S3 Ep95: سلیک لیک، گیتھب حملہ، اور پوسٹ کوانٹم کرپٹو [آڈیو + ٹیکسٹ]

کسی بھی مقام پر جانے کے لیے نیچے دی گئی ساؤنڈ ویوز پر کلک کریں اور ڈریگ کریں۔ آپ بھی براہ راست سنیں ساؤنڈ کلاؤڈ پر۔

ڈوگ  سلیک لیکس، شرارتی GitHub کوڈ، اور پوسٹ کوانٹم کرپٹوگرافی۔

وہ سب، اور بہت کچھ، ننگی سیکیورٹی پوڈ کاسٹ پر۔

[میوزیکل موڈیم]

پوڈ کاسٹ میں خوش آمدید، سب۔

میں ڈوگ آموت ہوں۔

میرے ساتھ، ہمیشہ کی طرح، پال ڈکلن ہے۔

پال، آج آپ کیسے کر رہے ہیں؟

---

بطخ.  سپر ڈوپر، ہمیشہ کی طرح، ڈوگ!

---

ڈوگ  میں اس ہفتے تک پہنچنے کے لیے بہت پرجوش ہوں۔ ٹیک ہسٹری طبقہ، کیونکہ…

… تم وہاں تھے، یار!

اس ہفتے 11 اگست کو…

---

بطخ.  ارے نہیں!

مجھے لگتا ہے کہ پیسہ ابھی گرا ہے…

---

ڈوگ  مجھے سال بھی بتانے کی ضرورت نہیں ہے!

11 اگست 2003 - دنیا نے بلاسٹر ورم کا نوٹس لیا جس سے ونڈوز 2000 اور ونڈوز ایکس پی سسٹم متاثر ہوئے۔

بلاسٹر، جسے Lovesan اور MsBlast کے نام سے بھی جانا جاتا ہے، نے ایک بفر اوور فلو کا فائدہ اٹھایا اور شاید پیغام کے لیے سب سے زیادہ جانا جاتا ہے، "بلی گیٹس، آپ یہ کیوں ممکن بناتے ہیں؟ پیسہ کمانا بند کریں اور اپنا سافٹ ویئر ٹھیک کریں۔

کیا ہوا، پال؟

---

بطخ.  ٹھیک ہے، یہ اس سے پہلے کا دور تھا، شاید، ہم نے سیکورٹی کو کافی سنجیدگی سے لیا تھا۔

اور، خوش قسمتی سے، اس قسم کے بگ کا ان دنوں استحصال کرنا بہت زیادہ مشکل ہوگا: یہ اسٹیک پر مبنی بفر اوور فلو تھا۔

اور اگر مجھے صحیح طریقے سے یاد ہے تو، ونڈوز کے سرور ورژن پہلے ہی اس کے ساتھ بنائے جا رہے تھے جسے کہا جاتا ہے۔ اسٹیک تحفظ.

دوسرے لفظوں میں، اگر آپ کسی فنکشن کے اندر اسٹیک کو اوور فلو کرتے ہیں، تو اس سے پہلے کہ فنکشن واپس آجائے اور خراب اسٹیک کے ساتھ نقصان کرے، یہ پتہ لگائے گا کہ کچھ برا ہوا ہے۔

لہذا، اسے گستاخانہ پروگرام کو بند کرنا ہوگا، لیکن میلویئر نہیں چل پائے گا۔

لیکن وہ تحفظ اس وقت ونڈوز کے کلائنٹ ورژن میں نہیں تھا۔

اور جیسا کہ مجھے یاد ہے، یہ ان ابتدائی میلویئرز میں سے ایک تھا جس کا اندازہ لگانا تھا کہ آپ کے پاس آپریٹنگ سسٹم کا کون سا ورژن ہے۔

کیا آپ 2000 پر ہیں؟ کیا آپ NT پر ہیں؟ کیا آپ XP پر ہیں؟

اور اگر یہ غلط ہو گیا، تو سسٹم کا ایک اہم حصہ کریش ہو جائے گا، اور آپ کو "آپ کا سسٹم بند ہونے والا ہے" وارننگ ملے گی۔

---

ڈوگ  ہا، مجھے وہ یاد ہیں!

---

بطخ.  تو، وہ خودکشی کا نقصان تھا جو کہ بہت سے لوگوں کے لیے، اس بات کی علامت تھا کہ آپ کو انفیکشنز کا نشانہ بنایا جا رہا ہے…

…جو باہر سے ہو سکتا ہے، جیسے کہ اگر آپ صرف گھریلو صارف ہیں اور آپ کے پاس گھر میں راؤٹر یا فائر وال نہیں ہے۔

لیکن اگر آپ کسی کمپنی کے اندر تھے، تو ممکنہ طور پر حملہ کمپنی کے اندر کسی اور کی طرف سے آنے والا تھا، جو آپ کے نیٹ ورک پر پیکٹ پھیلا رہا تھا۔

لہذا، بالکل اسی طرح جیسے CodeRed حملے کے بارے میں ہم نے بات کی تھی، جو اس سے چند سال پہلے تھا، ایک حالیہ پوڈ کاسٹ میں، یہ واقعی اس چیز کا سراسر پیمانہ، حجم اور رفتار تھی جو مسئلہ تھا۔

---

ڈوگ  ٹھیک ہے، ٹھیک ہے، یہ تقریبا 20 سال پہلے تھا.

