ویڈیو: دس ÙÙ†ÛŒ لمØات جس ميں لوگوں Ú©ÛŒ کيسے دوڑيں لگتی ÛÙŠÚº ™,999 ÙÙ†ÛŒ (اکتوبر 2024)
اس ماہ کے شروع میں کم ڈاٹ کام نے میگا نامی ایک خفیہ فائل اسٹوریج سسٹم کا آغاز کیا۔ قانونی معاملات کو اجاگر کرتے ہوئے جنہوں نے ان کی سابقہ کمپنی ، میگاپلوڈ کو بند کردیا ، ڈاٹ کام نے نئی سروس کو نجی ، خفیہ شدہ اور انتہائی محفوظ سمجھا۔ تاہم ، یہ واضح ہے کہ میگا کے کچھ معقول غیرمعمولی خیالات تھے جن کے معنی ہیں۔
خفیہ کاری کی صورتحال
میگا سستے پر محفوظ رابطوں کی فراہمی کے لئے ایک ہوشیار اسکیم کا استعمال کرتی ہے۔ صارفین مرکزی سرورز کے ذریعہ میگا سے رابطہ قائم کرتے ہیں جو 2048 بٹ RSA چابیاں استعمال کرتے ہیں۔ وہ سرور 1024 بٹ RSA کیز کا استعمال کرتے ہوئے "سستا" سرورز کے تقسیم کردہ نیٹ ورک سے جڑے ہوئے ہیں۔ سوفوس نیکڈ سیکیورٹی بلاگ کے مطابق ، "اس کا مطلب یہ ہے کہ آپ کو نیٹ ورک کے نچلے سیکیورٹی حصے سے غیر مجاز اسکرپٹس کی خدمت کے ل 20 2048 بٹ سے محفوظ سرورز اور 1024 بٹ سے محفوظ سرورز سے سمجھوتہ کرنا پڑے گا۔
"دیکھو! اپنا حفاظتی کیک رکھنے کا صاف ستھرا طریقہ لیکن اس کی فراہمی کے لئے کم ادائیگی کرو۔"
یہ اسکیم ہوشیار ہے ، لیکن کچھ نقادوں کے ساتھ اس کو جمع نہیں کیا S جسے صوفوس نے تفصیل سے دستاویزی کیا۔ معاملہ اس وقت اور خراب ہوا جب 1024 بٹ سرورز سے ڈیٹا منتقل کرنے کے لئے استعمال ہونے والے جاوا اسکرپٹ پر فیل0 فلو نے دیکھا۔ انہوں نے دریافت کیا کہ میگا نے سی بی سی - میک کی توثیق کی ملازمت کی ہے ، جس میں اسکرپٹ میں واضح طور پر نظر آنے والی ایک سخت کوڈ والی کلید ہے۔ یہ ایک مرکب تالا کو استعمال کرنے کی طرح تھا ، لیکن کوڈ کو پشت پر لکھنا تاکہ آپ اسے فراموش نہ کریں۔
جاوا کے مسئلے کی صورت میں ، میگا نے کچھ گھنٹوں میں ہی تیزی سے صورتحال کو بہتر بنایا۔ تاہم ، اس تیز ردعمل نے بھی ہر ایک کو آرام نہیں دیا۔ سوفوس کینیڈا کے سینئر سیکیورٹی ایڈوائزر چیسٹر وزنیوسکی نے سیکیورٹی واچ کو بتایا ، "اب تک جو سوال باقی رہتا ہے وہ یہ ہے کہ میگا میں عملہ / پروگرامرز کو خفیہ نگاری کو صحیح طریقے سے کیسے انجام دینا ہے اس بارے میں پہلا اشارہ ہے۔ آپ کو کرپٹو ماہرین سے اس طرح کی شوقیہ غلطیاں کرنے کی توقع نہیں ہوگی۔ "
انہوں نے جاری رکھا ، "انھوں نے اور بھی کتنی غلطیاں کی ہو سکتی ہیں۔ کیا آپ کو اپنے اعداد و شمار کی حفاظت کے لئے کسی اور پر بھروسہ کرنا چاہئے جب آپ نہیں دیکھ سکتے کہ وہ یہ کیسے کررہے ہیں؟"
دوسری طرف کاؤنٹرٹیک کے چیف محقق شان بوڈمر میگا کے خفیہ کاری کے نظام کے بارے میں اپنے جائزے میں ناکام تھے۔ "نہیں ، اس سے اعداد و شمار کی سالمیت کے لئے طویل مدتی حل کے بارے میں اچھی طرح سے سوچا نہیں گیا ہے ، لیکن گھٹنے کے جھٹکے کے طور پر حل مارکیٹ کی حکمت عملی میں جانے کا ایک حصہ ہے۔"
بوڈمر نے سیکیورٹی واچ کو بتایا ، "یہاں بہت سے قابل اعتماد نفاذات ہیں جیسے گوگل ڈرائیو ، ڈراپ باکس ، یا اسکائی ڈرائیو جو کہیں زیادہ مضبوط اسٹوریج حل پیش کرتے ہیں۔"
یہ سب کم کو محفوظ رکھنے کے بارے میں ہے
میگا کے بیچنے والے ایک مقام یہ ہے کہ یہ "آخر سے آخر میں خفیہ کاری" پیش کرتا ہے ، جہاں میگا کو بھیجنے سے پہلے ڈیٹا کو خفیہ کیا جاتا ہے ، جبکہ یہ میگا میں بیٹھا ہوتا ہے ، اور کسی صارف کے ذریعہ جب کسی مخصوص کریپٹوگرافک کلید کے ذریعہ ڈاؤن لوڈ ہوتا ہے تو صرف اس کا خاکہ ضائع ہوتا ہے۔ خیال یہ ہے کہ یہاں تک کہ اگر میگا کو ہیک کیا گیا ہے یا (زیادہ امکان) قانون نافذ کرنے والے اداروں کے ذریعہ معلومات کے حوالے کرنے پر مجبور کیا گیا ہے تو ، آپ کا ڈیٹا بیکار اور یہاں تک کہ ناقابل شناخت ہوگا۔
