ٹیکوپیڈیا اسٹاف کے ذریعہ ، 10 مئی ، 2017
ٹیکو وے : میزبان ایرک کااناگ نے ڈاکٹر رابن بلور اور آئی ڈی ای آر اے کے وکی ہارپ کے ساتھ سلامتی اور اجازتوں پر تبادلہ خیال کیا۔
آپ فی الحال لاگ ان نہیں ہیں۔ ویڈیو دیکھنے کے لئے براہ کرم لاگ ان یا سائن اپ کریں۔
ایرک کااناگ: ٹھیک ہے ، خواتین و حضرات ، ہیلو اور ایک بار پھر آپ کا استقبال ہے۔ یہ بدھ کا دن ہے ، یہ چار مشرقی اور انٹرپرائز ٹکنالوجی کی دنیا میں ہے جس کا مطلب ہے کہ ہاٹ ٹیکنالوجیز کا ایک بار پھر وقت آگیا ہے! ہاں یقینا. ٹیکوپیڈیا میں ہمارے دوستوں کے تعاون سے بلور گروپ کورس کورس کے ذریعہ پیش کیا گیا۔ آج کا موضوع واقعتا cool ایک عمدہ ہے: "اجازت پوچھنا بہتر ہے: پرائیویسی اور سلامتی کے ل Best بہترین طریقہ کار۔" یہ ٹھیک ہے ، یہ ایک سخت موضوع ہے ، بہت سارے لوگ اس کے بارے میں بات کرتے ہیں ، لیکن یہ ایک سنجیدہ معاملہ ہے ، اور یہ واقعتا more صاف اور واضح طور پر ہر دن زیادہ سنگین ہوتا جارہا ہے۔ یہ بہت ساری تنظیموں کے لئے بہت سے طریقوں سے ایک سنگین مسئلہ ہے۔ ہم اس کے بارے میں بات کرنے جارہے ہیں اور ہم اس کے بارے میں بات کرنے جارہے ہیں کہ آپ ان تنظیم کو ان مذموم کرداروں سے بچانے کے لئے کیا کرسکتے ہیں جو ان دنوں سب جگہ موجود ہیں۔
لہذا آج کا پیش کنندہ IDERA سے وکی ہارپ کو کال کررہا ہے۔ آپ لنکڈین پر آئیڈیرا سافٹ ویئر دیکھ سکتے ہیں - مجھے لنکڈین پر نئی فعالیت پسند ہے۔ اگرچہ میں یہ بتا سکتا ہوں کہ وہ کچھ طریقوں سے کچھ تار کھینچ رہے ہیں ، لوگوں تک رسائی نہیں دے رہے ہیں ، تاکہ آپ ان پریمیم ممبرشپ خریدیں۔ آپ وہاں جائیں ، ہمارے پاس اپنا بہت ہی رابن بلور ہے ، جس میں ڈائل کیا جا رہا ہے - وہ واقعی آج سان ڈیاگو کے علاقے میں ہے۔ اور واقعی آپ کے ناظم / تجزیہ کار کے طور پر آپ کا۔
تو ہم کس کے بارے میں بات کر رہے ہیں؟ ڈیٹا کی خلاف ورزی یہ معلومات میں نے ابھی شناختی فورس ڈاٹ کام سے لی ہے ، یہ ریسوں سے پہلے ہی بند ہے۔ ہم اس سال کے آخر میں مئی میں ہیں ، اور یہاں صرف ایک ٹن اعداد و شمار کی خلاف ورزی موجود ہے ، یقینا یاہو کے ذریعہ ، واقعی بہت بڑی تعداد موجود ہے۔ بہت بڑا تھا ، اور ہم نے یقینا the امریکی حکومت کو ہیک کیے جانے کے بارے میں سنا ہے۔ ہم نے ابھی ابھی فرانسیسی انتخابات ہیک کیے تھے۔
یہ تمام جگہ پر ہو رہا ہے ، یہ جاری ہے اور یہ رکنے والا نہیں ہے ، لہذا یہ ایک حقیقت ہے ، یہ نئی حقیقت ہے ، جیسا کہ ان کا کہنا ہے۔ ہمیں واقعی اپنے سسٹمز اور اپنے ڈیٹا کی حفاظت کو نافذ کرنے کے طریقوں کے بارے میں سوچنے کی ضرورت ہے۔ اور یہ ایک جاری عمل ہے ، لہذا وقتی طور پر ان تمام مختلف امور کے بارے میں سوچنا ہے جو عمل میں آتے ہیں۔ یہ محض ایک جزوی فہرست ہے ، لیکن اس سے آپ کو کچھ نقطہ نظر ملتا ہے کہ انٹرپرائز سسٹم کے ساتھ ان دنوں صورتحال کس قدر نازک ہے۔ اور اس شو سے پہلے ، ہمارے پری شو بینٹر میں ہم تاوان کے بارے میں بات کر رہے تھے جس نے مجھے جانتے ہوئے کسی کو مارا ہے ، جو بہت ناگوار تجربہ ہے ، جب کوئی آپ کے فون پر قبضہ کرتا ہے اور آپ کے فون پر دوبارہ رسائی حاصل کرنے کے لئے آپ سے پیسے کا مطالبہ کرتا ہے۔ لیکن ایسا ہوتا ہے ، یہ کمپیوٹروں کے ساتھ ہوتا ہے ، یہ نظاموں کے ساتھ ہوتا ہے ، میں نے دوسرے ہی دن دیکھا تھا ، ارب پتیوں کے ساتھ یہ ہو رہا ہے جو ان کی یاٹ کے ساتھ ہے۔ ایک دن آپ کی کشت پر جاکر اپنے تمام دوستوں کو متاثر کرنے کی کوشش کرنے کا تصور کریں اور آپ اسے آن بھی نہیں کرسکتے ، کیونکہ کچھ چوروں نے کنٹرول پینل تک رسائی چوری کردی ہے۔ میں نے دوسرے دن صرف کسی کو انٹرویو دیتے ہوئے کہا تھا ، ہمیشہ دستی تحریر کریں۔ جیسے ، میں تمام منسلک کاروں کا بڑا مداح نہیں ہوں - یہاں تک کہ کاروں کو بھی ہیک کیا جاسکتا ہے۔ انٹرنیٹ سے جڑا ہوا ، یا کسی ایسے نیٹ ورک سے جڑا ہوا جس میں داخل کیا جاسکتا ہے کچھ بھی ہیک کیا جاسکتا ہے۔
لہذا ، صورتحال کو کتنے سنگین ہونے کے تناظر میں وضع کرنے کے سلسلے میں غور کرنے کے لئے صرف چند چیزیں یہ ہیں۔ ویب پر مبنی سسٹم ان دنوں کہیں بھی موجود ہیں ، وہ پھیلتے ہی رہتے ہیں۔ کتنے لوگ آن لائن سامان خریدتے ہیں؟ یہ ان دنوں چھت سے گزر رہا ہے ، اسی وجہ سے ایمیزون ان دنوں ایسی طاقتور قوت ہے۔ اس کی وجہ یہ ہے کہ بہت سارے لوگ آن لائن سامان خرید رہے ہیں۔
لہذا ، آپ کو یاد ہے ، 15 سال پہلے ، لوگ اپنی معلومات حاصل کرنے کے لئے اپنے کریڈٹ کارڈ کو ویب فارم میں ڈالنے سے کافی گھبرائے ہوئے تھے ، اور اس کے بعد ، دلیل یہ بھی تھی ، "ٹھیک ہے ، اگر آپ اپنا کریڈٹ کارڈ کسی ویٹر کے حوالے کردیتے ہیں۔ ایک ریستوراں ، پھر وہی ایک ہی چیز ہے۔ "لہذا ، ہمارا جواب ہاں میں ہے ، وہی ایک ہی چیز ہے ، یہ سارے کنٹرول پوائنٹ ، یا رسائ پوائنٹس ، ایک ہی چیز ، ایک ہی سکے کے مختلف رخ ہیں ، جہاں لوگوں کو رکھا جاسکتا ہے۔ خطرے میں پڑجائیں ، جہاں کوئی آپ کے پیسے لے سکتا ہے ، یا کوئی آپ سے چوری کرسکتا ہے۔
پھر IOT کورس کے خطرے سے متعلق کی توسیع کرتا ہے - میں اس لفظ کو پسند کرتا ہوں - وسعت کے حکم سے۔ میرا مطلب ہے ، اس کے بارے میں سوچیں - ہر جگہ ان تمام نئے آلات کے ساتھ ، اگر کوئی ان سسٹم کو ہیک کر سکتا ہے جو ان کو کنٹرول کرتا ہے تو ، وہ ان تمام بوٹس کو آپ کے خلاف بنا سکتا ہے اور بہت ساری پریشانیوں کا سبب بن سکتا ہے ، لہذا یہ ایک بہت ہی سنجیدہ مسئلہ ہے۔ ان دنوں ہمارے پاس عالمی معیشت ہے ، جو خطرات کی کیپ کو اور بھی بڑھا دیتی ہے ، اور اس سے زیادہ اور کیا بات ہے ، آپ کے پاس دوسرے ممالک کے لوگ بھی ہیں جو ویب پر اسی طرح سے رسائی حاصل کرسکتے ہیں جس طرح آپ اور میں کرسکتے ہیں ، اور اگر آپ روسی زبان بولنا نہیں جانتے ہیں۔ ، یا کسی بھی دوسری زبان کو ، آپ کو یہ سمجھنے میں مشکل وقت درکار ہے کہ جب وہ آپ کے سسٹم میں ہیک کرتے ہیں تو کیا ہو رہا ہے۔ لہذا ہمارے پاس نیٹ ورکنگ اور ورچوئلائزیشن میں ترقی ہے ، یہ اچھی بات ہے۔
لیکن میرے پاس یہاں اس تصویر کے دائیں طرف ہے ، ایک تلوار اور میرے پاس اس کی وجہ یہ ہے کہ ہر تلوار دونوں راستوں کو کاٹ دیتی ہے۔ یہ ایک دہلیز تلوار ہے ، جیسا کہ ان کے بقول ، اور یہ ایک پرانا کلچ ہے ، لیکن اس کا مطلب ہے کہ میرے پاس جو تلوار ہے وہ آپ کو نقصان پہنچا سکتی ہے یا اس سے مجھے نقصان ہوسکتا ہے۔ یہ مجھ پر واپس آسکتا ہے ، یا تو واپس اچھال کر ، یا کسی کو لے کر۔ یہ دراصل ایسوپ کے افسانوں میں سے ایک ہے - ہم اکثر اپنے دشمنوں کو اپنی تباہی کا آلہ دیتے ہیں۔ یہ واقعی بہت ہی زبردستی کی کہانی ہے اور اس کے ساتھ کوئی تعلق رکھنا ہے جس نے کمان اور تیر کا استعمال کیا اور کسی پرندے کو گولی مار دی اور پرندے نے دیکھا جیسے ہی تیر آرہا تھا ، اس کے پرندے دوستوں میں سے ایک کا پنکھ تیر کے کنارے پر تھا ، اس کی رہنمائی کے لئے تیر کے پچھلے حصے پر ، اور اس نے اپنے آپ سے سوچا ، "اوہ یار ، یہ میرے اپنے پروں کی بات ہے ، میرا اپنا کنبہ مجھے اتارنے کے لئے استعمال ہوتا رہے گا۔" ہر وقت ایسا ہوتا ہے ، آپ سنتے ہیں گھر میں بندوق رکھنے کے بارے میں اعدادوشمار ، چور بندوق لے سکتا ہے۔ ٹھیک ہے ، یہ سب سچ ہے۔ لہذا ، میں اسے محض ایک قیاس کے طور پر غور کر رہا ہوں ، ان تمام مختلف پیشرفتوں کے مثبت رخ اور منفی پہلو ہیں۔
اور بات کریں تو ، آپ میں سے ان لوگوں کے لئے کنٹینرز جو واقعی انٹرپرائز کمپیوٹنگ کے جدید حصے پر عمل پیرا ہیں ، کنٹینرز جدید ترین چیز ہیں ، فعالیت کی فراہمی کا جدید ترین طریقہ ، یہ واقعی خدمت پر مبنی فن تعمیر میں ورچوئلائزیشن کی شادی ہے ، کم از کم مائکرو سروسز کے لئے اور یہ بہت دلچسپ چیزیں۔ آپ یقینی طور پر اپنے حفاظتی پروٹوکول اور اپنے اطلاق کے پروٹوکول اور اپنے اعداد و شمار کو آگے بڑھاتے ہوئے ، کنٹینر استعمال کر سکتے ہیں ، اور اس سے آپ کو کچھ مدت کے لئے پیشگی پیش رفت ہوسکتی ہے ، لیکن جلد یا بدیر ، برا آدمی اس کا پتہ لگانے والا ہے ، اور پھر آپ کے سسٹم کا فائدہ اٹھاتے ہوئے ان کی روک تھام کرنا اور مشکل تر ہوگا۔ لہذا ، وہاں ، عالمی سطح پر افرادی قوت موجود ہے جو نیٹ ورک اور سیکیورٹی کو پیچیدہ کرتی ہے ، اور جہاں سے لوگ لاگ ان ہو رہے ہیں۔
ہمارے پاس براؤزر کی جنگیں ہوچکی ہیں جو تیزی سے جاری رہتی ہیں ، اور تازہ کاری کے ل constant اور مستقل کام کی ضرورت ہوتی ہے۔ ہم مائیکرو سافٹ ایکسپلورر کے پرانے براؤزر کے بارے میں سنتے رہتے ہیں کہ ان کو کیسے ہیک کیا گیا تھا اور وہیں دستیاب تھے۔ لہذا ، ان دنوں ہیکنگ میں بہت زیادہ رقم کمائی جاسکتی ہے ، ایک پوری صنعت ہے ، یہ وہی چیز ہے جو میرے ساتھی ، ڈاکٹر بلور نے آٹھ سال پہلے مجھے سکھائی تھی - میں حیران تھا کہ ہم اس میں اتنا کچھ کیوں دیکھ رہے ہیں ، اور انہوں نے یاد دلایا۔ میں ، یہ پوری صنعت ہیکنگ میں شامل ہے۔ اور اس لحاظ سے ، داستان ، جو سیکیورٹی کے بارے میں میرے سب سے کم پسندیدہ الفاظ میں سے ایک ہے ، واقعتا very بے حد بے ایمان ہے ، کیوں کہ اس داستان میں ان تمام ویڈیوز اور کسی بھی طرح کی خبروں کی کوریج میں آپ کو دکھایا گیا ہے ، کچھ ہیکنگ وہ ایک لڑکے کو ہڈی میں دکھاتے ہیں ، بیٹھے ہوئے ایک سیاہ روشنی والے کمرے میں اس کے تہ خانے میں ، ایسا ہر گز نہیں ہے۔ یہ حقیقت کا کوئی نمائندہ نہیں ہے۔ یہ تنہا ہیکر ہیں ، بہت کم اکیلے ہیکر ہیں ، وہ وہاں سے باہر ہیں ، وہ کسی پریشانی کا سبب بن رہے ہیں - وہ بڑی پریشانی کا سبب نہیں بن رہے ہیں ، لیکن وہ پوری رقم کما سکتے ہیں۔ تو کیا ہوتا ہے ہیکر آتے ہیں ، اور آپ کے سسٹم میں گھس جاتے ہیں اور پھر وہ رسائی کسی اور تک بیچ دیتے ہیں ، جو اس کا رخ موڑ کر کسی اور کو بیچ دیتا ہے ، اور پھر کہیں لکیر کے نیچے ، کوئی اس ہیک کا استحصال کرتا ہے اور آپ کا فائدہ اٹھاتا ہے۔ اور چوری شدہ ڈیٹا سے فائدہ اٹھانے کے لاتعداد طریقے ہیں۔
