना प्रौद्योगिकी (आईटी) सुरक्षा भी कहा जाता है) कंप्यूटर सॉफ़्टवेयर, प्रणालियों और नेटवर्क की उन खतरों से रक्षा करने के लिए है, जो अनधिकृत जानकारी के खुलासे, हार्डवेयर, सॉफ़्टवेयर या डेटा की चोरी (या क्षति) के साथ-साथ उनकी सेवाओं में व्यवधान या गलत दिशा में ले जाने का कारण बन सकते हैं।[1][2]

यह क्षेत्र इसलिए महत्वपूर्ण है क्योंकि कंप्यूटर प्रणालियों, इंटरनेट[3] और वायरलेस नेटवर्क मानकों पर बढ़ती निर्भरता है। यह स्मार्ट उपकरणों के विकास के कारण भी महत्वपूर्ण है, जिसमें स्मार्टफ़ोन, टेलीविज़न और इंटरनेट ऑफ थिंग्स (IoT) से जुड़े विभिन्न उपकरण शामिल हैं। सूचना प्रणालियों की जटिलता और उनके द्वारा समर्थित समाजों के कारण साइबर सुरक्षा समकालीन दुनिया के सामने सबसे महत्वपूर्ण नई चुनौतियों में से एक है। सुरक्षा उन प्रणालियों के लिए विशेष रूप से महत्वपूर्ण है जो बिजली वितरण, चुनाव और वित्त जैसे बड़े पैमाने पर काम करने वाली प्रणालियों को नियंत्रित करती हैं और जिनका व्यापक भौतिक प्रभाव होता है।[4][5]

कंप्यूटर सुरक्षा के कई पहलू डिजिटल सुरक्षा से जुड़े होते हैं, जैसे इलेक्ट्रॉनिक पासवर्ड और एन्क्रिप्शन, लेकिन अनधिकृत छेड़छाड़ को रोकने के लिए अभी भी धातु के ताले जैसी भौतिक सुरक्षा उपायों का उपयोग किया जाता है। आईटी सुरक्षा सूचना सुरक्षा का एक सही उपसमुच्चय नहीं है, इसलिए यह सुरक्षा सम्मेलन योजना में पूरी तरह फिट नहीं होती।

कमज़ोरियाँ और हमले

मुख्य लेख: भेद्यता (कंप्यूटिंग)

भेद्यता एक दोष को संदर्भित करती है जो कंप्यूटर या प्रणाली की संरचना, निष्पादन, कार्यप्रणाली या आंतरिक निगरानी में होती है, जिससे उसकी सुरक्षा खतरे में पड़ जाती है। अब तक खोजी गई अधिकांश भेद्यताओं को कॉमन वल्नरेबिलिटीज एंड एक्सपोजर्स (CVE) डेटाबेस में प्रलेखित किया गया है।[6] एक शोषण योग्य भेद्यता वह होती है, जिसके लिए कम से कम एक प्रभावी हमला या शोषण मौजूद होता है।[7] जो व्यक्ति या समूह जानबूझकर भेद्यताओं की तलाश करते हैं, उन्हें खतरे के रूप में जाना जाता है। भेद्यताओं पर शोध किया जा सकता है, उन्हें रिवर्स-इंजीनियरिंग, शिकार या स्वचालित उपकरणों या अनुकूलित स्क्रिप्ट का उपयोग करके शोषित किया जा सकता है।[8][9]

विभिन्न लोग या समूह साइबर हमलों के शिकार हो सकते हैं, लेकिन विभिन्न समूहों को अलग-अलग प्रकार के हमले ज्यादा झेलने पड़ते हैं।[10]

अप्रैल 2023 में, यूनाइटेड किंगडम के विज्ञान, नवाचार और प्रौद्योगिकी विभाग ने पिछले 12 महीनों में हुए साइबर हमलों पर एक रिपोर्ट जारी की।[11] इसमें उन्होंने 2,263 यूके व्यवसायों, 1,174 यूके में पंजीकृत चैरिटीज़ और 554 शैक्षणिक संस्थानों का सर्वेक्षण किया। शोध में पाया गया कि "32% व्यवसाय और 24% चैरिटीज़ ने पिछले 12 महीनों में किसी भी प्रकार के उल्लंघन या हमलों का अनुभव किया।" ये आंकड़े "मध्यम व्यवसायों (59%), बड़े व्यवसायों (69%), और उच्च आय वाली चैरिटीज़ जिनकी वार्षिक आय £500,000 या उससे अधिक है (56%)" के लिए अधिक थे।[11] हालांकि मध्यम और बड़े व्यवसाय अधिकतर शिकार होते हैं, क्योंकि बड़े व्यवसायों ने पिछले दशक में अपनी सुरक्षा में सुधार किया है, लेकिन छोटे और मध्यम आकार के व्यवसाय (SMBs) भी तेजी से अधिक भेद्य होते जा रहे हैं क्योंकि उनके पास व्यापार की रक्षा के लिए उन्नत उपकरण नहीं होते।[10] SMBs आमतौर पर मैलवेयर, रैंसमवेयर, फ़िशिंग, मैन-इन-द-मिडल अटैक्स, और डिनायल-ऑफ सर्विस (DoS) हमलों से प्रभावित होते हैं।[10]

साधारण इंटरनेट उपयोगकर्ताओं पर सबसे अधिक अप्रत्यक्ष साइबर हमलों का खतरा होता है।[12] इन हमलों में हमलावर जितने संभव हो उतने उपकरणों, सेवाओं या उपयोगकर्ताओं को अंधाधुंध रूप से निशाना बनाते हैं। वे इंटरनेट की खुली प्रकृति का लाभ उठाकर यह करते हैं। इन रणनीतियों में मुख्य रूप से फ़िशिंग, रैंसमवेयर, वॉटर होलिंग और स्कैनिंग शामिल होती हैं।[12]

किसी कंप्यूटर प्रणाली को सुरक्षित करने के लिए, यह समझना महत्वपूर्ण है कि उस पर कौन-कौन से हमले किए जा सकते हैं। आमतौर पर इन खतरों को निम्नलिखित श्रेणियों में वर्गीकृत किया जा सकता है:

बैकडोर

कंप्यूटर सिस्टम, क्रिप्टोसिस्टम, या एल्गोरिदम में एक बैकडोर एक गुप्त तरीका होता है, जो सामान्य प्रमाणीकरण या सुरक्षा नियंत्रणों को दरकिनार करने के लिए इस्तेमाल किया जाता है। यह कमजोरी कई कारणों से हो सकती है, जिसमें मूल डिज़ाइन या खराब कॉन्फ़िगरेशन शामिल है।[13] बैकडोर की प्रकृति के कारण, ये कंपनियों और डेटाबेस के लिए अधिक चिंता का विषय होते हैं, न कि व्यक्तिगत उपयोगकर्ताओं के लिए।

बैकडोर को किसी अधिकृत पक्ष द्वारा वैध पहुंच की अनुमति देने के लिए जोड़ा जा सकता है, या फिर हमलावर इसे दुर्भावनापूर्ण उद्देश्यों के लिए स्थापित कर सकते हैं। अपराधी अक्सर मैलवेयर का उपयोग करके बैकडोर स्थापित करते हैं, जिससे उन्हें सिस्टम पर रिमोट प्रशासनिक पहुंच मिल जाती है।[14] एक बार पहुंच प्राप्त करने के बाद, साइबर अपराधी फाइलों को संशोधित कर सकते हैं, व्यक्तिगत जानकारी चुरा सकते हैं, अवांछित सॉफ़्टवेयर स्थापित कर सकते हैं, और यहां तक कि पूरे कंप्यूटर का नियंत्रण भी ले सकते हैं।[14]

बैकडोर का पता लगाना बहुत कठिन हो सकता है और आमतौर पर इसे वही व्यक्ति खोज सकता है जिसे एप्लिकेशन के स्रोत कोड या कंप्यूटर के ऑपरेटिंग सिस्टम की गहरी जानकारी हो।

डिनायल-ऑफ-सर्विस हमला

डिनायल-ऑफ-सर्विस (DoS) हमले एक मशीन या नेटवर्क संसाधन को उसके इच्छित उपयोगकर्ताओं के लिए अनुपलब्ध बनाने के उद्देश्य से किए जाते हैं।[15] हमलावर सेवा को व्यक्तिगत पीड़ितों से इनकार कर सकते हैं, जैसे कि जानबूझकर कई बार गलत पासवर्ड दर्ज करना ताकि पीड़ित का खाता लॉक हो जाए, या वे मशीन या नेटवर्क की क्षमताओं को ओवरलोड कर सभी उपयोगकर्ताओं को एक साथ ब्लॉक कर सकते हैं। जबकि एक नेटवर्क हमले को एकल आईपी पते से फायरवॉल नियम जोड़कर ब्लॉक किया जा सकता है, कई प्रकार के वितरित डिनायल-ऑफ-सर्विस (DDoS) हमले संभव हैं, जहां हमला कई बिंदुओं से होता है। इस मामले में, इन हमलों से बचाव करना कहीं अधिक कठिन होता है। ऐसे हमले ज़ॉम्बी कंप्यूटरों की एक बॉटनेट से उत्पन्न हो सकते हैं या अन्य तकनीकों जैसे वितरित रिफ्लेक्टिव डिनायल-ऑफ-सर्विस (DRDoS) से हो सकते हैं, जहां निर्दोष सिस्टमों को धोखा देकर ट्रैफ़िक पीड़ित की ओर भेजा जाता है।[15] इस तरह के हमलों में वृद्धि कारक हमलावर के लिए हमले को आसान बना देता है क्योंकि उन्हें अपने स्वयं के बैंडविड्थ का कम उपयोग करना पड़ता है। यह समझने के लिए कि हमलावर इन हमलों को क्यों अंजाम देते हैं, 'हमलावर की प्रेरणा' अनुभाग देखें।

