S3 Ep146: ہمیں اس خلاف ورزی کے بارے میں بتائیں! (اگر آپ چاہتے ہیں.)

نیچے کوئی آڈیو پلیئر نہیں ہے؟ سنو براہ راست ساؤنڈ کلاؤڈ پر۔

---

ڈوگ  فائر فاکس اپڈیٹس، ایک اور ایک متاثر کن نام کے ساتھ بگ، اور SEC انکشاف کا مطالبہ کرتا ہے۔

وہ سب کچھ، اور بہت کچھ، ننگی سیکیورٹی پوڈ کاسٹ پر۔

[میوزیکل موڈیم]

پوڈ کاسٹ میں خوش آمدید، سب۔

میں ڈوگ آموت ہوں؛ وہ پال ڈکلن ہے۔

پال، مجھے امید ہے کہ آپ کو مجھ پر فخر ہو گا… میں جانتا ہوں کہ آپ سائیکلنگ کے شوقین ہیں۔

میں نے کل 10 امریکن میل کے لیے ایک سائیکل پر سواری کی، جو کہ میرے خیال میں تقریباً 16 کلومیٹر ہے، یہ سب کچھ ایک چھوٹے سے لیکن غیر وزنی بچے کو دو پہیوں والی گاڑی میں موٹر سائیکل کے پیچھے کھینچتے ہوئے کیا۔

اور میں کہانی سنانے کے لیے ابھی تک زندہ ہوں۔

کیا یہ موٹر سائیکل پر سوار ہونے کا ایک طویل راستہ ہے، پال؟

---

بطخ.  یہ اس بات پر منحصر ہے کہ آپ کو واقعی کتنی دور جانا ہے۔

جیسے، اگر یہ واقعی 1200 میٹر تھا کہ آپ کو جانا تھا اور آپ کھو گئے... [ہنسی]

سائیکل چلانے کا میرا جوش بہت زیادہ ہے، لیکن اس کا یہ مطلب نہیں ہے کہ میں جان بوجھ کر اپنی ضرورت سے زیادہ سواری کروں، کیونکہ یہ گھومنے پھرنے کا میرا بنیادی طریقہ ہے۔

لیکن 10 میل ٹھیک ہے۔

کیا آپ جانتے ہیں کہ امریکی میل اور برطانوی میل درحقیقت ایک جیسے ہیں؟

---

ڈوگ  یہ جاننا اچھا ہے!

---

بطخ.  اور 1959 کے بعد سے ہے، جب میرے خیال میں کینیڈا، جنوبی افریقہ، آسٹریلیا، ریاستہائے متحدہ اور برطانیہ سمیت کئی ممالک اکٹھے ہوئے اور ایک "بین الاقوامی انچ" پر معیاری ہونے پر اتفاق کیا۔

میرے خیال میں امپیریل انچ بہت، بہت تھوڑا سا چھوٹا ہو گیا ہے اور امریکی انچ بہت، بہت تھوڑا سا لمبا ہو گیا ہے، جس کے نتیجے میں انچ (اور اس وجہ سے صحن، اور پاؤں، اور میل)…

…وہ سب میٹر کے لحاظ سے بیان کیے گئے ہیں۔

ایک انچ بالکل 25.4 ملی میٹر ہے۔

تین اہم اعداد و شمار آپ کو درکار ہیں۔

---

ڈوگ  دلکش!

ٹھیک ہے، دلکش کی بات کرتے ہوئے، یہ ہمارے لئے وقت ہے ٹیک ہسٹری میں یہ ہفتہ طبقہ.

اس ہفتے، 01 اگست 1981 کو، میوزک ٹیلی ویژن، جسے MTV بھی کہا جاتا ہے، امریکی کیبل اور سیٹلائٹ ٹیلی ویژن پیکجز کے حصے کے طور پر لائیو ہوا، اور عوام کو میوزک ویڈیوز سے متعارف کرایا۔

پہلا ایک بجایا [سنگس، بلکہ حقیقت میں اچھی طرح سے] "ویڈیو کلڈ دی ریڈیو اسٹار" دی بگلز کے ذریعے۔

اس وقت کے مطابق، اگرچہ آج کل کے طور پر ستم ظریفی ہے کہ MTV شاذ و نادر ہی میوزک ویڈیوز چلاتا ہے، اور کوئی بھی نیا میوزک ویڈیو نہیں چلاتا، پال۔

