فروری میں، ہم نے مضمون شائع کیا "تنہا VPN نہیں۔ اپنے آپ کو اور اپنے ڈیٹا کی حفاظت کے بارے میں ایک دھوکہ دہی کی شیٹ۔ نے ہمیں مضمون کا تسلسل لکھنے کا اشارہ کیا۔ یہ حصہ معلومات کا مکمل طور پر آزاد ذریعہ ہے، لیکن ہم پھر بھی تجویز کرتے ہیں کہ آپ دونوں پوسٹس پڑھیں۔
ایک نئی پوسٹ انسٹنٹ میسنجر میں ڈیٹا سیکیورٹی (خط و کتابت، تصاویر، ویڈیوز، بس اتنا ہے) کے مسئلے کے لیے وقف ہے اور خود ان آلات جو ایپلی کیشنز کے ساتھ کام کرنے کے لیے استعمال ہوتے ہیں۔
پیغامبر
تار
اکتوبر 2018 میں، ویک ٹیکنیکل کالج کے پہلے سال کے طالب علم ناتھینیل ساچی نے دریافت کیا کہ ٹیلی گرام میسنجر مقامی کمپیوٹر ڈرائیو پر پیغامات اور میڈیا فائلوں کو واضح متن میں محفوظ کرتا ہے۔
طالب علم متن اور تصاویر سمیت اپنی خط و کتابت تک رسائی حاصل کرنے کے قابل تھا۔ ایسا کرنے کے لیے، اس نے ایچ ڈی ڈی پر محفوظ کردہ ایپلیکیشن ڈیٹا بیس کا مطالعہ کیا۔ یہ پتہ چلا کہ ڈیٹا کو پڑھنا مشکل تھا، لیکن انکرپٹ نہیں تھا۔ اور ان تک رسائی حاصل کی جاسکتی ہے چاہے صارف نے ایپلیکیشن کے لیے پاس ورڈ سیٹ کیا ہو۔
موصول ہونے والے اعداد و شمار میں بات کرنے والوں کے نام اور ٹیلی فون نمبر ملے جن کا اگر چاہیں تو موازنہ کیا جا سکتا ہے۔ بند چیٹس کی معلومات بھی واضح شکل میں محفوظ کی جاتی ہیں۔
ڈوروف نے بعد میں کہا کہ یہ کوئی مسئلہ نہیں ہے، کیونکہ اگر حملہ آور کو صارف کے پی سی تک رسائی حاصل ہے، تو وہ انکرپشن کیز حاصل کر سکے گا اور تمام خط و کتابت کو بغیر کسی پریشانی کے ڈکرپٹ کر سکے گا۔ لیکن بہت سے انفارمیشن سیکیورٹی ماہرین کا کہنا ہے کہ یہ اب بھی سنگین ہے۔
اس کے علاوہ، ٹیلیگرام ایک اہم چوری کے حملے کا خطرہ بن گیا، جو ہیبر صارف۔ آپ کسی بھی لمبائی اور پیچیدگی کے مقامی کوڈ پاس ورڈ کو ہیک کر سکتے ہیں۔
WhatsApp کے
جہاں تک ہم جانتے ہیں، یہ میسنجر کمپیوٹر ڈسک پر ڈیٹا کو غیر انکرپٹڈ شکل میں بھی محفوظ کرتا ہے۔ اس کے مطابق، اگر حملہ آور کو صارف کے آلے تک رسائی حاصل ہے، تو تمام ڈیٹا بھی کھلا ہے۔
لیکن ایک اور عالمی مسئلہ ہے۔ فی الحال، Android OS والے آلات پر نصب WhatsApp کے تمام بیک اپ گوگل ڈرائیو میں محفوظ ہیں، جیسا کہ گزشتہ سال گوگل اور فیس بک نے اتفاق کیا تھا۔ لیکن خط و کتابت، میڈیا فائلز اور اس طرح کے بیک اپ . جہاں تک کوئی فیصلہ کر سکتا ہے، اسی امریکہ کے قانون نافذ کرنے والے افسران ، لہذا اس بات کا امکان ہے کہ سیکورٹی فورسز کسی بھی ذخیرہ شدہ ڈیٹا کو دیکھ سکیں۔
