एनएसए पिछले दरवाजे वाणिज्यिक उत्पादों पर अपनी नीति का खुलासा करने से इनकार कर रहा है

एनएसए पिछले दरवाजे वाणिज्यिक उत्पादों पर अपनी नीति का खुलासा करने से इनकार कर रहा है

सीनेटर रॉन वेडन ने पूछा, और एनएसए ने जवाब नहीं दिया:

पूर्व एनएसए ठेकेदार एडवर्ड स्नोडेन के खुलासे और रायटर और अन्य द्वारा रिपोर्टिंग के अनुसार, एनएसए ने प्रौद्योगिकी कंपनियों के साथ लंबे समय से समझौते किए हैं, जिसके तहत वे अपने उत्पादों में जासूसी एजेंसी के लिए विशेष पहुंच का निर्माण करेंगे।

ये तथाकथित पीछे के दरवाजे एनएसए और अन्य एजेंसियों को बड़ी मात्रा में यातायात को बिना वारंट के स्कैन करने में सक्षम बनाते हैं। एजेंसी के अधिवक्ताओं का कहना है कि इस अभ्यास से अन्य देशों में महत्वपूर्ण खुफिया जानकारी एकत्र करने में आसानी हुई है, जिसमें आतंकवादी संचार अवरोधन भी शामिल है।

तीन पूर्व खुफिया अधिकारियों ने रॉयटर्स को बताया कि जोखिम और समझौता करने की संभावनाओं को कम करने के लिए स्नोडेन के लीक होने के बाद एजेंसी ने इस तरह की प्रथाओं के लिए नए नियम विकसित किए। लेकिन सीनेट इंटेलिजेंस कमेटी के एक प्रमुख डेमोक्रेट सीनेटर रॉन वेडन का कहना है कि एनएसए ने नए दिशा-निर्देशों की जानकारी देने पर भी पत्थरबाजी की है।

[…]

एजेंसी ने यह कहने से इनकार कर दिया कि उसने वाणिज्यिक उत्पादों तक विशेष पहुंच प्राप्त करने पर अपनी नीतियों को कैसे अपडेट किया। एनएसए के अधिकारियों ने कहा कि एजेंसी सॉफ्टवेयर की खामियों के बारे में चेतावनी देने जैसे उपायों के जरिए निजी क्षेत्र के साथ विश्वास कायम कर रही है।

“एनएसए में, सर्वोत्तम प्रथाओं को पहचानने और निर्धारित करने के लिए प्रक्रियाओं का लगातार आकलन करने के लिए यह आम बात है,” एनई न्युबर्गर ने कहा, जो एनएसए के वर्ष के साइबर सुरक्षा निदेशालय के प्रमुख हैं। “हम विशिष्ट प्रक्रियाओं और प्रक्रियाओं को साझा नहीं करते हैं।”

तीन पूर्व वरिष्ठ खुफिया एजेंसी के आंकड़ों ने रायटर को बताया कि एनएसए को अब आवश्यकता है कि इससे पहले कि एक पिछले दरवाजे की मांग की जाए, एजेंसी को संभावित गिरावट का वजन करना चाहिए और यदि पीछे के दरवाजे की खोज की जाती है और विरोधियों द्वारा हेरफेर किया जाता है तो किसी प्रकार की चेतावनी की व्यवस्था करनी चाहिए।

यह लेख जुनिपर नेटवर्क उपकरण के बारे में बात करता है, जिसके उत्पादों में एनएसए-निर्मित DUAL_EC PRNG पिछले दरवाजे थे। एक अज्ञात विदेशी विपक्षी द्वारा उस पिछले दरवाजे का फायदा उठाया गया था।

जुनिपर नेटवर्क दो साल बाद दोहरी ईसी पर गर्म पानी में मिला। 2015 के अंत में, इंटरनेट स्विच के निर्माता ने खुलासा किया कि उसने कुछ फ़ायरवॉल उत्पादों में दुर्भावनापूर्ण कोड का पता लगाया था। शोधकर्ताओं ने बाद में निर्धारित किया कि हैकर्स ने जुनिपर के दोहरे ईसी के संस्करण में बदलाव करके फायरवॉल को अपने स्वयं के जासूसी उपकरण में बदल दिया।

जुनिपर ने घटना के बारे में बहुत कम कहा। लेकिन कंपनी ने 2016 में सुरक्षा शोधकर्ता एंडी इसाकसन को स्वीकार किया कि उसने रायटर द्वारा देखे गए पहले से अनदेखे संदेश के अनुसार “ग्राहक की आवश्यकता” के हिस्से के रूप में दोहरी ईसी स्थापित किया था। इसाकसन और अन्य शोधकर्ताओं का मानना ​​है कि ग्राहक एक अमेरिकी सरकार की एजेंसी थी, क्योंकि केवल अमेरिकी को ही दोहरे ईसी पर कहीं और जोर देने के लिए जाना जाता है।

जुनिपर ने कभी भी ग्राहक की पहचान नहीं की, और इस कहानी के लिए टिप्पणी करने से इनकार कर दिया।

इसी तरह, कंपनी ने कभी भी हैकर्स की पहचान नहीं की। लेकिन मामले से परिचित दो लोगों ने रायटर को बताया कि जांचकर्ताओं ने निष्कर्ष निकाला कि चीनी सरकार इसके पीछे थी। उन्होंने जिन साक्ष्यों का इस्तेमाल किया, उन्हें विस्तार से बताने से इनकार कर दिया।

ठीक है, यहाँ बहुत सारे निराधार दावे और सहज ज्ञान युक्त बातें हैं। और न्यूबर्गर सही है; एनएसए को विशिष्ट प्रक्रियाओं और प्रक्रियाओं को साझा नहीं करना चाहिए। लेकिन जब तक यह एक लोकतांत्रिक देश है, एनएसए का दायित्व है कि वह अपनी सामान्य प्रक्रियाओं और प्रक्रियाओं का खुलासा करे ताकि हम सभी जानते हैं कि वे हमारे नाम पर क्या कर रहे हैं। और अगर यह अभी भी सुरक्षा के आगे निगरानी रख रहा है।

28 अक्टूबर, 2020 को सुबह 9:40 बजे •
25 टिप्पणियाँ