کیا آپ تصور کر سکتے ہیں کہ ایک بڑی کمپنی اپنے صارفین کو دھوکہ دے گی، خاص طور پر اگر یہ کمپنی خود کو تحفظ کی ضامن کے طور پر رکھتی ہے؟ تو میں حال ہی میں نہیں کر سکا۔ یہ مضمون Comodo سے کوڈ پر دستخط کرنے والا سرٹیفکیٹ خریدنے سے پہلے دو بار سوچنے کی وارننگ ہے۔
اپنے کام (سسٹم ایڈمنسٹریشن) کے حصے کے طور پر، میں مختلف مفید پروگرام بناتا ہوں جو میں اپنے کام میں فعال طور پر استعمال کرتا ہوں، اور ساتھ ہی ساتھ میں انہیں سب کے لیے مفت پوسٹ کرتا ہوں۔ تقریباً تین سال پہلے، پروگراموں پر دستخط کرنے کی ضرورت تھی، بصورت دیگر میرے تمام کلائنٹس اور صارفین بغیر کسی پریشانی کے انہیں ڈاؤن لوڈ نہیں کر سکتے تھے کیونکہ ان پر دستخط نہیں تھے۔ دستخط کرنا ایک طویل عرصے سے ایک عام عمل رہا ہے اور اس سے کوئی فرق نہیں پڑتا ہے کہ کوئی پروگرام کتنا ہی محفوظ ہے، لیکن اگر اس پر دستخط نہیں کیے گئے ہیں، تو اس پر ضرور توجہ دی جائے گی:
- براؤزر اعداد و شمار جمع کرتا ہے کہ فائل کتنی بار ڈاؤن لوڈ کی جاتی ہے، اور جب اس پر دستخط نہیں ہوتے ہیں، تو ابتدائی مرحلے میں اسے "صرف صورت میں" بلاک بھی کیا جا سکتا ہے اور محفوظ کرنے کے لیے صارف سے واضح تصدیق کی ضرورت ہوتی ہے۔ الگورتھم مختلف ہیں، بعض اوقات ڈومین کو قابل اعتماد سمجھا جاتا ہے، لیکن عام طور پر یہ ایک درست دستخط ہوتا ہے جو سیکیورٹی کی تصدیق کرتا ہے۔
- ڈاؤن لوڈ کرنے کے بعد، فائل کو اینٹی وائرس کے ذریعے دیکھا جاتا ہے اور OS کے شروع ہونے سے فوراً پہلے۔ اینٹی وائرس کے لیے، دستخط بھی اہم ہے، یہ وائرس ٹوٹل پر آسانی سے دیکھا جا سکتا ہے، اور OS کے لیے، Win10 سے شروع ہو کر، منسوخ شدہ سرٹیفکیٹ والی فائل کو فوری طور پر بلاک کر دیا جاتا ہے اور اسے ایکسپلورر سے لانچ نہیں کیا جا سکتا۔ اس کے علاوہ، کچھ تنظیموں میں عام طور پر غیر دستخط شدہ کوڈ (سسٹم ٹولز کا استعمال کرتے ہوئے تشکیل شدہ) چلانا ممنوع ہے، اور یہ جائز ہے - تمام عام ڈویلپرز نے طویل عرصے سے اس بات کو یقینی بنایا ہے کہ ان کے پروگراموں کو بغیر کسی اضافی کوشش کے چیک کیا جا سکتا ہے۔
عام طور پر، صحیح سمت کا انتخاب کیا گیا ہے - جس حد تک ممکن ہو، ناتجربہ کار صارفین کے لیے انٹرنیٹ کو ہر ممکن حد تک محفوظ بنانا۔ تاہم، نفاذ خود اب بھی مثالی سے بہت دور ہے۔ ایک سادہ ڈویلپر صرف سرٹیفکیٹ حاصل نہیں کر سکتا؛ اسے ان کمپنیوں سے خریدا جانا چاہیے جنہوں نے اس مارکیٹ پر اجارہ داری قائم کر رکھی ہے اور اس پر اپنی شرائط طے کرتی ہیں۔ لیکن اگر پروگرام مفت ہوں تو کیا ہوگا؟ کوئی پرواہ نہیں کرتا. پھر ڈویلپر کے پاس ایک انتخاب ہوتا ہے - اپنے پروگراموں کی حفاظت کو مسلسل ثابت کرنا، صارفین کی سہولت کو قربان کرنا، یا سرٹیفکیٹ خریدنا۔ تین سال پہلے، StartCom، جو اب سمندر کی تہہ میں رہتا ہے، منافع بخش تھا؛ ان کے ساتھ کبھی کوئی مسئلہ نہیں ہوا۔ اس وقت، کموڈو کی طرف سے کم از کم قیمت فراہم کی جاتی ہے، لیکن، جیسا کہ یہ پتہ چلتا ہے، ایک کیچ ہے - ان کے لئے ڈویلپر لفظی طور پر کوئی نہیں ہے اور اس کے ساتھ دھوکہ دہی ایک عام عمل ہے.