डायरेक्ट-एक्सेस हमला

डायरेक्ट-एक्सेस हमला तब होता है जब एक अनधिकृत उपयोगकर्ता (हमलावर) किसी कंप्यूटर तक भौतिक रूप से पहुंच प्राप्त करता है, सबसे अधिक संभावना है कि वह इससे डेटा को सीधे कॉपी कर सके या जानकारी चुरा सके।[16] हमलावर सुरक्षा से समझौता कर सकते हैं जैसे कि ऑपरेटिंग सिस्टम में बदलाव करना, सॉफ़्टवेयर वर्म्स, कीलॉगर्स, गुप्त सुनने वाले उपकरणों को स्थापित करना या वायरलेस माइक्रोफोन का उपयोग करना। यहां तक कि जब सिस्टम मानक सुरक्षा उपायों से सुरक्षित होता है, तो भी इन उपायों को एक अन्य ऑपरेटिंग सिस्टम या टूल को CD-ROM या अन्य बूटेबल मीडिया से बूट करके बाईपास किया जा सकता है। डिस्क एन्क्रिप्शन और ट्रस्टेड प्लेटफार्म मॉड्यूल (TPM) मानक को इन हमलों को रोकने के लिए डिज़ाइन किया गया है।

डायरेक्ट सर्विस हमलावर का सिद्धांत डायरेक्ट मेमोरी हमलों से संबंधित है, जो हमलावर को कंप्यूटर की मेमोरी तक सीधे पहुंच प्रदान करते हैं।[17] ये हमले "आधुनिक कंप्यूटरों की एक विशेषता का फायदा उठाते हैं, जो बाहरी हार्ड ड्राइव, ग्राफिक्स कार्ड, या नेटवर्क कार्ड जैसी कुछ डिवाइसों को कंप्यूटर की मेमोरी तक सीधे पहुंचने की अनुमति देती हैं।"[17]

ईव्सड्रॉपिंग

ईव्सड्रॉपिंग एक निजी कंप्यूटर संवाद (संचार) को चुपके से सुनने का कार्य है, जो आमतौर पर नेटवर्क पर होस्ट्स के बीच होता है। यह तब होता है जब कोई उपयोगकर्ता ऐसे नेटवर्क से जुड़ता है जहां ट्रैफ़िक सुरक्षित या एन्क्रिप्टेड नहीं होता और वह संवेदनशील व्यावसायिक डेटा एक सहकर्मी को भेजता है, जिसे हमलावर द्वारा सुनकर शोषित किया जा सकता है।[18] "खुले नेटवर्क" के माध्यम से भेजे गए डेटा को हमलावर विभिन्न तरीकों से भेद्यता का फायदा उठाकर इंटरसेप्ट कर सकता है।

मैलवेयर, डायरेक्ट-एक्सेस हमलों या अन्य साइबर हमलों के विपरीत, ईव्सड्रॉपिंग हमले नेटवर्क या उपकरणों के प्रदर्शन को नकारात्मक रूप से प्रभावित करने की संभावना कम रखते हैं, जिससे इन्हें पहचानना मुश्किल हो जाता है।[18] वास्तव में, "हमलावर को सॉफ़्टवेयर से किसी भी निरंतर कनेक्शन की आवश्यकता नहीं होती। हमलावर सॉफ़्टवेयर को किसी संक्रमित उपकरण पर डाल सकता है, चाहे वह सीधे हो या किसी वायरस या अन्य मैलवेयर के माध्यम से, और फिर बाद में किसी भी डेटा को प्राप्त करने या डेटा भेजने के लिए सॉफ़्टवेयर को सक्रिय करने के लिए वापस आ सकता है।"[19]

वर्चुअल प्राइवेट नेटवर्क (VPN) का उपयोग करना, जो दो बिंदुओं के बीच डेटा को एन्क्रिप्ट करता है, ईव्सड्रॉपिंग के खिलाफ सुरक्षा का एक सबसे सामान्य रूप है। वायरलेस नेटवर्क के लिए सबसे अच्छी एन्क्रिप्शन विधि का उपयोग करना और एन्क्रिप्टेड HTTP (HTTPS) का उपयोग करना भी एक बेहतरीन तरीका है।[20]

कानून प्रवर्तन एजेंसियों द्वारा भी ईव्सड्रॉपिंग के लिए कुछ प्रोग्रामों का उपयोग किया जाता है, जैसे कि Carnivore और NarusInSight, जिन्हें FBI और NSA द्वारा इंटरनेट सेवा प्रदाताओं की प्रणालियों की निगरानी के लिए उपयोग किया गया है। यहां तक कि बंद प्रणालियों (जिनका बाहरी दुनिया से कोई संपर्क नहीं होता) को भी ईव्सड्रॉप किया जा सकता है, जो हार्डवेयर द्वारा उत्पन्न सूक्ष्म विद्युतचुंबकीय प्रसारणों की निगरानी करके किया जाता है। TEMPEST एक NSA विनिर्देश है जो इन हमलों का संदर्भ देता है।

मैलवेयर

मैलिशियस सॉफ़्टवेयर (मैलवेयर) किसी भी सॉफ़्टवेयर कोड या कंप्यूटर प्रोग्राम को कहा जाता है, जिसे जानबूझकर कंप्यूटर सिस्टम या उसके उपयोगकर्ताओं को नुकसान पहुँचाने के उद्देश्य से लिखा जाता है।[21] एक बार कंप्यूटर में मौजूद होने पर, यह संवेदनशील जानकारी जैसे व्यक्तिगत और व्यावसायिक जानकारी, पासवर्ड लीक कर सकता है, सिस्टम का नियंत्रण हमलावर को दे सकता है, और डेटा को भ्रष्ट या स्थायी रूप से हटा सकता है।[22] मैलवेयर का एक प्रकार रैनसमवेयर होता है, जिसमें मैलवेयर पीड़ित की मशीन पर खुद को इंस्टॉल करता है, उसकी फ़ाइलों को एन्क्रिप्ट करता है, और फिर उस डेटा को वापस देने के लिए फिरौती (आमतौर पर बिटकॉइन में) की मांग करता है।[23]

मैलवेयर के कुछ प्रकार निम्नलिखित हैं:

  • वायरस: यह एक प्रकार का मैलवेयर होता है, जो सॉफ़्टवेयर को हाइजैक करता है और नुकसान पहुँचाने और खुद की प्रतिलिपियाँ फैलाने का इरादा रखता है। यह अन्य प्रोग्रामों में फैलने के लिए कॉपियाँ बनाता है।[21]
  • वर्म्स: वायरस के समान होते हैं, लेकिन वायरस को कार्य करने के लिए उपयोगकर्ता द्वारा एक समझौता किए गए प्रोग्राम को चलाने की आवश्यकता होती है। वर्म्स स्वयं-प्रतिकृति करने वाले मैलवेयर होते हैं, जो बिना मानव हस्तक्षेप के प्रोग्रामों, ऐप्स और डिवाइसों के बीच फैलते हैं।[21]
  • ट्रोजन हॉर्स: ये प्रोग्राम होते हैं, जो उपयोगी या वैध सॉफ़्टवेयर के रूप में छिपे रहते हैं या खुद को दिखाते हैं ताकि उपयोगकर्ताओं को उन्हें इंस्टॉल करने के लिए धोखा दिया जा सके। एक बार इंस्टॉल होने के बाद, रिमोट एक्सेस ट्रोजन (RAT) प्रभावित डिवाइस पर एक गुप्त बैकडोर बना सकता है, जिससे नुकसान पहुँचाया जा सके।[21]
  • स्पाइवेयर: यह एक प्रकार का मैलवेयर होता है, जो संक्रमित कंप्यूटर से जानकारी एकत्र करता है और इसे हमलावर को भेजता है। स्पाइवेयर का एक सामान्य रूप कीलॉगर्स होते हैं, जो उपयोगकर्ता की सभी कीबोर्ड इनपुट/कीस्ट्रोक को रिकॉर्ड करते हैं, जिससे हमलावर यूज़रनेम, पासवर्ड, बैंक खाते और क्रेडिट कार्ड नंबर प्राप्त कर सकते हैं।[21]
  • स्केयरवेयर: जैसा कि नाम से पता चलता है, यह एक प्रकार का मैलवेयर होता है, जो उपयोगकर्ताओं को डराने, झटका देने, चिंता उत्पन्न करने, या खतरे की धारणा का सुझाव देकर उन्हें अवांछित सॉफ़्टवेयर खरीदने या इंस्टॉल करने के लिए धोखा देता है। ये हमले अक्सर एक अचानक पॉप-अप संदेश के साथ शुरू होते हैं, जो उपयोगकर्ता को यह चेतावनी देते हैं कि उन्होंने कानून तोड़ा है या उनके डिवाइस में वायरस है।[21]

मैन-इन-द-मिडिल हमले

मैन-इन-द-मिडिल (MITM) हमलों में एक दुर्भावनापूर्ण हमलावर, दो पक्षों के बीच संचार को रोकने, निगरानी करने या उसमें परिवर्तन करने की कोशिश करता है। वह दोनों पक्षों की पहचान को स्पूफ करके खुद को बीच में डाल लेता है।[24] MITM हमलों के कुछ प्रकार निम्नलिखित हैं:

  • आईपी एड्रेस स्पूफिंग: इसमें हमलावर रूटिंग प्रोटोकॉल को हाईजैक कर लक्ष्य का ट्रैफिक किसी कमजोर नेटवर्क नोड पर पुनः निर्देशित करता है ताकि ट्रैफिक को इंटरसेप्ट या इंजेक्ट किया जा सके।
  • मैसेज स्पूफिंग (ईमेल, एसएमएस, या ओटीटी मैसेजिंग के जरिए): इसमें हमलावर लक्ष्य का इस्तेमाल करते हुए ईमेल, एसएमएस या ओटीटी मैसेजिंग एप्स के माध्यम से किसी की पहचान या सेवा को स्पूफ करता है। हमलावर तब बातचीत की निगरानी कर सकता है, सामाजिक हमले कर सकता है, या और अधिक हमलों के लिए जीरो-डे कमजोरियों का फायदा उठा सकता है।
  • वाईफाई SSID स्पूफिंग: इसमें हमलावर एक वाईफाई बेस स्टेशन SSID की नकल करता है ताकि इंटरनेट ट्रैफिक और लेन-देन को कैप्चर और संशोधित किया जा सके। यह स्थानीय नेटवर्क एड्रेसिंग और कमजोर नेटवर्क सुरक्षा का उपयोग करके फ़ायरवॉल में प्रवेश कर सकता है।
  • डीएनएस स्पूफिंग: इसमें हमलावर डोमेन नाम असाइनमेंट को हाईजैक करता है ताकि ट्रैफिक को अपने नियंत्रण वाले सिस्टम पर पुनः निर्देशित किया जा सके, जिससे ट्रैफिक की निगरानी की जा सके या अन्य हमलों को अंजाम दिया जा सके।
  • एसएसएल हाईजैकिंग: इसमें हमलावर एसएसएल ऑथेंटिकेशन और एन्क्रिप्शन प्रोटोकॉल को सर्टिफिकेट अथॉरिटी इंजेक्शन के माध्यम से स्पूफ करता है ताकि ट्रैफिक को डिक्रिप्ट, मॉनिटर और संशोधित किया जा सके।[24]

