ایک مضحکہ خیز – لیکن سچ ہے — TechCrunch میں مذاق یہ ہے کہ سیکیورٹی ڈیسک کو بری خبروں کا محکمہ بھی کہا جا سکتا ہے، کیونکہ، ٹھیک ہے، کیا آپ نے دیکھا ہے کہ ہم نے دیر سے کیا احاطہ کیا ہے؟ تباہ کن خلاف ورزیوں کی ایک نہ ختم ہونے والی سپلائی ہے، وسیع پیمانے پر نگرانی اور ناقص اسٹارٹ اپس کو سیدھا خطرناک کوڑے مار رہے ہیں۔
کبھی کبھی اگرچہ – شاذ و نادر ہی – امید کی کرنیں ہیں جو ہم بانٹنا چاہتے ہیں۔ کم از کم اس لیے نہیں کہ صحیح کام کرنا، یہاں تک کہ (اور خاص طور پر) مشکلات کے باوجود، سائبر دائرے کو تھوڑا سا محفوظ بنانے میں مدد کرتا ہے۔
بنگلہ دیش نے شہریوں کا ڈیٹا لیک ہونے کی دریافت پر سیکیورٹی محقق کا شکریہ ادا کیا۔
جب ایک سیکورٹی محقق نے پایا کہ بنگلہ دیشی حکومت کی ایک ویب سائٹ اپنے شہریوں کی ذاتی معلومات لیک کر رہی ہے، تو واضح طور پر کچھ غلط تھا۔ وکٹر مارکوپولوس کو نادانستہ طور پر کیش شدہ گوگل سرچ رزلٹ کی بدولت بے نقاب ڈیٹا ملا، جس میں متاثرہ ویب سائٹ سے شہریوں کے نام، پتے، فون نمبر اور قومی شناختی نمبر سامنے آئے۔ ٹیک کرنچ نے تصدیق کی کہ بنگلہ دیشی حکومت کی ویب سائٹ ڈیٹا لیک کر رہی ہے، لیکن سرکاری محکمے کو الرٹ کرنے کی کوششیں ابتدائی طور پر خاموشی سے ملاقات کی گئی۔. ڈیٹا اتنا حساس تھا، TechCrunch یہ نہیں کہہ سکتا تھا کہ کون سا سرکاری محکمہ ڈیٹا کو لیک کر رہا ہے، کیونکہ اس سے ڈیٹا مزید بے نقاب ہو سکتا ہے۔
اس وقت جب ملک کی کمپیوٹر ایمرجنسی ریسپانس ٹیم، جسے CIRT بھی کہا جاتا ہے، رابطہ کیا اور اس بات کی تصدیق کی کہ لیک ہونے والے ڈیٹا بیس کو ٹھیک کر دیا گیا تھا۔. اعداد و شمار ملک کے پیدائش، موت اور شادی کے رجسٹرار آفس کے علاوہ کسی اور سے نہیں نکل رہے تھے۔ CIRT نے ایک عوامی نوٹس میں تصدیق کی کہ اس نے ڈیٹا سپل کو حل کر لیا ہے۔ اور یہ کہ اس نے یہ سمجھنے میں “کوئی کسر نہیں چھوڑی” کہ لیک کیسے ہوا۔ حکومتیں شاذ و نادر ہی اپنے سکینڈلز کو اچھی طرح سے ہینڈل کرتی ہیں، لیکن حکومت کی جانب سے محقق کو ان کی جانب سے بگ کی تلاش اور رپورٹ کرنے کے لیے ان کا شکریہ ادا کرنے والا ای میل سائبرسیکیوریٹی کے حوالے سے حکومت کی رضامندی کو ظاہر کرتا ہے جہاں بہت سے دوسرے ممالک ایسا نہیں کریں گے۔
ایپل اپنے اسپائی ویئر کے مسئلے پر کچن کے سنک کو پھینک رہا ہے۔
ایک دہائی سے زیادہ کا عرصہ گزر چکا ہے۔ ایپل نے اپنا اب بدنام زمانہ دعویٰ چھوڑ دیا۔ کہ میک کو پی سی وائرس نہیں ملتے ہیں (جو تکنیکی طور پر سچ ہے، ان الفاظ نے کمپنی کو برسوں سے دوچار کیا ہے)۔ ان دنوں ایپل ڈیوائسز کے لیے سب سے بڑا خطرہ کمرشل اسپائی ویئر ہے، جسے نجی کمپنیوں نے تیار کیا ہے اور حکومتوں کو فروخت کیا ہے، جو ہمارے فون کے حفاظتی دفاع میں سوراخ کر سکتا ہے اور ہمارا ڈیٹا چوری کر سکتا ہے۔ کسی مسئلے کو تسلیم کرنے میں ہمت کی ضرورت ہوتی ہے، لیکن ایپل نے بالکل ایسا ہی کیا۔ اسپائی ویئر بنانے والوں کی طرف سے فعال طور پر استحصال کیے جانے والے سیکیورٹی کیڑے کو ٹھیک کرنے کے لیے ریپڈ سیکیورٹی رسپانس اصلاحات کا آغاز.