میں نے 2018 کے وسط میں خریدا ہوا سرٹیفکیٹ استعمال کرنے کے تقریباً ایک سال کے بعد، اچانک، میل یا فون کے ذریعے پیشگی اطلاع کے بغیر، کوموڈو نے اسے بغیر وضاحت کے منسوخ کر دیا۔ ان کی تکنیکی معاونت اچھی طرح سے کام نہیں کرتی ہے - وہ ایک ہفتے تک جواب نہیں دے سکتے ہیں، لیکن وہ پھر بھی اس کی بنیادی وجہ تلاش کرنے میں کامیاب رہے - انہوں نے سمجھا کہ جاری کردہ سرٹیفکیٹ میلویئر کے ذریعے دستخط کیے گئے تھے۔ اور کہانی وہیں ختم ہو سکتی تھی، اگر ایک چیز نہیں تو - میں نے کبھی میلویئر نہیں بنایا، اور میرے اپنے تحفظ کے طریقے مجھے یہ کہنے کی اجازت دیتے ہیں کہ میری پرائیویٹ کلید چوری کرنا ناممکن ہے۔ صرف کوموڈو کے پاس کلید کی ایک کاپی ہے کیونکہ وہ انہیں بغیر CSR کے جاری کرتے ہیں۔ اور پھر - ابتدائی ثبوت کو تلاش کرنے کے لئے تقریبا دو ہفتوں کی ناکام کوششیں. کمپنی، جو قیاس کے مطابق حفاظتی تحفظ کی ضمانت دیتی ہے، نے اپنے قوانین کی خلاف ورزی کے ثبوت فراہم کرنے سے صاف انکار کر دیا۔
تکنیکی مدد کے ساتھ آخری چیٹ سےآپ 01:20
آپ نے لکھا ہے "ہم اسی کاروباری دن کے اندر معیاری سپورٹ ٹکٹوں کا جواب دینے کی کوشش کرتے ہیں۔" لیکن میں اب ایک ہفتے سے جواب کا انتظار کر رہا ہوں۔
ونسن 01:20
ہیلو، Sectigo SSL کی توثیق میں خوش آمدید!
مجھے آپ کے کیس کا سٹیٹس چیک کرنے دیں، براہ کرم ایک منٹ انتظار کریں۔
میں نے چیک کیا ہے اور ہمارے اعلیٰ اہلکار کی طرف سے مالویئر/فراڈ/فریب کاری کی وجہ سے آرڈر کو منسوخ کر دیا گیا ہے۔
آپ 01:28
مجھے یقین ہے کہ یہ آپ کی غلطی ہے، اس لیے میں ثبوت مانگتا ہوں۔
میں نے کبھی میلویئر/فراڈ/فریبنگ نہیں کی۔
ونسن 01:30
مجھے افسوس ہے، الیگزینڈر۔ میں نے دو بار چیک کیا ہے اور ہمارے اعلیٰ اہلکار کی طرف سے میلویئر/فراڈ/فریب کاری کی وجہ سے آرڈر کو منسوخ کر دیا گیا ہے۔
آپ 01:31
آپ نے کس فائل میں وائرس دیکھا؟ کیا وائرس ٹوٹل کا کوئی لنک ہے؟ میں آپ کے جواب کو قبول نہیں کرتا کیونکہ اس میں کوئی ثبوت نہیں ہے۔ میں نے اس سرٹیفکیٹ کے لیے رقم ادا کی ہے اور مجھے یہ جاننے کا حق ہے کہ میری رقم مجھ سے زبردستی کیوں لی جاتی ہے۔