ڈیٹا کو انکرپٹ کرنا ممکن ہے، لیکن دونوں کمپنیاں ایسا نہیں کرتی ہیں۔ شاید صرف اس وجہ سے کہ غیر خفیہ کردہ بیک اپ کو آسانی سے منتقل کیا جا سکتا ہے اور صارفین خود استعمال کر سکتے ہیں۔ زیادہ تر امکان ہے کہ، کوئی خفیہ کاری نہیں ہے کیونکہ اس پر عمل درآمد کرنا تکنیکی طور پر مشکل ہے: اس کے برعکس، آپ بیک اپ کو بغیر کسی دشواری کے محفوظ کر سکتے ہیں۔ مسئلہ یہ ہے کہ گوگل کے پاس واٹس ایپ کے ساتھ کام کرنے کی اپنی وجوہات ہیں - ممکنہ طور پر کمپنی اور انہیں ذاتی نوعیت کے اشتہارات دکھانے کے لیے استعمال کرتا ہے۔ اگر فیس بک نے واٹس ایپ بیک اپ کے لیے اچانک انکرپشن متعارف کرایا تو گوگل فوری طور پر اس طرح کی شراکت میں دلچسپی کھو دے گا، جس سے واٹس ایپ صارفین کی ترجیحات کے بارے میں ڈیٹا کا ایک قیمتی ذریعہ کھو جائے گا۔ یہ، یقیناً، محض ایک مفروضہ ہے، لیکن ہائی ٹیک مارکیٹنگ کی دنیا میں بہت زیادہ امکان ہے۔
iOS کے لیے WhatsApp کے لیے، بیک اپ iCloud کلاؤڈ میں محفوظ کیے جاتے ہیں۔ لیکن یہاں بھی، معلومات کو غیر خفیہ شکل میں ذخیرہ کیا جاتا ہے، جو کہ ایپلی کیشن کی ترتیبات میں بھی بیان کیا جاتا ہے۔ ایپل اس ڈیٹا کا تجزیہ کرتا ہے یا نہیں یہ صرف کارپوریشن کو معلوم ہے۔ یہ سچ ہے کہ Cupertino کے پاس گوگل جیسا ایڈورٹائزنگ نیٹ ورک نہیں ہے، اس لیے ہم فرض کر سکتے ہیں کہ ان کے WhatsApp صارفین کے ذاتی ڈیٹا کا تجزیہ کرنے کا امکان بہت کم ہے۔
جو کچھ کہا گیا ہے اسے اس طرح بنایا جا سکتا ہے - ہاں، نہ صرف آپ کو اپنے WhatsApp خط و کتابت تک رسائی حاصل ہے۔
TikTok اور دیگر میسنجر
یہ مختصر ویڈیو شیئرنگ سروس بہت جلد مقبول ہو سکتی ہے۔ ڈویلپرز نے اپنے صارفین کے ڈیٹا کی مکمل حفاظت کو یقینی بنانے کا وعدہ کیا۔ جیسا کہ یہ نکلا، سروس نے خود اس ڈیٹا کو صارفین کو مطلع کیے بغیر استعمال کیا۔ اس سے بھی بدتر: سروس نے والدین کی رضامندی کے بغیر 13 سال سے کم عمر بچوں کا ذاتی ڈیٹا اکٹھا کیا۔ نابالغوں کی ذاتی معلومات - نام، ای میل، فون نمبر، تصاویر اور ویڈیوز - کو عوامی طور پر دستیاب کرایا گیا تھا۔
سروس کئی ملین ڈالر کے عوض، ریگولیٹرز نے 13 سال سے کم عمر بچوں کی بنائی ہوئی تمام ویڈیوز کو ہٹانے کا بھی مطالبہ کیا۔ TikTok نے تعمیل کی۔ تاہم، دیگر میسنجر اور سروسز صارفین کا ذاتی ڈیٹا اپنے مقاصد کے لیے استعمال کرتی ہیں، اس لیے آپ ان کی حفاظت کے بارے میں یقین نہیں کر سکتے۔
