जब कानून प्रवर्तन एजेंसियां अपनी नवीनतम साइबर अपराधी की गिरफ्तारी का प्रचार करती हैं, तो प्रतिवादी को अक्सर परिष्कृत, आकर्षक, यहां तक कि रोमांचक गतिविधि में लगे एक साहसी डाकू के रूप में पेश किया जाता है। लेकिन नए शोध से पता चलता है कि चूंकि साइबर अपराध सेवा के बदले भुगतान की पेशकश पर हावी हो गया है, इन उद्यमों को समर्थन देने के लिए आवश्यक दिन-प्रतिदिन की अधिकांश गतिविधि वास्तव में दिमाग को सुन्न करने वाली और उबाऊ है, और इस वास्तविकता को उजागर करना मुश्किल हो सकता है। साइबर अपराध से निपटने और अपराधियों को बेहतर रास्ते पर ले जाने का यह कहीं अधिक प्रभावी तरीका है।
हाँ, मुझे हुड वाले हैकर स्टॉक फ़ोटो का एहसास है मीम बन गए हैं, लेकिन बात यही है.
यह निष्कर्ष शोधकर्ताओं द्वारा जारी एक नए पेपर में सामने आए हैं कैम्ब्रिज यूनिवर्सिटी का साइबर क्राइम सेंटर, जिसने साइबरक्राइम-ए-सर्विस मार्केट का एक बड़ा हिस्सा बनाने वाले अवैध उद्यमों के निर्माण, रखरखाव और बचाव के लिए आवश्यक कार्य की गुणवत्ता और प्रकार की जांच की। विशेष रूप से, शिक्षाविदों ने बॉटनेट और डीडीओएस-फॉर-हायर या "बूटर" सेवाओं, भूमिगत मंचों के रखरखाव और मैलवेयर-ए-ए-सर्विस पेशकशों पर ध्यान केंद्रित किया।
इन व्यवसायों की जांच में, शिक्षाविदों ने इस बात पर जोर दिया कि साइबर अपराध में शामिल लोगों की रोमांटिक धारणाएं उस काम के अक्सर सांसारिक, रटे-रटाए पहलुओं को नजरअंदाज कर देती हैं जिन्हें ऑनलाइन अवैध अर्थव्यवस्थाओं का समर्थन करने के लिए किए जाने की आवश्यकता होती है। शोधकर्ताओं ने निष्कर्ष निकाला कि इसमें शामिल कई लोगों के लिए, साइबर अपराध बुनियादी ढांचे को बनाए रखने वाली एक उबाऊ कार्यालय की नौकरी से थोड़ा अधिक है, जिस पर ये वैश्विक बाजार निर्भर हैं, वह काम जो वैध सिस्टम प्रशासकों की गतिविधि से चरित्र में थोड़ा अलग है।
रिचर्ड क्लेटनरिपोर्ट के सह-लेखक और कैम्ब्रिज के साइबर क्राइम सेंटर के निदेशक, ने कहा कि निष्कर्षों से पता चलता है कि नीति निर्माता और कानून प्रवर्तन एजेंसियां किसी पर कोई एहसान नहीं कर रही हैं, जब वे आक्रामक प्रेस विज्ञप्ति जारी करते हैं जो परिष्कृत अभिनेताओं को लक्षित करने के रूप में उनकी साइबर अपराध जांच को उजागर करती है।
क्लेटन ने क्रेब्सऑनसिक्योरिटी को बताया, "जिस तरह से हर कोई साइबर अपराध को देखता है, वह रॉकस्टार और सभी रोमांचक चीजों में रुचि रखता है।" "वहां संदेश दिया गया है कि साइबर अपराध आकर्षक और रोमांचक है, जबकि इसमें शामिल अधिकांश लोगों के लिए यह बिल्कुल भी मामला नहीं है।"
कागज से:
“हम पाते हैं कि जैसे-जैसे साइबर अपराध औद्योगिकीकृत अवैध अर्थव्यवस्थाओं में विकसित हुआ है, वैसे-वैसे श्रम के कई प्रकार के कठिन सहायक रूपों का भी प्रसार हुआ है, जैसा कि मुख्यधारा की औद्योगिक अर्थव्यवस्थाओं में हुआ है। हमारा तर्क है कि विकास के उन्नत राज्यों में साइबर अपराध अर्थव्यवस्थाओं ने अपनी खुद की थकाऊ, कम-पूर्ति वाली नौकरियां बनाना शुरू कर दिया है, जो करिश्माई अपराध और विचलित पहचान के बारे में कम और स्थिरता और प्रबंधन और जोखिम के प्रसार के बारे में अधिक है। शोध साहित्य से पता चलता है कि जो लोग उनमें भाग लेते हैं, वे शुरू में हैकर्स और तकनीकी विचलन के रोमांचक मीडिया चित्रण से आकर्षित हो सकते हैं।
