S3 Ep94: اس قسم کا کرپٹو (گرافی)، اور دوسری قسم کا کرپٹو (کرنسی!) [آڈیو + ٹیکسٹ]

کسی بھی مقام پر جانے کے لیے نیچے دی گئی ساؤنڈ ویوز پر کلک کریں اور ڈریگ کریں۔ آپ بھی براہ راست سنیں ساؤنڈ کلاؤڈ پر۔

ڈوگ  A اہم سامبا بگ، ایک اور کرپٹو چوری، اور سیس ایڈمن ڈے مبارک ہو۔.

یہ سب اور بہت کچھ، ننگی سیکیورٹی پوڈ کاسٹ پر۔

[میوزیکل موڈیم]

پوڈ کاسٹ میں خوش آمدید، سب۔

میں ڈوگ آموت ہوں۔

میرے ساتھ، ہمیشہ کی طرح، پال ڈکلن ہے… پال، آج آپ کیسے ہیں؟

---

بطخ.  بہت اچھا، شکریہ، ڈگلس۔

---

ڈوگ  ہم کچھ ٹیک ہسٹری کے ساتھ شو شروع کرنا چاہتے ہیں۔

اور اس ہفتے، پال، ہم 1858 میں واپس جا رہے ہیں!

اس ہفتے 1858 میں، پہلی ٹرانس اٹلانٹک ٹیلی گراف کیبل مکمل ہوئی۔

اس کی سربراہی امریکی مرچنٹ سائرس ویسٹ فیلڈ نے کی تھی، اور یہ کیبل ٹرنٹی بے، نیو فاؤنڈ لینڈ سے ویلنسیا، آئرلینڈ تک، تقریباً 2000 میل کے پار، اور 2 میل سے زیادہ گہرائی تک چلی تھی۔

یہ پانچویں کوشش ہوگی، اور بدقسمتی سے، کیبل نے صرف ایک ماہ تک کام کیا۔

لیکن اس نے اس وقت کے صدر جیمز بکانن اور ملکہ وکٹوریہ کے درمیان خوشگوار تبادلے کے لیے کافی دیر تک کام کیا۔

---

بطخ.  ہاں، مجھے یقین ہے کہ یہ تھا، میں اسے کیسے رکھ سکتا ہوں... بے ہوش۔ [ہنسی]

1858!

خدا نے کیا کیا ہے؟، ڈوگ! [پہلے ٹیلی گراف پیغام میں بھیجے گئے الفاظ]

---

ڈوگ  ان چیزوں کے بارے میں بات کرنا جو تیار کی گئی ہیں، وہاں ایک ہے۔ اہم سامبا بگ جس کے بعد سے پیچ کیا گیا ہے۔

میں کسی بھی طرح سے ماہر نہیں ہوں، لیکن یہ بگ کسی کو بھی ڈومین ایڈمن بننے دے گا… یہ برا لگتا ہے۔

---

بطخ.  ٹھیک ہے، یہ برا لگتا ہے، ڈوگ، بنیادی طور پر اس وجہ سے کہ یہ * بلکہ برا ہے!

---

ڈوگ  تم وہاں جاؤ

---

بطخ.  سامبا… صرف واضح کرنے کے لیے، اس سے پہلے کہ ہم شروع کریں، آئیے آپ کے مطلوبہ ورژنز کو دیکھیں۔

اگر آپ 4.16 ذائقہ پر ہیں، تو آپ کو 4.16.4 یا بعد کی ضرورت ہے۔ اگر آپ 4.15 پر ہیں، تو آپ کو 4.15.9 یا بعد کی ضرورت ہے۔ اور اگر آپ 4.14 پر ہیں، تو آپ کو 4.14.14 یا بعد کی ضرورت ہے۔

ان بگ فکسز نے، مجموعی طور پر، چھ مختلف کیڑے بنائے جو CVE نمبرز حاصل کرنے کے لیے کافی سنجیدہ سمجھے جاتے تھے - آفیشل ڈیزائنرز۔

جو باہر کھڑا تھا وہ ہے۔ CVE-2022-32744.

اور بگ کا عنوان یہ سب کہتا ہے: سامبا ایکٹو ڈائرکٹری کے صارفین کسی بھی صارف کے لیے پاس ورڈ کی تبدیلی کی درخواستیں بنا سکتے ہیں۔

---

ڈوگ  ہاں، یہ برا لگتا ہے۔

---

بطخ.  لہذا، سیکورٹی ایڈوائزری میں مکمل بگ رپورٹ کے طور پر، تبدیلی لاگ کہتے ہیں، بلکہ orotund انداز میں:

"ایک صارف ایڈمنسٹریٹر اکاؤنٹ کا پاس ورڈ تبدیل کر سکتا ہے اور ڈومین پر مکمل کنٹرول حاصل کر سکتا ہے۔ رازداری اور سالمیت کا مکمل نقصان ممکن ہو گا، ساتھ ہی صارفین کو ان کے اکاؤنٹس تک رسائی سے انکار کر کے دستیابی کا بھی۔"

اور جیسا کہ ہمارے سامعین شاید جانتے ہوں گے، کمپیوٹر سیکیورٹی کا نام نہاد "مقدس تثلیث" (ایئر کوٹس) ہے: دستیابی، رازداری اور سالمیت۔

