सॉफ्टवेयर बग्स की वैश्विक मास्टर सूची डोगे कुल्हाड़ी को चकमा देती है

सामान्य कमजोरियों और एक्सपोज़र (CVE) डेटाबेस, एक अंतरराष्ट्रीय रोग रजिस्ट्री के डिजिटल समकक्ष लेकिन कंप्यूटर सॉफ्टवेयर कमजोरियों के लिए। मंगलवार को, बोर्ड ऑफ मैटर कॉरपोरेशन को एक लीक आंतरिक पत्र, जो डेटाबेस का प्रबंधन करता है, ने चेतावनी दी कि यह संचालन को रोकने का खतरा था क्योंकि प्रशासन ने वार्षिक अनुबंध को नवीनीकृत नहीं किया था। अगले 24 घंटों में, साइबर सुरक्षा समुदाय और टेक उद्योग ने ग्यारहवें घंटे की घोषणा तक सबसे खराब स्थिति के लिए लटका दिया कि फंडिंग को नवीनीकृत किया गया था।

बुधवार के अंत में, साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (CISA), संघीय एजेंसी, जो सरकार और महत्वपूर्ण बुनियादी ढांचे के सभी स्तरों में साइबर सुरक्षा में सुधार के लिए जिम्मेदार है, ने एचटी को एक ईमेल में कहा कि सीवीई कार्यक्रम “अमूल्य था” और कोई रुकावट नहीं होगी। एक एजेंसी के प्रवक्ता ने ईमेल में कहा, “कल रात, CISA ने अनुबंध पर विकल्प अवधि को अंजाम दिया ताकि यह सुनिश्चित किया जा सके कि महत्वपूर्ण CVE सेवाओं में कोई चूक नहीं होगी। हम अपने भागीदारों और हितधारकों के धैर्य की सराहना करते हैं।”

इस मामले से अवगत एक व्यक्ति, जिसने नाम नहीं लिया, उसने कहा कि नवीकरण 11 महीने के लिए है।

डेटाबेस को 25 साल पहले होमलैंड सिक्योरिटी डिपार्टमेंट (डीएचएस) के साथ अनुबंध के तहत अपनी स्थापना के बाद से मैटर कॉर्पोरेशन द्वारा प्रबंधित किया गया था। डेटाबेस कैटलॉग लगभग सभी प्रमुख विक्रेताओं द्वारा सॉफ्टवेयर में दोष देता है, जो व्यक्तिगत शोधकर्ताओं, धमकी खुफिया फर्मों और डेवलपर्स से खुद को “बग रिपोर्ट” के रूप में जाना जाता है। निजी कंपनियों और सरकारी एजेंसियों के लिए महत्वपूर्ण सलाह जारी करने के लिए भारत की कंप्यूटर आपातकालीन प्रतिक्रिया टीम (CERT-IN) सहित सरकारी एजेंसियों द्वारा इसके बुलेटिन नियमित रूप से भरोसा करते हैं।

अंतिम-मिनट का बचाव व्यापक अलार्म के बाद आया, जिसमें विशेषज्ञों ने राष्ट्रीय परमाणु सुरक्षा प्रशासन जैसे अन्य महत्वपूर्ण एजेंसियों में समान अराजकता की ओर इशारा किया, जहां 350 कर्मचारियों को आक्रामक सरकारी खर्च में कटौती के हिस्से के रूप में अचानक बिछाने के बाद लौटने के लिए कहा गया था।

मिटर में मातृभूमि को सुरक्षित करने के लिए केंद्र के उपाध्यक्ष और निदेशक योसरी बार्सौम ने रेप्रीव की पुष्टि की और कहा कि “सरकार द्वारा की गई कार्रवाइयों के लिए धन्यवाद”, सेवा में एक विराम से बचा गया है। “CISA ने कार्यक्रमों को चालू रखने के लिए वृद्धिशील धन की पहचान की। हम पिछले 24 घंटों में वैश्विक साइबर समुदाय, उद्योग और सरकार द्वारा व्यक्त किए गए इन कार्यक्रमों के लिए भारी समर्थन की सराहना करते हैं,” उन्होंने HT को एक ईमेल में कहा।

सीवीई प्रणाली वैश्विक साइबर सुरक्षा संचालन के लिए आवश्यक है, जो मानकीकृत पहचानकर्ता प्रदान करती है जो दुनिया भर में सरकारी एजेंसियों, सुरक्षा विक्रेताओं और निजी कंपनियों में समन्वित प्रतिक्रियाओं को सक्षम करती है।

उदाहरण के लिए, जब Apple ने घोषणा की कि यह एक महत्वपूर्ण दोष है जो हैकर्स को फ़ोटो तक पहुंचने दे सकता है, या Microsoft रैंसमवेयर को ब्लॉक करने के लिए एक तत्काल अपडेट जारी करता है, तो वे इस डेटाबेस में कैटलॉग की गई कमजोरियों को संदर्भित कर रहे हैं। यह सॉफ्टवेयर के लिए एक सार्वभौमिक चिकित्सा प्रणाली की तरह काम करता है-प्रत्येक सुरक्षा दोष को एक अद्वितीय पहचानकर्ता (जैसे CVE-2016-4655, जिसने कुख्यात पेगासस स्पाइवेयर को काम करने में सक्षम बनाया)-जो दुनिया भर में कंपनियों को अपनी प्रतिक्रियाओं को समन्वित करने, पैच विकसित करने और अरबों उपकरणों की रक्षा करने की अनुमति देता है।

