بلیک ہیٹ یو ایس اے - لاس ویگاس - سیکیورٹی کے خطرے سے متعلق پیچ کو برقرار رکھنا بہترین طور پر چیلنج ہے، لیکن اس بات کو ترجیح دینا کہ کن کیڑوں پر توجہ مرکوز کی جائے پہلے سے کہیں زیادہ مشکل ہو گیا ہے، سی وی ایس ایس اسکورز، کیچڑ والے وینڈر ایڈوائزری، اور نامکمل اصلاحات کی بدولت تحفظ کے غلط احساس کے ساتھ منتظمین کو چھوڑ دیں۔
یہی دلیل ہے کہ برائن گورینک اور ڈسٹن چائلڈز، دونوں ٹرینڈ مائیکرو کے زیرو ڈے انیشی ایٹو (ZDI) کے ساتھ، اپنے سیشن کے دوران بلیک ہیٹ USA کے اسٹیج سے بنائے گئے، “مبہمیت کے دور میں رسک کا حساب لگانا: سیکیورٹی ایڈوائزری کی خطوط کے درمیان پڑھنا".
ZDI نے 10,000 سے اب تک پوری صنعت میں دکانداروں کے لیے 2005 سے زیادہ کمزوریوں کا انکشاف کیا ہے۔ اس وقت کے دوران، ZDI کمیونیکیشنز مینیجر چائلڈز نے کہا کہ اس نے ایک پریشان کن رجحان دیکھا ہے، جو کہ پیچ کے معیار میں کمی اور سیکیورٹی اپ ڈیٹس سے منسلک کمیونیکیشنز میں کمی ہے۔
"اصل مسئلہ اس وقت پیدا ہوتا ہے جب دکاندار ناقص پیچ جاری کرتے ہیں، یا ان پیچ کے بارے میں غلط اور نامکمل معلومات جو کاروباری اداروں کو اپنے خطرے کا غلط اندازہ لگانے کا سبب بن سکتی ہیں،" انہوں نے نوٹ کیا۔ "ناقص پیچ بھی مصنفین کے استحصال کے لیے ایک اعزاز ثابت ہو سکتے ہیں، کیونکہ 'n-days' صفر دنوں کے مقابلے میں استعمال کرنا بہت آسان ہے۔"
CVSS اسکورز اور پیچنگ کی ترجیح کے ساتھ پریشانی
زیادہ تر سائبر سیکیورٹی ٹیمیں کم عملہ اور دباؤ میں ہیں، اور منتر "ہمیشہ تمام سافٹ ویئر ورژن کو اپ ٹو ڈیٹ رکھیں" ان محکموں کے لیے ہمیشہ معنی نہیں رکھتا جن کے پاس واٹر فرنٹ کا احاطہ کرنے کے لیے وسائل نہیں ہیں۔ یہی وجہ ہے کہ کامن ولنریبلٹی سیوریٹی اسکیل (CVSS) میں ان کی شدت کی درجہ بندی کے مطابق کون سے پیچ کو لاگو کرنا ہے اس کو ترجیح دینا بہت سے منتظمین کے لیے فال بیک بن گیا ہے۔
تاہم، بچوں نے نوٹ کیا کہ یہ نقطہ نظر گہری خامیوں پر مشتمل ہے، اور اس کی وجہ سے وسائل ایسے کیڑے پر خرچ کیے جا سکتے ہیں جن کا کبھی فائدہ اٹھانے کا امکان نہیں ہے۔ اس کی وجہ یہ ہے کہ بہت ساری اہم معلومات ہیں جو CVSS سکور فراہم نہیں کرتا ہے۔
انہوں نے کہا کہ "کثرت سے، انٹرپرائزز پیچنگ کی ترجیح کا تعین کرنے کے لیے CVSS بیس کور کے علاوہ کچھ نہیں دیکھتے،" انہوں نے کہا۔ "لیکن سی وی ایس ایس حقیقت میں استحصال کو نہیں دیکھتا، یا جنگل میں کسی خطرے کے استعمال ہونے کا امکان ہے۔ CVSS آپ کو یہ نہیں بتاتا کہ آیا یہ بگ 15 سسٹمز میں موجود ہے یا 15 ملین سسٹمز میں۔ اور یہ نہیں کہتا کہ یہ عوامی طور پر قابل رسائی سرورز میں ہے یا نہیں۔
انہوں نے مزید کہا، "اور سب سے اہم بات یہ نہیں کہتا کہ آیا یہ بگ ایسے سسٹم میں موجود ہے یا نہیں جو آپ کے مخصوص انٹرپرائز کے لیے اہم ہے۔"
