منتظم: خواتین و حضرات، یہ گفتگو بہت ہی مضحکہ خیز اور بہت دلچسپ ہے، آج ہم انٹرنیٹ پر دیکھنے میں آنے والی حقیقی چیزوں کے بارے میں بات کرنے جارہے ہیں۔ یہ گفتگو ان لوگوں سے تھوڑی مختلف ہے جو ہم بلیک ہیٹ کانفرنسوں میں کرتے تھے کیونکہ ہم اس بارے میں بات کرنے جا رہے ہیں کہ حملہ آور اپنے حملوں سے کیسے پیسہ کماتے ہیں۔
ہم آپ کو کچھ دلچسپ حملے دکھائیں گے جو منافع کما سکتے ہیں، اور آپ کو ان حملوں کے بارے میں بتائیں گے جو درحقیقت اس رات ہوئے تھے جب ہم Jägermeister پر گئے تھے اور ذہن سازی کی تھی۔ یہ مزہ تھا، لیکن جب ہم نے تھوڑا سا آرام کیا، تو ہم نے SEO لوگوں سے بات کی اور حقیقت میں یہ سیکھا کہ بہت سارے لوگ ان حملوں سے پیسہ کما رہے ہیں۔
میں صرف ایک بے دماغ مڈل مینیجر ہوں، اس لیے میں اپنی نشست چھوڑ دوں گا اور آپ کو جیریمی اور ٹری سے ملواؤں گا، جو مجھ سے زیادہ ہوشیار ہیں۔ مجھے ایک ہوشیار اور پرلطف تعارف ہونا چاہیے، لیکن میں ایسا نہیں کرتا، اس لیے میں اس کی بجائے یہ سلائیڈیں دکھاؤں گا۔
اسکرین پر جیریمی گراسمین اور ٹری فورڈ کو دکھانے والی سلائیڈز دکھائی دے رہی ہیں۔
جیریمی گراسمین وائٹ ہیٹ سیکیورٹی کے بانی اور چیف ٹیکنالوجی آفیسر ہیں، جنہیں 2007 میں InfoWorld کے ذریعے سرفہرست 25 CTOs میں سے ایک نامزد کیا گیا، ویب ایپلیکیشن سیکیورٹی کنسورشیم کے شریک بانی، اور کراس سائٹ اسکرپٹنگ حملوں کے شریک مصنف۔
ٹری فورڈ وائٹ ہیٹ سیکیورٹی میں آرکیٹیکچرل سلوشنز کے ڈائریکٹر ہیں، جن کے پاس فارچیون 6 کمپنیوں کے لیے سیکیورٹی کنسلٹنٹ کے طور پر 500 سال کا تجربہ ہے اور PCI DSS ادائیگی کارڈ ڈیٹا سیکیورٹی اسٹینڈرڈ کے ڈویلپرز میں سے ایک ہے۔
میرے خیال میں یہ تصویریں میری مزاح کی کمی کو پورا کرتی ہیں۔ کسی بھی صورت میں، مجھے امید ہے کہ آپ ان کی پیشکش سے لطف اندوز ہوں گے اور پھر سمجھیں گے کہ پیسہ کمانے کے لیے انٹرنیٹ پر ان حملوں کا استعمال کیسے کیا جاتا ہے۔
جیریمی گراسمین: بخیر دوپہر، آنے کے لیے آپ سب کا شکریہ۔ یہ ایک بہت ہی پرلطف گفتگو ہوگی، حالانکہ آپ کو صفر دن کے حملے یا ٹھنڈی نئی ٹیکنالوجیز نظر نہیں آئیں گی۔ ہم صرف اسے تفریحی بنانے کی کوشش کریں گے اور ان حقیقی چیزوں کے بارے میں بات کریں گے جو ہر روز رونما ہوتی ہیں جو برے لوگوں کو بہت زیادہ پیسہ کمانے کی اجازت دیتی ہیں۔
ہم اس سلائیڈ پر دکھائے گئے چیزوں سے آپ کو متاثر کرنے کی کوشش نہیں کر رہے ہیں، لیکن صرف یہ بتائیں کہ ہماری کمپنی کیا کرتی ہے۔ لہذا، وائٹ ہیٹ سینٹینیل، یا "گارڈین وائٹ ہیٹ" ہے:
- تشخیص کی لامحدود تعداد - کلائنٹ سائٹس کا کنٹرول اور ماہرانہ انتظام، سائٹس کے سائز اور تبدیلیوں کی تعدد سے قطع نظر اسکین کرنے کی صلاحیت؛
- کوریج کا وسیع دائرہ - تکنیکی کمزوریوں کا پتہ لگانے کے لیے سائٹس کی مجاز اسکیننگ اور بے نقاب کاروباری علاقوں میں منطقی غلطیوں کی نشاندہی کرنے کے لیے صارف کی جانچ؛
- غلط مثبت کو ختم کرنا - ہماری آپریشنل ٹیم نتائج کا جائزہ لیتی ہے اور مناسب شدت اور خطرے کی درجہ بندی تفویض کرتی ہے۔
- ترقی اور کوالٹی کنٹرول - وائٹ ہیٹ سیٹلائٹ اپلائنس سسٹم ہمیں اندرونی نیٹ ورک تک رسائی کے ذریعے کلائنٹ سسٹم کو دور سے سروس کرنے کی اجازت دیتا ہے۔
- بہتری اور بہتری - حقیقت پسندانہ اسکیننگ آپ کو سسٹم کو تیزی سے اور مؤثر طریقے سے اپ ڈیٹ کرنے کی اجازت دیتی ہے۔
لہذا، ہم دنیا کی ہر سائٹ کا آڈٹ کرتے ہیں، ہمارے پاس ویب ایپلیکیشن پینٹسٹرز کی سب سے بڑی ٹیم ہے، ہم ہر ہفتے 600-700 اسسمنٹ ٹیسٹ کرتے ہیں، اور وہ تمام ڈیٹا جو آپ اس پریزنٹیشن میں دیکھیں گے اس قسم کے کام کرنے کے ہمارے تجربے سے آتا ہے۔ .
