पेगासस स्पाइवेयर: क्या आपका क्रिप्टो सुरक्षित है?

08/03/2021 | ब्लॉग पोस्ट

• 

निम्नलिखित लेख हाल ही में प्रकाशित तकनीकी ब्लॉग को सारांशित करता है लेजर डोनजोन टीम। आप क्लिक कर सकते हैं यहाँ उत्पन्न करें पढ़ने के लिए यह।

हमारे व्यक्तिगत उपकरणों को हैक करने के लिए डिज़ाइन किए गए सॉफ़्टवेयर प्रोग्राम अधिक से अधिक परिष्कृत होते जा रहे हैं। NS पेगासस स्पाइवेयर स्कैंडल यह सॉफ़्टवेयर हमारी तकनीक और सूचना के लिए उत्पन्न खतरे को उजागर करता है। 

स्पाइवेयर ने क्रिप्टो उद्योग का भी ध्यान आकर्षित किया है, क्योंकि बढ़ती संख्या में उपयोगकर्ता और निवेशक असुरक्षित कंप्यूटर और स्मार्टफोन पर चलने वाले सॉफ़्टवेयर वॉलेट पर भरोसा करते हैं। Web3 डिजिटल संपत्ति, जैसे कि बिटकॉइन या एथेरियम, को वेब 2 उपकरणों (लैपटॉप और स्मार्टफोन) पर संग्रहीत नहीं किया जाना चाहिए। यह लेख बताता है कि क्यों।

"शून्य-दिन" और "शून्य-क्लिक" स्पाइवेयर बढ़ता है

2020 में, खोजी पत्रकारों ने खुलासा किया कि स्पाइवेयर निर्माता, NSO समूह के ग्राहकों द्वारा हजारों नागरिकों, कार्यकर्ताओं और राजनीतिक नेताओं को निशाना बनाया गया था। हाल ही में, स्पाइवेयर इस रहस्योद्घाटन के साथ एक सच्चा कूटनीतिक घोटाला बन गया कि 14 राष्ट्राध्यक्ष और सरकारें पूर्व लक्ष्य थे, जिनमें फ्रांस के राष्ट्रपति मैक्रोन और मोरक्को के राजा मोहम्मद वी शामिल थे। स्पाइवेयर ने उनके स्मार्टफोन तक पूरी पहुंच प्रदान की।

यह स्पाइवेयर इतना कपटी निगरानी उपकरण कैसे बन गया? सिर्फ इसलिए कि "शून्य-दिन" और "शून्य-क्लिक" सुविधाओं का मिश्रण। लेकिन इसका क्या मतलब है, बिल्कुल? 

एक "शून्य-दिन" हमला तब होता है जब हैकर्स किसी ऐप या डिवाइस में एक भेद्यता का फायदा उठाते हैं जो लक्ष्य सॉफ़्टवेयर के विक्रेता के लिए अज्ञात है। पेगासस स्पाइवेयर मामले में, प्रवेश बिंदु मैसेजिंग ऐप (iMessage, WhatsApp, SMS…) हैं। 

दूसरी ओर, एक "शून्य-क्लिक" हमला कहीं भी क्लिक करने के लक्ष्य की आवश्यकता के बिना कमजोरियों का फायदा उठाता है। इन कमजोरियों ने हमलावर को लक्षित उपकरणों और उनके डेटा तक लगभग पूर्ण पहुंच प्रदान की: कैमरा, माइक्रोफ़ोन, जियोलोकेशन, चित्र, वार्तालाप आदि। 

"शून्य-दिन का शून्य-क्लिक हमला" उपरोक्त दोनों का संयोजन है। चिंतित, अभी तक?

ये हमले आपकी डिजिटल संपत्तियों को भी नुकसान पहुंचाते हैं 

दुर्भाग्य से, "जीरो-डे" तथा "शून्य क्लिक"हमले पेगासस स्पाइवेयर तक सीमित नहीं हैं। अगर आपको लगता है कि आपके सॉफ़्टवेयर वॉलेट स्वाभाविक रूप से सुरक्षित हैं, तो फिर से सोचें। निम्नलिखित वीडियो दिखाते हैं कि हमारी लेजर डोनजोन टीम कितनी आसानी से स्मार्टफोन को हैक करने और के बीज वाक्यांशों तक पहुंचने में सक्षम थी मेटामास्क, कॉइनबेस, तथा Blockchain.com सॉफ्टवेयर जेब।

अगला वीडियो एक मैलवेयर का अनुकरण करता है जो पीड़ित द्वारा दर्ज किए गए उपयोगकर्ता पासवर्ड को चुरा लेता है। इसके बाद इसका उपयोग इलेक्ट्रम वॉलेट डेटा को डिक्रिप्ट करने और बीज प्रदर्शित करने के लिए किया जाता है।

