S3 Ep140: تو آپ کو لگتا ہے کہ آپ ransomware جانتے ہیں؟

نیچے کوئی آڈیو پلیئر نہیں ہے؟ سنو براہ راست ساؤنڈ کلاؤڈ پر۔

ڈوگ  راؤٹر کی پریشانیاں، میگا ٹربل میں میگا اپ لوڈ، اور مزید MOVEit تباہی۔

یہ سب اور بہت کچھ ننگی سیکیورٹی پوڈ کاسٹ پر۔

[میوزیکل موڈیم]

پوڈ کاسٹ میں خوش آمدید، سب۔

میں ڈوگ آموت ہوں؛ وہ پال ڈکلن ہے۔

پال، تم کیسے کرتے ہو؟

---

بطخ.  ہمارے برطانوی اور دولت مشترکہ کے انگریزی سننے والوں کے لیے صرف ایک ابہام، ڈوگ…

---

ڈوگ  "راؤٹر۔" [یو کے اسٹائل کو 'روٹر' کے طور پر استعمال کیا گیا، 'روٹر' کے طور پر امریکی انداز نہیں]

---

بطخ.  مجھے لگتا ہے کہ آپ کا مطلب لکڑی کے اوزار سے نہیں ہے؟

---

ڈوگ  نہیں! [ہنسی]

---

بطخ.  آپ کا مطلب وہ چیزیں ہیں جو بدمعاشوں کو آپ کے نیٹ ورک میں گھسنے دیتی ہیں اگر وہ وقت پر ٹھیک نہیں ہوتے ہیں؟

---

ڈوگ  جی ہاں!

---

بطخ.  جہاں روٹر جسے ہم 'روٹر' کہتے ہیں اس کا رویہ آپ کے نیٹ ورک کے ساتھ ایسا ہی ہوتا ہے جیسا کہ 'روٹر' آپ کے ٹیبل کے کنارے پر کرتا ہے؟ [ہنسی]

---

ڈوگ  بالکل! [ہنسی]

ہم جلد ہی اس تک پہنچ جائیں گے۔

لیکن سب سے پہلے، ہمارے ٹیک ہسٹری میں یہ ہفتہ طبقہ.

پال، اس ہفتے، 18 جون کو، 1979 میں واپس: 16 بٹ کمپیوٹنگ کے لیے ایک بڑا قدم آگے بڑھتا ہے کیونکہ مائیکروسافٹ نے 8086 پروسیسرز کے لیے اپنی بنیادی پروگرامنگ زبان کا ایک ورژن تیار کیا۔

یہ ورژن 8 بٹ پروسیسرز کے ساتھ پسماندہ مطابقت رکھتا تھا، جس نے BASIC بنایا، جو Z80 اور 8080 پروسیسرز کے لیے دستیاب تھا، اور تقریباً 200,000 کمپیوٹرز پر پہلے ہی پایا جاتا تھا، جو کہ زیادہ تر پروگرامرز کے لحاف میں ایک تیر، پال تھا۔

---

بطخ.  GW-BASIC بننا کیا تھا!

میں نہیں جانتا کہ یہ سچ ہے یا نہیں، لیکن میں پڑھتا رہتا ہوں کہ GW-BASIC کا مطلب ہے "GEE WHIZZ!" [ہنسی]

---

ڈوگ  ہا! [ہنسی]

---

بطخ.  مجھے نہیں معلوم کہ یہ سچ ہے یا نہیں، لیکن مجھے یہ سوچنا پسند ہے۔

---

ڈوگ  ٹھیک ہے، آئیے اپنی کہانیوں میں آتے ہیں۔

اس سے پہلے کہ ہم خبروں میں موجود چیزوں تک پہنچیں، ہمیں اس کی تین اقساط میں سے پہلی کا اعلان کرتے ہوئے خوشی نہیں بلکہ بہت خوشی ہوئی ہے۔ کیا آپ رینسم ویئر کو جانتے ہیں؟

یہ سوفوس میں آپ کے دوستوں کی 48 منٹ کی دستاویزی سیریز ہے۔

"The Ransomware Documentary" - Sophos سے بالکل نئی ویڈیو سیریز ابھی شروع ہو رہی ہے!

پہلی قسط، کہلاتی ہے۔ سائبر کرائم کی ابتدا، اب دیکھنے کے لیے دستیاب ہے۔ https://sophos.com/ransomware.

قسط 2، جسے کہا جاتا ہے۔ شکاری اور شکار، 28 جون 2023 کو دستیاب ہوگا۔

قسط نمبر 3، ہتھیار اور جنگجو، 5 جولائی 2023 کو گرے گا۔

اسے چیک کریں https://sophos.com/ransomware.

