ٹیکا وے: میزبان ایرک کااناگ نے ڈاکٹر رابن بلور اور آئی ڈی ای آر اے وکی ہارپ کے ساتھ سلامتی اور اجازتوں پر تبادلہ خیال کیا۔
آپ فی الحال لاگ ان نہیں ہیں۔ ویڈیو دیکھنے کے لئے براہ کرم لاگ ان یا سائن اپ کریں۔
ایرک کااناگ: ٹھیک ہے ، خواتین اور حضرات ، ہیلو اور دوبارہ خوش آمدید۔ یہ بدھ ، چار مشرقی اور انٹرپرائز ٹکنالوجی کی دنیا میں ہے جس کا مطلب ہے گرم ٹکنالوجیوں کے لئے ایک بار پھر اس کا وقت! ہاں یقینا. ٹیکوپیڈیا میں ہمارے دوستوں کے تعاون سے بلور گروپ کورس کورس کے ذریعہ پیش کیا گیا۔ آج کا موضوع واقعتا cool ایک عمدہ ہے: "اجازت پوچھنا بہتر ہے: پرائیویسی اور سلامتی کے ل Best بہترین طریقہ کار۔" یہ ٹھیک ہے ، اس نوعیت کا ایک سخت موضوع ، بہت سارے لوگ اس کے بارے میں بات کرتے ہیں ، لیکن یہ ایک بہت ہی سنجیدہ موضوع ہے ، اور یہ واقعتا more ہر دن زیادہ سنجیدہ ہوتا جارہا ہے ، بالکل صاف۔ یہ بہت ساری تنظیموں کے لئے بہت سے طریقوں سے ایک سنگین مسئلہ ہے۔ اس بارے میں بات کرنے جارہے تھے اور اس بارے میں بات کرنے جارہے تھے کہ آپ اپنے تنظیم کو ان مذموم کرداروں سے بچانے کے لئے کیا کرسکتے ہیں جو ان دنوں سب جگہ نظر آتے ہیں۔
لہذا آج کا پیش کنندہ اختی ہارپ کو IDERA سے کال کر رہا ہے۔ آپ لنکڈین پر آئیڈیرا سافٹ ویئر دیکھ سکتے ہیں - مجھے لنکڈین پر نئی فعالیت پسند ہے۔ اگرچہ میں یہ بتا سکتا ہوں کہ وہ کچھ طریقوں سے کچھ تاروں کو کھینچ رہے ہیں ، لوگوں تک رسائی نہیں دے رہے ہیں ، تاکہ آپ ان پریمیم ممبرشپ خریدیں۔ آپ وہاں جائیں ، ہمارے پاس اپنا بہت ہی رابن بلور ہے ، جو آج کل سان ڈیاگو کے علاقے میں ڈائل کررہے ہیں۔ اور واقعی آپ کے ناظم / تجزیہ کار کے طور پر آپ کا۔
تو ہم کس کے بارے میں بات کر رہے ہیں؟ ڈیٹا کی خلاف ورزی میں نے ابھی ابھی یہ معلومات آئیڈینٹی فورس ڈاٹ کام سے لی ہے ، جو ریس کے لئے پہلے ہی موجود ہے۔ اس سال کے دوران مئی میں تھے ، اور اس میں صرف ایک ٹن اعداد و شمار کی خلاف ورزی ہے ، یاہو کے ذریعہ ، واقعی کچھ بہت بڑی تعداد موجود ہے۔ بہت بڑا تھا ، اور ہم نے یقینا the امریکی حکومت کو ہیک کیے جانے کے بارے میں سنا ہے۔ ہم نے ابھی ابھی فرانسیسی انتخابات ہیک کیے تھے۔
یہ ساری جگہ پر ہو رہا ہے ، اس کا سلسلہ جاری ہے اور رکنے والا نہیں ہے ، لہذا یہ حقیقت ہے ، اس کی نئی حقیقت ہے ، جیسا کہ ان کا کہنا ہے۔ ہمیں واقعی اپنے سسٹمز اور اپنے ڈیٹا کی حفاظت کو نافذ کرنے کے طریقوں کے بارے میں سوچنے کی ضرورت ہے۔ اور یہ ایک جاری عمل ہے ، لہذا وقتی طور پر ان تمام مختلف امور کے بارے میں سوچنا جو عمل میں آتے ہیں۔ یہ محض ایک جزوی فہرست ہے ، لیکن اس سے آپ کو کچھ نقطہ نظر ملتا ہے کہ انٹرپرائز سسٹم کے ساتھ ان دنوں صورتحال کس قدر نازک ہے۔ اور اس شو سے پہلے ، ہمارے پری شو بینٹر میں ہم تاوان کے بارے میں بات کر رہے تھے جس نے مجھے جانتے ہوئے کسی کو مارا ہے ، جو بہت ناگوار تجربہ ہے ، جب کوئی آپ کے فون پر قبضہ کرتا ہے اور آپ کے فون پر دوبارہ رسائی حاصل کرنے کے لئے آپ سے پیسے کا مطالبہ کرتا ہے۔ لیکن ایسا ہوتا ہے ، یہ کمپیوٹروں کے ساتھ ہوتا ہے ، یہ نظاموں کے ساتھ ہوتا ہے ، میں نے دوسرے ہی دن دیکھا تھا ، اربوں پیسوں کے ساتھ یہ ہو رہا تھا۔ ایک دن آپ کی یاٹ پر جانے کا تصور کریں ، اپنے تمام دوستوں کو متاثر کرنے کی کوشش کریں اور آپ اسے آن بھی نہیں کرسکتے ، کیونکہ کچھ چوروں نے کنٹرول پینل تک رسائی چوری کردی ہے۔ میں نے دوسرے دن صرف کسی کو انٹرویو دیتے ہوئے کہا تھا ، ہمیشہ دستی تحریر کریں۔ جیسے ، میں تمام منسلک کاروں کا بڑا مداح نہیں ہوں - یہاں تک کہ کاروں کو بھی ہیک کیا جاسکتا ہے۔ انٹرنیٹ سے منسلک ، یا کسی نیٹ ورک سے جڑا ہوا کسی بھی چیز کو ہیک کیا جاسکتا ہے ، کچھ بھی۔