یہ اس لئے اہم ہے کیونکہ امریکی ڈیجیٹل ملینیم کاپی رائٹ ایکٹ کے تحت ، اگر کوئی ویب سائٹ قانون نافذ کرنے والے اداروں کے ساتھ اس کو دور کرنے میں تیزی سے تعاون کرے تو کاپی رائٹ کے مواد کی میزبانی کرنے کی سزا سے بچ سکتی ہے۔ یوروپی یونین کی الیکٹرانک کامرس کی ہدایت میں اسی طرح کے تصور کردہ محدود ذمہ داری کا انتظام ہے۔ میگا کے لئے ، انکرپشن اسکیم صارفین کو اپنی معلومات کو ایک خفیہ شکل میں اسٹور کرنے کی اجازت دیتی ہے ، لیکن جب پولیس دستک دے کر آتی ہے تو یہ ڈاٹ کام اور اس کی کمپنی کو مکمل تردید کی اجازت دیتا ہے۔
تاہم ، مبینہ طور پر میگا صارف کی معلومات کو خفیہ نہیں کرتا ہے۔ جن ماہرین کے ساتھ ہم نے بات کی ان کا کہنا تھا کہ اگرچہ یہ ضروری نہیں تھا کہ لاپرواہ یا اس سے بھی غفلت برتی گئی ہو ، لیکن زیادہ تر لوگوں نے قانون نافذ کرنے والے اداروں کے ساتھ تعاون کرنے کے سلسلے میں رابطہ قائم کیا۔
وسنویسکی نے کہا ، "یہ کوئی غیر معمولی بات نہیں ہے ، لیکن یہ تجویز کرتا ہے کہ انہوں نے جو خفیہ نگاری کے عمل کو لاگو کیا ہے اس میں خدمت کے صارف سے زیادہ میگا کی حفاظت کی جاسکتی ہے۔" "اگر نیوزی لینڈ کے قانون نافذ کرنے والے فائل کی ملکیت اور کنکشن کی معلومات کے بارے میں جاننا چاہتے ہیں تو میگا قابل ہو جائے گی اور ہم فرض کرتے ہیں کہ وہ اس معلومات کو حوالے کریں گے۔"
ایسی صورتحال میں جہاں میگا استعمال کنندہ اپنی فائلوں کو شیئر کرنے کے لئے اپنی خفیہ نگاریوں کو پیش کر رہے ہیں (جس کی وہ پہلے سے موجود ہیں) اور قانون نافذ کرنے والے اس بات کی تصدیق کرسکتے ہیں کہ واقعی اس کاپی رائٹ کے تحت ہے ، میگا کو صارف کی معلومات تک رسائی حاصل ہے۔ اس سے میگا کو یہ دونوں طرح سے جانے کی اجازت مل سکتی ہے۔ وہ اپنے سسٹم میں غیر قانونی مشمولات سے آنکھیں موند سکتے ہیں ، لیکن پھر بھی ایک "محفوظ بندرگاہ" بن سکتے ہیں۔
بوڈمر نے اس پر اتفاق کرتے ہوئے کہا ، "مستقبل میں قانونی چیلنجوں کو کم کرنے کے لئے میٹرک کو بیک کرنا ان پیشگوئی کرنا ایک منطقی نقطہ نظر کی طرح لگتا ہے ، میں بھی یہی کام کروں گا اگر میرے آخری منصوبے نے جس طرح سے کام ختم کردیا تھا۔"
CORE سیکیورٹی کے سیکیورٹی حکمت عملی ، الیکس ہوران نے اس بات کی نشاندہی کی کہ میگا قانونی دخل اندازیوں سے بچنے کے لئے اقدامات کرنے میں تنہا نہیں ہوگی۔ انہوں نے سیکیورٹی واچ کو بتایا ، "کمپنی کو قانونی چارہ جوئی سے بچانے کے لئے بہت سارے نظام وضع نہیں کیے گئے ہیں؟ میں یہ استدلال کروں گا کہ میگا ایسا کرنے کا پابند ہے۔"
ہوران کا کہنا ہے کہ ، "اس سے اوسط فرد سے زیادہ حساس ہوسکتا ہے کیونکہ وہ فرض کرسکتا ہے کہ اس کی نئی خدمت کا بہت قریب سے تجزیہ کیا جائے گا۔"
ٹیکا وے
اگرچہ میگا یقینی طور پر انکرپٹ معلومات فراہم کرتی ہے ، لیکن اس کے آپریشن کے دیگر پہلوؤں پر سوالیہ نشان لگتے ہیں۔ سب سے زیادہ پریشانی کی بات یہ ہے کہ خفیہ نگاری اور تقسیم شدہ نظاموں سے کہیں زیادہ یہ ہے کہ سروس کی مارکیٹنگ کیسے کی جارہی ہے۔ یہ شروع سے ہی واضح ہونا چاہئے: یہ آپ کی حفاظت کے لئے ڈیزائن نہیں کیا گیا ہے ، یہ ان کی حفاظت کے لئے ڈیزائن کیا گیا ہے۔
میکس سے زیادہ کے لئے ، ٹویٹرwmaxeddy پر اس کی پیروی کریں۔
