کسی بھی مقام پر جانے کے لیے نیچے دی گئی ساؤنڈ ویوز پر کلک کریں اور ڈریگ کریں۔ آپ بھی براہ راست سنیں ساؤنڈ کلاؤڈ پر۔
ڈوگ آموت اور پال ڈکلن کے ساتھ۔
انٹرو اور آؤٹرو میوزک بذریعہ ایڈتھ موج.
آپ ہماری بات سن سکتے ہیں۔ پر SoundCloud, ایپل پوڈ, گوگل پوڈ کاسٹ, Spotify, Stitcher اور جہاں بھی اچھے پوڈ کاسٹ ملتے ہیں۔ یا صرف ڈراپ کریں۔ ہمارے RSS فیڈ کا URL اپنے پسندیدہ پوڈ کیچر میں۔
ٹرانسکرپٹ پڑھیں
ڈوگ ڈیٹا کی خلاف ورزی کے جرمانے۔
میکروس
اور آرام سے بگ فکسز… یہ سب، اور مزید، ننگی سیکیورٹی پوڈ کاسٹ پر۔
[میوزیکل موڈیم]
پوڈ کاسٹ میں خوش آمدید، سب۔
میں ڈوگ آموت ہوں، اور وہ پال ڈکلن ہے۔
پال، تم کیسے کرتے ہو؟
بطخ. میں بہت ٹھیک ہوں، ڈگلس۔
ایسا نہیں ہے کہ آپ کبھی بھی غیر چیپر ہیں… لیکن یہ ایک انتہائی حوصلہ افزا تعارف تھا، ڈوگ!
میرا اندازہ ہے کہ آپ کو ایک بہت ہی عمدہ چیز ملی ہے۔ تفریحی حقیقت/ٹیکنالوجی کا مشورہ آنے والا.
ڈوگ یہ سچ ہے… سیگ کے لیے آپ کا شکریہ! [ہنسی]
آؤ اس کے بارے میں بات کریں ٹیک ہسٹری میں یہ ہفتہ.
اس ہفتے، 1963 میں، Syncom 2، جو Synchronous Communications Satellite کے لیے مختصر ہے، geosynchronous orbit میں لانچ کیا گیا، جس سے پہلی سیٹلائٹ پر مبنی فون کال اور پہلی سیٹلائٹ ٹی وی ٹرانسمیشنز میں سے ایک کی سہولت فراہم کی گئی۔
Syncom 2 کو ناسا نے آواز، ٹیلی ٹائپ اور فیکس ٹیسٹنگ کے لیے بھی استعمال کیا۔
Syncom 1 نے کچھ مہینے پہلے لانچ کیا اور اسے مدار میں بھی بنایا، لیکن الیکٹرانکس کی ناکامی نے اسے ناقابل عمل قرار دے دیا۔
کیا آپ Syncom 1 کو وہاں بھیجنے اور جانے کا تصور کر سکتے ہیں، "اوہ، کوئی RAM کو ٹھیک سے سیٹ کرنا بھول گیا؟"
بطخ. مجھے یقین ہے کہ پے لوڈ صرف 25 کلوگرام تھا!
میں نے Syncom 2 کی ایک تصویر دیکھی، اور یہ 1950 کی سائنسی فلم میں سے ایک دیوہیکل خلائی چیز کی طرح لگتا ہے…
لیکن بظاہر اس کا قطر صرف 71 سینٹی میٹر تھا۔
یہ واقعی، واقعی چھوٹا ہے… 71 سینٹی میٹر کیا ہے؟ صرف 2 فٹ سے زیادہ؟
اور یہ ایک فون کال کو سپورٹ کر سکتا ہے – بہت کم پاور – تو یہ صرف ایک تجربہ تھا۔
ڈوگ ہم نے آفس میکرو کے بارے میں بات کی۔ سیکیورٹی کی خصوصیت جو لوگ 20 سال کا بہتر حصہ مانگ رہے تھے۔
مائیکروسافٹ نے اسے آن کیا، اور پھر لوگوں نے تبصرہ کیا کہ انہیں یہ پسند نہیں آیا۔
تو مائیکروسافٹ نے اسے بند کر دیا، لیکن کہا، "یہ کسی وقت واپس آ جائے گا۔"
اور اب یہ واپس آ گیا ہے - یہ جلدی تھا!
بطخ. یہ تھا.
جب ہم نے پوڈ کاسٹ، ڈوگ پر اس کے بارے میں آخری بات کی، تو میں اس کے بارے میں بہت پرجوش تھا، "ہاں، یہ واپس آ رہا ہے، لیکن کچھ وقت لگے گا۔"
میں تصور کر رہا تھا کہ شاید یہ 2023 کے لیے ایسٹر انڈے کی ایک قسم ہو گی - ایک لفظی ایسٹر انڈے، آپ جانتے ہیں، شمالی نصف کرہ کے موسم بہار میں کسی وقت۔
میں تصور کر رہا تھا، "یہ ہفتے نہیں ہوں گے؛ یہ شاید مہینے ہونے والا ہے۔"
اور کتنی دیر تھی؟ کچھ ہفتے!
ڈوگ
جی ہاں.
بطخ. تو اسے آن کرنے کے لیے 20 سال، اسے آف کرنے کے لیے 20 ہفتے اور پھر اسے دوبارہ آن کرنے کے لیے صرف چند ہفتے۔
تو، مائیکروسافٹ کے لئے اچھا!