آپ کے پاس ان میں سے صرف ایک نہیں بلکہ یہ سب ہونا چاہیے۔

تو سالمیت اس کا مطلب ہے کہ کوئی بھی آپ کے نوٹس کے بغیر آپ کے سامان میں داخل نہیں ہوسکتا ہے۔

دستیابی کہتے ہیں کہ آپ ہمیشہ اپنی چیزیں حاصل کر سکتے ہیں – جب آپ چاہیں تو وہ آپ کو اس پر پہنچنے سے نہیں روک سکتے۔

اور رازداری اس کا مطلب ہے کہ جب تک انہیں اجازت نہ دی جائے وہ اسے نہیں دیکھ سکتے۔

ان میں سے کوئی ایک، یا ان میں سے کوئی دو، اپنے طور پر زیادہ استعمال نہیں کرتا۔

تو یہ واقعی ایک ٹریفیکٹا تھا، ڈوگ!

اور پریشان کن بات یہ ہے کہ یہ سامبا کے بالکل حصے میں ہے جسے آپ صرف اس صورت میں استعمال نہیں کر سکتے جب آپ یونکس کمپیوٹر کو ونڈوز ڈومین سے جوڑنے کی کوشش کر رہے ہوں، بلکہ اگر آپ ونڈوز کمپیوٹرز کے لیے ایکٹو ڈائریکٹری ڈومین سیٹ اپ کرنے کی کوشش کر رہے ہیں۔ لینکس یا یونکس کمپیوٹرز کا ایک گروپ۔

---

ڈوگ  یہ تمام خانوں کو تمام غلط طریقوں سے ٹک رہا ہے!

لیکن ایک پیچ ہے - اور ہم ہمیشہ کہتے ہیں، "جلد پیچ، اکثر پیچ۔"

کیا کوئی ایسا حل ہے جسے لوگ استعمال کر سکتے ہیں اگر وہ کسی وجہ سے ابھی پیچ نہیں کر سکتے ہیں، یا یہ صرف کرنے کی قسم ہے؟

---

بطخ.  ٹھیک ہے، میری سمجھ یہ ہے کہ یہ بگ پاس ورڈ کی تصدیق کرنے والی سروس میں ہے جسے کہا جاتا ہے۔ kpasswd.

بنیادی طور پر وہ سروس جو کرتی ہے وہ یہ ہے کہ وہ پاس ورڈ کی تبدیلی کی درخواست کو تلاش کرتی ہے، اور اس بات کی تصدیق کرتی ہے کہ اس پر کسی قسم کے قابل اعتماد فریق کے ذریعے دستخط کیے گئے یا اس کی اجازت ہے۔

اور بدقسمتی سے، خرابی کی شرائط کے ایک مخصوص سلسلے کے بعد، وہ قابل اعتماد فریق آپ کو بھی شامل کر سکتا ہے۔

تو یہ ایک کی طرح ہے اپنا پاسپورٹ پرنٹ کریں۔ بگ، اگر آپ چاہیں.

آپ کو پاسپورٹ بنانا ہوگا… یہ ایک حقیقی پاسپورٹ ہوسکتا ہے جو آپ کی اپنی حکومت نے جاری کیا ہو، یا یہ ایسا ہوسکتا ہے جسے آپ نے اپنے انک جیٹ پرنٹر پر گھر پر دستک دی ہو، اور یہ دونوں پاسپورٹ جمع ہوجائیں گے۔ [ہنسی]

چال یہ ہے کہ، اگر آپ سامبا کے استعمال میں اس پاس ورڈ کی توثیق کرنے والی سروس پر درحقیقت بھروسہ نہیں کرتے ہیں، تو آپ اسے روک سکتے ہیں۔ kpasswd چلانے سے سروس.

بلاشبہ، اگر آپ اپنی ایکٹو ڈائرکٹری کی توثیق فراہم کرنے اور آپ کے پاس ورڈ کی تبدیلیوں کے لیے درحقیقت پورے سامبا سسٹم پر انحصار کر رہے ہیں، تو آپ کا اپنا سسٹم ٹوٹ جائے گا۔

لہذا بہترین دفاع، یقیناً، وہ پیچ ہے جو صرف اس سے *احتیاط* کرنے کے بجائے بگ کو *ہٹا* دیتا ہے۔

---

ڈوگ  بہت اچھا.

آپ کے بارے میں مزید پڑھیں وہ سائٹ پر ہے: nakedscurity.sophos.com۔

اور ہم سال کے سب سے شاندار وقت کی طرف بڑھتے ہیں!

ہم نے صرف جشن منایا سیس ایڈمن ڈے، پال، اور میں یہاں پنچ لائن کو ٹیلی گراف نہیں کروں گا… لیکن آپ کے پاس تھا۔ کافی تحریر.

---

بطخ.  ٹھیک ہے، سال میں ایک بار، یہ پوچھنا بہت زیادہ نہیں ہے کہ ہمیں آئی ٹی ڈیپارٹمنٹ کا چکر لگانا چاہئے اور ہر اس شخص پر مسکرانا چاہئے جس نے پس منظر کے اس سارے کام کو چھپا رکھا ہے…

اپنے کمپیوٹرز، اور ہمارے سرورز، اور ہماری کلاؤڈ سروسز، اور ہمارے لیپ ٹاپس، اور ہمارے فونز، اور ہمارے نیٹ ورک سوئچز [DOUG LAUGHS]، اور ہمارے DSL کنکشنز، اور ہماری Wi-Fi کٹ کو برقرار رکھنے کے لیے اچھا کام کرنے کا حکم.