میں نے پہلی قسط دیکھی ہے، اور یہ بہت اچھا ہے۔

یہ ان تمام سوالات کا جواب دیتا ہے جو آپ کو اس لعنت کی ابتدا کے بارے میں ہو سکتے ہیں جن سے ہم سال بہ سال لڑتے رہتے ہیں، پال۔

---

بطخ.  اور یہ بہت اچھی طرح سے کھلتا ہے کہ باقاعدہ سامعین کو کیا معلوم ہوگا کہ وہ میرا پسندیدہ قول ہے (مجھے امید ہے کہ میں نے اسے اب تک ایک کلچ میں تبدیل نہیں کیا ہے)، یعنی: جو لوگ تاریخ کو یاد نہیں رکھ سکتے وہ اسے دہرانے کی مذمت کرتے ہیں۔

وہ شخص نہ بنو! [ہنسی]

---

ڈوگ  ٹھیک ہے، آئیے جرم کے موضوع پر قائم رہیں۔

میگا اپ لوڈ کے چار بانیوں میں سے دو کے لیے جیل کا وقت۔

یہاں پر کاپی رائٹ کی خلاف ورزی، پال، اور بنانے میں تقریباً ایک دہائی؟

میگا اپ لوڈ جوڑی آخر کار جیل جائے گی، لیکن کم ڈاٹ کام کا مقابلہ…

---

بطخ.  جی ہاں.

پچھلے ہفتے یاد ہے جب میں نے اس لطیفے کے بارے میں کہا تھا، "اوہ، آپ جانتے ہیں کہ بسیں کیسی ہوتی ہیں؟ عمر بھر کوئی نہیں آتا، اور پھر تین ایک ساتھ آتے ہیں؟ [ہنسی]

لیکن مجھے اسے "ایک ہی وقت میں دو پہنچنا" میں بدلنا پڑا…

…اور میں نے یہ کہا تھا کہ تیسرا آگیا۔ [ہنسی]

اور یہ نیوزی لینڈ، یا Aotearoa سے باہر ہے، جیسا کہ یہ متبادل طور پر جانا جاتا ہے۔

میگا اپ لوڈ ایک بدنام زمانہ ابتدائی نام نہاد "فائل لاکر" سروس تھی۔

یہ "فائل لاکر" نہیں ہے جیسا کہ ransomware میں ہے جو آپ کی فائلوں کو لاک کرتا ہے۔

یہ ایک جم لاکر کی طرح "فائل لاکر" ہے… وہ کلاؤڈ جگہ جہاں آپ فائلیں اپ لوڈ کرتے ہیں تاکہ آپ انہیں بعد میں حاصل کر سکیں۔

اس سروس کو ختم کر دیا گیا، بنیادی طور پر اس وجہ سے کہ امریکہ میں ایف بی آئی کو ہٹانے کا حکم ملا، اور اس نے الزام لگایا کہ اس کا بنیادی مقصد درحقیقت میگا *اپ لوڈ* سروس بننا اتنا نہیں تھا جتنا کہ ایک میگا *ڈاؤن لوڈ* سروس، بزنس ماڈل جن میں سے کاپی رائٹ کی خلاف ورزی کی حوصلہ افزائی اور ترغیب دینے پر مبنی تھا۔

اس کاروبار کا بنیادی بانی ایک معروف نام ہے: کم ڈاٹ کام۔

اور یہ واقعی اس کی کنیت ہے۔

اس نے اپنا نام (میرے خیال میں وہ اصل میں کم شمٹز تھا) کو کم ڈاٹ کام میں تبدیل کیا، اس سروس کو بنایا، اور وہ ابھی امریکہ کو حوالگی سے لڑ رہا ہے اور ایسا کرتا رہتا ہے، حالانکہ ایوٹاروا کی عدالتوں نے فیصلہ دیا ہے کہ اس کی کوئی وجہ نہیں ہے کہ وہ ایسا کر سکتا ہے۔ حوالے نہ کیا جائے۔

دیگر چار میں سے ایک، فن بٹاٹو کے نام سے ایک چیپ، افسوسناک طور پر پچھلے سال کینسر سے مر گیا۔

لیکن دیگر افراد میں سے دو جو میگا اپ لوڈ سروس کے پرائم موورز تھے، میتھیاس اورٹمین اور برام وین ڈیر کولک…

