S3 Ep108: آپ نے پاپ کارن ٹن میں تین بلین ڈالر چھپائے ہیں؟

کسی بھی مقام پر جانے کے لیے نیچے دی گئی ساؤنڈ ویوز پر کلک کریں اور ڈریگ کریں۔ آپ بھی براہ راست سنیں ساؤنڈ کلاؤڈ پر۔

ڈوگ  ٹویٹر گھوٹالے، پیچ منگل، اور مجرموں کو ہیک کرنے والے مجرم.

یہ سب اور بہت کچھ ننگی سیکیورٹی پوڈ کاسٹ پر۔

[میوزیکل موڈیم]

پوڈ کاسٹ میں خوش آمدید، سب۔

میں ڈوگ ہوں۔

وہ پال ڈکلن ہے۔

پال، آج آپ کیسے کر رہے ہیں؟

---

بطخ.  بہت اچھا، ڈوگ.

ہمارے یہاں انگلینڈ میں چاند گرہن نہیں ہوا تھا، لیکن میں نے بادلوں کے ایک چھوٹے سے وقفے کے ذریعے *پورے* پورے چاند کی ایک مختصر سی جھلک دیکھی جو اس وقت پوری بادل کی تہہ میں واحد سوراخ کے طور پر ابھری جب میں باہر گیا ایک نظر ہے!

لیکن ہمارے پاس وہ نارنجی چاند نہیں تھا جیسا کہ آپ لوگوں نے میساچوسٹس میں کیا تھا۔

---

ڈوگ  آئیے شو شروع کرتے ہیں۔ ٹیک ہسٹری میں یہ ہفتہ… یہ واپس جاتا ہے۔

اس ہفتے، 08 نومبر 1895 کو، جرمن فزکس کے پروفیسر ولہیلم رونٹگن نے تابکاری کی ایک ابھی تک دریافت نہ ہونے والی شکل سے ٹھوکر کھائی جس کی وجہ سے انہوں نے کہا کہ تابکاری کو محض "X" کہا جائے۔

جیسا کہ ایکسرے میں ہوتا ہے۔

اس کے بارے میں… ایکس رے کی حادثاتی دریافت؟

---

بطخ.  کافی حیرت انگیز

مجھے یاد ہے کہ میری ماں نے مجھے کہا تھا: 1950 کی دہائی میں (ریاستوں میں ایسا ہی ہونا چاہیے)، بظاہر، جوتوں کی دکانوں میں…

---

ڈوگ  [جانتا ہے کہ کیا آ رہا ہے] جی ہاں! [ہنسی]

---

بطخ.  لوگ اپنے بچوں کو اندر لے جائیں گے… آپ اس مشین میں کھڑے ہوں گے، جوتے پہنیں گے اور صرف یہ کہنے کے بجائے، "چلیں، کیا وہ تنگ ہیں؟ کیا وہ چوٹکی لگاتے ہیں؟"، آپ ایک ایکس رے مشین میں کھڑے تھے، جس نے بنیادی طور پر آپ کو ایکس رے تابکاری میں نہلایا اور ایک لائیو تصویر لی اور کہا، "اوہ ہاں، وہ صحیح سائز کے ہیں۔"

---

ڈوگ  ہاں، آسان اوقات۔ تھوڑا خطرناک، لیکن…

---

بطخ.  تھوڑا خطرناک؟

کیا آپ ان لوگوں کا تصور کر سکتے ہیں جو جوتوں کی دکانوں میں کام کرتے تھے؟

وہ ہر وقت ایکسرے میں نہاتے ہوں گے۔

---

ڈوگ  بالکل… ٹھیک ہے، آج ہم قدرے محفوظ ہیں۔

اور حفاظت کے موضوع پر، مہینے کا پہلا منگل مائیکروسافٹ کا پیچ منگل ہے۔

So ہم نے کیا سیکھا یہ پیچ منگل کو یہاں نومبر 2022 میں؟

ایکسچینج 0 دن طے شدہ (آخری طور پر) - علاوہ 4 بالکل نیا پیچ منگل 0 دن!

---

بطخ.  ٹھیک ہے، انتہائی دلچسپ بات، ڈوگ، یہ ہے کہ تکنیکی طور پر پیچ منگل نے ایک نہیں، دو نہیں، تین نہیں… بلکہ *چار* صفر دن طے کیے ہیں۔

لیکن درحقیقت وہ پیچ جو آپ منگل کو مائیکروسافٹ پروڈکٹس کے لیے حاصل کر سکتے ہیں ان میں *چھ* صفر دن مقرر کیے گئے ہیں۔

ان ایکسچینج صفر دنوں کو یاد رکھیں جو بدنام زمانہ طور پر پچھلے پیچ منگل کو پیچ نہیں کیے گئے تھے: CVE-2002-41040 اور CVE-2022-41082، جس کے نام سے جانا جاتا ہے ProxyNotShell?