बहु-वेक्टर, बहुरूपी हमले

2017 में उभरने वाला एक नया वर्ग, मल्टी-वेक्टर,[25] पॉलीमॉर्फिक[26] साइबर हमलों का होता है, जिसमें कई प्रकार के हमले एक साथ होते हैं और ये हमले फैलते हुए साइबर सुरक्षा नियंत्रणों से बचने के लिए अपना रूप बदल लेते हैं।

मल्टी-वेक्टर पॉलीमॉर्फिक हमले, जैसा कि नाम से स्पष्ट है, दोनों मल्टी-वेक्टर और पॉलीमॉर्फिक होते हैं।[27] सबसे पहले, यह एक ऐसा हमला है जिसमें कई प्रकार के हमले शामिल होते हैं। इस दृष्टिकोण से, यह "मल्टी-वेक्टर" है, यानी हमला वेब, ईमेल और एप्लिकेशन जैसे कई माध्यमों से फैल सकता है। इसके अलावा, ये हमले मल्टी-स्टेज होते हैं, यानी ये नेटवर्क में घुसपैठ कर सकते हैं और नेटवर्क के अंदर साइड मूवमेंट कर सकते हैं।[27] ये हमले पॉलीमॉर्फिक भी हो सकते हैं, जिसका मतलब है कि साइबर हमले जैसे वायरस, वर्म या ट्रोजन लगातार अपना रूप बदलते हैं, जिससे सिग्नेचर-आधारित सुरक्षा उपायों से इनका पता लगाना लगभग असंभव हो जाता है।[27]

फ़िशिंग

एक फ़िशिंग ईमेल का उदाहरण, जो (काल्पनिक) बैंक के आधिकारिक ईमेल के रूप में प्रच्छन्न है। भेजने वाला प्राप्तकर्ता को धोखे से गोपनीय जानकारी उजागर करने के लिए फिशर की वेबसाइट पर पुष्टि करने के लिए प्रेरित करने का प्रयास कर रहा है। "received" और "discrepancy" जैसे शब्दों की गलत वर्तनी को क्रमशः recieved और discrepency के रूप में नोट करें। हालाँकि बैंक के वेबपेज का URL वैध प्रतीत होता है, लेकिन हाइपरलिंक फिशर की वेबसाइट की ओर इशारा करता है।

फ़िशिंग एक ऐसी प्रक्रिया है जिसमें उपयोगकर्ताओं को धोखा देकर उनके संवेदनशील जानकारी जैसे यूज़रनेम, पासवर्ड और क्रेडिट कार्ड की जानकारी हासिल की जाती है।[28] फ़िशिंग आमतौर पर ईमेल स्पूफिंग, इंस्टेंट मैसेजिंग, टेक्स्ट मैसेज, या फोन कॉल के जरिए की जाती है। इसमें उपयोगकर्ताओं को ऐसे नकली वेबसाइट पर जाने के लिए प्रेरित किया जाता है जो देखने और महसूस करने में असली वेबसाइट के समान होती है।[29] यह नकली वेबसाइट व्यक्तिगत जानकारी मांगती है, जैसे लॉगिन विवरण और पासवर्ड, जिसे फिर असली वेबसाइट पर उपयोगकर्ता के खाते तक पहुंचने के लिए इस्तेमाल किया जा सकता है।

फ़िशिंग पीड़ित की भरोसे की भावना का शोषण करता है, और इसे सोशल इंजीनियरिंग का एक रूप माना जा सकता है। हमलावर असली खातों तक पहुंचने के लिए रचनात्मक तरीकों का उपयोग कर सकते हैं। एक सामान्य धोखा यह होता है कि हमलावर उपयोगकर्ताओं को नकली इलेक्ट्रॉनिक चालान भेजते हैं,[30] यह दिखाते हुए कि उन्होंने हाल ही में संगीत, ऐप्स या अन्य चीज़ें खरीदी हैं, और यदि यह खरीदारी अधिकृत नहीं है, तो एक लिंक पर क्लिक करने का निर्देश देते हैं। फ़िशिंग का एक अधिक रणनीतिक प्रकार स्पीयर-फ़िशिंग है, जिसमें व्यक्तिगत या संगठन-विशिष्ट जानकारी का उपयोग किया जाता है ताकि हमलावर को एक विश्वसनीय स्रोत के रूप में प्रस्तुत किया जा सके। स्पीयर-फ़िशिंग हमले विशेष व्यक्तियों को लक्षित करते हैं, जबकि सामान्य फ़िशिंग प्रयासों में अधिक व्यापक समूह को निशाना बनाया जाता है।[31]

विशेषाधिकार वृद्धि

विशेषाधिकार वृद्धि (प्रिविलेज एस्केलेशन) उस स्थिति को दर्शाता है जहां एक हमलावर, कुछ सीमित पहुंच के साथ, बिना अनुमति के अपने अधिकार या पहुंच स्तर को बढ़ाने में सक्षम हो जाता है।[32] उदाहरण के लिए, एक साधारण कंप्यूटर उपयोगकर्ता सिस्टम में किसी कमजोरी का फायदा उठाकर प्रतिबंधित डेटा तक पहुंच सकता है, या यहां तक कि रूट (root) उपयोगकर्ता बनकर पूरे सिस्टम पर बिना किसी प्रतिबंध के नियंत्रण प्राप्त कर सकता है। ऐसे हमलों की गंभीरता मामूली अवांछित ईमेल भेजने से लेकर बड़ी मात्रा में डेटा पर रैंसमवेयर हमले तक हो सकती है। प्रिविलेज एस्केलेशन अक्सर सोशल इंजीनियरिंग तकनीकों, विशेष रूप से फ़िशिंग, से शुरू होती है।[32]

प्रिविलेज एस्केलेशन को दो रणनीतियों में विभाजित किया जा सकता है: क्षैतिज (horizontal) और लंबवत (vertical) प्रिविलेज एस्केलेशन।

  • क्षैतिज एस्केलेशन (horizontal escalation): इसमें हमलावर एक सामान्य उपयोगकर्ता खाते की पहुंच प्राप्त करता है, जिसमें अपेक्षाकृत कम स्तर के अधिकार होते हैं। यह आमतौर पर उपयोगकर्ता का यूज़रनेम और पासवर्ड चुराकर किया जाता है। इस "पायदान" पर पहुंचने के बाद, हमलावर इसी तरह के स्तर के अन्य उपयोगकर्ताओं के नेटवर्क में घूम सकता है और समान अधिकार वाले डेटा तक पहुंच प्राप्त कर सकता है।[32]
  • लंबवत एस्केलेशन (vertical escalation): इसमें हमलावर का लक्ष्य किसी कंपनी में उच्च अधिकार वाले व्यक्तियों तक पहुंच प्राप्त करना होता है, जैसे आईटी कर्मचारी जिनके पास अधिक प्रशासनिक अधिकार होते हैं। इस तरह के खाते का उपयोग करके हमलावर अन्य खातों तक पहुंचने में सक्षम हो जाता है।[32]

साइड-चैनल हमला

मुख्य लेख: साइड-चैनल हमला

किसी भी संगणकीय प्रणाली का उसके परिवेश पर कुछ न कुछ प्रभाव अवश्य पड़ता है। यह प्रभाव विद्युत-चुंबकीय विकिरण से लेकर RAM कोशिकाओं पर बची हुई जानकारी तक हो सकता है, जिससे कोल्ड बूट अटैक संभव हो जाता है, या हार्डवेयर कार्यान्वयन की त्रुटियाँ होती हैं जो सामान्य रूप से अप्राप्य मानों तक पहुँचने या उनका अनुमान लगाने की अनुमति देती हैं। साइड-चैनल अटैक परिदृश्यों में, हमलावर इस प्रकार की जानकारी एकत्र करता है ताकि वह सिस्टम या नेटवर्क की आंतरिक स्थिति का अनुमान लगा सके और परिणामस्वरूप उस जानकारी तक पहुँच सके जिसे पीड़ित सुरक्षित मानता है।

सोशल इंजीनियरिंग

कंप्यूटर सुरक्षा के संदर्भ में सोशल इंजीनियरिंग का उद्देश्य उपयोगकर्ताओं को इस तरह से धोखा देना होता है कि वे अपने पासवर्ड, कार्ड नंबर आदि जैसी गोपनीय जानकारी साझा कर दें, या शारीरिक पहुंच की अनुमति दे दें, जैसे कि किसी वरिष्ठ अधिकारी, बैंक, ठेकेदार या ग्राहक का प्रतिरूपण करके।[33] यह आमतौर पर लोगों के विश्वास का फायदा उठाता है और उनके संज्ञानात्मक पूर्वाग्रहों पर आधारित होता है। एक सामान्य घोटाला वह होता है जिसमें लेखा और वित्त विभाग के कर्मचारियों को उनके CEO का प्रतिरूपण करते हुए ईमेल भेजा जाता है और तुरंत कुछ कार्रवाई करने का अनुरोध किया जाता है। सोशल इंजीनियरिंग की मुख्य तकनीकों में फ़िशिंग हमले शामिल होते हैं।