…انہوں نے امریکہ کو حوالگی (آپ سمجھ سکتے ہیں کہ کیوں) لڑے، جہاں انہیں ممکنہ طور پر بڑی جیل کی سزاؤں کا سامنا کرنا پڑا۔

لیکن آخر کار ایسا لگتا ہے کہ انہوں نے NZ [New Zealand/Aotearoa] میں عدالتوں کے ساتھ اور FBI اور امریکہ میں محکمہ انصاف کے ساتھ معاہدہ کر لیا ہے۔

اس کے بجائے وہ NZ میں مقدمہ چلانے، جرم قبول کرنے اور امریکی حکام کی جاری تحقیقات میں مدد کرنے پر راضی ہوئے۔

اور انہیں بالترتیب 2 سال 7 ماہ اور 2 سال 6 ماہ قید کی سزا سنائی گئی۔

---

ڈوگ  اس معاملے میں جج نے کچھ دلچسپ مشاہدات کیے، میں نے محسوس کیا۔

---

بطخ.  مجھے لگتا ہے کہ آپ وہیں ہیں، ڈوگ۔

قابل ذکر بات یہ ہے کہ یہ عدالت کا سوال نہیں تھا کہ، "ہم اس حقیقت کو قبول کرتے ہیں کہ پوری دنیا میں ان بڑے بڑے کارپوریشنز کو اربوں اور اربوں ڈالر کا نقصان ہوا۔"

درحقیقت، جج نے کہا کہ آپ کو ان دعوؤں کو ایک چٹکی بھر نمک کے ساتھ لینا ہوگا، اور یہ تجویز کرنے کے لیے شواہد کا حوالہ دیا کہ آپ صرف یہ نہیں کہہ سکتے کہ ہر وہ شخص جس نے پائریٹڈ ویڈیو ڈاؤن لوڈ کی ہے، دوسری صورت میں وہ اصل خرید چکا ہوتا۔

لہذا آپ مالیاتی نقصانات کو اس طرح شامل نہیں کر سکتے جس طرح کچھ میگا کارپس کرنا پسند کرتے ہیں۔

اس کے باوجود، انہوں نے کہا، یہ صحیح نہیں بناتا.

اور اس سے بھی اہم بات، اس نے کہا، "آپ نے واقعی چھوٹے لڑکوں کو بھی نقصان پہنچایا، اور یہ اتنا ہی اہم ہے۔"

اور اس نے NZ کے جنوبی جزیرے کے ایک انڈی سافٹ ویئر ڈویلپر کے کیس کا حوالہ دیا جس نے عدالت کو لکھا تھا کہ، "میں نے محسوس کیا کہ بحری قزاقی میری آمدنی کو بڑا نقصان پہنچا رہی ہے۔ میں نے پایا کہ خلاف ورزی کرنے والے مواد کو ہٹانے کے لیے مجھے 10 یا 20 بار Megaupload سے اپیل کرنی پڑی۔ مجھے ایسا کرنے میں کافی وقت لگا، اور اس سے کبھی کوئی فرق نہیں پڑا۔ اور اس لیے میں یہ نہیں کہہ رہا ہوں کہ وہ اس حقیقت کے لیے پوری طرح سے ذمہ دار ہیں کہ میں اپنے کاروبار سے مزید روزی نہیں کما سکتا تھا، لیکن میں یہ کہہ رہا ہوں کہ میں نے یہ ساری کوشش کی کہ وہ ان چیزوں کو نیچے لے جائیں جس کے بارے میں انھوں نے کہا کہ کرے گا، لیکن اس نے کبھی کام نہیں کیا۔"

دراصل یہ فیصلے میں کہیں اور آیا ہے… جو کہ 38 صفحات کا ہے، اس لیے یہ کافی طویل پڑھا گیا ہے، لیکن یہ بہت پڑھنے کے قابل ہے اور میرے خیال میں یہ پڑھنے کے قابل ہے۔

قابل ذکر بات یہ ہے کہ جج نے مدعا علیہان سے کہا کہ انہیں اس حقیقت کی ذمہ داری برداشت کرنی ہوگی کہ انہوں نے تسلیم کیا کہ وہ کاپی رائٹ کی خلاف ورزی کرنے والوں پر زیادہ سختی نہیں کرنا چاہتے کیونکہ "ترقی بنیادی طور پر خلاف ورزی پر مبنی ہے۔"

اور اس نے یہ بھی نوٹ کیا کہ انہوں نے ایک ٹیک ڈاؤن سسٹم وضع کیا جو بنیادی طور پر، اگر ایک ہی فائل کو ڈاؤن لوڈ کرنے کے لیے متعدد یو آر ایل موجود ہوں…

…انہوں نے فائل کی ایک کاپی اپنے پاس رکھی، اور اگر آپ URL کے بارے میں شکایت کرتے ہیں، تو وہ *اس URL* کو ہٹا دیں گے۔

---

ڈوگ  آہ ہا!

