Google, Amazon, Microsoft और Cloudflare ने इस सप्ताह खुलासा किया कि उन्होंने अगस्त और सितंबर में अपने क्लाउड इंफ्रास्ट्रक्चर के खिलाफ बड़े पैमाने पर, रिकॉर्ड-तोड़ वितरित डिनायल-ऑफ-सर्विस हमले शुरू किए। DDoS हमले एक क्लासिक इंटरनेट खतरा है जिसमें हमलावर किसी सेवा को जंक ट्रैफ़िक से अभिभूत करने की कोशिश करते हैं, इसे क्रॉल में लाते हैं, और हैकर्स उन्हें बड़ा या अधिक प्रभावी बनाने के लिए हमेशा नई रणनीति विकसित करते रहते हैं।
हालाँकि, नवीनतम हमला विशेष रूप से उल्लेखनीय है क्योंकि हैकर्स ने बुनियादी नेटवर्क प्रोटोकॉल में भेद्यता का फायदा उठाया। इसका मतलब यह है कि जबकि पैचिंग के प्रयास अच्छी तरह से चल रहे हैं, इन हमलों को पूरी तरह से खत्म करने से पहले पैच को अनिवार्य रूप से दुनिया के हर नेटवर्क सर्वर को कवर करने की आवश्यकता होगी।
भेद्यता, जिसे "HTTP/2 फास्ट रीसेट" के रूप में जाना जाता है, का उपयोग केवल सेवा से इनकार करने के लिए किया जा सकता है, और हमलावर दूर से सर्वर पर कब्जा नहीं कर सकते हैं या डेटा चोरी नहीं कर सकते हैं। लेकिन बड़ी समस्याएं पैदा करने के लिए हमलों का भव्य होना जरूरी नहीं है - महत्वपूर्ण बुनियादी ढांचे से लेकर महत्वपूर्ण जानकारी तक किसी भी डिजिटल सेवा तक पहुंचने के लिए उपलब्धता महत्वपूर्ण है।
Google क्लाउड के एमिल किनर और टिम अप्रैल ने इस सप्ताह लिखा: "DDoS हमलों का पीड़ित संगठनों पर व्यापक प्रभाव पड़ सकता है, जिसमें व्यावसायिक नुकसान और मिशन-महत्वपूर्ण अनुप्रयोगों की अनुपलब्धता शामिल है। DDoS हमले से उबरने का समय हमले के समाप्त होने के समय से कहीं अधिक हो सकता है।"
स्थिति का दूसरा पहलू असुरक्षा का स्रोत है। RapidReset सॉफ़्टवेयर के किसी विशिष्ट भाग में मौजूद नहीं है, लेकिन वेब पेजों को लोड करने के लिए उपयोग किए जाने वाले HTTP/2 नेटवर्क प्रोटोकॉल के विनिर्देश में मौजूद है। HTTP/2, इंटरनेट इंजीनियरिंग टास्क फोर्स (IETF) द्वारा विकसित किया गया है और लगभग आठ वर्षों से मौजूद है, यह क्लासिक इंटरनेट प्रोटोकॉल HTTP का तेज़ और अधिक कुशल उत्तराधिकारी है। HTTP/2 मोबाइल उपकरणों पर बेहतर चलता है और कम बैंडविड्थ का उपयोग करता है, इसलिए इसे व्यापक रूप से अपनाया जाता है। IETF वर्तमान में HTTP/3 विकसित कर रहा है।
क्लाउडफ्लेयर के लुकास परड्यू और जूलियन डेसगाट्स ने इस सप्ताह लिखा: क्योंकि यह हमला HTTP/2 प्रोटोकॉल में संभावित कमजोरी का दुरुपयोग करता है, हमारा मानना है कि HTTP/2 को लागू करने वाला कोई भी प्रदाता असुरक्षित होगा। हालांकि ऐसा प्रतीत होता है कि मुट्ठी भर कार्यान्वयन रैपिडरीसेट से प्रभावित नहीं हैं, परड्यू और डेसगाट्स ने इस बात पर जोर दिया कि यह मुद्दा व्यापक रूप से "प्रत्येक आधुनिक वेब सर्वर" के लिए प्रासंगिक है।