اس فہرست کو لامتناہی طور پر جاری رکھا جا سکتا ہے - زیادہ تر انسٹنٹ میسنجرز میں ایک یا دوسرا خطرہ ہوتا ہے جو حملہ آوروں کو صارفین سے چھپنے کی اجازت دیتا ہے ( - وائبر، اگرچہ ایسا لگتا ہے کہ وہاں سب کچھ ٹھیک کر دیا گیا ہے) یا ان کا ڈیٹا چوری کریں۔ اس کے علاوہ، ٹاپ 5 کی تقریباً تمام ایپلی کیشنز صارف کے ڈیٹا کو کمپیوٹر کی ہارڈ ڈرائیو یا فون کی میموری میں غیر محفوظ شکل میں اسٹور کرتی ہیں۔ اور یہ مختلف ممالک کی انٹیلی جنس سروسز کو یاد رکھے بغیر ہے، جنہیں قانون سازی کی بدولت صارف کے ڈیٹا تک رسائی حاصل ہو سکتی ہے۔ اسی Skype، VKontakte، TamTam اور دیگر حکام کی درخواست پر کسی بھی صارف کے بارے میں معلومات فراہم کرتے ہیں (مثال کے طور پر، روسی فیڈریشن)۔
پروٹوکول کی سطح پر اچھی سیکورٹی؟ کوئی مسئلہ نہیں، ہم آلہ توڑ دیتے ہیں۔
کچھ سال پہلے ایپل اور امریکی حکومت کے درمیان۔ کارپوریشن نے سان برنارڈینو شہر میں دہشت گردانہ حملوں میں ملوث ایک انکرپٹڈ سمارٹ فون کو کھولنے سے انکار کر دیا۔ اس وقت، یہ ایک حقیقی مسئلہ لگ رہا تھا: ڈیٹا اچھی طرح سے محفوظ تھا، اور اسمارٹ فون کو ہیک کرنا یا تو ناممکن تھا یا بہت مشکل تھا۔
اب چیزیں مختلف ہیں۔ مثال کے طور پر، اسرائیلی کمپنی Cellebrite روس اور دیگر ممالک میں قانونی اداروں کو ایک سافٹ ویئر اور ہارڈویئر سسٹم فروخت کرتی ہے جو آپ کو تمام iPhone اور Android ماڈلز کو ہیک کرنے کی اجازت دیتا ہے۔ پچھلے سال وہاں تھا۔ اس موضوع پر نسبتاً تفصیلی معلومات کے ساتھ۔
مگدان فرانزک تفتیش کار پوپوف اسی ٹیکنالوجی کا استعمال کرتے ہوئے ایک اسمارٹ فون کو ہیک کرتا ہے جس کا استعمال امریکی فیڈرل بیورو آف انویسٹی گیشن کرتا ہے۔ ماخذ: بی بی سی
یہ آلہ حکومتی معیارات کے مطابق سستا ہے۔ UFED Touch2 کے لیے، تحقیقاتی کمیٹی کے وولگوگراڈ ڈیپارٹمنٹ نے 800 ہزار روبل ادا کیے، محکمہ Khabarovsk - 1,2 ملین روبل۔ 2017 میں، روسی فیڈریشن کی تحقیقاتی کمیٹی کے سربراہ الیگزینڈر باسٹریکن نے تصدیق کی کہ ان کا محکمہ اسرائیلی کمپنی۔
Sberbank ایسے آلات بھی خریدتا ہے - تاہم، تحقیقات کرنے کے لیے نہیں، بلکہ Android OS والے آلات پر وائرس سے لڑنے کے لیے۔ "اگر موبائل ڈیوائسز پر نامعلوم نقصان دہ سافٹ ویئر کوڈ سے متاثر ہونے کا شبہ ہے، اور متاثرہ فونز کے مالکان کی لازمی رضامندی حاصل کرنے کے بعد، مختلف ٹولز کا استعمال کرتے ہوئے مسلسل ابھرتے اور تبدیل ہونے والے نئے وائرسوں کو تلاش کرنے کے لیے ایک تجزیہ کیا جائے گا، بشمول استعمال UFED Touch2 کا، "- کمپنی میں.