اگر آپ ثبوت فراہم نہیں کر سکتے ہیں، تو پھر سرٹیفکیٹ غیر منصفانہ طور پر منسوخ کر دیا گیا تھا اور رقم واپس کرنا ضروری ہے. ورنہ بغیر ثبوت کے سرٹیفکیٹ منسوخ کر دیں تو تمہارے کام کا کیا مطلب؟
ونسن 01:34
میں آپ کی پریشانی کو سمجھتا ہوں۔ کوڈ پر دستخط کرنے والے سرٹیفکیٹ کی اطلاع میلویئر تقسیم کرنے کے لیے دی گئی ہے۔ صنعت کے رہنما خطوط کے مطابق: ایک سرٹیفکیٹ اتھارٹی کے طور پر Sectigo کو سرٹیفکیٹ کو منسوخ کرنے کی ضرورت ہے۔
نیز رقم کی واپسی کی پالیسی کے مطابق، ہم جاری ہونے کی تاریخ سے 30 دنوں کے بعد رقم کی واپسی نہیں کر سکیں گے۔
آپ 01:35
آپ کے خیال میں یہ غلطی یا غلط مثبت کیوں نہیں ہے؟
ونسن 01:36
مجھے افسوس ہے، الیگزینڈر۔ ہمارے اعلیٰ حکام کی رپورٹ کے مطابق، یہ حکم مالویئر/فراڈ/فریب کاری کی وجہ سے منسوخ کر دیا گیا ہے۔
آپ 01:37
معافی مانگنے کی ضرورت نہیں، میں نے رقم ادا کر دی ہے اور میں ثبوت دیکھنا چاہتا ہوں کہ میں نے آپ کے قوانین کی خلاف ورزی کی ہے۔ یہ آسان ہے.
میں نے تین سال تک ادائیگی کی، پھر آپ نے ایک وجہ بتائی اور بغیر سند کے اور میرے جرم کے ثبوت کے بغیر مجھے چھوڑ دیا۔
ونسن 01:43
میں آپ کی پریشانی کو سمجھتا ہوں۔ کوڈ پر دستخط کرنے والے سرٹیفکیٹ کی اطلاع میلویئر تقسیم کرنے کے لیے دی گئی ہے۔ صنعت کے رہنما خطوط کے مطابق: ایک سرٹیفکیٹ اتھارٹی کے طور پر Sectigo کو سرٹیفکیٹ کو منسوخ کرنے کی ضرورت ہے۔
آپ 01:45
لگتا ہے آپ کو سمجھ نہیں آئی۔ آپ نے وہ عدالت کہاں دیکھی جو بغیر ثبوت کے سزا سنا دیتی ہے؟ تم نے ایسا ہی کیا۔ میرے پاس کبھی میلویئر نہیں تھا۔ اگر ہے تو ثبوت کیوں نہیں دیتے؟ سرٹیفکیٹ کی تنسیخ کا کیا خاص ثبوت ہے؟
ونسن 01:46
مجھے افسوس ہے، الیگزینڈر۔ ہمارے اعلیٰ حکام کی رپورٹ کے مطابق، یہ حکم مالویئر/فراڈ/فریب کاری کی وجہ سے منسوخ کر دیا گیا ہے۔
آپ 01:47
میں سرٹیفکیٹ کو منسوخ کرنے کی اصل وجہ کون جان سکتا ہوں؟
اگر آپ جواب نہیں دے سکتے تو بتائیں کس سے رابطہ کریں؟
ونسن 01:48
براہ کرم نیچے دیئے گئے لنک کا استعمال کرتے ہوئے دوبارہ ٹکٹ جمع کروائیں تاکہ آپ کو جلد از جلد جواب موصول ہو جائے۔
آپ 01:48
آپ کا شکریہ.
