یو ایس سائبر سیکیورٹی گانا گائیں۔
آپ کے میک کی کیلنڈر ایپ کیوں کہتی ہے کہ یہ 17 جولائی ہے۔ ایک پیچایک لائن، ایک فائل۔ اس کے ساتھ احتیاط کریں۔ {کلہاڑی، فائل}، یوجین۔ طوفان کا موسم مائیکروسافٹ کے لئے. جب ٹائپنگ کی غلطیاں آپ کو خوشی کے لیے گانے پر مجبور کرتی ہیں۔
نیچے کوئی آڈیو پلیئر نہیں ہے؟ سنو براہ راست ساؤنڈ کلاؤڈ پر۔
ڈوگ آموت اور پال ڈکلن کے ساتھ۔ انٹرو اور آؤٹرو میوزک بذریعہ ایڈتھ موج.
آپ ہماری بات سن سکتے ہیں۔ پر SoundCloud, ایپل پوڈ, گوگل پوڈ کاسٹ, Spotify اور جہاں بھی اچھے پوڈ کاسٹ ملتے ہیں۔ یا صرف ڈراپ کریں۔ ہمارے RSS فیڈ کا URL اپنے پسندیدہ پوڈ کیچر میں۔
ٹرانسکرپٹ پڑھیں
ڈوگ ہاتھ سے پیچ کرنا، مائیکروسافٹ کے زیرو دن کے دو قسم، اور "اس فائل کے ساتھ محتاط رہیں، یوجین۔"
وہ سب کچھ، اور بہت کچھ، ننگی سیکیورٹی پوڈ کاسٹ پر۔
[میوزیکل موڈیم]
پوڈ کاسٹ میں خوش آمدید، سب۔
میں ڈوگ آموت ہوں؛ وہ پال ڈکلن ہے۔
پال، آج آپ کیسے کر رہے ہیں؟
بطخ. کیا آپ اشارہ کر رہے تھے؟ پنک فلائیڈ?
ڈوگ *دی* گلابی Floyd، جی ہاں!
بطخ. یہ وہی نام ہے جس سے وہ اصل میں جانے جاتے تھے، مجھے یقین ہے۔
ڈوگ اوہ ، واقعی؟
بطخ. انہوں نے "The" کو گرا دیا کیونکہ میرے خیال میں یہ راستے میں آ گیا۔
پنک فلائیڈ۔
ڈوگ یہ ایک مزے کی حقیقت ہے!
اور جیسا کہ قسمت میں ہوگا، میرے پاس اور بھی ہے۔ مزہ حقائق آپ کے لیے…
آپ جانتے ہیں کہ ہم شو شروع کرتے ہیں۔ ٹیک ہسٹری میں یہ ہفتہ، اور آج ہمارے پاس دو فیر ہے۔
اس ہفتے، 17 جولائی 2002 کو، ایپل نے "iCal" متعارف کرایا: کیلنڈر سافٹ ویئر جس میں انٹرنیٹ پر مبنی کیلنڈر شیئرنگ اور متعدد کیلنڈرز کو منظم کرنے کی صلاحیت موجود ہے۔
ایپ کے آئیکون پر "JUL 17" نمایاں طور پر نمایاں تھا، جس کی وجہ سے 17 جولائی کو عالمی یوم ایموجی بن گیا، جو 2014 میں قائم ہوا۔
یہ کافی متاثر کن اثر ہے، پال!
بطخ. اگرچہ. آپ کے آئی فون پر، آپ دیکھیں گے کہ آئیکن آج کی تاریخ میں بدل جاتا ہے، کیونکہ یہ بہت آسان ہے۔
اور آپ دیکھیں گے کہ دوسرے سروس فراہم کنندگان نے مختلف تاریخوں کا انتخاب کیا بھی ہو سکتا ہے یا نہیں بھی، کیونکہ "آپ کے مقابلے کی کاپی کیوں کریں"۔
ڈوگ ٹھیک ہے، چلو اس میں آتے ہیں۔
ہم اپنی پہلی کہانی کے بارے میں بات کریں گے۔
یہ زمبرا اور مہم جوئی کے بارے میں ہے۔ کراس سائٹ اسکرپٹنگ.
اچھا پرانا XSS، پال:
زمبرا کولابریشن سویٹ وارننگ: اس 0 دن کو ابھی (ہاتھ سے) پیچ کریں!
بطخ. جی ہاں.
یہ وہ جگہ ہے جہاں آپ بنیادی طور پر کسی ویب سائٹ کو ہیک کرنے کے قابل ہیں تاکہ خود سرور میں داخل ہوئے بغیر بدمعاش جاوا اسکرپٹ کو شامل کیا جاسکے۔
آپ کچھ کارروائی کرتے ہیں، یا اس سائٹ کا کچھ لنک بناتے ہیں، جو سائٹ کو اس کے جواب میں ایسے مواد کو شامل کرنے کی چال کرتا ہے جس کا صرف ذکر ہی نہیں ہوتا، مثال کے طور پر، آپ نے جس تلاش کی اصطلاح میں ٹائپ کیا ہے، جیسے My Search Term
، لیکن اس میں اضافی متن شامل ہے جو وہاں نہیں ہونا چاہئے، جیسے My search <script> rogue JavaScript </script>
.