2016 की शुरुआत में, FBI ने बताया कि इस प्रकार के बिजनेस ईमेल समझौते (BEC) धोखाधड़ी ने लगभग दो वर्षों में अमेरिकी व्यवसायों को 2 बिलियन डॉलर से अधिक का नुकसान पहुंचाया।[34]

मई 2016 में, मिलवॉकी बक्स NBA टीम इस प्रकार के साइबर घोटाले का शिकार हुई, जिसमें एक अपराधी ने टीम के अध्यक्ष पीटर फेगिन का प्रतिरूपण किया, जिसके परिणामस्वरूप टीम के सभी कर्मचारियों के 2015 के W-2 कर फॉर्म सौंप दिए गए।[35]

स्पूफिंग

मुख्य लेख: स्पूफिंग हमला

स्पूफिंग (Spoofing) एक ऐसा कार्य है जिसमें कोई व्यक्ति या प्रणाली, डेटा (जैसे IP पता या उपयोगकर्ता नाम) को झूठा प्रस्तुत करके एक वैध इकाई होने का दिखावा करती है, ताकि वह ऐसी जानकारी या संसाधनों तक पहुँच सके, जिन तक पहुँचने का उसे अधिकार नहीं है। स्पूफिंग का फ़िशिंग से निकट संबंध है।[36][37] स्पूफिंग के कई प्रकार होते हैं, जिनमें शामिल हैं:

  • ईमेल स्पूफिंग: इसमें हमलावर ईमेल के स्रोत पते (From या source) को नकली बनाता है।
  • आईपी पता स्पूफिंग: इसमें हमलावर नेटवर्क पैकेट में स्रोत IP पते को बदलता है ताकि उसकी पहचान छिपी रहे या वह किसी अन्य कंप्यूटिंग प्रणाली का प्रतिरूपण कर सके।
  • MAC स्पूफिंग: इसमें हमलावर अपने नेटवर्क इंटरफेस नियंत्रक के मीडिया एक्सेस कंट्रोल (MAC) पते को बदलता है ताकि अपनी पहचान छिपा सके या किसी अन्य व्यक्ति का प्रतिरूपण कर सके।
  • बायोमेट्रिक स्पूफिंग: इसमें हमलावर नकली बायोमेट्रिक नमूना बनाकर किसी अन्य उपयोगकर्ता के रूप में दिखावा करता है।[38]
  • एड्रेस रिज़ॉल्यूशन प्रोटोकॉल (ARP) स्पूफिंग: इसमें हमलावर स्थानीय क्षेत्र नेटवर्क पर नकली ARP संदेश भेजता है ताकि उसका MAC पता किसी अन्य होस्ट के IP पते से जुड़ जाए, जिससे डेटा उस होस्ट के बजाय हमलावर को भेजा जाता है।

2018 में, साइबर सुरक्षा फर्म ट्रेलिक्स ने हेल्थकेयर उद्योग में स्पूफिंग के जीवन-धमकाने वाले जोखिम पर शोध प्रकाशित किया।[39]

टैम्परिंग

टैम्परिंग (Tampering) एक दुर्भावनापूर्ण संशोधन या डेटा में बदलाव को दर्शाता है। यह एक जानबूझकर किया गया, लेकिन अवैध कार्य होता है, जिसके परिणामस्वरूप किसी सिस्टम, सिस्टम के घटकों, उसकी निर्धारित कार्यप्रणाली, या डेटा में बदलाव किया जाता है। तथाकथित एविल मेड हमले और सुरक्षा सेवाओं द्वारा राउटर्स में निगरानी क्षमता स्थापित करना इसके उदाहरण हैं।[40]

एचटीएमएल तस्करी

एचटीएमएल स्मगलिंग हमले में हमलावर किसी विशेष एचटीएमएल या वेब पेज के अंदर दुर्भावनापूर्ण कोड "छुपाने" में सक्षम होता है।[41] एचटीएमएल फाइलें हानिरहित, निष्क्रिय डेटा के रूप में पेलोड को छुपा सकती हैं ताकि सामग्री फिल्टर को मात दी जा सके। इन पेलोड्स को फिल्टर के दूसरी ओर फिर से संगठित किया जा सकता है।[42]

जब लक्षित उपयोगकर्ता एचटीएमएल खोलता है, तो दुर्भावनापूर्ण कोड सक्रिय हो जाता है; वेब ब्राउज़र स्क्रिप्ट को "डिकोड" करता है, जो फिर लक्ष्य के डिवाइस पर मैलवेयर को छोड़ देता है।[41]

सुरक्षित कूटबद्धता

अगर ऑपरेटिंग वातावरण एक ऐसे सुरक्षित ऑपरेटिंग सिस्टम पर आधारित नहीं है, जो अपने खुद के निष्पादन के कार्य क्षेत्र को कायम रखने में सक्षम हो और जो दुर्भावनापूर्ण विनाश से अनुप्रयोग कोड की रक्षा में सक्षम हो तथा जो भ्रष्ट कोड से प्रणाली की रक्षा करने में समर्थ हो, तो फिर उच्च स्तर की सुरक्षा संभव नहीं है। हालांकि ऐसे सुरक्षित ऑपरेटिंग सिस्टम संभव हैं और लागू किये जा चुके हैं, लेकिन अधिकांश वाणिज्यिक प्रणालियां 'निचली सुरक्षा' को अपना रही हैं क्योंकि वे सुरक्षित ऑपरेटिंग सिस्टम के द्वारा समर्थित विशेषताओं पर भरोसा नहीं करतीं (जैसे पोर्टेबिलिटी, तथा अन्य). निम्न सुरक्षा ऑपरेटिंग वातावरण में, अनुप्रयोगों को अपनी खुद की सुरक्षा में भागीदारी पर भरोसा करना चाहिए। ऐसी "सर्वोत्तम प्रयास" सुरक्षित कूटबद्धता कार्यप्रणाली होती हैं जो दुर्भावनापूर्ण नाश को रोकने के लिए अनुप्रयोग को और अधिक प्रतिरोधी बनाती हैं।

वाणिज्यिक वातावरण में, अधिकांश सॉफ्टवेयर ध्वंस अरक्षितता कूटबद्धता दोषों की कुछ ज्ञात किस्मों के परिणाम हैं। आम सॉफ्टवेयर दोषों में प्रतिरोधक अतिप्रवाह, प्रारूप स्ट्रिंग अरक्षितता, पूर्णांक अतिप्रवाह और कोड/कमांड इंजेक्शन शामिल हैं। इस पर तत्काल ध्यान दिया जाना चाहिए कि सभी पूर्ववर्ती दोषों के सामान्य वर्ग के विशिष्ट उदाहरण हैं, जहां की स्थिति में तथाकथित "डेटा" दरअसल अन्तर्निहित अव्यक्त या सुस्पष्ट, निष्पादन योग्य निर्देशों का चतुराई के साथ इस्तेमाल करते हैं।

सी (C) और सी++ (C++) जैसी कुछ आम भाषाएं इन सभी दोषों के लिए असुरक्षित हैं (सीकोर्ड (Seacord), "सी और सी++ में सिक्योर कोडिंग" देखें). अन्य भाषाएं, जैसे कि जावा, इन दोषों के लिए और अधिक प्रतिरोधी होती हैं, लेकिन फिर भी कोड/कमांड इंजेक्शन और अन्य सॉफ्टवेयर दोष प्रवण होती हैं, जो विध्वंस लाती हैं।

हाल ही में एक और खराब कोडिंग अभ्यास जांच के दायरे में आया है; जिसे डैंगलिंग प्वाइंटर्स कहते हैं। जुलाई 2007 में पहली बार इस विशेष समस्या के ज्ञात कारनामे का पता चला. इसके सामने आने से पहले भी इस समस्या की जानकारी थी, लेकिन इसे अकादमिक माना जाता था और व्यावहारिक उपलब्धि नहीं माना जाता था।[43]

दुर्भाग्यवश, "सुरक्षित कोडिंग" कार्यप्रणाली का कोई सैद्धांतिक मॉडल नहीं है और न ही व्यावहारिक रूप से साध्य ही है, अब तक तंत्रों की किस्में बहुत अधिक व्यापक हैं और उनको काम में लगा सकने के तरीके विचित्र हैं। दिलचस्प बात है कि इस तरह की अरक्षितता अक्सर ही पुरातन दर्शनों से उत्पन्न होती हैं जिनमें कंप्यूटरों को कुछ चुनिंदा लोगों द्वारा उपयोग की जाने वाली एक कठिनाई से प्रसारित सत्ता मान लिया गया है, उनमें से सभी व्यर्थ उच्च शिक्षित, सुप्रशिक्षित शिक्षाविद थे, लेकिन उनके मन में मानव जाति की भलाई की भावना थी। इस प्रकार, यह काफी हानिरहित माना जाता था अगर, (काल्पनिक) उदाहरण के लिए, एक फोरट्रान (FORTRAN) कार्यक्रम में एक फॉर्मेट (FORMAT) स्ट्रिंग "मुद्रण के बाद सिस्टम को बंद" ("shut down system after printing") करने वाले जे फॉर्मेट स्पेसिफायर को रख सकती थी। आखिरकार, एक सदाशयी सिस्टम प्रोग्रामर के बिना ऐसे फीचर का प्रयोग कौन करेगा? यह सोच से परे बात थी कि सॉफ्टवेयर को विनाशकारी रूप से लगाया जा सकता है।

यह ध्यान देने योग्य बात है कि, कुछ भाषाओं में, डेटा (आदर्शतः, केवल पढ़ने के लिए) और कोड (आमतौर पर पढ़ने/लिखने में) के बीच भेद अस्पष्ट होता है। लिस्प (LISP) में, विशेष रूप से, कोड और डेटा के बीच कोई अंतर नहीं होता है, दोनों एक ही रूप के होते हैं: एक एस-अभिव्यक्ति (S-expression) को कोड, या डेटा, या दोनों किया जा सकता है; और लिस्प कार्यक्रम का "उपयोगकर्ता" जो तथाकथित "डेटा" में एक निष्पादन योग्य लैम्ब्डा (LAMBDA) खंड को डाल पाता है, वह मनमाने ढंग से सामान्य व खतरनाक कार्यात्मकता प्राप्त कर सकता है। पर्ल (Perl) द्वारा इवल (eval) प्रकार्य जैसा कुछ "आधुनिक" देने से यह पर्ल कोड उत्पन्न करने में सक्षम करता है और स्ट्रिंग डेटा के छद्मवेष में इसे इन्टरप्रेटर में पेश करता है।