لہذا ، صورتحال کو کتنا سنگین سمجھنے کے سلسلے میں غور کرنے کے لئے صرف چند چیزیں یہ ہیں۔ ویب پر مبنی سسٹم ان دنوں کہیں بھی موجود ہیں ، وہ پھیلتے ہی رہتے ہیں۔ کتنے لوگ آن لائن سامان خریدتے ہیں؟ ابھی ان دنوں چھت سے ہی گزر رہا ہے ، کیوں کہ آج کل ایمیزون اتنی طاقتور قوت ہے۔ اس کی وجہ یہ ہے کہ بہت سارے لوگ آن لائن سامان خرید رہے ہیں۔
لہذا ، آپ کو یاد ہے ، 15 سال پہلے ، لوگ اپنی معلومات حاصل کرنے کے لئے اپنے کریڈٹ کارڈ کو ویب فارم میں ڈالنے سے کافی گھبرائے ہوئے تھے ، اور اس کے بعد ، دلیل یہ بھی تھی ، "ٹھیک ہے ، اگر آپ اپنا کریڈٹ کارڈ کسی ویٹر کے حوالے کردیتے ہیں۔ ایک ریستوراں ، پھر وہی چیز چلاتا ہے۔ "لہذا ، ہمارا جواب ہاں میں ہے ، وہی ایک ہی چیز ہے ، یہ سارے کنٹرول پوائنٹ ، یا رسائ پوائنٹس ، ایک ہی چیز ، ایک ہی سکے کے مختلف رخ ہیں ، جہاں لوگوں کو رکھا جاسکتا ہے۔ خطرے میں پڑجائیں ، جہاں کوئی آپ کے پیسے لے سکتا ہے ، یا کوئی آپ سے چوری کرسکتا ہے۔
پھر IOT کورس کے خطرے سے متعلق کی توسیع کرتا ہے - میں اس لفظ کو پسند کرتا ہوں - وسعت کے حکم سے۔ میرا مطلب ہے ، اس کے بارے میں سوچیں - ہر جگہ ان تمام نئے آلات کے ساتھ ، اگر کوئی اس نظام کو ہیک کر سکتا ہے جو ان کو کنٹرول کرتا ہے ، تو وہ ان تمام بوٹس کو آپ کے خلاف بنا سکتا ہے اور بہت ساری پریشانیوں کا سبب بن سکتا ہے ، لہذا یہ ایک بہت ہی سنگین مسئلہ ہے۔ آج کل ہمارے پاس ایک عالمی معیشت ہے ، جو خطرات کی کیپ کو اور بھی بڑھاتا ہے ، اور اس سے بھی زیادہ ، آپ کے پاس دوسرے ممالک میں ایسے لوگ بھی ہیں جو ویب پر اسی طرح سے رسائی حاصل کرسکتے ہیں جس طرح آپ اور میں کرسکتے ہیں ، اور اگر آپ نہیں جانتے کہ روسی زبان کیسے بولنا ہے ، یا دوسری زبانیں ، آپ کو یہ سمجھنے میں ایک مشکل وقت درپیش ہے کہ جب وہ آپ کے سسٹم میں ہیک کرتے ہیں تو کیا ہو رہا ہے۔ لہذا ہمارے پاس نیٹ ورکنگ اور ورچوئلائزیشن میں ترقی ہے ، اچھی بات ہے۔
لیکن میرے پاس یہاں اس تصویر کے دائیں طرف ہے ، ایک تلوار اور میرے پاس اس کی وجہ یہ ہے کہ ہر تلوار دونوں راستوں کو کاٹ دیتی ہے۔ جیسا کہ ان کا کہنا ہے کہ یہ ایک دو دھاری تلوار ہے ، اور یہ ایک پرانا کلچ ہے ، لیکن اس کا مطلب ہے کہ میرے پاس جو تلوار ہے وہ آپ کو نقصان پہنچا سکتی ہے یا اس سے مجھے نقصان پہنچا سکتا ہے۔ یہ مجھ پر واپس آسکتا ہے ، یا تو واپس اچھال کر ، یا کسی کو لے کر۔ اس کا اصل میں ایک ایسپس افسانوں میں سے ایک ہے - ہم اکثر اپنے دشمنوں کو اپنی تباہی کا آلہ دیتے ہیں۔ یہ واقعی بہت ہی زبردست کہانی کا نقشہ ہے اور اس کے ساتھ کوئی تعلق ہے جس نے کمان اور تیر کا استعمال کیا اور کسی پرندے کو گولی مار دی اور پرندے نے دیکھا جیسے ہی تیر آرہا تھا ، اس کے پرندے دوستوں میں سے ایک کا پنکھ تیر کے کنارے پر تھا ، اس کی رہنمائی کے لئے تیر کے پچھلے حصے پر ، اور اس نے اپنے آپ سے سوچا ، "اوہ یار ، یہ میرے اپنے پروں کی بات ہے ، میرا اپنا کنبہ مجھے اتارنے کے لئے استعمال ہوتا رہے گا۔" ہر وقت ایسا ہوتا ہے ، آپ سنتے ہیں گھر میں بندوق رکھنے کے بارے میں اعدادوشمار ، چور بندوق لے سکتا ہے۔ ٹھیک ہے ، یہ سب سچ ہے۔ لہذا ، میں اسے صرف ایک مشابہت کے طور پر غور کرنے کے لئے باہر پھینک رہا ہوں ، ان سبھی مختلف پیشرفتوں کے مثبت رخ اور منفی پہلو ہیں۔
