دھمکی آمیز اداکار کنٹینرز پر حملہ اور استعمال کیسے کریں گے؟ یہ ایک سوال ہے جس کے بارے میں میں مسلسل سوچتا ہوں۔ میں اس علاقے میں دو دہائیوں سے زیادہ عرصے سے کام کر رہا ہوں، اور مجھے ایسا لگتا ہے کہ مجھے جواب ملنا چاہیے۔ لیکن میں نہیں کرتا۔
اس کے بجائے، میرے پاس بہت سے مختلف خیالات ہیں، جن میں سے کوئی بھی میں واقعی درست نہیں بتا سکتا۔ اس عدم فیصلہ کا ایک حصہ یہ ہے کہ میں نے "وراثت" کی دنیا میں سیکیورٹی سیکھنے میں صرف کیا ہے۔ کنٹینرز میں واقعی ینالاگ نہیں ہوتا ہے۔ یقینی طور پر، ورچوئل مشینیں (VMs) اکثر کنٹینرز کے ساتھ مل جاتی ہیں، لیکن وہ کبھی بھی کنٹینرز کی طرح پیمانہ کرنے کے قابل نہیں تھیں۔ وہ کنٹینرز سے بالکل مختلف مقاصد کے لیے بھی استعمال ہوتے ہیں۔ میری سوچ کو ایڈجسٹ کرنے اور یہ سمجھنے میں تھوڑا وقت لگا کہ کنٹینرز دراصل حملے کی سطح میں کہاں فٹ ہوتے ہیں۔
کنٹینرائزڈ ماحول کے خلاف حملوں کی عوامی مثالیں بہت محدود ہیں۔ خلاف ورزیاں تقریباً ہمیشہ ہی خفیہ معلومات سے متعلق ہوتی ہیں، جو کہ سنگین حملے ہوتے ہیں، لیکن میرے اندر واقعہ کا جواب دینے والے کو ان کا احساس ہوتا ہے۔ ایک اور مشترکیت یہ ہے کہ وہ زیادہ تر غلط کنفیگریشن کا نتیجہ ہیں، چاہے وہ Kubernetes میں ہو یا کلاؤڈ اکاؤنٹ میں۔ محرکات اور حکمت عملیوں کا امتزاج اب تک بہت متاثر کن نہیں رہا۔
پرانا راستہ
ریموٹ کوڈ ایگزیکیوشن (RCE) کی کمزوریاں ایک طویل عرصے سے کمپیوٹر سیکیورٹی میں اہم تشویش رہی ہیں۔ وہ اب بھی ہیں، لیکن سوچ کا یہ طریقہ کنٹینرز پر کیسے لاگو ہوتا ہے؟ بنیادی خطرے کے طور پر فوری طور پر RCE پر جانا آسان ہے، لیکن ایسا لگتا ہے کہ یہ کنٹینرز تک پہنچنے کا صحیح طریقہ نہیں ہے۔ ایک چیز کے لئے، کنٹینرز اکثر بہت مختصر رہتے ہیں - 44% کنٹینرز پانچ منٹ سے بھی کم رہتے ہیں۔ - لہذا گھسنے والے کو جلدی ہونا پڑے گا۔
یہ نقطہ نظر یہ بھی فرض کرتا ہے کہ کنٹینر انٹرنیٹ کے سامنے ہے۔ یقینی طور پر کچھ کنٹینرز اس طرح ترتیب دیے گئے ہیں، لیکن وہ اکثر بہت آسان ہوتے ہیں اور اچھی طرح سے تجربہ شدہ ٹیکنالوجیز، جیسے NGINX استعمال کرتے ہیں۔ ان ایپلی کیشنز کے لیے صفر دن کا وقت ہو سکتا ہے، لیکن یہ انتہائی قیمتی ہوں گے اور ان کا آنا مشکل ہوگا۔ میرے تجربے نے مجھے دکھایا ہے کہ بہت سارے کنٹینرز اندرونی طور پر استعمال ہوتے ہیں اور انٹرنیٹ سے براہ راست جڑتے نہیں ہیں۔ اس معاملے میں RCE کا منظرنامہ بہت زیادہ مشکل ہو جاتا ہے۔ مجھے ذکر کرنا چاہیے۔ log4j، اگرچہ اس قسم کی کمزوریوں کا دور سے فائدہ اٹھانے کی صلاحیت ہوتی ہے یہاں تک کہ اگر کمزور نظام کنارے پر نہیں ہے۔
نیا راستہ
