S3 Ep100: براؤزر میں براؤزر - حملے کو کیسے دیکھا جائے [آڈیو + ٹیکسٹ]

کسی بھی مقام پر جانے کے لیے نیچے دی گئی ساؤنڈ ویوز پر کلک کریں اور ڈریگ کریں۔ آپ بھی براہ راست سنیں ساؤنڈ کلاؤڈ پر۔

ڈوگ  Deadbolt - یہ واپس آ گیا ہے!

بہت سارے پیچ!

اور ٹائم زونز… ہاں، ٹائم زونز۔

وہ سب، اور بہت کچھ، ننگی سیکیورٹی پوڈ کاسٹ پر۔

[میوزیکل موڈیم]

پوڈ کاسٹ میں خوش آمدید، سب۔

میں ڈوگ آموت ہوں۔

میرے ساتھ، ہمیشہ کی طرح، پال ڈکلن ہے۔

پال، آپ کے لیے 100 ویں قسط بہت مبارک ہو، میرے دوست!

---

بطخ.  واہ، ڈوگ!

آپ جانتے ہیں، جب میں نے سیریز 3 کے لیے اپنی ڈائرکٹری کا ڈھانچہ شروع کیا تو میں نے دلیری سے استعمال کیا۔ -001 پہلی قسط کے لیے

---

ڈوگ  میں نے نہیں کیا. [ہنسی]

---

بطخ.  نہیں -1 or -01.

---

ڈوگ  سمارٹ…

---

بطخ.  مجھے بڑا یقین تھا!

اور جب میں آج کی فائل کو محفوظ کروں گا، تو میں اس میں خوش ہونے جا رہا ہوں۔

---

ڈوگ  ہاں، اور میں اس سے خوفزدہ ہوں گا کیونکہ یہ سب سے اوپر پاپ اپ ہوگا۔

ٹھیک ہے، مجھے بعد میں اس سے نمٹنا پڑے گا…

---

بطخ.  آپ باقی تمام چیزوں کا نام بدل سکتے ہیں۔

---

ڈوگ  میں جانتا ہوں میں جانتا ہوں.

اس کے منتظر نہیں… میرا بدھ ہے۔

بہرحال، آئیے کچھ ٹیک ہسٹری کے ساتھ شو کا آغاز کرتے ہیں۔

اس ہفتے 12 ستمبر 1959 کو لونا 2، کے طور پر بھی جانا جاتا ہے دوسرا سوویت کاسمک راکٹ، چاند کی سطح تک پہنچنے والا پہلا خلائی جہاز بن گیا، اور کسی دوسرے آسمانی جسم سے رابطہ کرنے والا پہلا انسان ساختہ شے بن گیا۔

بہت ٹھنڈا۔

---

بطخ.  وہ لمبا نام کیا تھا؟

"دوسرا سوویت کاسمک راکٹ"?

---

ڈوگ  جی ہاں.

---

بطخ.  لونا ٹو بہت بہتر ہے.

---

ڈوگ  ہاں ، بہت بہتر!

---

بطخ.  بظاہر، جیسا کہ آپ تصور کر سکتے ہیں، یہ دیکھتے ہوئے کہ یہ خلائی دوڑ کا دور تھا، کچھ تشویش تھی، "ہمیں کیسے پتہ چلے گا کہ انھوں نے واقعی یہ کیا ہے؟ وہ صرف یہ کہہ سکتے ہیں کہ وہ چاند پر اترے ہیں، اور شاید وہ اسے بنا رہے ہیں۔

بظاہر، انہوں نے ایک پروٹوکول وضع کیا جو آزاد مشاہدے کی اجازت دے گا۔

انہوں نے اس وقت کی پیشین گوئی کی کہ یہ چاند پر پہنچے گا، چاند سے ٹکرا جائے گا، اور انہوں نے عین وہی وقت بھیج دیا جس کی وہ برطانیہ میں ایک ماہر فلکیات کو توقع کرتے تھے۔

اور اس نے آزادانہ طور پر مشاہدہ کیا، یہ دیکھنے کے لیے کہ کیا انہوں نے جو کہا *ہوگا* اس وقت *ہوگیا*۔

تو انہوں نے یہاں تک سوچا، "آپ اس طرح کی کسی چیز کی تصدیق کیسے کرتے ہیں؟"

---

ڈوگ  ٹھیک ہے، پیچیدہ چیزوں کے موضوع پر، ہمارے پاس مائیکروسافٹ اور ایپل کے پیچ ہیں۔

تو اس تازہ ترین دور میں یہاں کیا قابل ذکر ہے؟

---

بطخ.  ہم یقینی طور پر کرتے ہیں - یہ اس ہفتے کا منگل ہے، مہینے کا دوسرا منگل۔

پیچ منگل میں دو کمزوریاں ہیں جو میرے لیے قابل ذکر تھیں۔

ایک قابل ذکر ہے کیونکہ یہ بظاہر جنگل میں ہے - دوسرے الفاظ میں، یہ ایک صفر دن تھا۔

اور اگرچہ یہ ریموٹ کوڈ پر عمل درآمد نہیں ہے، لیکن یہ قدرے پریشان کن ہے کیونکہ یہ لاگ فائل کی کمزوری ہے، ڈوگ!

یہ بالکل ایسا نہیں ہے۔ Log4J کی طرح برا، جہاں آپ نہ صرف لاگر سے بدتمیزی کے لیے حاصل کر سکتے ہیں، بلکہ آپ اسے حاصل بھی کر سکتے ہیں۔ صوابدیدی کوڈ چلائیں آپ کے لئے.

لیکن ایسا لگتا ہے کہ اگر آپ ونڈوز کامن لاگ فائل سسٹم ڈرائیور، CLFS میں کسی قسم کا خراب ڈیٹا بھیجتے ہیں، تو پھر آپ سسٹم کو آپ کو سسٹم کے استحقاق میں فروغ دینے کے لیے دھوکہ دے سکتے ہیں۔

ہمیشہ برا ہوتا ہے اگر آپ ایک مہمان صارف کے طور پر آتے ہیں، اور پھر آپ خود کو ایک سیسڈمین میں تبدیل کرنے کے قابل ہوتے ہیں…

---

ڈوگ  جی ہاں!