اور بات کریں تو ، آپ میں سے ان لوگوں کے لئے کنٹینرز جو واقعی انٹرپرائز کمپیوٹنگ کے جدید حصے پر عمل پیرا ہیں ، کنٹینرز جدید ترین چیز ، فعالیت کو فراہم کرنے کا تازہ ترین طریقہ ہے ، یہ خدمت پر مبنی فن تعمیر میں واقعی ورچوئلائزیشن کی شادی ہے ، کم از کم مائکرو سروسز اور اس کے لئے بہت دلچسپ چیزیں۔ آپ یقینی طور پر اپنے حفاظتی پروٹوکول اور اپنے اطلاق کے پروٹوکول اور اپنے اعداد و شمار کو آگے بڑھاتے ہوئے ، کنٹینر استعمال کر سکتے ہیں ، اور اس سے آپ کو کچھ مدت کے لئے پیشگی توجیہ ملتی ہے ، لیکن جلد یا بدیر ، برا آدمی اس کا پتہ لگانے والا ہے ، اور پھر آپ کے سسٹم کا فائدہ اٹھاتے ہوئے ان کی روک تھام کرنا اور بھی مشکل ہوگا۔ تو ، وہاں ، عالمی سطح پر افرادی قوت موجود ہے جو نیٹ ورک اور سیکیورٹی کو پیچیدہ کرتی ہے ، اور جہاں سے لوگ لاگ ان ہو رہے ہیں۔
ہمیں برائوزر کی جنگیں مل گئیں جو تیزی سے جاری رہتی ہیں ، اور اپ ڈیٹ کرنے اور چیزوں کی چوٹی پر قائم رہنے کے لئے مستقل کام کی ضرورت ہوتی ہے۔ ہم مائیکرو سافٹ ایکسپلورر کے پرانے براؤزر کے بارے میں سنتے رہتے ہیں کہ ان کو کیسے ہیک کیا گیا تھا اور وہیں دستیاب تھے۔ لہذا ، ان دنوں ہیکنگ میں اور زیادہ رقم کمائی جاسکتی ہے ، پوری صنعت ہے ، یہ وہی چیز ہے جو میرے ساتھی ، ڈاکٹر بلور نے آٹھ سال پہلے مجھے سکھائی تھی - میں حیران تھا کہ ہم اس میں اتنا کچھ کیوں دیکھ رہے ہیں ، اور انہوں نے یاد دلایا۔ میں ، اس کی پوری صنعت ہیکنگ میں شامل ہے۔ اور اس لحاظ سے ، داستان ، جو سیکیورٹی کے بارے میں میرے سب سے کم پسندیدہ الفاظ میں سے ایک ہے ، واقعتا very بے حد بے ایمان ہے ، کیوں کہ اس داستان میں ان تمام ویڈیوز اور کسی بھی طرح کی خبروں کی کوریج میں آپ کو دکھایا گیا ہے ، کچھ ہیکنگ وہ بیٹھے ہوڈ میں بیٹھے ہوئے آدمی کو دکھاتے ہیں ، ایک تاریک روشنی والے کمرے میں اس کے تہ خانے میں ، ایسا ہر گز نہیں ہوتا ہے۔ یہ حقیقت کا کوئی نمائندہ نہیں ہے۔ اس کے تنہا ہیکرز ، بہت ہی کم ہیکر موجود ہیں ، وہ وہاں موجود ہیں ، وہ پریشانی کا باعث ہیں - وہ بڑی پریشانی کا سبب نہیں بن رہے ہیں ، لیکن وہ پوری رقم کما سکتے ہیں۔ تو کیا ہوتا ہے ہیکر آتے ہیں ، اور آپ کے سسٹم میں گھس جاتے ہیں اور پھر وہ رسائی کسی اور تک بیچ دیتے ہیں ، جو اس کا رخ موڑ کر کسی اور کو بیچ دیتا ہے ، اور پھر کہیں لکیر کے نیچے ، کوئی اس ہیک کا استحصال کرتا ہے اور آپ کا فائدہ اٹھاتا ہے۔ اور چوری شدہ ڈیٹا سے فائدہ اٹھانے کے لاتعداد طریقے ہیں۔
یہاں تک کہ میں اپنے آپ کو حیرت میں ڈال رہا ہوں کہ ہم اس تصور کو کس طرح روشن کررہے ہیں۔ آپ کو یہ اصطلاح ہر جگہ نظر آتی ہے ، جیسے "نمو ہیکنگ" اچھی چیز ہے۔ گروتھ ہیکنگ ، آپ جانتے ہو ، ہیکنگ ایک اچھی چیز ہوسکتی ہے ، اگر آپ اچھے لوگوں کے لئے کام کرنے کی کوشش کر رہے ہیں تاکہ کسی نظام میں بات کریں اور ہیک کریں ، جیسے ہم شمالی کوریا اور ان کے میزائل لانچوں کے بارے میں سنتے رہتے ہیں ، ممکنہ طور پر ہیک کیا جارہا ہے۔ . لیکن ہیکنگ اکثر بری چیز ہوتی ہے۔ جب اب ہم رابن ہوڈ کو گلیمرائز کرتے تھے تو ، اب ، رابن ہڈ کی طرح ، اس کی بھی توجہ دے رہے تھے۔ اور پھر وہاں کیش لیس سوسائٹی ہے ، جو کچھ مجھ سے باہر کی روشنی کی فکرمند بات ہے۔ میں جو کچھ بھی سنتا ہوں وہ سوچتا ہوں ، "نہیں ، براہ کرم یہ نہ کریں! براہ کرم نہ کریں! ”میں نہیں چاہتا کہ ہمارا سارا پیسہ غائب ہو۔ لہذا ، یہ صرف کچھ امور ہیں جن پر غور کرنا ہے ، اور پھر ، یہ ایک بلی اور ماؤس کھیل ہے۔ یہ کبھی رکنے والا نہیں ، ہمیشہ سیکیورٹی پروٹوکول کی ضرورت ہوگی اور سیکیورٹی پروٹوکول کو آگے بڑھانا ہوگا۔ اور جاننے اور سنسان کرنے کے ل systems اپنے سسٹم کی نگرانی کے لئے ، سمجھ بوجھ کے ساتھ یہ اندرونی کام بھی ہوسکتا ہے۔ لہذا ، یہ ایک جاری مسئلہ ہے ، یہ کافی عرصے سے جاری مسئلہ بن جائے گا - اس کے بارے میں کوئی غلطی نہ کریں۔