لیکن اگر صرف، ڈوگ، انہوں نے یہ 1998 میں کیا تھا… یہ 20 سالوں کے بہتر حصے سے زیادہ ہے، یہ 20 سالوں سے بہتر ہے۔
اگر انہوں نے ایسا کیا ہوتا تو، میلیسا وائرس کے سامنے آنے سے ایک دن پہلے، یہ واقعی کارآمد ہوتا، تاکہ انٹرنیٹ پر آنے والے میکرو اس وقت تک متحرک نہ ہوتے جب تک کہ آپ واقعی ان کو نہ چاہتے۔
اگرچہ میں تصور کرتا ہوں، ان دنوں میں، یہ مکمل طور پر بند نہیں ہوا ہوگا.
شاید کوئی بٹن ہوتا [Allow anyway].
اور یہاں بڑی بات یہ ہے کہ مزید نہیں ہے۔ [Allow anyway] بٹن پر کلک کرنا ہے۔
لہذا، ایسا نہیں ہے کہ یہ آپ کو خبردار کرتا ہے، "یہ ایک برا خیال ہے۔ کیا آپ ہمارے اپنے پیٹارڈ سے اپنے آپ کو لہرانا چاہتے ہیں؟ [Yes/Yes]؟ "
یہ صرف ہے، "معذرت، میکرو انٹرنیٹ پر آیا۔ تم ایسا نہیں کر سکتے۔‘‘
ڈوگ کیا مائیکروسافٹ نے ابھی اور 20 دن پہلے کے درمیان کوئی معنی خیز تبدیلی کی تھی جب انہیں اسے واپس بند کرنا پڑا؟
بطخ. میری سمجھ، ڈوگ، یہ ہے کہ انہوں نے سب سے اہم کام کیا - جو انہوں نے لکھا ہے اسے پڑھ کر - یہ ہے کہ انہوں نے اپنا وعدہ پورا کیا کہ وہ مزید واضح طور پر دستاویز کریں گے: یہ کیسے کام کرتا ہے، کیوں کام کرتا ہے، اور سب سے اہم بات یہ ہے کہ آپ اس کے بارے میں کیا کرسکتے ہیں یہ اگر آپ واقعی میں غیر مقامی یا غیر LAN سرورز رکھنا چاہتے ہیں جن کے ساتھ آپ نے ایسا سلوک کیا جیسے وہ مقامی ہوں۔
کیونکہ لوگ جاتے ہیں، "اوہ، ٹھیک ہے، میں ایک چھوٹا سا کاروبار ہوں، میں SharePoint، OneDrive، کچھ کلاؤڈ سروس استعمال کرتا ہوں، اس لیے میرے پاس کچھ بے ترتیب ڈومین نام ہے جو مجھے جاری کیا گیا تھا... لیکن میرے نزدیک یہ ایک مقامی سرور ہے، اور یہ سامان کے لیے میرا قابل اعتماد کارپوریٹ ذخیرہ ہے۔
اور اس لیے مائیکروسافٹ کے پاس اب کچھ کافی مہذب دستاویزات موجود ہیں جس میں کہا گیا ہے، "یہاں آپ اپنے صارفین کو یہ بتا سکتے ہیں کہ ایک مخصوص بیرونی سرور کو قابل اعتماد سمجھا جانا چاہیے۔"
اگرچہ یہ بنیادی طور پر ایک اخراج ہے، اور سائبرسیکیوریٹی میں اخراج خطرناک ہو سکتا ہے، جیسے کہ لوگ اپنے اینٹی وائرس کے ساتھ جا رہے ہیں، "ارے، اگر میں اس کو خارج کر دوں تو یہ بہت تیز ہے۔ C: ڈرائیو [ہنسی] کون جانتا تھا؟
لہذا آپ کو محتاط رہنے کی ضرورت ہے، لیکن اس کا مطلب یہ ہے کہ آپ کے پاس ایک حتمی فہرست ہے جس میں کہا گیا ہے، "یہ وہ سرورز ہیں جن پر میں اصل میں بھروسہ کرتا ہوں، اور میں ان کو ایک ایسی جگہ سمجھتا ہوں جہاں لوگ سرکاری کام کا مواد حاصل کرنے جاسکتے ہیں۔"
اور یہ صرف ان لوگوں پر انحصار کرنے سے بہت مختلف ہے جو کلک نہیں کرتے ہیں۔ [Oh, go on then, she'll be right] بٹن جب بھی وہ انٹرنیٹ پر کہیں سے بھی میکرو حاصل کرتے ہیں۔
مائیکروسافٹ نے کیا کیا وہ باہر گئے اور ایک ایسی دستاویز تیار کی جو پڑھنے میں کافی آسان ہے اور آپ کی کمپنی کو بتانے کے متعدد طریقے فراہم کرتی ہے: "یہ وہی ہے جس پر ہم بھروسہ کرتے ہیں، اور یہ وہ چیز ہے جو ہم نہیں کرتے۔"
لہٰذا، غلط وقت پر صحیح بٹن پر کلک نہ کرنے والے لوگوں پر بھروسہ کرنے کے بجائے اسے کرنے کا یہ قدرے زیادہ رسمی طریقہ ہے۔
ڈوگ ٹھیک ہے، ہمارے پاس مضمون میں ان دو دستاویزات کے لنکس ہیں جو آپ کو ننگی سیکیورٹی پر مل سکتے ہیں۔
یہ کہا جاتا ہے: آفس میکرو سیکیورٹی: دوبارہ آن-آف-گین فیچر اب دوبارہ آن.