---

بطخ.  یہ ہے کہ، CVE-2022-37969.

اور دوسرا جو مجھے دلچسپ لگا…

…خوش قسمتی سے جنگلی میں نہیں، لیکن یہ وہی ہے جسے آپ کو واقعی پیچ کرنے کی ضرورت ہے، کیونکہ میں آپ کو شرط لگاتا ہوں کہ سائبر کرائمینز ریورس انجینئرنگ پر توجہ مرکوز کریں گے:

"ونڈوز TCP/IP ریموٹ کوڈ پر عمل درآمد کا خطرہ", CVE-2022-34718.

اگر آپ کو یاد ہو کوڈ ریڈ، اور ایس کیو ایل سلیمر، اور ماضی کے وہ شرارتی کیڑے، جہاں وہ ابھی ایک نیٹ ورک پیکٹ میں پہنچے، اور سسٹم میں اپنا راستہ جام کر دیا….

یہ اس سے بھی کم درجہ ہے۔

بظاہر، کچھ IPv6 پیکٹوں کو سنبھالنے میں بگ ہے۔

لہذا کوئی بھی چیز جہاں IPv6 سن رہا ہے، جو کہ کسی بھی ونڈوز کمپیوٹر پر ہے، اس سے خطرہ ہو سکتا ہے۔

جیسا کہ میں نے کہا، وہ جنگل میں نہیں ہے، اس لیے بدمعاشوں کو ابھی تک یہ نہیں ملا، لیکن مجھے شک نہیں کہ وہ پیچ لے رہے ہوں گے اور یہ جاننے کی کوشش کر رہے ہوں گے کہ کیا وہ اس سے کوئی فائدہ اٹھا سکتے ہیں، ان لوگوں کو پکڑنے کے لیے جنہوں نے ابھی تک پیچ نہیں کیا ہے۔

کیونکہ اگر کچھ کہتا ہے، "واہ! کیا ہوگا اگر کسی نے ایسا کیڑا لکھا جس نے اسے استعمال کیا؟

---

ڈوگ  ٹھیک ہے.

اور پھر ایپل کو…

---

بطخ.  ہم نے حال ہی میں ایپل کے پیچ کے بارے میں دو کہانیاں لکھی ہیں، جہاں، نیلے رنگ میں، اچانک، آئی فونز اور آئی پیڈز اور میک کے خلاف پیچ تھے۔ دو ان دی وائلڈ صفر دن.

ایک براؤزر بگ، یا براؤزنگ سے متعلق بگ تھا، تاکہ آپ ایک معصوم نظر آنے والی ویب سائٹ میں گھوم سکیں اور میلویئر آپ کے کمپیوٹر پر اتر سکے، اس کے علاوہ ایک اور جو آپ کو کرنل لیول کنٹرول دیتا ہے…

… جس میں، جیسا کہ میں نے پچھلے پوڈ کاسٹ میں کہا تھا، میرے لیے اسپائی ویئر جیسی بو آتی ہے – ایسی چیز جس میں اسپائی ویئر فروش یا واقعی سنجیدہ "نگرانی سائبر کروک" کو دلچسپی ہوگی۔

اس کے بعد ایک دوسری اپڈیٹ ہوئی، ہمارے حیرانی کے لیے، iOS 12 کے لئے، جسے ہم سب نے سوچا تھا کہ طویل عرصے سے ترک کر دیا گیا ہے۔

وہاں، ان میں سے ایک کیڑے (براؤزر سے متعلق ایک جس نے بدمعاشوں کو توڑنے کی اجازت دی) کو ایک پیچ ملا۔

اور پھر، جب میں iOS 16 کی توقع کر رہا تھا، یہ تمام ای میلز اچانک میرے ان باکس میں آنا شروع ہو گئیں - میرے چیک کرنے کے فوراً بعد، "کیا iOS 16 ابھی ختم ہو گیا ہے؟ کیا میں اسے اپ ڈیٹ کر سکتا ہوں؟"

یہ وہاں نہیں تھا، لیکن پھر مجھے یہ تمام ای میلز موصول ہوئیں کہ، "ہم نے ابھی iOS 15، اور macOS Monterey، اور Big Sur، اور iPadOS 15 کو اپ ڈیٹ کیا ہے"…

… اور یہ پتہ چلا کہ اپ ڈیٹس کا ایک پورا گروپ تھا، نیز اس بار بھی بالکل نیا کرنل صفر ڈے۔

اور دلچسپ بات یہ ہے کہ نوٹیفیکیشن ملنے کے بعد میں نے سوچا، "اچھا، مجھے دوبارہ چیک کرنے دو..."

(تو آپ یاد رکھ سکتے ہیں، یہ ہے۔ ترتیبات > جنرل > سافٹ ویئر اپ ڈیٹ آپ کے آئی فون یا آئی پیڈ پر۔)

دیکھو، مجھے iOS 15 کے لیے ایک اپ ڈیٹ کی پیشکش کی جا رہی تھی، جو میرے پاس پہلے سے موجود تھی، *یا* میں iOS 16 تک پوری طرح چھلانگ لگا سکتا تھا۔

اور iOS 16 میں بھی صفر دن کی یہ فکس تھی (حالانکہ iOS 16 نظریاتی طور پر ابھی ختم نہیں ہوا تھا)، اس لیے میرا اندازہ ہے کہ یہ بگ بیٹا میں بھی موجود تھا۔

اسے iOS 16 کے لیے ایپل کے بلیٹن میں باضابطہ طور پر صفر دن کے طور پر درج نہیں کیا گیا تھا، لیکن ہم یہ نہیں بتا سکتے کہ آیا اس کی وجہ یہ ہے کہ ایپل آر کا استحصال iOS 16 پر ٹھیک سے کام نہیں کر رہا تھا، یا آیا اسے صفر نہیں سمجھا جاتا ہے۔ دن کیونکہ iOS 16 صرف باہر آرہا تھا۔

---

ڈوگ  ہاں، میں کہنے جا رہا تھا: ابھی تک کسی کے پاس نہیں ہے۔ [ہنسی]