دوسرے لفظوں میں، آپ کسی سائٹ کو ایڈریس بار میں اس کے اپنے URL کے ساتھ مواد ڈسپلے کرنے کے لیے دھوکہ دیتے ہیں، جس میں ناقابل اعتماد JavaScript ہوتا ہے۔
اور اس کا مطلب یہ ہے کہ آپ نے چپکے سے جو جاوا اسکرپٹ لگایا ہے اس کی اصل میں اس سائٹ کی سیٹ کردہ تمام کوکیز تک رسائی ہے۔
تو یہ ان کو چرا سکتا ہے۔ یہ ذاتی ڈیٹا چوری کر سکتا ہے؛ اور، اس سے بھی اہم بات، یہ شاید توثیق کے ٹوکن اور اس طرح کی چیزیں چوری کر سکتا ہے تاکہ بدمعاشوں کو اگلی بار واپس آنے دیا جا سکے۔
ڈوگ ٹھیک ہے، تو زمبرا نے اس معاملے میں کیا کیا؟
بطخ. ٹھیک ہے، اچھی خبر یہ ہے کہ انہوں نے فوری ردعمل کا اظہار کیا کیونکہ، یقیناً، یہ صفر کا دن تھا۔
بدمعاش اسے پہلے ہی استعمال کر رہے تھے۔
لہذا انہوں نے حقیقت میں یہ کہنے کا تھوڑا سا غیر معمولی طریقہ اختیار کیا، "ہمارے پاس پیچ آ گیا ہے۔ آپ کو یہ بہت جلد مل جائے گا۔"
لیکن انہوں نے کافی سوچ سمجھ کر کہا، "ہم سمجھتے ہیں کہ آپ جلد کارروائی کرنا چاہتے ہیں بجائے بعد میں۔"
اب، بدقسمتی سے، اس کا مطلب یہ ہے کہ اپنے تمام میل باکس نوڈس پر پروڈکٹ ڈسٹری بیوشن میں ایک فائل میں کوڈ کی ایک لائن کو پیچ کرنے کے لیے اپنی مرضی کا اسکرپٹ لکھیں۔
لیکن یہ ایک بہت چھوٹا اور آسان حل ہے۔
اور، یقیناً، کیونکہ یہ ایک لائن ہے، آپ آسانی سے فائل کو اس میں تبدیل کر سکتے ہیں جو وہ تھی اگر اس سے مسائل پیدا ہوں۔
اگر آپ بدمعاشوں سے آگے نکلنے کے خواہشمند تھے، تو آپ مکمل ریلیز کے گرنے کا انتظار کیے بغیر ایسا کر سکتے ہیں…
ڈوگ اور کیا کمال کا احساس بھی!
ابھی کچھ وقت ہو گیا ہے جب ہم اپنی آستینیں لپیٹنے میں کامیاب ہو گئے ہیں اور صرف ہاتھ سے کچھ اس طرح سے پیوند لگا رہے ہیں۔
یہ سنیچر کی صبح سنک کو ٹھیک کرنے جیسا ہے… اس کے بعد آپ کو اچھا لگتا ہے۔
لہذا اگر میں زمبرا استعمال کرنے والا ہوتا، تو میں یہ سب کچھ صرف اس لیے چھلانگ لگا رہا ہوتا کہ میں اپنے ہاتھ اٹھانا پسند کرتا ہوں... [ہنسی]
بطخ. اور، سنک کو پیچ کرنے کے برعکس، تنگ الماریوں میں کوئی رینگنا نہیں تھا، اور آپ کی پوری جائیداد کے سیلاب کا کوئی خطرہ نہیں تھا۔
درستگی واضح اور اچھی طرح سے بیان کی گئی تھی۔
کوڈ کی ایک لائن ایک فائل میں بدل گئی۔
ڈوگ ٹھیک ہے، تو اگر میں ایک پروگرامر ہوں، تو میں اس طرح کے کراس سائٹ اسکرپٹنگ سے بچنے کے لیے کیا اقدامات کر سکتا ہوں؟
بطخ. ٹھیک ہے، اس بگ، ڈوگ کے بارے میں اچھی بات یہ ہے کہ یہ تقریباً ان چیزوں کے لیے دستاویزات کے طور پر کام کرتا ہے جن کی آپ کو کراس سائٹ اسکرپٹنگ میں تلاش کرنے کی ضرورت ہے۔
پیچ سے پتہ چلتا ہے کہ سرور سائیڈ کا ایک جزو ہے جو صرف ایک سٹرنگ لے رہا تھا اور اس سٹرنگ کو ویب فارم کے اندر استعمال کر رہا تھا جو صارف کے براؤزر میں دوسرے سرے پر ظاہر ہوگا۔
اور آپ دیکھ سکتے ہیں کہ پروگرام *اب* کیا کرتا ہے (یہ خاص سافٹ ویئر جاوا میں لکھا گیا ہے)… اسے ایک فنکشن کہتے ہیں۔ escapeXML()
، جو ہے، اگر آپ چاہیں تو، ایک ٹیکسٹ سٹرنگ لینے کا ایک صحیح طریقہ جسے آپ ڈسپلے کرنا چاہتے ہیں اور اس بات کو یقینی بناتے ہیں کہ وہاں کوئی جادوئی XML یا HTML حروف موجود نہیں ہیں جو براؤزر کو دھوکہ دے سکتے ہیں۔
خاص طور پر: سے کم (<
); اس سے بڑا (>
); ایمپرسینڈ (&
); ڈبل اقتباس ("
); یا واحد اقتباس، جسے apostrophe بھی کہا جاتا ہے ('
).