دستیاب! رازدارانہ! سالمیت سے بھرا ہوا، سارا سال!

اگر آپ نے جولائی کے آخری جمعہ کو ایسا نہیں کیا، جو کہ ایسysAdmin تعریفی دنتو پھر کیوں نہ آج جا کر ایسا کر لیا جائے؟

اور یہاں تک کہ اگر آپ نے یہ کیا ہے، تو ایسی کوئی چیز نہیں ہے جو کہتی ہو کہ آپ سال کے ہر دن اپنے SysAdmins کی تعریف نہیں کر سکتے۔

آپ کو یہ صرف جولائی میں کرنے کی ضرورت نہیں ہے، ڈوگ۔

---

ڈوگ  اچھا نکتہ!

---

بطخ.  تو یہاں کیا کرنا ہے، ڈوگ.

میں اسے "نظم" یا "آیت" کہوں گا… میرے خیال میں تکنیکی طور پر یہ ڈوگرل ہے [ہنسی]، لیکن میں یہ دکھاوا کرنے جا رہا ہوں کہ اس میں شیکسپیئر کے سانیٹ کی ساری خوشی اور گرمجوشی ہے۔

یہ *سونیٹ* نہیں ہے، لیکن اسے کرنا پڑے گا۔

---

ڈوگ  کامل.

---

بطخ.  یہ لو، ڈوگ.

اگر آپ کے ماؤس کی بیٹریاں ختم ہو گئی ہیں یا آپ کے ویب کیم کی روشنی نہیں چمکے گی اگر آپ اپنا پاس ورڈ یاد نہیں کر پا رہے ہیں یا آپ کا ای میل ظاہر نہیں ہو گا اگر آپ کی USB ڈرائیو کھو گئی ہے یا آپ کی میٹنگ شروع نہیں ہو گی اگر آپ نہیں کر سکتے ایک ہسٹوگرام تیار کریں یا ایک اچھا گول چارٹ بنائیں اگر آپ حادثاتی طور پر [ڈیلیٹ] کو مارتے ہیں یا اپنی ڈسک کو فارمیٹ کرتے ہیں اگر آپ بیک اپ بنانا چاہتے ہیں لیکن اس کے بجائے صرف ایک خطرہ مول لیا اگر آپ کو مجرم کا واضح پتہ ہے اور الزام آپ کی طرف واپس نہیں آتا ہے۔ امید چھوڑ دو اور مایوس ہو جاؤ ابھی ایک کام باقی ہے! چاکلیٹ، شراب، کچھ خوشی، ایک مسکراہٹ لیں اور اس کا مطلب یہ ہے کہ جب آپ کہتے ہیں: "میں آپ سب کو ایک عظیم سیس ایڈمن ڈے کی مبارکباد دینے کے لیے حاضر ہوا ہوں!"

---

ڈوگ  بہت اچھا! آپ کے بہترین میں سے ایک!

---

بطخ.  SysAdmins جو کچھ کرتے ہیں اس میں سے بہت کچھ پوشیدہ ہے، اور اس میں سے بہت کچھ اچھی اور قابل اعتماد طریقے سے کرنا حیرت انگیز طور پر مشکل ہے…

…اور ایک چیز کو ٹھیک کرنے اور دوسری کو توڑے بغیر کرنا۔

وہ مسکراہٹ کم سے کم ہے جس کے وہ مستحق ہیں، ڈوگ۔

---

ڈوگ  بہت کم سے کم!

---

بطخ.  لہذا، پوری دنیا کے تمام SysAdmins کے لیے، میں امید کرتا ہوں کہ آپ نے گزشتہ جمعہ کا لطف اٹھایا۔

اور اگر آپ کو کافی مسکراہٹیں نہیں آئیں تو اب ایک لے لیں۔

---

ڈوگ  سیس ایڈمن ڈے مبارک ہو، سب کو، اور وہ شعر پڑھیں، جو بہت اچھا ہے… یہ سائٹ پر ہے۔

ٹھیک ہے، کسی ایسی چیز کی طرف بڑھ رہے ہیں جو اتنی اچھی نہیں ہے: a میموری کی بدانتظامی کی خرابی۔ GnuTLS میں۔

---

بطخ.  ہاں، میں نے سوچا کہ یہ نیکیڈ سیکیورٹی پر لکھنے کے قابل ہے، کیونکہ جب لوگ اوپن سورس کرپٹوگرافی کے بارے میں سوچتے ہیں، تو وہ OpenSSL کے بارے میں سوچتے ہیں۔

کیونکہ (A) یہ وہی ہے جس کے بارے میں سب نے سنا ہے، اور (B) یہ وہی ہے جس کی شاید حالیہ برسوں میں کیڑے پر سب سے زیادہ تشہیر ہوئی ہے، کیونکہ دل کی بات.