---

بطخ.  یہ ایپل سے بڑی خبر تھی۔

اور اہم بات یہ ہے کہ جب آپ اپنے فون پر جاتے ہیں، اور آپ کہتے ہیں، "اوہ، iOS 16 دستیاب ہے"… اگر آپ کو ابھی تک iOS 16 میں دلچسپی نہیں ہے، تب بھی آپ کو یہ یقینی بنانا ہوگا کہ آپ کو وہ iOS 15 مل گیا ہے۔ اپ ڈیٹ، کرنل صفر دن کی وجہ سے۔

کرنل صفر دن ہمیشہ ایک مسئلہ ہوتے ہیں کیونکہ اس کا مطلب ہے کہ وہاں موجود کوئی شخص جانتا ہے کہ آپ کے آئی فون پر سیکیورٹی کی بہت سی ترتیبات کو کس طرح نظرانداز کرنا ہے۔

یہ بگ macOS Monterey اور macOS Big Sur پر بھی لاگو ہوتا ہے - یہ پچھلا ورژن ہے، macOS 11۔

درحقیقت، پیچھے ہٹنے کے لیے، بگ سور کے پاس درحقیقت جنگلی میں *دو* کرنل زیرو ڈے کیڑے ہیں۔

iOS 12 کے بارے میں کوئی خبر نہیں ہے، جس کی مجھے توقع تھی، اور میکوس کاتالینا کے لیے اب تک کچھ بھی نہیں۔

Catalina macOS 10 ہے، پہلے کا پچھلا ورژن، اور ایک بار پھر، ہم نہیں جانتے کہ آیا یہ اپ ڈیٹ بعد میں آئے گا، یا آیا یہ دنیا کے کنارے سے گر گیا ہے اور بہرحال اسے اپ ڈیٹس نہیں ملیں گے۔

افسوس کی بات ہے کہ ایپل نہیں کہتا، اس لیے ہم نہیں جانتے۔

اب، ایپل کے زیادہ تر صارفین کے پاس خودکار اپ ڈیٹ آن ہوں گے، لیکن جیسا کہ ہم ہمیشہ کہتے ہیں، جا کر چیک کریں (چاہے آپ کے پاس میک ہے یا آئی فون یا آئی پیڈ)، کیونکہ سب سے بری چیز صرف یہ سمجھنا ہے کہ آپ کا خودکار اپ ڈیٹس نے کام کیا اور آپ کو محفوظ رکھا…

…جب حقیقت میں، کچھ غلط ہو گیا۔

---

ڈوگ  ٹھیک ہے بہت اچھے.

اب، جس چیز کا میں انتظار کر رہا ہوں، وہ یہ ہے کہ: "ٹائم زون کا IT سیکیورٹی سے کیا تعلق ہے؟"

---

بطخ.  ٹھیک ہے، بہت کچھ، یہ پتہ چلتا ہے، ڈوگ.

---

ڈوگ  [ہنستے ہوئے] ہاں!

---

بطخ.  ٹائم زون تصور میں بہت آسان ہیں۔

وہ ہماری زندگیوں کو چلانے کے لیے بہت آسان ہیں تاکہ ہماری گھڑیاں آسمان میں جو کچھ ہو رہا ہے اس سے تقریباً میل کھاتا ہے – اس لیے رات میں اندھیرا اور دن میں روشنی ہوتی ہے۔ (آئیے ڈے لائٹ سیونگ کو نظر انداز کر دیں، اور آئیے صرف یہ مان لیں کہ ہمارے پاس پوری دنیا میں صرف ایک گھنٹے کا ٹائم زون ہے تاکہ سب کچھ واقعی آسان ہو۔)

مسئلہ اس وقت آتا ہے جب آپ دراصل سسٹم لاگز کو کسی ایسی تنظیم میں رکھ رہے ہوتے ہیں جہاں آپ کے کچھ سرورز، آپ کے کچھ صارفین، آپ کے نیٹ ورک کے کچھ حصے، آپ کے کچھ صارفین، دنیا کے دوسرے حصوں میں ہوتے ہیں۔

جب آپ لاگ فائل پر لکھتے ہیں، کیا آپ ٹائم زون کے فیکٹر میں وقت لکھتے ہیں؟

جب آپ اپنا لاگ لکھ رہے ہوتے ہیں، ڈوگ، کیا آپ ان 5 گھنٹے (یا اس وقت 4 گھنٹے) کو کم کرتے ہیں جو آپ کو درکار ہیں کیونکہ آپ بوسٹن میں ہیں، جب کہ میں ایک گھنٹہ شامل کرتا ہوں کیونکہ میں لندن کے وقت پر ہوں، لیکن موسم گرما ہے ?

کیا میں اسے لاگ میں اس لیے لکھتا ہوں کہ جب میں لاگ کو واپس پڑھتا ہوں تو یہ *میرے* کو سمجھ میں آتا ہے؟

یا کیا میں *ہر ایک* کے لیے ایک ہی ٹائم زون کا استعمال کرتے ہوئے ایک زیادہ کینونیکل، غیر مبہم وقت لکھتا ہوں، تو جب میں اپنے نیٹ ورک پر مختلف کمپیوٹرز، مختلف صارفین، دنیا کے مختلف حصوں سے آنے والے لاگز کا موازنہ کرتا ہوں، تو میں واقعتاً واقعات کو ترتیب دے سکتا ہوں؟

واقعات کو ترتیب دینا واقعی اہم ہے، ڈوگ، خاص طور پر اگر آپ سائبر اٹیک میں خطرے کا جواب دے رہے ہیں۔

آپ کو واقعی یہ جاننے کی ضرورت ہے کہ پہلے کیا آیا۔

اور اگر آپ کہتے ہیں، "اوہ، یہ سہ پہر 3 بجے تک نہیں ہوا"، تو اس سے مجھے کوئی فائدہ نہیں ہوگا اگر میں سڈنی میں ہوں، کیونکہ میری سہ پہر کے 3 بجے آپ کے 3 بجے کے مقابلے میں کل ہوئے۔

لہذا میں ایک مضمون لکھا ننگی سیکیورٹی پر کچھ طریقوں کے بارے میں جو آپ کر سکتے ہیں۔ اس مسئلے سے نمٹنے کے جب آپ ڈیٹا لاگ کرتے ہیں۔