وہ اپنے طویل شکل، محفوظ HTML کوڈز میں تبدیل ہو جاتے ہیں۔
اگر میں اپنے معیاری ننگے سیکورٹی کلچ کو استعمال کر سکتا ہوں، ڈوگ: اپنے آدانوں کو صاف کریں۔ یہاں سب سے نیچے کی لائن ہے.
ڈوگ اوہ، میں اس سے محبت کرتا ہوں!
زبردست. چلو آگے بڑھتے ہیں گلابی Floydظاہر ہے… ہم اس سارے شو کا انتظار کر رہے ہیں۔
اگر پنک فلائیڈ سائبرسیکیوریٹی کے محقق تھے، تو یہ تصور کرنے میں مزہ آتا ہے کہ انہوں نے ایک ہٹ گانا لکھا ہوگااس فائل کے ساتھ ہوشیار رہنا، یوجیناس کے بجائے، پال۔ پنک فلائیڈ نے مشہور طور پر ایک گانا تیار کیا۔ اس کلہاڑی سے ہوشیار رہو، یوجین۔]
بطخ. بے شک
"اس فائل کے ساتھ محتاط رہیں" ایک یاد دہانی ہے کہ بعض اوقات، جب آپ کسی آن لائن سروس پر فائل اپ لوڈ کرتے ہیں، اگر آپ غلط کو منتخب کرتے ہیں، تو آپ فائل کو دوبارہ تقسیم کر سکتے ہیں، مثال کے طور پر، اسے محفوظ اسٹوریج کے لیے اپ لوڈ کرنے کے بجائے۔
خوش قسمتی سے اس معاملے میں زیادہ نقصان نہیں ہوا لیکن گوگل کی وائرس ٹوٹل سروس میں یہی کچھ ہوا۔
سننے والے شاید جانتے ہوں گے کہ وائرس ٹوٹل ایک بہت مشہور سروس ہے جہاں، اگر آپ کے پاس کوئی فائل ہے جس کے بارے میں یا تو آپ جانتے ہیں کہ یہ میلویئر ہے اور آپ جاننا چاہتے ہیں کہ بہت سی مختلف مصنوعات اسے کیا کہتے ہیں (تاکہ آپ کو معلوم ہو کہ آپ کے خطرے کے نوشتہ جات میں کیا تلاش کرنا ہے)، یا اگر آپ سوچتے ہیں، "شاید میں زیادہ سے زیادہ دکانداروں تک محفوظ طریقے سے نمونہ حاصل کرنا چاہتا ہوں، جتنی جلدی ممکن ہو..."
پھر آپ وائرس ٹوٹل پر اپ لوڈ کرتے ہیں۔
فائل کا مقصد درجنوں سائبر سیکیورٹی کمپنیوں کو تقریباً فوری طور پر دستیاب ہونا ہے۔
یہ دنیا میں نشر کرنے، یا اسے کسی آن لائن کلاؤڈ اسٹوریج بالٹی میں اپ لوڈ کرنے جیسا نہیں ہے، لیکن سروس ** کا مقصد اس فائل کو دوسرے لوگوں کے ساتھ شیئر کرنا ہے۔
اور بدقسمتی سے، ایسا لگتا ہے کہ وائرس ٹوٹل کے اندر موجود ایک ملازم نے غلطی سے ایک داخلی فائل اپ لوڈ کر دی ہے جو کہ وائرس ٹوٹل پورٹل پر صارفین کے ای میل پتوں کی فہرست تھی، نہ کہ اس پورٹل پر جس کا انہیں استعمال کرنا تھا۔
اب، ڈوگ، اس کہانی کو لکھنے کی اصل وجہ یہ ہے۔
ہنسنے سے پہلے؛ انگلی اٹھانے سے پہلے اس سے پہلے کہ آپ کہیں، "وہ کیا سوچ رہے تھے؟"…
..رکیں اور اپنے آپ سے یہ ایک سوال پوچھیں۔
"کیا میں نے کبھی غلطی سے غلط شخص کو ای میل بھیجی ہے؟" [ہنسی]
یہ ایک بیاناتی سوال ہے۔ [مزید ہنسی]
ہم سب نے یہ کیا ہے…
ڈوگ یہ بیان بازی ہے!
بطخ. …ہم میں سے کچھ ایک سے زیادہ بار۔ [ہنسی]
اور اگر آپ نے کبھی ایسا کیا ہے، تو اس بات کی کیا ضمانت ہے کہ آپ غلطی سے غلط *سرور* پر فائل اپ لوڈ نہیں کریں گے، اسی قسم کی غلطی کرتے ہوئے؟
یہ ایک یاد دہانی ہے کہ کپ اور ہونٹ کے درمیان بہت سی پرچی، ڈگلس ہے۔
ڈوگ ٹھیک ہے، ہمارے پاس یہاں اچھے لوگوں کے لیے کچھ مشورے ہیں، جن کے ساتھ شروع کرتے ہوئے، میں کہوں گا، ہمارے سب سے زیادہ غیر مقبول مشورے میں سے ایک: آن لائن اکاؤنٹس سے لاگ آؤٹ کریں جب بھی آپ اصل میں ان کا استعمال نہیں کر رہے ہیں۔
بطخ. جی ہاں.