---

بطخ.  ہاں، یہ ستم ظریفی ہے، ہے نا، وہ کیبل ٹی وی (دوسرے لفظوں میں، جہاں آپ کے گھر میں زمین کے نیچے تاریں چل رہی تھیں) نے ریڈیو (یا وائرلیس) اسٹار کو مار ڈالا، اور اب ایسا لگتا ہے جیسے کیبل ٹی وی، ایم ٹی وی… اس قسم کا ختم ہو گیا کیونکہ ہر ایک کے پاس موبائل نیٹ ورکس ہیں جو وائرلیس طور پر کام کرتے ہیں۔

جو آس پاس جاتا ہے وہ آس پاس آتا ہے، ڈگلس۔

---

ڈوگ  ٹھیک ہے، ٹھیک ہے، آئیے ان فائر فاکس اپ ڈیٹس کے بارے میں بات کرتے ہیں۔

ہمیں اس مہینے فائر فاکس اپ ڈیٹس کی دوہری خوراک ملتی ہے، کیونکہ وہ 28 دن کے چکر پر ہیں:

فائر فاکس اس مہینے کی دو ریلیزز میں سے پہلی میں خامیوں کی ایک لہر کو دور کرتا ہے۔

گیٹ سے باہر اس پہلے راؤنڈ میں کوئی صفر دن نہیں، بلکہ کچھ سکھانے کے قابل لمحات۔

ہم نے شاید ان میں سے نصف کو آپ کے مضمون میں درج کیا ہے، اور ایک جو واقعی میرے لیے الگ تھا وہ یہ تھا: کلک جیکنگ کے ذریعے بائی پاس کی ممکنہ اجازتوں کی درخواست۔

---

بطخ.  ہاں، اچھی پرانی کلک جیکنگ دوبارہ۔

مجھے وہ اصطلاح پسند ہے کیونکہ یہ بہت زیادہ بیان کرتی ہے کہ یہ کیا ہے۔

آپ یہ سوچتے ہوئے کہیں کلک کرتے ہیں کہ آپ کسی بٹن یا معصوم لنک پر کلک کر رہے ہیں، لیکن آپ نادانستہ طور پر کسی ایسی چیز کو ہونے کی اجازت دے رہے ہیں جو آپ کے ماؤس کرسر کے نیچے اسکرین کے دکھائے جانے سے واضح نہیں ہے۔

یہاں مسئلہ یہ معلوم ہوتا ہے کہ کچھ حالات میں، جب فائر فاکس سے اجازت کا ڈائیلاگ پاپ اپ ہونے والا تھا، مثال کے طور پر، کہیں، "کیا آپ واقعی اس ویب سائٹ کو اپنا کیمرہ استعمال کرنے دینا چاہتے ہیں؟ آپ کے مقام تک رسائی ہے؟ اپنا مائیکروفون استعمال کریں؟‘‘

…وہ تمام چیزیں جو، ہاں، آپ پوچھنا چاہتے ہیں۔

بظاہر، اگر آپ براؤزر کو پرفارمنس پوائنٹ (دوبارہ، کارکردگی بمقابلہ سیکیورٹی) تک پہنچا سکتے ہیں جہاں اسے برقرار رکھنے کے لیے جدوجہد کر رہی تھی، تو آپ اجازتوں کے پاپ اپ کی ظاہری شکل میں تاخیر کر سکتے ہیں۔

لیکن اس جگہ پر ایک بٹن رکھ کر جہاں پاپ اپ ظاہر ہوتا ہے، اور صارف کو اس پر کلک کرنے کی طرف راغب کر کے، آپ کلک کو اپنی طرف متوجہ کر سکتے ہیں، لیکن پھر کلک کو اجازت کے ڈائیلاگ میں بھیج دیا جائے گا جو آپ نے ابھی تک نہیں دیکھا تھا۔

اگر آپ چاہیں تو ایک قسم کی بصری دوڑ کی حالت۔

---

ڈوگ  ٹھیک ہے، اور دوسرا تھا: آف اسکرین کینوس کراس اوریجن پابندیوں کو نظرانداز کر سکتا تھا۔

آپ یہ کہتے چلے جاتے ہیں کہ ایک ویب صفحہ کسی مختلف سائٹ سے دوسرے صفحے پر دکھائی جانے والی تصاویر کو جھانک سکتا ہے۔

---

بطخ.  ایسا نہیں ہونا چاہیے، ہے نا؟

---

ڈوگ  نہیں!