S3 Ep102.5: "ProxyNotShell" ایکسچینج کیڑے – ایک ماہر بولتا ہے [آڈیو + ٹیکسٹ]

ٹھیک ہے، وہ ٹھیک ہو گئے، لیکن بنیادی طور پر ایک علیحدہ "سائیڈ لائن" میں منگل کو پیچ کے لیے: ایکسچینج نومبر 2022 SU، یا سافٹ ویئر اپ ڈیٹ، جو صرف یہ کہتا ہے:

نومبر 2022 کے ایکسچینج سافٹ ویئر اپڈیٹس میں 29 ستمبر 2022 کو عوامی طور پر اطلاع دی گئی صفر دن کی کمزوریوں کے لیے اصلاحات شامل ہیں۔

آپ کو صرف ایکسچینج کو اپ گریڈ کرنا ہے۔

جی، شکریہ مائیکروسافٹ… مجھے لگتا ہے کہ ہم جانتے تھے کہ جب پیچ آخرکار سامنے آئے تو ہمیں یہی کرنا پڑے گا!

لہذا، وہ *باہر* ہیں اور دو صفر دن مقرر ہیں، لیکن وہ نئے نہیں ہیں، اور وہ تکنیکی طور پر "پیچ منگل" والے حصے میں نہیں ہیں۔

وہاں، ہمارے پاس چار دیگر صفر دن مقرر ہیں۔

اور اگر آپ پیچ کو ترجیح دینے میں یقین رکھتے ہیں، تو ظاہر ہے کہ وہ وہی ہیں جن سے آپ سب سے پہلے نمٹنا چاہتے ہیں، کیونکہ کوئی پہلے سے جانتا ہے کہ ان کے ساتھ برا کام کیسے کرنا ہے۔

وہ سیکیورٹی بائی پاس سے لے کر استحقاق کی دو بلندیوں اور ایک ریموٹ کوڈ پر عمل درآمد تک ہیں۔

لیکن اس سے بھی زیادہ ہیں۔ کل 60 پیچ، اور اگر آپ متاثرہ مصنوعات اور ونڈوز کے اجزاء کی مجموعی فہرست پر نظر ڈالتے ہیں، تو ایک بہت بڑی فہرست ہے، ہمیشہ کی طرح، جو ونڈوز کے ہر جزو/مصنوعات کو لے لیتی ہے جس کے بارے میں آپ نے سنا ہے، اور بہت سے جن کے بارے میں آپ نے شاید نہیں سنا ہے۔

مائیکروسافٹ 62 کمزوریوں کو پیچ کرتا ہے، بشمول کربروس، اور مارک آف دی ویب، اور ایکسچینج…

تو، ہمیشہ کی طرح: تاخیر نہ کریں/آج ہی کریں۔، ڈگلس!

---

ڈوگ  بہت اچھا.

آئیے اب بات کرتے ہیں کافی تاخیر کے بارے میں…

آپ کے بارے میں ایک بہت ہی دلچسپ کہانی ہے۔ سلک روڈ ڈرگ مارکیٹ، اور ایک یاد دہانی کہ مجرموں کا مجرموں سے چوری کرنا اب بھی ایک جرم ہے، یہاں تک کہ اگر دس سال بعد آپ واقعی اس کے لیے پکڑے جائیں۔

سلک روڈ ڈرگ مارکیٹ کے ہیکر نے اعتراف جرم کرلیا، اسے 20 سال قید کا سامنا ہے۔

---

بطخ.  ہاں، یہاں تک کہ وہ لوگ جو سائبر سیکیورٹی یا آن لائن جانے کے لیے بالکل نئے ہیں، انہوں نے شاید "سلک روڈ" کے بارے میں سنا ہو گا، شاید پہلا معروف، بڑا وقت، وسیع پیمانے پر استعمال ہونے والا ڈارک ویب مارکیٹ پلیس جہاں بنیادی طور پر کچھ بھی جاتا ہے۔

لہذا، یہ سب 2013 میں شعلوں میں چلا گیا۔

کیونکہ بانی، اصل میں صرف کے طور پر جانا جاتا ہے ڈریڈ سمندری ڈاکو رابرٹs، لیکن بالآخر ہونے کا انکشاف ہوا۔ راس البرچٹ… اس کی ناقص آپریشنل سیکیورٹی اس کی سرگرمیوں کو جوڑنے کے لیے کافی تھی۔

سلک روڈ کے بانی راس البرچٹ کو بغیر پیرول کے زندگی مل گئی۔

نہ صرف اس کی آپریشنل سیکیورٹی بہت اچھی نہیں تھی، ایسا لگتا ہے کہ 2012 کے آخر میں، ان کے پاس (کیا آپ اس پر یقین کر سکتے ہیں، ڈوگ؟) کرپٹو کرنسی کی ادائیگی کی پروسیسنگ غلطی تھی…