اور اگر ہم گھڑی کو پانچ سال پہلے کی طرف موڑیں تو وہ وقت ہے۔ سلیک ٹپکنے لگی ہیش شدہ پاس ورڈز [ہنسی]

---

بطخ.  ہاں، سلیک، تعاون کا مقبول ٹول…

…اس میں ایک خصوصیت ہے جہاں آپ اپنے ورک اسپیس میں شامل ہونے کے لیے دوسرے لوگوں کو دعوت نامہ بھیج سکتے ہیں۔

اور، آپ تصور کرتے ہیں: آپ ایک بٹن پر کلک کرتے ہیں جو کہتا ہے "ایک لنک بنائیں"، اور یہ ایک قسم کا نیٹ ورک پیکٹ بنائے گا جس کے اندر شاید کچھ JSON ہوگا۔

اگر آپ کو کبھی بھی زوم میٹنگ کا دعوت نامہ ملا ہے، تو آپ کو معلوم ہوگا کہ اس کی ایک تاریخ، ایک وقت، اور وہ شخص جو آپ کو مدعو کر رہا ہے، اور ایک URL جسے آپ میٹنگ کے لیے استعمال کر سکتے ہیں، اور پاس کوڈ، اور یہ سب کچھ چیزیں - اس میں بہت زیادہ ڈیٹا موجود ہے۔

عام طور پر، آپ خام ڈیٹا کو یہ دیکھنے کے لیے نہیں کھودتے کہ وہاں کیا ہے - کلائنٹ صرف یہ کہتا ہے، "ارے، یہاں ایک میٹنگ ہے، یہاں تفصیلات ہیں۔ کیا آپ قبول کرنا/شاید/ رد کرنا چاہتے ہیں؟

یہ پتہ چلا کہ جب آپ نے Slack کے ساتھ ایسا کیا، جیسا کہ آپ کہتے ہیں، پانچ سال سے زیادہ عرصے تک، اس دعوت نامے میں پیک کیا گیا غیر معمولی ڈیٹا تھا جو خود دعوت سے متعلق نہیں تھا۔

لہذا، یو آر ایل نہیں، نام نہیں، تاریخ نہیں، وقت نہیں…

…لیکن *مدعو کرنے والے صارف کا پاس ورڈ ہیش* [ہنسی]

---

ڈوگ  ہمممممم۔

---

بطخ.  میں آپ کو نہیں!

---

ڈوگ  یہ برا لگتا ہے…

---

بطخ.  جی ہاں، یہ واقعی کرتا ہے، ہے نا؟

بری خبر یہ ہے کہ زمین پر یہ وہاں کیسے پہنچا؟

اور، ایک بار جب یہ وہاں تھا، تو زمین پر یہ پانچ سال اور تین ماہ تک نوٹس سے کیسے بچ گیا؟

درحقیقت، اگر آپ نییکڈ سیکیورٹی پر مضمون دیکھیں اور دیکھیں مکمل URL مضمون کے، آپ دیکھیں گے کہ اس کے آخر میں لکھا ہے، blahblahblah-for-three-months.

کیونکہ، جب میں نے پہلی بار رپورٹ پڑھی، میرا دماغ اسے 2017 کے طور پر نہیں دیکھنا چاہتا تھا! [ہنسی]

یہ 17 اپریل سے 17 جولائی تک تھا، اور اس لیے وہاں بہت سارے "17" تھے۔

اور میرے ذہن نے 2017 کو ابتدائی سال کے طور پر خالی کر دیا – میں نے اسے "اپریل تا جولائی *اس سال*" [2022] کے طور پر غلط پڑھا۔

میں نے سوچا، "واہ، *تین مہینے* اور انہوں نے نوٹس نہیں کیا۔"

اور پھر مضمون پر پہلا تبصرہ یہ تھا، "احمد [کھانسی]۔ یہ دراصل 17 اپریل *2017* تھا۔

واہ!

لیکن کسی نے 17 جولائی [2022] کو اس کا پتہ لگایا، اور سلیک نے اپنے کریڈٹ پر، اسی دن اسے ٹھیک کر دیا۔

جیسے، "اوہ، گولی، ہم کیا سوچ رہے تھے؟!"

تو یہ بری خبر ہے۔

اچھی خبر یہ ہے کہ، کم از کم یہ * ہیش* پاس ورڈز تھے۔

اور انہیں صرف ہیش نہیں کیا گیا تھا، انہیں *نمک* کیا گیا تھا، جہاں آپ منفرد طور پر منتخب کردہ، فی صارف کے بے ترتیب ڈیٹا کو پاس ورڈ کے ساتھ ملاتے ہیں۔

اس کا خیال دوگنا ہے۔

ایک، اگر دو افراد ایک ہی پاس ورڈ کا انتخاب کرتے ہیں، تو انہیں ایک ہی ہیش نہیں ملتی، اس لیے آپ ہیش ڈیٹا بیس کو دیکھ کر کوئی اندازہ نہیں لگا سکتے۔

اور دو، آپ معلوم ان پٹس کے لیے معلوم ہیش کی ڈکشنری کا پہلے سے حساب نہیں لگا سکتے، کیونکہ آپ کو ہر پاس ورڈ *ہر نمک کے لیے* کے لیے الگ لغت بنانا ہوگی۔

لہذا ہیشڈ پاس ورڈز کو کریک کرنا کوئی معمولی مشق نہیں ہے۔

یہ کہہ کر، پورا خیال یہ ہے کہ انہیں عوامی ریکارڈ کا معاملہ نہیں ہونا چاہیے۔

ان کو دھو کر نمکین کیا جاتا ہے *کیس میں* وہ لیک ہوتے ہیں، نہ کہ *اس لیے کہ وہ* لیک ہوسکیں۔

تو، سلیک کے چہرے پر انڈے!