اب، ستم ظریفی یہ ہے کہ اس معاملے میں شاید اس سے کوئی فائدہ نہیں ہوا کیونکہ، جیسا کہ آپ تصور کر سکتے ہیں، وائرس ٹوٹل کو خاص طور پر انجنیئر کیا گیا ہے تاکہ کوئی بھی فائلوں کو *اپ لوڈ* کر سکے (کیونکہ ان کا مقصد ان لوگوں کے لیے جلدی سے شیئر کیا جانا ہے جنہیں انہیں دیکھنے کی ضرورت ہے)، لیکن صرف بھروسہ مند گاہک ہی چیزیں *ڈاؤن لوڈ* کرسکتے ہیں (کیونکہ وہ اکثر ایسا تصور کرتے ہیں کہ وہ دستیاب نہیں ہیں، اس لیے کہ وہ دستیاب نہیں ہیں) کوئی بھی)۔
لیکن جب آپ ان سائٹس کی تعداد کے بارے میں سوچتے ہیں جن پر آپ ہر وقت لاگ ان رہتے ہیں، تو اس سے یہ امکان بڑھ جاتا ہے کہ آپ صحیح فائل لیں گے اور اسے غلط جگہ پر اپ لوڈ کریں گے۔
اگر آپ کسی سائٹ میں لاگ ان نہیں ہیں اور آپ غلطی سے وہاں فائل اپ لوڈ کرنے کی کوشش کرتے ہیں، تو آپ کو لاگ ان پرامپٹ ملے گا…
…اور آپ خود آپ کی حفاظت کریں گے!
یہ ایک حیرت انگیز طور پر آسان حل ہے، لیکن جیسا کہ آپ کہتے ہیں، یہ اشتعال انگیز طور پر غیر مقبول بھی ہے کیونکہ یہ معمولی طور پر تکلیف دہ ہے۔ [ہنسی]
ڈوگ جی ہاں!
بطخ. بعض اوقات، تاہم، آپ کو ٹیم کے لیے ایک لینا پڑتا ہے۔
ڈوگ تمام ذمہ داریوں کو آخری صارفین پر منتقل نہ کرنا: اگر آپ IT ٹیم میں ہیں، تو کنٹرول رکھنے پر غور کریں جس پر صارف کس قسم کی فائلیں کس کو بھیج سکتے ہیں۔
بطخ. بدقسمتی سے، اس قسم کی بلاکنگ غیر مقبول ہے، اگر آپ سکے کے دوسری طرف اس وجہ سے چاہتے ہیں کہ لوگ اکاؤنٹس کا استعمال نہ کرنے پر لاگ آؤٹ کرنا کیوں پسند نہیں کرتے۔
جب IT ساتھ آتا ہے اور کہتا ہے، "آپ جانتے ہیں کیا، ہم اپنے سائبر سیکیورٹی اینڈ پوائنٹ پروڈکٹ کے ڈیٹا کے نقصان کی روک تھام [DLP] حصوں کو آن کرنے جا رہے ہیں"…
…لوگ جاتے ہیں، "ٹھیک ہے، یہ تکلیف دہ ہے۔ اگر یہ راستے میں آجائے تو کیا ہوگا؟ اگر یہ میرے ورک فلو میں مداخلت کرتا ہے تو کیا ہوگا؟ اگر یہ میرے لیے پریشانی کا باعث بنتا ہے تو کیا ہوگا؟ مجھے یہ پسند نہیں ہے!"
تو، بہت سے II
ٹی محکمے اس طرح کے کام کے بہاؤ میں ممکنہ طور پر مداخلت کرنے میں تھوڑا سا شرمندہ رہ سکتے ہیں۔
لیکن، ڈوگ، جیسا کہ میں نے مضمون میں کہا تھا، آپ کو ہمیشہ ایک دوسرا موقع ملے گا کہ آئی ٹی کے ساتھ گفت و شنید کرکے، پہلی بار ایک فائل بھیجنے کا جو باہر نہیں جائے گی، لیکن آپ کو کبھی بھی ایسی فائل کو غیر بھیجنے کا موقع نہیں ملے گا جو بالکل باہر نہیں جانا تھا۔
ڈوگ بالکل!
ٹھیک ہے، وہاں اچھی تجاویز.