میری ذاتی سفارش یہ ہے کہ ایک آسان ٹائم اسٹیمپ فارمیٹ استعمال کیا جائے جسے کہتے ہیں۔ آر ایف سی 3339، جہاں آپ چار ہندسوں کا سال، ڈیش [ہائیفن کریکٹر، ASCII 0x2D]، دو ہندسوں کا مہینہ، ڈیش، دو ہندسوں کا دن، اور اسی طرح ڈالتے ہیں، تاکہ آپ کے ٹائم سٹیمپ اصل میں حروف تہجی کے لحاظ سے اچھی طرح سے ترتیب دیں۔

اور یہ کہ آپ اپنے تمام ٹائم زونز کو ایک tme زون کے طور پر ریکارڈ کرتے ہیں۔ Z (zed یا zee)، مختصر کے لیے زولو وقت.

اس کا مطلب ہے بنیادی طور پر UTC یا کوآرڈینیٹڈ یونیورسل ٹائم۔

یہ گرین وچ کا اوسط وقت تقریباً لیکن کافی نہیں ہے، اور یہ وہ وقت ہے جب تقریباً ہر کمپیوٹر یا فون کی گھڑی درحقیقت ان دنوں اندرونی طور پر سیٹ ہوتی ہے۔

جب آپ لاگ پر لکھ رہے ہوں تو ٹائم زونز کی تلافی کرنے کی کوشش نہ کریں، کیونکہ پھر جب کسی کو آپ کے لاگ کو ہر کسی کے ساتھ لائن کرنے کی کوشش کر رہے ہوں گے تو اس کی تلافی کرنا پڑے گی – اور کپ اور ہونٹ کے درمیان بہت سی پرچی ہوتی ہے، ڈوگ۔

سادہ رکھیں.

ایک کینونیکل، سادہ ٹیکسٹ فارمیٹ استعمال کریں جو بالکل صحیح تاریخ اور وقت کی وضاحت کرتا ہے، بالکل نیچے سے دوسری تک – یا، ان دنوں، ٹائم اسٹیمپ ان دنوں نینو سیکنڈ تک بھی جا سکتے ہیں اگر آپ چاہیں۔

اور اپنے لاگز سے ٹائم زونز سے چھٹکارا حاصل کریں؛ اپنے لاگز سے دن کی روشنی کی بچت سے چھٹکارا حاصل کریں؛ اور صرف سب کچھ ریکارڈ کریں، میری رائے میں، مربوط یونیورسل ٹائم میں…

… الجھن میں مختصراً UTC، کیونکہ نام انگریزی میں ہے لیکن مخفف فرانسیسی میں ہے – ایک ستم ظریفی کی بات ہے۔

---

ڈوگ  جی ہاں.

---

بطخ.  
مجھے یہ کہنے کا لالچ ہے، "ایسا نہیں کہ میں اس کے بارے میں پھر سے سختی سے محسوس کرتا ہوں"، جیسا کہ میں عام طور پر کرتا ہوں، ہنستے ہوئے…

…لیکن چیزوں کو صحیح ترتیب میں حاصل کرنا واقعی اہم ہے، خاص طور پر جب آپ سائبر مجرموں کا سراغ لگانے کی کوشش کر رہے ہوں۔

---

ڈوگ  ٹھیک ہے، یہ اچھی بات ہے - بہت اچھا مشورہ۔

اور اگر ہم سائبر کرائمینلز کے موضوع پر قائم رہتے ہیں، تو آپ نے مینیپلیٹر ان دی مڈل حملوں کے بارے میں سنا ہوگا۔ آپ نے براؤزر میں ہیرا پھیری کے حملوں کے بارے میں سنا ہے…

..اب براؤزر میں براؤزر حملوں کے لیے تیار ہو جائیں۔

---

بطخ.  ہاں، یہ ایک نئی اصطلاح ہے جسے ہم دیکھ رہے ہیں۔

میں یہ لکھنا چاہتا تھا کیونکہ گروپ-آئی بی نامی دھمکی آمیز انٹیلی جنس کمپنی کے محققین نے حال ہی میں اس بارے میں ایک مضمون لکھا تھا، اور میڈیا نے اس کے بارے میں بات کرنا شروع کی تھی، "ارے، براؤزر میں براؤزر کے حملے، بہت ڈرو"، یا کچھ بھی۔ …

آپ سوچ رہے ہیں، "ٹھیک ہے، میں حیران ہوں کہ کتنے لوگ حقیقت میں جانتے ہیں کہ براؤزر میں براؤزر حملے کا کیا مطلب ہے؟"

اور ان حملوں کے بارے میں پریشان کن بات، ڈوگ، یہ ہے کہ تکنیکی طور پر، وہ بہت آسان ہیں۔

یہ اتنا آسان خیال ہے۔

---

ڈوگ  وہ تقریباً فنکارانہ ہیں۔

---

بطخ.  جی ہاں!

یہ واقعی سائنس اور ٹیکنالوجی نہیں ہے، یہ آرٹ اور ڈیزائن ہے، ہے نا؟

بنیادی طور پر، اگر آپ نے کبھی بھی JavaScript پروگرامنگ کی ہے (اچھی یا برائی کے لیے)، تو آپ کو معلوم ہو جائے گا کہ کسی چیز کے بارے میں جو چیزیں آپ کسی ویب صفحہ میں چپکی ہوئی ہیں ان میں سے ایک یہ ہے کہ اس کا مقصد اس ویب صفحہ تک محدود ہونا ہے۔

لہذا، اگر آپ بالکل نئی ونڈو کو پاپ اپ کرتے ہیں، تو آپ اس سے بالکل نیا براؤزر سیاق و سباق حاصل کرنے کی توقع کریں گے۔

اور اگر یہ اپنا صفحہ بالکل نئی سائٹ سے لوڈ کرتا ہے، جیسے کہ ایک فشنگ سائٹ، تو اسے جاوا اسکرپٹ کے تمام متغیرات، سیاق و سباق، کوکیز اور مرکزی ونڈو میں موجود ہر چیز تک رسائی حاصل نہیں ہوگی۔

