بلیک ہیٹ 2014 سے 10 خوفناک ہیک حملے

اس سال بلیک ہیٹ بریفنگ کے دو شدید دن تھے ، کیونکہ سیکیورٹی محققین نے یہ ظاہر کیا کہ کاروں ، ترموسٹیٹ ، سیٹلائٹ مواصلات اور ہوٹلوں میں ہیک کرنا کتنا آسان تھا۔ ایک ہی وقت میں ، حفاظت کو بہتر بنانے کے طریقوں پر کافی گفتگو ہوئی۔ ڈین گیئر کی کلیدی تقریر کی دس پالیسی تجاویز میں معلومات کے تحفظ کے بارے میں ہمارے نقطہ نظر کو بہتر بنا کر دنیا کو ایک بہتر مقام بنانے پر توجہ دی گئی ہے۔ اس نے جن پریشانیوں کا ازالہ کیا ان میں موجودہ خطرے سے دوچار ہتھیاروں کی دوڑ ، متروک سافٹ ویئر اور معلومات کو سیکیورٹی کو پیشے کے طور پر سمجھنے کی ضرورت بھی شامل ہے۔ ہم سب اپنے حقائق ، آئیڈیاز ، اور سب سے بڑھ کر - خدشات کے ساتھ اپنے سروں کو تیرتے ہوئے چل پڑے۔ بہت سارے خدشات۔

بلیک ہیٹ میں جن چیزوں پر آپ ہمیشہ اعتماد کرسکتے ہیں ان میں سے ایک ایسی چیزوں میں کمزوریوں کے بارے میں سن رہا ہے جو آپ نے سوچا بھی نہیں تھا کہ حملہ آسکتا ہے۔ یہ جان کر یہ یقین دہانی کرائی جا رہی ہے کہ یہ مظاہرے بنیادی طور پر علمی ہیں ، اور یہ کہ جنگل میں فی الحال ان امور کا استحصال نہیں کیا جارہا ہے۔ لیکن ، ایک ہی بات کے ذریعہ ، یہ جاننا خوفناک ہے کہ اگر بلیک ہیٹ پیش کرنے والوں کو خامیاں مل گئیں تو ، کون کہیں اور کہیں گے جو کہیں زیادہ بدنیتی پر مبنی ارادوں (اور ممکنہ طور پر بہتر فنڈنگ) کے ساتھ ہے یا نہیں؟

اس پر غور کریں: ہم نے تین سال قبل بلیک ہیٹ میں اے ٹی ایم ہیک کرنے کے بارے میں سنا تھا ، اور مجرموں نے آخر کار اس سال ہی یورپ میں اے ٹی ایم کو لوٹنا شروع کردیا ہے۔ اس سال کم از کم تین سیشن ہوئے اس بارے میں کہ چپ اور پن کارڈوں کے پوائنٹ آف سیل ٹرمینلز کو ہیک کیسے کیا جاسکتا ہے۔ اگر ہم تین سالوں میں اپنے ادائیگی کے انفراسٹرکچر کو نہیں سنتے اور ان کو محفوظ رکھتے ہیں تو کیا ہم چپ اور پن کارڈوں کے ذریعہ ہدف جیسے تناسب کی ایک اور خلاف ورزی دیکھیں گے؟ یہ واقعی ایک خوفناک سوچ ہے۔

بلیک ہیٹ 2014 ختم ہوسکتا ہے ، لیکن ہم حیران کن چیزوں کے بارے میں بات کرتے رہیں گے جو ہم نے کچھ عرصہ سے وہاں دیکھا تھا۔ امید ہے کہ ایسا ہی ہوگا جتنے اسباق سیکھیں گے جس کی وجہ سے حل پر عمل درآمد ہوا ، اور نہ ہی ایسے مواقع کی حیثیت سے ، جن سے خوفناک جرائم ہوئے۔