ایپل نے اس سال کے شروع میں اپنی پہلی ایمرجنسی “ہاٹ فکس” کو آئی فونز، آئی پیڈز اور میکس پر متعارف کرایا۔ خیال یہ تھا کہ ایسے نازک پیچ کو رول آؤٹ کیا جائے جو ہمیشہ ڈیوائس کو ریبوٹ کیے بغیر انسٹال کیے جاسکتے ہیں (بظاہر سیکیورٹی ذہن رکھنے والوں کے لیے درد کا مقام)۔ ایپل میں لاک ڈاؤن موڈ نامی ایک ترتیب بھی ہے، جو ایپل ڈیوائس پر مخصوص ڈیوائس کی خصوصیات کو محدود کرتی ہے جو عام طور پر اسپائی ویئر کے ذریعے نشانہ بنتی ہیں۔ ایپل کا کہنا ہے کہ یہ لاک ڈاؤن موڈ استعمال کرنے والے کسی کے بارے میں نہیں جانتا ہے جسے بعد میں ہیک کیا گیا تھا۔. حقیقت میں، سیکورٹی محققین کا کہنا ہے کہ لاک ڈاؤن موڈ نے جاری ٹارگٹڈ ہیکس کو فعال طور پر بلاک کر دیا ہے۔.
تائیوان کی حکومت نے ایسا نہیں کیا۔ پلک جھپکنا کارپوریٹ ڈیٹا لیک کے بعد مداخلت کرنے سے پہلے
جب ایک سیکورٹی محقق نے TechCrunch کو بتایا کہ iRent نامی ایک رائیڈ شیئرنگ سروس — جسے تائیوان کی آٹو موٹیو کمپنی ہوتائی موٹرز کے ذریعے چلایا جاتا ہے — انٹرنیٹ پر صارفین کے ڈیٹا کو ریئل ٹائم اپ ڈیٹ کر رہا ہے، تو ایسا لگتا تھا کہ یہ ایک آسان حل ہے۔ لیکن جاری ڈیٹا سپل کو حل کرنے کے لیے کمپنی کو ای میل کرنے کے ایک ہفتے کے بعد — جس میں گاہک کے نام، سیل فون نمبر اور ای میل پتے، اور کسٹمر لائسنس کے اسکین شامل تھے — TechCrunch نے کبھی پیچھے نہیں سنا۔ یہ تب تک نہیں تھا۔ ہم نے واقعے کا انکشاف کرنے میں مدد کے لیے تائیوان کی حکومت سے رابطہ کیا۔ کہ ہمیں جواب ملا فوری طور پر.
حکومت سے رابطہ کرنے کے ایک گھنٹے کے اندر، تائیوان کے ڈیجیٹل امور کے وزیر آڈری تانگ نے ٹیک کرنچ کو ای میل کے ذریعے بتایا کہ بے نقاب ڈیٹا بیس کو تائیوان کی کمپیوٹر ایمرجنسی ریسپانس ٹیم، TWCERT کے ساتھ جھنڈا لگایا گیا تھا، اور اسے آف لائن کھینچ لیا گیا تھا۔ تائیوان کی حکومت نے جس رفتار سے جواب دیا وہ دم توڑنے والی تیز تھی، لیکن یہ اس کا خاتمہ نہیں تھا۔ تائیوان بعد میں ڈیٹا کی حفاظت میں ناکامی پر ہوٹائی موٹرز پر جرمانہ عائد کیا گیا۔ 400,000 سے زیادہ صارفین میں سے، اور اس کی سائبر سیکیورٹی کو بہتر بنانے کا حکم دیا گیا تھا۔ اس کے نتیجے میں، تائیوان کے نائب وزیر اعظم چینگ وین تسان نے کہا کہ تقریباً 6,600 ڈالر کا جرمانہ “بہت ہلکا” تھا اور اس قانون میں تبدیلی کی تجویز پیش کی جس سے ڈیٹا کی خلاف ورزی کے جرمانے میں دس گنا اضافہ ہو جائے گا۔
لیکی امریکی عدالتی ریکارڈ کے نظام نے صحیح قسم کے الارم کو جنم دیا۔
