ترقی یافتہ دنیا میں روزمرہ کی بہت سی اشیاء اب انٹرنیٹ سے جڑی ہوئی ہیں، اکثر ناقابل فہم۔ یہ ممکنہ ٹیکنالوجی کی ناکامی کی ایک اور پرت کا اضافہ کرتا ہے جو ذاتی آلات کے لیے ایک دل لگی جھنجھلاہٹ کا باعث ہو سکتا ہے: بلائنڈز کہ نہیں کھلے گا، مائکروویو کہ وقت کی تبدیلیوں کو ایڈجسٹ نہ کریں۔, ریفریجریٹرز کہ فرم ویئر اپڈیٹس کی ضرورت ہے۔.
لیکن انٹرپرائز میں، جب انٹرنیٹ آف تھنگز ڈیوائسز ناکام ہو جاتی ہیں، تو یہ کوئی ٹویٹر تھریڈ مذاق نہیں ہے۔ فیکٹری اسمبلی لائنیں رک جاتی ہیں۔ ہسپتالوں میں دل کی شرح مانیٹر آف لائن سوئچ کرتے ہیں۔ ایلیمنٹری اسکول کے سمارٹ بورڈز اندھیرے میں پڑ گئے۔
سمارٹ ڈیوائس کی ناکامی انٹرپرائز کی دنیا میں بڑھتا ہوا خطرہ ہے، اور نہ صرف اس کی وجہ سے اکثر زیر بحث سیکورٹی خدشات. اس کی وجہ یہ ہے کہ ان آلات میں سے کچھ کے روٹ سرٹیفکیٹس — جو ان کے لیے انٹرنیٹ سے محفوظ طریقے سے جڑنے کے لیے ضروری ہیں — ختم ہو رہے ہیں۔
"آلات کو یہ جاننے کی ضرورت ہوتی ہے کہ کس چیز پر بھروسہ کرنا ہے، لہذا روٹ سرٹیفکیٹ کو ایک تصدیقی ٹول کے طور پر ڈیوائس میں بنایا گیا ہے،" اسکاٹ ہیلمے، ایک سیکورٹی محقق جس نے روٹ سرٹیفکیٹ کی میعاد ختم ہونے کے مسئلے کے بارے میں بڑے پیمانے پر لکھا گیا ہے۔. "ایک بار جب آلہ جنگلی میں ہوتا ہے تو یہ 'ہوم' کو کال کرنے کی کوشش کرتا ہے - ایک API یا مینوفیکچرر کا سرور - اور یہ اس روٹ سرٹیفکیٹ کے خلاف یہ کہنے کے لیے چیک کرتا ہے، 'ہاں، میں اس صحیح محفوظ چیز سے جڑ رہا ہوں۔' بنیادی طور پر [روٹ سرٹیفکیٹ ہے] ایک ٹرسٹ اینکر، آلہ کے لیے ایک فریم آف ریفرنس یہ جاننے کے لیے کہ یہ کیا بول رہا ہے۔
عملی طور پر یہ تصدیق ایک ویب یا زنجیر کی طرح ہے۔ سرٹیفکیٹ حکام (CAs) ہر قسم کے ڈیجیٹل سرٹیفکیٹ جاری کرتے ہیں، اور ادارے ایک دوسرے سے "بات چیت" کرتے ہیں، بعض اوقات متعدد سطحوں کے ساتھ۔ لیکن اس سلسلہ کا پہلا اور سب سے بنیادی لنک ہمیشہ روٹ سرٹیفکیٹ ہوتا ہے۔ اس کے بغیر، اوپر کی سطحوں میں سے کوئی بھی کنکشن کو ممکن نہیں بنا سکتا۔ لہذا اگر روٹ سرٹیفکیٹ کام کرنا بند کر دیتا ہے، تو آلہ کنکشن کی تصدیق نہیں کر سکتا اور انٹرنیٹ سے لنک نہیں کرے گا۔
مسئلہ یہ ہے: انکرپٹڈ ویب کا تصور 2000 کے آس پاس تیار ہوا — اور روٹ سرٹیفکیٹ تقریباً 20 سے 25 سال تک درست رہتے ہیں۔ 2022 میں، اس کے بعد، ہم اس میعاد ختم ہونے کی مدت کے درمیان میں ہیں.