یہاں تک کہ میں اپنے آپ کو حیرت میں ڈال رہا ہوں کہ ہم اس تصور کو کس طرح روشن کررہے ہیں۔ آپ کو یہ اصطلاح ہر جگہ نظر آتی ہے ، "نمو ہیکنگ" جیسے یہ اچھی چیز ہے۔ گروتھ ہیکنگ ، آپ جانتے ہو ، ہیکنگ ایک اچھی چیز ہوسکتی ہے ، اگر آپ اچھے لوگوں کے لئے کام کرنے کی کوشش کر رہے ہیں تاکہ کسی نظام کو بولیں اور ہیک کریں ، جیسے ہم شمالی کوریا اور ان کے میزائل لانچوں کے بارے میں سنتے رہتے ہیں ، ممکنہ طور پر ہیک کیا جاتا ہے۔ یہ اچھی بات ہے. لیکن ہیکنگ اکثر بری چیز ہوتی ہے۔ جب اب ہم رابن ہوڈ کی توجہ دیتے ہیں تو ، ہم تقریبا اس طرح ، رابن ہڈ کی طرح ، اس کی روشنی ڈال رہے ہیں۔ اور پھر کیش لیس سوسائٹی ہے ، جو کچھ مجھ سے باہر کی روشنی کی فکرمند ہے۔ میں جو کچھ بھی سنتا ہوں وہی سوچتا ہوں ، "نہیں ، براہ کرم ایسا نہ کریں! براہ کرم نہیں! ”میں نہیں چاہتا کہ ہمارا سارا پیسہ غائب ہو۔ تو ، یہ صرف کچھ امور ہیں جن پر غور کرنا ہے ، اور پھر ، یہ ایک بلی اور ماؤس کا کھیل ہے۔ یہ کبھی رکنے والا نہیں ، ہمیشہ سیکیورٹی پروٹوکول کی ضرورت ہوگی اور سیکیورٹی پروٹوکول کو آگے بڑھانا ہوگا۔ اور جاننے اور سنسان کرنے کے ل there اپنے سسٹم کی نگرانی کے لئے کہ وہاں کون ہے ، سمجھ بوجھ کے ساتھ یہ اندرونی ملازمت بھی ہوسکتی ہے۔ لہذا ، یہ ایک جاری مسئلہ ہے ، یہ کافی عرصے سے ایک موجودہ مسئلہ بن جائے گا - اس کے بارے میں کوئی غلطی نہ کریں۔
اور اس کے ساتھ ، میں اسے ڈاکٹر بلور کے حوالے کروں گا ، جو ہمارے ساتھ ڈیٹا بیس کو محفوظ بنانے کے بارے میں کچھ خیالات بانٹ سکتا ہے۔ رابن ، اسے لے جاؤ۔
رابن بلور: ٹھیک ہے ، دلچسپ ہیکوں میں سے ایک ، میرے خیال میں یہ تقریبا پانچ سال پہلے واقع ہوا تھا ، لیکن بنیادی طور پر یہ ایک کارڈ پروسیسنگ کمپنی تھی جسے ہیک کیا گیا تھا۔ اور بڑی تعداد میں کارڈ کی تفصیلات چوری ہوئیں۔ لیکن اس کے بارے میں دلچسپ بات یہ ہے کہ میرے نزدیک یہ حقیقت یہ تھی کہ یہ واقعی ٹیسٹ ڈیٹا بیس تھا جس میں وہ واقعتا into داخل ہو گئے تھے ، اور شاید ایسا ہی معاملہ تھا کہ انھیں پروسیسنگ کارڈوں کے اصل ، اصل ڈیٹا بیس میں جانے میں بڑی دشواری کا سامنا کرنا پڑا تھا۔ لیکن آپ جانتے ہیں کہ یہ ڈویلپرز کے ساتھ کیسا ہے ، وہ صرف ایک ڈیٹا بیس کا کٹ لیں ، وہاں پھینک دیں۔ اس کو روکنے کے لئے کہیں زیادہ چوکسی ہونا پڑے گی۔ لیکن ہیکنگ کی بہت ساری دلچسپ کہانیاں ہیں ، یہ ایک ہی شعبے میں بنتی ہے ، یہ ایک بہت ہی دلچسپ مضمون بناتی ہے۔
تو میں حقیقت میں ، ایک طرح سے یا کسی اور طرح سے جا رہا ہوں ، کچھ ایسی باتوں کو دہراؤں جو ایرک نے کہا تھا ، لیکن اعداد و شمار کی حفاظت کو جامد ہدف کے طور پر سوچنا آسان ہے۔ یہ محض اس لئے آسان ہے کہ جامد حالات کا تجزیہ کرنا اور پھر اپنے دفاع میں دفاع کرنے کا سوچنا آسان ہے ، لیکن ایسا نہیں ہے۔ یہ ایک اہم مقصد ہے اور یہ ان چیزوں میں سے ایک ہے جو سیکیورٹی کی پوری جگہ کی ایک قسم ہے۔ یہ بالکل اسی طرح ہے جس میں ساری ٹکنالوجی تیار ہوتی ہے ، برے لوگوں کی ٹکنالوجی بھی تیار ہوتی ہے۔ لہذا ، مختصر جائزہ: ڈیٹا چوری کوئی نئی بات نہیں ، حقیقت میں ، ڈیٹا کی جاسوسی ڈیٹا کی چوری ہے اور یہ بات ہزاروں سالوں سے چل رہی ہے۔
ان لحاظ سے سب سے بڑا ڈیٹا انگریزوں نے جرمن کوڈ کو توڑنے اور امریکیوں نے جاپانی کوڈ کو توڑنا تھا ، اور دونوں ہی واقعات میں انہوں نے جنگ کو کافی حد تک مختصر کردیا تھا۔ اور وہ صرف مفید اور قیمتی اعداد و شمار کی چوری کررہے تھے ، یہ یقینا very بہت ہی چالاک تھا ، لیکن آپ جانتے ہو ، ابھی جو کچھ ہو رہا ہے وہ بہت ہی طریقوں سے بہت ہوشیار ہے۔ سائبر چوری انٹرنیٹ کے ساتھ ہی پیدا ہوئی تھی اور 2005 کے آس پاس پھٹ گئی تھی۔ میں نے جاکر سارے اعدادوشمار کو دیکھا اور جب آپ واقعی سنجیدہ ہونا شروع ہوگئے اور کسی نہ کسی طرح ، خاص طور پر اعلی تعداد جو 2005 میں شروع ہو رہی تھی۔ پھر. بہت سے کھلاڑی ، حکومتیں شامل ہیں ، کاروبار شامل ہیں ، ہیکر گروپس اور افراد۔
میں ماسکو گیا - اس کو تقریبا five پانچ سال ہوئے ہوں گے - اور میں نے واقعی میں برطانیہ کے ایک ایسے لڑکے کے ساتھ کافی وقت گزارا ، جو ہیکنگ کی پوری جگہ پر تحقیق کر رہا ہے۔ اور انہوں نے کہا کہ - اور مجھے نہیں معلوم کہ آیا یہ سچ ہے یا نہیں ، مجھے صرف اس کے لئے اس کا کلام ملا ہے ، لیکن یہ بہت امکان لگتا ہے - کہ روس میں بزنس نیٹ ورک کے نام سے ایک ایسی چیز ہے ، جو ہیکرز کا ایک گروپ ہے۔ ، آپ کو معلوم ہے ، وہ کے جی بی کی کھنڈرات سے نکل آئے ہیں۔ اور وہ اپنے آپ کو فروخت کرتے ہیں ، نہ کہ صرف ، میرا مطلب ہے ، مجھے یقین ہے کہ روسی حکومت انھیں استعمال کرتی ہے ، لیکن وہ اپنے آپ کو کسی کے پاس بیچ دیتے ہیں ، اور یہ افواہ تھا ، یا انہوں نے کہا کہ یہ افواہ ہے ، جس کے لئے مختلف غیر ملکی حکومتیں بزنس نیٹ ورک کا استعمال کررہی ہیں۔ قابل تردید انکار ان لوگوں کے پاس لاکھوں سمجھوتے والے پی سی کے نیٹ ورک تھے جن سے وہ حملہ کرسکتے ہیں۔ اور ان کے پاس وہ تمام ٹولز تھے جن کا آپ تصور کرسکتے ہیں۔
تو ، حملے اور دفاع کی ٹیکنالوجی تیار ہوئی۔ اور کاروباری اداروں کا اپنے اعداد و شمار پر نگہداشت کا فرض ہے ، چاہے وہ اس کے مالک ہوں یا نہ ہوں۔ اور یہ ریگولیشن کے مختلف ٹکڑوں کے معاملے میں جو پہلے سے موجود ہے یا نافذ العمل ہے کے لحاظ سے زیادہ واضح ہونا شروع ہو رہا ہے۔ اور بہتر ہونے کا امکان ، کسی کو کسی نہ کسی طرح سے ، کسی کو ہیکنگ کی قیمت اس طرح اٹھانا پڑے گی کہ وہ اس امکان کو بند کرنے کی ترغیب دیتے ہیں۔ یہ ان چیزوں میں سے ایک ہے جس کے بارے میں میرا اندازہ ضروری ہے۔ تو ہیکرز کے بارے میں ، وہ کہیں بھی واقع ہوسکتے ہیں۔ خاص طور پر آپ کی تنظیم کے اندر - بہت ہی ہیک ہیکس ہیکس جن کے بارے میں میں نے کسی کو دروازہ کھولنے میں ملوث ہونے کے بارے میں سنا ہے۔ آپ جانتے ہو ، یہ شخص ، یہ بینک ڈکیتیوں کی طرح ہے ، تقریبا ہمیشہ وہ کہتے ہیں اچھے بینک ڈکیتیوں میں ایک اندرونی آدمی ہوتا ہے۔ لیکن اندرونی کو صرف معلومات دینے کی ضرورت ہوتی ہے ، لہذا ان کو حاصل کرنا ، یہ جاننا مشکل ہے کہ یہ کون تھا ، اور اسی طرح آگے چلنا بھی مشکل ہے۔
اور ان کو انصاف دلانا مشکل ہوسکتا ہے ، کیوں کہ اگر آپ کو مالڈووا میں لوگوں کے ایک گروہ نے ہیک کیا ہے ، یہاں تک کہ اگر آپ جانتے ہو کہ یہ وہ گروہ تھا تو ، آپ ان کے آس پاس کسی طرح کا قانونی واقعہ پیش کرنے والے ہیں۔ یہ ایک نوعیت کا ہے ، ایک دائرہ اختیار سے دوسرے دائرہ اختیار تک ، بس ، صرف اتنا اچھا نہیں ہے کہ ہیکرز کو ختم کرنے کے بین الاقوامی انتظامات ہوں۔ وہ ٹیکنالوجی اور معلومات کا اشتراک کرتے ہیں۔ اس کا ایک بہت کھلا ذریعہ ہے۔ اگر آپ خود اپنا وائرس بنانا چاہتے ہیں تو ، وہاں بہت سارے وائرس کٹس موجود ہیں۔ مکمل طور پر اوپن سورس۔ اور ان کے پاس خاطر خواہ وسائل ہیں ، ایک ایسی تعداد موجود ہے جس نے ڈیٹا سنٹرز اور پی سی وغیرہ میں دس لاکھ سے زیادہ سمجھوتہ کرنے والے آلات میں بوٹنیٹس حاصل کیے ہیں۔ کچھ منافع بخش کاروبار ہیں جو ایک طویل عرصے سے چل رہے ہیں ، اور پھر حکومتی گروپ موجود ہیں ، جیسا کہ میں نے بتایا۔ جیسا کہ ایرک نے کہا ، اس کا امکان نہیں ، یہ امکان کبھی ختم نہیں ہوتا ہے۔
تو ، یہ ایک دلچسپ ہیک ہے جس میں نے صرف سوچا کہ میں اس کا ذکر کروں گا ، 'کیونکہ یہ ایک حالیہ ہیک تھا۔ یہ پچھلے سال ہوا تھا۔ ایتھیریم کریپٹو سکن سے وابستہ ڈی اے او معاہدہ میں ایک خطرہ تھا۔ اور اس پر ایک فورم پر تبادلہ خیال کیا گیا ، اور ایک دن کے اندر ، DAO معاہدہ ہیک ہو گیا ، اس خطرے کو عین مطابق استعمال کرتے ہوئے۔ ther 50 ملین آسمان پر منتقل کیا گیا تھا ، جس سے ڈی اے او پروجیکٹ میں فوری بحران پیدا ہوا اور اسے بند کردیا گیا۔ اور ایتھیریم نے حقیقت میں ہیکر کو پیسوں تک رسائی سے روکنے کی کوشش کرنے اور لڑنے کے لئے جدوجہد کی ، اور اس طرح اس نے اس کا فائدہ کم کیا۔ لیکن یہ بھی مانا جاتا تھا - یقین سے نہیں جانا جاتا تھا - کہ ہیکر نے دراصل اپنے حملے سے قبل ایتھر کی قیمت کم کردی تھی ، یہ جان کر کہ آسمان کی قیمت گر جائے گی ، اور اس طرح اس نے ایک اور طریقے سے منافع کمایا۔
اور یہ ایک اور بات ہے ، اگر آپ چاہیں تو ، اسٹاٹیجیم جسے ہیکر استعمال کرسکتے ہیں۔ اگر وہ آپ کے حصص کی قیمت کو نقصان پہنچا سکتے ہیں ، اور وہ جانتے ہیں کہ وہ ایسا کریں گے ، تو ان کے لئے صرف ضروری ہے کہ وہ حصص کی قیمت کو کم کریں اور ہیک کریں ، لہذا یہ قسم کی بات ہے ، یہ لڑکے ہوشیار ہیں ، آپ جانتے ہیں۔ اور قیمت پیسے ، خلل ڈالنے اور تاوان کی سراسر چوری ہے ، جس میں سرمایہ کاری بھی شامل ہے ، جہاں آپ اسٹاک کو توڑے اور مختصر کرتے ہیں ، تخریب کاری ، شناخت کی چوری ، ہر طرح کے گھوٹالے ، صرف اشتہار کی خاطر۔ اور یہ سیاسی ، یا ظاہر ہے ، معلومات کی جاسوسی کرتا ہے اور یہاں تک کہ ایسے لوگ بھی ہیں جو گوگل ، ایپل ، فیس بک حتی کہ پینٹاگون کو ہیک کرنے کی کوشش کرکے حاصل کرسکتے ہیں۔ اور تم صرف ہیک؛ اگر یہ کامیاب ہے ، تو آپ صرف جاکر اپنے انعام کا دعوی کریں ، اور کوئی نقصان نہیں ہوا ، لہذا یہ آپ کو معلوم ہے۔