لہذا، اگر آپ ایک الگ ونڈو کھولتے ہیں، اگر آپ بدمعاش ہیں تو آپ اپنی ہیکنگ کی صلاحیتوں کو محدود کر رہے ہیں۔

پھر بھی اگر آپ موجودہ ونڈو میں کچھ کھولتے ہیں، تو آپ اس حد تک محدود ہیں کہ آپ اسے کتنا دلچسپ اور "نظام نما" بنا سکتے ہیں، کیا آپ نہیں ہیں؟

کیونکہ آپ ایڈریس بار کو اوور رائٹ نہیں کر سکتے… یہ ڈیزائن کے لحاظ سے ہے۔

آپ براؤزر ونڈو کے باہر کچھ بھی نہیں لکھ سکتے، اس لیے آپ چپکے سے ایسی ونڈو نہیں لگا سکتے جو ڈیسک ٹاپ پر وال پیپر کی طرح نظر آتی ہو، جیسا کہ یہ پہلے ہی موجود ہے۔

دوسرے لفظوں میں، آپ اس براؤزر ونڈو کے اندر جڑے ہوئے ہیں جس کے ساتھ آپ نے شروعات کی تھی۔

لہذا براؤزر میں براؤزر حملے کا خیال یہ ہے کہ آپ ایک باقاعدہ ویب سائٹ کے ساتھ شروع کرتے ہیں، اور پھر آپ اپنے پاس پہلے سے موجود براؤزر ونڈو کے اندر ایک ایسا ویب صفحہ بناتے ہیں جو بذات خود بالکل آپریٹنگ سسٹم براؤزر ونڈو کی طرح لگتا ہے۔ .

بنیادی طور پر، آپ کسی کو اصل چیز کی *تصویر* دکھاتے ہیں، اور انہیں قائل کرتے ہیں کہ یہ اصل چیز* ہے۔

یہ دل میں اتنا آسان ہے، ڈوگ!

لیکن مسئلہ یہ ہے کہ تھوڑی سی احتیاط سے کام کرنے سے، خاص طور پر اگر آپ کے پاس سی ایس ایس کی اچھی مہارتیں ہیں، تو آپ اصل میں ایسی چیز بنا سکتے ہیں جو موجودہ براؤزر ونڈو کے اندر موجود ہو، اپنی براؤزر ونڈو کی طرح دکھائی دیتی ہے۔

اور تھوڑا سا JavaScript کے ساتھ، آپ اسے بنا سکتے ہیں تاکہ اس کا سائز تبدیل ہو سکے، اور تاکہ یہ اسکرین پر گھوم سکے، اور آپ اسے HTML کے ساتھ آباد کر سکتے ہیں جسے آپ کسی تھرڈ پارٹی ویب سائٹ سے لاتے ہیں۔

اب، آپ سوچ سکتے ہیں… اگر بدمعاشوں نے اسے صحیح طریقے سے مار ڈالا، تو آپ زمین پر کیسے بتا سکتے ہیں؟

اور اچھی خبر یہ ہے کہ ایک بالکل آسان چیز ہے جو آپ کر سکتے ہیں۔

اگر آپ دیکھتے ہیں کہ آپریٹنگ سسٹم ونڈو کی طرح کیا نظر آتا ہے اور آپ کو کسی بھی طرح سے اس پر شبہ ہے (یہ بنیادی طور پر آپ کے براؤزر ونڈو پر پاپ اپ ہوتا دکھائی دے گا، کیونکہ یہ اس کے اندر ہونا ضروری ہے)…

…اسے *حقیقی براؤزر ونڈو* سے ہٹانے کی کوشش کریں، اور اگر یہ براؤزر کے اندر "قید" ہے، تو آپ جانتے ہیں کہ یہ اصل سودا نہیں ہے!

گروپ-آئی بی کے محققین کی رپورٹ کے بارے میں دلچسپ بات یہ ہے کہ جب انہیں یہ معلوم ہوا تو بدمعاش اسے سٹیم گیمز کے کھلاڑیوں کے خلاف استعمال کر رہے تھے۔

اور، یقیناً، یہ چاہتا ہے کہ آپ اپنے Steam اکاؤنٹ میں لاگ ان کریں…

…اور اگر آپ کو پہلے صفحہ سے بے وقوف بنایا گیا، تو یہ بھاپ کی دو عنصری توثیق کی تصدیق بھی کرے گا۔

اور چال یہ تھی کہ اگر وہ واقعی *الگ *ونڈوز ہوتے تو آپ انہیں اپنی مین براؤزر ونڈو کے ایک طرف گھسیٹ سکتے تھے، لیکن وہ نہیں تھے۔

اس معاملے میں، خوش قسمتی سے، باورچیوں نے اپنی CSS اچھی طرح سے نہیں کی تھی۔

ان کا فن پارہ ناقص تھا۔

لیکن، جیسا کہ آپ اور میں نے پوڈ کاسٹ، ڈوگ پر کئی بار بات کی ہے، بعض اوقات ایسے بدمعاش ہوتے ہیں جو چیزوں کو پکسل پرفیکٹ دکھانے کی کوشش کرتے ہیں۔

CSS کے ساتھ، آپ لفظی طور پر انفرادی پکسلز کو پوزیشن میں رکھ سکتے ہیں، کیا آپ نہیں کر سکتے؟

---

ڈوگ  سی ایس ایس دلچسپ ہے۔

یہ ہے کیجادنگ انداز شیٹس… ایسی زبان جسے آپ HTML دستاویزات کو اسٹائل کرنے کے لیے استعمال کرتے ہیں، اور اسے سیکھنا واقعی آسان ہے اور اس پر عبور حاصل کرنا اور بھی مشکل ہے۔

---

بطخ.  یقینی طور پر IT کی طرح لگتا ہے۔

---

ڈوگ  جی ہاں، یہ بہت سی چیزوں کی طرح ہے!