---

بطخ.  تو آپ سوچیں گے کہ انہوں نے فائل کو ہٹا دیا ہے، لیکن وہ فائل کو وہیں چھوڑ دیں گے۔

اور اس کو اس طرح بیان کیا: "آپ جانتے تھے، اور ارادہ رکھتے تھے کہ ہٹانے کا کوئی مادی اثر نہیں ہوگا۔"

جس کا دعویٰ اس انڈی کیوی سافٹ ویئر ڈویلپر نے عدالت میں اپنے بیان میں کیا تھا۔

اور انہوں نے یقیناً اس سے بہت زیادہ پیسہ کمایا ہوگا۔

اگر آپ 2012 میں کم ڈاٹ کام پر متنازعہ چھاپے کی تصاویر دیکھیں تو…

…اس کے پاس یہ بہت بڑی جائیداد تھی، اور یہ تمام فلیش کاریں جن میں عجیب و غریب نمبر پلیٹس [گاڑیوں کے ٹیگز] جیسے GOD اور GUILTY، جیسے وہ کسی چیز کی توقع کر رہا ہو۔ [ہنسی]

میگا اپ لوڈ ٹیک ڈاؤن شہ سرخیوں اور لہروں کا باعث بنتا ہے کیونکہ مسٹر ڈاٹ کام نے ضمانت کے لیے درخواست دی ہے۔

لہذا، کم ڈاٹ کام اب بھی اس کی حوالگی سے لڑ رہا ہے، لیکن ان دیگر دو نے فیصلہ کیا ہے کہ وہ اس کو ختم کرنا چاہتے ہیں۔

لہذا انہوں نے جرم قبول کیا، اور جیسا کہ ہمارے کچھ تبصرہ نگاروں نے نیکڈ سیکیورٹی پر اشارہ کیا ہے، "گولی، جس کے لیے ایسا لگتا ہے کہ انہوں نے کیا کیا جب آپ تفصیل سے فیصلے کو پڑھتے ہیں، یہ لگتا ہے کہ ان کی سزا ہلکی تھی۔"

لیکن جس طرح سے اس کا حساب لگایا گیا وہ یہ ہے کہ جج نے کام کیا کہ اس نے سوچا کہ اوٹیاروا قانون کے تحت انہیں زیادہ سے زیادہ سزا 10 سال ہونی چاہئے۔

اور پھر اس نے سوچا، اس حقیقت کی بنیاد پر کہ وہ جرم کا اعتراف کر رہے ہیں، کہ وہ تعاون کرنے جا رہے ہیں، کہ وہ $10 ملین واپس کرنے جا رہے ہیں، وغیرہ وغیرہ، کہ انہیں 75% چھوٹ ملنی چاہیے۔

اور میری سمجھ میں اس کا مطلب یہ ہے کہ وہ اس خوف پر سو جائیں گے کہ انہیں امریکہ کے حوالے کر دیا جائے گا، کیونکہ میری سمجھ کے مطابق محکمہ انصاف نے کہا ہے، "ٹھیک ہے، ہم سزا اور سزا کسی دوسرے ملک میں ہونے دیں گے۔ "

دس سال سے زیادہ کا عرصہ گزر گیا، اور ابھی تک ختم نہیں ہوا!

آپ یہ کہیں گے، ڈوگ…

---

ڈوگ  یسس!

ہم اس پر نظر رکھیں گے۔

آپ کا شکریہ؛ چلو آگے بڑھتے ہیں

اگر آپ کے پاس ASUS راؤٹر ہے، تو آپ کے پاس کچھ پیچ کرنا ہو سکتا ہے، حالانکہ کچھ خطرناک خطرات کے لیے یہاں کافی پیچیدہ ٹائم لائن ہے، پال۔

ASUS نے راؤٹر کے صارفین کو خبردار کیا: ابھی پیچ کریں، یا تمام ان باؤنڈ درخواستوں کو بلاک کریں۔

---

بطخ.  ہاں، یہ ناقابل یقین حد تک واضح نہیں ہے کہ جب یہ پیچ راؤٹر کے متعدد ماڈلز کے لیے سامنے آئے جو ایڈوائزری میں درج ہیں۔