اگلی سلائیڈ پر آپ عالمی ویب سائٹس پر حملوں کی 10 سب سے عام قسمیں دیکھیں۔ یہ بعض حملوں کے خطرے کی فیصد کو ظاہر کرتا ہے۔ جیسا کہ آپ دیکھ سکتے ہیں، تمام سائٹس میں سے 65% کراس سائٹ اسکرپٹنگ کا شکار ہیں، 40% معلومات کے اخراج کی اجازت دیتی ہیں، اور 23% مواد کی جعل سازی کا شکار ہیں۔ کراس سائٹ اسکرپٹنگ کے علاوہ، ایس کیو ایل انجیکشنز اور بدنام زمانہ کراس سائٹ درخواست جعلسازی، جو ہمارے ٹاپ ٹین میں شامل نہیں ہے، عام ہیں۔ لیکن اس فہرست میں باطنی ناموں کے ساتھ حملے شامل ہیں، جنہیں مبہم زبان کا استعمال کرتے ہوئے بیان کیا گیا ہے اور جس کی خصوصیت یہ ہے کہ وہ بعض کمپنیوں کے خلاف ہیں۔
یہ توثیق کی خامیاں ہیں، اجازت دینے کے عمل کی خامیاں، معلومات کا لیک ہونا وغیرہ۔
اگلی سلائیڈ کاروباری منطق پر حملوں کے بارے میں بات کرتی ہے۔ کوالٹی ایشورنس میں شامل QA ٹیمیں عموماً ان پر توجہ نہیں دیتیں۔ وہ جانچتے ہیں کہ سافٹ ویئر کو کیا کرنا چاہیے، نہ کہ یہ کیا کر سکتا ہے، اور پھر آپ جو چاہیں دیکھ سکتے ہیں۔ سکینر، یہ تمام سفید/سیاہ/گرے باکسز، یہ تمام کثیر رنگ کے خانے زیادہ تر معاملات میں ان چیزوں کا پتہ لگانے کے قابل نہیں ہیں، کیونکہ یہ صرف اس تناظر میں طے کیے گئے ہیں کہ حملہ کیا ہو سکتا ہے یا جب ایسا ہوتا ہے تو کیا ہوتا ہے۔ ان میں ذہانت کی کمی ہے اور وہ نہیں جانتے کہ کوئی چیز کام کرتی ہے یا نہیں۔
یہی بات IDS اور WAF ایپلیکیشن فائر والز کے لیے بھی ہے، جو کاروباری منطق کی خامیوں کا پتہ لگانے میں بھی ناکام رہتے ہیں کیونکہ HTTP درخواستیں بالکل نارمل نظر آتی ہیں۔ ہم آپ کو دکھائیں گے کہ کاروباری منطق کی خامیوں سے متعلق حملے مکمل طور پر فطری طور پر پیدا ہوتے ہیں، کوئی ہیکرز نہیں ہوتے، کوئی میٹا کریکٹر یا دیگر عجیب و غریب چیزیں نہیں ہوتیں، یہ قدرتی طور پر ہونے والے عمل کی طرح نظر آتے ہیں۔ اصل بات یہ ہے کہ برے لوگ ان چیزوں کو پسند کرتے ہیں کیونکہ کاروباری منطق کی خامیاں انہیں پیسہ بناتی ہیں۔ وہ XSS، SQL، CSRF کا استعمال کرتے ہیں، لیکن اس قسم کے حملوں کو انجام دینا مشکل ہوتا جا رہا ہے، اور ہم نے دیکھا ہے کہ پچھلے 3-5 سالوں میں ان میں کمی آئی ہے۔ لیکن وہ خود سے غائب نہیں ہوں گے، بالکل اسی طرح جیسے بفر اوور فلو ختم نہیں ہوگا۔ تاہم، برے لوگ اس بارے میں سوچ رہے ہیں کہ مزید نفیس حملوں کا استعمال کیسے کیا جائے کیونکہ ان کا ماننا ہے کہ "حقیقی برے لوگ" ہمیشہ اپنے حملوں سے پیسہ کمانے کی کوشش کرتے ہیں۔
میں آپ کو حقیقی چالیں دکھانا چاہتا ہوں جو آپ بورڈ پر لے سکتے ہیں اور اپنے کاروبار کی حفاظت کے لیے انہیں صحیح طریقے سے استعمال کر سکتے ہیں۔ ہماری پیشکش کا ایک اور مقصد یہ ہے کہ آپ اخلاقیات کے بارے میں سوچ رہے ہوں گے۔
آن لائن پول اور ووٹنگ
لہذا، کاروباری منطق کی خامیوں کے بارے میں اپنی بحث شروع کرنے کے لیے، آئیے آن لائن سروے کے بارے میں بات کرتے ہیں۔ آن لائن پولز رائے عامہ کو تلاش کرنے یا اس پر اثر انداز ہونے کا سب سے عام طریقہ ہے۔ ہم $0 کے منافع سے شروع کریں گے اور پھر 5، 6، 7 ماہ کی دھوکہ دہی والی اسکیموں کے نتائج دیکھیں گے۔ آئیے ایک بہت ہی آسان سروے کرکے شروعات کریں۔ آپ جانتے ہیں کہ ہر نئی ویب سائٹ، ہر بلاگ، ہر نیوز پورٹل آن لائن سروے کرتا ہے۔ اس نے کہا، کوئی جگہ بہت بڑی یا بہت تنگ نہیں ہوتی، لیکن ہم مخصوص علاقوں میں رائے عامہ دیکھنا چاہتے ہیں۔