یہ نتیجہ الگ تھلگ نہیں ہے، چیٹ میں گفت و شنید کے تمام وقت، بہترین طور پر، وہ ایک ہی بات کا جواب دیتے ہیں، ٹکٹوں کا یا تو جواب ہی نہیں دیا جاتا، یا جوابات بالکل بیکار ہوتے ہیں۔
میں دوبارہ ٹکٹ بنا رہا ہوں۔میری درخواست:
مجھے اس بات کا ثبوت درکار ہے کہ میں نے ایک اصول کی خلاف ورزی کی ہے جس کی وجہ سے منسوخی ہوئی ہے۔ میں نے ایک سرٹیفکیٹ خریدا ہے اور جاننا چاہتا ہوں کہ میرے پیسے مجھ سے کیوں لیے گئے؟
"مالویئر/فراڈ/فشنگ" جواب نہیں ہے! آپ نے کس فائل میں وائرس دیکھا؟ کیا وائرس ٹوٹل کا کوئی لنک ہے؟ براہ کرم ثبوت فراہم کریں یا رقم واپس کریں، میں تکنیکی مدد لکھ کر تھک گیا ہوں اور ایک ہفتے سے زیادہ انتظار کر رہا ہوں۔
آپ کا شکریہ.
ان کا جواب:
کوڈ پر دستخط کرنے والے سرٹیفکیٹ کی اطلاع میلویئر تقسیم کرنے کے لیے دی گئی ہے۔ صنعت کے رہنما خطوط کے مطابق: ایک سرٹیفکیٹ اتھارٹی کے طور پر Sectigo کو سرٹیفکیٹ کو منسوخ کرنے کی ضرورت ہے۔
یہ امید کہ یہ بندر نہیں ہے جو مجھے جواب دے گا۔ ایک دلچسپ خاکہ ابھرتا ہے:
- ہم ایک سرٹیفکیٹ فروخت کرتے ہیں۔
- ہم چھ ماہ سے زیادہ انتظار کر رہے ہیں تاکہ پے پال کے ذریعے تنازعہ کھولنا ناممکن ہو جائے۔
- ہم واپس بلا رہے ہیں اور اگلے حکم کا انتظار کر رہے ہیں۔ منافع!
چونکہ میرے پاس ان پر اثر انداز ہونے کا کوئی دوسرا طریقہ نہیں ہے، اس لیے میں صرف ان کی دھوکہ دہی کو عام کر سکتا ہوں۔ Comodo سے سرٹیفکیٹ خریدتے وقت، جسے Sectigo بھی کہا جاتا ہے، آپ کو بھی ایسی ہی صورتحال کا سامنا کرنا پڑ سکتا ہے۔
9 جون کو اپ ڈیٹ کریں:
آج میں نے CodeSignCert (وہ کمپنی جس کے ذریعے میں نے سرٹیفکیٹ خریدا تھا) کو مطلع کیا کہ چونکہ انہوں نے جواب دینا بند کر دیا ہے، میں نے اس مضمون کے لنک کے ساتھ صورتحال کو عوامی بحث کے لیے پیش کیا ہے۔ کچھ دیر بعد آخرکار انہوں نے وائرس ٹوٹل کا اسکرین شاٹ بھیجا، جہاں پروگرام ہیش دکھائی دے رہا تھا۔ :
وائرس ٹوٹل -
صورتحال کا میرا اندازہ:
میں اعتماد کے ساتھ کہہ سکتا ہوں کہ یہ غلط مثبت ہے۔ نشانیاں:
- زیادہ تر معاملات میں عہدہ عام۔
- اینٹی وائرس لیڈروں سے کوئی پتہ نہیں چلا۔
یہ کہنا مشکل ہے کہ اینٹی وائرس سے اس طرح کے ردعمل کی وجہ کیا ہے، لیکن چونکہ فائل بہت پرانی ہے (یہ تقریبا ایک سال پہلے بنائی گئی تھی)، میرے پاس ورژن 1.6.1 کا سورس کوڈ فائل کو دوبارہ بنانے کے لیے محفوظ نہیں تھا۔ . تاہم، میرے پاس تازہ ترین ورژن 1.6.5 ہے، اور مرکزی برانچ کی عدم تغیر کو دیکھتے ہوئے، وہاں کم سے کم تبدیلیاں کی گئی ہیں، لیکن اس طرح کے کوئی غلط مثبت نہیں ہیں:
وائرس ٹوٹل -
CodeSignCert کو غلط مثبت کے بارے میں مطلع کر دیا گیا ہے؛ مذاکرات کے مزید نتائج دستیاب ہونے کے بعد، صورتحال مکمل طور پر حل ہونے تک مضمون کو اپ ڈیٹ کیا جائے گا۔
ماخذ: www.habr.com