ہمارے کچھ قارئین کہہ رہے ہیں، "ٹھیک ہے، میں نے جا کر ایک نظر ڈالی۔ میرے پاس ان راؤٹرز میں سے ایک ہے اور یہ فہرست میں ہے، لیکن کوئی پیچ *اب* نہیں ہیں۔ لیکن مجھے تھوڑی دیر پہلے کچھ پیچ ملے تھے جو ان مسائل کو حل کرنے کے لیے لگ رہے تھے… تو پھر ایڈوائزری *اب* کیوں؟

اور جواب ہے، "ہمیں نہیں معلوم۔"

سوائے، شاید، کہ ASUS نے دریافت کیا ہے کہ بدمعاش ان پر ہیں؟

لیکن یہ صرف نہیں ہے، "ارے، ہم آپ کو پیچ کرنے کی تجویز کرتے ہیں۔"

وہ کہہ رہے ہیں کہ آپ کو پیچ لگانے کی ضرورت ہے، اور اگر آپ ایسا کرنے کے لیے تیار نہیں ہیں یا اس سے قاصر ہیں، تو ہم "سخت مشورہ دیتے ہیں کہ (جس کا بنیادی مطلب ہے 'آپ کے پاس بہتر تھا') ممکنہ ناپسندیدہ مداخلتوں سے بچنے کے لیے اپنے روٹر کے WAN سائیڈ سے قابل رسائی خدمات کو غیر فعال کر دیں۔"

اور یہ صرف آپ کی عام انتباہ نہیں ہے، "اوہ، یقینی بنائیں کہ آپ کا ایڈمن انٹرفیس انٹرنیٹ پر نظر نہیں آ رہا ہے۔"

وہ نوٹ کر رہے ہیں کہ آنے والی درخواستوں کو مسدود کرنے سے ان کا مطلب یہ ہے کہ آپ کو بنیادی طور پر *ہر چیز* کو بند کرنے کی ضرورت ہے جس میں روٹر کو قبول کرنا شامل ہے باہر سے کچھ نیٹ ورک کنکشن شروع کرنا…

…بشمول ریموٹ ایڈمنسٹریشن، پورٹ فارورڈنگ (اگر آپ اسے گیمنگ کے لیے استعمال کرتے ہیں تو بدقسمتی)، ڈائنامک DNS، کوئی بھی VPN سرورز، اور جسے وہ پورٹ ٹرگرنگ کہتے ہیں، جو میرے خیال میں پورٹ نوکنگ ہے، جہاں آپ کسی خاص کنکشن کا انتظار کرتے ہیں اور صرف اس وقت جب آپ اس کنکشن کو دیکھیں کہ کیا آپ مقامی طور پر کسی سروس کو برطرف کرتے ہیں۔

لہذا یہ صرف ویب درخواستیں نہیں ہیں جو یہاں خطرناک ہیں، یا یہ کہ کچھ بگ ہو سکتا ہے جو کسی کو خفیہ صارف نام کے ساتھ لاگ ان کرنے دیتا ہے۔

یہ مختلف قسم کے نیٹ ورک ٹریفک کی ایک پوری رینج ہے کہ اگر یہ باہر سے آپ کے راؤٹر تک پہنچ سکتا ہے، تو آپ کے روٹر کو روک سکتا ہے، ایسا لگتا ہے۔

تو یہ بہت ضروری لگتا ہے!

---

ڈوگ  یہاں دو اہم کمزوریاں…

…ایک قومی کمزوری کا ڈیٹا بیس ہے، NVD، جو ایک سے دس کے پیمانے پر کمزوریوں کو اسکور کرتا ہے، اور یہ دونوں 9.8/10 ہیں۔

اور پھر یہاں دوسرے لوگوں کا ایک پورا گروپ ہے جو کہ 7.5، 8.1، 8.8… چیزوں کا ایک پورا گروپ ہے جو یہاں کافی خطرناک ہے۔ پال

---

بطخ.  جی ہاں.

"9.8 CRITICAL"، تمام بڑے حروف میں، اس قسم کی چیز ہے جس کا مطلب ہے [سرگوشی]، "اگر بدمعاشوں کو یہ پتہ چل جاتا ہے، تو وہ ایک دھبے کی طرح اس پر پورا اتریں گے۔"

اور ان دو 9.8/10 بیڈنس اسکور والینز کے بارے میں شاید سب سے عجیب بات یہ ہے کہ ان میں سے ایک CVE-2022-26376 ہے، اور یہ HTTP unescaping میں ایک بگ ہے، جو بنیادی طور پر اس وقت ہوتا ہے جب آپ کے پاس مضحکہ خیز کرداروں والا URL ہوتا ہے، جیسے، خالی جگہیں…

…آپ کے پاس قانونی طور پر URL میں جگہ نہیں ہو سکتی۔ آپ کو ڈالنا ہوگا %20 اس کے بجائے، اس کا ہیکساڈیسیمل کوڈ۔

روٹر پر کسی بھی قسم کے یو آر ایل پر کارروائی کرنے کے لیے یہ کافی بنیادی ہے۔

اور یہ ایک بگ تھا جس کا انکشاف ہوا، جیسا کہ آپ نمبر سے دیکھ سکتے ہیں، 2022 میں!