یہاں تک کہ اگر آپ اس وقت وہاں نہیں تھے (یہ آٹھ سال پہلے کی بات ہے)، آپ نے شاید ہارٹ بلیڈ کے بارے میں سنا ہوگا، جو اوپن ایس ایس ایل میں ڈیٹا لیکیج اور میموری لیکیج بگ کی ایک قسم تھی۔

یہ عمروں سے کوڈ میں تھا اور کسی نے اس پر توجہ نہیں دی۔

اور پھر کسی نے نوٹس کیا، اور انہوں نے اسے فینسی نام دیا، اور انہوں نے اس مسئلے کو ایک لوگو دیا، اور انہوں نے اس مسئلے کو ایک ویب سائٹ دی، اور انہوں نے اس میں سے یہ بڑی PR چیز بنائی۔

---

ڈوگ  اس طرح آپ جانتے ہیں کہ یہ حقیقی ہے…

---

بطخ.  ٹھیک ہے، وہ ایسا کر رہے تھے کیونکہ وہ اس حقیقت کی طرف توجہ مبذول کروانا چاہتے تھے کہ انہوں نے اسے دریافت کیا، اور انہیں اس حقیقت پر بہت فخر تھا۔

اور دوسرا پہلو یہ تھا کہ لوگ باہر گئے اور اس مسئلے کو ٹھیک کیا جو شاید انہوں نے نہیں کیا تھا… کیونکہ، ٹھیک ہے، یہ صرف ایک بگ ہے۔

یہ بہت ڈرامائی نہیں لگتا ہے - یہ ریموٹ کوڈ پر عمل درآمد نہیں ہے۔ لہذا وہ صرف بھاپ نہیں لے سکتے اور فوری طور پر میری تمام ویب سائٹس وغیرہ پر قبضہ نہیں کر سکتے۔

لیکن اس نے OpenSSL کو گھریلو نام بنا دیا، ضروری نہیں کہ تمام صحیح وجوہات کی بنا پر۔

تاہم، وہاں بہت ساری اوپن سورس کرپٹوگرافک لائبریریاں موجود ہیں، نہ صرف OpenSSL، اور ان میں سے کم از کم دو حیرت انگیز طور پر وسیع پیمانے پر استعمال ہوتی ہیں، چاہے آپ نے ان کے بارے میں کبھی نہیں سنا ہو۔

این ایس ایس ہے، اس کے لیے مختصر نیٹ ورک سیکیورٹی سروسجو کہ موزیلا کی اپنی کرپٹوگرافک لائبریری ہے۔

آپ اسے کسی بھی مخصوص موزیلا پروجیکٹس سے آزادانہ طور پر ڈاؤن لوڈ اور استعمال کر سکتے ہیں، لیکن آپ کو یہ مل جائے گا، خاص طور پر، فائر فاکس اور تھنڈر برڈ میں، وہاں موجود تمام خفیہ کاری کرتے ہوئے – وہ OpenSSL استعمال نہیں کرتے ہیں۔

اور وہاں ہے gnuTLS، جو کہ GNU پروجیکٹ کے تحت ایک اوپن سورس لائبریری ہے، جو بنیادی طور پر، اگر آپ چاہیں، ایک مدمقابل ہے یا OpenSSL کا متبادل ہے، اور اسے حیرت انگیز تعداد میں استعمال کیا جاتا ہے (چاہے آپ کو اس کا احساس نہ ہو)۔ منبع پروجیکٹس اور مصنوعات…

…بشمول کوڈ کے ذریعے، آپ جس بھی پلیٹ فارم پر ہیں، جو شاید آپ کو اپنے سسٹم پر مل گیا ہے۔

تو اس میں کچھ بھی شامل ہے، کہئے: FFmpeg؛ مینکوڈر GnuPGP (GNU کلیدی مینجمنٹ ٹول)؛ QEMU، Rdesktop؛ سامبا، جس کے بارے میں ہم نے ابھی پچھلے بگ میں بات کی تھی۔ Wget، جسے بہت سے لوگ ویب ڈاؤن لوڈ کرنے کے لیے استعمال کرتے ہیں۔ وائر شارک کے نیٹ ورک سنفنگ ٹولز؛ زلیب۔

وہاں بہت سارے ٹولز موجود ہیں جن کے لیے ایک کرپٹوگرافک لائبریری کی ضرورت ہے، اور انہوں نے یا تو OpenSSL کی بجائے GnuTLS *استعمال کرنے کا فیصلہ کیا ہے، یا شاید *نیز*، سپلائی چین کے مسائل پر منحصر ہے کہ انہوں نے کن سب پیکجز کو کھینچا ہے۔ میں

آپ کے پاس ایک پروجیکٹ ہو سکتا ہے جہاں اس کے کچھ حصے اپنی خفیہ نگاری کے لیے GnuTLS استعمال کرتے ہیں، اور اس کے کچھ حصے OpenSSL استعمال کرتے ہیں، اور دوسرے پر ایک کا انتخاب کرنا مشکل ہے۔

لہذا آپ ان دونوں کے ساتھ، بہتر یا بدتر کے لیے ختم ہوجاتے ہیں۔

اور بدقسمتی سے، GnuTLS (جو ورژن آپ چاہتے ہیں وہ 3.7.7 یا اس کے بعد کا ہے) میں ایک قسم کا بگ تھا جسے ایک کے نام سے جانا جاتا ہے۔ ڈبل فری… کوڈ کے اس حصے میں یقین کریں یا نہ کریں جو TLS سرٹیفکیٹ کی توثیق کرتا ہے۔