ہماری آخری کہانی، لیکن یقینی طور پر کم سے کم نہیں۔
پال، مجھے آپ کو یاد دلانے کی ضرورت نہیں ہے، لیکن ہمیں دوسروں کو یاد دلانا چاہیے…
… اپلائیڈ کرپٹوگرافی مشکل ہے، سیکورٹی سیگمنٹیشن مشکل ہے، اور خطرے کا شکار کرنا مشکل ہے۔
تو اس سب کا مائیکروسافٹ سے کیا تعلق ہے؟
مائیکروسافٹ طوفان کے موسم سے متاثر ہوا – دو نیم صفر دنوں کی کہانی
بطخ. ٹھیک ہے، حال ہی میں میڈیا میں مائیکروسافٹ اور اس کے صارفین کے بارے میں بہت سی خبریں آئی ہیں کہ سائبر کرائم گروپ جسے Storm کے نام سے جانا جاتا ہے، کی طرف سے الٹ پلٹ، مارا، تحقیقات اور ہیک کیا گیا ہے۔
اور اس کہانی کا ایک حصہ 25 تنظیموں کے ارد گرد ہے جن کے ایکسچینج کاروبار میں یہ بدمعاش موجود تھے۔
وہ صفر کے دن ہیں۔
اب، مائیکروسافٹ نے کیا ہوا اس کے بارے میں ایک مکمل اور صاف صاف رپورٹ شائع کی، کیونکہ ظاہر ہے کہ مائیکروسافٹ کی طرف سے کم از کم دو غلطیاں تھیں۔
وہ جس طرح سے کہانی سناتے ہیں وہ آپ کو خطرے کے شکار کے بارے میں اور جب چیزیں غلط ہو جاتی ہیں تو خطرے کے ردعمل کے بارے میں بہت کچھ سکھا سکتی ہیں۔
ڈوگ ٹھیک ہے، تو ایسا لگتا ہے کہ طوفان نے آؤٹ لک ویب ایکسیس [OWA] کے ذریعے غاصبانہ تصدیقی ٹوکنز کا ایک گروپ استعمال کیا ہے، جو کہ بنیادی طور پر ایک عارضی کوکی کی طرح ہے جسے آپ پیش کرتے ہیں کہ، "یہ شخص پہلے ہی لاگ ان ہے، وہ قانونی ہیں، انہیں اندر آنے دیں۔"
ٹھیک ہے؟
بطخ. بالکل، ڈوگ.
جب اس قسم کی چیز ہوتی ہے، جو ظاہر ہے کہ پریشان کن ہے کیونکہ یہ بدمعاشوں کو مضبوط تصدیقی مرحلے کو نظرانداز کرنے کی اجازت دیتا ہے (وہ تھوڑا سا جہاں آپ کو اپنا صارف نام ٹائپ کرنا ہے، اپنا پاس ورڈ ٹائپ کرنا ہے، پھر 2FA کوڈ کریں؛ یا جہاں آپ کو اپنا یوبیکی پیش کرنا ہے؛ یا آپ کو اپنا سمارٹ کارڈ سوائپ کرنا ہوگا)…
…واضح مفروضہ، جب ایسا کچھ ہوتا ہے، تو یہ ہے کہ دوسرے سرے پر موجود شخص کے پاس اپنے صارفین کے ایک یا زیادہ کمپیوٹرز پر میلویئر ہے۔
میلویئر کو براؤزر کے مواد جیسی چیزوں کو انکرپٹ ہونے سے پہلے جھانکنے کا موقع ملتا ہے، جس کا مطلب یہ ہے کہ یہ تصدیقی ٹوکنز نکال کر بدمعاشوں کے پاس بھیج سکتا ہے جہاں بعد میں ان کے ساتھ زیادتی ہو سکتی ہے۔
مائیکروسافٹ نے اپنی رپورٹ میں اعتراف کیا ہے کہ یہ ان کا پہلا مفروضہ تھا۔
اور اگر یہ سچ ہے تو یہ پریشانی کا باعث ہے کیونکہ اس کا مطلب ہے کہ مائیکروسافٹ اور ان 25 لوگوں کو خطرے کا شکار کرنے کی کوشش میں بھاگنا پڑتا ہے۔
لیکن اگر یہ *وضاحت* نہیں ہے، تو اس کا جلد ہی پتہ لگانا ضروری ہے، تاکہ آپ اپنا اور دوسروں کا وقت ضائع نہ کریں۔
پھر مائیکروسافٹ نے محسوس کیا، "دراصل ایسا لگتا ہے جیسے بدمعاش بنیادی طور پر اپنے توثیقی ٹوکن بنا رہے ہیں، جس سے پتہ چلتا ہے کہ انہوں نے ہماری قیاس شدہ Azure Active Directory کے ٹوکن سائن کرنے والی کلیدوں میں سے ایک کو چوری کر لیا ہے۔"
ٹھیک ہے، یہ پریشان کن ہے!
*پھر* مائیکروسافٹ نے محسوس کیا، "یہ ٹوکنز دراصل بظاہر ڈیجیٹل طور پر ایک سائننگ کلید کے ذریعے دستخط کیے گئے ہیں جو صرف صارفین کے اکاؤنٹس، جسے MSAs، یا Microsoft اکاؤنٹس کہتے ہیں، کے لیے استعمال کیا جانا چاہیے۔"
دوسرے لفظوں میں، اس قسم کی دستخطی کلید جو ایک تصدیقی ٹوکن بنانے کے لیے استعمال کی جائے گی، کہیں کہ کیا آپ یا میں ہماری ذاتی Outlook.com سروس میں لاگ ان ہو رہے ہیں۔
ارے نہیں!
ایک اور بگ ہے جس کا مطلب ہے کہ دستخط شدہ توثیق کا ٹوکن لینا ممکن ہے جو ان کے ذہن میں موجود حملے کے لیے کام نہیں کرے گا، اور پھر لوگوں کے کارپوریٹ ای میل کے ساتھ گھل مل جائے۔
لہذا، یہ سب بہت برا لگتا ہے، جو یقینا یہ ہے.
