ویڈیو: دس ÙÙ†ÛŒ لمØات جس ميں لوگوں Ú©ÛŒ کيسے دوڑيں لگتی ÛÙŠÚº ™,999 ÙÙ†ÛŒ (اکتوبر 2024)
بوٹ نیٹ بنانے کے ل you ، آپ کو ہزاروں کمپیوٹرز پر قابو پانے اور اپنی مرضی کے مطابق موڑنے کے ل some کچھ طریقہ تلاش کرنا ہوگا۔ یہ ایک مشکل کام ہے نا؟ ٹھیک ہے ، نہیں۔ لاس ویگاس میں بلیک ہیٹ میں ایک پریزنٹیشن میں ، وائٹ ہیٹ سیکیورٹی کے بانی اور سی ٹی او ، جیریمی گروسمین اور وائٹ ہیٹ کے دھمکی ریسرچ سنٹر کے منیجر میٹ جوہنسن نے ایک غیر معمولی آسان طریقہ سے انکشاف کیا کہ کوئی بھی ہزاروں یا لاکھوں براؤزرز پر قابو پا سکتا ہے۔
گراسمین نے جوش و خروش کے ساتھ کہا ، "ہم چھ ماہ سے اس پر کام کر رہے ہیں ، اور ہم پیش کرنے کے لئے بے چین ہیں۔ یہ تیزی سے چل جائے گا ، اور ہم تفریح کریں گے۔ ہم براؤزر کو توڑیں گے اور ویب سائٹوں کو توڑنے کے ل them ان کا استعمال کریں گے۔ "
ویب کی طاقت
گراسمین نے مزید کہا ، "جب تک آپ جڑے ہوئے ہیں ویب پر آپ کے براؤزر پر مکمل قابو ہے۔ ہم اپنے ڈیمو میں ہر کام کرتے ہیں ، ہم کچھ ہیک نہیں کرتے ہیں۔ ہم اس ویب کو اس طریقے سے استعمال کررہے ہیں جس کا مقصد یہ تھا استعمال کیا جائے۔ " جوہینسن نے مزید کہا ، "میری معذرت ، ہمارے پاس کوئی حل نہیں ہے۔"
پریزنٹیشن میں جاوا اسکرپٹ کی ایک لائن یا دو ، یا یہاں تک کہ ایک سادہ (لیکن موافقت پذیر) HTML درخواست کا استعمال کرکے ایک ویب سائٹ آپ کے براؤزر کو آسانی سے متاثر کرسکتی ہے۔ گراسمین نے کہا ، "ہم براؤزر کو صفر ڈے کے حملوں کے بغیر کنٹرول کرتے ہیں ، اور ہمارے پاس مکمل کنٹرول ہے۔"
اس میں شامل ایک آسان سلائیڈ کی مثال دیتے ہوئے انہوں نے کہا ، "ہم آپ کے براؤزر کو کسی اور ویب سائٹ کو ہیک کرنے ، ٹورینٹس سے غیر قانونی فائلیں ڈاؤن لوڈ کرنے ، شرمناک تلاش کرنے ، جارحانہ پیغامات بھیجنے ، یہاں تک کہ ایڈ سنوڈن کو سال کے وقت کے فرد کی حیثیت سے ووٹ دینے پر مجبور کرسکتے ہیں۔ "
ملین براؤزر بوٹ نیٹ
یہ سب محض اس تحقیق کا تعارف تھا جو پیش کیا جارہا تھا۔ جوہنسن اور گراسمین نے سروس اٹیک سے انکار کرنے کا ایک بہت ہی آسان انکار کیا اور اپنے سرور پر اس کا تجربہ کیا۔ حتی کہ انہوں نے بلیک ہیٹ کے دوران بھی حقیقی وقت میں اس کا مظاہرہ کیا۔ اس خاص حملے نے کنیکشن درخواستوں کے ساتھ سرور کو اوورلوڈ کرنے کے علاوہ کچھ نہیں کیا ، لیکن استعمال شدہ تکنیک اور بھی بہت کچھ کرسکتی ہے۔ اور انہوں نے حملہ پر مشتمل ایک اشتہار لگانے کے لئے کچھ ڈالر خرچ کرنے تھے۔