لہذا، اس قسم کی ستم ظریفی میں جو ہم نے پہلے بھی کرپٹوگرافک لائبریریوں میں دیکھے ہیں، وہ کوڈ جو TLS کو خفیہ کردہ ٹرانسمیشنز کے لیے استعمال کرتا ہے لیکن دوسرے سرے کی تصدیق کرنے کی زحمت نہیں کرتا… کوڈ جو کہ جاتا ہے، "سرٹیفکیٹ کی توثیق، کس کو اس کی ضرورت ہے؟"

اسے عام طور پر ایک انتہائی برا خیال سمجھا جاتا ہے، بلکہ حفاظتی نقطہ نظر سے گھٹیا… لیکن کوئی بھی کوڈ جو ایسا کرتا ہے اس بگ کے لیے خطرناک نہیں ہوگا، کیونکہ یہ بگی کوڈ نہیں کہتا۔

لہذا، افسوس کی بات یہ ہے کہ کوڈ جو *صحیح* چیز کرنے کی کوشش کر رہا ہے اسے ایک بدمعاش سرٹیفکیٹ کے ذریعے دھوکہ دیا جا سکتا ہے۔

اور صرف وضاحت کے لیے، a ڈبل فری بگ کی قسم ہے جہاں آپ آپریٹنگ سسٹم یا سسٹم سے پوچھتے ہیں، "ارے، مجھے کچھ میموری دو۔ مجھے عارضی طور پر کچھ یادداشت کی ضرورت ہے۔ اس صورت میں، میرے پاس یہ سارا سرٹیفکیٹ ڈیٹا ہے، میں اسے عارضی طور پر ذخیرہ کرنا چاہتا ہوں، اس کی توثیق کرنا چاہتا ہوں، اور پھر جب میرا کام ہو جائے گا، میں میموری واپس کر دوں گا تاکہ اسے پروگرام کے دوسرے حصے کے ذریعے استعمال کیا جا سکے۔ "

اگر آپ سی پروگرامر ہیں، تو آپ فنکشنز سے واقف ہوں گے۔ malloc()، "میموری مختص" کے لئے مختصر، اور free()، جو "اسے واپس دینا" ہے۔

اور ہم جانتے ہیں کہ ایک قسم کا بگ کہا جاتا ہے۔ استعمال کے بعد مفت، جہاں آپ ڈیٹا واپس دیتے ہیں، لیکن پھر اس میموری بلاک کا استعمال جاری رکھیں، یہ بھول کر کہ آپ نے اسے چھوڑ دیا۔

لیکن ڈبل فری تھوڑا مختلف ہے - یہ وہ جگہ ہے جہاں آپ میموری کو واپس دیتے ہیں، اور آپ فرض کے ساتھ اسے دوبارہ استعمال کرنے سے گریز کرتے ہیں، لیکن پھر بعد کے مرحلے پر، آپ جاتے ہیں، "رکو، مجھے یقین ہے کہ میں نے اسے نہیں دیا تھا۔ یادداشت ابھی تک واپس. بہتر ہے کہ میں اسے واپس کر دوں۔"

اور اس طرح آپ آپریٹنگ سسٹم سے کہتے ہیں، "ٹھیک ہے، اس میموری کو دوبارہ خالی کرو۔"

تو ایسا لگتا ہے جیسے یہ ڈیٹا کو خالی کرنے کی ایک جائز درخواست ہے *جس پر پروگرام کا کوئی دوسرا حصہ درحقیقت بھروسہ کر رہا ہو*۔

اور جیسا کہ آپ تصور کر سکتے ہیں، بری چیزیں ہو سکتی ہیں، کیونکہ اس کا مطلب ہے کہ آپ کو پروگرام کے دو حصے مل سکتے ہیں جو نادانستہ طور پر ایک ہی وقت میں میموری کے ایک ہی حصے پر انحصار کر رہے ہیں۔

اچھی خبر یہ ہے کہ مجھے یقین نہیں ہے کہ اس بگ کے لیے کوئی کام کرنے والا استحصال پایا گیا تھا، اور اس لیے، اگر آپ پیچ کرتے ہیں، تو آپ بدمعاشوں سے آگے نکل جائیں گے بجائے اس کے کہ ان کو پکڑیں۔

لیکن، یقیناً، بری خبر یہ ہے کہ، جب اس طرح کی بگ فکسز سامنے آتی ہیں، تو عام طور پر بہت سے لوگ ہوتے ہیں جو ان کی طرف دیکھتے ہیں، اس کا تجزیہ کرنے کی کوشش کرتے ہیں کہ کیا غلط ہوا، اس امید میں کہ وہ تیزی سے یہ سمجھنے کی کوشش کرتے ہیں کہ وہ استحصال کرنے کے لیے کیا کر سکتے ہیں۔ ان تمام لوگوں کے خلاف بگ جو پیچ کرنے میں سست رہے ہیں۔

دوسرے الفاظ میں: تاخیر نہ کریں۔ آج ہی کرو۔

---

ڈوگ  ٹھیک ہے، GnuTLS کا تازہ ترین ورژن 3.7.7 ہے… براہ کرم اپ ڈیٹ کریں۔

آپ اس کے بارے میں مزید پڑھیں جگہ پر.

---

بطخ.  اوہ، اور ڈوگ، بظاہر یہ بگ GnuTLS 3.6.0 میں متعارف کرایا گیا تھا۔

---

ڈوگ  ٹھیک ہے.

