UBER کو ہیک کر لیا گیا ہے، ہیکر پر فخر ہے – اسے آپ کے ساتھ ہونے سے کیسے روکا جائے۔

تمام اکاؤنٹس کے مطابق، اور افسوس کی بات ہے کہ ان میں سے بہت سے ہیں، ایک ہیکر - میں غیر قانونی طور پر اپنے نیٹ ورک کو توڑنا اور داخل کرنا احساس، ایک میں نہیں سپر-ہارڈ-کوڈنگ-مسائل-ایک فنکی-طریقہ سے حل کریں۔ احساس - رائیڈ شیئرنگ کمپنی Uber میں ٹوٹ گیا ہے۔

ایک کے مطابق رپورٹ بی بی سی کے مطابق، ہیکر کی عمر محض 18 سال بتائی جاتی ہے، اور ایسا لگتا ہے کہ اس نے حملہ اسی وجہ سے کیا تھا جس کی وجہ سے مشہور برطانوی کوہ پیما جارج میلوری 1920 کی دہائی میں ماؤنٹ ایورسٹ کو سر کرنے کی کوشش کرتے رہنا (اور بالآخر کوشش میں مرنا)…

..."کیونکہ یہ وہاں ہے۔"

Uber نے، سمجھ میں آتا ہے، ابھی تک اس سے زیادہ کچھ نہیں کہا [2022-09-16T15:45Z] اعلان کریں : ٹویٹر پر

ہم فی الحال سائبر سیکیورٹی کے ایک واقعے کا جواب دے رہے ہیں۔ ہم قانون نافذ کرنے والے اداروں کے ساتھ رابطے میں ہیں اور اضافی اپ ڈیٹس دستیاب ہوتے ہی یہاں پوسٹ کریں گے۔

Uber Comms (Uber_Comms) ستمبر 16، 2022

ہم اب تک کتنا جانتے ہیں؟

اگر مداخلت کا پیمانہ اتنا ہی وسیع ہے جتنا کہ مبینہ ہیکر نے تجویز کیا ہے، تو ہم نے ٹوئٹر پر پلستر کیے ہوئے اسکرین شاٹس کی بنیاد پر، ہمیں حیرانی نہیں ہے کہ Uber نے ابھی تک کوئی خاص معلومات پیش نہیں کی ہیں، خاص طور پر یہ دیکھتے ہوئے کہ قانون نافذ کرنے والے ادارے تحقیقات میں ملوث.

جب بات سائبر انسیڈنٹ فرانزک کی ہو، شیطان واقعی تفصیلات میں ہے.

بہر حال، عوامی طور پر دستیاب ڈیٹا، جو مبینہ طور پر خود ہیکر کے ذریعے جاری کیا گیا تھا اور وسیع پیمانے پر تقسیم کیا گیا تھا، ایسا لگتا ہے کہ اس ہیک کی دو بنیادی وجوہات تھیں، جنہیں ہم قرون وسطی کی تشبیہ کے ساتھ بیان کریں گے۔

گھسنے والا:

• صحن میں داخل کرنے کے لئے ایک اندرونی کو دھوکہ دیا، یا بیلی. یہ محل کی سب سے بیرونی دیوار کے اندر کا علاقہ ہے، لیکن بہترین دفاعی حصے سے الگ ہے۔
• کیپ تک رسائی کا طریقہ بتانے والی غیر توجہ شدہ تفصیلات ملی، یا موٹی. جیسا کہ نام سے پتہ چلتا ہے ، رکھنا روایتی قرون وسطی کے یورپی قلعے کا مرکزی دفاعی گڑھ ہے۔

ابتدائی توڑ

21 ویں صدی میں قلعے کے صحن کے مترادف اپنے راستے پر بلیگ کرنے کے لیے اصطلاح سماجی انجینئرنگ.