निम्न वीडियो नकली बिटकॉइन टिकर विजेट के रूप में प्रच्छन्न मैलवेयर को हाइलाइट करता है। एन्क्रिप्टेड बीज को किसी दूरस्थ सर्वर से बाहर निकालने के लिए मैलवेयर डिवाइस की भेद्यता का फायदा उठाता है। सर्वर तब बीज को डिक्रिप्ट करने के लिए पासवर्ड को ब्रूटफोर्स करता है: 

अगला वीडियो कॉइनबेस वॉलेट के साथ एक समान प्रक्रिया दिखाता है:

यह अंतिम वीडियो एक Blockchain.com वॉलेट को लक्षित स्पाइवेयर को प्रदर्शित करता है। एक बार जब उपयोगकर्ता पीड़ित फ़िंगरप्रिंट का उपयोग करके प्रमाणित हो जाता है, तो एन्क्रिप्शन कुंजी अनलॉक हो जाती है और वॉलेट डेटा डिक्रिप्ट हो जाता है: 

कुल मिलाकर, प्रक्रिया वास्तव में काफी सरल है। हैकर आपको सूचित किए बिना एक संदेश भेजता है। संदेश एक भेद्यता का फायदा उठाता है जिससे हमलावर आपके ऐप की जासूसी कर सकते हैं और इंटरनेट के माध्यम से आपके बीज वाक्यांश को बाहर निकाल सकते हैं। हैकर फिर बीज को अपने कंप्यूटर पर वापस भेज देता है। कम से कम कहने के लिए किसी क्लिक की आवश्यकता नहीं है और यह एक दुर्भावनापूर्ण शोषण है। 

आपके क्रिप्टो के लिए? गया।

सबक स्पष्ट है: अपने Web3 डिजिटल एसेट को लैपटॉप और स्मार्टफ़ोन जैसे Web2 उपकरणों पर न डालें! वे डिज़ाइन द्वारा सुरक्षित नहीं हैं, जिसका अर्थ है कि वे सॉफ़्टवेयर प्रोग्राम (iOS या Android) पर चलते हैं जो आपको अपना सामान सुरक्षित एन्क्लेव में छोड़ने की अनुमति नहीं देते हैं. 

क्रिप्टो में सुरक्षा को हार्डवेयर-आधारित क्यों होना चाहिए?

क्रिप्टो ब्रह्मांड खजाने से भरा है, लेकिन किसी का रोमांच हमेशा सुरक्षित होना चाहिए। यही कारण है कि हमारे हार्डवेयर वॉलेट, लेजर नैनो एस और नैनो एक्स, आपकी डिजिटल संपत्ति के लिए सबसे सुरक्षित भंडारण समाधान हैं:

• सबसे पहले, वे डिज़ाइन द्वारा, मैलवेयर से आपकी रक्षा करते हैं। हमारे हार्डवेयर वॉलेट स्वतंत्र उपकरण हैं जो अपने आप लेनदेन पर हस्ताक्षर करते हैं। निजी कुंजी की क्रिप्टोग्राफ़िक सामग्री हमेशा डिवाइस के अंदर रहती है। उन्हें उस एप्लिकेशन पर कभी नहीं भेजा जाता है जिसके साथ वे संवाद करते हैं। इसलिए, आपकी कुंजियों को ऑफ़लाइन रखा जाता है जहां मैलवेयर उन तक नहीं पहुंच सकता। 

• दूसरा, हमारे उपकरण एक स्क्रीन को एम्बेड करते हैं जिससे आप अपनी गुप्त कुंजियों के साथ बातचीत करते समय अपने कार्यों को सत्यापित कर सकते हैं। जब आप मोबाइल फोन या डेस्कटॉप कंप्यूटर पर लेन-देन करते हैं, तो मैलवेयर आपकी जानकारी तक पहुंच सकता है या आपके पते को स्वैप/संशोधित भी कर सकता है। हमारे ऑन-डिवाइस प्रमाणीकरण बहुत ही कुशल प्रतिवाद हैं।

हार्डवेयर उपकरणों पर डिजिटल संपत्तियों को पूरी तरह से सुरक्षित करने के लिए ऑफ़लाइन कुंजी और ऑन-डिवाइस प्रमाणीकरण महत्वपूर्ण उपकरण हैं। 

निष्कर्ष:

जैसे-जैसे क्रिप्टोकरेंसी अधिक सामान्य होती जाती है, दुर्भाग्य से, पर्स के खिलाफ हमले अधिक से अधिक परिष्कृत होते जाएंगे। लेजर में, हमारा लक्ष्य आपकी डिजिटल संपत्तियों का प्रबंधन करते समय आपको सबसे सुरक्षित अनुभव प्रदान करना है।

स्रोत: https://www.ledger.com/blog/pegasus-spyware-is-your-crypto-safe