اور اس کے ساتھ ، میں اسے ڈاکٹر بلور کے حوالے کروں گا ، جو ہمارے ساتھ ڈیٹا بیس کو محفوظ بنانے کے بارے میں کچھ خیالات بانٹ سکتا ہے۔ رابن ، اسے لے جاؤ۔
رابن بلور: ٹھیک ہے ، دلچسپ ہیکوں میں سے ایک ، میرے خیال میں یہ تقریبا پانچ سال پہلے واقع ہوا تھا ، لیکن بنیادی طور پر یہ ایک کارڈ پروسیسنگ کمپنی تھی جسے ہیک کیا گیا تھا۔ اور بڑی تعداد میں کارڈ کی تفصیلات چوری ہوئیں۔ لیکن اس کے بارے میں دلچسپ بات یہ ہے کہ میرے نزدیک یہ حقیقت یہ تھی کہ یہ واقعی ٹیسٹ ڈیٹا بیس تھا جس میں وہ واقعتا into داخل ہو گئے تھے ، اور شاید ایسا ہی معاملہ تھا کہ انھیں پروسیسنگ کارڈوں کے اصل ، اصل ڈیٹا بیس میں جانے میں بڑی دشواری کا سامنا کرنا پڑا تھا۔ لیکن آپ جانتے ہیں کہ یہ ڈویلپرز کے ساتھ کیسا ہے ، وہ صرف ایک ڈیٹا بیس کا کٹ لیں ، وہاں پھینک دیں۔ اس کو روکنے کے لئے کہیں زیادہ چوکسی ہونا پڑے گی۔ لیکن ہیکنگ کی دلچسپ کہانیاں بہت ساری ہیں ، یہ ایک ہی شعبے میں بنتی ہے ، یہ ایک بہت ہی دلچسپ مضمون بناتی ہے۔
لہذا ، میں واقعتا، جا رہا ہوں ، ایک طرح سے یا کسی اور طرح ، کچھ ایسی باتوں کو دہراؤں جو ایرک نے کہا تھا ، لیکن اعداد و شمار کی حفاظت کو جامد ہدف کے طور پر سوچنا آسان ہے۔ اس کی وجہ یہ ہے کہ مستحکم حالات کا تجزیہ کرنا اور پھر اپنے دفاع میں دفاع ، لیکن دفاعی اقدامات کے بارے میں سوچنا آسان ہے۔ اس کا چلتا ہوا ہدف اور ایسی چیزوں میں سے ایک ہے جس میں سکیورٹی کی پوری جگہ کی وضاحت ہوتی ہے۔ یہ بالکل اسی طرح ہے جس میں ساری ٹکنالوجی تیار ہوتی ہے ، برے لوگوں کی ٹکنالوجی بھی تیار ہوتی ہے۔ تو ، مختصر جائزہ: ڈیٹا چوری کوئی نئی بات نہیں ، حقیقت میں ، ڈیٹا کی جاسوسی ڈیٹا کی چوری ہے اور یہ ہزاروں سالوں سے جاری ہے۔
ان لحاظ سے سب سے بڑا ڈیٹا انگریزوں نے جرمن کوڈ کو توڑنے اور امریکیوں نے جاپانی کوڈ کو توڑنا تھا ، اور دونوں ہی واقعات میں انہوں نے جنگ کو کافی حد تک مختصر کردیا تھا۔ اور وہ صرف مفید اور قیمتی ڈیٹا چوری کررہے تھے ، یہ یقینا very بہت ہی چالاک تھا ، لیکن آپ جانتے ہو ، ابھی کیا ہو رہا ہے بہت سارے طریقوں سے ہوشیار ہے۔ سائبر چوری انٹرنیٹ کے ساتھ ہی پیدا ہوئی تھی اور 2005 کے آس پاس پھٹ گئی تھی۔ میں نے جاکر سارے اعدادوشمار کو دیکھا اور جب آپ واقعی سنجیدہ ہونے لگے اور کسی نہ کسی طرح ، خاص طور پر زیادہ تعداد 2005 کے آغاز میں شروع ہوئی۔ پھر. بہت سے کھلاڑی ، حکومتیں شامل ہیں ، کاروبار شامل ہیں ، ہیکر گروپس اور افراد۔
میں ماسکو گیا تھا - اس کو تقریبا five پانچ سال ہوئے ہوں گے - اور میں نے حقیقت میں بہت زیادہ وقت برطانیہ کے ایک لڑکے کے ساتھ صرف کیا تھا ، جس نے ہیکنگ کی پوری جگہ پر تحقیق کی تھی۔ اور انہوں نے کہا کہ - اور مجھے نہیں معلوم کہ یہ سچ ہے یا نہیں ، مجھے صرف اس کے لئے اپنا کلام ملا ہے ، لیکن یہ بہت امکان لگتا ہے - کہ روس میں بزنس نیٹ ورک کے نام سے کوئی چیز موجود ہے ، جو ہیکرز کا ایک گروپ ہے جو آپ سب کو ہے ، معلوم ، وہ کے جی بی کے کھنڈرات سے نکل آئے ہیں۔ اور وہ اپنے آپ کو فروخت کرتے ہیں ، نہ کہ صرف ، میرا مطلب ہے ، مجھے یقین ہے کہ روسی حکومت انھیں استعمال کرتی ہے ، لیکن وہ اپنے آپ کو کسی کے پاس بیچ دیتے ہیں ، اور یہ افواہ تھا ، یا انہوں نے کہا کہ یہ افواہ ہے ، کہ متعدد غیر ملکی حکومتیں کاروباری نیٹ ورک کو قابل مذمت انکار کے لئے استعمال کر رہی ہیں۔ . ان لوگوں کے پاس لاکھوں سمجھوتے والے پی سی کے نیٹ ورک تھے جن سے وہ حملہ کرسکتے ہیں۔ اور ان کے پاس وہ تمام ٹولز تھے جن کا آپ تصور کرسکتے ہیں۔