میں آپ کی توجہ آسٹن، ٹیکساس میں کیے گئے ایک سروے کی طرف مبذول کرانا چاہتا ہوں۔ چونکہ ایک آسٹن بیگل نے ویسٹ منسٹر ڈاگ شو جیت لیا، آسٹن کے امریکی اسٹیٹس مین نے سینٹرل ٹیکساس کے کتوں کے مالکان کے لیے ایک آن لائن آسٹنز بیسٹ ان شو پول کرانے کا فیصلہ کیا۔ ہزاروں مالکان نے تصاویر جمع کروائیں اور اپنے پسندیدہ کو ووٹ دیا۔ بہت سے دوسرے سروے کی طرح، آپ کے پالتو جانوروں کے لیے شیخی مارنے کے حقوق کے علاوہ کوئی انعام نہیں تھا۔
ووٹنگ کے لیے ویب 2.0 سسٹم ایپلیکیشن استعمال کی گئی۔ آپ نے "ہاں" پر کلک کیا اگر آپ کو کتا پسند آیا اور پتہ چلا کہ یہ نسل کا بہترین کتا ہے یا نہیں۔ لہذا آپ نے شو کے فاتح کے امیدوار کے طور پر سائٹ پر پوسٹ کیے گئے کئی سو کتوں کو ووٹ دیا۔
ووٹنگ کے اس طریقے سے 3 قسم کی دھوکہ دہی ممکن تھی۔ پہلا لامتناہی ووٹ ہے، جہاں آپ ایک ہی کتے کو بار بار ووٹ دیتے ہیں۔ یہ بہت آسان ہے۔ دوسرا طریقہ منفی ایک سے زیادہ ووٹنگ ہے، جہاں آپ مقابلہ کرنے والے کتے کے خلاف بڑی تعداد میں ووٹ دیتے ہیں۔ تیسرا طریقہ یہ تھا کہ لفظی طور پر مقابلے کے آخری لمحات میں، آپ نے ایک نیا کتا رکھا، اسے ووٹ دیا، تاکہ منفی ووٹ ملنے کا امکان کم سے کم رہے، اور آپ 100% مثبت ووٹ حاصل کر کے جیت گئے۔
مزید برآں، جیت کا تعین فیصد کے طور پر کیا گیا تھا، نہ کہ ووٹوں کی کل تعداد سے، یعنی آپ یہ تعین نہیں کر سکے کہ کس کتے کو زیادہ سے زیادہ مثبت ریٹنگ ملی، صرف ایک خاص کتے کے لیے مثبت اور منفی ریٹنگ کا فیصد شمار کیا گیا۔ . بہترین مثبت/منفی سکور تناسب والا کتا جیت گیا۔
ساتھی رابرٹ "RSnake" ہینسن کے دوست نے اس سے کہا کہ وہ اپنی Chihuahua Tiny کو مقابلہ جیتنے میں مدد کرے۔ آپ رابرٹ کو جانتے ہیں، وہ آسٹن سے ہے۔ اس نے ایک سپر ہیکر کی طرح برپ پراکسی کو ٹھیک کیا اور کم سے کم مزاحمت کا راستہ اختیار کیا۔ اس نے دھوکہ دہی کی تکنیک #1 کا استعمال کیا، اسے کئی سو یا ہزار درخواستوں کے برپ لوپ کے ذریعے چلاتے ہوئے، اور اس سے کتے کو 2000 ووٹ ملے اور وہ اسے پہلے نمبر پر لے آیا۔
اس کے بعد، اس نے ٹنی کے مدمقابل، جس کا عرفی نام Chuchu تھا، کے خلاف دھوکہ دہی کی تکنیک نمبر 2 کا استعمال کیا۔ مقابلے کے آخری منٹوں میں، اس نے Chuchu کے خلاف 450 ووٹ ڈالے، جس نے 1:2 سے زیادہ ووٹوں کے تناسب کے ساتھ پہلے نمبر پر ٹائنی کی پوزیشن کو مزید مضبوط کر دیا، لیکن مثبت اور منفی جائزوں کے فیصد کے لحاظ سے، Tiny پھر بھی ہار گیا۔ اس سلائیڈ پر آپ ایک سائبر کرائمینل کا نیا چہرہ دیکھتے ہیں، جو اس نتیجے سے مایوس ہے۔
جی ہاں، یہ ایک دلچسپ منظر تھا، لیکن مجھے لگتا ہے کہ میرے دوست کو یہ کارکردگی پسند نہیں آئی۔ آپ صرف آسٹن میں Chihuahua مقابلہ جیتنا چاہتے تھے، لیکن وہاں کوئی تھا جس نے آپ کو ہیک کرنے کی کوشش کی اور وہی کام کیا۔ ٹھیک ہے، اب میں کال کو ٹری کی طرف موڑ دیتا ہوں۔