میں تعمیل اور ضابطے کا ذکر بھی کرسکتا ہوں۔ سیکٹر اقدامات کے علاوہ ، سرکاری قواعد و ضوابط کی بھرمار ہے: HIPAA ، SOX ، FISMA ، FERPA اور GLBA یہ سب امریکی قانون سازی ہیں۔ معیارات ہیں؛ PCI-DSS ایک عمومی طور پر عام معیار بن گیا ہے۔ اور پھر ڈیٹا کی ملکیت کے بارے میں آئی ایس او 17799 ہے۔ یہاں تک کہ یورپ میں بھی ، قومی قوانین ملک سے مختلف ہیں۔ اور فی الحال جی ڈی پی آر۔ عالمی ڈیٹا ، اس کا کیا مطلب ہے؟ گلوبل ڈیٹا پروٹیکشن ریگولیشن ، میرے خیال میں اس کا مطلب ہے - لیکن یہ اگلے سال نافذ العمل ہوگا۔ اور اس کے بارے میں دلچسپ بات یہ ہے کہ اس کا اطلاق پوری دنیا میں ہوتا ہے۔ اگر آپ کے پاس 5،000 یا زیادہ صارفین ہیں ، جن کے بارے میں آپ کو ذاتی معلومات ہیں اور وہ یورپ میں رہتے ہیں ، تو یورپ واقعتا آپ کو کام پر لے جائے گا ، اس سے قطع نظر بھی آپ کے کارپوریشن کا صدر دفتر واقع نہیں ہے ، یا جہاں یہ کام کرتا ہے۔ اور جرمانے ، زیادہ سے زیادہ جرمانہ سالانہ محصولات کا چار فیصد ہے جو کہ بہت بڑا ہے ، لہذا جب یہ عمل درآمد ہوتا ہے تو یہ دنیا پر ایک دلچسپ موڑ ہوگا۔
سوچنے کی باتیں ، ٹھیک ہے ، DBMS کمزوریوں کے بارے میں ، زیادہ تر قیمتی ڈیٹا اصل میں ڈیٹا بیس میں بیٹھا ہوا ہے۔ یہ قیمتی ہے کیوں کہ ہم نے اسے دستیاب بنانے اور اسے اچھی طرح سے منظم کرنے میں بہت زیادہ وقت لگا دیا ہے اور اگر آپ واقعتا the صحیح ڈی بی ایم ایس سیکیورٹیز کا اطلاق نہیں کرتے ہیں تو ، اس سے اور زیادہ خطرہ ہوجاتا ہے۔ ظاہر ہے ، اگر آپ اس طرح کی چیزوں کے لئے منصوبہ بندی کرنے جارہے ہیں تو ، آپ کو یہ شناخت کرنے کی ضرورت ہے کہ ڈیٹا کو مختلف وجوہات کی بناء پر خطرہ بناتے ہوئے پوری تنظیم میں کیا کمزور ڈیٹا ہے۔ یہ کسٹمر کا ڈیٹا ہوسکتا ہے ، لیکن یہ اتنی ہی طرح کی داخلی دستاویزات ہوسکتی ہے جو جاسوسی کے مقاصد اور اسی طرح کے ل valuable قیمتی ہوں گی۔ سلامتی کی پالیسی ، خاص طور پر رسائی کی حفاظت کے سلسلے میں - جو حالیہ دنوں میں میری رائے میں بہت ہی کمزور رہی ہے ، نئی اوپن سورس چیزوں میں - خفیہ کاری زیادہ استعمال میں آرہی ہے کیونکہ یہ بہت ہی مضبوط ٹھوس ہے۔
سیکیورٹی کی خلاف ورزی کی قیمت ، زیادہ تر لوگوں کو معلوم نہیں تھا ، لیکن اگر آپ واقعی اس بات پر غور کریں کہ ان تنظیموں کے ساتھ کیا ہوا ہے جو سیکیورٹی کی خلاف ورزیوں کا سامنا کر رہے ہیں تو ، اس سے معلوم ہوتا ہے کہ سیکیورٹی خلاف ورزی کی لاگت آپ کے خیال سے کہیں زیادہ ہوتی ہے۔ . اور پھر دوسری چیز جس کے بارے میں سوچنا ہے وہ حملہ کی سطح ہے ، کیوں کہ کہیں بھی سافٹ ویئر کا کوئی ٹکڑا ، اپنی تنظیموں کے ساتھ چل رہا ہے تو وہ حملہ کی سطح پیش کرتا ہے۔ لہذا اس میں سے کوئی بھی ڈیوائسز کریں ، اس سے اعداد و شمار کو کوئی فرق نہیں پڑتا ہے ، چاہے اس کو کیسے ذخیرہ کیا جائے۔ یہ سب کچھ ہے ، حملے کی سطح چیزوں کے انٹرنیٹ کے ساتھ بڑھ رہی ہے ، حملے کی سطح شاید دوگنا ہونے جارہی ہے۔
تو ، آخر میں ، ڈی بی اے اور ڈیٹا سیکیورٹی۔ ڈیٹا کی حفاظت عام طور پر ڈی بی اے کے کردار کا حصہ ہوتی ہے۔ لیکن یہ باہمی تعاون کے ساتھ بھی ہے۔ اور اسے کارپوریٹ پالیسی کے تابع ہونے کی ضرورت ہے ، بصورت دیگر اس پر شاید عمل درآمد نہیں کیا جائے گا۔ یہ کہہ کر ، مجھے لگتا ہے کہ میں گیند کو پاس کرسکتا ہوں۔
ایرک کااناگ: ٹھیک ہے ، میں وکی کو چابیاں دوں۔ اور آپ اپنی اسکرین کا اشتراک کرسکتے ہیں یا ان سلائڈز میں منتقل کرسکتے ہیں ، یہ آپ پر منحصر ہے ، اسے لے جائیں۔
وکی ہارپ: نہیں ، میں ان سلائڈز سے شروع کروں گا ، بہت بہت شکریہ۔ تو ، ہاں ، میں صرف ایک تیز لمحہ نکالنا اور اپنا تعارف کروانا چاہتا تھا۔ میں وکی ہارپ ہوں۔ میں مینیجر ہوں ، آئی ڈی ای آر اے سافٹ ویئر میں ایس کیو ایل مصنوعات کے ل product مصنوع کا انتظام ، اور آپ میں سے ان لوگوں کے لئے جو شاید ہم سے واقف نہیں ہوں گے ، آئیڈیرا کے پاس بہت ساری پروڈکٹ لائنز موجود ہیں ، لیکن میں یہاں ایس کیو ایل سرور کی چیزوں کی بات کر رہا ہوں۔ اور اس طرح ، ہم کارکردگی کی نگرانی ، سیکیورٹی کی تعمیل ، بیک اپ ، انتظامیہ کے ٹولز کرتے ہیں - اور یہ ان میں سے ایک فہرست ہے۔ اور یقینا. ، میں آج جس چیز کے بارے میں بات کرنے آیا ہوں وہ سیکیورٹی اور تعمیل ہے۔
میں آج کے بارے میں زیادہ تر بات کرنا چاہتا ہوں ضروری نہیں کہ ہماری مصنوعات ہوں ، حالانکہ میں اس کی کچھ مثالیں بعد میں دکھانا چاہتا ہوں۔ میں آپ سے ڈیٹا بیس کی سیکیورٹی ، ڈیٹا بیس سیکیورٹی کی دنیا میں ابھی کچھ خطرات ، کچھ سوچنے کی باتیں ، اور اپنے ایس کیو ایل کو محفوظ بنانے کے ل what آپ کو کس چیز پر نگاہ رکھنے کی ضرورت ہے کے تعارفی خیالات کے بارے میں آپ سے مزید بات کرنا چاہتا تھا۔ سرور ڈیٹا بیس اور یہ بھی یقینی بنانا ہے کہ وہ ان ضوابط کے فریم ورک کے ساتھ مطابقت پذیر ہیں جس کا آپ ذکر کرسکتے ہیں۔ اس میں بہت سے مختلف قواعد موجود ہیں۔ وہ مختلف صنعتوں ، دنیا بھر میں مختلف مقامات پر جاتے ہیں ، اور ان چیزوں کے بارے میں سوچنا ہوتا ہے۔
لہذا ، میں ایک لمحے کے بارے میں بات کرنا چاہتا ہوں اور اعداد و شمار کی خلاف ورزیوں کی حالت کے بارے میں بات کرنا چاہتا ہوں - اور جو کچھ پہلے سے یہاں یہاں زیر بحث آیا ہے اس کی بہت زیادہ تکرار نہ کرنا - میں حال ہی میں ، اور ان کے پورے مطالعے کو دیکھ رہا تھا۔ 1500 یا اس سے زیادہ تنظیموں کے ساتھ وہ بات چیت کرتے ہیں - ڈیٹا میں کمی کی خلاف ورزیوں کے لحاظ سے ، ان میں اوسطا security 6 سیکیورٹی خلاف ورزی ہوئی تھی ، اور ان میں سے 68 فیصد کو کسی لحاظ سے انکشاف کی ضرورت تھی ، لہذا انہوں نے اسٹاک کی قیمت کو متاثر کیا ، یا انہیں کچھ کریڈٹ کرنا پڑا۔ اپنے صارفین یا اپنے ملازمین وغیرہ کی نگرانی کرنا۔
کچھ دلچسپ دیگر اعدادوشمار یہ ہیں کہ اندرونی اداکار جو ان میں سے 43 فیصد کے لئے ذمہ دار تھے۔ لہذا ، بہت سارے لوگ ہیکروں اور اس طرح کے شرمیلا سرکاری تنظیموں یا منظم جرائم وغیرہ کے بارے میں ایک بہت بڑی بات سمجھتے ہیں ، لیکن اندرونی اداکار اب بھی اپنے مالکان کے خلاف براہ راست کارروائی کر رہے ہیں ، ان معاملات کے خاصے تناسب سے۔ اور ان کے خلاف حفاظت کرنا کبھی کبھی مشکل تر ہوتا ہے ، کیونکہ لوگوں کے پاس اس اعداد و شمار تک رسائی کے جائز وجوہات ہوسکتے ہیں۔ اس میں سے نصف حصہ ، کسی لحاظ سے 43 فیصد حادثاتی نقصان تھا۔ لہذا ، مثال کے طور پر ، اس معاملے میں جب کسی نے ڈیٹا گھر لیا ، اور پھر اس اعداد و شمار کا کھوج کھو گیا ، جو مجھے اس تیسرے نقطہ کی طرف لے جاتا ہے ، جس کی وجہ یہ ہے کہ جسمانی میڈیا میں سامان اب بھی 40 فیصد خلاف ورزیوں میں ملوث تھا۔ تو ، یہ یو ایس بی کیز ہے ، لوگوں کے لیپ ٹاپ ہیں ، وہی اصل میڈیا ہے جو جسمانی ڈسکس پر جلا دیا گیا تھا اور عمارت سے باہر لے جایا گیا تھا۔
اگر آپ اس کے بارے میں سوچتے ہیں تو ، کیا آپ کے پاس کوئی ڈویلپر ہے جس کے لیپ ٹاپ پر آپ کے پروڈکشن ڈیٹا بیس کی ڈی پی کاپی موجود ہے؟ پھر وہ جہاز پر سوار ہوتے ہیں اور وہ جہاز سے اتر جاتے ہیں ، اور انھیں چیک شدہ سامان مل جاتا ہے اور ان کا لیپ ٹاپ چوری ہوجاتا ہے۔ اب آپ کے پاس ڈیٹا کی خلاف ورزی ہوچکی ہے۔ ہوسکتا ہے کہ آپ شاید یہ نہ سوچیں کہ اسی لیپ ٹاپ کو لے لیا گیا تھا ، شاید یہ جنگل میں کبھی نہیں دکھائے گا۔ لیکن یہ اب بھی ایسی کوئی چیز ہے جس کی خلاف ورزی کے طور پر گنتی ہے ، اس کے انکشاف کی ضرورت ہوگی ، آپ کو اس اعداد و شمار کو کھو دینے کے تمام بہاو اثر پڑے گے ، صرف اس جسمانی میڈیا کے نقصان کی وجہ سے۔
اور دوسری دلچسپ بات یہ ہے کہ بہت سارے لوگ کریڈٹ ڈیٹا ، اور کریڈٹ کارڈ کی معلومات کو انتہائی قیمتی سمجھنے کے بارے میں سوچ رہے ہیں ، لیکن واقعی اب ایسا نہیں ہے۔ یہ اعداد و شمار قابل قدر ہیں ، کریڈٹ کارڈ نمبر مفید ہیں ، لیکن ایمانداری سے ، ان نمبروں کو بہت جلد تبدیل کردیا جاتا ہے ، جبکہ لوگوں کا ذاتی ڈیٹا بہت جلد تبدیل نہیں ہوتا ہے۔ کچھ ایسی جو حالیہ خبروں کی چیز ، نسبتا recent حالیہ ، VTech ، ایک کھلونا بنانے والے کے پاس یہ کھلونے تھے جو بچوں کے لئے تیار کیے گئے تھے۔ اور لوگ ، اپنے بچوں کے نام رکھتے ، ان کے پاس یہ معلومات ہوتی کہ وہ بچے کہاں رہتے ہیں ، ان کے والدین کے نام ہیں ، ان کے پاس بچوں کی تصاویر تھیں۔ اس میں سے کسی کو بھی خفیہ نہیں کیا گیا تھا ، کیونکہ اس کو اہم نہیں سمجھا جاتا تھا۔ لیکن ان کے پاس ورڈ کو خفیہ کردیا گیا تھا۔ ٹھیک ہے ، جب خلاف ورزی لازمی طور پر ہوئی ہے ، تو آپ کہہ رہے ہیں ، "ٹھیک ہے ، لہذا میرے پاس بچوں کے نام ، ان کے والدین کے نام ، جہاں وہ رہتے ہیں کی ایک فہرست موجود ہے۔ یہ سب معلومات وہاں موجود ہیں ، اور آپ سوچ رہے ہیں کہ پاس ورڈ اس کا سب سے قیمتی حصہ تھا؟ "یہ نہیں تھا؛ لوگ اپنے ذاتی اعداد و شمار ، ان کے پتے وغیرہ کے بارے میں ان پہلوؤں کو تبدیل نہیں کرسکتے ہیں اور اس لئے یہ معلومات واقعی بہت قیمتی ہیں اور اس کو محفوظ رکھنے کی ضرورت ہے۔