سیکیورٹی واچ نے ان چیزوں پر نگاہ رکھی ہے جو ہم نے بلیک ہیٹ میں دیکھی تھی جو ہمیں رات کو برقرار رکھے گی۔

1 1. انٹرنیٹ کی ناکامی

اپنے کمپیوٹر یا اپنے فون کا دفاع کرنا بہت آسان ہے۔ صرف کچھ عام فہم نکات پر عمل کریں اور سیکیورٹی سافٹ ویئر انسٹال کریں اور آپ اچھ .ا ہو۔ لیکن چیزوں کے انٹرنیٹ کے بارے میں کیا خیال ہے؟ سیشن کے بعد سیشن میں ، محققین نے دکھایا کہ انٹرنیٹ سے جڑے ہوئے نازک آلات آسانی سے قابل رسائی تھے۔ گھوںسلا سمارٹ ترموسٹیٹ ہیک کرنے والی ٹیم کو ان کا حملہ 15 سیکنڈ تک ہو گیا ، اور اب وہ فضائی حد سے زیادہ حملے پر سخت محنت کر رہے ہیں۔ بلی ریوس کو ملک بھر میں ٹی ایس اے چوکیوں پر استعمال کے لئے لازمی اسکیننگ مشینوں میں سخت کوڈ والے ڈیفالٹ پاس ورڈ ملے۔ ہم ابھی بھی 15 سیکنڈ کی ہیک سے حیران ہیں۔

• 2 2. ہیکنگ ہوائی جہاز ، جہاز ، اور بہت کچھ!

  گھر کے دروازوں کے موضوع پر ، وہ آلہ جو جہاز ، ہوائی جہاز ، صحافی اور (شاید) فوج رابطے پر انحصار کرتے ہیں اتنے محفوظ نہیں ہیں جتنا ہم نے سوچا تھا۔ IOActive کے روبن سانمارٹا نے یہ ظاہر کیا ہے کہ ان میں سے بہت سارے نظام کے پچھلے دروازے ہیں ، ظاہر ہے بحالی یا پاس ورڈ کی بازیابی کے لئے۔ اگرچہ پچھلے دروازوں میں سے کچھ محفوظ سمجھے جاتے تھے ، لیکن وہ حفاظت سے بچنے کے قابل تھا۔ یہ حملہ گھر کے قریب ترین تھا ، حیرت کی بات نہیں ، سانتا مارٹا کا یہ دعوی تھا کہ وہ انفلائٹ وائی فائی کے ذریعے ہوائی جہاز کو ہیک کرسکتا ہے۔ وہ واضح تھا کہ اس کی وجہ سے وہ "ہوائی جہاز کو تباہ نہیں ہونے دے گا" ، لیکن اس نے یہ بھی نشاندہی کی کہ اسی نظام کے ذریعہ تنقیدی مواصلات چلتے ہیں۔ اپنی گفتگو میں ، اس نے ایس او ایس کی بجائے ویڈیو سلاٹ مشین ظاہر کرنے کے لئے ایک سمندری تکلیف کا بیکن ہیک کیا۔ اپنے جمبو جیٹ پر اسی طرح کے ہیک پر غور کریں ، اور آپ کو اندازہ ہوگا کہ یہ کتنا تشویشناک ہوسکتا ہے۔



3 3. گوگل گلاس ، اسمارٹ واچز ، اسمارٹ فونز ، اور کیمکورڈرز کے ساتھ پاس ورڈ چوری کرنا