---

بطخ.  لہذا، نظریہ طور پر، اگر آپ کے پاس اس سے پہلے کا ورژن ہے، تو آپ اس مسئلے کا شکار نہیں ہیں…

…لیکن براہ کرم اسے جانے کے بہانے کے طور پر استعمال نہ کریں، "مجھے ابھی اپ ڈیٹ کرنے کی ضرورت نہیں ہے۔"

آپ 3.6.0 اور 3.7.6 کے درمیان سیکیورٹی کے دیگر تمام مسائل کے لیے سامنے آنے والی دیگر تمام اپ ڈیٹس پر بھی آگے بڑھ سکتے ہیں۔

لہذا حقیقت یہ ہے کہ آپ اس بگ کے زمرے میں نہیں آتے ہیں - اسے کچھ نہ کرنے کے بہانے کے طور پر استعمال نہ کریں۔

اپنے آپ کو موجودہ دور تک پہنچانے کے لیے اسے محرک کے طور پر استعمال کریں… یہ میرا مشورہ ہے۔

---

ڈوگ  ٹھیک ہے!

اور ہفتے کی ہماری آخری کہانی: ہم ایک اور کرپٹو ڈکیتی کے بارے میں بات کر رہے ہیں۔

اس بار، صرف $ 200 ملینتاہم، پال۔

ہم نے جن کے بارے میں بات کی ہے ان میں سے کچھ کے مقابلے میں یہ بہت بڑی تبدیلی ہے۔

---

بطخ.  میں تقریباً یہ نہیں کہنا چاہتا، ڈوگ، لیکن میں نے یہ لکھنے کی ایک وجہ یہ ہے کہ میں نے اسے دیکھا اور میں نے اپنے آپ کو یہ سوچتے ہوئے پایا، "اوہ، صرف 200 ملین؟ یہ ایک چھوٹی سی بات ہے… میں کیا سوچ رہا ہوں!؟” [ہنسی]

$200 ملین، بنیادی طور پر... ٹھیک ہے، "ٹائلٹ کے نیچے" نہیں، بلکہ "بینک والٹ سے باہر"۔

یہ سروس Nomad ایک کمپنی کی طرف سے ہے جو Illusory Systems Incorporated کے نام سے جاتی ہے۔

اور میرا خیال ہے کہ آپ اس بات سے اتفاق کریں گے کہ یقینی طور پر حفاظتی نقطہ نظر سے، لفظ "فریب" شاید صحیح قسم کا استعارہ ہے۔

یہ ایک ایسی خدمت ہے جو بنیادی طور پر آپ کو وہ کام کرنے کی اجازت دیتی ہے جسے اصطلاح میں کہا جاتا ہے۔ پلنگ.

آپ بنیادی طور پر فعال طور پر ایک کریپٹو کرنسی کو دوسری کے لیے ٹریڈ کر رہے ہیں۔

اس لیے آپ اپنی کچھ کریپٹو کرنسی کو دوسرے لوگوں کے بوجھ کے ساتھ کچھ بڑی بالٹی میں ڈال دیتے ہیں… اور پھر ہم یہ تمام فینسی، "وکندریقرت مالیاتی" خودکار سمارٹ کنٹریکٹس کر سکتے ہیں۔

ہم Bitcoin کی تجارت کر سکتے ہیں Ether کے لیے یا Ether کے لیے Monero، یا کچھ بھی۔

بدقسمتی سے، ایک حالیہ کوڈ اپ ڈیٹ کے دوران، ایسا لگتا ہے کہ وہ اسی طرح کے سوراخ میں گر گئے ہیں جو شاید سامبا لڑکوں نے اس بگ کے ساتھ کیا تھا جس کے بارے میں ہم نے سامبا میں بات کی تھی۔

بنیادی طور پر ایک ہے اپنا پاسپورٹ پرنٹ کریں۔، یا ایک اپنے لین دین کو اختیار دیں۔ بگ جو انہوں نے متعارف کرایا۔

کوڈ میں ایک نقطہ ہے جہاں ایک کرپٹوگرافک ہیش، ایک 256-بٹ کرپٹوگرافک ہیش، کی توثیق کی جانی چاہیے… ایسی چیز جس کے بارے میں ایک مجاز منظوری دینے والے کے علاوہ کوئی نہیں ہوسکتا۔

سوائے اس کے کہ اگر آپ نے صرف صفر کی قدر کا استعمال کیا ہے، تو آپ کو جمع کرنا ہوگا۔

آپ بنیادی طور پر کسی اور کی موجودہ ٹرانزیکشن لے سکتے ہیں، وصول کنندہ کا نام اپنے ساتھ دوبارہ لکھ سکتے ہیں ("Hey, pay*my* cryptocurrency wallet")، اور صرف ٹرانزیکشن کو دوبارہ چلائیں۔

اور سسٹم چلا جائے گا، "ٹھیک ہے۔"

آپ کو صرف صحیح فارمیٹ میں ڈیٹا حاصل کرنا ہوگا، یہ میری سمجھ ہے۔

اور ایک ٹرانزیکشن بنانے کا سب سے آسان طریقہ جو جمع ہو جائے گا، بس یہ ہے کہ کسی اور کی پہلے سے مکمل شدہ، موجودہ ٹرانزیکشن لیں، اسے دوبارہ چلائیں، لیکن ان کا نام، یا ان کا اکاؤنٹ نمبر کراس آؤٹ کریں، اور اپنا نمبر ڈالیں۔