---

ڈوگ  [مذاق خوف میں ہانپنا]

---

بطخ.  …اس قسم کی جسے ہم نے اس کے بعد سے کئی بار دہرایا ہے، جو کہ صحیح طور پر ڈبل انٹری اکاؤنٹنگ نہیں کر پا رہا ہے، جہاں ہر ڈیبٹ کے لیے ایک متعلقہ کریڈٹ ہوتا ہے اور اس کے برعکس۔

اور اس حملہ آور نے دریافت کیا، اگر آپ نے اپنے اکاؤنٹ میں کچھ رقم ڈالی اور پھر بہت جلد اسے دوسرے اکاؤنٹس میں ادا کر دیا، تو آپ واقعی میں وہی بٹ کوائنز پانچ گنا (یا اس سے بھی زیادہ) ادا کر سکتے ہیں اس سے پہلے کہ سسٹم کو یہ احساس ہو کہ پہلا ڈیبٹ چلا گیا ہے۔ کے ذریعے

لہذا آپ بنیادی طور پر کچھ رقم ڈال سکتے ہیں اور پھر اسے بار بار نکال سکتے ہیں، اور ایک بڑا ذخیرہ حاصل کر سکتے ہیں…

…اور پھر آپ اس میں واپس جا سکتے ہیں جسے آپ "کرپٹو کرنسی ملنگ لوپ" کہہ سکتے ہیں۔

اور یہ اندازہ لگایا گیا ہے… تفتیش کاروں کو یقین نہیں تھا کہ اس نے اپنے ہی 200 اور 2000 بٹ کوائنز کے ساتھ شروعات کی تھی (چاہے اس نے انہیں خریدا ہو یا میرا، ہم نہیں جانتے)، اور اس نے بہت جلد ان میں تبدیل کر دیا، اس کا انتظار کریں، ڈوگ: 50,0000 بٹ کوائنز!

---

ڈوگ  واہ!

---

بطخ.  50,000 سے زیادہ بٹ کوائنز، بالکل اسی طرح۔

اور پھر، واضح طور پر یہ سوچتے ہوئے کہ کسی کو نظر آنے والا ہے، اس نے 50,000 بٹ کوائنز کے ساتھ آگے بڑھتے ہوئے کاٹ کر بھاگا۔

…ہر ایک کی قیمت ایک حیرت انگیز $12 ہے، جو چند سال پہلے ایک سینٹ کے حصے سے زیادہ ہے۔ [ہنسی]

تو اس نے $600,000 کے ساتھ کام کیا، بالکل اسی طرح، ڈوگ۔

[ڈرامائی وقفہ]

نو سال بعد…

[ہنسی]

…تقریباً *بالکل* نو سال بعد، جب اسے پکڑا گیا اور وارنٹ کے تحت اس کے گھر پر چھاپہ مارا گیا، پولیس والوں نے تلاشی لی اور اس کی الماری میں کمبل کا ڈھیر پایا، جس کے نیچے پاپ کارن کا ٹن چھپا ہوا تھا۔

اپنے پاپ کارن رکھنے کے لیے عجیب جگہ۔

جس کے اندر ایک طرح کا کمپیوٹرائزڈ کولڈ پرس تھا۔

جس کے اندر بٹ کوائنز کا ایک بڑا حصہ تھا!

جس وقت اسے پکڑا گیا، بٹ کوائنز $65,535 (یا 2¹⁶-1) ہر ایک۔

وہ عبوری طور پر ایک ہزار گنا سے زیادہ بڑھ گئے تھے۔

تو، اس وقت، یہ اب تک کا سب سے بڑا کریپٹو کوائن بکسٹ تھا!

نو سال بعد، بظاہر اپنے ناجائز منافع کو ضائع کرنے سے قاصر تھا، شاید ڈر گیا کہ اگر اس نے انہیں ایک ٹمبلر میں دھکیلنے کی کوشش بھی کی تو ساری انگلیاں اس کی طرف اٹھیں گی…

…اس کے پاس یہ تمام $3 بلین مالیت کے بٹ کوائنز ہیں جو نو سالوں سے پاپ کارن ٹن میں بیٹھے ہیں!

---

ڈوگ  میری نیکی.

---

بطخ.  تو اتنے سالوں تک اس خوفناک خزانے پر بیٹھ کر یہ سوچتا رہا کہ کیا وہ پکڑا جائے گا، اب وہ یہ سوچ کر رہ گیا کہ میں کب تک جیل میں جاؤں گا؟

اور اس الزام کی زیادہ سے زیادہ سزا جو اسے درپیش ہے؟

20 سال، ڈوگ.