لہذا ، کچھ چل رہی چیزوں کے بارے میں بات کرنا چاہتا تھا ، جس طرح سے ڈیٹا کی خلاف ورزی اس وقت ہو رہی ہے۔ اس وقت ایک بڑی ہاٹ سپاٹ ، جگہیں سوشل انجینئرنگ ہیں۔ لہذا لوگ اسے فشنگ کہتے ہیں ، یہاں نقالی وغیرہ ہیں ، جہاں لوگ اعداد و شمار تک رسائی حاصل کرتے ہیں ، اکثر اندرونی اداکاروں کے ذریعے ، صرف انھیں یہ باور کروا کر کہ اس تک ان تک رسائی حاصل ہے۔ چنانچہ ، دوسرے ہی دن ، ہمارے پاس گوگل کا یہ دستاویزات کا کیڑا تھا جو آس پاس پڑ رہا تھا۔ اور یہ کیا ہوگا - اور مجھے واقعتا it اس کی ایک کاپی موصول ہوئی ، اگرچہ خوش قسمتی سے میں نے اس پر کلک نہیں کیا - آپ کو ایک ساتھی کا ای میل مل رہا تھا ، جس میں کہا گیا تھا ، "گوگل کا ایک لنک لنک ہے۔ آپ کو دیکھنے کے ل to آپ کو اس پر کلک کرنے کی ضرورت ہے کہ میں نے ابھی آپ کے ساتھ کیا شیئر کیا ہے۔ ”ٹھیک ہے ، یہ کہ ایک ایسی تنظیم میں جو گوگل ڈکس کا استعمال کرتی ہے ، جو کہ بہت روایتی ہے ، آپ کو ایک دن میں درجنوں درخواستیں ملنے جا رہی ہیں۔ اگر آپ نے اس پر کلک کیا تو ، وہ آپ سے اس دستاویز تک رسائی حاصل کرنے کی اجازت طلب کرے گا ، اور ہوسکتا ہے کہ آپ کہیں گے ، "ارے ، یہ قدرے عجیب لگ رہا ہے ، لیکن آپ کو معلوم ہے ، یہ بھی جائز معلوم ہوتا ہے ، لہذا میں آگے جاؤں گا اور اس پر کلک کریں ، ”اور جیسے ہی آپ نے یہ کیا ، آپ اس تیسری پارٹی کو اپنے تمام گوگل دستاویزات تک رسائی دے رہے تھے ، اور اس طرح ، اس بیرونی اداکار کے لئے یہ لنک بنا کر کہ آپ کو گوگل ڈرائیو پر آپ کی تمام دستاویزات تک رسائی حاصل ہو۔ یہ ساری جگہ پر پریشان ہے۔ اس نے کئی گھنٹوں میں سیکڑوں ہزاروں افراد کو نشانہ بنایا۔ اور یہ بنیادی طور پر ایک فشینگ اٹیک تھا جس کو گوگل نے خود ہی بند کرنا پڑا ، کیونکہ اسے بہت اچھی طرح سے پھانسی دے دی گئی تھی۔ لوگ اس کے ل fell گر پڑے۔
میں یہاں سنیپ چیٹ ایچ آر کی خلاف ورزی کا ذکر کرتا ہوں۔ کسی کے ای میل کرنے کا یہ صرف ایک سیدھا سا معاملہ تھا ، یہ نقالی کہ وہ سی ای او تھے ، محکمہ ایچ آر کو یہ ای میل کرتے ہوئے ، "مجھے آپ کی ضرورت ہے کہ آپ مجھے یہ اسپریڈشیٹ بھیجیں۔" اور انھوں نے ان پر یقین کیا ، اور انہوں نے 700 مختلف ملازمین کے ساتھ ایک اسپریڈشیٹ ڈالی۔ معاوضے کی معلومات ، ان کے گھر کے پتے وغیرہ نے اسے اس دوسری فریق کو ای میل کیا ، یہ دراصل سی ای او نہیں تھا۔ اب ، ڈیٹا ختم تھا ، اور ان کے تمام ملازمین کی ذاتی ، نجی معلومات وہاں موجود تھیں اور استحصال کے ل. دستیاب تھیں۔ لہذا ، سوشل انجینئرنگ ایک ایسی چیز ہے جس کا میں ڈیٹا بیس کی دنیا میں اس کا تذکرہ کرتا ہوں ، کیوں کہ یہ وہ چیز ہے جس سے آپ تعلیم کے ذریعہ دفاع کرنے کی کوشش کرسکتے ہیں ، لیکن آپ کو یہ بھی یاد رکھنا ہوگا کہ کہیں بھی آپ کے پاس اپنی ٹکنالوجی کے ساتھ بات چیت کرنے والا فرد موجود ہے۔ اگر آپ بدعنوانی کو روکنے کے لئے ان کے اچھ judgmentے فیصلے پر بھروسہ کرتے ہیں تو ، آپ ان سے بہت کچھ پوچھ رہے ہیں۔
لوگ غلطیاں کرتے ہیں ، لوگ ان چیزوں پر کلک کرتے ہیں جن کے انہیں نہیں ہونا چاہئے ، لوگ ہوشیار ٹوٹ پھوٹ کا شکار ہوجاتے ہیں۔ اور آپ ان کے خلاف ان کی حفاظت کے لئے بہت کوشش کر سکتے ہیں ، لیکن یہ اتنا مضبوط نہیں ہے ، آپ کو اپنے ڈیٹا بیس سسٹم میں غلطی سے لوگوں کو یہ معلومات دینے کی صلاحیت کو محدود کرنے کی ضرورت ہوگی۔ دوسری چیز جس کا میں نے تذکرہ کرنا چاہا وہ ظاہر ہے کہ ہم بہت زیادہ بات کر رہے ہیں وہ ہے رینسم ویئر ، بوٹنیٹس ، وائرس۔ یہ سب خودکار طریقے ہیں۔ اور اس ل جو میں میرے خیال میں رینسم ویئر کے بارے میں سمجھنا ضروری سمجھتا ہوں کیا یہ واقعی حملہ آوروں کے لئے منافع کے ماڈل میں تبدیلی کرتا ہے۔ اس معاملے میں جب آپ خلاف ورزی کی بات کر رہے ہیں تو ، انہیں کسی لحاظ سے ، ڈیٹا نکالنا ہوگا اور اسے اپنے پاس رکھنا ہوگا اور اس کا استعمال کرنا ہوگا۔ اور اگر آپ کا ڈیٹا مبہم ہے تو ، اگر یہ خفیہ شدہ ہے ، اگر یہ صنعت سے مخصوص ہے تو ، شاید ان کے پاس اس کی کوئی اہمیت نہیں ہوگی۔
اس وقت تک ، لوگوں نے محسوس کیا ہوگا کہ یہ ان کے لئے ایک تحفظ تھا ، "مجھے اپنے آپ کو ڈیٹا کی خلاف ورزی سے بچانے کی ضرورت نہیں ہے ، کیونکہ اگر وہ میرے سسٹم میں آنے جا رہے ہیں تو ، ان کے پاس سب کچھ ہونے والا ہے یہ ہے ، میں ایک فوٹو گرافی کا اسٹوڈیو ہوں ، میرے پاس ایک فہرست ہے کہ اگلے سال کون کون سے دن آنے والا ہے۔ کون اس کی پرواہ کرتا ہے؟ ”ٹھیک ہے ، اس کا جواب یہ نکلا ہے کہ آپ کو اس کی پرواہ ہے۔ آپ اس معلومات کو محفوظ کر رہے ہیں ، یہ آپ کی کاروباری اہم معلومات ہے۔ لہذا ، ایک حملہ آور تاوان کا استعمال کرتے ہوئے کہیں گے ، "ٹھیک ہے ، کوئی اور اس کے ل nobody مجھے رقم نہیں دے گا ، لیکن تم کرو گے۔" لہذا ، وہ اس حقیقت کا فائدہ اٹھاتے ہیں کہ ان کو اعداد و شمار تک نہیں لینا پڑتے ہیں ، وہ نہیں کرتے ہیں۔ یہاں تک کہ اس کی خلاف ورزی بھی کرنی پڑتی ہے ، انہیں محض آپ کے خلاف حفاظتی اوزار استعمال کرنے کی ضرورت ہے۔ وہ آپ کے ڈیٹا بیس میں داخل ہوجاتے ہیں ، وہ اس کے مندرجات کو خفیہ کرتے ہیں ، اور پھر وہ کہتے ہیں ، "ٹھیک ہے ، ہمارے پاس پاس ورڈ ہے ، اور آپ کو ہمیں یہ پاس ورڈ حاصل کرنے کے لئے 5000 $ ادا کرنے پڑیں گے ، ورنہ آپ کے پاس صرف نہیں ہے۔ اب یہ ڈیٹا۔ "
اور لوگ ادائیگی کرتے ہیں۔ وہ خود کو ایسا کرنا پاتے ہیں۔ کچھ مہینے پہلے مونگو ڈی بی کو ایک بہت بڑی پریشانی ہوئی تھی ، میرا خیال ہے کہ یہ جنوری میں تھا ، جہاں کچھ پہلے سے طے شدہ ترتیبات کی بنا پر ، انٹرنیٹ پر عوام کے سامنے موجود ایک ملین سے زیادہ منگو ڈی بی کے ڈیٹا بیس تھے۔ اور اس سے بھی بدتر یہ ہوا کہ لوگوں کو ادائیگی کی جارہی تھی لہذا دوسری تنظیمیں آکر دوبارہ خفیہ کاری کریں گی یا دعوی کریں گی کہ وہ جنہوں نے اصل میں اس کو خفیہ کیا تھا ، لہذا جب آپ نے اپنے پیسے ادا کیے ، اور میرا خیال ہے کہ وہ اس معاملے میں تھے $ 500 جیسی کوئی چیز مانگنے پر ، لوگ کہیں گے ، "ٹھیک ہے ، میں محقق کو ادھر ادھر ادائیگی کرنے کے لئے اس سے زیادہ ادائیگی کروں گا ، تاکہ معلوم کرنے میں کیا غلطی ہو۔ میں صرف 500 پونڈ ادا کروں گا۔ "اور وہ اسے صحیح اداکار کو بھی ادا نہیں کر رہے تھے ، لہذا وہ دس مختلف تنظیموں سے یہ کہتے ہوئے ڈھیر ہوجائیں گے ،" ہمیں پاس ورڈ مل گیا ہے ، "یا" ہمارے پاس ہے۔ آپ کو اپنے تاوان والے ڈیٹا کو غیر مقفل کرنے کا راستہ مل گیا۔ "اور آپ کو ان سب کو ادائیگی کرنا ہوگی تاکہ ممکنہ طور پر اس پر کام کیا جاسکے۔
ایسے معاملات بھی ہوئے ہیں جن میں رینسم ویئر کے مصنفین کیڑے موجود تھے ، میرا مطلب ہے کہ ہم اس کے بارے میں بات نہیں کر رہے ہیں کہ یہ ایک بالکل درست صورتحال ہے ، لہذا اس پر ایک بار حملہ ہونے کے بعد بھی ، ایک بار ادائیگی کرنے کے بعد بھی ، اس بات کی کوئی ضمانت نہیں ہے کہ آپ آپ کا سارا ڈیٹا واپس لانے کے لئے جا رہے ہیں ، اس میں سے کچھ کو ہتھیاروں سے چلنے والی انفارمیشن ٹیک کے ذریعہ بھی پیچیدہ بنایا جارہا ہے۔ تو شیڈو بروکرز ایک گروپ ہے جو NSA کے ذریعہ ٹولز نکال رہا ہے۔ وہ اوزار تھے جو سرکاری ادارے کے ذریعہ جاسوسی کے مقاصد کے لئے بنائے گئے تھے اور حقیقت میں دیگر سرکاری اداروں کے خلاف کام کررہے تھے۔ ان میں سے کچھ واقعی میں اعلی سطح پر زیرو ڈے حملے ہوئے ہیں ، جو بنیادی طور پر معلوم سیکیورٹی پروٹوکول کو صرف ایک طرف چھوڑ دیتے ہیں۔ اور اس طرح ایس ایم بی پروٹوکول میں ایک اہم خطرہ تھا ، مثال کے طور پر ، شیڈو بروکرز کے حالیہ ڈمپوں میں۔
اور اس طرح یہ ٹولز جو یہاں آتے ہیں ، وہ آپ کے حملے کی سطح کے لحاظ سے ، کچھ ہی گھنٹے میں واقعی آپ پر کھیل کو تبدیل کرسکتے ہیں۔ لہذا جب بھی میں اس کے بارے میں سوچ رہا ہوں ، یہ ایسی چیز ہے جو تنظیمی سطح پر ، سیکیورٹی انفارس سیک اپنا اپنا کام ہے ، اسے سنجیدگی سے لینے کی ضرورت ہے۔ جب بھی ہم ڈیٹا بیس کے بارے میں بات کر رہے ہیں تو ، میں اسے تھوڑا سا نیچے لے جاؤں گا ، آپ کو شیڈو بروکرز کے ساتھ اس ہفتے شیڈو بروکرز کے ساتھ کیا ہو رہا ہے اس کے بارے میں پوری طرح سے ایک ڈیٹا بیس ایڈمنسٹریٹر کی ضرورت نہیں ہوگی ، لیکن آپ کو آگاہ کرنے کی ضرورت ہے کہ تمام ان میں سے کچھ ہٹ رہے ہیں ، کچھ چل رہا ہے ، اور اس طرح جس ڈگری پر آپ اپنے ڈومین کو سخت اور محفوظ رکھتے ہیں ، وہ واقعی میں آپ کی مدد کرے گی کہ اس طرح کی چیزیں آپ کے زیر اثر نکل جائیں۔
لہذا ، میں خاص طور پر ایس کیو ایل سرور کے بارے میں بات کرنے سے پہلے ، یہاں کچھ لمحے رکھنا چاہتا تھا ، تاکہ اصل میں ہمارے پینلسٹ کے ساتھ ڈیٹا بیس کی سلامتی کے ساتھ کچھ معاملات پر کھلی بحث کی جا.۔ تو ، میں اس مقام پر پہنچ گیا ہوں ، کچھ چیزوں کا جن کا ہم نے ذکر نہیں کیا ، میں ایس کیو ایل انجیکشن کے بارے میں بطور ویکٹر بات کرنا چاہتا تھا۔ لہذا ، یہ ایس کیو ایل انجکشن ہے ، ظاہر ہے یہ وہ طریقہ ہے جس میں لوگ ڈیٹا بیس سسٹم میں کمانڈ داخل کرتے ہیں ، ان پٹس کو خراب کرنے کی قسم سے۔