مصنوعی مانگ پیدا کرنا اور اس پر پیسہ کمانا
ٹرے فورڈ: جب ہم آن لائن ٹکٹ خریدتے ہیں تو "مصنوعی DoS" کا تصور کئی مختلف دلچسپ منظرناموں کا حوالہ دیتا ہے۔ مثال کے طور پر، جب ایک پرواز میں ایک خصوصی سیٹ محفوظ کرتے ہیں. یہ کسی بھی قسم کے ٹکٹ پر لاگو ہو سکتا ہے، جیسے کہ کھیلوں کی تقریب یا کنسرٹ۔
قلیل اشیا کی بار بار خریداری کو روکنے کے لیے جیسے کہ ایئر لائن کی سیٹیں، فزیکل آئٹمز، صارف نام وغیرہ، ایپلیکیشن تنازعات کو روکنے کے لیے ایک خاص مدت کے لیے آئٹم کو لاک کر دیتی ہے۔ اور یہاں پہلے سے کچھ محفوظ رکھنے کی صلاحیت سے وابستہ کمزوری آتی ہے۔
ہم سب ٹائم آؤٹ کے بارے میں جانتے ہیں، ہم سب سیشن کو ختم کرنے کے بارے میں جانتے ہیں۔ لیکن یہ خاص منطقی خامی ہمیں پرواز میں سیٹ منتخب کرنے اور پھر کچھ ادا کیے بغیر دوبارہ انتخاب کرنے کے لیے واپس آنے کی اجازت دیتی ہے۔ یقیناً آپ میں سے اکثر کاروباری دوروں پر جاتے ہیں، لیکن میرے لیے یہ کام کا ایک لازمی حصہ ہے۔ ہم نے اس الگورتھم کو بہت سی جگہوں پر آزمایا ہے: آپ فلائٹ کا انتخاب کرتے ہیں، سیٹ کا انتخاب کرتے ہیں، اور صرف اس وقت جب آپ تیار ہوتے ہیں تو آپ اپنی ادائیگی کی معلومات درج کرتے ہیں۔ یعنی، آپ کے کسی جگہ کا انتخاب کرنے کے بعد، یہ آپ کے لیے مخصوص مدت کے لیے مخصوص ہے - کئی منٹوں سے لے کر کئی گھنٹوں تک، اور اس دوران کوئی اور اس جگہ کو بک نہیں کر سکتا۔ اس انتظار کی مدت کی وجہ سے، آپ کے پاس ویب سائٹ پر واپس جا کر اور اپنی مطلوبہ سیٹوں کی بکنگ کر کے جہاز کی تمام سیٹیں ریزرو کرنے کا حقیقی موقع ہے۔
اس طرح، ایک DoS حملے کا آپشن ظاہر ہوتا ہے: ہوائی جہاز کی ہر سیٹ کے لیے اس سائیکل کو خود بخود دہرائیں۔
ہم نے کم از کم دو بڑی ایئر لائنز پر اس کا تجربہ کیا ہے۔ آپ کسی بھی دوسری بکنگ کے ساتھ اسی خطرے کو تلاش کر سکتے ہیں. یہ ان لوگوں کے لیے اپنے ٹکٹوں کی قیمتیں بڑھانے کا بہترین موقع ہے جو انہیں دوبارہ بیچنا چاہتے ہیں۔ ایسا کرنے کے لیے، قیاس آرائی کرنے والوں کو بغیر کسی مالی نقصان کے بقیہ ٹکٹ بک کرنے کی ضرورت ہے۔ اس طرح، آپ ای کامرس کو "کریش" کر سکتے ہیں جو زیادہ مانگ والی مصنوعات - ویڈیو گیمز، گیم کنسولز، آئی فونز وغیرہ فروخت کرتی ہے۔ یعنی آن لائن بکنگ یا ریزرویشن سسٹم میں موجود خامی حملہ آور کو اس سے پیسہ کمانے یا حریفوں کو نقصان پہنچانے کی اجازت دیتی ہے۔
کیپچا ڈکرپشن
جیریمی گراسمین: اب کیپچا کی بات کرتے ہیں۔ ہر کوئی ان پریشان کن تصاویر کو جانتا ہے جو انٹرنیٹ پر گندگی پھیلاتے ہیں اور اسپام کا مقابلہ کرنے کے لیے استعمال ہوتے ہیں۔ ممکنہ طور پر، آپ کیپچا سے بھی منافع کما سکتے ہیں۔ Captcha مکمل طور پر خودکار ٹورنگ ٹیسٹ ہے جو آپ کو بوٹ سے ایک حقیقی شخص میں فرق کرنے کی اجازت دیتا ہے۔ میں نے کیپچا کے استعمال پر تحقیق کرتے ہوئے بہت سی دلچسپ چیزیں دریافت کیں۔