क्षमताएँ और अभिगम नियंत्रण सूची

कंप्यूटर सिस्टम के अंतर्गत, दो सुरक्षा मॉडल होते हैं जो विशेषाधिकार अलगाव (प्रिविलेज सेपरेशन) को लागू करने में सक्षम हैं और अभिगम नियंत्रण सूची (ACLs) तथा क्षमता-आधारित सुरक्षा में उनकी पहुंच होती है। अनेक स्थितियों में एसीएल (ACLs) के अर्थ विज्ञान असुरक्षित साबित हुए हैं, जैसे कि, भ्रामक डिप्टी समस्या. यह भी दिखाया गया है कि केवल एक ही व्यक्ति को एक वस्तु का उपयोग करने देने के एसीएल के वादे की व्यवहार में गारंटी नहीं की जा सकती. इन दोनों समस्याओं के समाधान क्षमताओं (कैपेबिलिटीज) द्वारा किये जाते हैं। इसका मतलब यह नहीं कि सभी एसीएल-आधारित सिस्टम में व्यावहारिक खामियां हुआ करती हैं, लेकिन केवल तभी जब कुछ उपयोगिताओं के डिजाइनर यह सुनिश्चित करें कि उन्होंने कोई खामी नहीं रख छोड़ी है।[]

क्षमताओं को ज्यादातर अनुसंधान ऑपरेटिंग सिस्टम तक ही सीमित रखा गया है और वाणिज्यिक ओएस (OSs) अभी भी एसीएल का उपयोग कर रहे हैं। तथापि, क्षमताओं को भाषा के स्तर पर भी लागू किया जा सकता है, जो कि प्रोग्रामिंग की एक शैली की ओर ले जाती है, जो मानक लक्ष्य-उन्मुख डिजाइन की आवश्यक शुद्धता है। इस क्षेत्र में एक खुली परियोजना ई भाषा (E language) है।

1970 के दशक में हार्डवेयर और सॉफ्टवेयर दोनों में पहले प्लेसे प्रणाली 250 और फिर कैंब्रिज कैप कंप्यूटर ने क्षमताओं के उपयोग का प्रदर्शन किया। क्षमताओं को अपनाने में कमी का एक कारण यह हो सकता है कि ऑपरेटिंग सिस्टम और हार्डवेयर को व्यापक नया स्वरुप दिए बिना ही एसीएल ने सुरक्षा के लिए एक "क्विक फिक्स" का प्रस्ताव पेश कर दिया। []

सबसे सुरक्षित कंप्यूटर वे हैं जो इंटरनेट से जुड़े हुए नहीं हैं और किसी हस्तक्षेप से बचने के लिए कवचबंद हैं। वास्तविक दुनिया में, अधिकांश सुरक्षा ऑपरेटिंग सिस्टम से आती है, जहां सुरक्षा अतिरिक्त रूप से जोड़ी नहीं गयी हो।

अनुप्रयोग

कंप्यूटर प्रणाली पर चलने वाले लगभग सभी प्रौद्योगिकी आधारित उद्योग में कंप्यूटर सुरक्षा महत्वपूर्ण है। कंप्यूटर सुरक्षा को कंप्यूटर सेफ्टी के रूप में भी निर्दिष्ट किया जा सकता है। कंप्यूटर आधारित प्रणालियों के मुद्दे और उनकी असंख्य कमजोरियां किसी क्रियाशील उद्योग के रखरखाव का एक अभिन्न हिस्सा हैं।[44]

क्लाउड कंप्यूटिंग सुरक्षा

क्लाउड सुरक्षा चुनौतीपूर्ण है[], क्योंकि बादल की स्थिति में सुरक्षा सुविधा और प्रबंधन व्यवस्था विविध डिग्री की हुआ करती हैं। इस संबंध में एक तार्किक प्रोटोकॉल आधार को विकसित करने की जरुरत होती है ताकि घटकों का पूरा क्षेत्र समकालिक और सुरक्षापूर्ण तरीके से संचालित हों[].

विमानन में

कंप्यूटर सुरक्षा का विश्लेषण करते समय विमानन उद्योग विशेष रूप से महत्वपूर्ण है, क्योंकि इसके साथ मानव जीवन, महंगे उपकरण, माल और परिवहन के बुनियादी ढांचे का जोखिम जुड़े हुए हैं। हार्डवेयर और सॉफ्टवेयर के कदाचार, मानव त्रुटि और दोषपूर्ण ऑपरेटिंग वातावरण से सुरक्षा को खतरे में डाला जा सकता है। तोड़फोड़, जासूसी, औद्योगिक प्रतियोगिता, आतंकवादी हमले, यांत्रिक खराबी और मानव त्रुटि से पैदा होने वाली कंप्यूटर की कमजोरियों का दोहन किया जा सकता है।[45]

विमानन उद्योग में सफलतापूर्वक जानबूझकर किये गये या लापरवाही के कारण कंप्यूटर प्रणाली( Computer system) के दुरुपयोग के परिणामस्वरूप गोपनीयता के नुकसान से लेकर सिस्टम की शुद्धता तक का नुकसान हो सकता है, जिससे डेटा की चोरी या क्षति, नेटवर्क और हवाई यातायात नियंत्रण में रुकावट जैसी अधिक गंभीर चिंताएं पैदा हो सकती हैं, जिनकी वजह से हवाई अड्डे बंद होने, विमानों की क्षति और यात्रियों के जीवन की क्षति जैसी घटनाएं भी हो सकती है। हथियारों पर नियंत्रण रखने वाली सैन्य प्रणालियां कहीं बड़े खतरे पैदा कर सकती हैं।

एक बड़े हमले को बहुत अधिक हाई टेक होने की या इसे अधिक धन की भी जरुरत नहीं है; हवाई अड्डे में बिजली कटौती से ही विश्वव्यापी प्रभाव पड़ सकते हैं।[46]. सुरक्षा कमजोरियों में सबसे आसान और यकीनन सबसे कठिन विशिष्ट रेडियो फ्रीक्वेंसी पर अनधिकृत संचार प्रसारण का पता लगाना है। ये प्रसारण हवाई यातायात नियंत्रकों को धोखा दे सकते हैं या संचार व्यवस्था को पूरी तरह बाधित कर सकते हैं। ऐसी घटनाएं बहुत आम हैं, जिनसे वाणिज्यिक विमान के उड़ान क्रम में बदलाव लाना पड़ा है और पिछले दिनों इससे आतंक तथा भ्रम की स्थिति पैदा हुई थी।[] महासागरों पर विमान नियंत्रण विशेष रूप से खतरनाक है, क्योंकि राडार निगरानी तट से केवल 175-225 मील तक ही फैली हुई होती है। राडार की निगरानी के अलावा नियंत्रकों को एक तीसरी पार्टी के साथ आवधिक रेडियो संचार पर भरोसा करना पड़ता है।

बिजली गिरने, विद्युत की अस्थिरता, विद्युत तरंग, ब्राउन-आउट्स (बिजली का चला जाना), फ़्यूज़ उड़ने और अन्य विभिन्न विद्युत कटौती या गड़बड़ी से सभी कंप्यूटर सिस्टम अक्षम हो जाते हैं, क्योंकि वे विद्युत स्रोत पर निर्भर होते हैं। अन्य आकस्मिक और जानबूझकर की गई भूलों से पिछले कुछ दशकों में सुरक्षा महत्वपूर्ण सिस्टम में उल्लेखनीय व्यवधान पैदा हुए हैं और विश्वसनीय संचार व्यवस्था तथा विद्युत ऊर्जा पर निर्भरता कंप्यूटर सेफ्टी को जोखिम में डाल देती है।[]

उल्लेखनीय प्रणाली दुर्घटनाएं

1994 में, अमेरिकी वायु सेना के मुख्य कमान और अनुसंधान इकाई रोम प्रयोगशाला में अज्ञात घुसपैठियों द्वारा एक सौ से अधिक अतिक्रमण किये गए थे। ट्रोजन हॉर्स वायरस का प्रयोग करके हैकर्स ने रोम की नेटवर्किंग प्रणाली में पहुंच बना ली और अपनी गतिविधियों के निशान मिटा दिए। घुसपैठिये एयर टास्किंग ऑर्डर सिस्टम्स डेटा जैसी वर्गीकृत फाइलें प्राप्त करने में सक्षम हुए औए इसके अलावा नॅशनल एयरोनॉटिक्स एंड स्पेस एडमिनिस्ट्रेशन के गोडार्ड स्पेस फ्लाइट सेंटर, राइट पैटर्सन एयर फोर्स बेस, कुछ रक्षा ठेकेदारों और अन्य निजी क्षेत्र की संस्थाओं के नेटवर्क में घुसपैठ की और यह सब एक विश्वसनीय रोम केन्द्र उपयोगकर्ता के रूप में किया गया।[47]