لیکن یہ پہلی چیزوں میں سے ایک ہے جو آپ HTML سیکھنے کے بعد سیکھتے ہیں۔

اگر آپ سوچ رہے ہیں، "میں اس ویب پیج کو بہتر بنانا چاہتا ہوں"، تو آپ CSS سیکھتے ہیں۔

لہذا، ماخذ دستاویز کی ان مثالوں میں سے کچھ کو دیکھتے ہوئے جن سے آپ نے مضمون سے لنک کیا ہے، آپ بتا سکتے ہیں کہ واقعی اچھی جعلی کرنا واقعی مشکل ہو گا، جب تک کہ آپ CSS میں واقعی اچھے نہ ہوں۔

لیکن اگر آپ اسے صحیح طریقے سے کرتے ہیں، تو یہ جاننا واقعی مشکل ہو گا کہ یہ جعلی دستاویز ہے…

…جب تک کہ آپ جیسا کہ آپ کہتے ہیں ایسا نہ کریں: اسے کھڑکی سے باہر نکالنے کی کوشش کریں اور اسے اپنے ڈیسک ٹاپ کے ارد گرد منتقل کریں، اس طرح کی چیزیں۔

یہ یہاں آپ کے دوسرے نکتے کی طرف جاتا ہے: مشتبہ ونڈوز کا بغور جائزہ لیں۔

ان میں سے بہت سے لوگ شاید آنکھوں کے امتحان میں کامیاب نہیں ہوں گے، لیکن اگر وہ ایسا کرتے ہیں، تو اس کا پتہ لگانا واقعی مشکل ہوگا۔

جو ہمیں تیسری چیز کی طرف لے جاتا ہے…

"اگر شک ہو / اسے نہ دو۔"

اگر یہ بالکل ٹھیک نہیں لگ رہا ہے، اور آپ قطعی طور پر یہ بتانے کے قابل نہیں ہیں کہ کچھ عجیب ہو رہا ہے، تو بس شاعری کی پیروی کریں!

---

بطخ.  اور یہ نامعلوم ویب سائٹس، ویب سائٹس جو آپ نے پہلے استعمال نہیں کی ہیں، کے بارے میں مشکوک ہونے کے قابل ہے، جو اچانک کہتے ہیں، "ٹھیک ہے، ہم آپ سے گوگل ونڈو میں اپنے گوگل اکاؤنٹ کے ساتھ لاگ ان کرنے کے لیے، یا فیس بک ونڈو میں Facebook کے ساتھ لاگ ان کرنے کے لیے کہیں گے۔ "

یا بھاپ ونڈو میں بھاپ۔

---

ڈوگ  جی ہاں.

مجھے یہاں بی لفظ استعمال کرنے سے نفرت ہے، لیکن یہ اپنی سادگی میں تقریباً شاندار ہے۔

لیکن ایک بار پھر، سی ایس ایس اور اس طرح کی چیزوں کا استعمال کرتے ہوئے پکسل پرفیکٹ میچ کو کھینچنا واقعی مشکل ہوگا۔

---

بطخ.  میرے خیال میں یاد رکھنے کی اہم بات یہ ہے کہ، کیونکہ تخروپن کا ایک حصہ براؤزر کا "کروم" [براؤزر کے یوزر انٹرفیس کے اجزاء کے لیے جرگن] ہے، ایڈریس بار درست نظر آئے گا۔

یہ کامل نظر بھی آسکتا ہے۔

لیکن بات یہ ہے کہ یہ ایڈریس بار نہیں ہے…

…یہ ایک ایڈریس بار کی *تصویر* ہے۔

---

ڈوگ  بالکل!

ٹھیک ہے، وہاں سے محتاط رہیں، سب لوگ!

اور، ان چیزوں کے بارے میں بات کرتے ہوئے جو وہ نظر نہیں آتیں، میں DEADBOLT ransomware، اور QNAP NAS ڈیوائسز کے بارے میں پڑھ رہا ہوں، اور مجھے ایسا لگتا ہے جیسے ہم نے ابھی کچھ عرصہ پہلے اس صحیح کہانی پر بات کی تھی۔

---

بطخ.  ہاں، ہم نے اس کے بارے میں لکھا بدقسمتی سے، اس سال اب تک کئی بار ننگی سیکیورٹی پر۔

یہ ان معاملات میں سے ایک ہے جہاں بدمعاشوں کے لیے جو کام ایک بار ہوا وہ دو بار، تین بار، چار بار، پانچ بار کام کر چکا ہے۔

اور NAS، یا نیٹ ورک منسلک اسٹوریج ڈیوائسز، اگر آپ چاہیں، بلیک باکس سرورز ہیں جنہیں آپ جا کر خرید سکتے ہیں - وہ عام طور پر کسی قسم کا لینکس کرنل چلاتے ہیں۔

خیال یہ ہے کہ ونڈوز لائسنس خریدنے یا لینکس سیکھنے کے بجائے سامبا انسٹال کریں، اسے سیٹ اپ کریں، اپنے نیٹ ورک پر فائل شیئرنگ کرنے کا طریقہ سیکھیں…

…آپ صرف اس ڈیوائس کو پلگ ان کریں اور، "بنگو"، یہ کام کرنا شروع کر دیتا ہے۔

یہ ایک ویب قابل رسائی فائل سرور ہے اور بدقسمتی سے، اگر فائل سرور میں کوئی کمزوری ہے اور آپ نے (حادثے یا ڈیزائن کے ذریعے) اسے انٹرنیٹ پر قابل رسائی بنا دیا ہے، تو بدمعاش اس کمزوری کا فائدہ اٹھا سکتے ہیں، اگر اس میں کوئی موجود ہو۔ وہ NAS ڈیوائس، دور سے۔

وہ آپ کے نیٹ ورک کے لیے کلیدی سٹوریج کی جگہ پر موجود تمام فائلوں کو گھیرنے کے قابل ہو سکتے ہیں، چاہے وہ ہوم نیٹ ورک ہو یا چھوٹا کاروباری نیٹ ورک، اور بنیادی طور پر آپ کو تاوان کے لیے روکتے ہیں اور آپ کے لیپ ٹاپ اور فون جیسے انفرادی آلات پر حملہ کرنے کی فکر کیے بغیر۔ نیٹ ورک