امریکیوں کے پاس ایسی ٹیکنالوجیز بھی ہیں جو انہیں کسی بھی اسمارٹ فون کو ہیک کرنے کی اجازت دیتی ہیں۔ گرے شفٹ نے $300 میں 15 اسمارٹ فونز ہیک کرنے کا وعدہ کیا ہے ($50 فی یونٹ بمقابلہ $1500 سیلبرائٹ کے لیے)۔
امکان ہے کہ سائبر جرائم پیشہ افراد کے پاس بھی ایسے ہی آلات موجود ہیں۔ ان آلات کو مسلسل بہتر بنایا جا رہا ہے - ان کا سائز کم ہوتا ہے اور ان کی کارکردگی میں اضافہ ہوتا ہے۔
اب ہم بڑے مینوفیکچررز کے کم و بیش معروف فونز کے بارے میں بات کر رہے ہیں جو اپنے صارفین کے ڈیٹا کی حفاظت کے بارے میں فکر مند ہیں۔ اگر ہم چھوٹی کمپنیوں یا غیر نامی تنظیموں کے بارے میں بات کر رہے ہیں، تو اس صورت میں ڈیٹا کو بغیر کسی پریشانی کے ہٹا دیا جاتا ہے۔ HS-USB موڈ بوٹ لوڈر کے لاک ہونے پر بھی کام کرتا ہے۔ سروس موڈز عام طور پر "پچھلے دروازے" ہوتے ہیں جس کے ذریعے ڈیٹا کو بازیافت کیا جا سکتا ہے۔ اگر نہیں، تو آپ JTAG پورٹ سے جڑ سکتے ہیں یا eMMC چپ کو مکمل طور پر ہٹا سکتے ہیں اور پھر اسے ایک سستے اڈاپٹر میں ڈال سکتے ہیں۔ اگر ڈیٹا کو خفیہ نہیں کیا گیا ہے تو فون سے عام طور پر ہر چیز، بشمول تصدیقی ٹوکن جو کلاؤڈ اسٹوریج اور دیگر خدمات تک رسائی فراہم کرتے ہیں۔
اگر کسی کے پاس اہم معلومات والے اسمارٹ فون تک ذاتی رسائی ہے، تو وہ چاہے تو اسے ہیک کر سکتا ہے، چاہے مینوفیکچررز کچھ بھی کہیں۔
یہ واضح ہے کہ جو کچھ بھی کہا گیا ہے اس کا اطلاق نہ صرف اسمارٹ فونز پر ہوتا ہے بلکہ مختلف OS چلانے والے کمپیوٹرز اور لیپ ٹاپس پر بھی ہوتا ہے۔ اگر آپ جدید حفاظتی اقدامات کا سہارا نہیں لیتے ہیں، لیکن پاس ورڈ اور لاگ ان جیسے روایتی طریقوں سے مطمئن ہیں، تو ڈیٹا خطرے میں رہے گا۔ آلہ تک جسمانی رسائی کے ساتھ تجربہ کار ہیکر تقریباً کوئی بھی معلومات حاصل کر سکے گا - یہ صرف وقت کی بات ہے۔
تو کیا کرنا ہے؟
Habré پر، ذاتی آلات پر ڈیٹا کی حفاظت کا مسئلہ ایک سے زیادہ بار اٹھایا جا چکا ہے، لہذا ہم دوبارہ پہیے کو دوبارہ نہیں بنائیں گے۔ ہم صرف ان اہم طریقوں کی نشاندہی کریں گے جو تیسرے فریق کے آپ کے ڈیٹا کو حاصل کرنے کے امکانات کو کم کرتے ہیں:
- اپنے اسمارٹ فون اور پی سی دونوں پر ڈیٹا انکرپشن کا استعمال کرنا لازمی ہے۔ مختلف آپریٹنگ سسٹم اکثر اچھی ڈیفالٹ خصوصیات فراہم کرتے ہیں۔ مثال - معیاری ٹولز کا استعمال کرتے ہوئے Mac OS میں crypto کنٹینر۔
- ٹیلیگرام اور دیگر فوری میسنجر میں خط و کتابت کی تاریخ سمیت کہیں بھی اور ہر جگہ پاس ورڈ سیٹ کریں۔ قدرتی طور پر، پاس ورڈ پیچیدہ ہونے چاہئیں۔
- دو عنصر کی توثیق - ہاں، یہ تکلیف دہ ہوسکتی ہے، لیکن اگر سیکیورٹی پہلے آتی ہے، تو آپ کو اسے برداشت کرنا ہوگا۔
- اپنے آلات کی جسمانی حفاظت کی نگرانی کریں۔ ایک کارپوریٹ پی سی کو ایک کیفے میں لے جائیں اور اسے وہاں بھول جائیں؟ کلاسک. حفاظتی معیارات، بشمول کارپوریٹ، ان کی اپنی لاپرواہی کے متاثرین کے آنسوؤں سے لکھے گئے تھے۔
آئیے ڈیٹا ہیکنگ کے امکانات کو کم کرنے کے لیے آپ کے طریقوں پر تبصرے دیکھتے ہیں جب کسی تیسرے فریق کو جسمانی ڈیوائس تک رسائی حاصل ہوتی ہے۔ اس کے بعد ہم مجوزہ طریقوں کو مضمون میں شامل کریں گے یا انہیں اپنے میں شائع کریں گے۔ جہاں ہم باقاعدگی سے حفاظت کے بارے میں لکھتے ہیں، استعمال کرنے کے لیے لائف ہیکس اور انٹرنیٹ سنسر شپ۔
ماخذ: www.habr.com