---

بطخ.  اس کے لیے اصطلاحی اصطلاح "ایک ہی اصل کی پالیسی" ہے۔

اگر آپ ویب سائٹ X چلا رہے ہیں اور آپ مجھے JavaScript کا ایک پورا گچھا بھیجتے ہیں جو کوکیز کا پورا بوجھ سیٹ کرتا ہے، تو وہ سب کچھ براؤزر میں محفوظ ہے۔

لیکن سائٹ X سے صرف مزید جاوا اسکرپٹ اس ڈیٹا کو واپس پڑھ سکتا ہے۔

حقیقت یہ ہے کہ آپ ایک ٹیب میں سائٹ X اور دوسرے ٹیب میں سائٹ Y کو براؤز کر رہے ہیں یہ انہیں جھانکنے نہیں دیتا ہے کہ دوسرا کیا کر رہا ہے، اور سمجھا جاتا ہے کہ براؤزر ان تمام چیزوں کو الگ رکھے گا۔

یہ ظاہر ہے بہت اہم ہے۔

اور یہاں ایسا لگتا ہے کہ، جہاں تک میں اسے سمجھتا ہوں، اگر آپ ایسا صفحہ پیش کر رہے تھے جو ابھی ظاہر نہیں ہو رہا تھا…

…ایک آف اسکرین کینوس، جہاں آپ ایک ورچوئل ویب صفحہ بناتے ہیں، اگر آپ چاہیں تو، اور پھر مستقبل کے کسی موڑ پر آپ کہتے ہیں، "ابھی میں اسے دکھانے کے لیے تیار ہوں،" اور بنگو، صفحہ بالکل ظاہر ہوتا ہے۔ ایک بار

مسئلہ اس بات کو یقینی بنانے کی کوشش کرنے میں آتا ہے کہ آپ جو چیزیں پوشیدہ طور پر پیش کر رہے ہیں وہ نادانستہ طور پر ڈیٹا کو لیک نہیں کرتا ہے، حالانکہ یہ بالآخر صارف کو ظاہر نہیں ہوتا ہے۔

انہوں نے اسے دیکھا، یا اس کا ذمہ داری سے انکشاف کیا گیا، اور اس کا پیچھا کیا گیا۔

اور وہ دونوں، میرے خیال میں، نام نہاد "اعلی" سطح کی کمزوریوں میں شامل تھے۔

موزیلا کے روایتی کو چھوڑ کر زیادہ تر دوسرے "اعتدال پسند" تھے، "ہمیں فزنگ اور خودکار تکنیکوں کے ذریعے بہت سارے کیڑے ملے۔ ہم نے ان سے یہ معلوم کرنے کے لیے چھان بین نہیں کی کہ آیا ان کا استحصال بالکل بھی ہو سکتا ہے، لیکن ہم یہ ماننے کے لیے تیار ہیں کہ جس نے کافی کوشش کی وہ ایسا کر سکتا ہے۔

یہ ایک اعتراف ہے کہ ہم دونوں کو بہت پسند ہے، ڈوگ… کیونکہ ممکنہ کیڑے ختم کرنے کے قابل ہیں، یہاں تک کہ اگر آپ اپنے دل میں یقین رکھتے ہیں کہ کوئی بھی کبھی نہیں جان سکے گا کہ ان کا استحصال کیسے کیا جائے۔

کیونکہ سائبرسیکیوریٹی میں، یہ کبھی نہیں کہنے کی ادائیگی کرتا ہے!

---

ڈوگ  ٹھیک ہے، آپ فائر فاکس 116 تلاش کر رہے ہیں، یا اگر آپ توسیع شدہ ریلیز پر ہیں، 115.1۔

تھنڈر برڈ کے ساتھ بھی۔

اور آئیے آگے بڑھتے ہیں… اوہ، یار!

پال، یہ دلچسپ ہے!

ہمارے پاس پچھلے ہفتے ڈبل BWAIN کے بعد ایک نیا BWAIN ہے: ایک متاثر کن نام کے ساتھ ایک بگ۔

اس کو کہا جاتا ہے ٹکراؤ + پاور:

"Collide+Power" حملے میں ایک بار پھر کارکردگی اور سیکیورٹی کا تصادم

---

بطخ.  جی ہاں، یہ دلچسپ ہے، کیا ایسا نہیں ہے کہ انہوں نے ایک ایسا نام منتخب کیا جس میں جمع کا نشان ہے؟

---

ڈوگ  ہاں، یہ کہنا مشکل بناتا ہے۔

---

بطخ.  آپ کے ڈومین نام میں پلس سائن نہیں ہو سکتا، اس لیے ڈومین نام ہے۔ collidepower.com.

---

ڈوگ  ٹھیک ہے، مجھے خود محققین سے پڑھنے دو، اور میں حوالہ دیتا ہوں:

مسئلے کی جڑ یہ ہے کہ مشترکہ CPU اجزاء، جیسے اندرونی میموری سسٹم، حملہ آور ڈیٹا اور کسی بھی دوسرے ایپلی کیشن کے ڈیٹا کو یکجا کرتے ہیں، جس کے نتیجے میں بجلی کی کھپت میں ایک مشترکہ رساو سگنل ہوتا ہے۔

اس طرح، اپنے ڈیٹا کو جان کر، حملہ آور دوسرے ایپلی کیشنز میں استعمال ہونے والے ڈیٹا کی درست قدروں کا تعین کر سکتا ہے۔

---

بطخ.  جی ہاں، یہ بہت معنی رکھتا ہے اگر آپ پہلے سے ہی جانتے ہیں کہ وہ کس کے بارے میں بات کر رہے ہیں!

