"نام میں کیا رکھا ہے؟ جس کو ہم گلاب کہتے ہیں کسی اور نام سے بھی خوشبو آتی ہے۔ جب شیکسپیئر نے یہ الفاظ (رومیو اینڈ جولیٹ، ایکٹ 2، سین 2) 1596 میں لکھے تو وہ کہہ رہے تھے کہ نام صرف ایک کنونشن ہے۔ اس کا کوئی باطنی معنی نہیں ہے۔ جولیٹ رومیو سے محبت کرتی ہے کہ وہ کون ہے، اپنے نام کے لیے نہیں۔
لیکن یہ جانے بغیر، شیکسپیئر انحصار کنفیوژن حملوں کو بھی بیان کر رہا تھا۔
انحصار کی الجھن اس وقت ہوتی ہے جب آپ اپنے کوڈ میں جو پیکیج استعمال کر رہے ہیں وہ آپ کے نہیں ہوتے ہیں۔ ان کا ایک ہی نام ہے، لیکن یہ آپ کا کوڈ نہیں ہے جو پروڈکشن میں چل رہا ہے۔ ایک ہی نام، لیکن ایک پیکج گلاب کی طرح مہک رہا ہے اور دوسرے سے بدبو آ رہی ہے۔
حالیہ تحقیقی رپورٹس کا تخمینہ ہے کہ 41% سے 49% تنظیمیں انحصار کنفیوژن حملوں کے خطرے میں ہیں۔ OX Security کی نئی تحقیق سے پتہ چلتا ہے کہ جب کسی تنظیم کو انحصار کنفیوژن حملے کا خطرہ ہوتا ہے، تو اس کے 73% اثاثے کمزور ہوتے ہیں۔ تحقیق درمیانے سائز اور بڑی تنظیموں پر مرکوز تھی (1K+, 8K+، 80K+ ملازمین) شعبوں کی ایک وسیع رینج میں — فنانس، گیمنگ، ٹیکنالوجی، اور میڈیا — اور ہر سائز کی تنظیموں میں ہر شعبے میں خطرہ پایا۔ تحقیق میں یہ بھی پتہ چلا ہے کہ تقریباً تمام ایپلی کیشنز جن میں 1 بلین سے زیادہ صارفین ہیں وہ انحصار استعمال کر رہے ہیں جو انحصار کنفیوژن کا شکار ہیں۔
اس مضمون کا مقصد آپ کو انحصار کی الجھنوں اور اسے روکنے کے طریقے کو سمجھنے میں مدد کرنا ہے۔
ڈبل، ڈبل
انحصار (جسے پیکجز بھی کہا جاتا ہے) آپ کے سافٹ ویئر کی تعمیر کے بلاکس ہیں۔ عام طور پر سافٹ ویئر کے یہ ٹکڑے، چاہے پوری کمیونٹیز یا کسی کمپنی کے اندر تیار کیے گئے ہوں، ایک عام اور ضروری کام انجام دیتے ہیں۔
پیکیج مینیجر اکثر انحصار کو انسٹال کرنے اور انہیں اپ ڈیٹ رکھنے کے لیے استعمال ہوتے ہیں۔ وہ پیکج کے نام کے لیے پبلک اور پرائیویٹ رجسٹریوں کو اسکین کرتے ہیں اور دیگر تمام چیزیں برابر ہونے کی وجہ سے اعلیٰ ترین ورژن نمبر کا انتخاب کرتے ہیں۔ حملہ آور عوامی رجسٹری پر اسی نام لیکن اعلیٰ ورژن کے ساتھ "ڈمی" پیکج رکھ کر اس کا فائدہ اٹھاتے ہیں۔
جب ایک پیکج مینیجر دو ایک جیسے پیکجوں میں آتا ہے، ایک پبلک رجسٹری میں اور دوسرا پرائیویٹ رجسٹری میں، یہ کنفیوژن کا سبب بنتا ہے - اس لیے اس کا نام "انحصار کنفیوژن" ہے۔ چونکہ دونوں پیکج ایک جیسے ہیں، اس لیے مینیجر خود بخود ایک اعلی ورژن کے ساتھ انسٹال کرنے کا انتخاب کرے گا۔ - اس صورت میں، حملہ آور کا بدنیتی پر مبنی پیکیج۔