اس طرح، اگرچہ ایک بگ CVSS اسکیل پر 10 میں سے 10 کی اہم درجہ بندی لے سکتا ہے، لیکن اس کا حقیقی اثر اس تنقیدی لیبل سے بہت کم ہوسکتا ہے۔
انہوں نے کہا کہ مائیکروسافٹ ایکسچینج جیسے ای میل سرور میں ایک غیر تصدیق شدہ ریموٹ کوڈ ایگزیکیوشن (RCE) بگ استحصال کرنے والے مصنفین کی طرف سے کافی دلچسپی پیدا کرے گا۔ "گلہری میل جیسے ای میل سرور میں ایک غیر مستند RCE بگ شاید زیادہ توجہ پیدا نہیں کرے گا۔"
سیاق و سباق کے خلا کو پُر کرنے کے لیے، سیکیورٹی ٹیمیں اکثر وینڈر ایڈوائزری کی طرف رجوع کرتی ہیں - جس میں، بچوں نے نوٹ کیا، ان کا اپنا ایک واضح مسئلہ ہے: وہ اکثر مبہم کے ذریعے سیکیورٹی کی مشق کرتے ہیں۔
مائیکروسافٹ پیچ منگل کے مشورے میں تفصیلات کی کمی ہے۔
2021 میں، مائیکروسافٹ نے فیصلہ کیا ایگزیکٹو خلاصے کو ہٹانے کے لئے
سیکیورٹی اپڈیٹ گائیڈز سے، بجائے اس کے کہ صارفین کو مطلع کیا جائے کہ CVSS اسکور ترجیح کے لیے کافی ہوں گے - ایک ایسی تبدیلی جسے بچوں نے اڑا دیا۔
"تبدیلی اس سیاق و سباق کو ہٹا دیتی ہے جو خطرے کا تعین کرنے کے لیے درکار ہے،" انہوں نے کہا۔ مثال کے طور پر، کیا انفارمیشن ڈسکلوزر بگ بے ترتیب میموری یا PII کو ڈمپ کرتا ہے؟ یا سیکیورٹی فیچر بائی پاس کے لیے، کس چیز کو نظرانداز کیا جا رہا ہے؟ تبدیلی پر عالمی سطح پر تنقید کے باوجود ان تحریروں میں معلومات متضاد اور مختلف معیار کی ہیں۔
مائیکروسافٹ کے علاوہ یا تو "اپ ڈیٹس میں معلومات کو ہٹانا یا دھندلا کرنا جو واضح رہنمائی پیدا کرتی تھیں"، اب یہ بھی مشکل ہے کہ پیچ منگل کی بنیادی معلومات کا تعین کرنا، جیسے کہ ہر مہینے کتنے کیڑے لگائے جاتے ہیں۔
چائلڈز نے نوٹ کیا، "اب آپ کو اپنے آپ کو گننا ہوگا، اور یہ درحقیقت میں سب سے مشکل کاموں میں سے ایک ہے۔"
نیز، اس بارے میں معلومات کہ کتنی کمزوریاں فعال حملے کی زد میں ہیں یا عوامی طور پر معلوم ہیں، اب بھی دستیاب ہیں، لیکن اب بلیٹن میں دفن ہیں۔
"مثال کے طور پر، کے ساتھ اس ماہ 121 CVEs کو پیچ کیا جا رہا ہے۔چائلڈز نے کہا، ان سب کو کھودنا مشکل ہے تاکہ یہ معلوم کیا جا سکے کہ کون سے لوگ فعال حملے کی زد میں ہیں۔ "اس کے بجائے، لوگ اب معلومات کے دیگر ذرائع جیسے بلاگز اور پریس آرٹیکلز پر انحصار کرتے ہیں، بجائے اس کے کہ خطرے کا تعین کرنے میں مدد کرنے کے لیے وینڈر سے مستند معلومات کیا ہونی چاہیے۔"
واضح رہے کہ مائیکروسافٹ تبدیلی پر دوگنا ہو گیا ہے. بلیک ہیٹ یو ایس اے میں ڈارک ریڈنگ کے ساتھ بات چیت میں، مائیکروسافٹ کے سیکورٹی رسپانس سینٹر کے کارپوریٹ نائب صدر آنچل گپتا نے کہا کہ کمپنی نے شعوری طور پر فیصلہ کیا ہے کہ وہ صارفین کی حفاظت کے لیے اپنے CVEs کے ساتھ ابتدائی طور پر فراہم کردہ معلومات کو محدود کر دے گی۔ اگرچہ مائیکروسافٹ CVEs بگ کی شدت کے بارے میں معلومات فراہم کرتے ہیں، اور اس سے فائدہ اٹھانے کے امکان (اور کیا اس کا فعال طور پر استحصال کیا جا رہا ہے)، کمپنی اس بارے میں انصاف کرے گی کہ وہ کس طرح خطرے سے متعلق استحصال کی معلومات جاری کرتی ہے۔