اسے سادہ انگریزی میں سمجھانے کی کوشش کرنے کے لیے (مجھے امید ہے کہ مجھے یہ صحیح طور پر مل گیا ہے)…

یہ کارکردگی بمقابلہ سیکیورٹی کے مسائل تک جاتا ہے جن کے بارے میں ہم پہلے بات کر چکے ہیں، بشمول پچھلے ہفتے کا پوڈ کاسٹ اس کے ساتھ زین بلیڈ بگ (جو کہیں زیادہ سنگین ہے، ویسے):

Zenbleed: کس طرح CPU کی کارکردگی کی تلاش آپ کے پاس ورڈز کو خطرے میں ڈال سکتی ہے۔

ڈیٹا کا ایک پورا بوجھ ہے جو CPU کے اندر رکھا جاتا ہے ("کیشڈ" اس کے لیے تکنیکی اصطلاح ہے) تاکہ CPU کو بعد میں اسے لانے کی ضرورت نہ پڑے۔

لہذا بہت ساری اندرونی چیزیں ہیں جن کا انتظام آپ کو واقعی نہیں ہوتا ہے۔ CPU آپ کے لیے اس کی دیکھ بھال کرتا ہے۔

اور اس حملے کا دل کچھ ایسا لگتا ہے…

حملہ آور جو کرتا ہے وہ یہ ہے کہ میموری کے مختلف مقامات تک اس طرح رسائی حاصل کرے کہ اندرونی کیش اسٹوریج ان میموری والے مقامات کو یاد رکھے، اس لیے اسے جلدی سے دوبارہ استعمال ہونے کی صورت میں انہیں دوبارہ RAM سے باہر پڑھنے کی ضرورت نہیں ہے۔

تو حملہ آور کسی نہ کسی طرح ان کیش ویلیوز کو بٹس کے معلوم پیٹرن، معلوم ڈیٹا ویلیوز سے بھر دیتا ہے۔

اور پھر، اگر متاثرہ شخص کو یاد ہے کہ *وہ* کثرت سے استعمال کر رہے ہیں (مثال کے طور پر، ایک ڈکرپشن کلید میں بائٹس)، اگر اچانک CPU کے ذریعے ان کی قدر کا اندازہ لگایا جاتا ہے کہ حملہ آور کی اقدار میں سے کسی ایک کے مقابلے میں دوبارہ استعمال کیے جانے کا امکان زیادہ ہے، یہ حملہ آور کی قدر کو اس اندرونی سپرفاسٹ کیش لوکیشن سے باہر کر دیتا ہے، اور نئی قدر، شکار کی قیمت، کو وہاں رکھتا ہے۔

اور ان محققین نے جو کچھ دریافت کیا (اور جہاں تک حملہ نظریہ میں لگتا ہے اور عملی طور پر ہے، یہ دریافت کرنے کے لیے کافی حیرت انگیز چیز ہے)…

بٹس کی تعداد جو کیشے میں پرانی ویلیو اور نئی ویلیو کے درمیان مختلف ہیں *کیشے اپ ڈیٹ آپریشن کو انجام دینے کے لیے درکار پاور کی مقدار کو تبدیل کرتی ہے*۔

اس لیے اگر آپ سی پی یو کی بجلی کی کھپت کو درست طریقے سے ناپ سکتے ہیں، تو آپ اس بات کا اندازہ لگا سکتے ہیں کہ کونسی ڈیٹا ویلیوز داخلی، پوشیدہ، بصورت دیگر سی پی یو کے اندر غیر مرئی کیش میموری میں لکھی گئی ہیں جس کے بارے میں سی پی یو کے خیال میں آپ کا کوئی کاروبار نہیں تھا۔

کافی دلچسپ، ڈوگ!

---

ڈوگ  شاندار.