سلیک کا کہنا ہے کہ تقریباً 200 میں سے ایک صارفین، یا 0.5 فیصد متاثر ہوئے۔

لیکن اگر آپ ایک سلیک صارف ہیں، تو میں فرض کروں گا کہ اگر انہیں یہ احساس نہیں ہوتا تھا کہ وہ پانچ سالوں سے ہیشڈ پاس ورڈ لیک کر رہے ہیں، تو شاید انہوں نے مکمل طور پر متاثر ہونے والے لوگوں کی فہرست کو بھی نہیں بتایا۔

تو، جا کر اپنا پاس ورڈ تبدیل کر لیں… آپ بھی۔

---

ڈوگ  ٹھیک ہے، ہم یہ بھی کہتے ہیں: اگر آپ پاس ورڈ مینیجر استعمال نہیں کر رہے ہیں، تو اسے حاصل کرنے پر غور کریں۔ اور اگر ہو سکے تو 2FA کو آن کریں۔

---

بطخ.  میں نے سوچا کہ آپ اسے پسند کریں گے، ڈوگ۔

---

ڈوگ  جی ہاں میں کرتا ہوں!

اور پھر، اگر آپ سلیک ہیں یا اس کو پسند کرتے ہیں، تو ایک کا انتخاب کریں۔ مشہور نمک ہیش اور اسٹریچ الگورتھم جب خود پاس ورڈ سنبھالتے ہیں۔

---

بطخ.  جی ہاں.

سلیک کے جواب میں بڑی بات، اور جس چیز کی مجھے کمی تھی، وہ یہ ہے کہ انہوں نے صرف اتنا کہا، "فکر نہ کریں، نہ صرف ہم نے پاس ورڈ ہیش کیے ہیں، بلکہ ہم نے انہیں نمکین بھی کر دیا ہے۔"

میرا مشورہ یہ ہے کہ اگر آپ اس طرح کی خلاف ورزی میں پکڑے جاتے ہیں، تو آپ کو اس الگورتھم یا عمل کا اعلان کرنے کے لیے تیار ہونا چاہیے جو آپ نے نمکین اور ہیشنگ کے لیے استعمال کیا تھا، اور یہ بھی کہ مثالی طور پر کیا کہا جاتا ہے۔ ھیںچ، وہ جگہ ہے جہاں آپ نمکین پاس ورڈ کو صرف ایک بار ہیش نہیں کرتے ہیں، بلکہ شاید آپ اسے 100,000 بار ہیش کرتے ہیں تاکہ کسی بھی قسم کی لغت یا بروٹ فورس حملے کو کم کیا جاسکے۔

اور اگر آپ یہ بتاتے ہیں کہ آپ کون سا الگورتھم استعمال کر رہے ہیں اور کن پیرامیٹرز کے ساتھ.. مثال کے طور پر، PBKDF2, bcrypt, scrypt, Argon2 - وہ سب سے مشہور پاس ورڈ "سالٹ ہیش اسٹریچ" الگورتھم ہیں۔

اگر آپ واقعتا یہ بتاتے ہیں کہ آپ کون سا الگورتھم استعمال کر رہے ہیں، تو: [A] آپ زیادہ کھلے ہوئے ہیں، اور [B] آپ مسئلے کے ممکنہ متاثرین کو خود اندازہ لگانے کا موقع دے رہے ہیں کہ ان کے خیال میں یہ کتنا خطرناک ہو سکتا ہے۔ .

اور اس طرح کی کشادگی درحقیقت بہت مدد کر سکتی ہے۔

سلیک نے ایسا نہیں کیا۔

انہوں نے صرف اتنا کہا، "اوہ، انہیں نمکین اور ہیش کیا گیا تھا۔"

لیکن جو ہم نہیں جانتے وہ یہ ہے کہ کیا انہوں نے نمک کے دو بائٹس ڈالے اور پھر انہیں SHA-1 کے ساتھ ایک بار ہیش کیا…

… یا کیا ان کے پاس پھٹے ہونے کے لیے کچھ زیادہ مزاحم تھا؟

---

ڈوگ  بری چیزوں کے موضوع پر قائم رہتے ہوئے، ہم ایک ایسے رجحان کو دیکھ رہے ہیں جس میں لوگ ہیں۔ GitHub میں خراب چیزوں کو انجیکشن لگاناصرف یہ دیکھنے کے لیے کہ کیا ہوتا ہے، خطرے کو ظاہر کرنا…