ایرک کااناگ: ہاں ، میں واقعتا I ایک لڑکے سے ملا تھا - مجھے لگتا ہے کہ یہ اینڈریوز ایئر فورس کے اڈے پر تھا - تقریبا years پانچ سال پہلے ، ایک مشیر جو میں ان سے دالان میں گفتگو کر رہا تھا اور ہم محض ایک طرح کی جنگ کی کہانیاں بانٹ رہے تھے - کوئی سزا کا ارادہ نہیں - اور اس نے بتایا کہ اسے کسی کے پاس فوج کے ایک اعلی اعلی درجہ کے ممبر سے مشورہ کرنے کے لئے لایا گیا تھا اور اس لڑکے نے اس سے پوچھا ، "ٹھیک ہے ، ہم کیسے جانتے ہو کہ آپ جو کرتے ہیں اس میں اچھا ہے؟" اور یہ اور وہ . اور جب وہ ان سے بات کر رہا تھا جب وہ اپنے کمپیوٹر پر استعمال کرتا تھا ، وہ نیٹ ورک میں داخل ہوگیا تھا ، اس نے اس اڈے اور ان لوگوں کے لئے ای میل رجسٹری میں جانے کے لئے ایس کیو ایل انجیکشن استعمال کیا تھا۔ اور اسے اس شخص کا ای میل مل گیا جس سے وہ بات کر رہا تھا اور اس نے اسے ابھی اپنی مشین پر اپنا ای میل دکھایا! اور وہ لڑکا ایسا ہی تھا ، "آپ نے یہ کیسے کیا؟" اس نے کہا ، "ٹھیک ہے ، میں نے ایس کیو ایل انجکشن استعمال کیا۔"
تو ، یہ صرف پانچ سال پہلے کی بات ہے ، اور یہ ائیرفورس کے اڈے پر تھا ، ٹھیک ہے؟ لہذا ، میرا مطلب ہے ، سیاق و سباق کے لحاظ سے ، یہ چیز اب بھی بہت حقیقی ہے اور اسے واقعی خوفناک اثرات کے ساتھ استعمال کیا جاسکتا ہے۔ میرا مطلب ہے ، میں جنگی کہانیوں کے بارے میں جاننے کے لئے تجسس کروں گا جو رابن کے عنوان سے ہے ، لیکن یہ سبھی تکنیک اب بھی درست ہیں۔ وہ اب بھی بہت سے معاملات میں استعمال ہورہے ہیں ، اور یہ خود کو تعلیم دینے کا سوال ہے ، ٹھیک ہے؟
رابن بلور: ٹھیک ہے ، ہاں۔ ہاں ، کام کر کے ایس کیو ایل انجیکشن کا دفاع کرنا ممکن ہے۔ یہ سمجھنا آسان ہے کہ جب یہ خیال ایجاد ہوا اور پہلے پھیل گیا تو ، یہ سمجھنا آسان ہے کہ اس کو کیوں بھگتنا کامیاب ہے ، کیوں کہ آپ اسے صرف ایک ویب صفحے پر ان پٹ فیلڈ میں چپکے رہ سکتے ہیں اور آپ کو اعداد و شمار واپس کرنے کے ل or ، یا حاصل کرسکتے ہیں۔ اس سے ڈیٹا بیس ، یا کسی بھی طرح کا ڈیٹا حذف ہوجانا ہے - آپ ایسا کرنے کے لئے SQL کوڈ لگاسکتے ہیں۔ لیکن یہ وہ چیز ہے جس سے مجھے دلچسپی ہے ، کیا یہ آپ جانتے ہیں ، آپ کو داخل کیے گئے ہر اعداد و شمار کا تھوڑا سا تجزیہ کرنا پڑے گا ، لیکن اس بات کی نشاندہی کرنا ممکن ہے کہ کوئی اس کی کوشش کر رہا ہے۔ اور یہ واقعی ہے ، مجھے لگتا ہے کہ واقعی یہی ہے ، 'کیوں کہ لوگ اب بھی اس سے دور ہوجاتے ہیں ، میرا مطلب ہے کہ یہ واقعی حیرت کی بات ہے کہ اس سے نمٹنے کا کوئی آسان طریقہ نہیں ہے۔ آپ جانتے ہو کہ ، ہر ایک آسانی سے استعمال کرسکتا ہے ، میرا مطلب ہے ، جہاں تک مجھے معلوم ہے ، وکی نہیں ہے ، وہاں نہیں ہے؟
وکی ہارپ: ٹھیک ہے ، حقیقت میں کچھ یرغمالی حل ، جیسے SQL Azure ، میرے خیال میں کچھ عمدہ اچھ methodsے طریقے ہیں جو مشین لرننگ پر مبنی ہیں۔ یہ شاید ہم مستقبل میں دیکھنے جارہے ہیں ، کچھ ایسی چیز ہے جس کی ایک ہی سائز کے ساتھ پورا اترنے کی کوشش کی جارہی ہے۔ میرے خیال میں اس کا جواب دیا گیا ہے کہ ایک سائز سب کے برابر نہیں ہے ، لیکن ہمارے پاس ایسی مشینیں ہیں جو آپ کے سائز کی چیزیں سیکھ سکتی ہیں اور اس بات کو یقینی بناتی ہیں کہ آپ اس کے قابل ہیں ، ٹھیک؟ اور اس لئے کہ اگر آپ کے پاس کوئی غلط مثبت ہے ، تو اس کی وجہ یہ ہے کہ آپ واقعتا کوئی غیر معمولی کام کر رہے ہیں ، اس کی وجہ یہ نہیں ہے کہ آپ کو ہر وہ کام کی نشاندہی کرنا پڑی جو آپ کی ایپلیکیشن کبھی کر سکتی ہے۔
میرے خیال میں اس کی ایک وجہ یہ ہے کہ واقعی یہ اب بھی اتنا فائدہ مند ہے کہ لوگ اب بھی تھرڈ پارٹی ایپلی کیشنز ، اور آئی ایس وی کی ایپلی کیشنز پر انحصار کرتے ہیں اور جو وقت گزرنے کے ساتھ کم ہوجاتے ہیں۔ لہذا ، آپ ایک ایسی تنظیم کے بارے میں بات کرتے ہیں جس نے انجینئرنگ کی درخواست خریدی ہے جو 2001 میں لکھی گئی تھی۔ اور انہوں نے اس کی تازہ کاری نہیں کی ، کیوں کہ اس کے بعد سے اب تک کوئی بڑی عملی تبدیلیاں نہیں ہوئی ہیں ، اور اس کا اصل مصنف قسم تھا ، وہ انجینئر نہیں تھے ، وہ ڈیٹا بیس سیکیورٹی کے ماہر نہیں تھے ، انہوں نے درخواست میں صحیح طریقے سے کام نہیں کیے اور وہ ایک ویکٹر ہونے کی وجہ سے ختم ہوگئے۔ میری سمجھ یہ ہے کہ - میرے خیال میں یہ ٹارگٹ ڈیٹا کی خلاف ورزی تھی ، واقعتا really ایک بڑا حملہ - حملہ کرنے والا ویکٹر اپنے ائر کنڈیشنگ سپلائر میں سے کسی ایک کے ذریعہ ہوا تھا ، ٹھیک ہے؟ لہذا ، ان تیسرے فریق کے ساتھ مسئلہ ، آپ کر سکتے ہیں ، اگر آپ اپنی ہی ڈویلپمنٹ شاپ رکھتے ہیں تو آپ ان اصولوں میں سے کچھ کو اپنے پاس رکھ سکتے ہیں ، جب بھی عام طور پر کرتے ہو۔ ایک تنظیم کی حیثیت سے آپ کے پاس تمام مختلف پروفائلز کے ساتھ سیکڑوں یا اس سے بھی ہزاروں ایپلی کیشنز چل سکتی ہیں۔ میرے خیال میں یہی ہے جہاں مشین لرننگ بھی آرہی ہے اور ہماری بہت مدد کرنا شروع کردے گی۔
میری جنگ کی کہانی تعلیمی تھا۔ مجھے ایس کیو ایل انجیکشن اٹیک دیکھنے کو ملا ، اور میرے ساتھ کبھی ایسا نہیں ہوا تھا جو سادہ پڑھنے کے قابل ایس کیو ایل کا استعمال کریں۔ میں ان چیزوں کو کرتا ہوں جنہیں پی ایس کیو ایل چھٹیوں کے کارڈز کہتے ہیں۔ مجھے کرنا پسند ہے ، آپ اس ایس کیو ایل کو ہر ممکن حد تک الجھاؤ بنائیں۔ یہاں متعدد سی ++ کوڈ مقابلہ ہے جو کئی دہائیوں سے جاری ہے ، اور یہ اسی طرح کا نظریہ ہے۔ لہذا ، جو آپ کو واقعی ملا ہے وہ ایس کیو ایل انجکشن تھا جو کھلی سٹرنگ والے فیلڈ میں تھا ، اس نے تار کو بند کردیا ، اس نے سیمکولن میں ڈال دیا ، اور پھر اس نے ایکسیکٹ کمانڈ لگایا جس کے بعد اس کی تعداد تھی اور پھر یہ بنیادی طور پر استعمال کررہا تھا کاسٹنگ کمانڈ تاکہ ان نمبروں کو بائنری میں ڈالے اور پھر ان کو کاسٹ کریں ، اس کے نتیجے میں ، کردار کی اقدار میں ڈالیں اور پھر اس پر عملدرآمد کریں۔ لہذا ، ایسا نہیں ہے کہ آپ نے ایسی کوئی چیز دیکھی جس میں کہا گیا ہو کہ ، "پروڈکشن ٹیبل سے اسٹارٹ اپ ڈیلیٹ کردیں" ، یہ اصل میں ایسے ہندسوں والے فیلڈز میں بھر گیا تھا جس کی وجہ سے اسے دیکھنے میں سختی آتی ہے۔ یہاں تک کہ ایک بار جب آپ نے اسے دیکھنے کے بعد ، کیا ہو رہا ہے اس کی نشاندہی کرنے کے ل it ، اس کو کچھ حقیقی ایس کیو ایل شاٹس لگی ، جو کچھ ہو رہا ہے اس کا اندازہ کرنے کے قابل ہو گیا ، اس وقت تک جب کام پہلے ہی ہوچکا تھا۔
رابن بلور: اور ہیکنگ کی پوری دنیا میں ایک چیز یہ ہے کہ اگر کسی کو کوئی کمزوری محسوس ہوتی ہے اور یہ سافٹ ویئر کے ٹکڑے میں ہوتا ہے جو عام طور پر فروخت ہوا ہے ، تو آپ جانتے ہو ، ابتدائی پریشانیوں میں سے ایک مسئلہ ہے۔ ڈیٹا بیس کا پاس ورڈ جو آپ کو دیا گیا تھا جب ڈیٹا بیس انسٹال ہوا تھا ، اصل حقیقت میں بہت سارے ڈیٹا بیس صرف ایک ڈیفالٹ تھے۔ اور بہت سارے ڈی بی اے نے کبھی بھی اسے آسانی سے نہیں بدلا ، اور اسی وجہ سے آپ نیٹ ورک میں آنے کا انتظام کرسکتے ہیں۔ آپ صرف اس پاس ورڈ کو آزما سکتے ہیں اور اگر یہ کام کرتا ہے تو ، ٹھیک ہے ، آپ نے ابھی لاٹری جیت لی ہے۔ اور دلچسپ بات یہ ہے کہ وہ تمام معلومات ہارک نیٹ ورک ویب سائٹس پر موجود ہیکنگ برادریوں کے مابین بہت ہی موثر اور مؤثر طریقے سے پھیلی ہیں۔ اور وہ جانتے ہیں۔ لہذا ، وہ بہت کچھ کر سکتے ہیں جو وہاں موجود ہے ، کچھ مثالوں کی تلاش کریں اور خود بخود اس پر کچھ ہیکنگ کا استحصال کریں ، اور وہ اندر آگئے ہیں۔ اور مجھے لگتا ہے کہ بہت سارے لوگ جو کم از کم اس پر ہیں ان سب کا دائرہ ، حقیقت میں یہ نہیں سمجھتے کہ ہیکنگ نیٹ ورک خطرے سے دوچار ہونے کے لئے کتنا تیز ردعمل دیتا ہے۔
وکی ہارپ: ہاں ، یہ حقیقت میں ایک اور چیز سامنے لاتا ہے جس سے میں آگے بڑھنے سے پہلے میں اس کا ذکر کرنا چاہتا تھا ، یہ ساکھ بھرنے کا یہ تصور ہے ، جو ایسی چیز ہے جو بہت زیادہ پاپنگ کر رہا ہے ، یہ ہے کہ ایک بار جب آپ کے اسناد کسی کے لئے بھی چوری ہوچکے ہیں۔ ، کسی بھی سائٹ پر ، ان اسناد کو پورے بورڈ میں دوبارہ استعمال کرنے کی کوشش کی جارہی ہے۔ لہذا ، اگر آپ ڈپلیکیٹ پاس ورڈ استعمال کررہے ہیں تو ، یوں کہیے ، اگر آپ کے صارف ہیں ، تو بھی ، ہم اسے اسی طرح سے ڈالیں ، کوئی شخص اس دستاویزات کا مکمل طور پر جائز سیٹ دکھائی دیتا ہے۔ تو ، ہم یہ کہتے ہیں کہ میں نے اپنا ہی پاس ورڈ ایمیزون اور اپنے بینک میں استعمال کیا ہے ، اور ایک فورم میں اور اس فورم میں اور اس سافٹ ویئر کو ہیک کیا گیا تھا ، ٹھیک ہے ، ان کے پاس میرا صارف نام اور میرا پاس ورڈ ہے۔ اور پھر وہی وہی صارف نام ایمیزون پر استعمال کرسکتے ہیں ، یا وہ اسے بینک میں استعمال کرتے ہیں۔ اور جہاں تک بینک کا تعلق ہے تو ، یہ ایک مکمل طور پر درست لاگ ان تھا۔ اب ، آپ مکمل طور پر مجاز رسائی کے ذریعے مذموم اقدامات کرسکتے ہیں۔
لہذا ، اس قسم کی دوبارہ بات ہوتی ہے جو میں اندرونی خلاف ورزیوں اور داخلی استعمال کے بارے میں کہہ رہا تھا۔ اگر آپ کو اپنی تنظیم میں ایسے افراد مل گئے ہیں جو داخلی رسائی کے لئے اپنا وہی پاس ورڈ استعمال کررہے ہیں جو وہ بیرونی رسائی کے ل do کرتے ہیں تو ، آپ کو یہ امکان مل گیا ہے کہ کسی کو آکر آپ کو کسی دوسری سائٹ پر ہونے والی خلاف ورزی کے ذریعہ نقالی بنانا ہے جس کی آپ کو ضرورت نہیں ہے۔ اس کے بارے میں بھی نہیں جانتے ہیں۔ اور یہ اعداد و شمار بہت تیزی سے پھیلاتے ہیں۔ فہرستیں موجود ہیں ، مجھے لگتا ہے کہ ٹرائے ہنٹ کے ذریعہ "مجھے پیوند کردیا گیا" کرنے کا سب سے حالیہ بوجھ ، انہوں نے کہا کہ اس کے پاس نصف ارب اسناد ہیں ، جو اگر آپ سیارے پر موجود لوگوں کی تعداد پر غور کریں تو - واقعی بڑی تعداد میں اسناد جو اسناد کو بھرنے کے ل made فراہم کی گئیں ہیں۔