“हालाँकि, जिस प्रकार के काम और अभ्यास में वे वास्तव में शामिल होते हैं, वे उस उत्साह और अन्वेषण को प्रतिबिंबित नहीं करते हैं जो शुरुआती 'हैकर' समुदायों की विशेषता थी, बल्कि वे ड्रग डीलिंग गिरोहों में निम्न-स्तरीय काम के समान हैं, जिसमें छोटी मात्रा में पैसा बनाना शामिल है। आकांक्षाओं की सेवा में कठिन परिश्रम के लिए पैसा ताकि वे एक दिन प्रमुख खिलाड़ियों में से एक बन सकें। इससे बोरियत की वही स्थितियाँ पैदा होती हैं... जो मुख्यधारा की नौकरियों में पाई जाती हैं जब वास्तविकता सामने आती है कि ये स्थिति और वित्तीय लक्ष्य अवैध अर्थव्यवस्था में उतने ही अवरुद्ध हैं जितने कि वे नियमित नौकरी बाजार में हैं।
शोधकर्ताओं ने ऐसे उद्यमों में लगे लोगों के साक्षात्कार, पूर्व या सुधारित आपराधिक हैकरों पर केस अध्ययन और भूमिगत मंचों और चैट चैनलों के निवासियों द्वारा स्क्रैप किए गए पोस्ट से आकर्षित किया। उन्होंने विभिन्न अपराध सेवाओं को कुशलतापूर्वक संचालित करने और हस्तक्षेप करने वालों, आंतरिक संघर्ष, कानून प्रवर्तन या प्रतिस्पर्धियों से व्यवधान से मुक्त रखने के लिए आवश्यक गतिविधि पर ध्यान केंद्रित किया।
बूटर ब्लूज़
उदाहरण के लिए, एक प्रभावी बूटर सेवा चलाने के लिए पर्याप्त मात्रा में प्रशासनिक कार्य और रखरखाव की आवश्यकता होती है, जिसमें से अधिकांश में रिमोट सिस्टम के बड़े संग्रह को लगातार स्कैन करना, कमांड करना और प्रबंधित करना शामिल होता है जिसका उपयोग ऑनलाइन हमलों को बढ़ाने के लिए किया जा सकता है।
बूटर सेवाएं (उर्फ "तनाव देने वाले") - कई अन्य साइबरक्राइम-ए-ए-सर्विस पेशकशों की तरह - अपटाइम, प्रभावशीलता, ग्राहकों के साथ उचित व्यवहार करने और उपयोगकर्ताओं से पूछताछ या चिंताओं का तुरंत जवाब देने के लिए अपनी प्रतिष्ठा के आधार पर जीवित या मर जाते हैं। परिणामस्वरूप, इन सेवाओं के लिए आम तौर पर ग्राहक सहायता कार्य (टिकटिंग प्रणाली या रीयलटाइम चैट सेवा के माध्यम से) के लिए आवश्यक कर्मचारियों में पर्याप्त निवेश की आवश्यकता होती है, जब भुगतान के साथ समस्याएं उत्पन्न होती हैं या अनभिज्ञ ग्राहक यह समझने में असफल होते हैं कि सेवा का उपयोग कैसे करें।
एक बूटर सेवा के पूर्व प्रशासक के साथ एक साक्षात्कार में, मालिक ने शोधकर्ताओं को बताया कि ग्राहकों के साथ व्यवहार करने से थक जाने के बाद उन्होंने नौकरी छोड़ दी और सामान्य जीवन जीने लगे, जिन्होंने सेवा को चालू रखने के लिए आवश्यक सभी कठिन कामों को नजरअंदाज कर दिया। साक्षात्कार से:
“और लगभग एक साल तक [इसे] करने के बाद, मैंने सारी प्रेरणा खो दी, और वास्तव में अब मुझे कोई परवाह नहीं रही। इसलिए मैंने बस छोड़ दिया और जीवन जारी रखा। यह बिल्कुल भी चुनौतीपूर्ण नहीं था। तनाव पैदा करने वाला बनाना आसान है। इसे चलाने की शक्ति प्रदान करना मुश्किल हिस्सा है। और जब आपको अपना सारा प्रयास, अपना सारा ध्यान लगाना होगा। जब आपको कंप्यूटर स्क्रीन के सामने बैठना होता है और प्रति 30 घंटे में 4 एम्पीयर से अधिक स्कैन करना, फ़िल्टर करना, फिर फ़िल्टर करना होता है तो यह कष्टप्रद हो जाता है।