---

ڈوگ  ایک اور دلچسپ کہانی ابھی چل رہی ہے۔ اگر آپ حال ہی میں ٹویٹر پر رہے ہیں، تو آپ کو معلوم ہوگا کہ وہاں بہت زیادہ سرگرمی ہے۔ یہ سفارتی طور پر کہنا…

---

بطخ.  [کم سے درمیانے درجے کی کوالٹی بوب ڈیلان کی نقالی] ٹھیک ہے، وقت، وہ بدل رہے ہیں۔

---

ڈوگ  …بشمول ایک موقع پر تصدیق شدہ نیلے چیک کے لیے $20 چارج کرنے کا خیال، جو یقیناً تقریباً فوراً ہی کچھ گھوٹالوں کا اشارہ کیا.

ٹویٹر بلیو بیج ای میل گھوٹالے - ان کے لئے مت گریں!

---

بطخ.  یہ صرف ایک یاد دہانی ہے، ڈوگ، کہ جب بھی کوئی ایسی چیز ہوتی ہے جس نے بہت زیادہ دلچسپی لی ہو، بدمعاش ضرور اس کی پیروی کریں گے۔

اور اس کی بنیاد یہ تھی، "ارے، جلدی کیوں نہیں آتے؟ اگر آپ کو پہلے ہی نیلے رنگ کا نشان مل گیا ہے تو اندازہ لگائیں کیا؟ اگر آپ پہلے سے رجسٹر کرتے ہیں تو آپ کو ماہانہ $19.99 ادا کرنے کی ضرورت نہیں ہوگی۔ ہم آپ کو رکھنے دیں گے۔‘‘

ہم جانتے ہیں کہ یہ ایلون مسک کا خیال نہیں تھا، جیسا کہ اس نے کہا، لیکن یہ اس قسم کی چیز ہے جو بہت سے کاروبار کرتے ہیں، کیا وہ نہیں؟

اگر آپ سروس کے ساتھ رہیں گے تو بہت ساری کمپنیاں آپ کو کسی نہ کسی طرح کا فائدہ دیں گی۔

تو یہ مکمل طور پر ناقابل یقین نہیں ہے۔

جیسا کہ آپ کہتے ہیں… آپ نے اسے کیا دیا؟

B-مائنس، کیا یہ تھا؟

---

ڈوگ  میں ابتدائی ای میل کو B-مائنس دیتا ہوں… اگر آپ اسے جلدی سے پڑھ لیں تو شاید آپ کو دھوکہ دیا جائے، لیکن گرامر کے کچھ مسائل ہیں۔ چیزیں ٹھیک نہیں لگتی ہیں۔

اور پھر ایک بار جب آپ کلک کریں گے، میں لینڈنگ پیجز کو C-مائنس دوں گا۔

یہ بھی dicier ہو جاتا ہے.

---

بطخ.  یہ کہیں 5/10 اور 6/10 کے درمیان ہے؟

---

ڈوگ  ہاں، چلو یہ کہتے ہیں۔

اور ہمارے پاس کچھ مشورے ہیں، تاکہ اگر یہ A-plus اسکینڈل ہی کیوں نہ ہو، اس سے کوئی فرق نہیں پڑے گا کیونکہ آپ اسے بہرحال ناکام بنا سکیں گے!

میرے ذاتی پسندیدہ کے ساتھ شروع کرنا: پاس ورڈ مینیجر استعمال کریں۔.

جب گھوٹالوں کی بات آتی ہے تو پاس ورڈ مینیجر بہت سارے مسائل حل کرتا ہے۔

---

بطخ.  یہ کرتا ہے.

پاس ورڈ مینیجر کے پاس انسان جیسی کوئی ذہانت نہیں ہوتی جو اس حقیقت سے گمراہ ہو کہ خوبصورت تصویر درست ہے، یا لوگو پرفیکٹ ہے، یا ویب فارم بالکل اسی فونٹ کے ساتھ اسکرین پر بالکل صحیح پوزیشن میں ہے۔ ، تو آپ اسے پہچانتے ہیں۔

یہ صرف اتنا جانتا ہے: "اس سائٹ کے بارے میں پہلے کبھی نہیں سنا تھا۔"

---

ڈوگ  اور یقینا، اگر ہو سکے تو 2FA کو آن کریں۔.