اگر RCE کنٹینرز کو درپیش سب سے بڑا خطرہ نہیں ہے، تو کیا ہے؟ کیا کنٹینرز بھی دھمکی آمیز اداکاروں کے ریڈار پر ہیں؟ ہاں، کنٹینرز اور ان کے معاون انفراسٹرکچر کو نظر انداز کرنا بہت اہم ہے۔ کنٹینر آرکیسٹریشن سافٹ ویئر نے کنٹینرائزڈ کام کے بوجھ کو ناقابل تصور نمبروں تک سکیل کرنے کی اجازت دی ہے۔ استعمال کا رجحان بھی بڑھ رہا ہے، لہذا آپ یقین کر سکتے ہیں کہ وہ ایک ہدف ہوں گے۔ ان کے بارے میں صرف ایسے سرورز کے بارے میں سوچا ہی نہیں جا سکتا ہے جس پر آپ RCE خطرات کے ذریعے حاصل کرتے ہیں۔
اس کے بجائے، ریورس اصل میں سچ ہے. کنٹینرز پر باہر سے حملہ کرنے کے بجائے ان پر اندر سے حملہ کرنے کی ضرورت ہے۔ یہ بنیادی طور پر سپلائی چین کے حملے کرتے ہیں۔ سپلائی چین کنٹینرز کے خلاف ایک انتہائی موثر حملہ آور ویکٹر ہے جب آپ یہ سمجھنا شروع کر دیتے ہیں کہ وہ کیسے بنائے گئے ہیں۔ ایک کنٹینر ایک ڈیفینیشن فائل سے شروع ہوتا ہے، جیسے Dockerfile، جو ہر اس چیز کی وضاحت کرتی ہے جو کنٹینر کے چلنے پر اس میں ہوگی۔ یہ ایک بار بننے کے بعد ایک تصویر میں تبدیل ہو جاتا ہے، اور وہ تصویر وہ ہوتی ہے جو کام کے بوجھ میں بے شمار بار بن سکتی ہے۔ اگر اس ڈیفینیشن فائل میں کسی چیز سے سمجھوتہ کیا جاتا ہے، تو ہر کام کا بوجھ جو چلتا ہے اس سے سمجھوتہ کیا جاتا ہے۔
کنٹینرز اکثر، لیکن ہمیشہ نہیں، ایک ایسی ایپلی کیشن کے ساتھ بنائے جاتے ہیں جو کچھ کرتی ہے اور باہر نکلتی ہے۔ یہ ایپلیکیشنز تقریباً کچھ بھی ہو سکتی ہیں — سمجھنے کے لیے اہم بات یہ ہے کہ لائبریریوں کا استعمال کرتے ہوئے کتنا بنایا گیا ہے، یا تو بند ذریعہ یا اوپن سورس، جو دوسرے لوگوں نے لکھا ہے۔ GitHub کے پاس لاکھوں پروجیکٹس ہیں، اور یہ وہاں موجود کوڈ کا واحد ذخیرہ نہیں ہے۔ جیسا کہ ہم نے SolarWinds کے ساتھ دیکھا، بند ذریعہ سپلائی چین کے حملوں کا بھی خطرہ ہے۔
سپلائی چین کا حملہ دھمکی آمیز عناصر کے لیے ہدف کے کنٹینر ماحول میں داخل ہونے کا بہترین طریقہ ہے۔ یہاں تک کہ اگر سمجھوتہ کسی کا دھیان نہیں جاتا ہے تو وہ گاہک کے بنیادی ڈھانچے کو ان کے لیے اپنا حملہ کرنے دے سکتے ہیں۔ اس قسم کا منظر نامہ پہلے ہی اپنے آپ کو باہر چلا رہا ہے، جیسا کہ ہم نے دیکھا Codecov کی خلاف ورزی. لیکن یہ پتہ لگانا مشکل ہے کہ یہ سب کتنا نیا ہے اور ہماری سوچ کی جڑیں ماضی کے مسائل میں کس طرح پیوست ہیں۔
آگے کا راستہ
جیسا کہ زیادہ تر مسائل کو حل کرنے کے ساتھ، مرئیت عام طور پر شروع کرنے کے لیے ایک بہترین جگہ ہوتی ہے۔ جو آپ نہیں دیکھ سکتے اسے ٹھیک کرنا مشکل ہے۔ اپنے کنٹینرز کو محفوظ بنانے کے لیے آپ کو خود کنٹینرز کے ساتھ ساتھ ان کو بنانے والی پوری پائپ لائن میں مرئیت کی ضرورت ہے۔ کمزوری کا انتظام ایک قسم کی مرئیت ہے جسے تعمیراتی پائپ لائن میں ضم کیا جانا چاہیے۔ میں دوسرے جامد تجزیہ ٹولز بھی شامل کروں گا، جیسے کہ اس کے ساتھ ساتھ افشا ہونے والے رازوں کو تلاش کرنے والے۔ چونکہ سپلائی چین اٹیک کیسا لگتا ہے اس کی پیشین گوئی نہیں کی جا سکتی ہے، اس لیے رن ٹائم مانیٹرنگ اہم ہو جاتی ہے تاکہ آپ کو معلوم ہو کہ آپ کے کنٹینرز کیا کر رہے ہیں۔