ہورے!
اور پھر، کسی ایسی چیز کی طرف بڑھنا جو اتنا مزہ نہیں ہے: T-Mobile میں 2021 میں ڈیٹا کی بڑی خلاف ورزی ہوئی تھی اور اب انہیں حکم دیا جا رہا ہے کہ کھانسی $500 ملین، جو وکیل کی فیس کے بعد، تقریباً $25 فی شکار تک پہنچ جاتا ہے۔
بطخ. جی ہاں، اور ایسا لگتا ہے کہ آدھا بلین ڈالر (واہ، یہ ایک بڑی رقم ہے!) ڈھیلے طریقے سے دو حصوں میں تقسیم ہے۔
$350,000,000 ہے جو کہ ایک کلاس ایکشن مقدمہ کا حصہ ہے، جو آپ کے پاس US میں ہے… ہمارے پاس وہ UK میں نہیں ہے۔
میری سمجھ ایک کلاس ایکشن ہے جہاں کوئی بھی شامل ہو سکتا ہے اور کہہ سکتا ہے، "اوہ، ہاں، میں ایک گاہک ہوں۔"
اور خیال یہ ہے کہ… اگر آپ مقدمہ کریں اور آپ کو صرف $40 یا $50 یا $100 ملیں گے، تو خود پر مقدمہ کرنا بہت خطرناک ہوگا، اس لیے آپ ایک ساتھ مل کر، "لوگوں کو طاقت" بنائیں۔
اور وکلاء ممکنہ طور پر لاکھوں لوگوں کی جانب سے بڑی کمپنی کا پیچھا کرتے ہیں۔
تو، اس کے لیے یہ $350,000,000 کا تصفیہ ہے۔
بدقسمتی سے، بہت سارے دعویدار ہیں جو کہ صرف $25 فی شخص ہے، جب آپ اس میں سے 30% نکال لیتے ہیں… آپ کے 105 ملین امریکی ڈالر وکلاء کے پاس جاتے ہیں۔
باقی اصل لوگوں کو جاتا ہے جو T-Mobile کے گاہک تھے۔
لیکن یہ ظاہر کرتا ہے کہ ڈیٹا کی خلاف ورزی کے صفر نتائج نہیں ہیں۔
اور چاہے آپ کو طبقاتی کارروائیاں پسند ہوں یا نہ ہوں، یہ احساس ہے کہ جب لوگ ان کے ڈیٹا کی خلاف ورزی کرتے ہیں تو وہ زخمی ہو جاتے ہیں، چاہے اس خلاف ورزی اور شناخت کی چوری کا شکار ہونے کے درمیان کوئی واضح تعلق نہ ہو۔
اور پھر ایک اور $150,000,000 ہے۔
میں پوری طرح سے نہیں سمجھتا کہ یہ امریکی قانونی نظام میں کیسے کام کرتا ہے، لیکن میری سمجھ یہ ہے کہ یہ بنیادی طور پر T-Mobile USA کی طرف سے ایک عہد ہے کہ وہ اس رقم کو سائبرسیکیوریٹی پر خرچ کریں گے، جب کہ انہوں نے ایسا نہیں کیا ہوگا۔
اور کاش انہوں نے سائبر سیکیورٹی کو ایک قدر کے طور پر دیکھا ہوتا، نہ کہ قیمت کے طور پر، پہلے سے!
اگر انہوں نے $150,000,000 کی سرمایہ کاری پہلے سے کی تھی، تو وہ شاید $350,000,000 کو بچا سکتے تھے… کیونکہ وہ اب بہرحال یہ دونوں رقم خرچ کر رہے ہیں۔
ڈوگ تو شاید یہ یہاں کے نتائج کا بہتر حصہ ہے: کہ وہ اپنی سیکورٹی کو اپ گریڈ کرنے پر خرچ کرنے پر مجبور ہو رہے ہیں۔
$25 فی شخص بہت اچھا ہے، جو بھی ہو، لیکن ان کی سیکیورٹی کو اپ گریڈ کرنے کے لیے مختص رقم شاید ایک بری صورتحال سے نکلنے کے لیے اچھی چیز ہے۔
بطخ. میں ایسا کہوں گا، کیونکہ جب آپ کو اس طرح کا بڑا جرمانہ ملتا ہے تو یہ ہمیشہ مسئلہ ہوتا ہے، کیا یہ سائبر سیکیورٹی کو صحیح طریقے سے نہ کرنے کی وجہ سے نہیں ہے؟
یہ وہ پیسہ ہے جو اب سائبر سیکیورٹی پر خرچ نہیں کیا جا سکتا کیونکہ یہ کہیں اور چلا گیا ہے۔
میرا اندازہ ہے کہ اس کا دوسرا پہلو یہ ہے کہ آپ صرف یہ نہیں کہہ سکتے، "ٹھیک ہے، انتظار کریں جب تک کہ آپ کے پاس ڈیٹا کی خلاف ورزی نہ ہو اور پھر آپ کو بہت بڑا جرمانہ ہو گا، لیکن آپ اسے بہرحال سائبر سیکیورٹی پر خرچ کریں گے"، کیونکہ یہ تقریباً ہے۔ لوگوں کو اس وقت تک تاخیر کرنے کی دعوت دینا جب تک کہ وہ ایسا کرنے پر مجبور نہ ہوں۔
تو، میں اس نقطہ کو دیکھ سکتا ہوں کہ گاجر کا حصہ ہے اور چھڑی کا حصہ ہے۔
ایک ساتھ، نصف بلین ڈالر!