لیکن ایک الٹا ہے…
…اور یہ ستم ظریفی ہے کہ کیونکہ یہ کام نہیں کرنا چاہیے تھا، کیونکہ MSA ٹوکنز کو گھر کے کارپوریٹ Azure Active Directory سائیڈ پر کام نہیں کرنا چاہیے، اور اس کے برعکس، Microsoft میں کسی نے بھی کوڈ لکھنے کی زحمت نہیں کی تھی کہ دوسرے کھیل کے میدان میں ایک ٹوکن استعمال کریں۔
جس کا مطلب یہ تھا کہ یہ تمام بدمعاش ٹوکن باہر کھڑے ہیں۔
لہذا مائیکروسافٹ کے خطرے کے شکار کے لئے کم از کم ایک بڑا، نظر آنے والا سرخ پرچم تھا۔
خوش قسمتی سے مسئلہ کو ٹھیک کرنا، کیونکہ یہ کلاؤڈ سائیڈ پرابلم ہے، اس کا مطلب ہے کہ آپ اور مجھے اپنے سسٹمز کو جلدی کرنے اور پیچ کرنے کی ضرورت نہیں ہے۔
بنیادی طور پر، حل یہ ہے: دستخط کرنے والی کلید کو مسترد کر دیں جس سے سمجھوتہ کیا گیا ہے، اس لیے یہ مزید کام نہیں کرے گی، اور جب ہم اس کے بارے میں ہیں، آئیے اس مسئلے کو ٹھیک کریں جو صارف کی دستخط کرنے والی کلید کو ایکسچینج کی دنیا کے کارپوریٹ سائیڈ پر درست ہونے کی اجازت دیتا ہے۔
یہ ایک "سب اچھا ہے جو اچھا ختم ہوتا ہے" کا تھوڑا سا ہے۔
لیکن جیسا کہ میں نے کہا، یہ ایک بڑی یاد دہانی ہے کہ خطرے کے شکار میں اکثر اس سے کہیں زیادہ کام ہوتا ہے جتنا آپ پہلے سوچ سکتے ہیں۔
اور اگر آپ مائیکروسافٹ کی رپورٹ کو پڑھیں تو آپ اندازہ لگا سکتے ہیں کہ اس میں کتنا کام ہوا ہے۔
ڈوگ ٹھیک ہے، ہر چیز کو پکڑنے کے جذبے میں، آئیے اپنے ایک قارئین سے سنتے ہیں۔ ہفتے کا تبصرہ.
میں دس سال کے بہتر حصے تک یہ کرنے کے بعد آپ کو پہلے ہاتھ سے بتا سکتا ہوں، اور مجھے یقین ہے کہ ہزاروں اور ہزاروں مضامین میں ایسا کرنے کے بعد پال آپ کو پہلے ہاتھ سے بتا سکتا ہے…
…ٹائپ کی غلطیاں ایک ٹیک بلاگر کے لیے زندگی کا ایک طریقہ ہیں، اور اگر آپ خوش قسمت ہیں، تو بعض اوقات آپ کو ٹائپنگ اتنی اچھی ہوتی ہے کہ آپ اسے ٹھیک کرنے سے گھبراتے ہیں۔
مائیکروسافٹ کے اس مضمون کا معاملہ ایسا ہی ہے۔
ریڈر ڈیو نے پال کے حوالے سے لکھا "جس سے ایسا لگتا تھا کہ کسی نے واقعی ایک کمپنی کو [sic] چابی گانے والی کمپنی کو چٹکی دی ہے۔"
ڈیو پھر یہ کہہ کر اقتباس کی پیروی کرتا ہے، "سنگنگ کیز راک۔"
بالکل! [ہنسی]
بطخ. ہاں، مجھے یہ سمجھنے میں تھوڑا وقت لگا کہ یہ ایک پن ہے… لیکن ہاں، "گانے کی کلید۔" [ہنسی]
اگر آپ فوجی کیمپ میں سیکسوفون کا ایک کریٹ گرا دیں تو آپ کو کیا ملے گا؟
ڈوگ [ہنسی]
بطخ. [جتنا ممکن ہو خشک] ایک فلیٹ میجر۔
ڈوگ [مشترکہ ہنسی اور کراہ] ٹھیک ہے، بہت اچھا۔
ڈیو، اس کی نشاندہی کرنے کے لیے آپ کا شکریہ۔
اور ہم اس بات سے اتفاق کرتے ہیں کہ گانے کی چابیاں راک ہیں۔ دستخط کی چابیاں کم.
اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔
آپ tips@sophos.com پر ای میل کر سکتے ہیں، آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، یا آپ ہمیں سوشل: @nakedsecurity پر مار سکتے ہیں۔
یہ آج کے لیے ہمارا شو ہے؛ سننے کے لیے بہت شکریہ
پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو یاد دلا رہا ہوں، اگلی بار تک،...
دونوں محفوظ رہو!
