کیا آپ فٹنس پر مرکوز سوشل نیٹ ورکنگ ایپس جیسے اسٹراوا کے پرستار ہیں؟ تم اکیلے نہیں ہو. یہاں تک کہ فوجی اہلکار بھی اپنے رن کو ٹریک کرنے اور بانٹنے سے لطف اندوز ہوتے ہیں۔ یہ بہت اچھا لگتا ہے، سوائے اس کے کہ تمام سرگرمی اور GPS ڈیٹا جو Strava ایپ اکٹھا اور شائع کرتی ہے وہ ہمیشہ فوجی اڈوں کے درست مقام کو بے نقاب کرتی ہے۔
آپ کو اس قسم کی معلومات دیکھ کر حیرت ہو سکتی ہے جو آج انٹرنیٹ پر عوامی طور پر دستیاب ہے۔ لیکن یہ حیرت کی بات نہیں ہونی چاہئے، یہ دیکھتے ہوئے کہ ہم اوور شیئرنگ کے دنوں میں کیسے رہتے ہیں۔ ہم ٹویٹر پر اعلان کرتے ہیں اور اپنے تعطیل کے منصوبوں کے بارے میں خودکار جوابات ای میل کرتے ہیں، بنیادی طور پر ڈاکوؤں کو مدعو کرتے ہیں۔ سیکیورٹی پیشہ ور اسے کہتے ہیں۔ OSINT (اوپن سورس انٹیلی جنس)، اور حملہ آور اسے ہر وقت عمل، ٹیکنالوجیز اور لوگوں میں کمزوریوں کی شناخت اور ان کا استحصال کرنے کے لیے استعمال کرتے ہیں۔ OSINT ڈیٹا اکٹھا کرنا عام طور پر آسان ہوتا ہے، اور یہ عمل ہدف کے لیے پوشیدہ ہوتا ہے۔ (لہذا کیوں ملٹری انٹیلی جنس اسے دوسرے OSINT ٹولز جیسے HUMIT، ELINT، اور SATINT کے ساتھ استعمال کرتی ہے۔)
اچھی خبر؟ آپ اپنے صارفین کی حفاظت کے لیے OSINT کو تھپتھپا سکتے ہیں۔ لیکن پہلے آپ کو یہ سمجھنا ہو گا کہ حملہ آور آپ کے حملے کی سطح کے دائرہ کار کا کافی حد تک جائزہ لینے اور اس کے مطابق اپنے دفاع کو تقویت دینے کے لیے OSINT کا کس طرح استحصال کرتے ہیں۔
OSINT ایک قدیم تصور ہے۔ روایتی طور پر، اوپن سورس انٹیلی جنس ٹی وی، ریڈیو اور اخبارات کے ذریعے جمع کی جاتی تھی۔ آج، اس طرح کی معلومات پورے انٹرنیٹ پر موجود ہیں، بشمول:
سماجی اور پیشہ ورانہ نیٹ ورکس جیسے فیس بک، انسٹاگرام، اور لنکڈ ان
ڈیٹنگ ایپس پر عوامی پروفائلز
· انٹرایکٹو نقشے
· صحت اور فٹنس ٹریکرز
OSINT ٹولز جیسے Censys اور Shodan
یہ تمام عوامی طور پر دستیاب معلومات لوگوں کو دوستوں کے ساتھ مہم جوئی کا اشتراک کرنے، غیر واضح مقامات تلاش کرنے، دوائیوں کا سراغ لگانے، اور خوابوں کی نوکریوں اور یہاں تک کہ روحانی ساتھی تلاش کرنے میں مدد کرتی ہے۔ لیکن اس کا ایک اور رخ بھی ہے۔ ممکنہ اہداف سے ناواقف، یہ معلومات سکیمرز اور سائبر کرائمینلز کے لیے اتنی ہی آسانی سے دستیاب ہے۔
مثال کے طور پر، وہی ADS-B ایکسچینج ایپ جسے آپ حقیقی وقت میں اپنے پیارے کی پروازوں پر نظر رکھنے کے لیے استعمال کرتے ہیں، بدنیتی پر مبنی اداکار اپنے اہداف کا پتہ لگانے اور مذموم منصوبے بنانے کے لیے استعمال کر سکتے ہیں۔
OSINT کی مختلف ایپلی کیشنز کو سمجھنا
اوپن سورس کی معلومات صرف ان لوگوں کے لیے دستیاب نہیں ہے جن کے لیے اس کا مقصد ہے۔ حکومت اور قانون نافذ کرنے والے اداروں سمیت کوئی بھی اس تک رسائی اور استعمال کر سکتا ہے۔ سستے اور آسانی سے قابل رسائی ہونے کے باوجود، قومی ریاستیں اور ان کی انٹیلی جنس ایجنسیاں OSINT کا استعمال کرتی ہیں کیونکہ یہ درست طریقے سے اچھی انٹیلی جنس فراہم کرتی ہے۔ اور چونکہ یہ تمام معلومات آزادانہ طور پر دستیاب ہیں، اس لیے رسائی اور استعمال کو کسی ایک ادارے سے منسوب کرنا بہت مشکل ہے۔
انتہا پسند تنظیمیں اور دہشت گرد اپنے اہداف کے بارے میں زیادہ سے زیادہ ڈیٹا اکٹھا کرنے کے لیے ایک ہی اوپن سورس معلومات کو ہتھیار بنا سکتے ہیں۔ سائبر جرائم پیشہ افراد او ایس آئی این ٹی کا استعمال انتہائی ٹارگٹڈ سوشل انجینئرنگ اور نیزہ بازی کے حملوں کے لیے بھی کرتے ہیں۔