لہذا، انہیں میلویئر سے الجھنے کی ضرورت نہیں ہے جو آپ کے لیپ ٹاپ کو متاثر کرتا ہے، اور انہیں آپ کے نیٹ ورک میں گھسنے اور روایتی رینسم ویئر مجرموں کی طرح گھومنے کی ضرورت نہیں ہے۔

وہ بنیادی طور پر آپ کی تمام فائلوں کو گھماتے ہیں، اور پھر – تاوان کا نوٹ پیش کرنے کے لیے – وہ صرف بدلتے ہیں (مجھے ہنسنا نہیں چاہیے، ڈوگ)… وہ صرف آپ کے NAS ڈیوائس پر لاگ ان پیج کو تبدیل کرتے ہیں۔

لہذا، جب آپ کو معلوم ہوتا ہے کہ آپ کی تمام فائلیں گڑبڑ ہیں اور آپ سوچتے ہیں، "یہ مضحکہ خیز ہے"، اور آپ اپنے ویب براؤزر کے ساتھ چھلانگ لگاتے ہیں اور وہاں سے جڑ جاتے ہیں، تو آپ کو پاس ورڈ کا اشارہ نہیں ملتا!

آپ کو ایک انتباہ ملتا ہے: "آپ کی فائلوں کو DEADBOLT کے ذریعہ لاک کر دیا گیا ہے۔ کیا ہوا؟ آپ کی تمام فائلیں انکرپٹ ہو چکی ہیں۔

اور پھر ادائیگی کرنے کے طریقے سے متعلق ہدایات آئیں۔

---

ڈوگ  اور انہوں نے یہ پیشکش بھی کی ہے کہ QNAP ہر ایک کے لیے فائلوں کو کھولنے کے لیے ایک شاہی رقم جمع کر سکتا ہے۔

---

بطخ.  میرے پاس اسکرین شاٹس ہیں۔ تازہ ترین مضمون nakedsecurity.sophos.com شو پر:

1. 0.03 بٹ کوائنز پر انفرادی ڈکرپشنز، اصل میں تقریباً US$1200 جب یہ چیز پہلے پھیل گئی، اب تقریباً US$600۔

2. ایک BTC 5.00 آپشن، جہاں QNAP کو کمزوری کے بارے میں بتایا جاتا ہے تاکہ وہ اسے ٹھیک کر سکیں، جس کی واضح طور پر وہ ادائیگی نہیں کریں گے کیونکہ وہ پہلے سے ہی کمزوری کے بارے میں جانتے ہیں۔ (اسی وجہ سے اس خاص معاملے میں ایک پیچ ہے۔)

3. جیسا کہ آپ کہتے ہیں، BTC 50 آپشن موجود ہے (جو کہ اب $1m ہے؛ جب یہ پہلی کہانی ٹوٹی تو یہ $2m تھی)۔ بظاہر اگر QNAP کسی ایسے شخص کی طرف سے $1,000,000 ادا کرتا ہے جو شاید متاثر ہوا ہو، بدمعاش ایک ماسٹر ڈکرپشن کلید فراہم کریں گے، اگر آپ کو کوئی اعتراض نہ ہو۔

اور اگر آپ ان کے جاوا اسکرپٹ کو دیکھیں تو یہ درحقیقت یہ چیک کرتا ہے کہ آیا آپ نے جو پاس ورڈ ڈالا ہے وہ *دو* ہیشز میں سے ایک سے میل کھاتا ہے۔

ایک آپ کے انفیکشن کے لیے منفرد ہے – بدمعاش اسے ہر بار اپنی مرضی کے مطابق بناتے ہیں، اس لیے جاوا اسکرپٹ میں ہیش ہے، اور پاس ورڈ نہیں دیتا۔

اور ایک اور ہیش ہے کہ، اگر آپ اسے کریک کر سکتے ہیں، تو ایسا لگتا ہے جیسے یہ دنیا میں ہر ایک کے لیے ماسٹر پاس ورڈ بازیافت کر لے گا…

… مجھے لگتا ہے کہ یہ صرف بدمعاش ہر ایک کی ناک پر انگوٹھا لگا رہے تھے۔

---

ڈوگ  یہ بات بھی دلچسپ ہے کہ ہر صارف کے لیے $600 بٹ کوائن کا تاوان ہے… میں یہ نہیں کہنا چاہتا کہ "اشتعال انگیز نہیں"، لیکن اگر آپ اس آرٹیکل کے تبصرے کے سیکشن میں دیکھیں، تو بہت سے لوگ ایسے ہیں جو نہ صرف ادائیگی کرنے کی بات کر رہے ہیں۔ تاوان…

…لیکن آئیے یہاں اپنے قارئین کے سوال کی طرف چلتے ہیں۔

ریڈر مائیکل اس حملے کے ساتھ اپنا تجربہ بتاتا ہے، اور وہ اکیلا نہیں ہے – اس تبصرے کے سیکشن میں اور بھی لوگ ہیں جو اسی طرح کی چیزوں کی اطلاع دے رہے ہیں۔

ایک دو تبصروں کے دوران، وہ کہتے ہیں (میں اس سے ایک قسم کا واضح تبصرہ کرنے جا رہا ہوں):

"میں اس سے گزر چکا ہوں، اور تاوان ادا کرنے کے بعد ٹھیک نکل آیا ہوں۔ میری ڈکرپشن کلید کے ساتھ مخصوص ریٹرن کوڈ تلاش کرنا مشکل ترین حصہ تھا۔ سب سے قیمتی سبق سیکھا۔"

اپنے اگلے تبصرے میں وہ ان تمام اقدامات سے گزرتا ہے جو اسے درحقیقت چیزوں کو دوبارہ کام کرنے کے لیے اٹھانا پڑا۔

اور وہ اس کے ساتھ اترتا ہے:

"میں یہ کہتے ہوئے شرمندہ ہوں کہ میں IT میں کام کرتا ہوں، 20+ سال سے ہوں، اور مجھے اس QNAP uPNP بگ نے کاٹ لیا ہے۔ اس سے گزر کر خوشی ہوئی۔"

---

بطخ.  واہ، ہاں، یہ کافی بیان ہے، ہے نا؟

تقریباً گویا وہ کہہ رہا ہے، "میں ان بدمعاشوں کے خلاف اپنے آپ کی حمایت کرتا، لیکن میں شرط ہار گیا اور اس کی قیمت مجھے $600 اور وقت کا پورا بوجھ پڑا۔"

عارض!