[میوزیکل موڈیم]
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://nakedsecurity.sophos.com/2023/07/20/s3-ep144-when-threat-hunting-goes-down-a-rabbit-hole/
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- 17
- 2014
- 25
- 2FA
- a
- کی صلاحیت
- قابلیت
- ہمارے بارے میں
- اس کے بارے میں
- تک رسائی حاصل
- اکاؤنٹس
- عمل
- فعال
- کام کرتا ہے
- اصل میں
- ایڈیشنل
- پتہ
- پتے
- تسلیم
- مشورہ
- کے بعد
- بعد
- آگے
- تمام
- کی اجازت دیتا ہے
- ساتھ
- پہلے ہی
- ٹھیک
- بھی
- اگرچہ
- ہمیشہ
- am
- an
- اور
- ایک اور
- کوئی بھی
- اب
- کہیں
- اپلی کیشن
- ظاہر
- ایپل
- نقطہ نظر
- کیا
- دلیل سے
- فوج
- ارد گرد
- مضمون
- مضامین
- AS
- مفروضہ
- At
- حملہ
- آڈیو
- کی توثیق
- مصنف
- دستیاب
- سے اجتناب
- Azure
- واپس
- برا
- بار
- بنیادی طور پر
- BE
- کیونکہ
- بن
- رہا
- اس سے پہلے
- یقین ہے کہ
- نیچے
- بہتر
- کے درمیان
- بگ
- بٹ
- مسدود کرنے میں
- پایان
- توڑ
- نشریات
- براؤزر
- بگ کی اطلاع دیں
- گچرچھا
- کاروبار
- لیکن
- by
- کیلنڈر
- فون
- کہا جاتا ہے
- کالز
- کیمپ
- کر سکتے ہیں
- کارڈ
- ہوشیار
- کیس
- کیونکہ
- وجوہات
- یقینی طور پر
- موقع
- تبدیل
- تبدیل کر دیا گیا
- تبدیلیاں
- حروف
- منتخب کیا
- واضح
- بادل
- بادل سٹوریج
- کوڈ
- کوڈ
- تعاون
- COM
- مل کر
- آتا ہے
- آنے والے
- تبصرہ
- کمپنیاں
- کمپنی کے
- جزو
- سمجھوتہ کیا
- کمپیوٹر
- غور کریں
- صارفین
- پر مشتمل ہے
- پر مشتمل ہے
- مواد
- کنٹرول
- تبدیل
- کوکیز
- کارپوریٹ
- سکتا ہے
- کورس
- تخلیق
- کرپٹپٹ
- کپ
- گاہک
- گاہکوں
- سائبر جرائم
- سائبر سیکیورٹی
- اعداد و شمار
- ڈیٹا کے نقصان
- تاریخ
- تواریخ
- ڈیو
- دن
- مردہ
- محکموں
- DID
- مختلف
- ڈیجیٹل
- دکھائیں
- دکھانا
- تقسیم
- do
- دستاویزات
- کرتا
- نہیں کرتا
- کر
- کیا
- نہیں
- دوگنا
- نیچے
- درجنوں
- چھوڑ
- گرا دیا
- خشک
- ابتدائی
- آسانی سے
- اثر
- یا تو
- ورنہ
- ای میل
- ملازم
- خفیہ کردہ
- آخر
- اختتام پوائنٹ
- ختم ہو جاتا ہے
- پوری
- خرابی
- بنیادی طور پر
- قائم
- ایگن
- بھی
- کبھی نہیں
- سب
- سب کچھ
- بالکل
- مثال کے طور پر
- ایکسچینج
- وضاحت
- کافی
- مشہور
- شامل
- محسوس
- میدان
- اعداد و شمار
- فائل
- فائلوں
- پہلا
- پہلی بار
- درست کریں
- فلائڈ
- مندرجہ ذیل ہے
- کے لئے
- فارم
- خوش قسمتی سے
- ملا
- سے
- مکمل
- مزہ
- تقریب
- حاصل
- حاصل کرنے
- وشال
- Go
- جاتا ہے
- جا
- اچھا
- گوگل
- گوگل
- زیادہ سے زیادہ
- گروپ
- ضمانت دیتا ہے
- ہیک
- ہیک
- تھا
- ہاتھ
- ہاتھوں
- موبائل
- ہوا
- ہوتا ہے
- ہارڈ
- نقصان پہنچانے
- ہے
- he
- سن
- مدد
- یہاں
- مارو
- چھید
- ہاؤس
- کس طرح
- تاہم
- HTML
- HTTPS
- شکار
- i
- آئکن
- if
- تصور
- فوری طور پر
- اہم
- in
- شامل
- شامل ہیں
- سمیت
- یقینا
- کے اندر
- کے بجائے
- دلچسپ
- مداخلت
- اندرونی
- انٹرنیٹ پر مبنی
- میں
- فون
- ستم ظریفی یہ ہے کہ
- ستم ظریفی
- IT
- میں
- خود
- اعلی درجے کا Java
- جاوا سکرپٹ
- جولائی
- جولائی 17
- صرف
- Keen
- کلیدی
- چابیاں
- بچے
- جان
- جانا جاتا ہے
- بعد
- لیک
- کم سے کم
- قیادت
- علامہ
- کم
- دو
- زندگی
- کی طرح
- امکان
- لائن
- LINK
- لسٹ
- سن
- تھوڑا
- انکرنا
- لاگ ان
- لاگ ان
- دیکھو
- دیکھنا
- بند
- بہت
- محبت
- قسمت
- بنا
- ماجک
- اہم
- بنا
- بناتا ہے
- بنانا
- میلویئر
- انتظام
- بہت سے
- مئی..