تو ، حملے اور دفاع کی ٹیکنالوجی تیار ہوئی۔ اور کاروباری اداروں کا اپنے اعداد و شمار پر نگہداشت کا فرض ہے ، چاہے وہ اس کے مالک ہوں یا نہ ہوں۔ اور یہ کہ ریگولیشن کے مختلف ٹکڑوں کے معاملے میں جو زیادہ واضح طور پر پہلے سے نافذ ہیں ، یا نافذ العمل ہیں ، کے لحاظ سے زیادہ واضح ہونا شروع ہو جاتے ہیں۔ اور بہتر ہونے کا امکان ہے ، کسی نہ کسی طرح سے کسی ایک فرد کو ، کسی کو ہیکنگ کی قیمت اس طرح اٹھانا پڑے گی کہ وہ اس امکان کو بند کرنے کی ترغیب دیتے ہیں۔ میرا خیال ہے کہ ایک چیز ضروری ہے۔ تو ہیکرز کے بارے میں ، وہ کہیں بھی واقع ہوسکتے ہیں۔ خاص طور پر آپ کی تنظیم کے اندر - ہوشیار ہیکوں کی ایک خوفناک بات جس کے بارے میں میں نے کسی کو دروازہ کھولنے میں ملوث ہونے کے بارے میں سنا ہے۔ آپ جانتے ہو ، وہ شخص ، جیسے بینک ڈکیتوں کی صورتحال کی طرح ، وہ ہمیشہ اچھے بینک ڈکیتیوں میں کہتے تھے کہ اندرونی آدمی ہوتا ہے۔ لیکن اندرونی کو صرف معلومات دینے کی ضرورت ہوتی ہے ، لہذا ان کو حاصل کرنا ، یہ جاننا کہ یہ کون ہے ، اور اسی طرح مشکل ہے۔
اور انھیں انصاف دلانا مشکل ہوسکتا ہے ، کیوں کہ اگر آپ کو مالڈووا میں لوگوں کے ایک گروہ نے ہیک کیا ہے ، یہاں تک کہ اگر آپ جانتے ہو کہ یہ وہ گروہ تھا ، تو آپ ان کے آس پاس کسی طرح کا قانونی واقعہ پیش کرنے والے کیسے ہو؟ اس قسم کی ، ایک دائرہ اختیار سے دوسرے دائرہ اختیار تک ، اس کا منصفانہ ، ہیکرز کو ختم کرنے کے لئے بین الاقوامی انتظامات کا ایک بہت اچھا مجموعہ موجود نہیں ہے۔ وہ ٹیکنالوجی اور معلومات کا اشتراک کرتے ہیں۔ اس کا ایک بہت کھلا ذریعہ ہے۔ اگر آپ اپنا وائرس بنانا چاہتے ہیں تو ، وہاں بہت سارے وائرس کٹس موجود ہیں۔ مکمل طور پر اوپن سورس۔ اور ان کے پاس خاطر خواہ وسائل ہیں ، ایک ایسی تعداد موجود ہے جس نے ڈیٹا سنٹرز اور پی سی وغیرہ میں دس لاکھ سے زیادہ سمجھوتہ کرنے والے آلات میں بوٹنیٹس حاصل کیے ہیں۔ کچھ منافع بخش کاروبار ہیں جو ایک طویل عرصے سے چل رہے ہیں ، اور پھر حکومتی گروپ موجود ہیں ، جیسا کہ میں نے بتایا۔جیسا کہ ایرک نے کہا ، اس کا امکان نہیں ، اس کا امکان کبھی بھی ختم نہیں ہوتا ہے۔
تو ، یہ ایک دلچسپ ہیک ہے جس کے بارے میں میں نے ابھی سوچا کہ آئی ڈی اس کا ذکر کرے ، کیونکہ یہ ایک حالیہ ہیک تھا۔ یہ پچھلے سال ہوا تھا۔ ایتھیریم کریپٹو سکن سے وابستہ ڈی اے او معاہدہ میں ایک خطرہ تھا۔ اور اس پر ایک فورم پر تبادلہ خیال کیا گیا ، اور ایک دن کے اندر ، DAO معاہدہ ہیک ہو گیا ، اس خطرے کو عین مطابق استعمال کرتے ہوئے۔ ther 50 ملین آسمان پر منتقل کیا گیا تھا ، جس سے ڈی اے او پروجیکٹ میں فوری بحران پیدا ہوا اور اسے بند کردیا گیا۔ اور ایتھیریم نے حقیقت میں ہیکر کو پیسوں تک رسائی سے روکنے کی کوشش کرنے اور لڑنے کے لئے جدوجہد کی ، اور اس طرح اس نے اس کا فائدہ کم کیا۔ لیکن یہ بھی مانا جاتا تھا - یقین سے نہیں جانا جاتا تھا - کہ ہیکر نے دراصل اپنے حملے سے قبل ایتھر کی قیمت کم کردی تھی ، یہ جان کر کہ آسمان کی قیمت گر جائے گی ، اور اس طرح اس نے ایک اور طریقے سے منافع کمایا۔