ٹھیک ہے، کچھ تخفیفیں ہیں۔

وہ سیکشن، یہ شروع ہوتا ہے: "سب سے پہلے، آپ کو پریشان ہونے کی ضرورت نہیں ہے،" بلکہ تقریباً تمام CPUs بھی متاثر ہوتے ہیں۔

---

بطخ.  ہاں، یہ دلچسپ ہے، ہے نا؟

یہ کہتا ہے "سب سے پہلے" (عام متن) "آپ(ترچھی زبان میں)فکر کرنے کی ضرورت نہیں ہے" (نمایاں طریقے سے). [ہنسی]

لہذا، بنیادی طور پر، کوئی بھی اس کے ساتھ آپ پر حملہ نہیں کرے گا، لیکن ہوسکتا ہے کہ سی پی یو ڈیزائنرز مستقبل میں اس کے بارے میں سوچنا چاہیں اگر اس کے آس پاس کوئی راستہ ہے۔ [ہنسی]

میں نے سوچا کہ اسے ڈالنے کا ایک دلچسپ طریقہ ہے۔

---

ڈوگ  ٹھیک ہے، لہذا تخفیف بنیادی طور پر ہائپر تھریڈنگ کو بند کرنا ہے۔

کیا یہ اسی طرح کام کرتا ہے؟

---

بطخ.  جہاں تک میں دیکھ سکتا ہوں، ہائپر تھریڈنگ اس کو بہت خراب بناتی ہے۔

ہم پہلے ہی جان چکے ہیں کہ ہائپر تھریڈنگ ایک سیکورٹی مسئلہ ہے کیونکہ اس سے پہلے اس پر انحصار کرنے والے متعدد خطرات موجود ہیں۔

یہ وہ جگہ ہے جہاں ایک CPU، کہتے ہیں، آٹھ کور کے ساتھ 16 کور ہونے کا بہانہ کر رہا ہے، لیکن درحقیقت وہ چپ کے الگ الگ حصوں میں نہیں ہیں۔

وہ درحقیقت سیوڈو کور کے جوڑے ہیں جو زیادہ الیکٹرانکس، زیادہ ٹرانجسٹرز، زیادہ کیپسیٹرز کا اشتراک کرتے ہیں، جو شاید سیکورٹی وجوہات کی بناء پر ایک اچھا خیال ہے۔

اگر آپ اچھا پرانا اوپن بی ایس ڈی چلا رہے ہیں، تو میرے خیال میں انہوں نے فیصلہ کیا کہ ہائپر تھریڈنگ کو تخفیف کے ساتھ محفوظ کرنا بہت مشکل ہے۔ اس کے ساتھ ساتھ صرف اسے بند کر سکتے ہیں.

اس وقت تک جب آپ کارکردگی کی کامیابیوں کو لے چکے ہیں جن کی تخفیف کی ضرورت ہوتی ہے، شاید آپ کے پاس بھی نہ ہو۔

تو میرا خیال ہے کہ ہائپر تھریڈنگ کو بند کرنا اس حملے کے خلاف آپ کو بہت زیادہ حفاظتی ٹیکے لگائے گا۔

دوسری چیز جو آپ کر سکتے ہیں، جیسا کہ مصنفین بولڈ میں کہتے ہیں: فکر نہ کرو. [ہنسی]

---

ڈوگ  یہ ایک عظیم تخفیف ہے! [ہنسی]

---

بطخ.   بہت اچھا ہے (مجھے اسے پڑھنا پڑے گا، ڈوگ)…

بہت بڑی بات ہے جہاں محققین نے خود پایا کہ کسی بھی قسم کی قابل اعتماد معلومات حاصل کرنے کے لیے، وہ سسٹم سے باہر 10 بٹس اور 100 بٹس فی گھنٹہ کے درمیان ڈیٹا ریٹ حاصل کر رہے تھے۔

مجھے یقین ہے کہ کم از کم Intel CPUs میں ایک تخفیف ہے جس کا میں تصور کرتا ہوں کہ اس کے خلاف مدد ملے گی۔

اور یہ ہمیں MSRs پر واپس لاتا ہے، وہ ماڈل مخصوص رجسٹر جن کے بارے میں ہم نے گزشتہ ہفتے Zenbleed کے ساتھ بات کی تھی، جہاں ایک جادوئی چیز تھی جسے آپ آن کر سکتے تھے جس میں کہا گیا تھا، "خطرناک چیزیں نہ کریں۔"

ایک خصوصیت ہے جسے آپ سیٹ کر سکتے ہیں۔ RAPL فلٹرنگ، اور RAPL مختصر ہے۔ چلنے کی اوسط طاقت کی حد.