تو، cryptocurrency تجزیہ کار کے طور پر @samczsun ٹویٹر پر کہا, "حملہ آوروں نے لین دین کو کاپی اور پیسٹ کرنے کے لیے اس کا غلط استعمال کیا اور پل کو تیزی سے خالی کر دیا۔"

دوسرے لفظوں میں، لوگ اے ٹی ایم سے پیسے نکلوانے کے لیے پاگل ہو گئے جو کسی کے بھی بینک کارڈ کو قبول کر لے، بشرطیکہ آپ صفر کا پن لگا دیں۔

اور صرف اس وقت تک نہیں جب تک کہ اے ٹی ایم ختم نہ ہو جائے… اے ٹی ایم بنیادی طور پر بینک والٹ کے پہلو سے جڑا ہوا تھا، اور پیسہ آسانی سے باہر نکل رہا تھا۔

---

ڈوگ  اررررگ!

---

بطخ.  جیسا کہ آپ کہتے ہیں، بظاہر وہ کچھ ہی وقت میں $200 ملین تک کھو گئے۔

اوہ، پیارے.

---

ڈوگ  ٹھیک ہے، ہمارے پاس کچھ مشورہ ہے، اور یہ بہت سیدھا ہے…

---

بطخ.  آپ واقعی میں صرف ایک ہی مشورہ دے سکتے ہیں، "اس غیر مرکزی مالیاتی انقلاب میں شامل ہونے کے لیے زیادہ جلدی نہ کریں۔"

جیسا کہ ہم پہلے بھی کہہ چکے ہیں، یقینی بنائیں کہ اگر آپ اس "آن لائن تجارت" میں *کرتے ہیں*؛ ہمیں کریپٹو کرنسی ادھار دیں اور ہم آپ کو سود ادا کریں گے۔ اپنا سامان گرم بٹوے میں رکھیں تاکہ آپ سیکنڈوں میں کام کر سکیں۔ پورے سمارٹ معاہدے کے منظر میں حاصل کریں؛ میرے نان فنگیبل ٹوکن [NFTs] خریدیں" - وہ تمام چیزیں…

…اگر آپ فیصلہ کرتے ہیں کہ بازار *آپ کے لیے* ہے، تو براہ کرم یقینی بنائیں کہ آپ اپنی آنکھیں کھول کر اندر جائیں، نہ کہ آنکھیں بند کرکے!

اور اس کی سادہ وجہ یہ ہے کہ اس طرح کے معاملات میں، ایسا نہیں ہے کہ بدمعاش بینک کے *کچھ* اے ٹی ایم کو نکالنے میں کامیاب ہوسکتے ہیں۔

اس معاملے میں، سب سے پہلے، ایسا لگتا ہے کہ انھوں نے تقریباً سب کچھ ختم کر دیا ہے، اور دوسرا، روایتی بینکوں کے برعکس، ایسے ریگولیٹری تحفظات نہیں ہیں جن سے آپ لطف اندوز ہوں گے اگر کوئی حقیقی بینک ٹوٹ جاتا ہے۔

وکندریقرت مالیات کے معاملے میں، اس کے وکندریقرت ہونے، اور نئے ہونے کا، اور ٹھنڈا ہونا، اور ایسی چیز جس میں آپ جلدی کرنا چاہتے ہیں…

…کیا اس میں یہ پریشان کن ریگولیٹری تحفظات *نہیں* ہیں۔

آپ کر سکتے ہیں، اور ممکنہ طور پر ہو سکتا ہے – کیونکہ ہم نے اس کے بارے میں اس سے کہیں زیادہ بات کی ہے جتنا کہ میں آرام سے ہوں، واقعی – آپ *سب کچھ* کھو سکتے ہیں۔

اور اس کا دوسرا پہلو یہ ہے کہ، اگر آپ نے کچھ ڈی سینٹرلائزڈ فنانس یا "ویب 3.0 بالکل نئی سپر ٹریڈنگ ویب سائٹ" میں اس طرح کا سامان کھو دیا ہے، تو یہ کہتے ہوئے آنے والے لوگوں سے بہت محتاط رہیں، "ارے، فکر نہ کریں۔ ضابطے کی کمی کے باوجود، ایسی ماہر کمپنیاں ہیں جو آپ کی رقم واپس حاصل کر سکتی ہیں۔ آپ کو صرف کمپنی X، انفرادی Y، یا سوشل میڈیا اکاؤنٹ Z سے رابطہ کرنے کی ضرورت ہے۔

کیونکہ، جب بھی اس قسم کی کوئی آفت آتی ہے، ثانوی دھوکہ دہی کرنے والے تیزی سے دوڑتے ہوئے آتے ہیں، اور آپ کے پیسے واپس حاصل کرنے کے لیے "راستہ تلاش کرنے" کی پیشکش کرتے ہیں۔

یہاں بہت سارے دھوکہ باز منڈلا رہے ہیں، لہذا بہت ہوشیار رہیں۔

اگر آپ نے پیسہ کھو دیا ہے، تو اچھے پیسے کو برے کے بعد پھینکنے کے لیے اپنے راستے سے باہر نہ جائیں (یا اچھے کے بعد برا پیسہ، جو بھی ہو)۔

---

ڈوگ  ٹھیک ہے، آپ اس کے بارے میں مزید پڑھ سکتے ہیں: Cryptocoin "ٹوکن سویپر" Nomad کو کوڈنگ کی غلطی میں 200 ملین ڈالر کا نقصان.