جیسا کہ ہم سب جانتے ہیں، وہاں ہیں بہت سے طریقے کہ حملہ آور وقت، صبر اور گیب کے تحفے کے ساتھ ایک باخبر اور باخبر صارف کو بھی اس بات پر آمادہ کر سکتے ہیں کہ وہ حفاظتی عمل کو نظرانداز کرنے میں ان کی مدد کریں جن کے بارے میں خیال کیا جاتا ہے کہ انہیں باہر رکھنا ہے۔

خودکار یا نیم خودکار سوشل انجینئرنگ ٹرکس میں ای میل اور IM پر مبنی فشنگ گھوٹالے شامل ہیں۔

یہ گھوٹالے صارفین کو ان کی لاگ ان تفصیلات درج کرنے پر آمادہ کرتے ہیں، جن میں اکثر ان کے 2FA کوڈ بھی شامل ہوتے ہیں، جعلی ویب سائٹس پر جو حقیقی ڈیل کی طرح نظر آتی ہیں لیکن درحقیقت حملہ آوروں کو مطلوبہ رسائی کوڈ فراہم کرتی ہیں۔

ایک ایسے صارف کے لیے جو پہلے سے لاگ ان ہے، اور اس طرح اپنے موجودہ سیشن کے لیے عارضی طور پر تصدیق شدہ ہے، حملہ آور نام نہاد پر جانے کی کوشش کر سکتے ہیں۔ کوکیز یا رسائی ٹوکنز صارف کے کمپیوٹر پر۔

موجودہ سیشنز کو ہائی جیک کرنے والے میلویئر کو امپلانٹ کر کے، مثال کے طور پر، حملہ آور ایک جائز صارف کے طور پر کافی عرصے تک مکمل طور پر قبضہ کرنے کے قابل ہو سکتے ہیں، بغیر کسی معمول کی اسناد کی ضرورت کے جو صارف کو شروع سے لاگ ان کرنے کی ضرورت ہے:

اور اگر باقی سب ناکام ہو جاتا ہے – یا شاید اوپر بیان کردہ میکانکی طریقوں کو آزمانے کے بجائے – حملہ آور آسانی سے کسی صارف کو کال کر کے ان کو دلکش بنا سکتے ہیں، یا گھوم سکتے ہیں، یا بھیک مانگ سکتے ہیں، یا رشوت دے سکتے ہیں، یا اس کی بجائے انہیں دھمکی دے سکتے ہیں، اس بات پر منحصر ہے کہ کیسے بات چیت کھل جاتی ہے.

ہنر مند سوشل انجینئر اکثر اچھے مطلب کے صارفین کو نہ صرف یہ کہ پہلے دروازہ کھولنے کے لیے قائل کرنے میں کامیاب ہوتے ہیں، بلکہ اسے کھلا رکھنے کے لیے بھی تاکہ حملہ آوروں کے اندر داخل ہونا اور بھی آسان ہو جائے، اور شاید حملہ آور کے بیگ لے جانے کے لیے بھی۔ انہیں دکھائیں کہ آگے کہاں جانا ہے۔

اسی طرح 2020 کا بدنام زمانہ ٹویٹر ہیک کیا گیا، جہاں بل گیٹس، ایلون مسک اور ایپل سمیت 45 بلیو فلیگ ٹویٹر اکاؤنٹس پر قبضہ کر لیا گیا اور کرپٹو کرنسی اسکینڈل کو فروغ دینے کے لیے استعمال کیا گیا۔

یہ ہیکنگ اتنی تکنیکی نہیں تھی جتنی ثقافتی، معاون عملے کے ذریعے کی گئی جس نے صحیح کام کرنے کے لیے اتنی کوشش کی کہ وہ بالکل اس کے برعکس کر گئے۔

مکمل سمجھوتہ

صحن سے قلعے کے کیپ میں داخل ہونے کے مترادف کی اصطلاح ہے۔ استحقاق کی بلندی.