یہ ہائی جیکرز کو آپ کے سافٹ ویئر میں ایک پچھلا دروازہ فراہم کرتا ہے۔ اس مقام سے، وہ ڈیٹا کی خلاف ورزیوں کو انجام دے سکتے ہیں، املاک دانش کی چوری کر سکتے ہیں، اور بصورت دیگر سافٹ ویئر سپلائی چین آف ٹرسٹ سے سمجھوتہ کر سکتے ہیں۔ وہ تعمیل کی خلاف ورزیوں کو بھی متعارف کرا سکتے ہیں جو سخت ریگولیٹری جرمانے کو متحرک کریں گے۔
محنت اور پریشانی
انحصار کنفیوژن حملے کے مختلف طریقے ہیں۔
- نام کی جگہ۔ ایک عوامی رجسٹری میں بدنیتی پر مبنی سافٹ ویئر لائبریری کو اپ لوڈ کرکے — جیسے Python Package Index (PyPI) یا JavaScript's این پی ایم رجسٹری - یہ ہے کہ اسی طرح کا نام دیا ایک قابل اعتماد، اندرونی طور پر استعمال شدہ لائبریری میں، وہ سسٹم جو نام کی جگہ/URL چیک کو چھوڑ دیتے ہیں یا نجی رجسٹری سے بازیافت کرنے پر مجبور نہیں کرتے ہیں، غلطی سے نقصان دہ کوڈ کو کھینچ سکتے ہیں۔ دی PyTorch انحصار کنفیوژن کا حالیہ واقعہ ایسی ہی ایک مثال ہے۔
- DNS سپوفنگ۔ DNS سپوفنگ جیسی تکنیک کا استعمال کرتے ہوئے، سسٹمز کو ہدایت کی جا سکتی ہے کہ وہ نقصان دہ ذخیروں سے انحصار کو کھینچیں جبکہ یہ ظاہر کرتے ہوئے کہ جائز داخلی URLs/راستوں جیسا دکھائی دیتا ہے۔
- سکرپٹ تعمیر/انسٹال اسکرپٹ میں ترمیم کرکے یا مسلسل انضمام/مسلسل ترسیل (CI/CD) پائپ لائن کنفیگریشنز، سسٹمز کو مقامی ریپوزٹری کے بجائے نقصان دہ ذریعہ سے سافٹ ویئر انحصار ڈاؤن لوڈ کرنے کے لیے دھوکہ دیا جا سکتا ہے۔
چیزیں اچھی طرح سے اور دیکھ بھال کے ساتھ کی گئیں۔
انحصار کی الجھنوں سے بچانے کے لیے، ان طریقوں کو قائم کریں۔
- پیکیج مینیجر میں پالیسیاں مرتب کریں۔ پیکیج مینیجرز کو نجی پیکیج پر عوامی پیکیج کو ترجیح دینے سے منع کریں۔
- ہمیشہ ایک .npmrc فائل شامل کریں۔ اگر آپ مقبول NPM کو بطور پیکیج مینیجر استعمال کر رہے ہیں، تو ہمیشہ ایک .npmrc فائل شامل کریں جو یہ بتاتی ہے کہ مخصوص تنظیم کے دائرہ کار کے تحت پیکجز کو کہاں سے لانا ہے۔
- عوامی رجسٹری میں پیکیج کا نام محفوظ کریں۔ انحصار کنفیوژن حملوں سے بچانے کا ایک اور طریقہ یہ ہے کہ پیکیج کا نام عوامی رجسٹری میں محفوظ کر لیا جائے تاکہ ہائی جیکرز اسے استعمال نہ کر سکیں اور اس وجہ سے، پیکیج مینیجر کو ایک بدنیتی پر مبنی پیکج انسٹال کرنے کے لیے "ٹرک" نہ کر سکیں۔
انحصار کنفیوژن حملوں سے مکمل طور پر حفاظت کے لیے، تنظیموں کو ہمیشہ استعمال کرنا چاہیے۔ تمام داخلی پیکجوں کے لیے تنظیم کے دائرہ کاریہاں تک کہ جب آپ کی داخلی رجسٹری میں شائع ہو رہا ہو۔ تنظیم کے دائرہ کار کو NPM کی پبلک رجسٹری میں بھی رجسٹر کیا جانا چاہیے، اس طرح کسی کو بھی دائرہ کار کو ہائی جیک کرنے اور الجھن کا فائدہ اٹھانے سے روکا جائے۔