اور نام نہاد نیٹٹالک پروٹوکول میں ایک اور ہے (جو ایپل کمپیوٹرز کو سپورٹ فراہم کرتا ہے) جو کہ کمزوری تھی، ڈوگ، CVE-2018-1160۔

---

ڈوگ  یہ ایک طویل وقت پہلے تھا!

---

بطخ.  یہ تھا!

یہ دراصل Netatalk کے ایک ورژن میں طے کیا گیا تھا جو میرے خیال میں ورژن 3.1.12 تھا، جو 20 دسمبر *2018* کو سامنے آیا تھا۔

اور وہ ابھی صرف "آپ کو Netatalk کا نیا ورژن حاصل کرنے کی ضرورت ہے" کے بارے میں خبردار کر رہے ہیں، کیونکہ ایسا لگتا ہے کہ اس کا بھی بدمعاش پیکٹ کے ذریعے استحصال کیا جا سکتا ہے۔

لہذا آپ کو میک کی ضرورت نہیں ہے۔ آپ کو ایپل سافٹ ویئر کی ضرورت نہیں ہے۔

آپ کو صرف ایک ایسی چیز کی ضرورت ہے جو نیٹ ٹاک کو مدلل انداز میں بات کرے، اور یہ آپ کو صوابدیدی میموری لکھنے تک رسائی دے سکتا ہے۔

اور 9.8/10 بگ سکور کے ساتھ، آپ کو یہ سمجھنا ہوگا کہ "ریموٹ آؤٹسڈر ایک یا دو نیٹ ورک پیکٹوں میں پوک کرتا ہے، آپ کے روٹر کو مکمل طور پر روٹ لیول تک رسائی، ریموٹ کوڈ پر عمل درآمد ہارر کے ساتھ لے جاتا ہے!"

تو لوگوں کو متنبہ کرنے میں انہیں اتنا وقت کیوں لگا کہ انہیں اس پانچ سال پرانے مسئلے کو ٹھیک کرنے کی ضرورت ہے…

…اور کیوں ان کے پاس پانچ سال پہلے کے پانچ سال پرانے مسئلے کو ٹھیک نہیں کیا گیا تھا اس کی وضاحت نہیں کی گئی ہے۔

---

ڈوگ  ٹھیک ہے، تو وہاں راؤٹرز کی ایک فہرست ہے جسے آپ کو چیک کرنا چاہیے، اور اگر آپ پیچ نہیں کر سکتے، تو آپ کو وہ سب کچھ کرنا ہوگا جو "ان باؤنڈ تمام چیزوں کو بلاک کریں"۔

لیکن مجھے لگتا ہے کہ ہمارا مشورہ پیچ ہوگا۔

اور میرا پسندیدہ مشورہ: اگر آپ پروگرامر ہیں، تو اپنے ان پٹس کو صاف کریں، براہ کرم!

---

بطخ.  ہاں، لٹل بوبی ٹیبلز ایک بار پھر نمودار ہوئی ہیں، ڈوگ۔

کیونکہ دوسرے کیڑے میں سے ایک جو 9.8 کی سطح پر نہیں تھا (یہ 7/10 یا 8/10 کی سطح پر تھا) CVE-2023-28702 تھا۔

یہ بنیادی طور پر ایک بار پھر MOVEit قسم کا بگ ہے: ویب یو آر ایل ان پٹ میں غیر فلٹر شدہ خصوصی حروف کمانڈ انجیکشن کا سبب بن سکتے ہیں۔

تو یہ سائبر کرائمینلز کے لیے پینٹ کرنے کے لیے ایک خوبصورت وسیع برش کی طرح لگتا ہے۔

اور CVE-2023-31195 تھا جس نے میری توجہ حاصل کی، سیشن ہائی جیک.