اگر ممکن ہو تو ہمیشہ تصدیق کا دوسرا عنصر شامل کریں۔

---

بطخ.  یقینا، یہ ضروری نہیں کہ آپ کو اپنے آپ سے بچائے۔

اگر آپ جعلی سائٹ پر جاتے ہیں اور آپ نے فیصلہ کیا ہے، "ارے، یہ پکسل پرفیکٹ ہے، یہ حقیقی سودا ہونا چاہیے"، اور آپ لاگ ان کرنے کے لیے پرعزم ہیں، اور آپ نے اپنا صارف نام اور پاس ورڈ پہلے ہی ڈال دیا ہے، اور پھر یہ آپ سے 2FA کے عمل سے گزرنے کو کہتا ہے…

…آپ کے ایسا کرنے کا بہت امکان ہے۔

تاہم، یہ آپ کو "اسٹاپ" کرنے کے لیے تھوڑا سا وقت دیتا ہے۔ سوچو۔ جڑیں۔" چیز، اور اپنے آپ سے کہو، "رکو، میں یہاں کیا کر رہا ہوں؟"

لہذا، ایک طرح سے، 2FA متعارف کرانے والی تھوڑی سی تاخیر درحقیقت نہ صرف بہت کم پریشانی ہو سکتی ہے، بلکہ آپ کے سائبر سکیورٹی کے ورک فلو کو حقیقت میں بہتر بنانے کا ایک طریقہ بھی ہو سکتا ہے… صرف اتنی رفتار کے ٹکرانے کو متعارف کروا کر جس سے آپ سائبر سکیورٹی لینے کی طرف مائل ہیں۔ کہ تھوڑا سا زیادہ سنجیدگی سے.

تو میں نہیں دیکھ رہا ہوں کہ واقعی، منفی پہلو کیا ہے۔

---

ڈوگ  اور یقیناً، ایک اور حکمت عملی جس کی پابندی کرنا بہت سارے لوگوں کے لیے مشکل ہے، لیکن بہت مؤثر ہے، وہ ہے ای میل میں لاگ ان لنکس اور ایکشن بٹن سے گریز کریں۔.

لہذا اگر آپ کو ای میل موصول ہوتی ہے تو صرف بٹن پر کلک نہ کریں… خود سائٹ پر جائیں اور آپ بہت جلد بتا سکیں گے کہ آیا وہ ای میل جائز تھی یا نہیں۔

---

بطخ.  بنیادی طور پر، اگر آپ ابتدائی خط و کتابت پر مکمل طور پر بھروسہ نہیں کر سکتے ہیں، تو آپ اس میں موجود کسی بھی تفصیلات پر بھروسہ نہیں کر سکتے، چاہے یہ وہ لنک ہے جس پر آپ کلک کرنے جا رہے ہیں، جس فون نمبر پر آپ کال کرنے جا رہے ہیں، آپ کا ای میل ایڈریس۔ ان سے رابطہ کرنے جا رہے ہیں، انسٹاگرام اکاؤنٹ جس پر آپ ڈی ایم بھیجنے جا رہے ہیں، چاہے وہ کچھ بھی ہو۔

ای میل میں جو ہے اسے استعمال نہ کریں… وہاں اپنا راستہ خود تلاش کریں، اور آپ اس طرح کے بہت سے گھوٹالوں کو شارٹ سرکٹ کریں گے۔

---

ڈوگ  اور آخر میں، آخری لیکن کم از کم نہیں… یہ عام فہم ہونا چاہیے، لیکن ایسا نہیں ہے: غیر یقینی پیغام بھیجنے والے سے کبھی نہ پوچھیں کہ کیا وہ جائز ہیں۔

جواب نہ دیں اور کہیں، "ارے، کیا آپ واقعی ٹویٹر ہیں؟"

---

بطخ.  جی ہاں، آپ بالکل ٹھیک کہہ رہے ہیں۔

کیونکہ میرا پچھلا مشورہ، "ای میل میں دی گئی معلومات پر بھروسہ نہ کریں"، جیسے کہ ان کے فون نمبر پر فون نہ کریں… کچھ لوگ جانے کے لیے لالچ میں آتے ہیں، "ٹھیک ہے، میں فون نمبر پر کال کروں گا اور دیکھوں گا کہ آیا یہ واقعی وہ ہے. کیونکہ، ظاہر ہے، اگر باورچی کا جواب ہے، تو وہ اپنے اصلی نام بتانے جا رہے ہیں۔

---

ڈوگ  جیسا کہ ہم ہمیشہ کہتے ہیں: اگر شک ہو/ اسے نہ دیں۔.

اور یہ ایک اچھی احتیاطی کہانی ہے، یہ اگلی کہانی: جب سیکیورٹی اسکینز، جو کہ سیکیورٹی کے جائز ٹولز ہیں، ان سے زیادہ ظاہر کریں۔، پھر کیا ہوتا ہے؟

عوامی یو آر ایل اسکیننگ ٹولز - جب سیکیورٹی عدم تحفظ کا باعث بنتی ہے۔

---

بطخ.  یہ جرمنی میں Fabian Bräunlein کے نام سے ایک مشہور محقق ہے… ہم اس سے پہلے بھی ایک دو بار اسے نمایاں کر چکے ہیں۔

وہ ایک تفصیلی رپورٹ کے ساتھ واپس آیا ہے جس کا عنوان ہے۔ urlscan.io's SOAR اسپاٹ: چیٹی سیکیورٹی ٹولز نجی ڈیٹا کو لیک کرتے ہیں۔.