اور ایک اور بات ، اگر آپ پسند کرتے ہو تو ، ایسی ہچکچاہٹ جو ہیکر استعمال کرسکتے ہیں۔ اگر وہ آپ کے حصص کی قیمت کو نقصان پہنچا سکتے ہیں ، اور وہ جانتے ہیں کہ وہ ایسا کریں گے تو ، پھر ان کے لئے یہ ضروری ہے کہ وہ حصص کی قیمت کو کم کریں اور ہیک کریں ، لہذا اس طرح کی ، یہ لڑکے ہوشیار ہیں ، آپ جانتے ہیں۔ اور قیمت پیسے ، خلل ڈالنے اور تاوان کی سراسر چوری ہے ، جس میں سرمایہ کاری بھی شامل ہے ، جہاں آپ اسٹاک کو توڑے اور مختصر کرتے ہیں ، تخریب کاری ، شناخت کی چوری ، ہر طرح کے گھوٹالے ، صرف اشتہار کی خاطر۔ اور یہ سیاسی ، یا ظاہر ہے ، معلومات کی جاسوسی کرتا ہے اور یہاں تک کہ ایسے لوگ بھی ہیں جو گوگل ، ایپل ، حتی کہ پینٹاگون کو ہیک کرنے کی کوشش کر کے حاصل کرسکتے ہیں ، بگ بائونٹی سے فائدہ اٹھاتے ہیں۔ اور آپ صرف ہیک کرتے ہیں؛ اگر یہ کامیاب ہے ، تو آپ صرف جاکر اپنے انعام کا دعوی کریں ، اور کوئی نقصان نہیں ہوا ہے ، لہذا آپ کو معلوم ہے کہ ایک اچھی بات ہے۔
میں تعمیل اور ضابطے کا ذکر بھی کرسکتا ہوں۔ سیکٹر اقدامات کے علاوہ ، سرکاری قواعد و ضوابط کا بوجھ پڑتا ہے: HIPAA ، SOX ، FISMA ، FERPA اور GLBA تمام امریکی قانون سازی ہیں۔ معیارات ہیں؛ PCI-DSS ایک عمومی طور پر عام معیار بن گیا ہے۔ اور پھر ڈیٹا کی ملکیت کے بارے میں آئی ایس او 17799 ہے۔ یہاں تک کہ یورپ میں بھی ، قومی قوانین ملک سے مختلف ہیں۔ اور فی الحال جی ڈی پی آر۔ عالمی ڈیٹا ، اس کا کیا مطلب ہے؟ گلوبل ڈیٹا پروٹیکشن ریگولیشن ، میرے خیال میں اس کا مطلب ہے - لیکن اگلے سال سے اس کا نفاذ ہوگا۔ اور اس کے بارے میں دلچسپ بات یہ ہے کہ اس کا اطلاق پوری دنیا میں ہوتا ہے۔ اگر آپ کے پاس 5000 یا اس سے زیادہ صارفین موصول ہوئے ہیں ، جن کے بارے میں آپ کو ذاتی معلومات ملی ہیں اور وہ یورپ میں رہتے ہیں ، تو یورپ واقعتا آپ کو کام پر لے جائے گا ، اس سے قطع نظر اس سے کوئی فرق نہیں پڑتا ہے کہ آپ کا کارپوریشن واقع ہیڈکواٹر ہے ، یا جہاں یہ کام کرتا ہے۔ اور جرمانے ، زیادہ سے زیادہ جرمانہ سالانہ محصول کا چار فیصد ہے ، جو کہ بہت بڑا ہے ، لہذا جب یہ عمل درآمد ہوتا ہے تو ، دنیا پر ایک دلچسپ موڑ ثابت ہوتا ہے۔
سوچنے کی باتیں ، ٹھیک ہے ، DBMS کمزوریوں کے بارے میں ، زیادہ تر قیمتی ڈیٹا اصل میں ڈیٹا بیس میں بیٹھا ہوا ہے۔ اس کی اہمیت اس لئے ہے کہ ہم نے اسے دستیاب بنانے اور اسے اچھی طرح سے ترتیب دینے میں بہت زیادہ وقت لگایا ہے اور اس سے یہ زیادہ سے زیادہ کمزور ہوجاتا ہے ، اگر آپ واقعتا the صحیح DBMS سیکیورٹیز کا اطلاق نہیں کرتے ہیں۔ ظاہر ہے ، اگر آپ اس طرح کی چیزوں کے لئے منصوبہ بندی کرنے جارہے ہیں تو ، آپ کو یہ شناخت کرنے کی ضرورت ہے کہ پوری تنظیم میں کیا کمزور ڈیٹا ہے ، اس بات کو ذہن میں رکھتے ہوئے کہ مختلف وجوہات کی بناء پر ڈیٹا غیر محفوظ ہوسکتا ہے۔ یہ کسٹمر کا ڈیٹا ہوسکتا ہے ، لیکن یہ اتنی ہی طرح کی داخلی دستاویزات ہوسکتی ہے جو جاسوسی کے مقاصد اور اسی طرح کے ل valuable قیمتی ہوں گی۔ سیکیورٹی کی پالیسی ، خاص طور پر رسائی کی حفاظت کے سلسلے میں - جو حالیہ دنوں میں نئی اوپن سورس چیزوں میں ، میری رائے میں بہت کمزور رہی ہے - خفیہ کاری زیادہ استعمال میں آرہی ہے کیونکہ اس کی خوبصورت پتھر ہے۔