کاروبار مسابقت کا تجزیہ کرنے، مارکیٹ کے رجحانات کی پیشن گوئی کرنے اور نئے مواقع کی نشاندہی کرنے کے لیے اوپن سورس کی معلومات کا استعمال کرتے ہیں۔ لیکن یہاں تک کہ افراد بھی کسی وقت اور مختلف وجوہات کی بنا پر OSINT انجام دیتے ہیں۔ چاہے پرانے دوست کو گوگل کرنا ہو یا پسندیدہ مشہور شخصیت، یہ سب OSINT ہے۔
متعدد OSINT تکنیکوں کا استعمال کیسے کریں۔
گھر سے کام کی طرف شفٹ ہونا ناگزیر تھا، لیکن جب COVID-19 کی زد میں آیا تو پورے عمل کو تیز کرنا پڑا۔ گھر سے کام کرنے والے لوگوں کے خلاف کمزوریوں اور ڈیٹا کو تلاش کرنا، تنظیموں کے روایتی حفاظتی دائرے سے باہر، بعض اوقات صرف ایک فوری آن لائن تلاش کی دوری ہے۔
سوشل نیٹ ورکنگ سائٹس: سائبر کرائمین ذاتی مفادات، ماضی کی کامیابیوں، خاندان کی تفصیلات، اور ملازمین، VPs، اور اپنی ہدف کی تنظیموں کے ایگزیکٹوز کے موجودہ اور یہاں تک کہ مستقبل کے مقامات جیسا ڈیٹا اکٹھا کر سکتے ہیں۔ وہ بعد میں اس کا استعمال اسپیئر فریشنگ پیغامات، کالز اور ای میلز کے لیے کر سکتے ہیں۔
گوگل: بدنیتی پر مبنی صارفین Google کی معلومات جیسے کہ مخصوص برانڈز اور IT آلات کے ماڈلز اور IoT آلات جیسے راؤٹرز، سیکیورٹی کیمرے، اور ہوم تھرموسٹیٹ کے ڈیفالٹ پاس ورڈز کو Google سے حاصل کر سکتے ہیں۔
گیٹی ہب: GitHub پر چند سادہ تلاشیں مشترکہ، اوپن سورس کوڈ میں ایپس، سروسز، اور کلاؤڈ وسائل کے لیے اسناد، ماسٹر کیز، انکرپشن کیز، اور تصدیقی ٹوکن ظاہر کر سکتی ہیں۔ بدنام زمانہ کیپیٹل ون خلاف ورزی اس طرح کے حملے کی ایک اہم مثال ہے۔
گوگل ہیکنگ: گوگل ڈورکنگ کے نام سے بھی جانا جاتا ہے، یہ OSINT تکنیک سائبر جرائم پیشہ افراد کو ایپس میں سیکیورٹی کے خطرات، افراد کے بارے میں مخصوص معلومات، صارف کی اسناد پر مشتمل فائلز، اور مزید بہت کچھ تلاش کرنے کے لیے جدید ترین Google تلاش کی تکنیک استعمال کرنے دیتی ہے۔
شودان اور سنسیس: Shodan اور Censys انٹرنیٹ سے منسلک آلات اور صنعتی کنٹرول سسٹم اور پلیٹ فارمز کے لیے سرچ پلیٹ فارم ہیں۔ تلاش کے استفسارات کو معلوم کمزوریوں، قابل رسائی لچکدار تلاش کے ڈیٹا بیس، اور مزید کے ساتھ مخصوص آلات تلاش کرنے کے لیے بہتر کیا جا سکتا ہے۔
دفاعی طریقوں کے لیے OSINT کی درخواستیں۔
وہ کاروبار جو پہلے ہی مواقع کی نشاندہی کرنے اور حریفوں کا مطالعہ کرنے کے لیے OSINT کا استعمال کر رہے ہیں، انہیں OSINT کے اپنے اطلاق کو سائبر سیکیورٹی تک وسیع کرنے کی ضرورت ہے۔
OSINT فریم ورکOSINT ٹولز کا مجموعہ، کاروباری اداروں کے لیے OSINT کی طاقت کو استعمال کرنے کے لیے ایک اچھا نقطہ آغاز ہے۔ یہ دخول جانچنے والوں اور سیکیورٹی محققین کو آزادانہ طور پر دستیاب اور ممکنہ طور پر قابل استعمال ڈیٹا کو دریافت اور جمع کرنے میں مدد کرتا ہے۔
Censys اور Shodan جیسے ٹولز بنیادی طور پر قلم کی جانچ کے لیے بھی بنائے گئے ہیں۔ وہ کاروباری اداروں کو اپنے انٹرنیٹ سے منسلک اثاثوں کی شناخت اور محفوظ کرنے کی اجازت دیتے ہیں۔
ذاتی ڈیٹا کو اوور شیئر کرنا افراد اور ان تنظیموں کے لیے مشکل ہے جن کے لیے وہ کام کرتے ہیں۔ کاروباری اداروں کو ملازمین کو محفوظ اور ذمہ دارانہ سوشل میڈیا کے استعمال کے بارے میں تعلیم دینی چاہیے۔
ملازمین کی سائبرسیکیوریٹی بیداری کی تربیت، کم از کم، ایک نیم سالانہ اقدام ہونا چاہیے۔ غیر اعلانیہ سائبر حملے اور فشنگ سمولیشن ان تربیتی ورکشاپس کا حصہ ہونا چاہیے۔