اس کا استعمال ان پروگراموں کے ذریعہ کیا جاتا ہے جہاں یہ دیکھنا چاہتے ہیں کہ CPU پاور مینجمنٹ کے مقاصد کے لئے کس طرح کی کارکردگی کا مظاہرہ کر رہا ہے، لہذا آپ کو سرور روم میں گھسنے اور مدر بورڈ پر تھوڑی سی تحقیقات کے ساتھ ایک تار پر پاور مانیٹر لگانے کی ضرورت نہیں ہے۔ [ہنسی]

آپ اصل میں CPU حاصل کر سکتے ہیں تاکہ آپ کو بتا سکے کہ یہ کتنی طاقت استعمال کر رہا ہے۔

کم از کم انٹیل کے پاس یہ موڈ ہے جسے RAPL فلٹرنگ کہا جاتا ہے، جو جان بوجھ کر گڑبڑ یا غلطی کو متعارف کرواتا ہے۔

لہذا آپ کو ایسے نتائج ملیں گے جو اوسطاً درست ہیں، لیکن جہاں ہر فرد کی پڑھائی بند ہوگی۔

---

ڈوگ  آئیے اب اپنی توجہ اس نئی SEC ڈیل کی طرف مبذول کریں۔

سیکیورٹی اینڈ ایکسچینج کمیشن سائبر سیکیورٹی کی خلاف ورزیوں پر چار دن کی افشاء کی حد کا مطالبہ کر رہا ہے:

SEC سائبرسیکیوریٹی کی خلاف ورزیوں کے لیے چار دن کی افشاء کی حد کا مطالبہ کرتا ہے۔

لیکن (A) آپ کو یہ فیصلہ کرنا پڑے گا کہ آیا کوئی حملہ رپورٹ کرنے کے لیے کافی سنجیدہ ہے، اور (B) چار دن کی حد اس وقت تک شروع نہیں ہوتی جب تک کہ آپ یہ فیصلہ نہ کر لیں کہ رپورٹ کرنے کے لیے کافی اہم ہے، پال۔

تو، ایک اچھی پہلی شروعات، لیکن شاید اتنا جارحانہ نہیں جتنا ہم چاہیں گے؟

---

بطخ.  میں وہاں آپ کی تشخیص سے اتفاق کرتا ہوں، ڈوگ۔

جب میں نے اسے پہلی بار دیکھا تو یہ بہت اچھا لگا: "ارے، اگر آپ کو ڈیٹا کی خلاف ورزی یا سائبر سیکیورٹی کا مسئلہ ہے تو آپ کو یہ چار دن کا انکشاف مل گیا ہے۔"

لیکن پھر اس کے بارے میں یہ تھوڑا سا تھا، "ٹھیک ہے، اسے ایک مادی مسئلہ سمجھا جانا چاہئے،" ایک قانونی اصطلاح جس کا مطلب یہ ہے کہ یہ حقیقت میں کافی اہمیت رکھتا ہے کہ پہلی جگہ میں انکشاف کرنے کے قابل ہو۔

اور پھر میں اس حد تک پہنچ گیا (اور یہ ایس ای سی کی طرف سے کوئی بہت طویل پریس ریلیز نہیں ہے) جس نے کہا، "جیسے ہی آپ نے فیصلہ کیا کہ آپ کو واقعی اس کی اطلاع دینی چاہیے، تب آپ کے پاس ابھی چار دن ہیں۔ اس کی اطلاع دینا۔"

اب، میں تصور کرتا ہوں کہ، قانونی طور پر، ایسا نہیں ہے کہ یہ کیسے کام کرے گا۔ ڈوگ

شاید ہم مضمون میں تھوڑا سا سخت ہو رہے ہیں؟

---

ڈوگ  آپ ransomware حملوں پر زوم ان کرتے ہوئے کہتے ہیں کہ کچھ مختلف قسمیں ہیں، تو آئیے اس کے بارے میں بات کرتے ہیں… یہ تعین کرنے میں اہم ہے کہ آیا یہ ایک مادی حملہ ہے جس کی آپ کو اطلاع دینے کی ضرورت ہے۔

تو ہم کس قسم کے رینسم ویئر کو دیکھ رہے ہیں؟

---

بطخ.  ہاں، صرف وضاحت کرنے کے لیے، میں نے سوچا کہ یہ اس کا ایک اہم حصہ تھا۔

ایس ای سی پر انگلی اٹھانے کے لیے نہیں، لیکن یہ وہ چیز ہے جو ابھی تک بہت سے یا کسی بھی ملک میں دھونے میں نہیں آئی ہے…

…کیا صرف رینسم ویئر کے حملے کا شکار ہونا ناگزیر طور پر مادی ڈیٹا کی خلاف ورزی کے لیے کافی ہے۔

اس SEC دستاویز میں اصل میں "R-word" کا ذکر ہی نہیں ہے۔

ransomware سے متعلق مخصوص چیزوں کا کوئی ذکر نہیں ہے۔

اور ransomware ایک مسئلہ ہے، ہے نا؟

مضمون میں، میں یہ واضح کرنا چاہتا تھا کہ لفظ "ransomware"، جسے ہم اب بھی بڑے پیمانے پر استعمال کرتے ہیں، اب بالکل صحیح لفظ نہیں ہے، کیا یہ ہے؟