پاس ورڈ چرانے کے بہت سارے طریقے ہیں ، لیکن ایک ناول کے ذریعہ برے لوگوں (یا کسی سرکاری ایجنسی) کو آپ کی سکرین دیکھے بغیر یا میلویئر انسٹال کیے بغیر آپ کی اسٹروکس کا پتہ لگانے دیتا ہے۔ بلیک ہیٹ میں موجود ایک پیش کنندہ نے اپنا نیا نظام دکھایا جو 90 فیصد درستگی کے ساتھ خود بخود پاس ورڈ پڑھتا ہے۔ یہ اس وقت بھی کام کرتا ہے جب نشانہ سڑک کی سطح پر ہو اور حملہ آور چار سڑک پر اور پوری سڑک پر ہو۔ یہ طریقہ ڈیجیٹل کیمکورڈرز کے ساتھ بہترین کام کرتا ہے ، لیکن ٹیم نے پایا کہ اسمارٹ فونز ، اسمارٹ واچز اور یہاں تک کہ گوگل گلاس کو قلیل رینج پر قابل استعمال ویڈیو پر گرفت کرنے کے لئے استعمال کیا جاسکتا ہے۔ شیشے ، واقعی!


فلکر صارف ٹیڈ ایٹان کے توسط سے تصویر



4 4. ماسٹرکی کو فراموش کریں ، جعلی شناخت سے ملیں

پچھلے سال جیف فورسٹل نے اس وقت سر موڑ لیا تھا جب اس نے نام نہاد ماسٹرکی کے خطرے کو منظرعام پر لایا تھا جس کی وجہ سے وہ بدنیتی پر مبنی ایپس کو جائز افراد کی حیثیت سے اپنے آپ سے دور کرسکتا تھا۔ اس سال ، وہ جعلی شناخت لے کر آیا ، جو اینڈرائڈ کے سیکیورٹی فن تعمیر میں بنیادی خامیوں کا فائدہ اٹھاتا ہے۔ خاص طور پر ، اطلاقات کس طرح سندوں پر دستخط کرتے ہیں اور Android ان سندوں پر کس طرح عملدرآمد کرتا ہے۔ عملی نتیجہ یہ ہے کہ ایک بدنیتی پر مبنی ایپ کے ساتھ جس کو خصوصی اجازت کی ضرورت نہیں ہے ، فورسٹل فون پر پانچ جائز ایپس میں بدنیتی کوڈ انجیکشن کرنے کے قابل تھا۔ وہاں سے ، اسے متاثرہ فون کے بارے میں گہری رسائی اور بصیرت حاصل تھی۔


فلکر صارف جے ڈی ہانکوک کے توسط سے تصویر



5 5. ایک شیطان USB آپ کے کمپیوٹر پر قبضہ کرسکتا ہے

آپ نے سنا ہے کہ اگر آپ آٹو پلے کو غیر فعال کرنے میں ناکام ہوگئے تو USB ڈرائیو خطرناک ثابت ہوسکتی ہے۔ جدید ترین یو ایس بی پر مبنی خطرہ بہت زیادہ خراب ہے۔ USB ڈرائیو فرم ویئر کو ہیک کرکے ، محققین کی ایک جوڑی نے ونڈوز اور لینکس مشینوں پر مختلف قسم کے ہیکس کا انتظام کیا ، جس میں بوٹ سیکٹر وائرس کے برابر بھی شامل ہے۔ ان کی چال چلانے والی USB ڈرائیو نے ایک USB کی بورڈ کا تقلید کیا اور ایک ٹیسٹ سسٹم کو مالویئر ڈاؤن لوڈ کرنے کا حکم دیا۔ اس نے ایک اور امتحان میں جعلی ایتھرنیٹ ہب کی پیش کش کی ، لہذا جب متاثرہ شخص نے براؤزر میں پے پال کا دورہ کیا تو وہ دراصل پاس ورڈ چوری کرنے والی پے پال نقلی سائٹ پر گیا تھا۔ یہ محض نظریاتی مشق نہیں تھی۔ انہوں نے ان اور دیگر ہیکوں کو اسٹیج کا مظاہرہ کیا۔ ہم پھر کبھی بھی اسی طرح کسی USB آلہ کو نہیں دیکھیں گے!


فلکر صارف ونڈیل اوسکے کے ذریعے تصویری



6 6. کیا اس میں ریڈیو ہے؟ چلو اسے ہیک کریں!