کیپچا پہلی بار 2000-2001 کے آس پاس استعمال ہوا تھا۔ اسپامرز مفت ای میل سروسز Gmail، Yahoo Mail، Windows Live Mail، MySpace، FaceBook، وغیرہ کے لیے رجسٹر کرنے کے لیے کیپچا کو ہٹانا چاہتے ہیں۔ اور سپیم بھیجیں۔ چونکہ کیپچا کافی وسیع پیمانے پر استعمال ہوتا ہے، اس لیے خدمات کی ایک پوری مارکیٹ سامنے آئی ہے جو ہر جگہ موجود کیپچا کو نظرانداز کرنے کی پیشکش کرتی ہے۔ بالآخر، یہ منافع لاتا ہے - ایک مثال اسپام بھیجنا ہوگی۔ کیپچا کو نظرانداز کرنے کے 3 طریقے ہیں، آئیے انہیں دیکھتے ہیں۔
پہلا خیال کے نفاذ میں خامیاں، یا کیپچا کے استعمال میں خامیاں۔
اس طرح، سوالات کے جوابات میں بہت کم انٹراپی ہوتی ہے، جیسے کہ "لکھیں کہ 4+1 کیا ہے"۔ ایک ہی سوالات کو کئی بار دہرایا جا سکتا ہے، اور ممکنہ جوابات کی حد بہت کم ہے۔
کیپچا کی تاثیر کو اس طرح جانچا جاتا ہے:
- ٹیسٹ ایسے حالات میں کیا جانا چاہئے جہاں شخص اور سرور ایک دوسرے سے دور ہوں،
ٹیسٹ فرد کے لیے مشکل نہیں ہونا چاہیے؛ - سوال ایسا ہونا چاہیے کہ آدمی چند سیکنڈ میں اس کا جواب دے سکے،
جس سے سوال کیا جائے وہی جواب دے ۔ - کمپیوٹر کے لیے سوال کا جواب دینا مشکل ہونا چاہیے۔
- پچھلے سوالات، جوابات یا ان کے امتزاج کا علم اگلے امتحان کی پیشین گوئی کو متاثر نہیں کرنا چاہیے؛
- ٹیسٹ کو بصری یا سماعت کی خرابی والے لوگوں کے ساتھ امتیازی سلوک نہیں کرنا چاہیے۔
- ٹیسٹ جغرافیائی، ثقافتی یا لسانی طور پر متعصب نہیں ہونا چاہیے۔
جیسا کہ یہ پتہ چلتا ہے، ایک "درست" کیپچا بنانا کافی مشکل ہے۔
کیپچا کا دوسرا نقصان OCR آپٹیکل کریکٹر ریکگنیشن کے استعمال کا امکان ہے۔ کوڈ کا ایک ٹکڑا کیپچا امیج کو پڑھنے کے قابل ہوتا ہے چاہے اس میں کتنا ہی بصری شور کیوں نہ ہو، دیکھیں کہ کون سے حروف یا اعداد اس کی تشکیل کرتے ہیں، اور شناخت کے عمل کو خودکار بناتا ہے۔ تحقیق سے معلوم ہوا ہے کہ زیادہ تر کیپچا آسانی سے ٹوٹ سکتے ہیں۔
میں یونیورسٹی آف نیو کیسل، یوکے کے سکول آف کمپیوٹر سائنس کے ماہرین سے اقتباسات پیش کروں گا۔ وہ مائیکروسافٹ کیپچا کو کریک کرنے میں آسانی کے بارے میں بات کرتے ہیں: "ہمارا حملہ 92% کی سیگمنٹیشن کامیابی کی شرح حاصل کرنے میں کامیاب رہا، جس کا مطلب ہے کہ MSN کیپچا اسکیم کو 60% کیسز میں تصویر کو الگ کرکے اور پھر اسے پہچان کر کریک کیا جاسکتا ہے۔ " یاہو کے کیپچا کو کریک کرنا اتنا ہی آسان تھا: "ہمارے دوسرے حملے نے 33,4% کی سیگمنٹیشن کامیابی حاصل کی۔ اس طرح، تقریباً 25,9% کیپچا کو کریک کیا جا سکتا ہے۔ ہماری تحقیق سے پتہ چلتا ہے کہ سپیمرز کو Yahoo کے کیپچا کو نظرانداز کرنے کے لیے کبھی بھی سستی انسانی محنت کا استعمال نہیں کرنا چاہیے، بلکہ کم لاگت والے خودکار حملے پر انحصار کرنا چاہیے۔"
کیپچا کو نظرانداز کرنے کا تیسرا طریقہ "مکینیکل ترک" یا "ترک" کہلاتا ہے۔ ہم نے اشاعت کے فوراً بعد اسے Yahoo کے کیپچا کے خلاف آزمایا، اور آج تک ہم نہیں جانتے، اور کوئی نہیں جانتا کہ اس طرح کے حملے سے کیسے بچایا جائے۔