گپتا نے کہا کہ اس کا مقصد سیکورٹی انتظامیہ کو پیچ کو لاگو کرنے کے لیے کافی وقت دینا ہے، گپتا نے کہا۔ انہوں نے کہا، "اگر، اپنے CVE میں، ہم نے تمام تفصیلات فراہم کیں کہ کس طرح کمزوریوں کا فائدہ اٹھایا جا سکتا ہے، تو ہم اپنے صارفین کو صفر دن دے رہے ہوں گے۔"
دوسرے دکاندار غیر واضح ہونے کی مشق کرتے ہیں۔
مائیکروسافٹ بگ انکشافات میں بہت کم تفصیلات فراہم کرنے میں مشکل سے ہی اکیلا ہے۔ بچوں نے کہا کہ بہت سے دکاندار جب کوئی اپ ڈیٹ جاری کرتے ہیں تو وہ بالکل بھی CVE فراہم نہیں کرتے ہیں۔
انہوں نے وضاحت کرتے ہوئے کہا کہ "وہ صرف یہ کہتے ہیں کہ اپ ڈیٹ سے سیکیورٹی کے کئی مسائل حل ہو جاتے ہیں۔" "کتنے؟ اس کی شدت کیا ہے؟ استحصال کیا ہے؟ یہاں تک کہ ہمارے پاس حال ہی میں ایک وینڈر نے ہمیں خاص طور پر کہا تھا، ہم سیکورٹی کے مسائل پر عوامی مشورے شائع نہیں کرتے ہیں۔ یہ ایک جرات مندانہ اقدام ہے۔"
اس کے علاوہ، کچھ دکاندار پے والز یا سپورٹ کنٹریکٹس کے پیچھے ایڈوائزری لگاتے ہیں، جو ان کے خطرے کو مزید دھندلا دیتے ہیں۔ یا، وہ متعدد بگ رپورٹس کو ایک واحد CVE میں یکجا کرتے ہیں، اس عام خیال کے باوجود کہ CVE ایک منفرد خطرے کی نمائندگی کرتا ہے۔
"یہ ممکنہ طور پر آپ کے خطرے کے حساب کتاب کو کم کرنے کا باعث بنتا ہے،" انہوں نے کہا۔ "مثال کے طور پر، اگر آپ کسی پروڈکٹ کو خریدتے ہوئے دیکھتے ہیں، اور آپ کو 10 CVEs نظر آتے ہیں جن پر ایک خاص وقت میں پیچ کیا گیا ہے، تو آپ اس نئی پروڈکٹ سے ہونے والے خطرے کا ایک نتیجہ نکال سکتے ہیں۔ تاہم، اگر آپ کو معلوم تھا کہ وہ 10 CVE 100+ بگ رپورٹس پر مبنی ہیں، تو آپ کسی اور نتیجے پر پہنچ سکتے ہیں۔"
پلیسبو پیچز طاعون کی ترجیح
انکشاف کے مسئلے سے ہٹ کر، سیکورٹی ٹیموں کو خود بھی پیچ کے ساتھ مشکلات کا سامنا کرنا پڑتا ہے۔ چائلڈز کے مطابق، "Placebo پیچ" جو کہ "فکسز" ہیں جو اصل میں کوئی مؤثر کوڈ تبدیلیاں نہیں کرتے، غیر معمولی نہیں ہیں۔
"لہذا وہ بگ اب بھی موجود ہے اور دھمکی آمیز اداکاروں کے لیے فائدہ مند ہے، سوائے اس کے کہ اب انہیں اس کی اطلاع دی گئی ہے،" انہوں نے کہا۔ "ایسا ہونے کی بہت سی وجوہات ہیں، لیکن یہ ہوتا ہے - کیڑے اتنے اچھے ہیں کہ ہم انہیں دو بار پیچ کرتے ہیں۔"
اکثر ایسے پیچ بھی ہوتے ہیں جو نامکمل ہوتے ہیں۔ درحقیقت، ZDI پروگرام میں، مکمل 10% سے 20% کیڑے جو محققین کا تجزیہ کرتے ہیں وہ کسی ناقص یا نامکمل پیچ کا براہ راست نتیجہ ہیں۔
بچوں نے ایڈوب ریڈر میں انٹیجر اوور فلو ایشو کی مثال استعمال کی جس کی وجہ سے کم سائز ہیپ ایلوکیشن ہوتا ہے، جس کے نتیجے میں بفر اوور فلو ہوتا ہے جب اس پر بہت زیادہ ڈیٹا لکھا جاتا ہے۔
