ایک اور دن، ایک اور رسائی ٹوکن پر مبنی ڈیٹا بیس کی خلاف ورزی۔
اس بار، شکار (اور کچھ طریقوں سے، یقیناً، مجرم بھی) مائیکروسافٹ کا ہے۔ GitHub کے کاروبار.
GitHub کا دعوی ہے کہ یہ خلاف ورزی کو دیکھا تیزی سے، اس کے اگلے دن ہوا، لیکن تب تک نقصان ہو چکا تھا:
6 دسمبر 2022 کو ہماری طرف سے ذخیرے
atom
,desktop
، اور دیگر فرسودہ GitHub کی ملکیت والی تنظیموں کو مشین اکاؤنٹ سے وابستہ سمجھوتہ شدہ پرسنل ایکسیس ٹوکن (PAT) کے ذریعے کلون کیا گیا تھا۔ 7 دسمبر 2022 کو پتہ چلنے کے بعد، ہماری ٹیم نے فوری طور پر سمجھوتہ شدہ اسناد کو منسوخ کر دیا اور صارفین اور اندرونی نظاموں پر ممکنہ اثرات کی تحقیقات شروع کر دیں۔
سیدھے الفاظ میں: کسی نے پہلے سے تیار کردہ ایکسیس کوڈ کا استعمال کیا جو خود GitHub سے تعلق رکھنے والے مختلف سورس کوڈ ریپوزٹریز کے مواد کو جونکنے کے لیے کون جانتا ہے۔
ہم اندازہ لگا رہے ہیں کہ GitHub GitHub پر اپنا کوڈ رکھتا ہے (اگر ایسا نہیں ہوتا ہے تو یہ اپنے آپ پر عدم اعتماد کا ووٹ ہوگا!)، لیکن یہ بنیادی GitHub نیٹ ورک یا اسٹوریج انفراسٹرکچر نہیں تھا جس کی خلاف ورزی کی گئی تھی، بس GitHub کے اپنے کچھ پروجیکٹس جو وہاں محفوظ تھے۔
بیچ ہیڈز اور پس منظر کی حرکت
اس خلاف ورزی کے بارے میں سوچیں کہ ایک بدمعاش آپ کے آؤٹ لک ای میل آرکائیو پاس ورڈ کو پکڑ رہا ہے اور اپنے پچھلے مہینے کے قابل قدر پیغامات کو ڈاؤن لوڈ کر رہا ہے۔
جب تک آپ نے محسوس کیا، آپ کا اپنا ای میل پہلے ہی ختم ہوچکا ہوگا، لیکن نہ تو خود آؤٹ لک اور نہ ہی دوسرے صارفین کے اکاؤنٹس براہ راست متاثر ہوئے ہوں گے۔
نوٹ کریں، تاہم، پچھلے جملے میں لفظ "براہ راست" کا ہمارا محتاط استعمال، کیونکہ سسٹم پر ایک اکاؤنٹ کا سمجھوتہ دوسرے صارفین کے خلاف، یا یہاں تک کہ مجموعی طور پر سسٹم کے خلاف دستک کے اثرات کا باعث بن سکتا ہے۔
مثال کے طور پر، آپ کا کارپوریٹ ای میل اکاؤنٹ تقریباً یقینی طور پر آپ کے ساتھیوں، آپ کے آئی ٹی ڈیپارٹمنٹ اور دیگر کمپنیوں سے خط و کتابت پر مشتمل ہوتا ہے۔
ان ای میلز میں آپ نے اکاؤنٹ کے ناموں، سسٹم کی تفصیلات، کاروباری منصوبوں، لاگ ان کی اسناد اور مزید کے بارے میں خفیہ معلومات ظاہر کی ہوں گی۔
کسی سسٹم کے ایک حصے سے اٹیک انٹیلی جنس کا استعمال کرتے ہوئے اسی یا دوسرے سسٹمز کے دوسرے حصوں میں گھل مل جانا جرگن میں جانا جاتا ہے۔ پس منظر کی تحریک، جہاں سائبر کرائمین پہلے قائم کرتے ہیں جسے آپ "سمجھوتہ کا ساحل" کہہ سکتے ہیں، اور پھر وہاں سے اپنی رسائی بڑھانے کی کوشش کرتے ہیں۔