پیکیج کے نام بھی عوامی طور پر رجسٹر کیے جائیں۔ اگر کوئی تنظیم مقبول PIP کو Python کے انحصار کے لیے پیکیج مینیجر کے طور پر استعمال کر رہی ہے، مثال کے طور پر، اسے ایک سخت لاحقہ کے ساتھ اندرونی پیکجز بنانے چاہئیں جو قابل شناخت ہوں اور تمام پروجیکٹس پر کام کریں۔ اسی نام کے ساتھ ایک خالی پیکج پبلک رجسٹری PyPI پر بطور پلیس ہولڈر اپ لوڈ کریں۔
عوامی رجسٹری میں پیکیج کا نام محفوظ کرنے کی ایک اور وجہ یہ ہے کہ اگر کوئی اور اسے محفوظ رکھتا ہے (بد نیتی سے یا نہیں)، ڈویلپرز کو نجی رجسٹری میں پیکیج کے تمام ناموں کو تبدیل کرنا پڑے گا جو ابھی تک عوامی رجسٹری میں محفوظ ہونا باقی ہے۔ یہ ایک طویل اور تکلیف دہ عمل ہوسکتا ہے۔
یہ نوٹ کرنا ضروری ہے کہ تمام پیکج رجسٹریاں صارفین کو پیکیج کے نام محفوظ کرنے کی اجازت نہیں دیتی ہیں، اس لیے یقینی بنائیں کہ آپ کو ایسا کوئی مل جاتا ہے۔
باہر نکلیں، ریچھ کا تعاقب
انحصار کنفیوژن حملے عالمی سطح پر تنظیموں کے لیے ایک سنگین اور آسنن سائبر سیکیورٹی خطرہ ہیں۔ تمام تنظیموں میں سے تقریباً نصف خطرے میں ہیں، اور ان تنظیموں کے 73% اثاثے بے نقاب ہیں۔ اس بڑھتے ہوئے خطرے کا مقابلہ کرنے کے لیے، تنظیموں کو مضبوط حفاظتی اقدامات کو نافذ کرنا چاہیے اور سائبر سیکیورٹی کے بہترین طریقوں کو اپنانا چاہیے۔
شیکسپیئر کے گلاب نے سینکڑوں سالوں سے انحصار کنفیوژن حملوں کے خطرے کو پیش کیا ہوگا، لیکن بارڈ کا ایک اور اقتباس ان کے خلاف تحفظ کے لیے کچھ حکمت رکھتا ہے: "ہر آنکھ اپنے لئے بات چیت کرے اور کسی ایجنٹ پر بھروسہ نہ کرے۔" (مچ ایڈو اباؤٹ نتھنگ، ایکٹ 2، سین 1)
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- چارٹ پرائم۔ ChartPrime کے ساتھ اپنے ٹریڈنگ گیم کو بلند کریں۔ یہاں تک رسائی حاصل کریں۔
- بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/edge-articles/software-supply-chain-strategies-to-parry-dependency-confusion-attacks
- : ہے
- : ہے
- : نہیں
- :کہاں
- 1
- 7
- a
- ہمارے بارے میں
- کے پار
- ایکٹ
- اپنانے
- فائدہ
- کے خلاف
- ایجنٹ
- مقصد ہے
- تمام
- کی اجازت
- تقریبا
- بھی
- ہمیشہ
- an
- اور
- ایک اور
- کوئی بھی
- کسی
- ایپلی کیشنز
- نقطہ نظر
- کیا
- مضمون
- AS
- اثاثے
- At
- حملہ
- حملے
- خود کار طریقے سے
- واپس
- BE
- کیونکہ
- کیا جا رہا ہے
- BEST
- بہترین طریقوں
- ارب
- بلاکس
- خلاف ورزیوں
- عمارت
- لیکن
- by
- فون
- کہا جاتا ہے
- کر سکتے ہیں
- نہیں کر سکتے ہیں
- کیس
- وجوہات
- چین
- تبدیل
- چیک کریں
- میں سے انتخاب کریں
- کوڈ
- آتا ہے
- کامن
- کمیونٹی
- کمپنی کے
- تعمیل
- سمجھوتہ
- الجھن
- کنونشن
- مقابلہ
- تخلیق
- سائبر سیکیورٹی
- اعداد و شمار