لہذا ، میں تھوڑا سا گہرا جاؤں گا اور ایس کیو ایل سرور سیکیورٹی کے بارے میں بات کروں گا۔ اب میں یہ کہنا چاہتا ہوں کہ اگلے 20 منٹ میں اپنے ایس کیو ایل سرور کو محفوظ بنانے کے ل you آپ کو وہ سب کچھ دینے کی ضرورت نہیں ہے جو آپ کو جاننے کی ضرورت ہے۔ یہ تھوڑا سا لمبا حکم لگتا ہے۔ تو ، یہاں تک کہ ، میں یہ کہنا چاہتا ہوں کہ آن لائن گروپس موجود ہیں اور آن لائن وسائل آن لائن ہیں کہ آپ یقینی طور پر گوگل کرسکتے ہیں ، کتابیں موجود ہیں ، مائیکروسافٹ پر بہترین پریکٹس دستاویزات موجود ہیں ، ایس کیو ایل سرور میں پیشہ ور ساتھیوں کے لئے ایک سیکیورٹی ورچوئل باب ہے ، وہ سیکیورٹی.پاس آر ڈاٹ آرگ پر ہیں اور مجھے یقین ہے کہ ، ماہانہ ویب کاسٹ اور ویب کاسٹ کی ریکارڈنگ ایسی نوعیت کے مطابق ہوتی ہے جس میں ایس کیو ایل سرور سیکیورٹی کو کس طرح کرنا ہے۔ لیکن یہ کچھ ایسی چیزیں ہیں جو میں آپ سے ڈیٹا پروفیشنل ، آئی ٹی پروفیشنلز ، بطور ڈی بی اے ، آپ سے بات کر رہا ہوں ، میں چاہتا ہوں کہ آپ کو یہ معلوم کرنا چاہ S کہ آپ کو ایس کیو ایل سرور سیکیورٹی کے ساتھ جاننے کی ضرورت ہے۔
تو پہلا جسمانی تحفظ ہے۔ تو ، جیسا کہ میں نے پہلے کہا ، جسمانی میڈیا چوری کرنا اب بھی بہت عام ہے۔ اور اسی منظر کو جو میں نے دیو مشین کے ساتھ دیا تھا ، دیو مشین پر آپ کے ڈیٹا بیس کی ایک کاپی کے ساتھ جو چوری ہو جاتی ہے۔ یہ ایک بہت ہی عمومی ویکٹر ہے ، وہ ویکٹر ہے جس کے بارے میں آپ کو آگاہ ہونے کی ضرورت ہے اور اس کے خلاف اقدامات اٹھانے کی کوشش کرنا ہوگی۔ بیک اپ سیکیورٹی کے لئے بھی یہ سچ ہے ، لہذا جب بھی آپ اپنے اعداد و شمار کا بیک اپ لے رہے ہو ، آپ کو اس کا خفیہ کردہ بیک اپ سے مقابلہ کرنے کی ضرورت ہوگی ، آپ کو محفوظ مقام تک بیک اپ لینے کی ضرورت ہوگی۔ یہ اعداد و شمار جو واقعتا the ڈیٹا بیس میں محفوظ تھا ، جیسے ہی یہ ڈیف مشینوں پر ، آزمائشی مشینوں پر سے گھریلو مقامات میں جانے لگتا ہے ، ہم پیچ کرنے کے بارے میں تھوڑا سا محتاط ہوجاتے ہیں ، ہمیں تھوڑا سا کم ہوجاتا ہے ان لوگوں کے بارے میں محتاط رہیں جن کو اس تک رسائی حاصل ہے۔ اگلی چیز جس کے بارے میں آپ جانتے ہو ، آپ کو اپنی تنظیم میں عوامی حصص پر غیر خفیہ کردہ ڈیٹا بیس بیک اپز حاصل ہوئے ہیں جو بہت سارے لوگوں سے استحصال کے ل available دستیاب ہیں۔ تو ، جسمانی سلامتی کے بارے میں اور اتنا ہی آسان کے بارے میں سوچو ، کیا کوئی چل سکتا ہے اور صرف ایک USB کی کلید اپنے سرور میں ڈال سکتا ہے؟ آپ کو اس کی اجازت نہیں دینی چاہئے۔
اگلی آئٹم میں آپ کے بارے میں سوچنا چاہتا ہوں وہ ہے پلیٹ فارم سیکیورٹی ، لہذا تازہ ترین OS ، تازہ ترین پیچ۔ لوگوں کو ونڈوز کے پرانے ورژن ، ایس کیو ایل سرور کے پرانے ورژن پر قائم رہنے کے بارے میں بات کرتے ہوئے یہ سن کر بہت تھکاوٹ ہوتی ہے کہ یہ سوچتے ہوئے کہ لائسنسنگ اپ گریڈ کی قیمت صرف اسی طرح ہے جو ایسا نہیں ہے۔ ہم سلامتی کے ساتھ ہیں ، یہ ایک ندی ہے جو پہاڑی سے نیچے جاتی رہتی ہے اور جیسے جیسے وقت گزرتا جاتا ہے ، مزید کارنامے پائے جاتے ہیں۔ اس معاملے میں مائیکروسافٹ ، اور دوسرے گروپس جیسے بھی ہو سکتے ہیں ، وہ پرانے سسٹم کو کسی حد تک اپ ڈیٹ کردیں گے ، اور آخر کار وہ حمایت سے محروم ہوجائیں گے اور وہ انہیں مزید اپ ڈیٹ نہیں کریں گے ، کیونکہ یہ صرف ایک نہ ختم ہونے والا عمل ہے بحالی
اور اسی طرح ، آپ کو ایک تعاون یافتہ OS پر رہنے کی ضرورت ہے اور آپ کو اپنے پیچ پر تازہ ترین ہونے کی ضرورت ہے ، اور ہم نے حال ہی میں شیڈو بروکرز کی طرح پایا ہے ، کچھ معاملات میں مائیکرو سافٹ کو ان سے پہلے آنے والے بڑے حفاظتی خلاف ورزیوں پر بصیرت حاصل ہوسکتی ہے۔ انکشاف کرنے سے پہلے ، سرعام بنائے جانے سے ، لہذا اپنے آپ کو ہر طرح سے مڑے ہوئے نہ ہونے دیں۔ میں ڈاؤن ٹائم نہیں لوں گا ، بلکہ میں انتظار کروں گا اور ان میں سے ہر ایک کو پڑھ کر فیصلہ کروں گا۔ آپ کو یہ معلوم نہیں ہوگا کہ اس کی قیمت کیا ہے جب تک کہ جب آپ کو یہ معلوم ہوجائے کہ یہ پیچ کیوں ہوا ہے اس لائن کے نیچے کچھ ہفتوں تک ہے۔ تو ، اس کے اوپر رہیں.
آپ کو اپنا فائر وال کنفیگر کرنا چاہئے۔ ایس این بی کی خلاف ورزی میں یہ چونکانے والی بات تھی کہ انٹرنیٹ پر کھلا فائر وال کے ساتھ کتنے لوگ ایس کیو ایل سرور کے پرانے ورژن چلا رہے ہیں ، لہذا کوئی بھی اپنے سرورز کے ذریعہ جو کچھ بھی کرنا چاہتا ہے کر سکتا ہے۔ آپ کو فائر وال استعمال کرنا چاہئے۔ حقیقت یہ ہے کہ آپ کو وقتا فوقتا قواعد تشکیل دینا پڑتے ہیں یا جس طرح سے آپ اپنا کاروبار کر رہے ہیں اس کے لئے مخصوص استثناء دینی ہے۔ آپ کو اپنے ڈیٹا بیس سسٹم میں سطح کے رقبے کو کنٹرول کرنے کی ضرورت ہے - کیا آپ ایک ہی مشین پر IIS جیسی خدمات یا ویب سرور جیسے شریک انسٹال کر رہے ہیں؟ ایک ہی ڈسک اسپیس کا اشتراک ، آپ کے ڈیٹا بیس اور اپنے نجی ڈیٹا جیسی میموری اسپیس شیئر کرنا؟ ایسا کرنے کی کوشش نہ کریں ، اسے الگ تھلگ کرنے کی کوشش کریں ، سطح کے رقبے کو چھوٹا رکھیں ، تاکہ آپ کو یہ یقینی بنانے کے بارے میں اتنی فکر کرنے کی ضرورت نہ ہو کہ یہ سب ڈیٹا بیس کے اوپر محفوظ ہے۔ آپ ان کو جسمانی طور پر الگ کرسکتے ہیں ، پلیٹ فارم ، انہیں الگ کرسکیں ، اپنے آپ کو سانس لینے کا کمرہ تھوڑا سا دیں۔
آپ کو ہر جگہ ہر جگہ دوڑنے والے سپر ایڈمنز نہیں ہونے چاہئیں جو آپ کو اپنے تمام ڈیٹا تک رسائی حاصل کرسکیں۔ OS منتظم اکاؤنٹس کو لازمی طور پر آپ کے ڈیٹا بیس تک ، یا ڈیٹا بیس میں انکرپشن کے ذریعے بنیادی ڈیٹا تک رسائی کی ضرورت نہیں ہوگی ، جس کے بارے میں ہم ایک منٹ میں بات کریں گے۔ اور ڈیٹا بیس فائلوں تک رسائی ، آپ کو بھی اس پر پابندی لگانی ہوگی۔ یہ احمقانہ قسم کی بات ہے اگر آپ یہ کہیں تو ، ٹھیک ہے ، کوئی ان ڈیٹا بیس تک ڈیٹا بیس کے ذریعے رسائی حاصل نہیں کرسکتا ہے۔ ایس کیو ایل سرور خود ان تک رسائی کی اجازت نہیں دیتا ہے ، لیکن اگر پھر وہ گھوم سکتے ہیں تو ، اصل ایم ڈی ایف فائل کی کاپی لے سکتے ہیں ، اسے صرف اتنا منتقل کردیں ، اسے اپنے ہی ایس کیو ایل سرور کے ساتھ منسلک کریں ، آپ واقعی بہت کم نہیں ہوسکے ہیں۔ زیادہ
خفیہ کاری ، تو خفیہ کاری وہ مشہور دو طرفہ تلوار ہے۔ خفیہ کاری کی مختلف سطحیں موجود ہیں جو آپ OS کی سطح پر کرسکتے ہیں اور ایس کیو ایل اور ونڈوز کے لئے کام کرنے کا معاصر طریقہ بٹ لاکر کے پاس ہے اور ڈیٹا بیس کی سطح پر اسے ٹی ڈی ای یا شفاف ڈیٹا انکرپشن کہا جاتا ہے۔ لہذا ، یہ دونوں طریقے ہیں کہ آپ آرام سے اپنے ڈیٹا کو خفیہ رکھیں۔ اگر آپ اپنے کوائف کو مزید جامع طور پر خفیہ رکھنا چاہتے ہیں تو ، آپ کو خفیہ کردہ کام کر سکتے ہیں - معذرت ، میں نے ایک قسم آگے بڑھایا ہے۔ آپ کو انکرپٹڈ کنکشن لگ سکتے ہیں تاکہ جب بھی ٹرانزٹ میں ہو ، اب بھی انکرپٹ ہوجائے تاکہ اگر کوئی سن رہا ہو ، یا کسی حملے کے بیچ میں کوئی آدمی ہے تو آپ کو اس ڈیٹا کو تار سے کچھ زیادہ حفاظت حاصل ہوسکتی ہے۔ آپ کے بیک اپ کو خفیہ کرنے کی ضرورت ہے ، جیسا کہ میں نے کہا ہے کہ ، یہ دوسروں کے لئے قابل رسائی ہوسکتے ہیں اور پھر ، اگر آپ یہ چاہتے ہیں کہ میموری میں اور استعمال کے دوران اس کو خفیہ بنایا جائے ، تو ہمیں کالم کو خفیہ کاری مل گئی ہے اور پھر ، SQL 2016 کا یہ تصور ہے "ہمیشہ انکرپٹڈ "جہاں اس کو اصل میں ڈسک پر ، میموری میں ، تار پر ، اس اطلاق کے پورے راستے کو جس میں ڈیٹا کو حقیقت میں استعمال کیا جارہا ہے اس کو خفیہ کیا جاتا ہے۔
اب ، یہ ساری خفیہ کاری مفت نہیں ہے: یہاں سی پی یو اوور ہیڈ ہوتا ہے ، کبھی کبھی کالم کی خفیہ کاری اور ہمیشہ سے خفیہ کردہ معاملہ بھی ہوتا ہے ، اس اعداد و شمار کو تلاش کرنے کی آپ کی صلاحیت کے لحاظ سے کارکردگی پر مضمرات پڑتے ہیں۔ تاہم ، اگر یہ خفیہ کاری صحیح طور پر ایک ساتھ رکھی گئی ہے تو ، اس کا مطلب یہ ہے کہ اگر کسی کو آپ کے ڈیٹا تک رسائی حاصل کرنا پڑے تو ، نقصان بہت کم ہوجاتا ہے ، کیونکہ وہ اسے حاصل کرنے میں کامیاب تھے اور پھر وہ اس کے ساتھ کچھ نہیں کرسکتے ہیں۔ تاہم ، یہ بھی وہ طریقہ ہے جس میں رینسم ویئر کام کرتا ہے ، کیا یہ ہے کہ کوئی اندر جاکر ان اشیاء کو اپنے سرٹیفکیٹ یا اپنے پاس ورڈ کے ذریعہ موڑ دیتا ہے اور آپ کو اس تک رسائی حاصل نہیں ہے۔ لہذا ، لہذا یہ یقینی بنانا ضروری ہے کہ آپ یہ کر رہے ہیں ، اور آپ کو اس تک رسائی حاصل ہے ، لیکن آپ اسے نہیں دے رہے ہیں ، دوسروں اور حملہ آوروں کے لئے کھلا ہے۔
اور پھر ، سیکیورٹی کے اصول۔ میں اس نکتے کو روکنے والا نہیں ہوں ، لیکن اس بات کو یقینی بنائے کہ آپ کے پاس ہر صارف SQL سرور میں بطور سپر ایڈمن نہیں چل رہا ہے۔ آپ کے ڈویلپرز یہ چاہتے ہیں ، مختلف صارف یہ چاہتے ہیں - انفرادی اشیا تک رسائی حاصل کرنے کی درخواست کر کے وہ مایوس ہوچکے ہیں - لیکن آپ کو اس کے بارے میں مستعد رہنے کی ضرورت ہے ، اور اگرچہ یہ زیادہ پیچیدہ بھی ہو ، اشیاء تک رسائی فراہم کریں اور ڈیٹا بیس اور اسکیمے جو جاری کام کے لئے موزوں ہیں ، اور ایک خاص معاملہ ہے ، ہوسکتا ہے کہ اس کا مطلب خصوصی لاگ ان ہو ، اس کا مطلب یہ نہیں ہے کہ اوسطا صارف کے ل for حقوق کی بلندی کا مطلب ہو۔