سیکیورٹی کی خلاف ورزی کی قیمت ، زیادہ تر لوگوں کو معلوم ہی نہیں تھا ، لیکن اگر آپ حقیقت میں ان تنظیموں کے ساتھ کیا ہوا جو سیکیورٹی کی خلاف ورزیوں کا شکار ہیں ، تو معلوم ہوتا ہے کہ سیکیورٹی خلاف ورزی کی لاگت اکثر آپ کے خیال سے کہیں زیادہ ہوتی ہے۔ اور پھر دوسری چیز جس کے بارے میں سوچنا ہے وہ حملہ کی سطح ہے ، کیوں کہ کہیں بھی سافٹ ویئر کا کوئی ٹکڑا ، اپنی تنظیموں کے ساتھ چل رہا ہے تو وہ حملہ کی سطح پیش کرتا ہے۔ لہذا کوئی بھی ڈیوائسز کریں ، لہذا اعداد و شمار میں کوئی فرق نہیں پڑتا ہے ، چاہے اس کا ذخیرہ کیسے ہو۔ یہ سب کچھ ، حملے کی سطح چیزوں کے انٹرنیٹ کے ساتھ بڑھ رہی ہے ، حملے کی سطح شاید دوگنا ہونے جارہی ہے۔
تو ، آخر میں ، ڈی بی اے اور ڈیٹا سیکیورٹی۔ ڈیٹا کی حفاظت عام طور پر ڈی بی اے کے کردار کا حصہ ہوتی ہے۔ لیکن اس کا باہمی تعاون بھی۔ اور اسے کارپوریٹ پالیسی کے تابع ہونے کی ضرورت ہے ، بصورت دیگر اس پر شاید عمل درآمد نہیں کیا جائے گا۔ یہ کہہ کر ، مجھے لگتا ہے کہ میں گیند کو پاس کرسکتا ہوں۔
ایرک کااناگ: ٹھیک ہے ، میں وکی کو چابیاں دوں۔ اور آپ اپنی اسکرین کا اشتراک کرسکتے ہیں یا ان سلائیڈز پر منتقل کرسکتے ہیں ، یہ آپ پر منحصر ہے ، اسے لے جائیں۔
اختی ہارپ: نہیں ، میں ان سلائڈز سے شروعات کروں گا ، آپ کا بہت بہت شکریہ۔ تو ، ہاں ، میں صرف ایک تیز لمحہ نکالنا اور اپنا تعارف کروانا چاہتا تھا۔ آئی ایم وکی ہارپ۔ میں ایک مینیجر ، IDERA سافٹ ویئر میں SQL مصنوعات کے لئے مصنوعہ کا انتظام ، اور آپ میں سے ان لوگوں کے لئے جو شاید ہم سے واقف نہیں ہوں گے ، IDERA کے پاس بہت ساری پروڈکٹ لائنز موجود ہیں ، لیکن میں یہاں SQL سرور چیزوں کی بات کر رہا ہوں۔ اور اس طرح ، ہم کارکردگی کی نگرانی ، سیکیورٹی کی تعمیل ، بیک اپ ، انتظامیہ کے ٹولز اور ان کی فہرست سازی کی طرح ہی کرتے ہیں۔ اور یقینا. ، آج میں یہاں جس بات کے بارے میں بات کرنا چاہتا ہوں وہ سیکیورٹی اور تعمیل ہے۔
میں آج جس چیز کی بات کرنا چاہتا ہوں اس کا زیادہ تر حصہ ضروری نہیں کہ ہماری مصنوعات ہوں ، حالانکہ میں اس کی کچھ مثالیں بعد میں دکھانے کا ارادہ رکھتا ہوں۔ میں آپ سے ڈیٹا بیس کی سیکیورٹی ، ڈیٹا بیس سیکیورٹی کی دنیا میں ابھی کچھ خطرات ، کچھ سوچنے کی باتیں ، اور اپنے ایس کیو ایل کو محفوظ بنانے کے ل what آپ کو کس چیز پر نگاہ رکھنے کی ضرورت ہے کے تعارفی خیالات کے بارے میں آپ سے مزید بات کرنا چاہتا تھا۔ سرور ڈیٹا بیس اور یہ بھی یقینی بنانا ہے کہ وہ ان ضوابط کے فریم ورک کے ساتھ مطابقت پذیر ہیں جس کا آپ ذکر کرسکتے ہیں۔ اس میں بہت سے مختلف قواعد موجود ہیں۔ وہ مختلف صنعتوں ، دنیا بھر میں مختلف مقامات پر جاتے ہیں ، اور ان چیزوں کے بارے میں سوچنا ہوتا ہے۔
لہذا ، میں ایک لمحے کے بارے میں بات کرنا چاہتا ہوں اور اعداد و شمار کی خلاف ورزیوں کی حالت کے بارے میں بات کرنا چاہتا ہوں - اور جو کچھ پہلے سے یہاں یہاں زیر بحث آیا ہے اس کی بہت زیادہ تکرار نہ کرنا - میں حال ہی میں ، اور ان کے پورے مطالعے کو دیکھ رہا تھا۔ 1500 یا اس سے زیادہ تنظیموں کے ساتھ وہ بات چیت کرتے ہیں - ڈیٹا میں کمی کی خلاف ورزیوں کے لحاظ سے ، ان میں اوسطا security 6 سیکیورٹی خلاف ورزی ہوئی تھی ، اور ان میں سے 68 فیصد کو کسی لحاظ سے انکشاف کی ضرورت تھی ، لہذا انہوں نے اسٹاک کی قیمت کو متاثر کیا ، یا انہیں کچھ کریڈٹ کرنا پڑا۔ اپنے صارفین یا اپنے ملازمین وغیرہ کی نگرانی کرنا۔