پروگرامرز ترتیب دے رہے تھے کہ بنیادی طور پر توثیق کرنے والی ٹوکن کوکیز کیا ہیں… وہ جادوئی تار جو، اگر براؤزر انہیں مستقبل کی درخواستوں میں فیڈ کر سکتا ہے، سرور کو ثابت کرتا ہے کہ سیشن کے شروع میں صارف نے لاگ ان کیا تھا، اس کے پاس صحیح صارف نام، صحیح پاس ورڈ تھا۔ ، صحیح 2FA کوڈ، جو بھی ہو۔

اور اب وہ یہ جادوئی "رسائی کارڈ" لا رہے ہیں۔

لہذا، آپ کو ان کوکیز کو ٹیگ کرنے کی ضرورت ہے، جب آپ انہیں سیٹ کرتے ہیں، تاکہ وہ کبھی بھی غیر خفیہ کردہ HTTP درخواستوں میں منتقل نہ ہوں۔

اس طرح کسی بدمعاش کے لیے انہیں ہائی جیک کرنا بہت مشکل ہو جاتا ہے… اور وہ ایسا کرنا بھول گئے!

تو یہ پروگرامرز کے لیے ایک اور چیز ہے: جا کر جائزہ لیں کہ آپ نے واقعی اہم کوکیز کیسے ترتیب دی ہیں، جن میں یا تو نجی معلومات ہیں یا ان میں تصدیقی معلومات ہیں، اور یقینی بنائیں کہ آپ انہیں نادانستہ اور آسان نمائش کے لیے کھلا نہیں چھوڑ رہے ہیں۔

---

ڈوگ  میں اسے نشان زد کر رہا ہوں (میرے بہتر فیصلے کے خلاف، لیکن یہ اب تک کی دو کہانیوں میں سے دوسری ہے) جس پر ہم نظر رکھیں گے۔

---

بطخ.  میرے خیال میں آپ ٹھیک کہہ رہے ہیں، ڈوگ، کیوں کہ میں واقعی میں نہیں جانتا کہ کیوں، کچھ راؤٹرز کے لیے یہ پیچ پہلے ہی ظاہر ہو چکے تھے (اگرچہ آپ کی خواہش سے زیادہ بعد میں)… *اب* کیوں؟

اور میرا اندازہ ہے کہ کہانی کا کچھ حصہ اب بھی سامنے آنا ہے۔

---

ڈوگ  پتہ چلتا ہے کہ ہم اس MOVEit کہانی پر بالکل نظر نہیں رکھ سکتے۔

تو، ہمارے پاس اس ہفتے کیا ہے، پال؟

MOVEit تباہی 3: "HTTP اور HTTPS ٹریفک کو فوری طور پر غیر فعال کریں"

---

بطخ.  ٹھیک ہے، افسوس کی بات ہے کہ پروگریس سافٹ ویئر کے لیے، تیسری بس ایک ساتھ آ گئی، جیسا کہ یہ تھا۔ [ہنسی]

لہٰذا، صرف ریکاپ کرنے کے لیے، پہلا CVE-2023-34362 تھا، جب پروگریس سافٹ ویئر نے کہا، "اوہ نہیں! ایک صفر دن ہے - ہمیں حقیقی طور پر اس کے بارے میں معلوم نہیں تھا۔ یہ ایک ایس کیو ایل انجیکشن ہے، کمانڈ انجیکشن کا مسئلہ۔ یہ ہے پیچ۔ لیکن یہ ایک صفر دن تھا، اور ہمیں اس کے بارے میں پتہ چلا کیونکہ ransomware کے بدمعاش، بھتہ خوری کے بدمعاش، فعال طور پر اس کا استحصال کر رہے تھے۔ یہاں سمجھوتے کے کچھ اشارے [IoCs] ہیں۔

لہذا انہوں نے تمام صحیح کام کیے، جتنی جلدی وہ کر سکتے تھے، ایک بار جب انہیں معلوم ہوا کہ کوئی مسئلہ ہے۔

پھر انہوں نے جا کر اپنے کوڈ کا جائزہ لیا، یہ سوچتے ہوئے، "آپ کو کیا معلوم، اگر پروگرامرز نے ایک جگہ یہ غلطی کی ہے، تو شاید انہوں نے کوڈ کے دوسرے حصوں میں بھی کچھ ایسی ہی غلطیاں کی ہوں۔"

اور اس کی وجہ سے CVE-2023-35036 ہوا، جہاں انہوں نے فعال طور پر سوراخوں کو پیوند کیا جو اصل کی طرح تھے، لیکن جہاں تک وہ جانتے تھے، انہوں نے انہیں پہلے پایا۔