"کچھ اشتہاری نیٹ ورک اشتہار میں صوابدیدی جاوا اسکرپٹ کی اجازت دیتے ہیں ،" گروسمین نے کہا ، "اور کچھ ایسا نہیں کرتے ہیں۔" ٹیم کو اپنا حملہ جاوا اسکرپٹ ترتیب دینے میں کوئی تکلیف نہیں ہوئی۔ جوہینسن نے کہا ، "اشتہاری نیٹ ورک کے جائزہ لینے والے جاوا اسکرپٹ کو پڑھنے یا اس کی دیکھ بھال کرنے میں اچھے نہیں تھے۔ "اصل مسئلہ ایک اشتہار کی شبیہہ بنانا تھا جو خوبصورت لگتا تھا اور کسی اشتہار کی طرح لگتا تھا۔"
پہلے تو ٹیم نے جاوا اسکرپٹ کوڈ کو تبدیل کرتے وقت ہر بار اشتہاری نیٹ ورک سے دوبارہ منظوری حاصل کرنے کی ضرورت کو کم کیا۔ انہوں نے کوڈ کو اپنے میزبان میں منتقل کرکے اور اسے اشتہار کے کوڈ سے محض فون کرکے حل کیا۔ اس قدم نے اشتہار نیٹ ورک کو یہ دیکھنے سے مکمل طور پر قاصر کردیا کہ کوڈ کیا کرسکتا ہے۔ انہیں کوئی پرواہ نہیں ہوتی تھی۔
جیسے ہی انہوں نے حملہ کوڈ کو فعال کیا ، اس نے تمام براؤزرز پر عملدرآمد شروع کردیا۔ جب بھی کوئی بھی اشتہار پر مشتمل کسی صفحے پر سرفنگ کرتا ہے ، تو اس نے شکار سرور سے رابطہ قائم کرنا شروع کردیا۔ سرور بوجھ کو برداشت نہیں کرسکتا ہے۔ یہ ناکام ہو گیا۔
تمام براؤزر بیک وقت رابطوں کی تعداد پر ایک حد نافذ کرتے ہیں۔ جوہنسن اور گراس مین نے فائر فاکس کی حد کو چھ سے بڑھا کر سینکڑوں تک پہنچانے کا ایک راستہ تلاش کیا۔ اس سے معلوم ہوا کہ ان کا آسان حملہ اس طاقت کے بغیر بھی مکمل طور پر موثر تھا ، لہذا انہوں نے اسے استعمال نہیں کیا۔
کس کا مسئلہ ٹھیک کرنا ہے؟
"یہ حملہ مستقل نہیں ہے ،" گراسمین نے کہا۔ "اس کا کوئی سراغ نہیں ہے۔ یہ اپنا اشتہار ڈسپلے کرتا ہے اور چلا جاتا ہے۔ کوڈ پاگل نہیں ہے ، یہ صرف ویب کو جس طرح سے کام کرنے والا ہے اس کو استعمال کررہا ہے۔ لہذا یہ کس کی پریشانی ہے؟"
اسی تکنیک کا استعمال جاوا اسکرپٹ کے ذریعہ تقسیم شدہ حساب کتاب کو چلانے کے لئے کیا جاسکتا ہے ، مثال کے طور پر ، کریک پاس ورڈ اور ہیش کو بری طرح لگانے کے لئے۔ گروسمین نے کہا ، "ہم اگلی بلیک ہیٹ کے ل has ہیش کریکنگ کی کوشش کریں گے۔ "ہر 50 سینٹ مالیت کے معاوضے والے صفحہ کے نظارے کے ل you آپ کتنا کریک کر سکتے ہیں؟"
اس پریزنٹیشن نے شرکاء کو اس پریشان کن سوچ کے ساتھ چھوڑ دیا کہ بیان کردہ حملہ ویب کو بالکل اسی طرح استعمال کرتا ہے جس کا استعمال کرنا ہے اور ہم واقعتا نہیں جانتے کہ اس کی ذمہ داری کس کی ہوگی۔ گراسمین نے ماضی میں کہا ہے کہ ہمیں ویب کو ٹھیک کرنے کے ل break اسے توڑنا ہوگا۔ کیا وہ ٹھیک ہوسکتا ہے؟ کیا ہم پورے انٹرنیٹ کے ایک بوٹ کو بھی بچ سکتے ہیں؟
بلیک ہیٹ 2013 کی مزید خبروں کے لئے سیکیورٹی واچ کو فالو کریں۔