عام طور پر، حملہ آور جان بوجھ کر اندرونی طور پر معلوم حفاظتی کمزوریوں کو تلاش کریں گے اور استعمال کریں گے، حالانکہ وہ باہر سے ان کا استحصال کرنے کا کوئی طریقہ نہیں ڈھونڈ سکتے تھے کیونکہ محافظوں نے نیٹ ورک کے دائرے میں ان کے خلاف حفاظت کرنے میں پریشانی اٹھائی تھی۔

مثال کے طور پر، ہم نے حال ہی میں ایک سروے میں دخل اندازیوں کے بارے میں شائع کیا۔ سوفوس ریپڈ رسپانس ٹیم نے 2021 میں تفتیش کی، ہم نے پایا کہ ابتدائی مداخلتوں میں سے صرف 15% میں - جہاں حملہ آور بیرونی دیوار کے اوپر اور بیلی میں داخل ہوتے ہیں - مجرم RDP کا استعمال کرتے ہوئے توڑ پھوڑ کرنے کے قابل تھے۔

(RDP مختصر ہے۔ ریموٹ ڈیسک ٹاپ پروٹوکول، اور یہ ایک وسیع پیمانے پر استعمال ہونے والا ونڈوز جزو ہے جو صارف X کو کمپیوٹر Y پر دور سے کام کرنے کے لیے ڈیزائن کیا گیا ہے، جہاں Y اکثر ایسا سرور ہوتا ہے جس کی اپنی اسکرین اور کی بورڈ نہیں ہوتا ہے، اور یہ واقعی سرور روم میں تین منزلیں زیر زمین ہو سکتا ہے۔ ، یا کلاؤڈ ڈیٹا سینٹر میں پوری دنیا میں۔)

لیکن 80% حملوں میں، مجرموں نے RDP کا استعمال کیا جب وہ اندر تھے تو تقریباً پورے نیٹ ورک میں اپنی مرضی سے گھومتے رہے:

بالکل اسی طرح تشویشناک طور پر، جب ransomware ملوث نہیں تھا (کیونکہ ransomware کے حملے سے یہ فوری طور پر واضح ہو جاتا ہے کہ آپ کی خلاف ورزی ہوئی ہے!)، مجرموں کا اوسط اوسط وقت نیٹ ورک پر کسی کا دھیان نہیں۔ 34 دن تھا - ایک کیلنڈر مہینے سے زیادہ:

اوبر کا واقعہ

ہمیں ابھی تک یقین نہیں ہے کہ ابتدائی سوشل انجینئرنگ (ہیکنگ جرگن میں SE کو مختصر کر کے) کیسے انجام دیا گیا، لیکن خطرے کے محقق بل ڈیمرکاپی نے ایک اسکرین شاٹ ٹویٹ کیا ایسا لگتا ہے کہ یہ ظاہر ہوتا ہے (صرف تفصیلات کے ساتھ ترمیم کی گئی ہے) استحقاق کی بلندی کیسے حاصل کی گئی تھی۔

بظاہر، اگرچہ ہیکر نے باقاعدہ صارف کے طور پر آغاز کیا تھا، اور اس وجہ سے اسے نیٹ ورک کے صرف کچھ حصوں تک رسائی حاصل تھی…

نیٹ ورک پر غیر محفوظ حصص پر تھوڑا سا گھومنے پھرنے اور اسنوپنگ نے ایک کھلی نیٹ ورک ڈائرکٹری کا انکشاف کیا جس میں پاور شیل اسکرپٹس کا ایک گروپ شامل تھا…

…جس میں ایک پروڈکٹ تک ایڈمن کی رسائی کے لیے ہارڈ کوڈڈ سیکیورٹی اسناد شامل ہیں جسے جرگون میں PAM کے نام سے جانا جاتا ہے، مختصر کے لیے مراعات یافتہ رسائی مینیجر.

