प्रौद्योगिकी के अधिकांश उपयोगकर्ताओं को सचेत रूप से अपने सबसे अधिक उपयोग किए जाने वाले उपकरणों पर सुरक्षा कमजोरियों के बारे में सोचने की ज़रूरत नहीं है, जिसमें एंड्रॉइड-आधारित उत्पाद शामिल हैं, बहुत बार। जब तक आप नए सुरक्षा पैच उपलब्ध होते ही अपने फोन को अपडेट करते हैं, तब तक आप आमतौर पर कवर करते हैं। हालांकि, वहाँ एक जटिल सरकार-समर्थित कार्यक्रम है जो उस सभी को संभव बनाने के लिए काम कर रहा है, और यह आज लगभग अंधेरा हो गया।
लगभग 24 घंटे की अनिश्चितता के बाद, अमेरिकी साइबर सुरक्षा और इन्फ्रास्ट्रक्चर एजेंसी (CISA) ने घोषणा की कि वह उस दिन सामान्य कमजोरियों और एक्सपोज़र (CVE) को फंडिंग जारी रखेगा जिस दिन इसका पिछला अनुबंध समाप्त होने के लिए निर्धारित किया गया था। आज 16 अप्रैल, CISA के एक प्रवक्ता ने द वर्ज को बताया कि एजेंसी ने “अनुबंध पर विकल्प अवधि को अंजाम दिया ताकि यह सुनिश्चित हो सके कि महत्वपूर्ण CVE सेवाओं में कोई चूक नहीं होगी।”
लेकिन यह एक ऐसे कदम में तार के नीचे चला गया, जिसने पूरी दुनिया को एक तकनीकी सुरक्षा दुःस्वप्न में भेजा था।
यह सब सीवीई कार्यक्रम के साथ करना है, जो सार्वजनिक दृश्य में सुरक्षा मुद्दों की पहचान और ट्रैक करता है, इस बिंदु से एक संभावित समस्या की पहचान उस समय तक की जाती है जब एक उचित सुधार जारी किया जाता है। इसके लगभग 500 भागीदार हैं जिनमें सुरक्षा शोधकर्ता, ओपन-सोर्स डेवलपर्स और प्रमुख कंपनियां शामिल हैं-जिनमें Google, Microsoft और Apple जैसे बड़े लोग शामिल हैं।
यदि CVE प्रोग्राम परिचित लगता है, तो शायद इसलिए कि आपने एक लेख में उल्लिखित CVE कोड देखा है (जैसे कि Android Central पर कई CVE- संबंधित लोगों में से एक) या अपडेट के रिलीज़ नोट। वे एंड्रॉइड सिक्योरिटी बुलेटिन पर मासिक रिलीज़ का एक प्रमुख हिस्सा भी हैं। ये कोड, जैसे CVE-2024-53104वर्ष और एक संख्या के बाद सीवीई के साथ शुरू करें, और उपकरणों, प्लेटफार्मों और कंपनियों में सुरक्षा दोषों को ट्रैक करने के लिए एक सार्वभौमिक डेटाबेस बनाएं।
सीवीई कार्यक्रम 25 वर्षों से सक्रिय है, 1999 में शुरू हुआ। यह सुरक्षा समुदाय के लिए अमूल्य हो गया है, शोधकर्ताओं, डेवलपर्स, कंपनियों और जनता के लिए एक सार्वभौमिक तरीके के रूप में काम कर रहा है ताकि महत्वपूर्ण कमजोरियों को खोजने और पैच करने के लिए एक साथ काम किया जा सके। इससे भी महत्वपूर्ण बात यह है कि यह सार्वजनिक रूप से बताता है कि क्या एक भेद्यता को बुरा अभिनेताओं द्वारा सक्रिय रूप से शोषण किया गया है या नहीं।
प्रमुख सुरक्षा शोधकर्ताओं ने एक्स (पूर्व में ट्विटर) पर लुकास ओलेजनिक की तरह सीवीई कार्यक्रम के परिणामों को बंद कर दिया है।
“परिणाम विक्रेताओं, विश्लेषकों और रक्षा प्रणालियों के बीच समन्वय में एक टूटना होगा – कोई भी निश्चित नहीं होगा कि वे एक ही भेद्यता का उल्लेख कर रहे हैं,” गोपनीयता में विशेषज्ञता के साथ कंप्यूटर विज्ञान और सूचना प्रौद्योगिकी कानून में उन्नत डिग्री के साथ एक विद्वान ने लिखा है। “कुल अराजकता, और बोर्ड भर में साइबर सुरक्षा का अचानक कमजोर होना।”
संकट से बचा गया है … अब के लिए?