اور ان تمام لوگوں کے لیے جو یہ کہنا پسند کرتے ہیں، "اوہ، ٹھیک ہے، ایک ملٹی بلین ڈالر کمپنی کے لیے، یہ ایک زبردست تبدیلی ہے"…
سچ میں؟
میرے لئے بہت سارے پیسے کی طرح لگتا ہے!
میرا اندازہ ہے کہ اگر آپ شیئر ہولڈر ہیں، تو شاید آپ کا اندازہ مختلف ہوگا کہ $500 ملین کی قیمت کتنی ہے۔
یہ ایک یاد دہانی ہے کہ ڈیٹا کی خلاف ورزی کوئی ایسی چیز نہیں ہے جس کا آپ کو سامنا کرنا پڑتا ہے، اور آپ رپورٹ کرتے ہیں، اور آپ کو چیخا جاتا ہے، اور آپ کو ایک گندی رپورٹ بھیجی جاتی ہے، لیکن آپ کو کچھ بھی خرچ نہیں ہوتا ہے۔
اور جیسا کہ میں نے کہا - اور میں جانتا ہوں کہ سائبر سیکیورٹی کمپنی کے لیے کام کرتے ہوئے، میں یہ کہوں گا، لیکن میں یہ اس لیے کہہ رہا ہوں کیونکہ مجھے لگتا ہے کہ یہ سچ ہے، صرف اس لیے نہیں کہ مجھے آپ کو بیچنے کے لیے کچھ ملا ہے…
آپ کو واقعی سائبرسیکیوریٹی کو ایک *قدر* کے طور پر سوچنے کی ضرورت ہے، کیونکہ گاہک تیزی سے توقع کر رہے ہیں کہ وہ اسے پیکج کے حصے کے طور پر تلاش کریں گے۔
اس پر میرا موقف یہ ہے کہ میں شاید کلاس ایکشن سوٹ میں شامل نہیں ہوتا، لیکن میں اپنے کاروبار کو کسی اور جگہ لے جانے پر بہت زور سے غور کروں گا، بات کو ثابت کرنے کے ایک مختلف طریقے کے طور پر۔
ڈوگ ٹھیک ہے، ہم اس پر نظر رکھیں گے.
یہ ہے کہ: T-Mobile 500 کے ڈیٹا کی خلاف ورزی پر $2021 ملین کا نقصان اٹھائے گا۔، nakedsecurity.sophos.com پر۔
اور ہم سیدھا ایپل پیچنگ a کی طرف بڑھتے ہیں۔ صفر دن کا براؤزر بگ جس کے بارے میں ہم نے Pwn2Own مقابلہ سے بات کی تھی۔
لہذا، جہاں تک پیچ جاتا ہے تھوڑا سا پیچھے رہ جاتا ہے، لیکن ہم نہیں جانتے کہ یہ ایپل کی باڑ کی طرف اصل میں کتنا برا تھا۔
بطخ. درحقیقت، ایپل کی تازہ ترین تازہ کاریوں میں براؤزر سے متعلق دو کیڑے طے کیے گئے تھے، جو ایپل کے روایتی انداز میں مائیکروسافٹ پیچ منگل کی طرح ہیں جس میں وہ ایپل کے تمام ممکنہ آلات کا احاطہ کرتے ہیں: tvOS، watchOS، iOS، iPadOS، macOS، وغیرہ۔ .
لیکن، پیچ منگل کے برعکس، وہ اس وقت آتے ہیں جب وہ ایسا محسوس کرتے ہیں… مجھے لگتا ہے کہ یہ واقعی جمعرات کو تھا، اگر مجھے یاد ہے، تو یہ منگل کو بھی نہیں تھا، ابھی پہنچا تھا۔
اب، سفاری کو ایپل نے آپریٹنگ سسٹم اپ ڈیٹ میں macOS کے پچھلے اور پہلے سے پہلے والے ورژن کے علاوہ آپریٹنگ سسٹم اپ ڈیٹ میں پیچ کیا ہے، جہاں آپ کو اصل میں *دو* اپ ڈیٹس حاصل کرنے کی ضرورت ہے، ایک OS کے لیے اور ایک Safari کے لیے۔
لہذا، سفاری ورژن 15.6 پر جاتا ہے۔
اور دلچسپ بات یہ ہے کہ یہ صرف Pwn2Own صفر دن ہی نہیں ہے، جہاں Mozilla نے Pwn2Own پر اس کے بارے میں معلوم کرنے کے دو دن کے اندر فائر فاکس میں مساوی بگ کو مشہور کیا تھا…
اگر آپ کو یاد ہے تو، اسی آدمی، مینفریڈ پال، ایک جرمن ہیکر نے فائر فاکس کو $100,000 میں ایک طرح سے ڈبل pwnage میں pwned اور اس نے $50,000 میں Safari کو pwned کیا۔
اگر آپ کو یاد ہے تو موزیلا نے دو دن کے اندر ان کے کیڑے یا کیڑے ٹھیک کردیئے۔
لیکن ایپل کو ان تک پہنچنے میں چند مہینے لگے!