یہ وہ معاملہ ہے جہاں آپ کے پاس ایک برا آدمی ہے جو "بالغ" سائٹ یا آن لائن گیم چلائے گا جہاں سے صارفین کچھ مواد کی درخواست کرتے ہیں۔ اس سے پہلے کہ وہ اگلی تصویر دیکھ سکیں، ہیکر جس سائٹ کا مالک ہے وہ ایک آن لائن سسٹم سے بیک اینڈ کی درخواست کرے گا جس سے آپ واقف ہیں، یاہو یا گوگل کہیں، وہاں سے کیپچا پکڑیں اور اسے صارف تک پہنچا دیں۔ اور جیسے ہی صارف سوال کا جواب دے گا، ہیکر ٹارگٹ سائٹ پر اندازہ لگایا ہوا کیپچا بھیجے گا اور صارف کو اپنی سائٹ سے درخواست کردہ تصویر دکھائے گا۔ اگر آپ کے پاس بہت سارے دلچسپ مواد کے ساتھ بہت مشہور سائٹ ہے، تو آپ لوگوں کی ایک پوری فوج کو متحرک کر سکتے ہیں جو خود بخود آپ کے لیے دوسرے لوگوں کے کیپچز کو بھر دے گی۔ یہ بہت طاقتور چیز ہے۔
تاہم، نہ صرف لوگ کیپچا کو نظرانداز کرنے کی کوشش کرتے ہیں؛ کاروبار بھی اس تکنیک کا استعمال کرتے ہیں۔ رابرٹ "RSnake" ہینسن نے ایک بار اپنے بلاگ پر ایک رومانیہ کے "کیپچا سولور" کے ساتھ بات کی جس نے کہا کہ وہ 300 سے 500 کیپچا فی گھنٹہ 9 سے 15 ڈالر فی ہزار حل شدہ کیپچا حل کر سکتا ہے۔
وہ براہ راست کہتا ہے کہ اس کی ٹیم کے ارکان دن میں 12 گھنٹے کام کرتے ہیں، اس دوران تقریباً 4800 کیپچز حل کرتے ہیں، اور اس بات پر منحصر ہے کہ کیپچا کتنے مشکل ہیں، وہ اپنے کام کے لیے روزانہ $50 تک وصول کر سکتے ہیں۔ یہ ایک دلچسپ پوسٹ تھی، لیکن اس سے بھی زیادہ دلچسپ تبصرے ہیں جو بلاگ صارفین نے اس پوسٹ کے نیچے چھوڑے ہیں۔ ویتنام سے فوری طور پر ایک پیغام نمودار ہوا، جہاں ایک مخصوص کوانگ ہنگ نے اپنے 20 افراد کے گروپ کے بارے میں اطلاع دی، جو اندازہ لگایا گیا ہے کہ $4 فی 1000 کیپچاس میں کام کرنے پر رضامندی ظاہر کی۔
اگلا پیغام بنگلہ دیش سے تھا: "ہیلو! امید ہے آپ ٹھیک ہیں! ہم بنگلہ دیش کی ایک سرکردہ پروسیسنگ کمپنی ہیں۔ فی الحال، ہمارے 30 آپریٹرز روزانہ 100000 سے زیادہ کیپچا حل کرنے کی صلاحیت رکھتے ہیں۔ ہم بہترین حالات اور کم شرح پیش کرتے ہیں - Yahoo، Hotmail، Mayspace، Gmail، Facebook، وغیرہ سائٹس سے 2 تخمینہ شدہ کیپچوں کے لیے $1000۔ ہم مزید تعاون کے منتظر ہیں۔"
ایک اور دلچسپ پیغام ایک خاص بابو نے بھیجا: ’’میں اس کام میں دلچسپی رکھتا ہوں، براہ کرم مجھے فون پر کال کریں۔‘‘
تو یہ کافی دلچسپ ہے۔ ہم اس بات پر بحث کر سکتے ہیں کہ یہ سرگرمی کتنی قانونی یا غیر قانونی ہے، لیکن حقیقت یہ ہے کہ لوگ اصل میں اس سے پیسہ کماتے ہیں۔
دوسرے لوگوں کے اکاؤنٹس تک رسائی حاصل کرنا
ٹرے فورڈ: اگلا منظر جس کے بارے میں ہم بات کریں گے وہ ہے کسی اور کا اکاؤنٹ لے کر پیسہ کمانا۔
ہر کوئی پاس ورڈ بھول جاتا ہے، اور ایپلیکیشن سیکیورٹی ٹیسٹنگ کے لیے، پاس ورڈ دوبارہ ترتیب دینا اور آن لائن رجسٹریشن دو الگ الگ، مرکوز کاروباری عمل کی نمائندگی کرتی ہے۔ آپ کے پاس ورڈ کو دوبارہ ترتیب دینے میں آسانی اور سائن اپ کرنے میں آسانی کے درمیان ایک بڑا فرق ہے، لہذا آپ کو پاس ورڈ کو دوبارہ ترتیب دینے کے عمل کو ہر ممکن حد تک آسان بنانے کی کوشش کرنی چاہیے۔ لیکن اگر ہم اسے آسان بنانے کی کوشش کرتے ہیں تو ایک مسئلہ پیدا ہوتا ہے کیونکہ پاس ورڈ کو ری سیٹ کرنا جتنا آسان ہوتا ہے اتنا ہی کم محفوظ ہوتا ہے۔