…ہمارے پاس ان میں سے ایک اور کہانی ہے۔

---

بطخ.  جی ہاں، کوئی ایسا شخص جو اب مبینہ طور پر ٹویٹر پر سامنے آیا ہے اور کہا ہے، "لوگ پریشان نہ ہوں، کوئی نقصان نہیں ہوا۔ یہ صرف تحقیق کے لیے تھا۔ میں ایک رپورٹ لکھنے جا رہا ہوں، بلیو الرٹ سے الگ ہوں۔

انہوں نے لفظی طور پر ہزاروں بوگس GitHub پروجیکٹس بنائے، موجودہ قانونی کوڈ کو کاپی کرنے کی بنیاد پر، وہاں جان بوجھ کر کچھ میلویئر کمانڈز داخل کیے، جیسے کہ "مزید ہدایات کے لیے گھر پر کال کریں"، اور "جواب کے باڈی کو ایکسیکیوٹ کرنے کے لیے بیک ڈور کوڈ سے تعبیر کریں"، اور اسی طرح.

لہذا، ایسی چیزیں جو واقعی نقصان پہنچا سکتی ہیں اگر آپ ان پیکجوں میں سے ایک انسٹال کرتے ہیں۔

انہیں جائز نظر آنے والے نام دینا…

…قرض لینا، بظاہر، ایک حقیقی پروجیکٹ کی کمٹ ہسٹری تاکہ چیز اس سے کہیں زیادہ جائز نظر آئے جس کی آپ توقع کر سکتے ہیں بصورت دیگر اگر یہ صرف اس کے ساتھ ظاہر ہوتا ہے، "ارے، اس فائل کو ڈاؤن لوڈ کریں۔ آپ جانتے ہیں کہ آپ چاہتے ہیں!"

واقعی؟! تحقیق؟؟ ہم یہ پہلے سے نہیں جانتے تھے؟!!

اب، آپ بحث کر سکتے ہیں، "ٹھیک ہے، مائیکروسافٹ، جو GitHub کا مالک ہے، وہ کیا کر رہے ہیں جو لوگوں کے لیے اس قسم کی چیزیں اپ لوڈ کرنا اتنا آسان بنا رہے ہیں؟"

اور اس میں کچھ حقیقت ہے۔

ہوسکتا ہے کہ وہ میلویئر کو پہلے جگہ پر رکھنے کا بہتر کام کر سکیں۔

لیکن یہ کہنے میں تھوڑا سا اوپر جا رہا ہے، "اوہ، یہ سب مائیکروسافٹ کی غلطی ہے۔"

میری رائے میں یہ اور بھی برا ہے، یہ کہنا، "ہاں، یہ حقیقی تحقیق ہے۔ یہ واقعی اہم ہے؛ ہمیں لوگوں کو یاد دلانا ہوگا کہ ایسا ہوسکتا ہے۔"

ٹھیک ہے، [A] ہم پہلے ہی جانتے ہیں کہ، آپ کا بہت بہت شکریہ، کیونکہ بہت سے لوگ پہلے بھی ایسا کر چکے ہیں۔ ہمیں پیغام بلند اور واضح ملا۔

اور [B] یہ *تحقیق* نہیں ہے۔

یہ جان بوجھ کر لوگوں کو کوڈ ڈاؤن لوڈ کرنے میں دھوکہ دینے کی کوشش کر رہا ہے جو ایک ممکنہ حملہ آور کو ریموٹ کنٹرول دیتا ہے، بدلے میں رپورٹ لکھنے کی صلاحیت۔

یہ میرے لیے تحقیق کے لیے ایک جائز محرک سے زیادہ ایک "بڑے موٹے عذر" کی طرح لگتا ہے۔

اور اس لیے میری سفارش یہ ہے کہ، اگر آپ کو لگتا ہے کہ یہ *تحقیق* ہے، اور اگر آپ دوبارہ ایسا کچھ کرنے کے لیے پرعزم ہیں، تو *اگر آپ پکڑے جاتے ہیں تو بہت زیادہ ہمدردی* کی توقع نہ کریں۔

---

ڈوگ  ٹھیک ہے - ہم شو کے آخر میں اس پر اور قارئین کے تبصروں پر واپس جائیں گے، لہذا ادھر ہی رہیں۔

لیکن پہلے، آئیے بات کرتے ہیں۔ ٹریفک کی لائٹساور سائبرسیکیوریٹی سے ان کا کیا تعلق ہے۔

---

بطخ.  آہ، ہاں! [ہنس]

ٹھیک ہے، وہاں ایک چیز ہے جسے TLP کہتے ہیں۔ ٹریفک لائٹ پروٹوکول.