اور اس صورت میں، یہ ہے urlscan.io، ایک ویب سائٹ جسے آپ مفت میں استعمال کر سکتے ہیں (یا بطور معاوضہ سروس) جہاں آپ URL، یا ڈومین نام، یا IP نمبر، یا جو کچھ بھی ہے، جمع کر سکتے ہیں، اور آپ تلاش کر سکتے ہیں، "کمیونٹی کیا جانتی ہے اس بارے میں؟"

اور یہ وہ مکمل URL ظاہر کرے گا جس کے بارے میں دوسرے لوگوں نے پوچھا تھا۔

اور یہ صرف وہ چیزیں نہیں ہیں جنہیں لوگ اپنی مرضی سے کاپی پیسٹ کرتے ہیں۔

بعض اوقات، ان کا ای میل، مثال کے طور پر، کسی تھرڈ پارٹی فلٹرنگ ٹول سے گزر رہا ہو گا جو خود یو آر ایل نکالتا ہے، گھر پر کال کرتا ہے۔ urlscan.io، تلاش کرتا ہے، نتیجہ حاصل کرتا ہے اور اس کا استعمال یہ فیصلہ کرنے کے لیے کرتا ہے کہ آیا ردی، اسپام بلاک کرنا، یا پیغام کو منتقل کرنا ہے۔

اور اس کا مطلب یہ ہے کہ بعض اوقات، اگر یو آر ایل میں خفیہ یا نیم خفیہ ڈیٹا، ذاتی طور پر قابل شناخت معلومات شامل ہوتی ہیں، تو دوسرے لوگ جنہوں نے ابھی کچھ ہی عرصے میں صحیح ڈومین نام کی تلاش کی تھی، وہ تمام یو آر ایل دیکھیں گے جن کی تلاش کی گئی تھی، بشمول وہ چیزیں جو URL میں ہو سکتی ہیں۔

تم جانتے ہو، پسند ہے blahblah?username=doug&passwordresetcode= اس کے بعد لمبا سٹرنگ ہیکساڈیسیمل حروف، وغیرہ۔

اور Bräunlein اس قسم کے URLs کی ایک دلچسپ فہرست لے کر آئے، خاص طور پر وہ جو ای میلز میں ظاہر ہو سکتے ہیں، جو معمول کے مطابق کسی تیسرے فریق کو فلٹرنگ کے لیے بھیجے جا سکتے ہیں اور پھر تلاش کے لیے انڈیکس کیے جا سکتے ہیں۔

اس نے جس قسم کی ای میلز کا اندازہ لگایا تھا وہ یقینی طور پر قابل استعمال تھیں، لیکن ان تک محدود نہیں تھیں: اکاؤنٹ بنانے کے لنکس؛ ایمیزون گفٹ ڈیلیوری لنکس؛ API کیز؛ DocuSign پر دستخط کرنے کی درخواستیں؛ ڈراپ باکس فائل کی منتقلی؛ پیکیج ٹریکنگ؛ پاس ورڈ ری سیٹ؛ پے پال رسیدیں؛ گوگل ڈرائیو دستاویز کا اشتراک؛ شیئرپوائنٹ کی دعوتیں؛ اور نیوز لیٹر ان سبسکرائب لنکس۔

SharePoint، Google Drive، PayPal، وغیرہ پر انگلیاں نہ اٹھانا۔

یہ صرف ان URLs کی مثالیں تھیں جو اس نے دیکھی تھیں جو اس طرح سے ممکنہ طور پر استحصال کے قابل تھیں۔

---

ڈوگ  ہمیں اس مضمون کے آخر میں کچھ مشورے ملے ہیں، جو کہ ابلتے ہیں: Bräunlein کی رپورٹ پڑھیں؛ پڑھیں urlscan.ioکی بلاگ پوسٹ؛ اپنا ایک کوڈ کا جائزہ لیں؛ اگر آپ کے پاس کوڈ ہے جو آن لائن سیکیورٹی تلاش کرتا ہے۔ جانیں کہ آن لائن گذارشات کے لیے رازداری کی کیا خصوصیات موجود ہیں؛ اور، اہم بات یہ ہے کہ اگر آپ کسی آن لائن سروس کو بدمعاش ڈیٹا دیکھتے ہیں تو اس کی اطلاع کیسے دیں۔

میں نے محسوس کیا کہ وہاں تین... طرح کے لیمرک ہیں؟

اس مضمون کے آخر میں بہت تخلیقی چھوٹی نظمیں…

---

بطخ.  [مک ہارر] نہیں، وہ چونے والے نہیں ہیں! Limericks کی ایک بہت ہی رسمی پانچ لائن کی ساخت ہے…

---

ڈوگ  [ہنستے ہوئے] مجھے بہت افسوس ہے۔ یہ سچ ہے!