ہمیں شاید اسے "بلیک میل ویئر" یا صرف "سائبر ایکسٹریشن" کہنا چاہئے۔

میں رینسم ویئر حملے کی تین اہم اقسام کی نشاندہی کرتا ہوں۔

Type A وہ جگہ ہے جہاں بدمعاش آپ کا ڈیٹا چوری نہیں کرتے ہیں، وہ صرف آپ کے ڈیٹا کو صورتحال میں گھسیٹتے ہیں۔

لہذا انہیں ایک بھی چیز اپ لوڈ کرنے کی ضرورت نہیں ہے۔

وہ یہ سب کچھ اس طرح کرتے ہیں کہ وہ آپ کو ڈکرپشن کلید فراہم کر سکیں، لیکن آپ کو ڈیٹا کا ایک بائٹ بھی نظر نہیں آئے گا جو آپ کے نیٹ ورک کو اس بات کی علامت کے طور پر چھوڑتا ہے کہ کچھ برا ہو رہا ہے۔

پھر ایک قسم B ransomware حملہ ہوتا ہے، جہاں بدمعاش جاتے ہیں، "آپ جانتے ہیں کیا، ہم تمام فائلوں پر لکھنے کا خطرہ مول نہیں لیں گے، ایسا کرتے ہوئے پکڑے جائیں گے۔ ہم صرف تمام ڈیٹا چوری کرنے جا رہے ہیں، اور آپ کا ڈیٹا واپس حاصل کرنے کے لیے رقم ادا کرنے کے بجائے، آپ ہماری خاموشی کی قیمت ادا کر رہے ہیں۔

اور پھر، یقیناً، ٹائپ سی رینسم ویئر حملہ ہے، اور وہ ہے: "A اور B دونوں۔"

یہ وہ جگہ ہے جہاں بدمعاش آپ کا ڈیٹا چوری کرتے ہیں *اور* وہ اسے گھماتے ہیں اور وہ جاتے ہیں، "ارے، اگر یہ ایک چیز نہیں ہے جو آپ کو مصیبت میں ڈالے گی، تو یہ دوسری ہے۔"

اور یہ جان کر اچھا لگے گا کہ میرے خیال میں قانونی پیشہ کس چیز کو مادیت کہتا ہے (دوسرے لفظوں میں، قانونی اہمیت یا کسی خاص ضابطے سے قانونی مطابقت)…

رینسم ویئر کے حملوں کی صورت میں، یہ کہاں تک پہنچتا ہے۔

---

ڈوگ  ٹھیک ہے، اس کہانی پر ہفتے کے ہمارے تبصرہ نگار ایڈم کو لانے کا یہ اچھا وقت ہے۔

ایڈم رینسم ویئر حملے کی مختلف اقسام کے بارے میں اپنے خیالات دیتا ہے۔

لہذا، ٹائپ اے سے شروع کرتے ہوئے، جہاں یہ صرف ایک سیدھا رینسم ویئر حملہ ہے، جہاں وہ فائلوں کو لاک اپ کرتے ہیں اور ان کو کھولنے کے لیے تاوان کا نوٹ چھوڑ دیتے ہیں…

آدم کہتے ہیں:

اگر کسی کمپنی کو رینسم ویئر کا نشانہ بنایا جاتا ہے، اسے مکمل چھان بین کے بعد ڈیٹا کے اخراج کا کوئی ثبوت نہیں ملا، اور تاوان ادا کیے بغیر اپنا ڈیٹا بازیافت کیا، تو میں یہ کہنے پر مائل ہوں گا، "نہیں [انکشاف کی ضرورت ہے]۔"

---

بطخ.  تم نے کافی کیا ہے؟

---

ڈوگ  جی ہاں.

---

بطخ.  آپ نے اسے بالکل نہیں روکا، لیکن آپ نے اگلا بہترین کام کیا، لہذا آپ کو اپنے سرمایہ کاروں کو بتانے کی ضرورت نہیں ہے….