اور TLP وہ ہے جسے آپ "ہیومن سائبرسیکیوریٹی ریسرچ پروٹوکول" کہہ سکتے ہیں جو آپ کو ان دستاویزات پر لیبل لگانے میں مدد کرتا ہے جو آپ دوسرے لوگوں کو بھیجتے ہیں، تاکہ انہیں اس بات کا اشارہ دے سکیں کہ آپ کو کیا امید ہے کہ وہ کریں گے (اور زیادہ اہم بات یہ ہے کہ آپ کو کیا امید ہے کہ وہ کریں گے* نہیں*) ڈیٹا کے ساتھ کریں۔

خاص طور پر، وہ اسے کس حد تک دوبارہ تقسیم کرنے والے ہیں؟

کیا یہ اتنی اہم چیز ہے کہ آپ دنیا کے سامنے اس کا اعلان کر سکیں؟

یا کیا یہ ممکنہ طور پر خطرناک ہے، یا کیا اس میں ممکنہ طور پر کچھ ایسی چیزیں شامل ہیں جو ہم ابھی عوامی نہیں ہونا چاہتے… تو اسے اپنے پاس رکھیں؟

اور اس کا آغاز اس سے ہوا: TLP:REDجس کا مطلب تھا، "اسے اپنے پاس رکھو"؛ TLP:AMBER، جس کا مطلب تھا کہ "آپ اسے اپنی کمپنی کے اندر یا اپنے صارفین تک پہنچا سکتے ہیں جن کے بارے میں آپ کو لگتا ہے کہ اسے فوری طور پر جاننے کی ضرورت ہے"؛ TLP:GREEN، جس کا مطلب تھا، "ٹھیک ہے، آپ اسے سائبر سیکیورٹی کمیونٹی میں وسیع پیمانے پر گردش کرنے دے سکتے ہیں۔"

اور TLP:WHITEجس کا مطلب تھا، "آپ کسی کو بھی بتا سکتے ہیں۔"

بہت مفید، بہت آسان: RED، AMBER، GREEN… ایک استعارہ جو عالمی سطح پر کام کرتا ہے، اس بات کی فکر کیے بغیر کہ "خفیہ" اور "خفیہ" میں کیا فرق ہے اور "خفیہ" اور "درجہ بندی" میں کیا فرق ہے، وہ تمام پیچیدہ چیزیں جو اس کے ارد گرد بہت سارے قوانین کی ضرورت ہے۔

ٹھیک ہے، TLP میں ابھی کچھ ترمیم ہوئی ہے۔

لہذا، اگر آپ سائبرسیکیوریٹی ریسرچ میں ہیں، تو یقینی بنائیں کہ آپ ان سے واقف ہیں۔

TLP:WHITE اس میں تبدیل کر دیا گیا ہے جسے میں اصل میں ایک بہتر اصطلاح سمجھتا ہوں، کیونکہ سفید یہ تمام غیر ضروری ثقافتی اثرات ہیں جن کے بغیر ہم جدید دور میں کر سکتے ہیں۔

تو TLP:WHITE ابھی بن گیا ہے TLP:CLEAR, جو میرے ذہن میں ایک بہت بہتر لفظ ہے کیونکہ یہ کہتا ہے، "آپ اس ڈیٹا کو استعمال کرنے کے لیے واضح ہیں،" اور یہ ارادہ بہت واضح طور پر بیان کیا گیا ہے۔ (معذرت، میں اس جملے کا مقابلہ نہیں کر سکا۔)

اور ایک اضافی پرت ہے (لہذا اس نے استعارہ کو تھوڑا سا خراب کر دیا ہے - یہ اب ایک *پانچ* رنگین ٹریفک لائٹ ہے!)۔

ایک خاص سطح ہے جسے کہا جاتا ہے۔ TLP:AMBER+STRICT، اور اس کا کیا مطلب ہے، "آپ اسے اپنی کمپنی میں بانٹ سکتے ہیں۔"

اس لیے آپ کو ایک میٹنگ میں مدعو کیا جا سکتا ہے، ہو سکتا ہے کہ آپ سائبر سکیورٹی کمپنی کے لیے کام کر رہے ہوں، اور یہ بالکل واضح ہے کہ آپ کو یہ پروگرامرز کو، ہو سکتا ہے اپنی IT ٹیم کو، ہو سکتا ہے آپ کے کوالٹی اشورینس والے لوگوں کو دکھانے کی ضرورت ہو، تاکہ آپ اس پر تحقیق کر سکیں۔ مسئلہ یا اسے حل کرنے کے ساتھ ڈیل.

لیکن TLP:AMBER+STRICT اس کا مطلب یہ ہے کہ اگرچہ آپ اسے اپنی تنظیم کے اندر گردش کر سکتے ہیں، *براہ کرم اپنے کلائنٹس یا اپنے صارفین*، یا کمپنی سے باہر کے لوگوں کو بھی مت بتائیں جن کے بارے میں آپ کو لگتا ہے کہ جاننے کی ضرورت ہے۔

شروع کرنے کے لیے اسے سخت کمیونٹی کے اندر رکھیں۔

TLP:AMBERپہلے کی طرح، کا مطلب ہے، "ٹھیک ہے، اگر آپ محسوس کرتے ہیں کہ آپ کو اپنے گاہکوں کو بتانے کی ضرورت ہے، تو آپ کر سکتے ہیں۔"

اور یہ اہم ہو سکتا ہے، کیونکہ کبھی کبھی آپ اپنے گاہکوں کو مطلع کرنا چاہیں گے، "ارے، ہمارے پاس ٹھیک آ گیا ہے۔ درست ہونے سے پہلے آپ کو کچھ احتیاطی اقدامات کرنے کی ضرورت ہوگی۔ لیکن چونکہ یہ ایک قسم کا حساس ہے، کیا ہم پوچھ سکتے ہیں کہ آپ ابھی دنیا کو نہیں بتاتے؟

بعض اوقات، دنیا کو بہت جلد بتانا دراصل بدمعاشوں کے ہاتھوں میں کھیلتا ہے جتنا کہ یہ محافظوں کے ہاتھوں میں کھیلتا ہے۔

لہذا، اگر آپ سائبر سیکیورٹی کے جواب دہندہ ہیں، تو میرا مشورہ ہے کہ آپ جائیں: https://www.first.org/tlp

---

ڈوگ  اور آپ کر سکتے ہیں۔ اس کے بارے میں مزید پڑھیں ہماری سائٹ پر، بربادی.