جیسا کہ نام سے پتہ چلتا ہے، PAM ایک ایسا نظام ہے جو کسی تنظیم کے ذریعے استعمال ہونے والی تمام (یا کم از کم بہت سی) دیگر مصنوعات اور خدمات کے لیے اسناد کا انتظام کرنے اور ان تک رسائی کو کنٹرول کرنے کے لیے استعمال ہوتا ہے۔

واضح طور پر، حملہ آور، جس نے شاید ایک شائستہ اور شاید بہت ہی محدود صارف اکاؤنٹ کے ساتھ شروعات کی تھی، ایک ueber-ueber-پاس ورڈ سے ٹھوکر کھا گیا جس نے Uber کے عالمی IT آپریشنز کے بہت سے ueber-پاس ورڈز کو کھول دیا۔

ہمیں یقین نہیں ہے کہ PAM ڈیٹا بیس کو کھولنے کے بعد ہیکر کتنے وسیع پیمانے پر گھومنے کے قابل تھا، لیکن متعدد ذرائع سے ٹویٹر کی پوسٹنگ بتاتی ہے کہ حملہ آور Uber کے آئی ٹی انفراسٹرکچر کے زیادہ تر حصے کو گھسنے میں کامیاب تھا۔

ہیکر نے مبینہ طور پر یہ ظاہر کرنے کے لیے ڈیٹا پھینک دیا کہ وہ کم از کم درج ذیل کاروباری نظاموں تک رسائی حاصل کر چکے ہیں: سلیک ورک اسپیسز؛ Uber کے خطرے سے بچاؤ کا سافٹ ویئر (جسے اکثر اب بھی اتفاق سے کہا جاتا ہے۔ اینٹی وائرس); AWS کنسول؛ کمپنی کے سفر اور اخراجات کی معلومات (ملازمین کے ناموں سمیت)؛ ایک vSphere ورچوئل سرور کنسول؛ گوگل ورک اسپیسز کی فہرست؛ اور یہاں تک کہ Uber کی اپنی بگ باؤنٹی سروس۔

(بظاہر، اور ستم ظریفی یہ ہے کہ بگ باؤنٹی سروس وہ تھی جہاں ہیکر نے بڑے حروف میں اونچی آواز میں شیخی ماری، جیسا کہ سرخی میں دکھایا گیا ہے، کہ UBER کو ہیک کر لیا گیا ہے۔.)

کیا کیا جائے؟

اس معاملے میں Uber پر انگلیاں اٹھانا آسان ہے اور اس کا مطلب یہ ہے کہ اس خلاف ورزی کو سب سے زیادہ بدتر سمجھا جانا چاہئے، صرف اس وجہ سے کہ اس سب کی بلند آواز اور بہت ہی عوامی نوعیت ہے۔

لیکن بدقسمتی کی سچائی یہ ہے کہ بہت سے، اگر زیادہ تر نہیں تو، عصری سائبر حملوں میں حملہ آوروں کو بالکل اس حد تک رسائی حاصل کرنے میں ملوث پایا جاتا ہے…

…یا کم از کم ممکنہ طور پر اس سطح تک رسائی حاصل کرنا، یہاں تک کہ اگر انہوں نے بالآخر ہر اس جگہ کو گھومنا نہیں جو ان کے پاس ہو سکتا ہے۔

بہر حال، ان دنوں رینسم ویئر کے بہت سے حملے آغاز نہیں بلکہ ایک دخل اندازی کے اختتام کی نمائندگی کرتے ہیں جو شاید دنوں یا ہفتوں تک جاری رہے، اور مہینوں تک جاری رہے، اس دوران حملہ آور شاید خود کو فروغ دینے میں کامیاب ہو گئے۔ سب سے سینئر سیسڈمین کے ساتھ مساوی حیثیت کمپنی میں انہوں نے خلاف ورزی کی تھی۔

یہی وجہ ہے کہ رینسم ویئر کے حملے اکثر بہت تباہ کن ہوتے ہیں - کیونکہ، حملے کے وقت تک، بہت کم لیپ ٹاپ، سرورز یا خدمات ہیں جن تک مجرموں نے رسائی نہیں کی ہے، اس لیے وہ تقریباً لفظی طور پر ہر چیز کو گھیرنے کے قابل ہوتے ہیں۔

دوسرے لفظوں میں، ایسا لگتا ہے کہ اس معاملے میں Uber کے ساتھ کیا ہوا ہے، ڈیٹا کی خلاف ورزی کی کوئی نئی یا منفرد کہانی نہیں ہے۔

