दिल्ली पुलिस का डिजिटल ‘जिपनेट’ इन्फ्रास्ट्रक्चर फ़्लाव हर किसी की सुरक्षा को खतरे में डालता है: सुरक्षा शोधकर्ता

दिल्ली पुलिस का डिजिटल ‘जिपनेट’ इन्फ्रास्ट्रक्चर फ़्लाव हर किसी की सुरक्षा को खतरे में डालता है: सुरक्षा शोधकर्ता

दिल्ली पुलिस के ऑनलाइन बुनियादी ढांचे में एक असुरक्षित एपीआई ने पूरे सिस्टम को दुर्भावनापूर्ण अभिनेताओं के सामने उजागर कर दिया। पृष्ठ को प्राधिकरण के बिना उद्धृत किया जा सकता है, संभवतः एक महत्वपूर्ण खतरा पैदा कर सकता है। इस असुरक्षित एपीआई के साथ, एक दुर्भावनापूर्ण अभिनेता एफआईआर विवरण, आपराधिक ट्रैकिंग डेटाबेस सीसीटीएनएस में विवरण जोड़ सकता है, या दिल्ली पुलिस से ईमेल और एसएमएस भेज सकता है। अक्टूबर में, बेंगलुरू आधारित सुरक्षा शोधकर्ता करण सैनी ने पुलिस, सीईआरटी-इन (कंप्यूटर सुरक्षा घटनाओं की रिपोर्टिंग के लिए नोडल एजेंसी), और एनसीआईआईपीसी आरवीडीपी (महत्वपूर्ण बुनियादी ढांचे में सुरक्षा के लिए नोडल एजेंसी के लिए तेजी से भेद्यता प्रकटीकरण कार्यक्रम) की सूचना दी, जिसे स्वीकार किया मुद्दा, लेकिन फिर कई महीनों तक इस मुद्दे को बंद नहीं किया।

वास्तविक समय में अपराध और आपराधिक जानकारी साझा करने के लिए 2004 में शुरू की गई ज़िपनेट प्रणाली में एक दोष के माध्यम से भेद्यता को संभव बनाया गया था। हालांकि, मौजूदा रिकॉर्ड तक पहुंचने में सक्षम होने के दौरान ZIPNET को स्थापित करने का एक हिस्सा था, सैनी ने जो दोष पाया वह भी रिकॉर्ड को संशोधित करने की क्षमता देगा।

अक्टूबर में, आरवीडीपी टीम ने सैनी को जवाब दिया और अपनी रिपोर्ट को तुरंत स्वीकार कर लिया, लेकिन इसके बाद कोई कार्रवाई नहीं हुई। जब मई में गैजेट्स 360 ने इन एजेंसियों से संपर्क किया, तो असुरक्षित एपीआई अभी भी सुलभ था, सात महीने बाद सैनी ने उन्हें प्रकाश में लाया था। इसका मतलब यह था कि दिल्ली पुलिस के पूरे डिजिटल बुनियादी ढांचे में आधे से अधिक वर्षों से जोखिम था – उस समय में यदि किसी दुर्भावनापूर्ण अभिनेता ने दोष का पता लगाया था, वे सीसीएनएस अपराधियों के डेटाबेस में अपना नाम और फ़ोटो डालने जैसा कुछ कर सकते हैं, सैनी व्याख्या की।

“एपीआई दिल्ली पुलिस द्वारा उपयोग के लिए एक आंतरिक अनुप्रयोग से संबंधित प्रतीत होता है। एक दुर्भावनापूर्ण अभिनेता इस API का दुरुपयोग कर सकता है, ताकि प्रविष्टियों को प्रविष्ट किया जा सके, या CCIS, CCTNS और ZIPNET डेटाबेस सिस्टम में मौजूदा प्रविष्टियों में धोखाधड़ी परिवर्तन किया जा सके। “एक दुर्भावनापूर्ण अभिनेता भी ‘DPCRIM’ एसएमएस शॉर्ट कोड से पाठ संदेश भेजने के लिए एपीआई पर एक विशेष समापन बिंदु का दुरुपयोग कर सकता है, और आगे, यहां तक ​​कि धोखाधड़ी संचार भेजने के उद्देश्य से delhipolice.gov.in डोमेन पर एक वैध ईमेल पते को कमांड करता है। – जैसे कि फ़िशिंग या मैलवेयर अभियान। विशेष रूप से delhipolice.gov.in डोमेन से एक ईमेल भेजने की क्षमता के बारे में चिंता की बात यह है कि इस मामले में, यह प्रेषक पते के स्पूफिंग के माध्यम से नहीं किया जाता है – जो कि सभी स्पैम फ़िल्टर नहीं होने पर सबसे अधिक पकड़ा जाता है – लेकिन बल्कि एक विशेष एपीआई एंडपॉइंट में एम्बेडेड वैध मेल क्रेडेंशियल्स के कारण। “

जिम्मेदार प्रकटीकरण परीक्षणों से पता चला कि असुरक्षित एपीआई का संभावित दुरुपयोग कैसे किया जा सकता है।

सीसीटीएनएस डेटाबेस का उपयोग देश भर के पुलिस विभागों द्वारा उपयोग किए जाने वाले कई फेशियल रिकग्निशन प्रोग्रामों को करने के लिए किया जा रहा है, इसलिए यह संभवतः निर्दोष लोगों को परेशान करने के लिए दुरुपयोग किया जा सकता है; अन्य कमजोरियों में पुलिस के आधिकारिक ईमेल और एसएमएस वितरण से संचार भेजना शामिल था, जो गलत सूचना फैलाने और दुरुपयोग का कारण बन सकता था।