یقیناً اس کا انکشاف ذمہ داری سے کیا گیا تھا، اس لیے ہم نہیں جانتے کہ اس بات کا کتنا امکان تھا کہ کوئی اور اسے تلاش کر لے۔
لیکن دوسرا بگ جو سفاری میں ٹھیک کیا گیا تھا وہ بظاہر وہی خامی تھی جو کروم میں صفر دن کے طور پر ابھری تھی جس کے بارے میں ہم نے پوڈ کاسٹ پر بات کی تھی، میرے خیال میں یہ چند ہفتے پہلے کی بات تھی۔
وہ بگ جو جنگل میں ایک سیکورٹی کمپنی کو ملا تھا جو کچھ مشکوک رویے کی تحقیقات کر رہی تھی جس کی اطلاع ایک گاہک نے انہیں دی تھی۔
جیسا کہ کبھی کبھی Managed Threat Response کے ساتھ ہوتا ہے… آپ ارد گرد دیکھ رہے ہیں، اور آپ تمام علامات اور اس کے مضر اثرات دیکھ سکتے ہیں جو بدمعاش کر رہے ہیں، اور آپ سوچتے ہیں، "یہ کہاں سے شروع ہوا؟"
اور بعض اوقات یہ واضح ہوتا ہے، "اوہ، انہوں نے لاگ ان کیا کیونکہ آپ کے پاس ایک احمقانہ پاس ورڈ تھا، یا انہوں نے اس لیے لاگ ان کیا کہ آپ اسے، اس یا دوسرے سرور کو پیچ کرنا بھول گئے تھے۔"
اور کبھی کبھار آپ اس پر کام نہیں کر سکتے ہیں، لیکن آپ خوش قسمت ہو سکتے ہیں اور ایک عجیب و غریب ویب صفحہ کی طرح دکھتے ہوئے ٹھوکر کھا سکتے ہیں،: "اوہ مائی گولی، مجھے براؤزر میں ایک صفر دن ملا!"
اور پھر یہ ایک اچھا اندازہ ہے کہ یا تو سائبر کروک کے ایک بہت ہی مخصوص گروپ کو یہ مل گیا ہے، یا ان نام نہاد قانونی اسپائی ویئر کمپنیوں میں سے ایک - جو لوگ حکومتی مداخلت کا کام کرتے ہیں، انہیں مل گیا ہے، اور وہ اسے ہدف کے طور پر استعمال کر رہے ہیں۔ .
یہ کروم میں صفر کا دن تھا، اور کروم نے اسے ٹھیک کر دیا۔
پتہ چلتا ہے کہ وہی بگ، ایسا لگتا ہے، WebKit میں تھا – ایپل کا کوڈ – اور انہیں اسے ٹھیک کرنے میں مزید دو ہفتے لگے، اور یہ نہیں کہا کہ وہ اس پر کام کر رہے ہیں۔
تو، فگر جاؤ.
لیکن یہ ایپل کے لیے اس پیچ کو کم از کم اتنا ہی اہم بنا دیتا ہے جتنا کسی دوسرے کے بارے میں ہم نے بات کی ہے۔
اور میں جانتا ہوں کہ ہم ہمیشہ کہتے ہیں، "دیر نہ کریں/آج ہی کریں۔"
لیکن اس معاملے میں، ایک ایسا بگ ہے جسے ہم جانتے ہیں کہ کسی کو پہلے ہی مل گیا ہے کیونکہ اس نے دو مہینے پہلے Pwn100Own پر 2% کام کرنے کا مظاہرہ کیا تھا۔ اور ایک اور بگ ہے جو کوڈ سے متعلق ہے جسے گوگل نے کروم میں ٹھیک کیا تھا کیونکہ کسی نے اسے جنگل میں نگرانی کے مقاصد کے لیے استعمال کیا تھا۔
ڈوگ یہ دلچسپ ہے کہ آپ نے اس عمل کو کس طرح بیان کیا جس کے ذریعے Pwn2Own اصل مقابلہ دکھاتا ہے، لیکن وہ یہ نہ دکھانے کے لیے اقدامات کرتے ہیں کہ حملے کیسے کام کرتے ہیں جب کہ ذمہ دارانہ انکشاف کا عمل جاری ہے۔
بطخ. جی ہاں، یہ کافی مضحکہ خیز ہے، اگر آپ مینفریڈ پال کی فائر فاکس کو پیوننگ کرتے ہوئے ویڈیو دیکھتے ہیں۔
وہ ظاہر ہے کہ بہت پراعتماد تھا کہ اس نے جو کچھ بھی اکٹھا کیا تھا وہ کام کرنے والا تھا۔
تو، کیمرہ اس کے چہرے، اور فیصلہ کنندہ کے چہرے کی طرف اشارہ کر رہا ہے، اور پھر آپ دیکھتے ہیں کہ تبصرہ نگار نے اپنے سر پر چھڑی ماری اور کہا، "لوگو، ہم چلتے ہیں۔"
اور تھوڑا ٹائمر ہے – اس کے پاس 30 منٹ ہیں۔
"سب تیار ہیں؟"
ہاں، وہ تیار ہیں… اور آپ صرف دو اسکرینوں کے پیچھے دیکھ سکتے ہیں، ایک سرور اور کلائنٹ کے لیے۔
اور پھر آپ دیکھتے ہیں کہ فیصلہ کنندہ کہتا ہے، "ٹھیک ہے، جاؤ!"