اور اگر آپ کچھ اور ہلکی پڑھنے کی تلاش کر رہے ہیں، تو کوانٹم کرپٹوگرافی کو بھول جائیں… ہم آگے بڑھ رہے ہیں پوسٹ کوانٹم خفیہ نگاری، پال!

---

بطخ.  جی ہاں، ہم اس کے بارے میں پوڈ کاسٹ پر پہلے بھی چند بار بات کر چکے ہیں، ہے نا؟

ایک کوانٹم کمپیوٹر کا خیال، یہ فرض کرتے ہوئے کہ ایک طاقتور اور قابل اعتماد بنایا جا سکتا ہے، یہ ہے کہ مخصوص قسم کے الگورتھم کو آج کل آرٹ کی حالت پر تیز کیا جا سکتا ہے، یا تو مربع جڑ کی دھن پر… یا اس سے بھی بدتر، آج کے مسئلے کے پیمانے کا *لوگارتھم*۔

دوسرے الفاظ میں، 2 لینے کے بجائے²⁵⁶ کسی خاص ہیش کے ساتھ فائل تلاش کرنے کی کوشش کرتا ہے، آپ اسے صرف ("صرف"!) 2 میں کرنے کے قابل ہوسکتے ہیں¹²⁸ کوشش کرتا ہے، جو مربع جڑ ہے۔

واضح طور پر بہت تیز۔

لیکن بنیادی نمبروں کی مصنوعات کی فیکٹرائزنگ میں شامل مسائل کا ایک پورا طبقہ ہے جو نظریہ کہتا ہے کہ اس وقت کے *لوگارتھم* میں شگاف ہوسکتا ہے جو وہ آج لیتے ہیں، ڈھیلے الفاظ میں۔

لہذا، لینے کے بجائے، کہو، 2¹²⁸ ٹوٹنے کے دن [کائنات کے موجودہ دور سے کہیں زیادہ]، ٹوٹنے میں صرف 128 دن لگ سکتے ہیں۔

یا آپ "دنوں" کو "منٹ"، یا کچھ بھی سے بدل سکتے ہیں۔

اور بدقسمتی سے، وہ لوگارتھمک ٹائم الگورتھم (کہا جاتا ہے۔ شور کا کوانٹم فیکٹرائزیشن الگورتھم)… یہ نظریہ طور پر، آج کی کچھ خفیہ نگاری کی تکنیکوں پر لاگو ہو سکتا ہے، خاص طور پر وہ جو عوامی کلیدی خفیہ نگاری کے لیے استعمال ہوتی ہیں۔

اور، صرف اس صورت میں کہ یہ کوانٹم کمپیوٹنگ ڈیوائسز اگلے چند سالوں میں قابل عمل ہو جائیں، شاید ہمیں ابھی سے انکرپشن الگورتھم کے لیے تیاری شروع کر دینی چاہیے جو حملے کے ان دو مخصوص طبقوں کے لیے خطرے سے دوچار نہیں ہیں؟

خاص طور پر لوگارتھم ایک، کیونکہ یہ ممکنہ حملوں کو اس قدر تیز کر دیتا ہے کہ خفیہ کیز جو ہم فی الحال سوچتے ہیں، "ٹھیک ہے، کوئی بھی اس کا اندازہ نہیں لگا سکے گا،" بعد کے کسی مرحلے پر ظاہر ہو سکتا ہے۔

ویسے بھی، NIST، the نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی USA میں، کئی سالوں سے کچھ عوامی، غیر پیٹنٹ شدہ، اچھی طرح سے جانچ پڑتال والے الگورتھم کو آزمانے اور معیاری بنانے کے لیے ایک مقابلہ چلا رہا ہے جو ان جادوئی کوانٹم کمپیوٹرز کے خلاف مزاحم ہوں گے، اگر وہ کبھی ظاہر ہوتے ہیں۔

اور حال ہی میں انہوں نے چار الگورتھم کا انتخاب کیا ہے جنہیں وہ اب معیاری بنانے کے لیے تیار ہیں۔

ان کے اچھے نام ہیں، ڈوگ، لہذا مجھے انہیں پڑھنا ہوگا: CRYSTALS-KYBER, CRYSTALS-DILITHIUM, FALCON، اور SPHINCS+. [ہنسی]

تو ان کے اچھے نام ہیں، اگر کچھ نہیں۔

لیکن، ایک ہی وقت میں، NIST نے سوچا، "ٹھیک ہے، یہ صرف چار الگورتھم ہیں۔ ہم کیا کریں گے کہ ہم ممکنہ ثانوی امیدواروں کے طور پر مزید چار کا انتخاب کریں گے، اور ہم دیکھیں گے کہ آیا ان میں سے کسی کو بھی گزرنا چاہیے۔

لہذا اب چار معیاری الگورتھم ہیں، اور چار الگورتھم جو مستقبل میں معیاری ہو سکتے ہیں۔

یا 5 جولائی 2022 کو *چار* تھے، اور ان میں سے ایک تھا۔ SIKE، مختصرا supersingular isogeny کلیدی encapsulation.