---

بطخ.  … میٹر اور شاعری دونوں کے لیے۔

بہت منظم، ڈوگ!

---

ڈوگ  مجھے بہت افسوس ہے، بہت سچ ہے۔ [ہنسی]

---

بطخ.  یہ صرف ڈوگرل ہے۔ [ہنسی]

ایک بار پھر: اگر شک ہو/ اسے نہ دیں۔.

اور اگر آپ ڈیٹا اکٹھا کر رہے ہیں: اگر اسے اندر نہیں ہونا چاہیے تو اسے سیدھے ڈبے میں رکھ دیں۔.

اور اگر آپ کوڈ لکھ رہے ہیں جو عوامی APIs کو کال کرتا ہے جو کسٹمر ڈیٹا کو ظاہر کر سکتا ہے: اپنے صارفین کو کبھی بھی رونے نہ دیں/اس طرح کہ آپ API کو کال کرتے ہیں۔.

---

ڈوگ  یہ میرے لیے ایک نیا ہے، اور مجھے وہ بہت پسند ہے!

اور آخری، لیکن یقینی طور پر یہاں ہماری فہرست میں کم از کم نہیں، ہم اس OpenSSL سیکیورٹی بگ کے بارے میں ہفتہ وار بات کر رہے ہیں۔

اب بڑا سوال یہ ہے کہ "آپ کیسے بتا سکتے ہیں ٹھیک کرنے کی کیا ضرورت ہے؟"

OpenSSL سیکیورٹی اپ ڈیٹ کی کہانی - آپ کیسے بتا سکتے ہیں کہ کس چیز کو ٹھیک کرنے کی ضرورت ہے؟

---

بطخ.  درحقیقت، ڈوگ، ہم کیسے جانتے ہیں کہ ہمارے پاس اوپن ایس ایس ایل کا کون سا ورژن ہے؟

اور ظاہر ہے، لینکس پر، آپ صرف ایک کمانڈ پرامپٹ کھولیں اور ٹائپ کریں۔ openssl version، اور یہ آپ کو وہ ورژن بتاتا ہے جو آپ کے پاس ہے۔

لیکن OpenSSL ایک پروگرامنگ لائبریری ہے، اور ایسا کوئی اصول نہیں ہے جو کہے کہ سافٹ ویئر کا اپنا ورژن نہیں ہو سکتا۔

آپ کا ڈسٹرو OpenSSL 3.0 استعمال کر سکتا ہے، اور پھر بھی ایک ایپ موجود ہے جو کہتی ہے، "اوہ، نہیں، ہم نے نئے ورژن میں اپ گریڈ نہیں کیا ہے۔ ہم OpenSSL 1.1.1 کو ترجیح دیتے ہیں، کیونکہ یہ اب بھی سپورٹ ہے، اور اگر آپ کے پاس نہیں ہے تو ہم اپنا ورژن لا رہے ہیں۔"

اور اس طرح، بدقسمتی سے، بالکل اسی طرح جیسے اس بدنام زمانہ Log4Shell کیس میں، آپ کو ان تینوں کی تلاش میں جانا پڑا؟ 12؟ 154؟ کون جانتا ہے کہ آپ کے نیٹ ورک پر کتنی جگہیں ہیں جہاں آپ کے پاس پرانا Log4J پروگرام ہو سکتا ہے۔

OpenSSL کے لیے بھی ایسا ہی ہے۔

نظریہ میں، XDR یا EDR ٹولز آپ کو بتانے کے قابل ہو سکتے ہیں، لیکن کچھ اس کی حمایت نہیں کریں گے اور بہت سے لوگ اس کی حوصلہ شکنی کریں گے: اصل میں یہ معلوم کرنے کے لیے پروگرام چلا رہے ہیں کہ یہ کون سا ورژن ہے۔

کیونکہ، سب کے بعد، اگر یہ چھوٹی چھوٹی ہے یا غلط ہے، اور آپ کو اصل میں اس کے اپنے ورژن کی اطلاع دینے کے لیے پروگرام چلانا ہوگا…

…ایسا لگتا ہے جیسے گاڑی کو گھوڑے کے آگے رکھ دیا جائے، ہے نا؟

لہذا ہم نے ان خاص معاملات کے لیے ایک مضمون شائع کیا ہے جہاں آپ اصل میں DLL لوڈ کرنا چاہتے ہیں، یا مشترکہ لائبریری، اور آپ اصل میں اسے اپنی کال کرنا چاہتے ہیں۔ TellMeThyVersion() سافٹ ویئر کوڈ.