सैनी की जानकारी के आधार पर, गैजेट 360 किए जा रहे दावों का सत्यापन करने में सक्षम था, और समस्या की पुष्टि करने के बाद, आरवीडीपी तक पहुंच गया।

गैजेट्स 360 द्वारा एजेंसियों तक पहुंचने के बाद, NCIIPC RVDP ने इस मुद्दे को स्वीकार करते हुए कुछ दिनों में हल कर दिया। सैनी इस बात की पुष्टि करने में सक्षम हैं कि दोष पैच कर दिया गया है, और लोगों की सुरक्षा और सुरक्षा को प्रभावित नहीं कर रहा है।

सैनी ने कहा, “हालांकि एपीआई अपने मूल स्थान के माध्यम से सुलभ नहीं है, लेकिन यह सुनिश्चित करना महत्वपूर्ण है कि जहां भी इसे स्थानांतरित किया गया है, उसके कार्यों की सुरक्षा के लिए पर्याप्त उपाय किए गए हैं।” उन्होंने यह भी कहा कि यह दुर्भाग्यपूर्ण था कि पैच को लगाने में इतना समय लगा। मार्च 2019 में, सैनी ने सेंटर फॉर इंटरनेट एंड सोसाइटी (CIS) के प्राणेश प्रकाश और एलोनोई हिकॉक के साथ मिलकर सरकार को सुरक्षा कमजोरियों का खुलासा करने के साथ चुनौतियों पर एक पत्र भी प्रकाशित किया, जिसमें उन्होंने और उनके सहयोगियों ने CIS का उल्लेख किया है, “ वर्तमान भेद्यता प्रकटीकरण कार्यक्रमों और भारत सरकार की संस्थाओं की प्रक्रिया के संबंध में सूचना की उपलब्धता में ध्यान देने योग्य कमी है, जो केवल पारदर्शिता की कमी के कारण आगे बढ़ती है। ” कागज में, उन्होंने कई उपायों की एक श्रृंखला भी लिखी है जिन्हें वर्तमान स्थिति में सुधार के लिए लिया जाना चाहिए।

भेद्यता की संवेदनशील प्रकृति को देखते हुए, सैनी इस जानकारी को साझा नहीं करना चाहता था जब तक कि भेद्यता पैच नहीं हो गई थी, फिर भी कुछ भी करने में कई महीने लग जाते थे, और विडंबना यह है कि सैनी को पैच के बारे में सूचित भी नहीं किया गया था। यहां तक ​​कि Google की जिम्मेदार प्रकटीकरण समय-सीमा 90 दिनों के प्रकटीकरण की समय सीमा प्रदान करती है, जिसके बाद एक शोधकर्ता किसी मुद्दे का खुलासा कर सकता है, लेकिन यहां शोधकर्ता को सूचित किए बिना किसी भी कार्रवाई के लिए उस समय को दोगुना कर दिया गया।

गैजेट्स 360 के जवाब में, आरवीडीपी ने लिखा, “इस मुद्दे को संबंधित प्राधिकरण द्वारा पैच कर दिया गया है, और सुरक्षा शोधकर्ता द्वारा रिपोर्ट किए गए एक ही मुद्दे को अक्टूबर 2019 के महीने में प्राधिकरण को सूचित किया गया था।” यह इस बात पर कोई विवरण साझा नहीं करता है कि इस मुद्दे को हल करने में इतना समय क्यों लगा, और गैजेट्स 360 ने सैनी से पुष्टि की कि उन्हें पैच के बारे में सूचित नहीं किया गया था।

यद्यपि दोष का मुद्दा स्वयं एक महत्वपूर्ण है, यह इस तथ्य को भी बढ़ाता है कि सुरक्षा शोधकर्ता जो भारत के डिजिटल बुनियादी ढांचे की सुरक्षा और मजबूती को बेहतर बनाना चाहते हैं, उनके काम को ठीक से करने के लिए अक्सर एक कठिन लड़ाई होती है, जो बताती है कि क्यों कई विदेशी सॉफ़्टवेयर प्लेटफ़ॉर्म में बग की खोज करना पसंद करते हैं, जिसके लिए उन्हें मान्यता, और इनाम दिया जाता है।

हैदराबाद के एक शोधकर्ता, जिन्होंने यह नहीं पूछा कि उनका नाम सरकार के सलाहकार के रूप में काम कर रहा है, ने गैजेट्स 360 को बताया कि यह कोई असामान्य स्थिति नहीं है। उन्होंने कहा, “पिछले पांच वर्षों में चीजें निश्चित रूप से बेहतर हुई हैं या तो इंटरनेट का महत्व स्पष्ट हो गया है, लेकिन अभी भी प्रगति की गुंजाइश है।”

पहले के एक साक्षात्कार में, अविनाश जैन, ग्रोफर्स में लीड इन्फ्रास्ट्रक्चर सिक्योरिटी इंजीनियर, और अंशकालिक बग-बाउंटी शिकारी ने इस संवाददाता को बताया, कि सरकार से समर्थन की कमी है। उन्होंने कहा, “कम से कम स्वीकार्यता है, जो लोगों को रिपोर्टिंग के मुद्दों से हतोत्साहित करती है,” उन्होंने कहा कि इसके विपरीत, फ्रांसीसी शोधकर्ता रॉबर्ट बैप्टिस्ट (ट्विटर पर इलियट एल्डरसन के रूप में जाना जाता है) जैसे विदेशी लोग सार्वजनिक खुलासे करते हैं और प्रसिद्ध हो जाते हैं, जबकि भारतीय दरकिनार कर दिए जाते हैं।

huluapk

Leave a Reply

Your email address will not be published. Required fields are marked *