ٹائمر گننا شروع کر دیتا ہے، اور مینفریڈ پال ایک بٹن پر کلک کرتا ہے - ظاہر ہے، اس کے پاس تھوڑا سا ہے [Do it now] اس کے براؤزر ونڈو میں بٹن…
…اور پھر آپ دیکھتے ہیں کہ ہر کوئی سر ہلاتا ہے جیسے ہی ٹائمر صرف 7 سیکنڈ پر کلک کرتا ہے!
تو آپ جانتے ہیں کہ اس نے کام کیا – آپ صرف ان کے چہروں پر دیکھ سکتے ہیں۔
منصفانہ طور پر، ایپل کے اپنے وقت لینے کے اس معاملے میں، آپ کو تیار Pwn2Own پر آنا ہوگا۔
آپ کو پوری تفصیلات کے ساتھ آنا ہوگا، اس لیے ہم نہیں جانتے کہ مینفریڈ پال کو حملہ کرنے میں کتنا وقت لگا۔
وہ مہینوں سے اس پر کام کر سکتا تھا، ایسی صورت میں یہ کہتے ہوئے، "ایپل کو اسے دو دن میں ٹھیک کر دینا چاہیے تھا"…
… ٹھیک ہے، شاید وہ ہو سکتے تھے، لیکن شاید انہوں نے محسوس کیا کہ پیچیدگی کو دیکھتے ہوئے انہیں اس کی ضرورت نہیں ہے۔
اور شاید وہ جانچ میں اس بات کو یقینی بنانا چاہتے تھے کہ یہ ٹھیک ٹھیک کام کر رہا ہے۔
بہر حال، اگرچہ Pwn2Own کے پاس لائیو ویڈیو فیڈ ہے، لیکن اس سے کسی کو حقیقی خطرے کے بارے میں کچھ معلوم کرنے کے لیے کافی اشارے نہیں ملنا چاہیے۔
ڈوگ ہمیں اس بارے میں کچھ ہدایات ملی ہیں۔ کس طرح اپ ڈیٹ کرنے کے لئے آپ کے آئی فونز، آئی پیڈز اور میکس سائٹ پر موجود ہیں۔
اور ہم ایک کے ساتھ شو کو ختم کرتے ہیں۔ فائر فاکس کیڑے کے دو پیک.
بطخ. ہاں، اور اچھی خبر یہ ہے کہ فائر فاکس کے تازہ ترین ورژن کے لیے، کل آٹھ CVE نمبرز ہیں، لیکن ان میں سے دو CVE نمبرز ہیں جو ان تمام کیڑوں کا احاطہ کرتے ہیں جن کے بارے میں آپ کہہ سکتے ہیں، "ان کا شاید استحصال کیا جا سکتا ہے اور ہم" بہرحال ان کو بڑی تعداد میں ٹھیک کرنا، حقیقت میں یہ جاننے کی تفصیل میں جانے کے بغیر کہ آپ ان کا استحصال کیسے کر سکتے ہیں۔"
لہٰذا، وہ چیزیں ہیں جو خود بخود مل جاتی ہیں، مثال کے طور پر فزنگ یا خودکار ٹولز کے ذریعے جو ان کمزوریوں کی تحقیقات کرتے ہیں جنہیں حادثاتی طور پر تلاش کرنے کے لیے آپ کو برسوں انتظار کرنا پڑ سکتا ہے۔
دیگر چھ کیڑے… ان میں سے کسی کو بھی اعلیٰ درجہ نہیں دیا گیا ہے۔
وہ سبھی درمیانے یا کم ہیں، جو ایک طرح کی اچھی خبر ہے۔
ان میں سے دو کو میں نے انفرادی طور پر کال کرنے کے قابل سمجھا، اور ہم نے ان کو Naked Security پر لکھا ہے کیونکہ یہ اس بات کو سمجھنے کا ایک دلچسپ حصہ ہے کہ براؤزرز میں کس قسم کے بگ سے متعلق سیکیورٹی خطرات موجود ہو سکتے ہیں۔
یہ صرف نہیں ہے، "اوہ، باورچی صوابدیدی کوڈ چلا سکتے ہیں اور میلویئر لگا سکتے ہیں۔"
دو کیڑے ہیں جو ممکنہ طور پر حملہ آوروں کو آپ کو کسی ایسی چیز پر کلک کرنے کے لیے دھوکہ دینے سے متعلق ہیں جو اس سے زیادہ محفوظ نظر آتی ہے۔
اور ان میں سے ایک ہے، میرے خیال میں، اچھا پرانا کلک جیکنگ، جہاں آپ آبجیکٹ X پر کلک کرتے ہیں، لیکن اصل میں آپ آبجیکٹ Y کو چالو کرتے ہیں۔
اسکرین پر ماؤس کی پوزیشن اور جہاں براؤزر *سوچتا ہے* اسے تبدیل کرنے کے لیے دھوکہ دیا جا سکتا ہے۔
لہذا، آپ ماؤس کو حرکت دیتے ہیں، اور آپ کلک کرتے ہیں… لیکن اصل میں کلک اسکرین پر کہیں اور رجسٹر ہوتا ہے۔
آپ دیکھ سکتے ہیں کہ یہ کتنا خطرناک ہو سکتا ہے!