---

ڈوگ  اس کا کیا مطلب ہے۔ "اس کی تفصیل کی کلید کے ساتھ مخصوص واپسی کوڈ"?

---

بطخ.  آہ، ہاں، یہ ایک بہت ہی دلچسپ… بہت ہی دلچسپ ہے۔ (میں یہاں حیرت انگیز سلیش شاندار نہ کہنے کی کوشش کر رہا ہوں۔) [ہنسی]

میں C-لفظ استعمال نہیں کرنا چاہتا، اور کہتا ہوں کہ یہ "ہوشیار" ہے، لیکن اس کی طرح ہے۔

آپ ان بدمعاشوں سے کیسے رابطہ کرتے ہیں؟ کیا انہیں ای میل ایڈریس کی ضرورت ہے؟ کیا اس کا سراغ لگایا جا سکتا ہے؟ کیا انہیں ڈارک ویب سائٹ کی ضرورت ہے؟

یہ بدمعاش نہیں کرتے۔

کیونکہ، یاد رکھیں، وہاں ایک ڈیوائس ہے، اور جب اس ڈیوائس پر حملہ کرتا ہے تو میلویئر کو اپنی مرضی کے مطابق اور پیک کیا جاتا ہے تاکہ اس میں ایک منفرد بٹ کوائن ایڈریس ہو۔

اور، بنیادی طور پر، آپ ان بدمعاشوں کے بٹ کوائن کی مخصوص رقم ان کے بٹوے میں ادا کرکے ان سے بات چیت کرتے ہیں۔

میرا اندازہ ہے کہ اسی لیے انہوں نے رقم کو نسبتاً معمولی رکھا ہے…

…میں یہ تجویز نہیں کرنا چاہتا کہ ہر ایک کے پاس تاوان پر پھینکنے کے لیے $600 ہیں، لیکن ایسا نہیں ہے کہ آپ یہ فیصلہ کرنے کے لیے سامنے بات چیت کر رہے ہوں کہ آیا آپ $100,000 یا $80,000 یا $42,000 ادا کرنے جا رہے ہیں۔

آپ انہیں رقم ادا کرتے ہیں… کوئی بات چیت نہیں، کوئی چیٹ نہیں، کوئی ای میل نہیں، کوئی فوری پیغام رسانی نہیں، کوئی سپورٹ فورم نہیں۔

آپ صرف بٹ کوائن کے مقرر کردہ پتے پر رقم بھیجتے ہیں، اور ظاہر ہے کہ ان کے پاس ان بٹ کوائن پتوں کی فہرست ہوگی جن کی وہ نگرانی کر رہے ہیں۔

جب رقم پہنچ جاتی ہے، اور وہ دیکھتے ہیں کہ یہ پہنچ گیا ہے، وہ جانتے ہیں کہ آپ نے (اور آپ اکیلے) ادائیگی کر دی ہے، کیونکہ وہ والیٹ کوڈ منفرد ہے۔

اور پھر وہ وہی کرتے ہیں، مؤثر طریقے سے (میں دنیا کے سب سے بڑے ایئر کوٹس استعمال کر رہا ہوں) بلاکچین پر ایک "ریفنڈ"، بٹ کوائن کے لین دین کا استعمال کرتے ہوئے، صفر ڈالر کی رقم، ڈوگ۔

اور وہ جواب، وہ لین دین، اصل میں ایک تبصرہ بھی شامل ہے۔ (یاد رکھیں پولی نیٹ ورکس ہیک? وہ ایتھرئم بلاکچین تبصرے استعمال کرنے کی کوشش کر رہے تھے اور کہہ رہے تھے، "پیارے، مسٹر وائٹ ہیٹ، کیا آپ ہمیں ساری رقم واپس نہیں کریں گے؟")

لہذا آپ بدمعاشوں کو ادائیگی کرتے ہیں، اس طرح یہ پیغام دیتے ہیں کہ آپ ان کے ساتھ مشغول ہونا چاہتے ہیں، اور وہ آپ کو $0 کے علاوہ ایک 32-ہیکساڈیسیمل کریکٹر کمنٹ واپس کرتے ہیں…

…جو کہ 16 خام بائنری بائٹس ہے، جو کہ 128 بٹ ڈکرپشن کلید ہے جس کی آپ کو ضرورت ہے۔

اس طرح آپ ان سے بات کرتے ہیں۔

اور، بظاہر، انہوں نے اسے ایک T تک پہنچا دیا ہے - جیسا کہ مائیکل نے کہا، اسکام کام کرتا ہے۔

اور مائیکل کے پاس صرف ایک مسئلہ یہ تھا کہ وہ بٹ کوائنز خریدنے، یا بلاکچین ڈیٹا کے ساتھ کام کرنے اور اس ریٹرن کوڈ کو نکالنے کا عادی نہیں تھا، جو بنیادی طور پر لین دین کی "ادائیگی" میں تبصرہ ہے جو اسے $0 میں واپس ملتا ہے۔

لہذا، وہ ٹیکنالوجی کو بہت ہی منحرف طریقوں سے استعمال کر رہے ہیں۔

بنیادی طور پر، وہ بلاکچین کو ادائیگی کی گاڑی اور مواصلاتی ٹول کے طور پر استعمال کر رہے ہیں۔

---

ڈوگ  ٹھیک ہے، واقعی ایک بہت ہی دلچسپ کہانی۔

ہم اس پر نظر رکھیں گے۔

اور بہت بہت شکریہ، مائیکل، اس تبصرے میں بھیجنے کے لیے۔

اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔

آپ tips@sophos.com پر ای میل کر سکتے ہیں، آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، یا آپ ہمیں سوشل پر مار سکتے ہیں: @NakedSecurity۔

یہ ہمارا آج کا شو ہے – سننے کا بہت بہت شکریہ۔

پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو یاد دلا رہا ہوں، اگلی بار تک،...

---

دونوں  سلامت رہیں۔

[میوزیکل موڈیم]