لہٰذا یہاں کچھ فکر انگیز تجاویز ہیں جنہیں آپ اپنے نیٹ ورک پر مجموعی سیکیورٹی کو بہتر بنانے کے لیے نقطہ آغاز کے طور پر استعمال کر سکتے ہیں:

• پاس ورڈ مینیجر اور 2FA کوئی علاج نہیں ہیں۔ اچھی طرح سے منتخب کردہ پاس ورڈز کا استعمال بدمعاشوں کو ان کے راستے کا اندازہ لگانا بند کر دیتا ہے، اور ون ٹائم کوڈز یا ہارڈویئر تک رسائی والے ٹوکنز (عام طور پر چھوٹے USB یا NFC ڈونگلز جو صارف کو اپنے ساتھ لے جانے کی ضرورت ہوتی ہے) پر مبنی 2FA سیکیورٹی چیزوں کو مشکل بنا دیتی ہے، اکثر زیادہ مشکل، حملہ آور لیکن آج کے نام نہاد کے خلاف انسانی قیادت والے حملے، جہاں "فعال مخالف" خود کو ذاتی طور پر اور براہ راست دخل اندازی میں شامل کرتے ہیں، آپ کو اپنے صارفین کو ان کے عمومی آن لائن رویے کو تبدیل کرنے میں مدد کرنے کی ضرورت ہوتی ہے، اس لیے ان سے اس بات کا امکان کم ہوتا ہے کہ وہ طریقہ کار کتنا ہی جامع اور پیچیدہ کیوں نہ ہوں۔
• سیکورٹی کا تعلق نیٹ ورک میں ہر جگہ ہے، نہ صرف کنارے پر۔ ان دنوں، بہت سارے صارفین کو آپ کے نیٹ ورک کے کم از کم کچھ حصے تک رسائی کی ضرورت ہے - ملازمین، ٹھیکیدار، عارضی عملہ، سیکورٹی گارڈز، سپلائرز، پارٹنرز، کلینر، کسٹمرز اور بہت کچھ۔ اگر سیکیورٹی کی ترتیب آپ کے نیٹ ورک کے دائرے کی طرح محسوس کرنے کے قابل ہے تو اسے یقینی طور پر "اندر" کو بھی سخت کرنے کی ضرورت ہے۔ یہ خاص طور پر پیچنگ پر لاگو ہوتا ہے۔ جیسا کہ ہم ننگی سیکورٹی پر کہنا چاہتے ہیں، "جلد پیچ، اکثر پیچ، ہر جگہ پیچ."
• باقاعدگی سے اپنی سائبرسیکیوریٹی کی پیمائش اور جانچ کریں۔ کبھی یہ نہ سمجھیں کہ جو احتیاطیں آپ نے سوچی تھیں وہ واقعی کام کر رہی ہیں۔ فرض نہ کریں؛ ہمیشہ تصدیق کریں. یہ بھی یاد رکھیں کہ چونکہ سائبر حملے کے نئے ٹولز، تکنیک اور طریقہ کار ہر وقت ظاہر ہوتے ہیں، اس لیے آپ کی احتیاطی تدابیر کا باقاعدگی سے جائزہ لینے کی ضرورت ہے۔ آسان الفاظ میں، "سائبرسیکیوریٹی ایک سفر ہے، منزل نہیں۔"
• ماہر کی مدد حاصل کرنے پر غور کریں۔ ایک کے لیے سائن اپ کرنا منظم کھوج اور جواب (MDR) سروس ناکامی کا اعتراف نہیں ہے، یا اس بات کی علامت ہے کہ آپ سائبر سیکیورٹی کو خود نہیں سمجھتے ہیں۔ MDR آپ کی ذمہ داری کا خاتمہ نہیں ہے - جب آپ کو واقعی ضرورت ہو تو یہ صرف ایک ایسا طریقہ ہے جس کے لیے سرشار ماہرین ہاتھ میں ہوں۔ MDR کا یہ مطلب بھی ہے کہ حملے کی صورت میں، آپ کے اپنے عملے کو وہ سب کچھ چھوڑنے کی ضرورت نہیں ہے جو وہ فی الحال کر رہے ہیں (بشمول وہ باقاعدہ کام جو آپ کے کاروبار کے تسلسل کے لیے ضروری ہیں)، اور اس طرح ممکنہ طور پر دیگر حفاظتی سوراخوں کو کھلا چھوڑ دیں۔