ویسے بھی آپ کے ذخیروں میں کیا ہے؟
چوری شدہ سورس کوڈ ڈیٹا بیس کی صورت میں، چاہے وہ گٹ ہب پر محفوظ ہوں یا کسی اور جگہ، اس بات کا خطرہ ہمیشہ رہتا ہے کہ نجی ذخیرہ میں دوسرے سسٹمز تک رسائی کی اسناد شامل ہو سکتی ہیں، یا سائبر کرائمین کو کوڈ پر دستخط کرنے والے سرٹیفکیٹ حاصل کرنے دیں جو کہ اصل میں تعمیر کرتے وقت استعمال ہوتے ہیں۔ عوامی ریلیز کے لیے سافٹ ویئر۔
درحقیقت، اس طرح کا ڈیٹا لیک ہونا عوامی ذخیروں کے لیے بھی ایک مسئلہ ہو سکتا ہے، بشمول اوپن سورس سورس کوڈ پروجیکٹس جو خفیہ نہیں ہیں، اور کسی کے لیے بھی ڈاؤن لوڈ کیے جا سکتے ہیں۔
اوپن سورس ڈیٹا کا لیکیج اس وقت ہو سکتا ہے جب ڈویلپرز نادانستہ طور پر اپنے ڈویلپمنٹ نیٹ ورک سے پرائیویٹ فائلوں کو پبلک کوڈ پیکج میں بنڈل کر دیتے ہیں جسے وہ بالآخر ہر کسی تک رسائی کے لیے اپ لوڈ کر دیتے ہیں۔
اس قسم کی غلطی پرائیویٹ کنفیگریشن فائلوں، پرائیویٹ سرور کے بہت ہی عوامی (اور بہت عوامی طور پر تلاش کے قابل) لیک ہونے کا باعث بن سکتی ہے۔ رسائی کی چابیاں، ذاتی ٹوکن تک رسائی حاصل کریں اور پاس ورڈز، اور یہاں تک کہ پورے ڈائریکٹری کے درخت جو غلط وقت پر غلط جگہ پر تھے۔
بہتر یا بدتر کے لیے، گٹ ہب کو یہ معلوم کرنے میں تقریباً دو مہینے لگے ہیں کہ اس معاملے میں ان کے حملہ آوروں نے کتنی چیزیں پکڑی ہیں، لیکن جوابات اب سامنے آچکے ہیں، اور ایسا لگتا ہے جیسے:
- بدمعاشوں نے GitHub ڈیسک ٹاپ اور ایٹم پروڈکٹس کے لیے کوڈ پر دستخط کرنے والے سرٹیفکیٹ حاصل کر لیے۔ اس کا مطلب ہے، نظریہ میں، کہ وہ بدمعاش سافٹ ویئر کو اس پر منظوری کی سرکاری گیتھب مہر کے ساتھ شائع کرسکتے ہیں۔ نوٹ کریں کہ آپ کو پہلے سے ہی ان مخصوص مصنوعات میں سے کسی ایک کا موجودہ صارف بننے کی ضرورت نہیں ہوگی تاکہ وہ بے وقوف بنائے جائیں - مجرم GitHub کے تقریباً کسی بھی سافٹ ویئر کو جو وہ چاہتے ہیں اسے دے سکتے ہیں۔
- چوری شدہ دستخطی سرٹیفکیٹس کو خفیہ کیا گیا تھا، اور بدمعاشوں کو بظاہر پاس ورڈ نہیں ملے تھے۔ اس کا مطلب ہے، عملی طور پر، اگرچہ بدمعاشوں کے پاس سرٹیفکیٹ موجود ہیں، وہ انہیں استعمال نہیں کر سکیں گے جب تک کہ وہ ان پاس ورڈز کو کریک نہ کر لیں۔
تخفیف کرنے والے عوامل
یہ ایک اچھی خبر کی طرح لگتا ہے جو ایک بری شروعات تھی، اور جو خبر کو ابھی تک بہتر بناتی ہے وہ ہے:
- صرف تین سرٹیفکیٹس کی میعاد ختم نہیں ہوئی تھی جس دن وہ چوری ہوئے تھے۔ آپ نئے کوڈ پر دستخط کرنے کے لیے میعاد ختم ہونے والا سرٹیفکیٹ استعمال نہیں کر سکتے، چاہے آپ کے پاس سرٹیفکیٹ کو ڈکرپٹ کرنے کے لیے پاس ورڈ ہو۔
- ایک چوری شدہ سرٹیفکیٹ کی میعاد عبوری طور پر 2023-01-04 کو ختم ہو گئی۔ وہ سرٹیفکیٹ ونڈوز پروگراموں پر دستخط کرنے کے لیے تھا۔
- دوسرے چوری شدہ سرٹیفکیٹ کی میعاد کل، 2023-02-01 کو ختم ہو رہی ہے۔ یہ ونڈوز سافٹ ویئر کے لیے ایک دستخطی سرٹیفکیٹ بھی ہے۔
- آخری سرٹیفکیٹ صرف 2027 میں ختم ہوگا۔ یہ ایپل ایپس پر دستخط کرنے کے لیے ہے، لہذا GitHub کا کہنا ہے کہ یہ ہے۔ "کسی بھی نئے ایپس پر دستخط کرنے کے لیے ایپل کے ساتھ کام کرنا۔" نوٹ کریں کہ بدمعاشوں کو اب بھی پہلے سرٹیفکیٹ پاس ورڈ کو کریک کرنے کی ضرورت ہوگی۔
- تمام متاثرہ سرٹیفکیٹس 2023-02-02 کو منسوخ کر دیے جائیں گے۔ منسوخ شدہ سرٹیفکیٹس کو ایک خصوصی چیک لسٹ میں شامل کیا جاتا ہے جسے آپریٹنگ سسٹمز (براؤزر جیسی ایپس کے ساتھ) سرٹیفکیٹس کے ذریعے تصدیق شدہ مواد کو بلاک کرنے کے لیے استعمال کر سکتے ہیں جن پر مزید بھروسہ نہیں کیا جانا چاہیے۔
- GitHub کے مطابق، جونک لگائی گئی کسی بھی ذخیرے میں کوئی غیر مجاز تبدیلیاں نہیں کی گئیں۔ ایسا لگتا ہے کہ یہ ایک "صرف پڑھنے والا" سمجھوتہ تھا، جہاں حملہ آور دیکھنے کے قابل تھے، لیکن چھونے کے قابل نہیں تھے۔
کیا کیا جائے؟
اچھی خبر یہ ہے کہ اگر آپ GitHub ڈیسک ٹاپ یا ایٹم صارف نہیں ہیں، تو آپ کو فوری طور پر کچھ کرنے کی ضرورت نہیں ہے۔
اگر آپ کے پاس گٹ ہب ڈیسک ٹاپ، آپ کو کل سے پہلے اپ گریڈ کرنے کی ضرورت ہے، اس بات کو یقینی بنانے کے لیے کہ آپ نے ایپ کی کسی بھی ایسی مثال کو تبدیل کر دیا ہے جس پر ایک سرٹیفکیٹ کے ساتھ دستخط کیے گئے تھے جس پر برا نشان لگایا جانے والا ہے۔
اگر آپ اب بھی استعمال کر رہے ہیں۔ ایٹم (جو جون 2022 میں بند کر دیا گیا تھا، اور 2022-12-15 کو ایک سرکاری GitHub سافٹ ویئر پروجیکٹ کے طور پر اپنی زندگی کا خاتمہ کر دیا تھا)، آپ کو کسی حد تک تجسس سے نیچے گرے ایک قدرے پرانے ورژن میں جس پر اب چوری شدہ سرٹیفکیٹ کے ساتھ دستخط نہیں کیے گئے تھے۔
یہ دیکھتے ہوئے کہ ایٹم پہلے ہی اپنی سرکاری زندگی کے اختتام کو پہنچ چکا ہے، اور اسے مزید سیکیورٹی اپ ڈیٹس نہیں ملیں گے، آپ کو بہرحال اسے بدل دینا چاہیے۔ (انتہائی مقبول بصری اسٹوڈیو کوڈ، جس کا تعلق بھی مائیکروسافٹ سے ہے، ایسا لگتا ہے کہ ایٹم کو پہلی جگہ بند کرنے کی بنیادی وجہ ہے۔)