सौभाग्य से, ऐसा प्रतीत होता है कि संकट से बचा गया है, क्योंकि संघीय सरकार कम से कम निकट भविष्य के लिए सीवीई कार्यक्रम को निधि देना जारी रखेगी। हालांकि, ट्रम्प प्रशासन के रूप में तार के नीचे आने वाला निर्णय बोर्ड भर में संघीय वित्त पोषण को कम कर देता है, जो अपने 25 साल के इतिहास में किसी भी बिंदु की तुलना में अब अधिक अनिश्चित स्थिति में सीवीई कार्यक्रम को डालता है।
प्रवक्ता ने एक बयान में कहा, “सीवीई कार्यक्रम साइबर समुदाय और सीआईएसए की प्राथमिकता के लिए अमूल्य है।” “हम अपने सहयोगियों और हितधारकों के धैर्य की सराहना करते हैं।”
लेकिन वह अंतिम हरी बत्ती जल्दी नहीं आई, क्योंकि सुरक्षा दुनिया ने पहले से ही सीवीई कार्यक्रम को बनाए रखने और चलाने की योजना बनाना शुरू कर दिया था – यहां तक कि संघीय वित्त पोषण के बिना भी। सीवीई बोर्ड के सदस्यों ने सीवीई फाउंडेशन बनाया, एक गैर -लाभकारी संस्था ने पिछले एक साल के लिए गुप्त रूप से योजना बनाई है जो सीवीई मिशन को जारी रखने के लिए सुनिश्चित करेगा।
सीवीई फाउंडेशन के एक अधिकारी केंट लैंडफील्ड ने कहा, “सीवीई, वैश्विक साइबर सुरक्षा पारिस्थितिकी तंत्र की आधारशिला के रूप में, खुद को कमजोर होने के लिए बहुत महत्वपूर्ण है।” “दुनिया भर के साइबर सुरक्षा पेशेवर सीवीई पहचानकर्ताओं और डेटा पर अपने दैनिक कार्य के हिस्से के रूप में, सुरक्षा उपकरणों से लेकर खुफिया और प्रतिक्रिया के लिए धमकी देने की सलाह देते हैं। सीवीई के बिना, डिफेंडर वैश्विक साइबर खतरों के खिलाफ बड़े पैमाने पर नुकसान में हैं।”
फाउंडेशन बताता है कि यह चिंतित है कि एकल सरकारी प्रायोजक होने से “भेद्यता प्रबंधन पारिस्थितिकी तंत्र में विफलता का एक बिंदु” बना सकता है।
सीवीई कार्यक्रम बदल सकता है क्योंकि हम इसे जानते हैं
CVE कार्यक्रम Android सुरक्षा का एक महत्वपूर्ण हिस्सा है, और यह हर एक व्यक्ति के लिए प्रासंगिक होना चाहिए जो Android- आधारित डिवाइस को छूता है। हालांकि अब के लिए सरकारी धन प्राप्त किया गया है, अंतिम मिनट के फैसले से गति में निर्धारित किए गए कदमों को उलट नहीं दिया जा सकता है। CVE फाउंडेशन यहाँ है, और यह यहाँ रहने के लिए हो सकता है।
इस बात पर कोई शब्द नहीं है कि सीवीई फाउंडेशन अब काम करना जारी रखेगा कि सीवीई कार्यक्रम ने अमेरिकी सरकार के वित्त पोषण को बरकरार रखा है, लेकिन फाउंडेशन ने कहा कि अधिक जानकारी “आने वाले दिनों में जारी की जाएगी।” तत्काल अमेरिकी सरकार के वित्त पोषण ने सीवीई फाउंडेशन की पहचान की दीर्घकालिक समस्या को हल नहीं किया है-विफलता का एक भी बिंदु होने की संभावना-इसलिए अभी भी इसके मौजूद होने का एक कारण हो सकता है।
भले ही यह सब कैसे खेलता है, सीवीई कार्यक्रम को निधि देने का निर्णय एक महत्वपूर्ण वैश्विक सुरक्षा कार्यक्रम को समाप्त करने के लिए कभी नहीं आना चाहिए। हम में से अधिकांश के पास डिवाइस सुरक्षा के बारे में नहीं सोचने की लक्जरी है जो अक्सर, और यह सीवीई जैसे कार्यक्रम हैं जो हमें उस विशेषाधिकार की अनुमति देते हैं।