- ڈیٹا برش
- انحصار
- انحصار
- ترقی یافتہ
- ڈویلپرز
- ہدایت
- دکھانا
- DNS
- do
- کرتا
- کیا
- دروازے
- اور
- ملازمین
- پوری
- برابر
- تخمینہ
- بھی
- ہر کوئی
- مثال کے طور پر
- عملدرآمد
- ظاہر
- آنکھ
- فائل
- کی مالی اعانت
- مل
- توجہ مرکوز
- کے لئے
- مجبور
- ملا
- اکثر
- سے
- مکمل طور پر
- گیمنگ
- فراہم کرتا ہے
- عالمی سطح پر
- بڑھتے ہوئے
- نصف
- ہے
- he
- مدد
- لہذا
- اعلی
- سب سے زیادہ
- ان
- پکڑو
- کس طرح
- کیسے
- HTTPS
- سینکڑوں
- ایک جیسے
- if
- آسنن
- پر عملدرآمد
- اہم
- in
- شامل
- انڈکس
- انسٹال
- انسٹال کرنا
- انسٹی ٹیوٹ
- دانشورانہ
- املاک دانش
- اندرونی
- اندرونی طور پر
- میں
- اندرونی
- متعارف کرانے
- IT
- میں
- خود
- جاوا سکرپٹ
- صرف
- رکھیں
- جاننا
- بڑے
- جائز
- دو
- لائبریری
- کی طرح
- مقامی
- لانگ
- دیکھنا
- سے محبت کرتا ہے
- بنا
- مینیجر
- مینیجر
- مئی..
- مطلب
- اقدامات
- میڈیا
- زیادہ
- بہت
- ضروری
- نام
- نام
- ضروری
- نئی
- نہیں
- کچھ بھی نہیں
- تعداد
- of
- on
- ایک
- or
- تنظیم
- تنظیمیں
- دیگر
- دوسری صورت میں
- پر
- پیکج
- پیکجوں کے
- انجام دیں
- ٹکڑے ٹکڑے
- پائپ لائن
- پلیس ہولڈر
- رکھ
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- پالیسیاں
- مقبول
- کرنسی
- طریقوں
- کی روک تھام
- کی روک تھام
- ترجیح
- نجی
- عمل
- پیداوار
- منصوبوں
- جائیداد
- حفاظت
- حفاظت
- عوامی
- عوامی طور پر
- پبلشنگ
- ازگر
- pytorch
- اقتباس
- رینج
- بلکہ
- RE
- وجہ
- رجسٹرڈ
- رجسٹریوں
- رجسٹری
- ریگولیٹری
- رپورٹیں
- ذخیرہ
- تحقیق
- ریزرو
- محفوظ
- ذخائر
- رسک
- مضبوط
- گلاب
- چل رہا ہے
- s
- اسی
- یہ کہہ
- اسکین
- منظر
- گنجائش
- سکرپٹ
- شعبے
- سیکٹر
- سیکورٹی
- سنگین
- شدید
- ہونا چاہئے
- شوز
- بعد
- سائز
- So
- سافٹ ویئر کی
- سافٹ ویئر سپلائی چین
- کچھ
- کسی
- ماخذ
- مخصوص
- حکمت عملیوں
- سخت
- اس طرح
- فراہمی
- فراہمی کا سلسلہ
- اس بات کا یقین
- میٹھی
- سسٹمز
- لے لو
- لینے
- ٹاسک
- ٹیکنالوجی
- سے
- کہ
- ۔
- چوری
- ان
- لہذا
- یہ
- وہ
- چیزیں
- اس
- ان
- خطرہ
- اس طرح
- کرنے کے لئے
- ٹرگر
- بھروسہ رکھو
- قابل اعتماد
- دو
- عام طور پر
- کے تحت
- سمجھ
- اپ ڈیٹ
- اپ لوڈ کرنا
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- صارفین
- کا استعمال کرتے ہوئے
- مختلف
- ورژن
- خلاف ورزی
- قابل اطلاق
- تھا
- راستہ..
- we
- اچھا ہے
- کیا
- جب
- چاہے
- جس
- جبکہ
- ڈبلیو
- وسیع
- وسیع رینج
- گے
- حکمت
- ساتھ
- کے اندر
- بغیر
- الفاظ
- کام
- گا
- لکھا ہے
- سال
- ابھی
- تم
- اور
- زیفیرنیٹ