(ہمیں سپرسنگولر آئسوجینز کی وضاحت کے لیے کئی پوڈ کاسٹس کی ضرورت ہوگی، اس لیے ہم پریشان نہیں ہوں گے۔ [ہنسی])

لیکن، بدقسمتی سے، یہ، جو معیاری ہونے کے لڑائی کے موقع کے ساتھ وہاں لٹکا ہوا تھا، ایسا لگتا ہے کہ کم از کم پانچ سال پہلے ہی عوامی جانچ پڑتال کے لیے کھلے رہنے کے باوجود، اسے ناقابلِ اصلاح طور پر توڑ دیا گیا ہے۔

لہذا، خوش قسمتی سے، اس کے معیاری ہونے یا ہونے سے پہلے، بیلجیئم کے دو کرپٹوگرافروں نے سوچا، "آپ جانتے ہیں کیا؟ ہمیں لگتا ہے کہ ہمیں حسابات کا استعمال کرتے ہوئے اس کے ارد گرد ایک راستہ مل گیا ہے جس میں ایک گھنٹہ لگتا ہے، کافی اوسط CPU پر، صرف ایک کور کا استعمال کرتے ہوئے۔"

---

ڈوگ  مجھے لگتا ہے کہ اسے معیاری بنانے اور اسے جنگل میں نکالنے کے بجائے اب اس کا پتہ لگانا بہتر ہے؟

---

بطخ.  بے شک!

میرا اندازہ ہے کہ اگر یہ الگورتھم میں سے ایک ہوتا جو پہلے ہی معیاری ہو چکا ہوتا، تو انہیں اس معیار کو منسوخ کرنا پڑتا اور ایک نیا بنانا پڑتا؟

یہ عجیب لگتا ہے کہ پانچ سال تک اس پر توجہ نہیں دی گئی۔

لیکن میرا اندازہ ہے کہ عوامی جانچ کا پورا خیال یہی ہے: آپ کو کبھی معلوم نہیں ہوگا کہ جب کوئی اس دراڑ پر مار سکتا ہے جس کی ضرورت ہے، یا وہ چھوٹا سا پچر جسے وہ توڑنے اور یہ ثابت کرنے کے لیے استعمال کر سکتا ہے کہ الگورتھم اتنا مضبوط نہیں ہے جیسا کہ اصل میں سوچا گیا تھا۔

ایک اچھی یاد دہانی کہ اگر آپ نے *کبھی* اپنی خفیہ نگاری بنانے کا سوچا ہے…

---

ڈوگ  میں نے نہیں کیا!

---

بطخ.  ..باوجود کہ ہم نے آپ کو نییکڈ سیکیورٹی پوڈ کاسٹ N بار میں کہا، "ایسا مت کرو!"

یہ حتمی یاد دہانی ہونی چاہئے کہ، یہاں تک کہ جب حقیقی ماہرین ایک الگورتھم پیش کرتے ہیں جو پانچ سال تک عالمی مقابلے میں عوامی جانچ پڑتال سے مشروط ہوتا ہے، تب بھی یہ ضروری نہیں کہ خامیوں کو بے نقاب کرنے کے لیے کافی وقت فراہم کرے جو کافی خراب نکلتی ہیں۔

لہذا، یہ یقینی طور پر اس کے لئے اچھا نہیں لگ رہا ہے SIKE الگورتھم

اور کون جانتا ہے، شاید اسے واپس لے لیا جائے گا؟

---

ڈوگ  ہم اس پر نظر رکھیں گے۔

اور جیسے ہی اس ہفتے کے لیے ہمارے شو میں سورج آہستہ آہستہ غروب ہو رہا ہے، اب وقت آگیا ہے کہ ہمارے ایک قارئین سے GitHub کی کہانی سنیں جس پر ہم نے پہلے بات کی تھی۔

روب لکھتے ہیں:

"تبصروں میں کچھ چاک اور پنیر ہے، اور مجھے یہ کہنے سے نفرت ہے، لیکن میں حقیقی طور پر دلیل کے دونوں رخ دیکھ سکتا ہوں۔ کیا یہ خطرناک، پریشان کن، وقت کا ضیاع اور وسائل کا استعمال ہے؟ جی ہاں، بالکل ہے. کیا مجرمانہ ذہنیت والی قسمیں یہی کریں گی؟ ہاں، ہاں، یہ ہے۔ کیا اس معاملے کے لیے GitHub، یا کسی دوسرے کوڈ ریپوزٹری سسٹم کا استعمال کرنے والے کسی کے لیے بھی یہ یاد دہانی ہے کہ انٹرنیٹ پر محفوظ طریقے سے سفر کرنے کے لیے صحت مند حد تک گھٹیا پن اور بے ہودگی کی ضرورت ہوتی ہے؟ جی ہاں. ایک سیسڈمین کے طور پر، میرا ایک حصہ ہاتھ میں موجود خطرے کی نمائش کی تعریف کرنا چاہتا ہے۔ ڈویلپرز کے ایک گروپ کے ایک سیسڈمین کے طور پر، مجھے اب اس بات کو یقینی بنانے کی ضرورت ہے کہ ہر کسی نے حال ہی میں قابل اعتراض اندراجات کے لیے کسی بھی پل کو اسکور کیا ہو۔"