کسی بھی عدالتی نظام کا مرکز اس کا عدالتی ریکارڈ کا نظام ہوتا ہے، عدالتی مقدمات کے لیے حساس قانونی دستاویزات جمع کرانے اور ذخیرہ کرنے کے لیے استعمال ہونے والا ٹیک اسٹیک۔ یہ سسٹم اکثر آن لائن اور تلاش کے قابل ہوتے ہیں، جبکہ فائلوں تک رسائی کو محدود کرتے ہیں جو دوسری صورت میں جاری کارروائی کو خطرے میں ڈال سکتے ہیں۔ لیکن جب سیکیورٹی محقق جیسن پارکر نے پایا ناقابل یقین حد تک آسان کیڑے کے ساتھ متعدد عدالتی ریکارڈ سسٹم جو صرف ایک ویب براؤزر کا استعمال کرتے ہوئے قابل استعمال تھے۔، پارکر جانتا تھا کہ انہیں یہ دیکھنا ہوگا کہ یہ کیڑے ٹھیک ہوگئے ہیں۔
پارکر نے پانچ امریکی ریاستوں میں استعمال ہونے والے عدالتی ریکارڈ کے نظام میں آٹھ حفاظتی کمزوریوں کا پتہ لگایا اور ان کا انکشاف کیا۔ ان کے پہلے بیچ کے انکشاف میں. کچھ خامیوں کو دور کیا گیا تھا اور کچھ باقی ہیں، اور ریاستوں کے ردعمل ملے جلے تھے۔ فلوریڈا کی لی کاؤنٹی نے سیکیورٹی محقق کو فلوریڈا کے اینٹی ہیکنگ قوانین کے ساتھ دھمکی دینے کا بھاری ہاتھ (اور خود مالکانہ) موقف اختیار کیا۔ لیکن انکشافات نے بھی صحیح قسم کا الارم بھیج دیا۔ کئی ریاستی CISOs اور پورے امریکہ میں عدالتی ریکارڈ کے نظام کے ذمہ دار عہدیداروں نے اس انکشاف کو کمزوریوں کے لیے اپنے عدالتی ریکارڈ کے نظام کا معائنہ کرنے کے موقع کے طور پر دیکھا۔ Govtech ٹوٹا ہوا ہے (اور اس کی شدت سے کمی ہے)، لیکن پارکر جیسے محققین ہیں۔ خامیوں کو تلاش کرنا اور ظاہر کرنا انٹرنیٹ کو محفوظ تر بناتا ہے — اور عدالتی نظام کو سب کے لیے بہتر بناتا ہے۔
گوگل نے جیوفینس وارنٹس کو مار ڈالا، یہاں تک کہ اگر یہ پہلے سے بہتر دیر سے ہو۔
یہ گوگل کا لالچ تھا جو اشتہارات اور دائمی ترقی کے ذریعے کارفرما تھا جس نے جیوفینس وارنٹس کے لیے مرحلہ طے کیا۔ یہ نام نہاد “ریورس” سرچ وارنٹ پولیس اور سرکاری ایجنسیوں کو گوگل کے صارفین کے لوکیشن ڈیٹا کے وسیع اسٹورز میں ڈمپسٹر ڈوبنے کی اجازت دیتے ہیں تاکہ یہ معلوم کیا جا سکے کہ جرم کے وقت کوئی اس کے آس پاس موجود تھا یا نہیں۔ لیکن ان ریورس وارنٹس کی آئینی حیثیت (اور درستگی) کو سوالیہ نشان بنا دیا گیا ہے۔ اور ناقدین نے گوگل سے مطالبہ کیا ہے کہ وہ نگرانی کے عمل کو ختم کرے جو اس نے بڑے پیمانے پر شروع کرنے کے لیے بنائی تھی۔ اور پھر، چھٹیوں کے موسم سے عین پہلے، رازداری کا تحفہ: گوگل نے کہا کہ وہ صارفین کے آلات پر لوکیشن ڈیٹا محفوظ کرنا شروع کر دے گا نہ کہ مرکزی طور پر، مؤثر طریقے سے ریئل ٹائم لوکیشن حاصل کرنے کی پولیس کی صلاحیت کو ختم کرنا اس کے سرورز سے۔
گوگل کا یہ اقدام کوئی علاج نہیں ہے، اور برسوں کے نقصان کو کالعدم نہیں کرتا ہے (یا پولیس کو گوگل کے ذخیرہ کردہ تاریخی ڈیٹا پر چھاپہ مارنے سے روکتا ہے)۔ لیکن یہ دوسری کمپنیوں کو بھی اس قسم کے ریورس سرچ وارنٹس کے تابع کر سکتا ہے — ہیلو مائیکروسافٹ، اسنیپ، اوبر اور یاہو (ٹیک کرنچ کی پیرنٹ کمپنی) — اس کی پیروی کریں اور صارفین کے حساس ڈیٹا کو اس طریقے سے ذخیرہ کرنا بند کریں جس سے اسے حکومت تک رسائی حاصل ہو۔ مطالبات
Source link
techcrunch.com