اور اگر ہم اس کہانی پر اپنے قارئین میں سے کسی سے سنتے ہیں، تو ایک گمنام تبصرہ نگار لکھتا ہے، اور میں اس سے اتفاق کرتا ہوں… مجھے سمجھ نہیں آتی کہ یہ کیسے کام کرتا ہے:

"حیرت انگیز بات یہ ہے کہ ایک آن لائن سٹارٹ اپ کے پاس سب سے پہلے بہت کچھ کھونا تھا۔ $200,000، آپ تصور کر سکتے ہیں۔ لیکن $200 ملین ناقابل یقین لگتا ہے۔

اور مجھے لگتا ہے کہ ہم نے اس سوال کا جواب دیا ہے، لیکن یہ سب پیسہ کہاں سے آرہا ہے، صرف 200 ملین ڈالر حاصل کرنے کے لیے؟

---

بطخ.  میں اس کا جواب نہیں دے سکتا، ڈوگ۔

---

ڈوگ  نہیں.

---

بطخ.  کیا یہ ہے کہ دنیا پہلے سے زیادہ معتبر ہے؟

کیا یہ ہے کہ کرپٹو کرنسی کمیونٹی میں بہت زیادہ ناجائز منافع کما رہا ہے؟

تو ایسے لوگ بھی ہیں جنہوں نے اصل میں اس میں اپنا پیسہ نہیں لگایا، لیکن انہوں نے منصفانہ کی بجائے غلط طریقوں سے کرپٹو کرنسی کا پورا بوجھ ختم کیا۔ (ہم جانتے ہیں کہ رینسم ویئر کی ادائیگیاں عام طور پر کریپٹو کرنسی کے طور پر آتی ہیں، کیا وہ نہیں؟)

تاکہ یہ مضحکہ خیز رقم کی طرح ہے… جو شخص "پیسہ" کھو رہا ہے شاید اس نے آگے کیش نہیں کی؟

کیا یہ لوگوں کی طرف سے تقریباً مذہبی جوش ہے، "نہیں، نہیں، *یہ* ایسا کرنے کا طریقہ ہے۔ ہمیں اس گلے کو توڑنے کی ضرورت ہے کہ اولڈ اسکول، فڈی ڈڈی، انتہائی منظم مالیاتی تنظیمیں کام کرتی ہیں۔ ہمیں دی مین سے آزاد ہونا ہے"؟

مجھے نہیں معلوم، شاید $200 ملین اب بہت زیادہ رقم نہیں ہے، ڈوگ؟

---

ڈوگ  ٹھیک ہے، بالکل!

---

بطخ.  مجھے شبہ ہے کہ وہاں صرف لوگ ہیں جو آنکھیں بند کرکے اندر جا رہے ہیں۔

وہ جا رہے ہیں، "میں * یہ خطرہ مول لینے کے لیے تیار ہوں کیونکہ یہ بہت اچھا ہے۔"

اور مسئلہ یہ ہے کہ اگر آپ $200، یا $2000 کھونے جا رہے ہیں، اور آپ اسے کھونے کے متحمل ہو سکتے ہیں، تو یہ ایک چیز ہے۔

لیکن اگر آپ $2000 میں گئے ہیں اور آپ سوچتے ہیں، "آپ کو معلوم ہے۔ شاید مجھے $20,000 میں جانا چاہئے؟ اور پھر آپ سوچتے ہیں، "آپ جانتے ہیں کیا؟ شاید مجھے $200,000 میں جانا چاہئے؟ شاید مجھے اندر جانا چاہئے؟

پھر، مجھے لگتا ہے کہ آپ کو واقعی بہت محتاط رہنے کی ضرورت ہے!

خاص طور پر ان وجوہات کی بناء پر کہ آپ کو لگتا ہے کہ آپ کے پاس موجود ریگولیٹری تحفظات ہیں، جیسا کہ آپ کے پاس ہوتا ہے جب آپ کے کریڈٹ کارڈ پر کچھ برا ہوتا ہے اور آپ صرف فون کرتے ہیں اور اس پر تنازعہ کرتے ہیں اور وہ چلے جاتے ہیں۔ "ٹھیک ہے"، اور وہ اس بل سے $52.23 کو عبور کرتے ہیں…

…اس معاملے میں ایسا نہیں ہوگا۔

اور یہ $52 ہونے کا امکان نہیں ہے، یہ شاید اس سے بہت زیادہ ہونے والا ہے۔

تو وہاں کا خیال رکھیں، لوگو!

---

ڈوگ  خیال رکھنا، واقعی۔

ٹھیک ہے، تبصرے کے لیے آپ کا شکریہ۔

اور اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔

آپ ای میل کرسکتے ہیں tips@sophos.com; آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں۔ آپ ہمیں سوشل پر مار سکتے ہیں: @NakedSecurity.

یہ ہمارا آج کا شو ہے – سننے کا بہت بہت شکریہ۔

پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو یاد دلا رہا ہوں، اگلی بار تک…

---

دونوں  محفوظ رہو!

[میوزیکل موڈیم]