اور پھر ، انضباطی تعمیل کے بارے میں غور و فکر کیا گیا ہے جو اس پر عمل درآمد کرتے ہیں اور کچھ معاملات حقیقت میں اپنی طرح سے چل سکتے ہیں۔ لہذا یہاں HIPAA ، SOX ، PCI ہے - یہ سب مختلف باتیں ہیں۔ اور جب آپ آڈٹ کرتے ہیں تو آپ سے توقع کی جاسکتی ہے کہ آپ اس کی تعمیل میں رہنے کے ل actions اقدامات کر رہے ہیں۔ اور اس طرح ، بہت زیادہ باتوں پر نظر رکھنا ہے ، میں ڈی بی اے ٹو ڈو لسٹ کی حیثیت سے کہوں گا ، آپ سیکیورٹی فزیکل انکرپشن کنفیگریشن کو یقینی بنانے کی کوشش کر رہے ہیں ، آپ اس بات کو یقینی بنانے کی کوشش کر رہے ہیں کہ اس ڈیٹا تک رسائی کا آڈٹ ہو رہا ہے۔ آپ کی تعمیل کے مقاصد کے ل، ، اس بات کو یقینی بنانا کہ آپ کے حساس کالم ، آپ کو معلوم ہو کہ وہ کیا ہیں ، وہ کہاں ہیں ، آپ کو کون سے خفیہ کاری کرنا چاہئے اور اس تک رسائی دیکھنے میں ہوگی۔ اور یہ یقینی بنانا کہ تشکیلات ان ریگولیٹری رہنما خطوط کے مطابق ہیں جو آپ کے تابع ہیں۔ اور آپ کو یہ سب کچھ تازہ رکھنا ہوگا کیونکہ حالات بدل رہے ہیں۔
تو ، یہ کرنے کے لئے بہت کچھ ہے ، اور اس ل I اگر میں اسے ابھی وہاں چھوڑ دوں تو ، میں کہوں گا کہ جاؤ۔ لیکن اس کے ل different بہت سارے ٹولز موجود ہیں ، اور اس طرح ، اگر میں آخری چند لمحوں میں ، میں آپ کو اس کے لئے آئیڈیرا میں موجود کچھ ٹولز آپ کو دکھانا چاہتا ہوں۔ اور میں جن دو کے بارے میں آج میں بات کرنا چاہتا ہوں وہ ہیں ایس کیو ایل سیکیور اور ایس کیو ایل تعمیل منیجر۔ ایس کیو ایل سیکور ہمارا ٹول ہے جو ترتیب میں پائے جانے والے خطرات سے متعلق شناخت کرنے میں مدد کرتا ہے۔ آپ کی حفاظتی پالیسیاں ، آپ کے صارف کی اجازت ، آپ کی سطح کے رقبے کی تشکیلات۔ اور اس میں آپ کو مختلف ریگولیٹری فریم ورک کی تعمیل کرنے میں مدد کرنے کے لئے ٹیمپلیٹس ہیں۔ یہ خود ہی ، آخری سطر ، لوگوں کے لئے اس پر غور کرنے کی وجہ ہوسکتی ہے۔ کیونکہ ان مختلف ضوابط کے بارے میں پڑھنے اور ان کی معنویت کی شناخت کرنا ، پی سی آئی اور پھر یہ سارا راستہ میری دکان میں واقع اپنے ایس کیو ایل سرور تک لے جانا ، یہ بہت کام ہے۔ یہ وہ کام ہے جس کے لئے آپ مشورے کے بہت سارے پیسے ادا کرسکتے ہیں۔ ہم نے یہ مشورہ کیا ہے کہ ہم نے مختلف آڈیٹنگ کمپنیوں وغیرہ کے ساتھ مل کر کام کیا ہے ، تاکہ ان ٹیمپلیٹس کو کیا کچھ پیش کیا جا -۔ اور پھر آپ اپنے ماحول میں ان سانچوں کو استعمال کرسکتے ہیں اور انہیں دیکھ سکتے ہیں۔
ہمارے پاس بھی ایس کیو ایل کمپلینس منیجر کی شکل میں بہن کا ایک اور ٹول ہے ، اور یہ وہ جگہ ہے جہاں ایس کیو ایل سیکیور ترتیب کی ترتیبات کے بارے میں ہے۔ ایس کیو ایل تعمیل منیجر یہ دیکھنے کے بارے میں ہے کہ کس کے ذریعہ ، کب کیا گیا تھا۔ لہذا ، اس کا آڈٹ ہو رہا ہے ، لہذا یہ آپ کو سرگرمی کی نگرانی کرنے کی اجازت دیتا ہے کیونکہ یہ واقع ہورہی ہے اور آپ کو پتہ لگانے اور معلوم کرنے دیتا ہے کہ کون چیزوں تک رسائی حاصل کر رہا ہے۔ کیا کوئی ، مثال کے طور پر مثال کے طور پر آپ کے اسپتال میں مشہور شخصیات کی حیثیت سے جانچ پڑتال کر رہا تھا ، کیا کوئی تجسس کی بناء پر کوئی جا رہا تھا اور ان کی معلومات تلاش کر رہا تھا؟ کیا ان کے پاس ایسا کرنے کی کوئی وجہ تھی؟ آپ آڈٹ کی تاریخ پر ایک نظر ڈال سکتے ہیں اور دیکھ سکتے ہیں کہ کیا ہو رہا ہے ، کون ان ریکارڈوں تک رسائی حاصل کر رہا تھا۔ اور آپ اس کی نشاندہی کرسکتے ہیں کہ حساس کالموں کی نشاندہی کرنے میں مدد کے ل to آپ کے پاس ٹولز موجود ہیں ، لہذا آپ کو خود پڑھنے اور خود ہی یہ کام کرنے کی ضرورت نہیں ہے۔
لہذا ، اگر میں کرسکتا ہوں تو ، میں ان آخری ٹھنٹوں میں آگے بڑھ کر آپ کو ان میں سے کچھ ٹولز دکھاتا ہوں - اور براہ کرم اس کو گہرائی میں ڈیمو نہ سمجھیں۔ میں ایک پروڈکٹ مینیجر ہوں ، سیلز انجینئر نہیں ہوں ، لہذا میں آپ کو کچھ ایسی چیزیں دکھاتا ہوں جو میرے خیال میں اس بحث سے متعلق ہیں۔ تو ، یہ ہماری ایس کیو ایل محفوظ مصنوعات ہے۔ اور جیسا کہ آپ یہاں دیکھ سکتے ہیں ، میرے پاس اس قسم کا ایک اعلی سطحی رپورٹ کارڈ ہے۔ میں نے کل یہ خیال کیا تھا۔ اور یہ مجھے کچھ چیزیں دکھاتا ہے جو صحیح طور پر مرتب نہیں ہوئے ہیں اور کچھ چیزیں جو صحیح طریقے سے ترتیب دی گئی ہیں۔ لہذا ، آپ دیکھ سکتے ہیں کہ یہاں ہم نے 100 سے زیادہ مختلف جانچ پڑتال کی ہے۔ اور میں دیکھ سکتا ہوں کہ میں جو بیک اپ کر رہا ہوں اس پر میرا بیک اپ انکرپشن ، میں بیک اپ انکرپشن استعمال نہیں کر رہا ہوں۔ میرا SA اکاؤنٹ ، واضح طور پر "SA اکاؤنٹ" کا نام دیا گیا ہے اسے غیر فعال یا نام تبدیل نہیں کیا گیا ہے۔ عوامی سرور کے کردار کی اجازت ہے ، لہذا یہ وہ سب چیزیں ہیں جن کو میں تبدیل کرنا چاہتا ہوں۔
میرے پاس یہاں پالیسی تشکیل دی گئی ہے ، لہذا اگر میں اپنے سرورز پر اطلاق کرنے کے لئے ایک نئی پالیسی مرتب کرنا چاہتا ہوں تو ہمارے پاس یہ تمام اندرونی پالیسیاں ہیں۔ لہذا ، میں ایک موجودہ پالیسی ٹیمپلیٹ استعمال کروں گا اور آپ دیکھ سکتے ہیں کہ میرے پاس سی آئی ایس ، HIPAA ، PCI ، SR ہے اور جاری ہے ، اور ہم حقیقت میں اضافی پالیسیاں شامل کرنے کے عمل میں ہیں ، ان چیزوں کی بنیاد پر جو لوگوں کو اس شعبے میں درکار ہیں۔ . اور آپ ایک نئی پالیسی بھی تشکیل دے سکتے ہیں ، لہذا اگر آپ کو معلوم ہو کہ آپ کا آڈیٹر کیا ڈھونڈ رہا ہے تو آپ خود بھی تشکیل دے سکتے ہیں۔ اور پھر ، جب آپ ایسا کرتے ہیں تو ، آپ ان تمام ترتیبات میں سے کسی ایک کا انتخاب کرسکتے ہیں ، جسے آپ کو ترتیب دینے کی ضرورت ہے ، کچھ معاملات میں ، آپ کو مجھے واپس جانے دیں اور پہلے سے تیار کردہ ایک تلاش کریں۔ یہ آسان ہے ، میں منتخب کرسکتا ہوں ، کہوں ، کہوں ، ہائپی اے - مجھے پہلے ہی ہیپپا مل گیا ہے ، میرا برا - پی سی آئی ، اور پھر ، جیسے ہی میں یہاں پر کلک کر رہا ہوں ، میں واقعی میں اس حصے کا خارجی حوالہ دیکھ سکتا ہوں اس سے متعلق ہے کہ ضابطے. اس کے بعد آپ کی مدد ہوگی ، جب آپ یہ جاننے کی کوشش کر رہے ہیں کہ میں یہ کیوں ترتیب دے رہا ہوں؟ میں کیوں اس کو دیکھنے کی کوشش کر رہا ہوں؟ اس کا کس سیکشن سے تعلق ہے؟
اس میں ایک عمدہ آلہ بھی ہے جس سے یہ آپ کو اپنے صارفین کو اندر جانے اور براؤز کرنے دیتا ہے ، لہذا آپ کے صارف کے کردار کی کھوج کے بارے میں ایک مشکل چیز یہ ہے کہ ، دراصل ، میں یہاں ایک جائزہ لینے جا رہا ہوں۔ لہذا ، اگر میں اپنے لئے اجازت دکھاتا ہوں تو آئیے دیکھتے ہیں کہ یہاں صارف منتخب کریں۔ اجازت نامے دکھائیں۔ میں اس سرور کے لئے تفویض کردہ اجازتیں دیکھ سکتا ہوں ، لیکن پھر میں یہاں کلک کرسکتا ہوں اور موثر اجازتوں کا حساب کتاب کرسکتا ہوں ، اور اس کی بنیاد پر مجھے پوری فہرست مل جائے گی ، لہذا اس معاملے میں یہ منتظم ہے ، لہذا یہ اتنا دلچسپ نہیں ہے ، لیکن میں مختلف صارفین کو دیکھ سکتا تھا اور دیکھ سکتا تھا کہ ان کے موثر اجازتیں کیا ہیں ، ان سبھی گروہوں کی بنیاد پر جن سے وہ تعلق رکھتے ہیں۔ اگر آپ کبھی خود ہی یہ کام کرنے کی کوشش کرتے ہیں تو درحقیقت یہ پریشانی کا باعث ہوسکتی ہے ، معلوم کرنے کے لئے ، ٹھیک ہے یہ صارف ان گروپس کا ممبر ہے لہذا گروپوں وغیرہ کے ذریعہ ان چیزوں تک رسائی حاصل ہے۔
لہذا ، جس طرح سے یہ پروڈکٹ کام کرتی ہے ، کیا یہ اسنیپ شاٹس لیتا ہے ، لہذا یہ واقعی میں مستقل طور پر سرور کا سنیپ شاٹ لینا کوئی مشکل عمل نہیں ہے اور پھر وہ اس سنیپ شاٹس کو وقت کے ساتھ ساتھ رکھتا ہے تاکہ آپ تبدیلیوں کا موازنہ کرسکیں۔ لہذا ، یہ کارکردگی کی نگرانی کے آلے کی طرح روایتی معنوں میں مستقل نگرانی نہیں ہے۔ یہ وہ چیز ہے جو آپ نے ایک رات میں ایک بار ، ایک ہفتے میں ایک بار چلانے کے لئے تیار کی ہو گی - تاہم اکثر آپ کو درست معلوم ہوتا ہے - تاکہ جب بھی آپ تجزیہ کر رہے ہوں اور آپ کچھ زیادہ ہی کر رہے ہوں تو ، آپ واقعتا you're صرف ہمارے آلے میں کام کر رہے ہیں۔ آپ اتنا واپس اپنے سرور سے نہیں جڑ رہے ہیں ، لہذا اس طرح کی مستحکم ترتیبات پر عمل پیرا ہونے کے ل work کام کرنے کا یہ ایک بہت اچھا سا ٹول ہے۔
دوسرا آلہ جو میں آپ کو دکھانا چاہتا ہوں وہ ہمارے تعمیل منیجر کا آلہ ہے۔ تعمیل منیجر مزید مستقل طور پر مانیٹر کرنے جارہا ہے۔ اور یہ دیکھنے والا ہے کہ آپ کے سرور پر کون کیا کر رہا ہے اور آپ کو اس پر ایک نگاہ ڈالنے کی اجازت دیتا ہے۔ تو ، میں نے یہاں کیا کیا ہے ، پچھلے دو یا دو گھنٹے میں ، میں نے واقعی کچھ چھوٹی مشکلات پیدا کرنے کی کوشش کی ہے۔ لہذا ، یہاں مجھے مل گیا ہے کہ آیا یہ کوئی مسئلہ ہے یا نہیں ، مجھے شاید اس کے بارے میں معلوم ہو ، کسی نے واقعتا a لاگ ان بنایا ہے اور اسے سرور کے کردار میں شامل کیا ہے۔ لہذا ، اگر میں اندر جاکر اس پر ایک نگاہ ڈالوں تو ، میں دیکھ سکتا ہوں - میرا اندازہ ہے کہ میں وہاں دائیں کلک نہیں کرسکتا ہوں ، میں دیکھ سکتا ہوں کہ کیا ہو رہا ہے۔ تو ، یہ میرا ڈیش بورڈ ہے اور میں دیکھ سکتا ہوں کہ آج سے تھوڑا پہلے میرے پاس بہت سے ناکام لاگ ان تھے۔ میں سیکیورٹی سرگرمی ، DBL سرگرمی کا ایک گروپ تھا.