اسپرنٹ کی صارف کی توثیق سروس کا استعمال کرتے ہوئے آن لائن رجسٹریشن میں سب سے زیادہ ہائی پروفائل کیسز میں سے ایک شامل ہے۔ وائٹ ہیٹ ٹیم کے دو ارکان نے آن لائن رجسٹریشن کے لیے سپرنٹ کا استعمال کیا۔ آپ کے سیل فون نمبر جیسی آسان چیز سے شروع کرتے ہوئے یہ ثابت کرنے کے لیے کہ آپ ہی ہیں چند چیزیں ہیں جن کی آپ کو تصدیق کرنی چاہیے۔ آپ کو اپنے بینک اکاؤنٹ کا نظم کرنے، خدمات کی ادائیگی وغیرہ کے لیے آن لائن رجسٹریشن کی ضرورت ہے۔ فون خریدنا بہت آسان ہے اگر آپ اسے کسی اور کے اکاؤنٹ سے کر سکتے ہیں اور پھر خریداریاں کر سکتے ہیں اور بہت کچھ کر سکتے ہیں۔ اسکام کے اختیارات میں سے ایک یہ ہے کہ ادائیگی کا پتہ تبدیل کریں، آپ کے پتے پر موبائل فونز کے پورے گروپ کی ڈیلیوری کا آرڈر دیں، اور شکار کو ان کی ادائیگی کے لیے مجبور کیا جائے گا۔ پیچھا کرنے والے پاگل بھی اس موقع کا خواب دیکھتے ہیں: اپنے متاثرین کے فونز میں GPS ٹریکنگ کی فعالیت شامل کرنا اور کسی بھی کمپیوٹر سے ان کی ہر حرکت کو ٹریک کرنا۔
لہذا، Sprint آپ کی شناخت کی تصدیق کے لیے کچھ آسان ترین سوالات پیش کرتا ہے۔ جیسا کہ ہم جانتے ہیں، سیکورٹی کو یا تو بہت وسیع رینج کے ذریعے، یا انتہائی خصوصی مسائل کے ذریعے یقینی بنایا جا سکتا ہے۔ میں آپ کو سپرنٹ رجسٹریشن کے عمل کا حصہ پڑھوں گا کیونکہ اینٹروپی بہت کم ہے۔ مثال کے طور پر، ایک سوال ہے: "مندرجہ ذیل پتے پر رجسٹرڈ کار برانڈ منتخب کریں،" اور برانڈ کے اختیارات ہیں Lotus, Honda, Lamborghini, Fiat، اور "اوپر میں سے کوئی نہیں۔" مجھے بتائیں، آپ لوگوں میں سے کس کے پاس مندرجہ بالا میں سے کوئی ہے؟ جیسا کہ آپ دیکھ سکتے ہیں، یہ مشکل پہیلی کالج کے طالب علم کے لیے سستے فون حاصل کرنے کا ایک بہترین موقع ہے۔
دوسرا سوال: "مندرجہ ذیل میں سے کون لوگ آپ کے ساتھ رہتے ہیں یا نیچے دیئے گئے پتے پر رہتے ہیں"؟ اس سوال کا جواب دینا بہت آسان ہے، چاہے آپ اس شخص کو بالکل نہیں جانتے ہوں۔ جیری سٹیفلین - اس آخری نام میں تین "ays" ہیں، ہم اسے ایک سیکنڈ میں حاصل کر لیں گے - رالف ارجن، جیروم پونکی اور جان پیس۔ اس فہرست کے بارے میں دلچسپ بات یہ ہے کہ دیے گئے نام بالکل بے ترتیب ہیں، اور وہ سب ایک ہی پیٹرن کے تابع ہیں۔ اگر آپ اس کا حساب لگائیں تو آپ کو اصلی نام کی شناخت میں کوئی دقت نہیں ہوگی، کیونکہ یہ کسی خاص چیز میں تصادفی طور پر منتخب کردہ ناموں سے مختلف ہے، اس صورت میں تین حروف "i" ہیں۔ اس طرح، Stayfliin واضح طور پر ایک بے ترتیب نام نہیں ہے، اور یہ اندازہ لگانا آسان ہے، یہ شخص آپ کا ہدف ہے۔ یہ بہت، بہت آسان ہے۔
تیسرا سوال: "ان میں سے کن شہروں میں آپ کبھی نہیں رہے اور نہ ہی اس شہر کو اپنے پتے میں استعمال کیا؟" - لانگمونٹ، نارتھ ہالی ووڈ، جینوا یا بٹ؟ ہمارے پاس واشنگٹن ڈی سی کے آس پاس تین گنجان آباد علاقے ہیں، لہذا واضح جواب شمالی ہالی ووڈ ہے۔
اسپرنٹ آن لائن رجسٹریشن کے ساتھ آپ کو کچھ چیزوں کے بارے میں محتاط رہنے کی ضرورت ہے۔ جیسا کہ میں نے پہلے کہا، اگر کوئی حملہ آور آپ کی ادائیگی کی معلومات میں خریداریوں کے لیے شپنگ ایڈریس کو تبدیل کرنے میں کامیاب ہو جاتا ہے تو آپ کو شدید نقصان پہنچ سکتا ہے۔ واقعی خوفناک بات یہ ہے کہ ہمارے پاس موبائل لوکیٹر سروس ہے۔