اور، دیکھو، پھر ایک تیسرا خطرہ تھا۔

یہ CVE-2023-35708 ہے، جہاں ایسا لگتا ہے کہ جس شخص نے اسے پایا، یقیناً یہ اچھی طرح جانتے ہوئے کہ پروگریس سافٹ ویئر ذمہ دارانہ انکشاف اور فوری ردعمل کے لیے مکمل طور پر کھلا تھا…

…بہر حال عوامی جانے کا فیصلہ کیا۔

لہذا میں نہیں جانتا کہ آپ اسے "'مکمل انکشاف" کہتے ہیں (میرے خیال میں یہ اس کا سرکاری نام ہے)، "غیر ذمہ دارانہ انکشاف" (میں نے سنا ہے کہ اسے سوفوس کے دوسرے لوگوں نے بھی اسی طرح کہا ہے) یا "ڈراپنگ تفریح ​​کے لیے 0 دن"، جس طرح میں اس کے بارے میں سوچتا ہوں۔

تو یہ تھوڑا سا افسوس کی بات تھی۔

اور اس طرح پروگریس سافٹ ویئر نے کہا، "دیکھو، کسی نے اس 0 دن کو چھوڑ دیا ہے۔ ہم اس کے بارے میں نہیں جانتے تھے؛ ہم پیچ پر کام کر رہے ہیں۔ اس چھوٹے سے عبوری دور میں، بس اپنا ویب انٹرفیس بند کر دیں (ہم جانتے ہیں کہ یہ ایک پریشانی ہے)، اور ہمیں پیچ کی جانچ مکمل کرنے دیں۔"

اور تقریبا ایک دن کے اندر انہوں نے کہا، "ٹھیک ہے، یہ ہے پیچ، اب اسے لاگو کریں. پھر، اگر آپ چاہیں تو، آپ اپنے ویب انٹرفیس کو دوبارہ آن کر سکتے ہیں۔"

تو میں سمجھتا ہوں، مجموعی طور پر، اگرچہ یہ سب سے پہلے کیڑے رکھنے کے لیے پروگریس سافٹ ویئر کے لیے بری نظر ہے…

…اگر آپ کے ساتھ کبھی ایسا ہونا چاہیے، تو ان کے جواب کی پیروی کرنا، میری رائے میں، ایسا کرنے کا ایک بہت ہی خوشگوار طریقہ ہے!

---

ڈوگ  ہاں، ہمارے پاس پروگریس سافٹ ویئر کی تعریف ہے، بشمول اس کہانی پر اس ہفتے کے لیے ہمارا تبصرہ۔

آدم کا تبصرہ:

ایسا لگتا ہے کہ حال ہی میں MOVEit کے لئے جانا مشکل ہے، لیکن میں ان کے تیز، فعال، اور بظاہر ایماندارانہ کام کے لئے ان کی تعریف کرتا ہوں۔

وہ نظریاتی طور پر اس سب کو خاموش رکھنے کی کوشش کر سکتے تھے، لیکن اس کے بجائے وہ اس مسئلے اور اس کے بارے میں کیا کرنے کی ضرورت کے بارے میں بالکل سامنے رہے ہیں۔

کم از کم اس سے وہ میری نظروں میں زیادہ قابل اعتماد نظر آتے ہیں…

…اور مجھے لگتا ہے کہ یہ ایک ایسا جذبہ ہے جو دوسروں کے ساتھ بھی شیئر کیا جاتا ہے، پال۔

---

بطخ.  یہ واقعی ہے.

ہم نے اپنے سوشل میڈیا چینلز پر بھی یہی بات سنی ہے: اگرچہ یہ افسوسناک ہے کہ ان کے پاس یہ بگ تھا، اور ہر کوئی چاہتا ہے کہ وہ ایسا نہ کرے، لیکن وہ اب بھی کمپنی پر بھروسہ کرنے کے لیے مائل ہیں۔

درحقیقت، وہ کمپنی پر پہلے سے زیادہ بھروسہ کرنے کی طرف مائل ہو سکتے ہیں، کیونکہ وہ سمجھتے ہیں کہ بحران میں وہ ٹھنڈے رہتے ہیں۔

---

ڈوگ  بہت اچھا.

ٹھیک ہے، آپ کا شکریہ، ایڈم، اسے اندر بھیجنے کے لیے۔

اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔

آپ tips@sophos.com پر ای میل کر سکتے ہیں، آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، یا آپ ہمیں سوشل: @nakedsecurity پر مار سکتے ہیں۔

یہ آج کے لیے ہمارا شو ہے؛ سننے کے لیے بہت شکریہ

پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو اگلی بار تک یاد دلاتا ہوں کہ...

---

دونوں  محفوظ رہو!

[میوزیکل موڈیم]