تو ، مجھے اپنے آڈٹ واقعات پر جانے اور ایک نگاہ ڈالنے دو۔ یہاں میں اپنے آڈٹ واقعات کو زمرہ اور ہدف آبجیکٹ کے مطابق گروپ کرچکا ہوں ، لہذا اگر میں پہلے سے اس سیکیورٹی پر ایک نظر ڈالتا ہوں تو ، میں ڈیمو نیوزر کو دیکھ سکتا ہوں ، یہ تخلیق سرور لاگ ان ہوا۔ اور میں دیکھ سکتا ہوں کہ لاگ ان SA نے یہ ڈیمو نیو صارف اکاؤنٹ بنایا ، یہاں ، شام 2:42 بجے اور پھر ، میں دیکھ سکتا ہوں کہ اس کے بدلے میں ، سرور میں لاگ ان شامل کریں ، اس ڈیمو نیوزر کو سرور ایڈمن گروپ میں شامل کیا گیا تھا ، انہیں شامل کیا گیا تھا ایڈمن گروپ سیٹ اپ کریں ، انہیں سیسڈمین گروپ میں شامل کیا گیا۔ تو ، یہ وہ چیز ہے جس کے بارے میں میں جاننا چاہتا ہوں کہ ہوا ہے۔ میں نے یہ بھی ترتیب دیا ہے تاکہ میری ٹیبلز میں حساس کالموں کا سراغ لگایا جاسکے ، لہذا میں دیکھ سکتا ہوں کہ کون اس تک رسائی حاصل کر رہا ہے۔
لہذا ، یہاں مجھے کچھ جوڑے ملے جو میری ذاتی میز پر پائے گئے ہیں ، ایڈونچر ورکس سے۔ اور میں ایک نظر ڈال سکتا ہوں اور دیکھ سکتا ہوں کہ ساہسک ورکس ٹیبل پر موجود صارف SA نے ڈاٹ شخص سے ایک منتخب ٹاپ ٹین اسٹار کیا۔ تو ہوسکتا ہے کہ میں اپنی تنظیم میں نہیں چاہتا ہوں کہ لوگ شخصی ڈاٹ شخص سے منتخب ستارے کریں ، یا میں صرف کچھ صارفین سے ایسا کرنے کی توقع کر رہا ہوں ، اور اس لئے میں اسے یہاں دیکھنے والا ہوں۔ لہذا ، آپ کو اپنے آڈٹ کے ضمن میں جس چیز کی ضرورت ہے ، ہم اسے فریم ورک کی بنیاد پر مرتب کرسکتے ہیں اور یہ کچھ زیادہ ہی وسعت والا ذریعہ ہے۔ یہ ورژن کے لحاظ سے ایس کیو ایل ٹریس ، یا ایس کیو ایل ایکس واقعات کا استعمال کررہا ہے۔ اور یہ ایک ایسی چیز ہے جس کے ل you're آپ کو اپنے سرور پر ایڈجسٹ کرنے کے ل some کچھ ہیڈ روم لگانا پڑیں گے ، لیکن یہ ان چیزوں میں سے ایک ہے ، جیسے انشورنس ، جو اچھی بات ہے اگر ہمارے پاس کار انشورنس نہ کرنا پڑے تو - یہ ایک ایسی چیز ہوگی لاگت جو ہمیں لینے کی ضرورت نہیں ہے - لیکن اگر آپ کے پاس ایسا سرور ہے جہاں آپ کو یہ معلوم کرنے کی ضرورت ہے کہ کون کیا کر رہا ہے تو ، آپ کو ایسا کرنے کے لئے تھوڑا سا اضافی ہیڈ روم اور اس طرح کا آلہ بھی لینے کی ضرورت ہوگی۔ چاہے آپ ہمارا آلہ استعمال کر رہے ہو یا آپ خود اس کو رول کررہے ہو ، بالآخر آپ باقاعدگی سے تعمیری مقاصد کے ل this اس معلومات کے ذمہ دار ہوں گے۔
لہذا جیسا کہ میں نے کہا ، گہرائی کا ڈیمو نہیں ، صرف ایک تیز ، چھوٹا سا خلاصہ۔ میں اس ایس کیو ایل کالم سرچ کی شکل میں آپ کو ایک تیز ، چھوٹا سا مفت ٹول بھی دکھانا چاہتا تھا ، جو آپ کو اس بات کی شناخت کے ل can استعمال کرسکتے ہیں کہ آپ کے ماحول میں کون سے کالم حساس معلومات دکھائی دیتے ہیں۔ لہذا ، ہمارے پاس تلاش کی متعدد تشکیلات موجود ہیں جہاں یہ کالموں کے مختلف ناموں کی تلاش کررہی ہے جو عام طور پر حساس ڈیٹا پر مشتمل ہیں ، اور پھر مجھے ان کی یہ پوری فہرست مل گئی ہے جس کی شناخت کی گئی ہے۔ میرے پاس ان میں سے 120 ہیں ، اور پھر میں نے انہیں یہاں برآمد کیا ، تاکہ میں ان کو یہ کہنے کے لئے استعمال کر سکوں ، آئیے دیکھیں اور یہ یقینی بنائیں کہ میں درمیانی نام تک رسائی حاصل کر رہا ہوں ، ایک شخص ڈاٹ پرسن یا سیلز ٹیکس شرح ، وغیرہ
مجھے معلوم ہے کہ ہم اپنے وقت کے اختتام پر ٹھیک ہو رہے ہیں۔ اور یہی وہ سب ہے جو مجھے دراصل آپ کو دکھانا تھا ، تو میرے لئے کوئی سوال؟
ایرک کااناگ: میرے پاس آپ کے ل a کچھ اچھے ہیں۔ میں اسے یہاں سکرول کرتا ہوں۔ ایک شرکا واقعی ایک اچھا سوال پوچھ رہا تھا۔ جن میں سے ایک پرفارمنس ٹیکس کے بارے میں پوچھ رہا ہے ، لہذا میں جانتا ہوں کہ یہ حل سے حل تک مختلف ہوتا ہے ، لیکن کیا آپ کو اس بارے میں کوئی عام خیال ہے کہ آئی ڈی آر اے سیکیورٹی ٹولز کے استعمال کے ل the پرفارمنس ٹیکس کیا ہے؟
وکی ہارپ: لہذا ، ایس کیو ایل سیکور پر ، جیسا کہ میں نے کہا ، یہ بہت کم ہے ، یہ صرف کبھی کبھار سنیپ شاٹس لینے جا رہا ہے۔ اور یہاں تک کہ اگر آپ بہت آسانی سے چل رہے ہیں تو ، اس کو ترتیبات کے بارے میں مستحکم معلومات مل رہی ہیں ، اور اس ل it's یہ بہت کم ہے ، تقریباl نہ ہونے کے برابر۔ تعمیل منیجر کے لحاظ سے ، یہ ہے
ایرک کااناگ: ایک فیصد کی طرح؟
وکی ہارپ: اگر مجھے ایک فیصد نمبر دینا ہے ، ہاں ، یہ ایک فیصد یا اس سے کم ہوگا۔ یہ ایس ایس ایم ایس کو استعمال کرنے اور سیکیورٹی ٹیب میں جانے اور چیزوں کو بڑھانے کے آرڈر کے بارے میں بنیادی معلومات ہے۔ تعمیل کی طرف ، یہ بہت زیادہ ہے۔ اسی ل I میں نے کہا کہ اس کو تھوڑا سا ہیڈ روم کی ضرورت ہے - یہ اس طرح کی بات ہے جو کارکردگی کی نگرانی کے معاملے میں آپ کے پاس ہے۔ اب ، میں لوگوں کو اس سے دور نہیں کرنا چاہتا ہوں ، تعمیل مانیٹرنگ کی چال ، اور اگر اس کا آڈٹ کرنا ہے تو اس بات کو یقینی بنانا ہے کہ آپ جس چیز پر عمل پیرا ہو رہے ہیں اس کا صرف آپ آڈٹ کررہے ہو۔ لہذا ، ایک بار جب آپ یہ کہتے ہوئے فلٹر کرتے ہیں کہ ، "ارے ، میں یہ جاننا چاہتا ہوں کہ لوگ ان مخصوص میزوں تک کب پہنچتے ہیں ، اور میں جب بھی لوگوں تک رسائی حاصل کرتا ہوں ، ان مخصوص اقدامات کو جاننا چاہتا ہوں ،" تو یہ اس بات پر مبنی ہوگا کہ یہ چیزیں کتنی بار ہوتی ہیں ہو رہا ہے اور آپ کتنا ڈیٹا تیار کررہے ہیں؟ اگر آپ کہتے ہیں کہ ، "میں ان میں سے کسی بھی ٹیبل پر کبھی بھی ہونے والی ہر سلیکٹ کا مکمل ایس کیو ایل ٹیکسٹ چاہتا ہوں ،" تو یہ ممکنہ طور پر گیگا بائٹ اور گیگا بائٹس کا ڈیٹا ہوگا جس کو ایس کیو ایل سرور نے پارس کرنے کی ضرورت ہے ، کو ہماری مصنوعات میں منتقل کردیا گیا ہے ، وغیرہ
اگر آپ اسے نیچے رکھتے ہیں تو یہ اس سے بھی زیادہ معلومات کا حامل ہوگا جس سے آپ شاید نپٹ سکتے ہو۔ اگر آپ اسے ایک چھوٹے سے سیٹ پر لے جاسکتے ہیں ، تاکہ آپ کو روزانہ دو سو واقعات مل رہے ہوں ، تو یہ واقعی بہت کم ہے۔ تو ، واقعی ، کچھ طریقوں سے ، آسمان کی حد ہے۔ اگر آپ ہر چیز کے لئے تمام مانیٹرنگ پر تمام ترتیبات کو چالو کرتے ہیں ، تو ہاں ، یہ 50 فیصد کارکردگی کا مظاہرہ کرے گا۔ لیکن اگر آپ اسے کسی حد تک اعتدال پسند ، سمجھے جانے والے درجے کی طرف موڑنے جا رہے ہیں تو ، میں شائد 10 فیصد آنکھوں کا گولا بنوں گا؟ واقعی ، یہ ان چیزوں میں سے ایک ہے جو آپ کے کام کے بوجھ پر بہت زیادہ انحصار کرنے والی ہے۔
ایرک کااناگ: ہاں ، ٹھیک ہے۔ ہارڈ ویئر کے بارے میں ایک اور سوال ہے۔ اور پھر ، ہارڈ ویئر فروش کھیل میں شامل ہو رہے ہیں اور واقعی میں سافٹ ویئر فروشوں کے ساتھ تعاون کر رہے ہیں اور میں نے سوال و جواب کی ونڈو کے ذریعے جواب دیا۔ مجھے ایک خاص معاملہ کا علم ہے ، کلوڈیرہ انٹیل کے ساتھ کام کر رہا تھا جہاں انٹیل نے ان میں بہت بڑی سرمایہ کاری کی تھی ، اور حساب کتاب کا ایک حصہ یہ تھا کہ کلوڈرا کو چپ ڈیزائن تک جلد رسائی حاصل ہوجائے گی ، اور اس طرح وہ سیکیورٹی کو چپ کی سطح تک بنا سکے گی۔ فن تعمیر ، جو بہت متاثر کن ہے۔ لیکن بہرحال ، یہ ایسی چیز ہے جو وہاں سے نکلنے والی ہے ، اور پھر بھی دونوں طرف سے استحصال کیا جاسکتا ہے۔ کیا آپ سیکیورٹی پروٹوکول پر سافٹ ویئر فروشوں کے ساتھ تعاون کرنے کے لئے ہارڈ ویئر فروشوں کے کسی رجحان یا کسی رجحان کے بارے میں جانتے ہیں؟
وکی ہارپ: ہاں ، حقیقت میں ، میں سمجھتا ہوں کہ مائیکرو سافٹ نے کچھ تعاون کرنے کے لئے تعاون کیا ہے ، جیسے ، کچھ خفیہ کاری کے کام کے لئے میموری کی جگہ درحقیقت مدر بورڈز پر علیحدہ چپس پر ہو رہی ہے جو آپ کی اصل میموری سے الگ ہے۔ اس چیز کو جسمانی طور پر الگ کردیا جاتا ہے۔ اور مجھے یقین ہے کہ حقیقت میں یہ وہ چیز تھی جو مائیکروسافٹ کی جانب سے دکانداروں کے پاس جانے کے سلسلے میں آئی تھی ، "کیا ہم اسے بنانے کے لئے کوئی راستہ لے کر آسکتے ہیں ، بنیادی طور پر یہ پریشان کن میموری ہے ، میں بفر اوور فلو کے ذریعے نہیں جا سکتا یہ حافظہ ، کیونکہ یہ وہاں بھی نہیں ہے ، کسی لحاظ سے ، لہذا میں جانتا ہوں کہ اس میں سے کچھ ہو رہا ہے۔
ایرک کااناگ: ہاں۔
وکی ہارپ: یہ واقعی میں واقعتا big بہت بڑا دکاندار ثابت ہوگا۔
ایرک کااناگ: ہاں۔ میں اس کے لئے دیکھنا چاہتا ہوں ، اور ہوسکتا ہے کہ رابن ، اگر آپ کے پاس تیز رفتار سے دوسرا نمبر ہے تو ، میں برسوں کے دوران آپ کے تجربے کو جاننے کے لئے دلچسپ ہوں گا ، کیوں کہ ایک بار پھر ، ہارڈ ویئر کے معاملے میں ، اصل ماد scienceی سائنس کے معاملے میں جو جاتا ہے۔ جس چیز کو آپ فروشوں کی طرف سے جمع کر رہے ہو ، وہ معلومات دونوں اطراف میں جاسکتی ہیں ، اور نظریاتی طور پر ہم دونوں اطراف میں کافی تیزی سے چلے جاتے ہیں ، تو کیا وہاں ہارڈ ویئر کو زیادہ محتاط انداز میں استعمال کرنے کا کوئی طریقہ ہے ، تاکہ ڈیزائن سکیورٹی سے متعلق ڈیزائن کے نقطہ نظر سے؟ آپ کیا سوچتے ہیں؟ رابن ، کیا آپ گونگا ہیں؟
رابن بلور: ہاں ، ہاں مجھے افسوس ہے ، میں حاضر ہوں۔ میں صرف سوال پر غور کر رہا ہوں۔ سچ پوچھیں تو ، مجھے کوئی رائے نہیں ملی ، یہ ایک ایسا علاقہ ہے جس پر میں نے اہم گہرائی سے نہیں دیکھا ہے ، لہذا میں قسم کی ہوں ، آپ جانتے ہیں ، میں اپنی رائے ایجاد کرسکتا ہوں ، لیکن مجھے حقیقت میں معلوم نہیں ہے۔ میں سافٹ ویئر میں چیزوں کو محفوظ رکھنے کو ترجیح دیتا ہوں ، یہ صرف اسی طرح سے ہے جو میں کھیلتا ہوں ، بنیادی طور پر۔
ایرک کااناگ: ہاں۔ ٹھیک ہے ، لوگ ، ہم نے ایک گھنٹہ جلا کر یہاں تبدیل کردیا ہے۔ اپنے وقت اور توجہ کے لئے وکی ہارپ کا بہت بہت شکریہ۔ ہم ان چیزوں کو ظاہر کرنے کی تعریف کرتے ہیں۔ یہ ایک بہت بڑی بات ہے۔ یہ کسی بھی وقت جلد دور نہیں ہونے والا ہے۔ یہ ایک بلی اور ماؤس کا کھیل ہے جو چلتا اور چلتا رہتا ہے۔ اور اس لئے ہم شکرگزار ہیں کہ کچھ کمپنیاں وہاں موجود ہیں ، سیکیورٹی کو چالو کرنے پر مرکوز ہیں ، لیکن جیسے ہی اختی نے دن کے اختتام پر اپنی پیش کش میں تھوڑا سا کے بارے میں بھی اشارہ کیا اور اس کے بارے میں بات کی ، یہ تنظیموں میں شامل لوگوں کو بہت احتیاط سے سوچنے کی ضرورت ہے ان فشینگ حملوں کے بارے میں ، اس طرح کی سوشل انجینئرنگ ، اور اپنے لیپ ٹاپ کو تھام لیں - اسے کافی شاپ پر مت چھوڑیں! اپنا پاس ورڈ تبدیل کریں ، بنیادی باتیں کریں ، اور آپ کو وہاں کا 80 فیصد راستہ ملنے والا ہے۔
تو ، اس کے ساتھ ، لوگوں ، ہم آپ کو الوداع کرنے کے لئے بولیں گے ، اپنے وقت اور توجہ کے لئے ایک بار پھر آپ کا شکریہ۔ ہم اگلی بار آپ کی گرفت کریں گے ، دیکھ بھال کریں۔ خدا حافظ.
وکی ہارپ: الوداع ، شکریہ۔