ستم ظریفی یہ ہے کہ، ڈوگ، اگر آپ نے ایک کمپنی کے طور پر ایسا کیا ہوتا، تو آپ اپنے سرمایہ کاروں کو بتانا چاہیں گے، "ارے، اندازہ لگائیں کیا؟ ہم پر بھی ہر کسی کی طرح رینسم ویئر کا حملہ ہوا، لیکن ہم بغیر رقم ادا کیے، بدمعاشوں سے جڑے بغیر اور کوئی ڈیٹا کھوئے بغیر اس سے نکل گئے۔ لہذا اگرچہ ہم کامل نہیں تھے، ہم اگلی بہترین چیز تھے۔

اور حقیقت میں یہ رضاکارانہ طور پر ظاہر کرنے میں بہت زیادہ وزن اٹھا سکتا ہے، چاہے قانون کہے کہ آپ کو ایسا کرنے کی ضرورت نہیں ہے۔

---

ڈوگ  اور پھر، قسم B کے لیے، بلیک میل کا زاویہ، آدم کہتا ہے:

یہ ایک مشکل صورتحال ہے۔

نظریاتی طور پر، میں کہوں گا، "ہاں۔"

لیکن اس سے بہت سارے انکشافات اور کاروباری ساکھ کو نقصان پہنچنے کا امکان ہے۔

لہذا، اگر آپ کے پاس کمپنیوں کا ایک گروپ باہر آ رہا ہے اور کہہ رہا ہے، "دیکھو، ہم رینسم ویئر سے متاثر ہوئے ہیں؛ ہمیں نہیں لگتا کہ کچھ برا ہوا ہے۔ ہم نے بدمعاشوں کو ان کو خاموش رکھنے کے لیے پیسے دیے۔ اور ہم اس بات پر بھروسہ کر رہے ہیں کہ وہ پھلیاں نہیں پھینکیں گے،" تو بات کرنے کے لیے…

…یہ ایک مشکل صورتحال پیدا کرتا ہے، کیونکہ اس سے کمپنی کی ساکھ کو نقصان پہنچ سکتا ہے، لیکن اگر وہ اسے ظاہر نہ کرتے تو کسی کو معلوم نہ ہوتا۔

---

بطخ.  اور میں دیکھتا ہوں کہ آدم نے اسی طرح محسوس کیا جیسا کہ آپ اور میں دونوں نے کاروبار کے بارے میں کیا تھا، "آپ کے پاس چار دن ہیں، اور چار دن سے زیادہ نہیں… اس لمحے سے جب آپ کے خیال میں چار دن شروع ہونے چاہئیں۔"

وہ اس کے ساتھ ساتھ گڑگڑاتا ہے، ہے نا؟

انہوں نے کہا کہ:

کچھ کمپنیاں ممکنہ طور پر یہ فیصلہ کرنے میں بہت تاخیر کرنے کے ہتھکنڈے اپنائیں گی کہ آیا کوئی مادی اثر ہے یا نہیں۔

لہذا، ہم بالکل نہیں جانتے کہ یہ کیسے چلے گا، اور مجھے یقین ہے کہ SEC بھی بالکل نہیں جانتا۔

بیوروکریسی کی صحیح مقدار کیا ہے یہ معلوم کرنے کے لیے ان کے لیے چند ٹیسٹ کیسز لگ سکتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ ہم سب وہ سیکھتے ہیں جو ہمیں جاننے کی ضرورت ہے، کمپنیوں کو مجبور کیے بغیر کہ وہ آئی ٹی کی ہر چھوٹی خرابی کا انکشاف کریں اور ہم سب کو ایک ہی جگہ پر دفن کر دیں۔ کاغذی کارروائی کا بوجھ.

جو بنیادی طور پر تھکاوٹ کی خلاف ورزی کا باعث بنتا ہے، ہے نا؟

اگر آپ کو اتنی بری خبر ملی ہے جو بہت اہم نہیں ہے صرف آپ کو دھونا…

…کسی نہ کسی طرح، واقعی اہم چیزوں کو یاد کرنا آسان ہے جو ان تمام چیزوں کے درمیان ہے "کیا مجھے واقعی اس کے بارے میں سننے کی ضرورت تھی؟"

وقت بتائے گا، ڈگلس۔

---

ڈوگ  جی ہاں، مشکل!

اور میں جانتا ہوں کہ میں یہ ہر وقت کہتا ہوں، لیکن ہم اس پر نظر رکھیں گے، کیونکہ یہ منظر عام پر آنا دلچسپ ہوگا۔

تو، ایڈم، اس تبصرہ میں بھیجنے کے لیے آپ کا شکریہ۔

---

بطخ.  ہاں یقینا!

---

ڈوگ  اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم پوڈ کاسٹ پر پڑھنا پسند کریں گے۔

آپ tips@sophos.com پر ای میل کر سکتے ہیں، آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، یا آپ ہمیں سوشل: @nakedsecurity پر مار سکتے ہیں۔

یہ آج کے لیے ہمارا شو ہے؛ سننے کے لیے بہت شکریہ

پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو اگلی بار تک یاد دلاتا ہوں کہ...

---

دونوں  سلامت رہیں۔

[میوزیکل موڈیم]