- me
- مطلب
- کا مطلب ہے کہ
- مراد
- میڈیا
- مائیکروسافٹ
- شاید
- برا
- minting
- غلطی
- زیادہ
- سب سے زیادہ
- منتقل
- بہت
- ایک سے زیادہ
- موسیقی
- موسیقی
- ضروری
- my
- ننگی سیکیورٹی
- ننگی سیکورٹی پوڈ کاسٹ
- نام
- ضرورت ہے
- کبھی نہیں
- خبر
- اگلے
- اچھا
- نہیں
- نوڈس
- نوٹس..
- اب
- تعداد
- واضح
- of
- بند
- اکثر
- oh
- پرانا
- on
- ایک بار
- ایک
- آن لائن
- صرف
- or
- تنظیمیں
- اصل میں
- دیگر
- ہمارے
- باہر
- آؤٹ لک
- پر
- خود
- حصہ
- خاص طور پر
- حصے
- پاس ورڈ
- پیچ
- پیچ کرنا
- پال
- لوگ
- عوام کی
- انجام دیں
- انسان
- ذاتی
- ذاتی مواد
- مرحلہ
- لینے
- ٹکڑے ٹکڑے
- مقام
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- کھلاڑی
- کھیل
- podcast
- پوڈ کاسٹ
- پوائنٹ
- مقبول
- پورٹل
- ممکن
- مراسلات
- ممکنہ طور پر
- حال (-)
- خوبصورت
- روک تھام
- شاید
- مسئلہ
- مسائل
- تیار
- مصنوعات
- حاصل
- پروگرام
- پروگرامر
- جائیداد
- حفاظت
- فراہم کرنے والے
- شائع
- ڈالنا
- سوال
- جلدی سے
- اقتباس
- واوین
- خرگوش
- بلکہ
- پڑھیں
- قارئین
- اصلی
- واقعی
- وجہ
- حال ہی میں
- ریڈ
- جاری
- رہے
- جواب
- رپورٹ
- محققین
- جواب
- ٹھیک ہے
- رسک
- پتھر
- لپیٹنا
- رولڈ
- آر ایس ایس
- چل رہا ہے
- اچانک حملہ کرنا
- محفوظ
- کہا
- اسی
- ہفتے کے روز
- کا کہنا ہے کہ
- یہ کہہ
- کا کہنا ہے کہ
- تلاش کریں
- موسم
- دوسری
- محفوظ بنانے
- محفوظ طریقے سے
- سیکورٹی
- دیکھنا
- لگ رہا تھا
- لگتا ہے
- انقطاع
- بھیجنے
- احساس
- بھیجا
- سروس
- سہولت کار
- مقرر
- سیکنڈ اور
- مشترکہ
- اشتراک
- منتقل
- ہونا چاہئے
- دکھائیں
- شوز
- شرم
- کی طرف
- دستخط
- دستخط کی
- اسی طرح
- سادہ
- صرف
- بعد
- ایک
- سائٹ
- سائٹس
- چھوٹے
- ہوشیار
- So
- سماجی
- سافٹ ویئر کی
- حل
- کچھ
- کسی
- کچھ
- نغمہ
- جلد ہی
- پر SoundCloud
- خاص طور پر
- روح
- Spotify
- معیار
- شروع کریں
- شروع
- رہنا
- مراحل
- چوری
- بند کرو
- ذخیرہ
- طوفان
- کہانی
- سلک
- مضبوط
- جمع
- اس طرح
- مشورہ
- پتہ چلتا ہے
- سویٹ
- سمجھا
- اس بات کا یقین
- سسٹمز
- لے لو
- لینے
- ٹاک
- بات
- ٹیم
- ٹیک
- بتا
- عارضی
- دس
- اصطلاح
- سے
- شکریہ
- شکریہ
- کہ
- ۔
- دنیا
- ان
- ان
- تو
- وہاں.
- یہ
- وہ
- بات
- چیزیں
- لگتا ہے کہ
- سوچنا
- اس
- ان
- اگرچہ؟
- ہزاروں
- خطرہ
- کے ذریعے
- وقت
- تجاویز
- کرنے کے لئے
- آج
- آج کا
- ٹوکن
- ٹوکن
- بھی
- لیا
- کل
- سچ
- قابل اعتماد
- کوشش
- ٹرن
- تبدیل کر دیا
- دو
- قسم
- سمجھ
- بدقسمتی سے
- برعکس
- جب تک
- اپ لوڈ کردہ
- اپ لوڈ کرنا
- URL
- us
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- دکانداروں
- بہت
- کی طرف سے
- وائس
- وائرس
- نظر
- انتظار کر رہا ہے
- چاہتے ہیں
- انتباہ
- تھا
- فضلے کے
- راستہ..
- we
- ویب
- ویب سائٹ
- ہفتے
- اچھا ہے
- اچھی طرح سے وضاحت کی
- چلا گیا
- تھے
- کیا
- کیا ہے
- جو کچھ بھی
- جب
- جب بھی
- جس
- جبکہ
- ڈبلیو
- کیوں
- گے
- ساتھ
- بغیر
- الفاظ
- کام
- کام کا بہاؤ
- دنیا
- گا
- تحریری طور پر
- لکھا
- غلط
- XML
- XSS
- سال
- جی ہاں
- تم
- اور
- اپنے آپ کو
- زیفیرنیٹ