اس کی مدد سے، آپ اپنے ملازمین کی نقل و حرکت پر نظر رکھ سکتے ہیں، کیونکہ لوگ موبائل فون اور GPS استعمال کرتے ہیں، اور آپ نقشے پر دیکھ سکتے ہیں کہ وہ کہاں ہیں۔ تو اس عمل میں ہونے والی کچھ دوسری خوبصورت دلچسپ چیزیں ہیں۔
جیسا کہ آپ جانتے ہیں، پاس ورڈ کو دوبارہ ترتیب دیتے وقت، ای میل ایڈریس کو صارف کی توثیق اور حفاظتی سوالات کے دوسرے طریقوں پر فوقیت حاصل ہوتی ہے۔ اگلی سلائیڈ بہت سی خدمات دکھاتی ہے جو آپ کے ای میل ایڈریس کی نشاندہی کرنے کی پیشکش کرتی ہیں اگر صارف کو اپنے اکاؤنٹ میں لاگ ان کرنے میں دشواری ہوتی ہے۔
ہم جانتے ہیں کہ زیادہ تر لوگ ای میل استعمال کرتے ہیں اور ان کے پاس ای میل اکاؤنٹ ہے۔ اچانک لوگوں نے اس سے پیسہ کمانے کا راستہ تلاش کرنا چاہا۔ آپ ہمیشہ شکار کا ای میل پتہ تلاش کریں گے، اسے فارم میں درج کریں گے، اور آپ کو اس اکاؤنٹ کا پاس ورڈ دوبارہ ترتیب دینے کا موقع ملے گا جس میں آپ ہیرا پھیری کرنا چاہتے ہیں۔ اس کے بعد آپ اسے اپنے نیٹ ورک پر استعمال کرتے ہیں، اور وہ میل باکس آپ کی گولڈن والٹ بن جاتا ہے، وہ اہم جگہ جہاں سے آپ متاثرہ کے تمام اکاؤنٹس چرا سکتے ہیں۔ آپ کو صرف ایک میل باکس کے قبضے میں لے کر متاثرہ کی پوری رکنیت مل جائے گی۔ مسکرانا بند کرو، یہ سنجیدہ ہے!
اگلی سلائیڈ دکھاتی ہے کہ کتنے ملین لوگ متعلقہ ای میل سروسز استعمال کرتے ہیں۔ لوگ فعال طور پر Gmail، Yahoo Mail، Hotmail، AOL Mail کا استعمال کرتے ہیں، لیکن آپ کو ان کے اکاؤنٹس پر قبضہ کرنے کے لیے سپر ہیکر بننے کی ضرورت نہیں ہے، آپ آؤٹ سورسنگ کے ذریعے اپنے ہاتھ صاف رکھ سکتے ہیں۔ آپ ہمیشہ کہہ سکتے ہیں کہ اس کا اس سے کوئی لینا دینا نہیں، آپ نے ایسا کچھ نہیں کیا۔
لہذا، آن لائن سروس "پاس ورڈ ریکوری" چین میں واقع ہے، جہاں آپ "اپنا" اکاؤنٹ ہیک کرنے کے لیے انہیں ادائیگی کرتے ہیں۔ 300 یوآن کے لیے، جو تقریباً $43 ہے، آپ 85% کامیابی کی شرح کے ساتھ غیر ملکی میل باکس پاس ورڈ کو دوبارہ ترتیب دینے کی کوشش کر سکتے ہیں۔ 200 یوآن، یا $29 میں، آپ کو اپنے ہوم ای میل سروس میل باکس کا پاس ورڈ دوبارہ ترتیب دینے میں 90% کامیابی حاصل ہوگی۔ کسی بھی کمپنی کے میل باکس کو ہیک کرنے کے لیے ایک ہزار یوآن، یا $143 کی لاگت آتی ہے، لیکن کامیابی کی ضمانت نہیں ہے۔ آپ 163، 126، QQ، Yahoo، Sohu، Sina، TOM، Hotmail، MSN، وغیرہ کے لیے پاس ورڈ کریکنگ سروسز کو بھی آؤٹ سورس کر سکتے ہیں۔
کانفرنس بلیک ہیٹ USA۔ امیر بنو یا مرو: بلیک ہیٹ کے طریقے استعمال کرکے آن لائن پیسہ کمائیں۔ حصہ 2 (لنک کل دستیاب ہوگا)
کچھ اشتہارات 🙂
ہمارے ساتھ رہنے کے لیے آپ کا شکریہ۔ کیا آپ کو ہمارے مضامین پسند ہیں؟ مزید دلچسپ مواد دیکھنا چاہتے ہیں؟ آرڈر دے کر یا دوستوں کو مشورہ دے کر ہمارا ساتھ دیں، , انٹری لیول سرورز کے انوکھے اینالاگ پر Habr کے صارفین کے لیے 30% رعایت، جو ہم نے آپ کے لیے ایجاد کیا تھا: (RAID1 اور RAID10 کے ساتھ دستیاب، 24 کور تک اور 40GB DDR4 تک)۔
ڈیل R730xd 2 گنا سستا؟ صرف یہاں نیدرلینڈ میں! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99 سے! کے بارے میں پڑھا
ماخذ: www.habr.com