• زیرو ٹرسٹ اپروچ اپنائیں۔ صفر اعتماد کا لفظی مطلب یہ نہیں ہے کہ آپ کبھی بھی کسی پر کچھ کرنے پر بھروسہ نہیں کرتے۔ یہ ایک استعارہ ہے "کوئی مفروضہ نہ بنائیں" اور "کبھی بھی کسی کو اس کی ضرورت سے زیادہ کرنے کا اختیار نہ دیں"۔ زیرو ٹرسٹ نیٹ ورک تک رسائی (ZTNA) مصنوعات روایتی نیٹ ورک سیکیورٹی ٹولز جیسے VPNs کی طرح کام نہیں کرتی ہیں۔ ایک VPN عام طور پر باہر کے کسی فرد کو نیٹ ورک میں عمومی داخلہ حاصل کرنے کا ایک محفوظ طریقہ فراہم کرتا ہے، جس کے بعد وہ اکثر اپنی ضرورت سے کہیں زیادہ آزادی سے لطف اندوز ہوتے ہیں، جس سے وہ محل کے باقی حصوں کی چابیاں تلاش کرنے کے لیے گھومنے، گھومنے اور گھومنے پھرنے کی اجازت دیتے ہیں۔ زیرو ٹرسٹ رسائی بہت زیادہ دانے دار طریقہ اختیار کرتی ہے، تاکہ اگر آپ کو واقعی میں تازہ ترین داخلی قیمتوں کی فہرست کو براؤز کرنے کی ضرورت ہے، تو یہ وہ رسائی ہے جو آپ کو حاصل ہوگی۔ آپ کو سپورٹ فورمز میں گھومنے، سیلز ریکارڈز کے ذریعے ٹرول کرنے، یا سورس کوڈ ڈیٹا بیس میں ناک بھوننے کا حق بھی نہیں ملے گا۔
• اگر آپ کے پاس پہلے سے موجود نہیں ہے تو عملے کے لیے سائبر سیکیورٹی ہاٹ لائن قائم کریں۔ کسی کے لیے بھی سائبر سیکیورٹی کے مسائل کی اطلاع دینا آسان بنائیں۔ چاہے یہ ایک مشتبہ فون کال ہو، ایک غیر امکانی ای میل منسلکہ ہو، یا یہاں تک کہ صرف ایک فائل جو شاید نیٹ ورک پر موجود نہ ہو، رابطہ کا ایک نقطہ ہونا چاہیے (مثلاً securityreport@yourbiz.example) جو آپ کے ساتھیوں کے لیے اس میں کال کرنا تیز اور آسان بناتا ہے۔
• لوگوں سے کبھی دستبردار نہ ہوں۔ صرف ٹیکنالوجی آپ کے سائبر سیکیورٹی کے تمام مسائل حل نہیں کر سکتی۔ اگر آپ اپنے عملے کے ساتھ احترام کے ساتھ پیش آتے ہیں، اور اگر آپ سائبر سیکیورٹی کا رویہ اپناتے ہیں۔ "ایک احمقانہ سوال جیسی کوئی چیز نہیں ہے، صرف ایک احمقانہ جواب ہے"، پھر آپ تنظیم میں موجود ہر شخص کو اپنی سیکیورٹی ٹیم کے لیے آنکھوں اور کانوں میں تبدیل کر سکتے ہیں۔

---

کیوں نہ اس سال کے لیے 26-29 ستمبر 2022 تک ہمارے ساتھ شامل ہوں۔ سوفوس سیکیورٹی SOS ہفتہ:

عالمی ماہرین کے ساتھ چار مختصر مگر دلچسپ گفتگو۔

تحفظ، پتہ لگانے اور ردعمل کے بارے میں جانیں،
اور اپنی ایک کامیاب SecOps ٹیم کیسے ترتیب دیں:

---