انٹرنیٹ دور میں ریڈیو نوادرات کی ٹیکنالوجی کی طرح لگتا ہے ، لیکن یہ اب بھی بیبی مانیٹر ، ہوم سیکیورٹی سسٹم ، اور ریموٹ کار اسٹارٹرز جیسے آلات کو وائرلیس سے معلومات منتقل کرنے کا بہترین طریقہ ہے۔ اور اس سے یہ ہیکرز کا اولین ہدف ہے۔ ایک گفتگو میں ، سلویو سیزر نے یہ ظاہر کیا کہ اس نے کس طرح سافٹ ویئر کی وضاحت والے ریڈیو اور تھوڑا سا شوق کے جوش کو استعمال کرتے ہوئے ان میں سے ہر ایک کو شکست دی۔ سافٹ ویئر کی وضاحت والے ریڈیو پر ان کی واحد گفتگو نہیں تھی۔ بلینٹ سیبر نے ایک ہجوم کو بتایا کہ وہ کیسے ہوا ٹریفک کے ریڈار ڈشوں پر سننے اور زمینی سطح کے قریب اشیاء کو ٹریک کرنے میں کامیاب ہے۔ بہت زیادہ خوفناک نہیں ، لیکن بہت ، بہت ٹھنڈا۔


فلکر صارف مارٹن فش کے توسط سے تصویر



7 7. ہم سرکاری مالویئر کو نہیں روک سکتے

آپ نے حکومت کے زیرانتظام اسٹکس نیٹ کیڑا کے بارے میں سنا ہے جس نے ایران کے جوہری پروگرام کو سبوتاژ کیا ، چینی جرنیلوں نے ہیکنگ کے الزام میں ہماری حکومت کیخلاف اور بھی بہت کچھ۔ ایف سیکور کے چیف ریسرچ آفیسر میککو ہپپون نے متنبہ کیا کہ حکومت کے زیر اہتمام مالویئر آپ کے احساس سے کہیں زیادہ عرصہ گزر چکا ہے اور وقت کے ساتھ ساتھ اس میں اضافہ ہوگا۔ ان کے پیچھے کسی قومی ریاست کے وسائل کی مدد سے ، ان حملوں کو روکنا تقریبا ناممکن ہوسکتا ہے۔ کہیں ایسا نہ ہو کہ آپ کو لگتا ہے کہ ہماری اپنی حکومت اتنی کم حرکت نہیں کرے گی ، وہ فوجی ٹھیکیداروں کے ذریعہ ملازمت کی پوسٹنگ کے ایک مجموعے میں خاص طور پر میلویئر کی تلاش میں اور مصنفین کا استحصال کرتے ہوئے پلٹ گیا۔


فلکیکر صارف کیون برکٹ کے توسط سے تصویر



8 8. ایک سوائپ ہیکس کریڈٹ کارڈ ریڈر

2013 اور 2014 کی خوردہ خلاف ورزیوں کے بعد ، سبھی چپ اور پن کارڈوں کے موجودہ رول آؤٹ کے بارے میں بات کر رہے ہیں۔ اس سے پتہ چلتا ہے کہ جب تک ہم ادائیگی کے پروسیسنگ کے عمل کو تبدیل نہیں کرتے ہیں ، ہم صرف ایک دوسرے کے لئے ایک سیٹ کا کاروبار کر رہے ہیں۔ ہم نے یہ بھی دیکھا کہ چپ اور پن کارڈز کو سنبھالنے والے موبائل پوائنٹ آف سیل ڈیوائسز کو بدنیتی سے تیار کردہ کارڈوں کا استعمال کرکے سمجھوتہ کیا جاسکتا ہے۔ حملہ آور صرف کارڈ کو قاری میں سوائپ کرسکتے ہیں اور ٹروجن کو لوڈ کرسکتے ہیں جو پنوں کو خود قارئین پر کاٹتے ہیں۔ پھر دوسرا دج کارڈ اس فائل کی کاپی کرتا ہے جس میں کٹوتی کی معلومات موجود ہوتی ہے۔ دوسرا کارڈ یہاں تک کہ ٹروجن کو حذف کرسکتا ہے ، اور خوردہ فروش کبھی بھی اس خلاف ورزی کے بارے میں نہیں جان سکتے ہیں۔ یہ تقریبا almost ہمیں نقد رقم پر مبنی معاشرے میں واپس جانا چاہتے ہیں۔