اگر آپ خود ایک ڈویلپر یا سافٹ ویئر مینیجر ہیں…
…جانے اور چیک کرنے کے لیے اسے ترغیب کے طور پر کیوں نہ استعمال کریں:
- ہمارے ترقیاتی نیٹ ورک کے کن حصوں تک کس کو رسائی حاصل ہے؟ خاص طور پر وراثت یا زندگی کے اختتامی منصوبوں کے لیے، کیا کوئی میراثی صارفین ہیں جن کے پاس ابھی تک رسائی باقی ہے جس کی انہیں مزید ضرورت نہیں ہے؟
- ہمارے کوڈ ریپوزٹری تک رسائی کو کتنی احتیاط سے بند کر دیا گیا ہے؟ کیا کسی بھی صارف کے پاس پاس ورڈ یا رسائی ٹوکنز ہیں جو آسانی سے چوری ہو سکتے ہیں یا غلط استعمال کیا جا سکتا ہے اگر ان کے اپنے کمپیوٹر سے سمجھوتہ کیا گیا ہو؟
- کیا کسی نے ایسی فائلیں اپ لوڈ کی ہیں جو وہاں نہیں ہونی چاہئیں؟ ونڈوز فائل ناموں کے آخر میں ایکسٹینشن کو دبا کر تجربہ کار صارفین کو بھی گمراہ کر سکتا ہے، لہذا آپ کو ہمیشہ یقین نہیں ہوتا کہ کون سی فائل ہے۔ لینکس اور یونکس سسٹم، بشمول macOS، خود بخود کسی بھی فائلوں اور ڈائریکٹریوں کو دیکھنے سے چھپ جاتے ہیں (لیکن استعمال سے نہیں!) جو ڈاٹ (پیریڈ) کیریکٹر سے شروع ہوتی ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://nakedsecurity.sophos.com/2023/01/31/github-code-signing-certificates-stolen-but-will-be-revoked-this-week/
- 1
- 2022
- 7
- a
- قابلیت
- ہمارے بارے میں
- مطلق
- تک رسائی حاصل
- اکاؤنٹ
- اکاؤنٹس
- حاصل
- اصل میں
- شامل کیا
- کے بعد
- کے خلاف
- تمام
- پہلے ہی
- ہمیشہ
- اور
- ایک اور
- جواب
- کسی
- اپلی کیشن
- ایپل
- منظوری
- ایپس
- محفوظ شدہ دستاویزات
- منسلک
- ایٹم
- حملہ
- مصنف
- آٹو
- خود کار طریقے سے
- پس منظر کی تصویر
- برا
- کیونکہ
- اس سے پہلے
- شروع ہوا
- بہتر
- بلاک
- سرحد
- پایان
- خلاف ورزی
- براؤزر
- عمارت
- بنڈل
- کاروبار
- فون
- ہوشیار
- احتیاط سے
- کیس
- سینٹر
- یقینی طور پر
- سرٹیفکیٹ
- سرٹیفکیٹ
- تبدیلیاں
- کردار
- چیک کریں
- دعوے
- کوڈ
- ساتھیوں
- رنگ
- کمپنیاں
- سمجھوتہ
- سمجھوتہ کیا
- کمپیوٹر
- آپکا اعتماد
- ترتیب
- پر مشتمل ہے
- مواد
- مندرجات
- کارپوریٹ
- سکتا ہے
- کورس
- احاطہ
- ٹوٹنا
- اسناد
- مجرم
- کروک
- گاہکوں
- cybercriminals
- اعداد و شمار
- ڈیٹا رساو
- ڈیٹا بیس
- ڈیٹا بیس
- دن
- دسمبر
- خرابی
- شعبہ
- ڈیسک ٹاپ
- تفصیلات
- پتہ چلا