یہ ریموٹ کوڈ پر عمل درآمد کی ضمانت نہیں دیتا، لیکن آپ تصور کر سکتے ہیں: ایک اشتہاری دھوکہ باز اسے پسند کرے گا، کیا وہ نہیں؟
وہ آپ کو "نہیں، میں یقینی طور پر انکار کرنا چاہتا ہوں" پر کلک کرنے پر مجبور کرتے ہیں، اور درحقیقت، آپ یہ کہتے ہوئے کلکس جمع کر رہے ہوں گے، "ہاں، میں واقعی یہ اشتہار دیکھنا چاہتا ہوں۔"
اور اس کا مطلب یہ بھی ہے کہ فشنگ حملوں اور جعلی ڈاؤن لوڈز جیسی چیزوں کے لیے، آپ ڈاؤن لوڈ کو اس وقت جائز بنا سکتے ہیں جب حقیقت میں وہ شخص کسی ایسی چیز پر کلک کر رہا ہو جس کا اسے احساس نہ ہو۔
اور دوسرا بگ ونڈوز پر ایک اچھی پرانی LNK لنک فائلوں سے متعلق ہے، لہذا یہ صرف ونڈوز کے لیے فائر فاکس بگ ہے - یہ دوسری مصنوعات کو متاثر نہیں کرتا ہے۔
اور خیال یہ ہے کہ اگر آپ ایک مقامی لنک کھولتے ہیں جو لگتا ہے کہ ونڈوز لنک فائل پر جاتا ہے…
…یاد رکھیں، ایک لنک فائل ونڈوز کا شارٹ کٹ ہے، اس لیے وہ اپنے طور پر سیکیورٹی کا مسئلہ ہے۔
کیونکہ ایک لنک فائل ایک چھوٹی سی فائل ہے جو کہتی ہے، جب کوئی شخص اس پر کلک کرتا ہے، "دراصل، لنک کو نہ کھولیں۔ ایک فائل یا نیٹ ورک لوکیشن کھولیں جو لنک کے اندر درج ہے۔ اوہ، ویسے، آپ لنک کو کس آئیکن کے طور پر ظاہر کرنا چاہیں گے؟
لہذا آپ کے پاس آئیکن کے ساتھ ایک لنک فائل ہو سکتی ہے جو کہ پی ڈی ایف کی طرح دکھائی دیتی ہے۔
لیکن جب آپ کلک کرتے ہیں، تو یہ دراصل ایک EXE لانچ کرتا ہے۔
اور اس صورت میں، آپ اسے اور بھی آگے لے جا سکتے ہیں۔
آپ کے پاس ایک لنک فائل ہو سکتی ہے جسے آپ "جانتے ہیں" مقامی ہے، لہذا یہ ایک مقامی فائل کو کھولنے جا رہی ہے۔
لیکن جب آپ لنک پر کلک کرتے ہیں، تو یہ دراصل نیٹ ورک کنکشن کو متحرک کرتا ہے۔
بلاشبہ، جب بھی کسی براؤزر سے نیٹ ورک کنکشن ہوتا ہے - یہاں تک کہ اگر واپس آنے والی چیزوں کے ساتھ واقعی خطرناک کچھ نہیں ہوتا ہے، جیسے کہ ریموٹ کوڈ پر عمل درآمد - ہر آؤٹ باؤنڈ کنکشن موجودہ سیشن کے بارے میں ممکنہ طور پر کوکیز سمیت معلومات فراہم کرتا ہے۔ آپ کے براؤزر کے بارے میں؛ تمھارے بارے میں؛ آپ کے نیٹ ورک کے مقام کے بارے میں۔
اور اس لیے آپ دیکھ سکتے ہیں، ان دونوں کیڑوں کے ساتھ، یہ ایک بہت بڑی یاد دہانی ہے کہ یہ واقعی اہم ہے کہ آپ کا براؤزر آپ کو اس بات کی غیر واضح سچائی پیش کرے کہ جب آپ اسکرین پر کسی بھی نقطہ پر کلک کرتے ہیں تو کیا ہوتا ہے۔
یہ ضروری ہے کہ یہ آپ کو ایک درست اور مفید پیش کش فراہم کرے کہ آگے کیا ہوگا، جیسے کہ، "آپ سائٹ سے باہر جائیں گے۔ آپ اس لنک پر جائیں گے جس پر آپ کلک نہ کرتے اگر ہم اسے واضح کر دیتے۔
لہذا یہ ضروری ہے کہ براؤزر آپ کو کم از کم یہ معلوم کرنے کا ایک طریقہ فراہم کرے کہ آپ آگے کہاں جا رہے ہیں۔
بہرحال، یہ پیچ کر دیے گئے ہیں، لہذا اگر آپ کو اپ ڈیٹ ملتا ہے، تو آپ کو خطرہ نہیں ہوگا!
ڈوگ بہترین.
ٹھیک ہے، اسے کہا جاتا ہے: فائر فاکس سے ہلکی ماہانہ سیکیورٹی اپ ڈیٹ، لیکن بہرحال اپ ڈیٹ کریں۔.