शोधकर्ताओं का कहना है कि यह बर्नआउट ग्राहक सहायता कार्य की एक महत्वपूर्ण विशेषता है, "जो कि एक बार की दिलचस्प गतिविधि के साथ एक प्रगतिशील अलगाव से कम और एक बार सामाजिक स्तर के निचले स्तर पर आने के बाद बोरियत और मोहभंग के क्रमिक निर्माण से अधिक होती है। और वित्तीय पूंजी जो इस काम से प्राप्त की जा सकती है, पहुंच गयी है।”
सचेत ग्राहक
मैलवेयर-ए-ए-सर्विस पेशकश चलाने से डेवलपर्स पर भी इसका असर पड़ सकता है, जो अच्छी तरह से काम करने वाली सेवा में रुक-रुक कर रुकावट आने पर ग्राहक सहायता अनुरोधों और नकारात्मक प्रतिक्रिया से खुद को अभिभूत महसूस करते हैं।
दरअसल, कुख्यात ज़ीउस ट्रोजन के लेखक - एक शक्तिशाली पासवर्ड चोरी करने वाला उपकरण जिसने इसके लिए मार्ग प्रशस्त किया हैक किए गए व्यवसायों से करोड़ों डॉलर की चोरी हुई - है सम्मानित नौकरी छोड़ दी और मैलवेयर के लिए स्रोत कोड जारी किया (इस प्रकार मैलवेयर-ए-ए-सर्विस ऑफरिंग के पूरे उद्योग को जन्म दिया) मुख्य रूप से सैकड़ों ग्राहकों का समर्थन करने की तुलना में कम कठिन काम पर अपने कौशल पर ध्यान केंद्रित करने के लिए।
“हालाँकि वे ग्लैमरस लग सकते हैं, इन साइबर अपराध सेवाओं को प्रदान करने के लिए समान स्तर के उबाऊ, नियमित काम की आवश्यकता होती है जैसा कि कई गैर-आपराधिक उद्यमों के लिए आवश्यक होता है, जैसे कि सिस्टम प्रशासन, डिज़ाइन, रखरखाव, ग्राहक सेवा, पैचिंग, बग-फिक्सिंग, अकाउंट- रखना, बिक्री संबंधी प्रश्नों का उत्तर देना इत्यादि,'' रिपोर्ट जारी है।
कुछ हद तक, ज़ीउस के लेखक का अनुभव सबसे अच्छा उदाहरण नहीं हो सकता है, क्योंकि सैकड़ों ग्राहकों का समर्थन करने से दूर रहने की उनकी इच्छा ने अंततः उनका ध्यान और संसाधनों को कहीं अधिक परिष्कृत मैलवेयर खतरे के निर्माण पर केंद्रित कर दिया - पीयर-टू-पीयर आधारित गेमओवर मैलवेयर जिसे उसने संगठित अपराध समूहों के एक छोटे समूह को पट्टे पर दिया था।
इसी तरह, कवर स्टोरी इस महीने में वायर्ड पत्रिका प्रोफाइल मार्कस हचिंस, जिन्होंने कहा कि वह "जल्दी ही अपने बॉटनेट और अपनी होस्टिंग सेवा से ऊब गए, जिसमें उन्होंने पाया कि इसमें बहुत सारे 'कड़वे ग्राहकों' को संतुष्ट करना शामिल था।" इसलिए उन्होंने नौकरी छोड़ दी और उस चीज़ पर ध्यान केंद्रित करना शुरू कर दिया जिसका उन्हें कहीं अधिक आनंद आया: अपने स्वयं के मैलवेयर को बेहतर बनाना।'
उन्हें व्यवसाय से उबाना
कैम्ब्रिज के क्लेटन और उनके सहयोगियों का तर्क है कि पिछले दो उदाहरण नियम से अधिक अपवाद हैं, और उनका शोध साइबर अपराध से लड़ने के लिए महत्वपूर्ण नीतिगत निहितार्थों की ओर इशारा करता है जिन्हें अक्सर नजरअंदाज कर दिया जाता है: अर्थात्, हस्तक्षेप जो ध्यान और बोरियत के अर्थशास्त्र पर ध्यान केंद्रित करते हैं, और ऐसे काम को यथासंभव श्रमसाध्य और उबाऊ बनाने पर।
कई साइबर सुरक्षा विशेषज्ञ अक्सर टिप्पणी करते हैं कि साइबर अपराध व्यवसायों से जुड़े डोमेन नाम और अन्य बुनियादी ढांचे को हटाना एक मामूली खेल से थोड़ा अधिक है, क्योंकि अपराधी अपने संचालन को फिर से शुरू करने के लिए कहीं और चले जाते हैं। लेकिन कैम्ब्रिज के शोधकर्ताओं का कहना है कि प्रत्येक निष्कासन प्रशासकों के लिए अपनी साइटों को नए सिरे से स्थापित करने के लिए और अधिक दोहरावदार, थकाऊ काम पैदा करता है।