فلکر صارف شان میکینٹی کے توسط سے تصویری



9 9. آپ کا نیٹ ورک ڈرائیو آپ کی جاسوسی کر رہا ہے

ہم نے حال ہی میں ہوم روٹرز پر اور اس میں حملہ آوروں سے سمجھوتہ کرنے پر بہت زیادہ توجہ مرکوز کی ہے۔ آزاد سیکیورٹی تشخیص کاروں سے جیکب ہولکومب کے مطابق ، نیٹ ورک سے وابستہ اسٹوریج ڈیوائسز اتنا ہی مشکل ہیں جتنا زیادہ نہیں۔ اس نے 10 مینوفیکچررز - اسوسٹر ، ٹرینڈ نیٹ ، کیو این اے پی ، سی گیٹ ، نیٹ گیئر ، ڈی لنک ، لینووو ، بفیلو ، ویسٹرن ڈیجیٹل ، اور زیکسیل N کے این اے ایس آلات کی طرف دیکھا اور ان سب میں خطرات پائے۔ معاملات عام خامی ہیں ، جیسے کمانڈ انجکشن ، کراس سائٹ ریکوئٹی جعل سازی ، بفر اوور فلوز ، توثیق بائی پاس اور ناکامیاں ، معلومات کا انکشاف ، بیک ڈور اکاؤنٹس ، ناقص سیشن مینجمنٹ اور ڈائرکٹری ٹراورسال۔ ان میں سے کچھ امور کو یکجا کرکے ، حملہ آور آلات پر مکمل کنٹرول حاصل کرسکتے ہیں۔ آپ کے این اے ایس میں کیا ہے؟


فلکر صارف کے ذریعے حیرت انگیز تصویر



10۔ طبی آلات پر حملے: زندگی اور موت کا ایک معاملہ

انفارمیشن سیکیورٹی انڈسٹری میں کسی نے بھی اس خبر پر قہقہہ نہیں لگایا کہ سابق نائب صدر ڈک چینی کے ڈاکٹر ان کے پیسمیکر کے ہیک ہونے سے پریشان ہیں۔ بلیک ہیٹ میں میڈیکل آلات نے گول کیا ہے کہ سیکیورٹی کے ساتھ مریضوں کی صحت میں توازن کیسے قائم کیا جاسکتا ہے۔ آخری بات جو ہم چاہتے ہیں وہ سیکیورٹی ہے جو صحت کی دیکھ بھال کو سست کردیتی ہے ، جہاں سیکنڈز کا مطلب زندگی اور موت کے درمیان فرق ہوسکتا ہے ، مشہور ماڈریٹر جے ریڈکلف نے بتایا۔ اس سادگی سے احساس ہوا کہ ہم صرف طبی آلات کے ل normal حفاظت کے معمول کے بہترین طریقوں کو استعمال نہیں کرسکتے ہیں جس سے ہم ڈی ای ایف کان کو پہنچ گئے ، جہاں سیکیمیڈک کے محققین نے ایک ایسے منصوبے پر تبادلہ خیال کیا جس میں ہر قسم کے آلات میں خطرات کی جانچ پڑتال کی گئی ہے ، بشمول ڈیفبریلیٹرز ۔ خوفناک حصہ؟ اوپن سورس ٹولز کا استعمال کرتے ہوئے ان میں سے بہت ساری خامیاں ایک گھنٹہ میں پائی گئیں۔ اب آپ واقعتا a کسی اسپتال نہیں جانا چاہتے ہیں ، ٹھیک ہے؟


فلکر صارف فالن ان کے ذریعے