यहां तक ​​कि इसकी सेवाओं का एक अस्थायी व्यवधान भी महत्वपूर्ण प्रणालियों को उभरते खतरों से बचाने के प्रयासों में बाधा डाल सकता है।

विशेषज्ञों ने मैटर की फंडिंग को काटने की संभावना को “अपने सीटबेल्ट को उतारने और अंधेरे में ड्राइविंग करते समय अपनी हेडलाइट्स को बंद करने की संभावना का वर्णन किया।” “मैटर के काम की आलोचना करना कठिन है। यह अब तक की कमजोरियों का सबसे व्यापक भंडार है और जिस किसी के पास डिजिटल बुनियादी ढांचे को हासिल करने के साथ कुछ भी करना है, वह इस पर निर्भर करता है,” दिवायम नंदराजोग, वकील और साइबरसिटी रणनीतिकार ने कहा, जिन्होंने यह जोड़ा कि यह जोड़ा गया था, जो कि यह जोड़ा गया था, जो कि यह जोड़ा गया था, जो कि यह जोड़ा गया था, जो कि यह जोड़ा गया था, जो कि यह जोड़ा गया था कि यह जोड़ा गया था।

नंदराजोग ने बताया कि सीवीई डेटाबेस सूचना के संग्रह से परे है, इसकी सटीकता महत्वपूर्ण है। “जब कोई बग का पता चलता है, तो कोई कैसे बताता है कि क्या उसे पहले सूचीबद्ध नहीं किया गया है? दो लोग कैसे जानते हैं कि वे एक ही समस्या को नहीं देख रहे हैं,” उन्होंने कहा, इस तरह की प्रणाली का नुकसान केवल सिलोस में जानकारी नहीं छोड़ेगा, बल्कि इसका मतलब यह भी है कि कोई महत्वपूर्ण दोष को ठीक करता है, “जानकारी भी सामान्य समझ की कमी के लिए तत्काल उपयोग करने में सक्षम नहीं होगी।”

Usaspending.gov रिकॉर्ड्स ने CVE कार्यक्रम के लिए संघीय अनुबंध दिखाया, जिसकी कीमत $ 44.6 मिलियन है और मुख्य रूप से DHS के माध्यम से वित्त पोषित है, 16 अप्रैल को समाप्त हुआ।

टेक टाइकून एलोन मस्क के डोगे, या सरकार की दक्षता विभाग द्वारा भाग में संचालित महत्वपूर्ण फंडिंग कटौती के बीच अनुबंध की परेशानी हुई। वर्जीनिया बिजनेस द्वारा 3 अप्रैल की एक समाचार रिपोर्ट के अनुसार, Miter ने Doge द्वारा संघीय अनुबंधों में $ 28.5 मिलियन के रद्द होने के बाद जून तक अपने वर्जीनिया मुख्यालय में 442 छंटनी की घोषणा की।

11 महीने के विस्तार के बावजूद, सीवीई कार्यक्रम के दीर्घकालिक भविष्य के बारे में प्रश्न बने हुए हैं। संभावित भविष्य के वित्त पोषण के मुद्दों के लिए स्पष्ट तैयारी में, Miter बोर्ड के ब्रेकअवे सदस्यों के साथ एक नए गठित गैर-लाभकारी ने CVE फाउंडेशन के रूप में इसके गठन की घोषणा की। यह एक प्रेस विज्ञप्ति में कहा गया है कि फाउंडेशन “लंबे समय से, सक्रिय सीवीई बोर्ड के सदस्यों का एक गठबंधन है” कि “पिछले वर्ष ने सीवीई को एक समर्पित, गैर-लाभकारी नींव में संक्रमण करने के लिए एक रणनीति विकसित करने में बिताया है।”

प्रेस विज्ञप्ति में इस कदम का वर्णन है कि “सीवीई बोर्ड के सदस्यों के बीच लंबे समय से चिंताओं को पूरा करने के बारे में एक विश्व स्तर पर विश्वसनीय संसाधन की स्थिरता और तटस्थता के बारे में एक एकल सरकारी प्रायोजक से जुड़ा हुआ है।” हालांकि, घोषणा के लिए कोई विशिष्ट समयरेखा प्रदान नहीं की गई जब नींव पूरी तरह से चालू होगी या इसे कैसे वित्त पोषित किया जाएगा।

नंदराजोग ने कहा कि इस तरह की महत्वपूर्ण सेवा यह सुनिश्चित करने के लिए अब तक कोई ठोस प्रयास नहीं किया गया था कि धन के लिए एक सरकार पर भरोसा नहीं किया जाए। “ये बातचीत निश्चित रूप से अब समझ में आती है। एक टोकरी में आपके सभी अंडे होना अच्छा नहीं है।”

केंट लैंडफील्ड ने कहा, “सीवीई, वैश्विक साइबर सुरक्षा पारिस्थितिकी तंत्र की आधारशिला के रूप में, खुद को कमजोर होने के लिए बहुत महत्वपूर्ण है।”