"हाल के शोध से पता चलता है कि बूटर बाजार विशेष रूप से इस बुनियादी ढांचे के काम पर लक्षित हस्तक्षेपों के लिए अतिसंवेदनशील है, जो इन सर्वर प्रबंधकों की नौकरियों को अधिक उबाऊ और अधिक जोखिम भरा बना देता है," शोधकर्ताओं ने नोट किया।
पेपर इस बात का ध्यान रखता है कि अवैध अर्थव्यवस्था में किए गए अप्रशिक्षित प्रशासनिक कार्यों की 'बोरियत' के चित्रण को वैध सिस्टम प्रशासकों के मूल्यवान और जटिल कार्यों पर आपत्ति के रूप में नहीं लिया जाना चाहिए। "बल्कि, यह पहचानना है कि यह इंजीनियरिंग कार्य से एक अलग प्रकार का ज्ञान और कौशल का सेट है, जिसे अलग तरीके से सिखाया, सीखा और प्रबंधित किया जाना चाहिए।"
लेखकों ने निष्कर्ष निकाला है कि इस तरह से हस्तक्षेपों पर फिर से ध्यान केंद्रित करने को साइबर अपराध के आसपास कानून प्रवर्तन और नीति पेशेवरों द्वारा उपयोग किए जाने वाले संदेश के प्रमुख रूपों में बदलाव से भी समर्थन मिल सकता है:
"अगर इन अर्थव्यवस्थाओं के भीतर भागीदारी वास्तव में विचलित अनुभव के बजाय विचलित आकांक्षा पर आधारित है, तो संदेश भेजने के लिए वर्तमान में प्रमुख दृष्टिकोण, जो इन व्यवहारों की खतरनाक और हानिकारक प्रकृति पर ध्यान केंद्रित करते हैं, साइबर अपराध अभिनेताओं के पास उच्च स्तर के तकनीकी कौशल हैं, अवैध ऑनलाइन अर्थव्यवस्थाओं में बड़ी मात्रा में पैसा कमाया जाता है, और पता लगाने, गिरफ्तारी और अभियोजन का जोखिम संभावित रूप से प्रतिकूल होता है, जो केवल उस आकांक्षा को बढ़ावा देता है जो इस काम को संचालित करती है। इसके विपरीत, इस काम के अधिकांश भाग की थकाऊ, कम-कुशलता, कम-भुगतान और निम्न-स्थिति की वास्तविकता पर जोर देकर, संदेश संभावित रूप से विचलित ऑनलाइन उपसंस्कृति में शामिल लोगों को मंचों पर पोस्ट करने से लेकर निम्न-स्तरीय अपराध करने तक की छलांग लगाने से रोक सकता है। ।”
"इसके अतिरिक्त, वैध अर्थव्यवस्था में सिस्टम एडमिन और 'पेन टेस्टर' श्रमिकों की कमी पर जोर देने वाले विचलित हस्तक्षेप ("उचित कार्य में समान कार्य करने के लिए आपको वास्तव में अच्छा पैसा दिया जा सकता है") को उस रास्ते, प्रेरणा और को पहचानने की आवश्यकता है अनुभव अपेक्षा से अधिक गहन हो सकते हैं।''
“साइबर अपराध अभिनेताओं को प्रौद्योगिकी के प्रति गहरे प्रेम और समझ के साथ उच्च-कुशल, रचनात्मक किशोरों के रूप में समझना वास्तव में उन अधिकांश लोगों को गलत तरीके से पेश कर सकता है जिन पर ये बाजार निर्भर हैं, जो अक्सर कम-कुशल प्रशासक होते हैं जो अपने द्वारा बनाए गए सिस्टम के बारे में काफी कम समझते हैं और प्रशासन, और जिसका दृष्टिकोण एक सॉफ्टवेयर इंजीनियर या सुरक्षा शोधकर्ता के व्यवस्थित ज्ञान की तुलना में अनुरक्षक के व्यावहारिक ज्ञान के अधिक समान है। इन सभी ऊबे हुए लोगों को वैध अर्थव्यवस्था में उपयुक्त नौकरियाँ ढूँढ़ना बुनियादी प्रशिक्षण प्रदान करने जितना ही हो सकता है जितना कि सुपरस्टारों को प्रमुख पदों पर पैराशूटिंग करने का।
आगे की पढाई: साइबर अपराध (अक्सर) उबाऊ होता है: साइबर अपराध अर्थव्यवस्थाओं के बुनियादी ढांचे को बनाए रखना (पीडीएफ).
टैग: booter, कैम्ब्रिज विश्वविद्यालय, साइबरक्राइम सेंटर, DDoS-भाड़े के लिए, गेमओवर ज़ूएस, मार्कस हचिंस, रिचर्ड क्लेटन, तनाव, वायर्ड, जीयूएस ट्रोजन
स्रोत: https://krebsonsecurity.com/2020/05/career-choice-tip-cybercrime-is-mostly-boring/