कंप्यूटर सुरक्षा नीति

संयुक्त राज्य अमेरिका

2010 का साइबर सुरक्षा अधिनियम

1 अप्रैल 2009 को, सीनेटर जे रॉकफेलर (डी-डब्ल्यू वी) ने सीनेट में "2009 का साइबरसिक्युरिटी एक्ट - एस. 773" (पूरा पाठ) पेश किया; सीनेटर एवान बेह (डी-इन), बारबरा मिकुल्स्की (डी-एमडी), बिल नेल्सन (डी-एफएल) और ओलिम्पिया स्नोवे (आर-एमई) के लिखे विधेयक को वाणिज्य, विज्ञान और परिवहन की समिति के पास भेज दिया गया, जिसने 24 मार्च 2010 को उस विधेयक का संशोधित संस्करण ("2010 का साइबरसिक्युरिटी एक्ट) स्वीकृत किया[48]. विधेयक साइबर सुरक्षा के मामलों में सार्वजनिक और निजी क्षेत्र के बीच सहयोग को बढ़ाना चाहता है, खासकर राष्ट्रीय सुरक्षा हितों के लिए महत्वपूर्ण बुनियादी संरचना वाली उन निजी कंपनियों के लिए (राष्ट्रपति के राष्ट्रीय सुरक्षा व आतंकवाद-विरोधी सहायक जॉन ब्रेनन के बयान का विधेयक उल्लेख करता है, "हमारे देश की सुरक्षा और आर्थिक सम्पन्नता सुरक्षा, स्थिरता और संचार व सूचना संरचना पर निर्भर करती है, जो विश्व स्तर पर मुख्यतः निजी स्वामित्व में हैं" और "साइबर कैटरिना"[49] का देश द्वारा सामना किये जाने की बात की गयी है). साथ ही साइबर सुरक्षा मामले में लोगों के बीच जागरूकता बढ़ाना और साइबर सुरक्षा शोध को प्रोत्साहित करना और धन प्रदान करना इस विधेयक का उद्देश्य है। विधेयक के सबसे विवादास्पद भागों में परिच्छेद 315 शामिल है, जो राष्ट्रपति को अधिकार देता है कि वह "किसी भी संघीय सरकार या अमेरिका की महत्वपूर्ण संरचनात्मक सूचना प्रणाली या नेटवर्क की इंटरनेट आवाजाही को सीमित करने या बंद करने का आदेश दे सकता है[49]." अमेरिका स्थित एक अंतरराष्ट्रीय अलाभकारी डिजिटल अधिकार पैरोकार और कानूनी संस्था इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन ने विधेयक को एक "संभावित खतरनाक रवैया" बताते हुए कहा है कि "यह संयमी प्रतिक्रिया के बजाय नाटकीयता को बढ़ावा देता है"[50].

अंतरराष्ट्रीय साइबर अपराध रिपोर्टिंग और सहयोग अधिनियम

25 मार्च 2010 को, प्रतिनिधि य्वेत्ते क्लार्क (डी-एनवाई) ने प्रतिनिधि सभा में "इंटरनॅशनल साइबर क्राइम रिपोर्टिंग एंड कोऑपरेशन एक्ट - एच. आर. 4962" (पूरा पाठ) पेश किया; सात अन्य प्रतिनिधियों (उनमें से सिर्फ एक रिपब्लिकन थे) द्वारा सह-प्रायोजित विधेयक को तीन हाउस समितियों के पास भेज दिया गया[51]. विधेयक ने यह सुनिश्चित करना चाहा था कि सूचना के बुनियादी ढांचे, साइबर क्राइम और विश्वव्यापी स्तर पर उपयोगकर्ता के सरक्षण के बारे में प्रशासन कांग्रेस को सूचित करता रहेगा. इसने "उन देशों को साइबर अपराध के सिलसिले में कानूनी, न्यायिक और प्रवर्तन क्षमताओं में मदद को प्राथमिकता देने के लिए राष्ट्रपति को निर्देश दिया, जिनके सूचना और संचार प्रौद्योगिकी विकास के स्तर निम्न श्रेणी के हैं या जो अपने महत्वपूर्ण बुनियादी संरचना, दूरसंचार प्रणाली और वित्तीय उद्योगों के उपयोग के मामले में पिछड़े हुए हैं"[51]; इसके अलावा "साइबर मामले" के देशों के लिए एक कार्रवाई योजना और एक वार्षिक अनुपालन मूल्यांकन विकसित करने का भी निर्देश दिया[51].

साइबरस्पेस की रक्षा के लिए 2010 का नॅशनल एसेट एक्ट ("किल स्विच बिल ")

19 जून 2010 को, संयुक्त राज्य अमेरिका के सीनेटर जो लीबरमैन ने "2010 का प्रोटेक्टिंग साइबरस्पेस ऐज ए नॅशनल एसेट एक्ट - एस.3480" (पीडीएफ में पूरा पाठ) पेश किया, जिसे उन्होंने सीनेटर सुजन कोलिन्स (आर-एमई) तथा सीनेटर थोमस कारपर (डी-डीई) के साथ मिलकर लिखा था। यह विवादास्पद विधेयक, जिसे अमेरिकी मीडिया "किल स्विच बिल " कहती है, के क़ानून बन जाने से राष्ट्रपति को इंटरनेट पर आपातकालीन अधिकार मिल जाएंगे. हालांकि, विधेयक के तीनों लेखकों ने एक बयान में दावा किया है कि इसके बजाय विधेयक से "दूरसंचार नेटवर्क पर राष्ट्रपति के मौजूदा व्यापक अधिकार कम हो जाएंगे"[52].

शब्दावली

इंजीनियरिंग सुरक्षित सिस्टम में प्रयुक्त निम्नलिखित शब्दों की व्याख्या नीचे दी गयी है।

  • प्रमाणीकरण तकनीकों का प्रयोग यह सुनिश्चित करने के लिए किया जा सकता है कि संचार के अंत-बिंदु वही हैं जैसा कि वे खुद को बताते हैं।
  • स्वचालित प्रमेय परिक्षण (ऑटोमेटेड थ्योरम प्रूविंग) और अन्य सत्यापन उपकरण सुरक्षित प्रणाली में इस्तेमाल होने वाले महत्वपूर्ण एल्गोरिदम और कोड को अपने विनिर्देशों को प्राप्त करने के लिए गणितीय रूप से सिद्ध कर सकने में सक्षम हो सकते हैं।
  • विशेषाधिकार अलगाव (प्रिविलेज सेपरेशन) और अनिवार्य अभिगम नियंत्रण को सुनिश्चित करने के लिए क्षमता और अभिगम नियंत्रण सूची तकनीकों का उपयोग कर सकते हैं। इस अनुभाग में उनके उपयोग की चर्चा की गयी है।
  • सभी डाले गए प्रमाणित सॉफ्टवेयरों को सिस्टम के डिजाइनरों द्वारा प्रामाणिक बताये जाने को सुनिश्चित करने के प्रयास में चेन ऑफ़ ट्रस्ट तकनीक का उपयोग किया जा सकता है।
  • प्रणालियों के बीच डेटा के पारगमन की रक्षा के लिए क्रिप्टोग्राफ़िक तकनीक का उपयोग किया जा सकता है, इससे प्रणालियों के बीच डेटा के विनिमय के समय उन्हें अटकाने या संशोधित करने की संभावना कम हो जाती है।
  • फ़ायरवॉल ऑनलाइन घुसपैठ को रोकने में कुछ सुरक्षा प्रदान कर सकता है।
  • माइक्रोकेर्नेल सावधानी से तैयार किया जाता है, जो सोच-समझकर सॉफ्टवेयर के छोटे कोष में ऑपरेटिंग सिस्टम में स्वतः कार्य करता है और यह पूरी तरह बहुत ही निम्न स्तर पर काम करता है, जो प्रारंभिक स्तर को बहुत ही सही ढंग से परिभाषित करता है, जिस पर किसी ऑपरेटिंग सिस्टम को विकसित किया जा सकता है। 90 के दशक के आरंभिक चरण का जेम्सोस (GEMSOS) (जेमिनी कंप्यूटर) काफी शिक्षाप्रद मूल्य के साथ एक सरल उदाहरण है, जो बहुत ही निम्न-स्तर के प्रारंभिक प्रदान करता है, जैसे कि "सिग्मेंट" प्रबंधन, जिस पर कोई ऑपरेटिंग सिस्टम बनाया जा सकता है। ("सिग्मेंट" के मामले में) सिद्धांत यह था कि - सैन्य शैली की लेबलिंग के उपायों द्वारा अनिवार्य अभिगम अलगाव के बारे में ऑपरेटिंग सिस्टम को खुद चिंतित होने के बजाय - निम्न-स्तर पर होना सुरक्षित है, इससे स्वतंत्र रूप से जांचे गये मॉड्यूल को अलग-अलग लेबल किये गए खण्डों के प्रबंधन के साथ अकेले ही आवेशित किया जा सकता है। उन्हें मेमोरी "सिग्मेंट" या फ़ाइल सिस्टम "सिग्मेंट" या साध्य पाठ "सिग्मेंट" में रखा जा सकता है। अगर सॉफ्टवेयर ऑपरेटिंग सिस्टम की दृश्यता के नीचे है (जैसा कि इस मामले में) तो वह लेबलिंग के साथ आवेशित होता है, ऐसे में लेबलिंग योजना को किसी चालाक हैकर द्वारा नष्ट करने का सैद्धांतिक रूप से कोई साध्य उपाय नहीं है, क्योंकि ऑपरेटिंग सिस्टम स्वतः ही लेबलिंग के साथ छेड़छाड़ करने के लिए तंत्र मुहैया नहीं करता है; ऑपरेटिंग सिस्टम, मूलतः, माइक्रोकेर्नेल के ऊपर एक क्लाइंट (बेशक एक "अनुप्रयोग") है और अपने आपमें इसके प्रतिबंधों के अधीन है।
  • एंडप्वाइंट सुरक्षा सॉफ्टवेयर यूएसबी ड्राइव जैसे पोर्टेबल भंडारण उपकरणों के जरिये डेटा चोरी और वायरस के संक्रमण को रोकने में मदद करता है।

निम्नलिखित में से कुछ सामग्री कंप्यूटर असुरक्षा से संबंधित हो सकती हैं:

  • अभिगम अधिकार से प्रमाणीकरण प्रणाली के उपयोग के जरिये उपयोगकर्ताओं के समूह को किसी कंप्यूटर का उपयोग करने से रोका जाता है। ये प्रणालियां पूरे कंप्यूटर की रक्षा कर सकती हैं - जैसे कि एक इंटरैक्टिव लॉगऑन स्क्रीन के जरिये - या फिर अलग-अलग सेवाओं की रक्षा कर सकती हैं, जैसे कि एफटीपी सर्वर. उपयोगकर्ताओं की पहचान और सत्यापन की अनेक पद्धतियां हैं, जैसे कि पासवर्ड, पहचान कार्ड और अभी हाल में आये स्मार्ट कार्ड और बॉयोमेट्रिक पद्धतियां.
  • कंप्यूटर प्रोग्राम में शामिल एंटी-वायरस सॉफ्टवेयर पहचानने, कंप्यूटर वायरस और अन्य दुर्भावनापूर्ण सॉफ्टवेयर (मैलवेयर) को रोकने और समाप्त करने का काम करते हैं।
  • ज्ञात सुरक्षा खामियों के साथ अनुप्रयोगों को नहीं चलाया जाना चाहिए। या तो जब तक इसे दुरुस्त नहीं कर लिया जाता तब तक इसे बंद रखा जाय, या इसे हटा दिया जाय और इसकी जगह कोई अन्य अनुप्रयोग डाला जाए. सार्वजनिक रूप से ज्ञात खामियां वर्म्स के मुख्य प्रवेश द्वार हैं, जिसका इस्तेमाल करके वे किसी सिस्टम में अपने आप घुसपैठ करते हैं और उससे जुड़े अन्य सिस्टम में फ़ैल जाते हैं। सुरक्षा वेबसाइट सेक्युनिया (Secunia) लोकप्रिय उत्पादों की उन ज्ञात खामियों के लिए खोज उपकरण का काम करती है, जो दुरुस्त नहीं की गई हैं।
  • सूचना को सुरक्षित रखने का एक तरीका है बैकअप: इसके तहत सभी महत्वपूर्ण कंप्यूटर फाइलों की एक प्रति दूसरे स्थान में रखी जाती है। इन फ़ाइलों को हार्ड डिस्क, सीडी-आर, सीडी-आरडब्ल्यू और टेपों में रखा जाता है। बैकअप अग्निरोधक, जलरोधक और तापरोधक अलमारी में रखने चाहिए, या फिर इन्हें मूल फाइलों के स्थान से दूर किसी अलग जगह में रखना चाहिए। कुछ लोग और कंपनियां बैंक के वॉल्ट की तिजोरी में भी अपने बैकअप रखा करती हैं। एक चौथा विकल्प भी है, जिसमें फ़ाइल जमा रखने वाली सेवाएं व्यापारिक घरानों और व्यक्तियों के बैकअप फाइलों को इंटरनेट में सुरक्षित रखती हैं।
    • सुरक्षा के अलावा अन्य कारण भी बैकअप के लिए महत्वपूर्ण हैं। भूकंप, तूफान या बवंडर जैसी प्राकृतिक आपदाएं उस इमारत को भी चपेट में ले सकती हैं जहां कंप्यूटर स्थित है। इमारत में आग लग सकती है, या विस्फोट भी हो सकता है। इस तरह की आपदा की स्थिति में, वैकल्पिक सुरक्षित स्थान में हाल के बैकअप होने चाहिए। इसके अलावा, यह भी सुझाव दिया जाता है कि वैकल्पिक सुरक्षित स्थान ऐसा होना चाहिए कि एक ही आपदा का असर एक साथ दोनों स्थानों पर न पड़े. वैकल्पिक आपदा पुनःप्राप्ति स्थानों के जोखिम में आ जाने के उदाहरणों में एक है प्राथमिक स्थान वर्ल्ड ट्रेड सेंटर I और पुनःप्राप्ति स्थान 7 वर्ल्ड ट्रेड सेंटर, ये दोनों ही स्थान एक साथ 9/11 के हमले में तबाह हो गये। और, समुद्र तटीय क्षेत्र में भी प्राथमिक तथा पुनःप्राप्ति स्थानों के एक साथ तबाह होने के उदाहरण हैं (जैसे कि न्यू ओरलियंस का प्राथमिक स्थान और जेफरसन पारिश का पुनःप्राप्ति स्थान, 2005 में दोनों ही कैटरीना तूफ़ान की चपेट में एक साथ आ गए थे). बैकअप माध्यम को भौगोलिक स्थलों के बीच सुरक्षित तरीके से स्थानांतरित किया जाना चाहिए, ताकि उन्हें चोरी होने से बचाया जा सके।
क्रिप्टोग्राफ़िक तकनीक की जानकारी को बदलने में शामिल है, यह पांव मार तो यह प्रसारण के दौरान अपठनीय हो जाता है। भावी प्राप्तकर्ता संदेश को हल कर सकता है, लेकिन प्रच्छन्नश्रावी नहीं कर सकता.
  • दूसरों की दृष्टि से संदेशों को बचाने के लिए एन्क्रिप्शन का इस्तेमाल किया जाता है। अव्यवहारिकता को तोड़ने के किसी व्यावहारिक प्रयास के लिए क्रिप्टोग्राफिक रूप से सुरक्षित साइफ़र बनाये गए हैं। साझा कुंजी का उपयोग करने वाले एन्क्रिप्शन के लिए सिमेट्रिक-कुंजी साइफ़र होते हैं और जब पहले से ही कोई कुंजी सहभाजित न हो तो डिजिटल प्रमाणपत्र का उपयोग करने वाला सार्वजनिक-कुंजी एन्क्रिप्शन सुरक्षित रूप से समस्या का व्यावहारिक समाधान मुहैया कर सकता है।
  • फायरवॉल वह सिस्टम है जो कंप्यूटर और कंप्यूटर नेटवर्क पर हमले से रक्षा करता है और नेटवर्क ट्रैफिक को बाधित करके बाद के घुसपैठ को रोकता है जो इससे होकर गुजर सकता है; यह सिस्टम प्रशासक परिभाषित नियमों के एक सेट पर आधारित है।
  • हनी पॉट्स ऐसे कंप्यूटर्स हैं जिन्हें अनजाने में या जानबूझकर घुसपैठियों के हमले के लिए असुरक्षित छोड़ दिया जाता है। घुसपैठियों को पकड़ने के लिए या कमजोरियों को ठीक करने के लिए उनका उपयोग किया जा सकता है।
  • घुसपैठ-पहचान प्रणाली नेटवर्क का उपयोग करने वाले ऐसे लोगों के स्कैन कर सकती है जिन्हें वहां नहीं होना चाहिए था या वे जो कुछ कर रहे हैं उन्हें नहीं करना चाहिए; मसलन नेटवर्क में पहुंच बनाने के लिए बहुत सारे पासवर्ड डालने की कोशिश करना।
  • संभावित क्रैकर द्वारा आईपी एड्रेस पाने के लिए पिन्गिंग द पिंग अनुप्रयोग का इस्तेमाल किया जा सकता है। अगर किसी क्रैकर को कोई कंप्यूटर मिल जाता है तो वह उस कंप्यूटर की सेवाओं का पता लगाने और हमला करने के लिए पोर्ट स्कैन करने का प्रयास कर सकता है।
  • सोशल इंजीनियरिंग जागरूकता से सोशल इंजीनियरिंग के खतरों के बारे में कर्मचारी सचेत रहते हैं और/या सोशल इंजीनियरिंग द्वारा नेटवर्क तथा सर्वरों की सफलतापूर्वक उल्लंघनों को कम करने के लिए जरुरी नीति अपनाते हैं।
  • फ़ाइल इंटीग्रिटी मोनिटर्स ऐसे उपकरण हैं जिनका इस्तेमाल करके सिस्टम और फ़ाइल की शुद्धता में बदलावों का पता लगाया जाता है।

टिप्पणी

इन्हें भी देखें

कंप्यूटर प्रवेशद्वार
  • अटैक ट्री
  • प्रमाणीकरण
  • प्राधिकरण
  • कॅप्चा (CAPTCHA)
  • सीईआरटी (CERT)
  • क्लाउड कंप्यूटिंग सुरक्षा
  • कंप्यूटर असुरक्षा
  • कंप्यूटर सुरक्षा मॉडल
  • काउंटरमेज़र (कंप्यूटर)
  • कूट-लेखन
  • साइबर सुरक्षा मानक
  • नाचते सूअर
  • डिस्क एन्क्रिप्शन
  • डेटा हानि की रोकथाम के उत्पाद
  • डेटा सुरक्षा
  • विभेदित सुरक्षा
  • शोषण (कंप्यूटर सुरक्षा)
  • दोष सहिष्णुता
  • फायरवॉल
  • पूर्ण प्रकटीकरण
  • उच्च प्रौद्योगिकी अपराध जांच संघ
  • ह्युमन-कंप्यूटर संपर्क (सुरक्षा)
  • अभिज्ञान प्रबंधन
  • सूचना रिसाव निवारण
  • सूचना सुरक्षा
  • इंटरनेट की गोपनीयता
  • आईटी (IT) जोखिम
  • आईएसओ/आईईसी (ISO/IEC) 15408
  • नेटवर्क सुरक्षा टूलकिट
  • नेटवर्क सुरक्षा
  • ओडब्ल्यूएएसपी (OWASP)
  • निवेश परीक्षा
  • शारीरिक सूचना सुरक्षा
  • शारीरिक सुरक्षा
  • प्रकल्पित सुरक्षा
  • प्रोएक्टिव साइबर डिफेन्स
  • सैंडबॉक्स (कंप्यूटर सुरक्षा)
  • सुरक्षा वास्तुकला
  • संरक्षण और सुरक्षा के भिन्नता
  • भय (कंप्यूटर)
  • अरक्षितता (कंप्यूटिंग)
  • गोपनीयता सॉफ्टवेयर