دوسرے لفظوں میں، آپ پروگرام پر اتنا بھروسہ کرتے ہیں کہ آپ میموری میں لوڈ کریں گے، اس پر عمل کریں گے، اور اس کا کچھ حصہ چلائیں گے۔

ہم آپ کو یہ بتاتے ہیں کہ ایسا کیسے کیا جائے تاکہ آپ اس بات کا یقین کر سکیں کہ آپ کے نیٹ ورک پر موجود کوئی بھی باہر کی اوپن ایس ایل فائلیں اپ ٹو ڈیٹ ہیں۔

کیونکہ اگرچہ اسے CRITICAL سے HIGH تک گھٹا دیا گیا تھا، لیکن یہ اب بھی ایک بگ ہے جسے آپ کو ٹھیک کرنا ہے اور کرنا چاہتے ہیں!

---

ڈوگ  اس بگ کی شدت کے موضوع پر، ہمیں ایک ملا دلچسپ سوال ننگے سیکورٹی ریڈر Svet سے، جو لکھتے ہیں، جزوی طور پر:

یہ کیسے ہے کہ ایک بگ جو استحصال کے لیے بہت زیادہ پیچیدہ ہے، اور اسے صرف سروس حملوں سے انکار کے لیے استعمال کیا جا سکتا ہے، اسے ہائی کے طور پر درجہ بند کیا جا رہا ہے؟

---

بطخ.  ہاں، مجھے لگتا ہے کہ اس نے اس کے بارے میں کچھ کہا، "اوہ، کیا اوپن ایس ایل ٹیم نے CVSS کے بارے میں نہیں سنا؟"، جو کہ امریکی حکومت کا معیار ہے، اگر آپ چاہیں، کیڑے کے خطرے اور پیچیدگی کی سطح کو اس طرح سے انکوڈنگ کرنے کے لیے۔ اسکرپٹ کے ذریعہ خود بخود فلٹر کیا جاتا ہے۔

لہذا اگر اس کا CVSS اسکور کم ہے (جو ہے کامن ویلوریبلٹی اسکورنگ سسٹم)، لوگ اس کے بارے میں پرجوش کیوں ہو رہے ہیں؟

یہ اعلی کیوں ہونا چاہئے؟

اور اس طرح میرا جواب تھا، "کیوں * یہ اعلی نہیں ہونا چاہئے؟"

یہ ایک کرپٹوگرافک انجن میں ایک بگ ہے؛ یہ کسی پروگرام کو کریش کر سکتا ہے، کہہ لیں کہ وہ اپ ڈیٹ حاصل کرنے کی کوشش کر رہا ہے… اس لیے یہ بار بار کریش ہو جائے گا، جو سروس کے انکار سے کچھ زیادہ ہی ہے، کیونکہ یہ درحقیقت آپ کو اپنی حفاظت کو صحیح طریقے سے کرنے سے روک رہا ہے۔

سیکیورٹی بائی پاس کا ایک عنصر ہے۔

اور میرے خیال میں جواب کا دوسرا حصہ یہ ہے کہ جب کمزوریوں کو استحصال میں تبدیل کرنے کی بات آتی ہے تو: "کبھی نہ کہو!"

جب آپ کے پاس اسٹیک بفر اوور فلو کی طرح کچھ ہوتا ہے، جہاں آپ اسٹیک پر دیگر متغیرات کو جوڑ سکتے ہیں، ممکنہ طور پر میموری ایڈریسز سمیت، یہ موقع ہمیشہ موجود رہتا ہے کہ کوئی قابل عمل استحصال کا پتہ لگا سکتا ہے۔

اور مسئلہ، ڈوگ، یہ ہے کہ ایک بار جب انہوں نے اس کا پتہ لگا لیا، اس سے کوئی فرق نہیں پڑتا ہے کہ یہ پتہ لگانا کتنا پیچیدہ تھا…

…ایک بار جب آپ جان لیں کہ اس کا استحصال کیسے کرنا ہے، تو *کوئی بھی* یہ کرسکتا ہے، کیونکہ آپ انہیں ایسا کرنے کے لیے کوڈ بیچ سکتے ہیں۔

مجھے لگتا ہے کہ آپ جانتے ہیں کہ میں کیا کہنے جا رہا ہوں: "ایسا نہیں کہ میں اس کے بارے میں سختی سے محسوس کرتا ہوں۔"

[ہنسی]

یہ، ایک بار پھر، ان چیزوں میں سے ایک ہے "اگر وہ کرتے ہیں تو لعنت، اگر وہ نہیں کرتے ہیں"۔

---

ڈوگ  بہت اچھا، بہت بہت شکریہ، Svet، اس تبصرہ کو لکھنے اور اسے بھیجنے کے لیے۔

اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔

آپ tips@sophos.com پر ای میل کر سکتے ہیں، آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، یا آپ ہمیں سوشل: @nakedsecurity پر مار سکتے ہیں۔

یہ آج کے لیے ہمارا شو ہے؛ سننے کے لیے بہت شکریہ

پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو اگلی بار تک یاد دلاتا ہوں کہ...

---

دونوں  محفوظ رہو!