CAs نے پچھلی دو سے زیادہ دہائیوں میں کافی نئے روٹ سرٹیفکیٹ جاری کیے ہیں، یقیناً، میعاد ختم ہونے سے بہت پہلے۔ یہ ذاتی ڈیوائس کی دنیا میں اچھی طرح سے کام کرتا ہے، جہاں زیادہ تر لوگ اکثر نئے فونز میں اپ گریڈ کرتے ہیں اور اپنے لیپ ٹاپ کو اپ ڈیٹ کرنے کے لیے کلک کرتے ہیں، اس لیے ان کے پاس یہ نئے سرٹیفکیٹ ہوں گے۔ لیکن انٹرپرائز میں، ڈیوائس کو اپ ڈیٹ کرنا کہیں زیادہ مشکل یا ناممکن بھی ہو سکتا ہے - اور مینوفیکچرنگ جیسے شعبوں میں، مشینیں 20 سے 25 سال بعد بھی فیکٹری کے فرش پر ہو سکتی ہیں۔
انٹرنیٹ کنکشن کے بغیر، "یہ آلات کسی چیز کے قابل نہیں ہیں،" کیون بوکیک کہتے ہیں، حفاظتی حکمت عملی اور دھمکیوں کی انٹیلی جنس کے نائب صدر Venafi، جو مشین کی شناخت کے انتظام کی خدمات فراہم کرتے ہیں۔ "وہ بنیادی طور پر اینٹ بن جاتے ہیں [جب ان کے روٹ سرٹیفکیٹ کی میعاد ختم ہو جاتی ہے]: وہ اب کلاؤڈ پر بھروسہ نہیں کر سکتے، کمانڈ نہیں لے سکتے، ڈیٹا نہیں بھیج سکتے، سافٹ ویئر اپ ڈیٹ نہیں لے سکتے۔ یہ ایک حقیقی خطرہ ہے، خاص طور پر اگر آپ کسی قسم کے کارخانہ دار یا آپریٹر ہیں۔
ایک وارننگ شاٹ
خطرہ نظریاتی نہیں ہے۔ 30 ستمبر کو بڑے پیمانے پر CA کی طرف سے جاری کردہ روٹ سرٹیفکیٹ چلو خفیہ ہے میعاد ختم ہوگئی - اور انٹرنیٹ پر کئی سروسز ٹوٹ گئیں۔. میعاد ختم ہونا کوئی تعجب کی بات نہیں تھی، کیونکہ Let's Encrypt طویل عرصے سے اپنے صارفین کو ایک نئے سرٹیفکیٹ پر اپ ڈیٹ کرنے کی تنبیہ کر رہا تھا۔
پھر بھی، ہیلم نے ایک میں لکھا بلاگ پوسٹ میعاد ختم ہونے سے 10 دن پہلے، "میں شرط لگا رہا ہوں کہ شاید اس دن کچھ چیزیں ٹوٹ جائیں گی۔" وہ درست تھا. Cisco، Google، Palo Alto، QuickBooks، Fortinet، Auth0، اور بہت سی مزید کمپنیوں کی کچھ سروسز ناکام ہوگئیں۔
ہیلم نے ڈارک ریڈنگ کو بتایا، "اور اس کے بارے میں عجیب بات یہ ہے کہ لیٹس انکرپٹ استعمال کرنے والی جگہیں تعریف کے لحاظ سے بہت جدید ہیں — آپ صرف ان کی ویب سائٹ پر جا کر اپنا $10 ادا نہیں کر سکتے اور اپنا سرٹیفکیٹ ہاتھ سے ڈاؤن لوڈ کر سکتے ہیں۔ یہ ایک مشین کے ذریعہ یا ان کے API کے ذریعہ کیا جانا ہے۔ یہ صارفین ترقی یافتہ تھے، اور یہ اب بھی ایک بہت بڑا مسئلہ تھا۔ تو کیا ہوتا ہے جب ہم زیادہ لیگیسی CAs سے [میعاد ختم ہونے] دیکھتے ہیں جن کے پاس یہ بڑے کاروباری صارفین ہیں؟ یقینی طور پر دستک کا اثر بڑا ہوگا۔
آگے کا راستہ
لیکن کچھ تبدیلیوں کے ساتھ، اس دستک کا اثر ہونا ضروری نہیں ہے، Venafi's Bocek کہتے ہیں، جو چیلنج کو علم اور کمانڈ کے سلسلے میں سے ایک کے طور پر دیکھتے ہیں - لہذا وہ آگاہی اور ابتدائی تعاون دونوں میں حل دیکھتے ہیں۔