सन्दर्भ

  1. Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). "Towards a More Representative Definition of Cyber Security". Journal of Digital Forensics, Security and Law (अंग्रेज़ी में). 12 (2). आइ॰एस॰एस॰एन॰ 1558-7215.
  2. साँचा:Britannica
  3. Tate, Nick (7 May 2013). "Reliance spells end of road for ICT amateurs". The Australian.
  4. Kianpour, Mazaher; Kowalski, Stewart; Øverby, Harald (2021). "Systematically Understanding Cybersecurity Economics: A Survey". Sustainability. 13 (24): 13677. hdl:11250/2978306. आइ॰एस॰एस॰एन॰ 2071-1050. डीओआइ:10.3390/su132413677.
  5. Stevens, Tim (11 June 2018). "Global Cybersecurity: New Directions in Theory and Methods" (PDF). Politics and Governance. 6 (2): 1–4. डीओआइ:10.17645/pag.v6i2.1569. मूल से 2019-09-04 को पुरालेखित (PDF).
  6. "About the CVE Program". www.cve.org. अभिगमन तिथि 2023-04-12.
  7. Zlatanov, Nikola (3 December 2015). "Computer Security and Mobile Security Challenges". Tech Security Conference At: San Francisco, CA. https://www.researchgate.net/publication/298807979. 
  8. "Ghidra". nsa.gov. 1 August 2018. मूल से 15 August 2020 को पुरालेखित. अभिगमन तिथि 17 August 2020.
  9. Larabel, Michael (2017-12-28). "Syzbot: Google Continuously Fuzzing The Linux Kernel". www.phoronix.com/ (अंग्रेज़ी में). अभिगमन तिथि 2021-03-25.
  10. "Cyber attacks on SMBs: Current Stats and How to Prevent Them". crowdstrike.com (अंग्रेज़ी में). अभिगमन तिथि 2023-11-30.
  11. "Cyber security breaches survey 2023". GOV.UK (अंग्रेज़ी में). अभिगमन तिथि 2023-11-30.
  12. "How cyber attacks work". www.ncsc.gov.uk (अंग्रेज़ी में). अभिगमन तिथि 2023-11-30.
  13. "What is a backdoor attack? Definition and prevention | NordVPN". nordvpn.com (अंग्रेज़ी में). 2023-11-30. अभिगमन तिथि 2024-01-03.
  14. "What is a backdoor attack?". McAfee. December 4, 2023. अभिगमन तिथि December 4, 2023.
  15. "Denial of Service (DoS) guidance". www.ncsc.gov.uk (अंग्रेज़ी में). अभिगमन तिथि 2023-12-04.
  16. "Computer Security". www.interelectronix.com. अभिगमन तिथि 2023-11-30.
  17. "What Is a DMA Attack? Analysis & Mitigation". Kroll (अंग्रेज़ी में). अभिगमन तिथि 2023-12-04.
  18. "What Are Eavesdropping Attacks?". Fortinet (अंग्रेज़ी में). अभिगमन तिथि 2023-12-05.
  19. York, Dan (2010-01-01), York, Dan (संपा॰), "Chapter 3 – Eavesdropping and Modification", Seven Deadliest Unified Communications Attacks, Boston: Syngress, पपृ॰ 41–69, आई॰ऍस॰बी॰ऍन॰ 978-1-59749-547-9, अभिगमन तिथि 2023-12-05
  20. "What Are Eavesdropping Attacks & How To Prevent Them". Verizon Enterprise (अंग्रेज़ी में). अभिगमन तिथि 2023-12-05.
  21. "What is Malware? | IBM". www.ibm.com (अंग्रेज़ी में). 14 April 2022. अभिगमन तिथि 2023-12-06.
  22. Bendovschi, Andreea (2015). "Cyber-Attacks – Trends, Patterns and Security Countermeasures". Procedia Economics and Finance. 28: 24–31. डीओआइ:10.1016/S2212-5671(15)01077-1.
  23. "What is malware?". McAfee. अभिगमन तिथि 30 November 2023.
  24. "What is a man-in-the-middle attack and how can I protect my organization?". verizon.com.
  25. "Multi-Vector Attacks Demand Multi-Vector Protection". MSSP Alert. 24 July 2017.
  26. Millman, Renee (15 December 2017). "New polymorphic malware evades three-quarters of AV scanners". SC Magazine UK.
  27. Tounsi, Wiem (2019-05-15), Tounsi, Wiem (संपा॰), "What is Cyber Threat Intelligence and How is it Evolving?", Cyber-Vigilance and Digital Trust (अंग्रेज़ी में) (1 संस्करण), Wiley, पपृ॰ 1–49, S2CID 187294508, आई॰ऍस॰बी॰ऍन॰ 978-1-78630-448-3, डीओआइ:10.1002/9781119618393.ch1, अभिगमन तिथि 2023-12-06
  28. "Identifying Phishing Attempts". Case. मूल से 13 September 2015 को पुरालेखित. अभिगमन तिथि 4 July 2016.
  29. "Protect yourself from phishing – Microsoft Support". support.microsoft.com. अभिगमन तिथि 2023-12-06.
  30. Lazarus, Ari (23 February 2018). "Phishers send fake invoices". Consumer Information (अंग्रेज़ी में). अभिगमन तिथि 17 February 2020.
  31. "Email Security". Trellix. 17 May 2022. मूल से 22 May 2022 को पुरालेखित. अभिगमन तिथि 24 October 2022.
  32. "What is Privilege Escalation? – CrowdStrike". crowdstrike.com (अंग्रेज़ी में). अभिगमन तिथि 2023-12-07.
  33. Arcos Sergio. "Social Engineering" (PDF). upc.edu. मूल से 3 December 2013 को पुरालेखित (PDF). अभिगमन तिथि 2019-04-16.
  34. Scannell, Kara (24 February 2016). "CEO email scam costs companies $2bn". Financial Times (25 February 2016). मूल से 23 June 2016 को पुरालेखित. अभिगमन तिथि 7 May 2016.
  35. "Bucks leak tax info of players, employees as result of email scam". Associated Press. 20 May 2016. मूल से 20 May 2016 को पुरालेखित. अभिगमन तिथि 20 May 2016.
  36. "What is Spoofing? – Definition from Techopedia". techopedia.com. मूल से 30 June 2016 को पुरालेखित. अभिगमन तिथि 2022-01-16.
  37. “A Dictionary of Computer Science”।। (21 January 2016)। Oxford University Press। DOI:10.1093/acref/9780199688975.001.0001.
  38. Marcel, Sébastien; Nixon, Mark; Li, Stan, संपा॰ (2014). Handbook of Biometric Anti-Spoofing: Trusted Biometrics under Spoofing Attacks. Advances in Computer Vision and Pattern Recognition (अंग्रेज़ी में). London: Springer. LCCN 2014942635. S2CID 27594864. आइ॰एस॰एस॰एन॰ 2191-6594. आई॰ऍस॰बी॰ऍन॰ 978-1447165248. डीओआइ:10.1007/978-1-4471-6524-8.
  39. "80 to 0 in Under 5 Seconds: Falsifying a Medical Patient's Vitals". www.trellix.com (अंग्रेज़ी में). अभिगमन तिथि 2023-02-09.
  40. Gallagher, Sean (14 May 2014). "Photos of an NSA "upgrade" factory show Cisco router getting implant". Ars Technica. मूल से 4 August 2014 को पुरालेखित. अभिगमन तिथि 3 August 2014.
  41. Intelligence, Microsoft Threat (2021-11-11). "HTML smuggling surges: Highly evasive loader technique increasingly used in banking malware, targeted attacks". Microsoft Security Blog (अंग्रेज़ी में). अभिगमन तिथि 2023-12-07.
  42. "Obfuscated Files or Information: HTML Smuggling, Sub-technique T1027.006 – Enterprise | MITRE ATT&CK®". attack.mitre.org. अभिगमन तिथि 2023-02-22.
  43. न्यू हैकिंग टेक्निक एक्स्प्लॉइट्स कॉमन प्रोग्रैमिंग एरर. Archived 2008-08-30 at the वेबैक मशीन SearchSecurity.com, जुलाई 2007
  44. जे.सी. विलेम्ससेन, "एफएए (FAA) कंप्यूटर सुरक्षा". GAO/T-AIMD-00-330. विज्ञान समिति, प्रतिनिधि सभा, 2000 में प्रस्तुत किया।
  45. पी. जी. न्यूमैन, 21 सदी में विमानन रक्षा और सुरक्षा पर अंतर्राष्ट्रीय सम्मेलन में "विमानन में कंप्यूटर सुरक्षा," को प्रस्तुत किया, व्हाइट हॉउस कमीशन ऑन सेफ्टी एंड सिक्युरिटी, 1997.
  46. जे ज़ेलन, विमानन सुरक्षा. हॉपपॉज, एनवाई: नोवा विज्ञान, 2003, पीपी 65–70.
  47. सूचना सुरक्षा. Archived 2011-11-15 at the वेबैक मशीन युनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स, 1986.
  48. साइबरसिक्युरिटी बिल पासेज़ फर्स्ट हर्डल Archived 2011-12-04 at the वेबैक मशीन, कंप्यूटर वर्ल्ड, 24 मार्च 2010. 26 जून 2010 को पुनःप्राप्त.
  49. साइबरसिक्युरिटी एक्ट ऑफ़ 2009 Archived 2010-06-17 at the वेबैक मशीन, OpenCongress.org, 1 अप्रैल 2009. 26 जून 2010 को पुनःप्राप्त.
  50. फेडरल अथॉरिटी ओवर द इंटरनेट? Archived 2011-03-04 at the वेबैक मशीनद साइबरसिक्युरिटी एक्ट ऑफ़ 2009 Archived 2011-03-04 at the वेबैक मशीन, eff.org, 10 अप्रैल 2009. 26 जून 2010 को पुनःप्राप्त.
  51. एच.आर.4962 - अंतर्राष्ट्रीय साइबरक्राइम रिपोर्टिंग एंड कोऑपरेशन एक्ट Archived 2010-12-28 at the वेबैक मशीन, OpenCongress.org. 26 जून 20109 को पुनःप्राप्त.
  52. सीनेटर्स से साइबर सिक्युरिटी बिल हैज़ नो 'किल स्विच' Archived 2012-09-21 at archive.today, informationweek.com, 24 जून 2010. 25 जून 2010 को पुनःप्राप्त.

उद्धरण

बाहरी कड़ियाँ

यह पृष्ठ इस विकिपीडिया लेख पर आधारित है
पाठ CC BY-SA 4.0 लाइसेंस के अंतर्गत उपलब्ध है; अतिरिक्त शर्तें लागू हो सकती हैं.
छवियाँ, वीडियो और ऑडियो उनके संबंधित लाइसेंस के तहत उपलब्ध हैं।.