میں نے اسے ہلکے سے زیادہ دلچسپ پایا، خاص طور پر CSS ٹرانسفارمز کے ساتھ ماؤس پوزیشن سپوفنگ.
بطخ. ہاں، وہاں فساد برائی کے بہت زیادہ امکانات ہیں!
ڈوگ ٹھیک ہے، اس رگ میں، ہمارے پاس ایک قاری ہے جس نے لکھا ہے۔
ننگے سیکورٹی پوڈ کاسٹ سننے والا کوئی بھی درج ذیل نہیں لکھتا... مجھے یہ پسند ہے:
ہیلو.
مجھے یہ شو بہت پسند ہے اور میں نے شروع سے ہی تقریباً ہر ایپیسوڈ کو سنا ہے۔ میں سیکیورٹی میں کام کرتا ہوں، لیکن اس وقت، اپنی نجی زندگی میں، میں گھر کے الارم والے خاندان کے لیے بلی بیٹھا ہوں۔
بطخ. جب میں نے وہ ای میل پڑھنا شروع کیا تو میں نے سوچا، "اوہ، میں جانتا ہوں کہ کیا ہوتا ہے! جب بھی بلی گھومتی ہے، الارم بج جاتا ہے۔ اور اب اسے اس چیز کا سامنا ہے، 'کیا میں سیکورٹی کو بند کر دوں حالانکہ مجھے نہیں کہا گیا تھا؟' لیکن یہ اس سے بھی بدتر ہے!‘‘
ڈوگ یہ اس سے بھی *بہتر* ہے۔ [ہنسی]
وہ لکھتا ہے:
ان کے کوڈ سے مماثل نمبر ختم ہو چکے ہیں، جبکہ تمام غلط نمبر واضح طور پر اچھوت ہیں۔
لہذا یہ اندازہ لگانا آسان ہے کہ کوڈ میں کون سے نمبر ہیں۔
میں نے انہیں بتانے پر غور کیا کہ اب ان کا کوڈ تبدیل کرنے کا وقت آگیا ہے، لیکن پھر میں نے دیکھا کہ الارم کوڈ بھی الارم کے بالکل ساتھ ٹیپ کیے گئے کاغذ کے ٹکڑے پر لکھا ہوا ہے۔
تو مجھے جو سیکورٹی ہول ملا ہے وہ واضح طور پر ان کے لیے قابل ذکر نہیں ہے۔
[ہنسی]
آپ کو ہنسنا نہیں چاہئے!
اپنے سیکیورٹی الارم پینل کے آگے اپنا سیکیورٹی کوڈ نہ لکھیں!
کوئی نہیں، اس میں لکھنے کے لیے آپ کا شکریہ۔
میں آپ کو مشورہ دوں گا کہ وہ کوڈ کو تبدیل کرنے کا مشورہ دیں، اور اس پر لکھا ہوا کوڈ والا کاغذ پھینک دیں۔
بطخ. جی ہاں.
اور، درحقیقت، اگر وہ ایسا کرتے ہیں، تو آپ بحث کر سکتے ہیں کہ پھر کیپیڈ ایک اچھی ڈیکوی کی طرح ہوگا۔
ڈوگ جی ہاں بالکل وہی!
بطخ. کیونکہ باورچی غلط کوڈ کی تمام تبدیلیوں کو آزماتے رہیں گے۔
اور اگر دس آزمائشی لاک آؤٹ یا کچھ اور کی طرح ہے…
ڈوگ ٹھیک ہے، اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ، یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔
آپ tips@sophos.com پر ای میل کر سکتے ہیں، آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، اور آپ ہمیں سوشل پر مار سکتے ہیں: @NakedSecurity۔
یہ ہمارا آج کا شو ہے۔
سننے کا بہت بہت شکریہ۔
پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو یاد دلا رہا ہوں، اگلی بار تک…
دونوں محفوظ رہو!
[میوزیکل موڈیم]
- ایپل
- blockchain
- coingenius
- cryptocurrency بٹوے
- کریپٹو ایکسچینج
- سائبر سیکورٹی
- cybercriminals
- سائبر سیکیورٹی
- ڈیٹا کے نقصان
- محکمہ داخلی سیکورٹی
- ڈیجیٹل بٹوے
- فائروال
- Kaspersky
- امن و امان
- میلویئر
- میکفی
- موزیلا
- ننگی سیکیورٹی
- NexBLOC
- پلاٹا
- افلاطون اے
- افلاطون ڈیٹا انٹیلی جنس
- افلاطون گیم
- پلیٹو ڈیٹا
- پلیٹو گیمنگ
- podcast
- کی رازداری
- سفاری
- T موبائل
- VPN
- خطرے کا سامنا
- ویب سائٹ کی سیکورٹی
- زیفیرنیٹ
- زیرو ڈے
![S3 Ep123: کرپٹو کمپنی سمجھوتہ کرففل [آڈیو + ٹیکسٹ]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep123-crypto-company-compromise-kerfuffle-audio-text-360x188.png)
![S3 Ep121: کیا آپ کو ہیک کیا جا سکتا ہے اور پھر اس کے لیے مقدمہ چلایا جا سکتا ہے؟ [آڈیو + متن]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-360x188.png)