माइक्रोसॉफ्ट द्वारा पैच की गई विंडोज भेद्यता या ऐप्पल द्वारा पैच की गई सफारी भेद्यता के विपरीत, प्रोटोकॉल में खामियों को एक केंद्रीय इकाई द्वारा ठीक किए जाने की संभावना नहीं है क्योंकि प्रत्येक वेबसाइट अपने तरीके से मानक लागू करती है। जब प्रमुख क्लाउड सेवाएँ और DDoS रक्षा प्रदाता अपनी सेवाओं के लिए सुधार बनाते हैं, तो वे अपने बुनियादी ढांचे का उपयोग करने वाले सभी लोगों की सुरक्षा करने में काफी मदद करते हैं। लेकिन अपने स्वयं के वेब सर्वर चलाने वाले संगठनों और व्यक्तियों को अपने स्वयं के सुरक्षात्मक उपाय विकसित करने की आवश्यकता है।
चेनगार्ड, एक सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा कंपनी, जो लंबे समय से ओपन सोर्स सॉफ्टवेयर में शामिल है, के सीईओ डैन लोरेंक ने इस स्थिति को एक उदाहरण के रूप में बताया कि कैसे ओपन सोर्स की उपलब्धता और कोड के पुन: उपयोग की व्यापकता (हमेशा स्क्रैच से सब कुछ बनाने के बजाय) एक फायदा है, क्योंकि कई वेब सर्वर ने व्हील को फिर से बनाने के बजाय कहीं और से HTTP / 2 कार्यान्वयन की प्रतिलिपि बनाई हो सकती है। यदि इन परियोजनाओं को बनाए रखा जाता है, तो वे त्वरित रीसेट समाधान विकसित करेंगे और उन्हें उपयोगकर्ताओं तक पहुंचाएंगे।
हालाँकि, इन पैच को पूर्ण रूप से अपनाने में अभी भी वर्षों लगेंगे, और अभी भी कुछ सेवाएँ होंगी जो अपने स्वयं के HTTP/2 को शुरू से ही लागू कर रही होंगी जिनके पैच कहीं और उपलब्ध नहीं होंगे।
लोरेंक ने कहा, "यह ध्यान रखना महत्वपूर्ण है कि जब बड़ी तकनीकी कंपनियों को इस मुद्दे के बारे में पता चलता है, तो इसका सक्रिय रूप से फायदा उठाया जाता है।" "इसका उपयोग परिचालन प्रौद्योगिकी या औद्योगिक नियंत्रण जैसी सेवाओं को पंगु बनाने के लिए किया जा सकता है। यह डरावना है।"
जबकि Google, Cloudflare, Microsoft और Amazon के विरुद्ध DDoS हमलों की हालिया श्रृंखला ने उनके विशाल पैमाने के कारण चिंता बढ़ा दी है, कंपनियों ने अंततः स्थायी क्षति के बिना हमलों को कम कर दिया है। हालाँकि, एक हमले को अंजाम देकर, हैकर्स ने एक प्रोटोकॉल भेद्यता के अस्तित्व और इसका फायदा उठाने के तरीके का खुलासा किया - एक कारण-और-प्रभाव संबंध जिसे सुरक्षा समुदाय में "बर्न जीरो-डे" के रूप में जाना जाता है। हालांकि पैचिंग प्रक्रिया में समय लगेगा, और कुछ वेब सर्वर लंबे समय तक असुरक्षित बने रहेंगे, इंटरनेट अब उससे अधिक सुरक्षित है, यदि हमलावरों ने भेद्यता का फायदा उठाकर अपने कार्ड नहीं दिखाए होते।
लोरेंक ने कहा: "इस तरह की भेद्यता का किसी मानक में प्रकट होना असामान्य है, यह एक नई भेद्यता है और जिसने भी इसे पहले खोजा है उसके लिए एक मूल्यवान खोज है। वे इसे रख सकते थे या शायद इसे बेच भी सकते थे और भाग्य बना सकते थे। मुझे हमेशा यह जानने की उत्सुकता रही है कि किसी ने इस भेद्यता को 'जलाने' का फैसला क्यों किया।"