- ڈیولپر
- ڈویلپرز
- ترقی
- براہ راست
- ڈائریکٹریز
- دکھائیں
- نہیں
- ڈاٹ
- نیچے
- آسانی سے
- اثرات
- یا تو
- دوسری جگہوں پر
- ای میل
- ای میل
- خفیہ کردہ
- کو یقینی بنانے کے
- پوری
- خاص طور پر
- قائم کرو
- بھی
- سب
- مثال کے طور پر
- موجودہ
- تجربہ کار
- توسیع
- ملانے
- اعداد و شمار
- فائل
- فائلوں
- پہلا
- جھنڈا لگا ہوا
- سے
- حاصل
- حاصل کرنے
- GitHub کے
- دے دو
- Go
- اچھا
- ہو
- ہوا
- اونچائی
- ذاتی ترامیم چھپائیں
- پکڑو
- ہور
- کس طرح
- تاہم
- HTTPS
- فوری طور پر
- اثر
- in
- انتباہ
- شامل
- سمیت
- معلومات
- انفراسٹرکچر
- انٹیلی جنس
- اندرونی
- IT
- خود
- شبدجال
- جانا جاتا ہے
- آخری
- قیادت
- لیک
- کی وراست
- زندگی
- لینکس
- تالا لگا
- اب
- دیکھو
- دیکھنا
- مشین
- MacOS کے
- بنا
- بناتا ہے
- مینیجر
- مارجن
- زیادہ سے زیادہ چوڑائی
- کا مطلب ہے کہ
- پیغامات
- مائیکروسافٹ
- شاید
- غلطی
- تخفیف کرنا
- کی نگرانی
- ماہ
- زیادہ
- نام
- تقریبا
- ضرورت ہے
- نہ ہی
- نیٹ ورک
- نئی
- خبر
- عام
- سرکاری
- ایک
- اوپن سورس
- کام
- آپریٹنگ سسٹم
- تنظیمیں
- دیگر
- آؤٹ لک
- خود
- پیکج
- حصہ
- حصے
- پاس ورڈ
- پاس ورڈز
- پال
- مدت
- ذاتی
- مقام
- کی منصوبہ بندی
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوزیشن
- مراسلات
- ممکنہ
- پریکٹس
- خوبصورت
- پچھلا
- پرائمری
- نجی
- شاید
- مسئلہ
- حاصل
- پروگرام
- منصوبے
- منصوبوں
- عوامی
- عوامی طور پر
- شائع
- ڈال
- جلدی سے
- پہنچ گئی
- وجہ
- جاری
- کی جگہ
- کی جگہ
- ذخیرہ
- انکشاف
- رسک
- اسی
- دوسری
- خفیہ
- سیکورٹی
- سیکورٹی اپ ڈیٹس
- لگتا ہے
- سزا
- ہونا چاہئے
- سائن ان کریں
- دستخط
- دستخط کی
- صرف
- So
- سافٹ ویئر کی
- ٹھوس
- کچھ
- کسی
- کچھ
- کچھ بھی نہیں
- ماخذ
- ماخذ کوڈ
- خصوصی
- مخصوص
- شروع کریں
- ابھی تک
- چوری
- ذخیرہ
- ذخیرہ
- سٹوڈیو
- اس طرح
- سمجھا
- SVG
- کے نظام
- سسٹمز
- ٹیم
- ۔
- ان
- وہاں.
- اس ہفتے
- تین
- وقت
- کرنے کے لئے
- ٹوکن
- ٹوکن
- کل
- سب سے اوپر
- چھو
- منتقلی
- شفاف
- قابل اعتماد
- آخر میں
- بنیادی
- یونیکس
- تازہ ترین معلومات
- اپ گریڈ
- اپ لوڈ کردہ
- URL
- استعمال کی شرائط
- رکن کا
- صارفین
- مختلف
- ورژن
- وکٹم
- لنک
- ووٹ
- چاہتے تھے
- طریقوں
- ہفتے
- کیا
- چاہے
- جس
- ڈبلیو
- گے
- کھڑکیاں
- لفظ
- قابل
- گا
- غلط
- اور
- زیفیرنیٹ