چائلڈز نے کہا، "ہم نے Adobe سے توقع کی تھی کہ وہ کسی خاص نقطہ پر کسی بھی قدر کو خراب قرار دے کر اسے ٹھیک کر دے گا۔" "لیکن ایسا نہیں ہے جو ہم نے دیکھا، اور رول آؤٹ کے 60 منٹ کے اندر، ایک پیچ بائی پاس تھا اور انہیں دوبارہ پیچ کرنا پڑا۔ ری رن صرف ٹی وی شوز کے لیے نہیں ہیں۔
پیچ کی ترجیحی پریشانیوں کا مقابلہ کیسے کریں۔
بالآخر جب پیچ کی ترجیح کی بات آتی ہے تو، مؤثر پیچ مینجمنٹ اور رسک کیلکولیشن تنظیم کے اندر اعلیٰ قدر والے سافٹ ویئر اہداف کی نشاندہی کرنے کے ساتھ ساتھ فریق ثالث کے ذرائع کو کم کرنے کے لیے استعمال کرتی ہے کہ کون سے پیچ کسی بھی ماحول کے لیے سب سے اہم ہوں گے۔ محققین نے نوٹ کیا.
تاہم، افشاء کے بعد کی نرمی کا مسئلہ تنظیموں کے لیے توجہ مرکوز کرنے کا ایک اور کلیدی شعبہ ہے۔
ZDI کے سینئر ڈائریکٹر گورینک کے مطابق، سائبر کرائمینز اپنے رینسم ویئر ٹول سیٹس یا ان کے استحصالی کٹس میں بڑے حملے کی سطحوں کے ساتھ vulns کو ضم کرنے میں کوئی وقت ضائع نہیں کرتے، کمپنیوں کے پاس پیچ کرنے کا وقت ہونے سے پہلے نئی انکشاف شدہ خامیوں کو ہتھیار بنانے کی کوشش کرتے ہیں۔ یہ نام نہاد n-day کیڑے حملہ آوروں کے لیے کیٹنیپ ہیں، جو اوسطاً 48 گھنٹے سے بھی کم وقت میں ایک بگ کو ریورس انجنیئر کر سکتے ہیں۔
"زیادہ تر حصے کے لئے، جارحانہ کمیونٹی n-day کے خطرات کا استعمال کر رہی ہے جس میں عوامی پیچ دستیاب ہیں،" گورینک نے کہا۔ "یہ ہمارے لیے افشاء کے وقت سمجھنا ضروری ہے کہ کیا واقعی کوئی بگ ہتھیار بننے والا ہے، لیکن زیادہ تر دکاندار استحصال سے متعلق معلومات فراہم نہیں کرتے ہیں۔"
اس طرح، انٹرپرائز کے خطرے کی تشخیصات کو افشاء کے بعد تبدیل کرنے کے لیے کافی متحرک ہونے کی ضرورت ہے، اور سیکیورٹی ٹیموں کو یہ سمجھنے کے لیے خطرے کے انٹیلی جنس ذرائع کی نگرانی کرنی چاہیے کہ کب ایک بگ کو ایکسپلائٹ کٹ یا رینسم ویئر میں ضم کیا جاتا ہے، یا جب ایک استحصال آن لائن جاری کیا جاتا ہے۔
اس کے لیے ذیلی طور پر، کاروباری اداروں کے لیے غور کرنے کے لیے ایک اہم ٹائم لائن یہ ہے کہ پوری تنظیم میں ایک پیچ تیار کرنے میں کتنا وقت لگتا ہے، اور کیا ایسے ہنگامی وسائل موجود ہیں جن کو اگر ضروری ہو تو برداشت کیا جا سکتا ہے۔
"جب خطرے کے منظر نامے میں تبدیلیاں آتی ہیں (پیچ نظرثانی، عوامی ثبوت کے تصورات، اور استحصال کی ریلیز)، کاروباری اداروں کو ضرورت کو پورا کرنے اور تازہ ترین خطرات سے نمٹنے کے لیے اپنے وسائل کو منتقل کرنا چاہیے،" گورینک نے وضاحت کی۔ "صرف تازہ ترین تشہیر شدہ اور نام کی کمزوری نہیں۔ خطرے کے منظر نامے میں کیا ہو رہا ہے اس کا مشاہدہ کریں، اپنے وسائل کو درست کریں، اور فیصلہ کریں کہ کب عمل کرنا ہے۔"