"میں واقعی پرجوش ہوں جب میں چیف سیکیورٹی افسران اور ان کی ٹیموں کو مینوفیکچرر اور ڈویلپر کی سطح پر شامل ہوتے دیکھتا ہوں،" بوکیک کہتے ہیں۔ "سوال صرف یہ نہیں ہے، 'کیا ہم کوئی ایسی چیز تیار کر سکتے ہیں جو محفوظ ہو؟' لیکن 'کیا ہم اسے کام جاری رکھ سکتے ہیں؟' اکثر ان اعلیٰ قدر سے منسلک آلات پر آپریشن کی مشترکہ ذمہ داری ہوتی ہے، اس لیے ہمیں یہ واضح ہونا چاہیے کہ ہم اسے بطور کاروبار کیسے سنبھالیں گے۔"
اسی طرح کی بات چیت بنیادی ڈھانچے کے شعبے میں ہو رہی ہے، مارٹی ایڈورڈز، ڈپٹی سی ٹی او برائے آپریشنل ٹیکنالوجی اور ٹین ایبل میں آئی او ٹی کہتے ہیں۔ وہ تجارت کے لحاظ سے ایک صنعتی انجینئر ہے جس نے یوٹیلیٹی کمپنیوں اور امریکی محکمہ ہوم لینڈ سیکیورٹی کے ساتھ کام کیا ہے۔
ایڈورڈز کا کہنا ہے کہ "بالکل واضح طور پر، صنعتی جگہ میں جہاں افادیت اور کارخانے ہیں، کوئی بھی ایسا واقعہ جو پیداوار میں بندش یا نقصان کا باعث بنتا ہے،" ایڈورڈز کہتے ہیں۔ "لہذا ان خاص حلقوں میں انجینئرز اور ڈویلپر یقینی طور پر [روٹ سرٹیفکیٹس کی میعاد ختم ہونے کے] اثرات کو دیکھ رہے ہیں اور ہم انہیں کیسے ٹھیک کر سکتے ہیں۔"
اگرچہ ایڈورڈز اس بات پر زور دیتے ہیں کہ وہ ان بات چیت کے بارے میں "پر امید" ہیں اور خریداری کے عمل کے دوران سائبرسیکیوریٹی کے تحفظات پر زور دیتے ہیں، لیکن ان کا خیال ہے کہ مزید ریگولیٹری نگرانی کی بھی ضرورت ہے۔
ایڈورڈز کا کہنا ہے کہ "کچھ بنیادی نگہداشت کے معیار کی طرح جس میں سرٹیفکیٹ کے نظام کی سالمیت کو برقرار رکھنے کے بارے میں زبان بھی شامل ہے۔" مثال کے طور پر مشن کے اہم آلات کے لیے ٹریس ایبلٹی کے بارے میں مختلف معیاری گروپوں اور حکومتوں کے درمیان بات چیت ہوئی ہے۔
جہاں تک ہیلمے کا تعلق ہے، وہ انٹرپرائز مشینوں کو اس انداز میں اپ ڈیٹس کے لیے سیٹ دیکھنا پسند کرے گا جو حقیقت پسندانہ ہو اور صارف یا مینوفیکچرر کے لیے مشکل نہ ہو — ایک نیا سرٹیفکیٹ جاری کیا جاتا ہے اور ہر پانچ سال بعد ڈاؤن لوڈ کیا جاتا ہے، شاید۔ لیکن مینوفیکچررز کو ایسا کرنے کی ترغیب نہیں دی جائے گی جب تک کہ انٹرپرائز صارفین اس کے لیے دباؤ نہ ڈالیں۔
"عام طور پر، میں سمجھتا ہوں کہ یہ وہ چیز ہے جس کی صنعت کو ٹھیک کرنے کی ضرورت ہے،" ایڈورڈز متفق ہیں۔ "اچھی خبر یہ ہے کہ ان میں سے زیادہ تر چیلنجز ضروری نہیں کہ تکنیکی ہوں۔ یہ جاننا ہے کہ یہ سب کیسے کام کرتا ہے، اور صحیح لوگوں اور طریقہ کار کو جگہ پر لانا ہے۔"