---

بطخ.  جی ہاں، آپ کا شکریہ، RobB، اس تبصرے کے لیے، کیونکہ میرا اندازہ ہے کہ دلیل کے دونوں اطراف کو دیکھنا ضروری ہے۔

وہاں تبصرہ کرنے والے تھے جو صرف یہ کہہ رہے تھے، "اس میں کیا مسئلہ ہے؟ یہ بہت اچھا ہے!"

ایک شخص نے کہا، "نہیں، اصل میں، یہ قلم کی جانچ اچھی اور مفید ہے۔ خوشی ہے کہ یہ اب ایک حقیقی حملہ آور سے اپنا بدصورت سر اٹھانے کے بجائے بے نقاب ہو رہے ہیں۔"

اور اس پر میرا جواب یہ ہے کہ، "ٹھیک ہے، یہ * دراصل ایک حملہ ہے۔"

یہ صرف اتنا ہے کہ اب کوئی اس کے بعد باہر آیا ہے، کہہ رہا ہے "اوہ، نہیں، نہیں. کوئی نقصان نہیں ہوا! سچ میں، میں شرارتی نہیں تھا."

مجھے نہیں لگتا کہ آپ اس عذر کو خریدنے کے پابند ہیں!

لیکن ویسے بھی، یہ دخول کی جانچ نہیں ہے۔

میرا جواب بہت سادگی سے کہنا تھا: "ذمہ دار دخول جانچنے والے صرف واضح اجازت حاصل کرنے کے بعد ہی [A] کام کرتے ہیں، اور [B] رویے کی حدود کے اندر پہلے سے واضح طور پر اتفاق کرتے ہیں۔"

آپ صرف اپنے قوانین نہیں بناتے ہیں، اور ہم اس پر پہلے بھی بات کر چکے ہیں۔

تو، جیسا کہ ایک اور تبصرہ نگار نے کہا، جو میرے خیال میں میرا پسندیدہ تبصرہ ہے… Ecurb نے کہا, "میرے خیال میں کسی کو گھر گھر چلنا چاہیے اور کھڑکیوں کو توڑنا چاہیے تاکہ یہ دکھایا جا سکے کہ دروازے کے تالے واقعی کتنے غیر موثر ہیں۔ یہ ماضی کی وجہ ہے۔ کوئی اس پر چھلانگ لگا دے، پلیز۔"

اور پھر، صرف اس صورت میں جب آپ کو احساس نہیں تھا کہ یہ طنز تھا، لوگ، وہ کہتے ہیں، "نہیں!"

---

بطخ.  مجھے خیال آیا کہ یہ ایک اچھی یاد دہانی ہے، اور مجھے یہ خیال آتا ہے کہ اگر آپ GitHub صارف ہیں، بطور پروڈیوسر اور صارف دونوں، تو ایسی چیزیں ہیں جو آپ کر سکتے ہیں۔

ہم ان کو تبصروں اور مضمون میں درج کرتے ہیں۔

مثال کے طور پر، اپنے تمام وعدوں پر ڈیجیٹل دستخط لگائیں تاکہ یہ واضح ہو کہ تبدیلیاں آپ کی طرف سے آئی ہیں، اور اس میں کسی قسم کا سراغ لگانا ہے۔

اور صرف آنکھیں بند کرکے چیزیں استعمال نہ کریں کیونکہ آپ نے تلاش کی اور یہ "ایسا لگ رہا تھا" کہ یہ صحیح پروجیکٹ ہوسکتا ہے۔

جی ہاں، ہم سب اس سے سیکھ سکتے ہیں، لیکن کیا یہ حقیقت میں ہمیں سکھانے کے طور پر شمار ہوتا ہے، یا ہمیں بہرحال یہی کچھ سیکھنا چاہیے؟

میرے خیال میں یہ *تعلیم* نہیں ہے۔

تحقیق کے طور پر شمار کرنے کے لیے یہ صرف *کافی اعلیٰ معیار* کا نہیں ہے۔

---

ڈوگ  اس مضمون کے ارد گرد زبردست بحث، اور اسے بھیجنے کا شکریہ، روب۔

اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔

آپ ای میل کرسکتے ہیں tips@sophos.com; آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں۔ یا آپ ہمیں سوشل پر مار سکتے ہیں: @NakedSecurity.

یہ ہمارا آج کا شو ہے – سننے کا بہت بہت شکریہ۔

پال ڈکلن کے لیے، میں ڈوگ آموت آپ کو یاد دلا رہا ہوں، اگلی بار تک،...

---

دونوں  محفوظ رہو!

[میوزیکل موڈیم]