کچھ دلچسپ دیگر اعدادوشمار یہ ہیں کہ اندرونی اداکار جو ان میں سے 43 فیصد کے لئے ذمہ دار تھے۔ لہذا ، بہت سارے لوگ ہیکروں اور اس طرح کے شرمیلا سرکاری تنظیموں یا منظم جرائم وغیرہ کے بارے میں ایک بہت بڑی بات سمجھتے ہیں ، لیکن اندرونی اداکار اب بھی اپنے مالکان کے خلاف براہ راست کارروائی کر رہے ہیں ، ان معاملات کے خاصے تناسب سے۔ اور ان کے خلاف حفاظت کرنا کبھی کبھی مشکل تر ہوتا ہے ، کیونکہ لوگوں کے پاس اس اعداد و شمار تک رسائی کے جائز وجوہات ہوسکتے ہیں۔ اس میں سے نصف حصہ ، کسی لحاظ سے 43 فیصد حادثاتی نقصان تھا۔ لہذا ، مثال کے طور پر ، اس معاملے میں جب کسی نے ڈیٹا گھر لیا ، اور پھر اس اعداد و شمار کا کھوج کھو گیا ، جو مجھے اس تیسرے نقطہ کی طرف لے جاتا ہے ، جس کی وجہ یہ ہے کہ جسمانی میڈیا میں سامان اب بھی 40 فیصد خلاف ورزیوں میں ملوث تھا۔ لہذا ، یو ایس بی کیز کو چلاتا ہے ، لوگوں کے لیپ ٹاپ کو تھاماتا ہے ، حقیقی میڈیا کو چلاتا ہے جسے جسمانی ڈسکس پر جلا دیا گیا تھا اور عمارت سے باہر لے جایا گیا تھا۔
اگر آپ اس کے بارے میں سوچتے ہیں تو ، کیا آپ کے پاس کوئی ڈویلپر ہے جس کے لیپ ٹاپ پر آپ کے پروڈکشن ڈیٹا بیس کی ڈی پی کاپی موجود ہے؟ پھر وہ جہاز پر سوار ہوتے ہیں اور وہ جہاز سے اتر جاتے ہیں ، اور انھیں چیک شدہ سامان مل جاتا ہے اور ان کا لیپ ٹاپ چوری ہوجاتا ہے۔ اب آپ کے پاس ڈیٹا کی خلاف ورزی ہوئی ہے۔ شاید آپ یہ نہ سوچیں کہ یہ لیپ ٹاپ کیوں لیا گیا تھا ، شاید یہ جنگل میں کبھی دکھائی نہ دے۔ لیکن ابھی بھی ایسی کوئی چیز ہے جو خلاف ورزی کی حیثیت سے شمار ہوتی ہے ، اس کے انکشاف کی ضرورت ہوتی ہے ، اس اعداد و شمار کو کھو دینے کے آپ کے بہاو اثر پڑے جاتے ہیں ، صرف اس جسمانی میڈیا کے نقصان کی وجہ سے۔
اور دوسری دلچسپ بات یہ ہے کہ بہت سارے لوگ کریڈٹ ڈیٹا ، اور کریڈٹ کارڈ کی معلومات کے بارے میں سب سے زیادہ قیمتی ہونے کے بارے میں سوچ رہے ہیں ، لیکن واقعی اب ایسا نہیں ہے۔ یہ اعداد و شمار قابل قدر ہیں ، کریڈٹ کارڈ نمبر مفید ہیں ، لیکن ایمانداری سے ، ان نمبروں کو بہت جلد تبدیل کردیا جاتا ہے ، جبکہ لوگوں کا ذاتی ڈیٹا بہت جلد تبدیل نہیں ہوتا ہے۔ کچھ ایسی جو حالیہ خبروں کی چیز ، نسبتا recent حالیہ ، VTech ، ایک کھلونا بنانے والے کے پاس یہ کھلونے تھے جو بچوں کے لئے تیار کیے گئے تھے۔ اور لوگ ، اپنے بچوں کے نام رکھتے ، بچوں کے بارے میں معلومات رکھتے ، ان کے والدین کے نام تھے ، ان کے پاس بچوں کی تصاویر تھیں۔ اس میں سے کسی کو بھی خفیہ نہیں کیا گیا تھا ، کیونکہ اس کو اہم نہیں سمجھا جاتا تھا۔ لیکن ان کے پاس ورڈ کو خفیہ کردیا گیا تھا۔ ٹھیک ہے ، جب خلاف ورزی لازمی طور پر ہوئی ہے ، آپ کہہ رہے ہو ، "ٹھیک ہے ، تو میرے پاس بچوں کے ناموں ، ان کے والدین کے ناموں ، جہاں وہ رہتے ہیں کی ایک فہرست موجود ہے۔ یہ سب معلومات موجود ہے ، اور آپ یہ سوچ رہے ہیں کہ پاس ورڈ سب سے قیمتی حصہ تھا۔ اس کا؟ "یہ نہیں تھا؛ لوگ اپنے ذاتی اعداد و شمار ، ان کے پتے ، وغیرہ کے بارے میں ان پہلوؤں کو تبدیل نہیں کرسکتے ہیں اور لہذا یہ معلومات واقعی بہت قیمتی ہیں اور اس کو محفوظ رکھنے کی ضرورت ہے۔
لہذا ، کچھ چل رہی چیزوں کے بارے میں بات کرنا چاہتا تھا ، جس طرح سے ڈیٹا کی خلاف ورزی اس وقت ہو رہی ہے۔ اس وقت ایک بڑی ہاٹ سپاٹ ، جگہیں سوشل انجینئرنگ ہیں۔ لہذا لوگ اسے فشنگ کہتے ہیں ، نقالی وغیرہ کہتے ہیں ، جہاں لوگ اکثر داخلی اداکاروں کے ذریعہ ، صرف ان کو اس بات پر قائل کرکے کہ اس تک اس تک رسائی حاصل ہے۔ چنانچہ ، دوسرے ہی دن ، ہمارے پاس گوگل کا یہ دستاویزات کا کیڑا تھا جو آس پاس پڑ رہا تھا۔ اور یہ کیا ہوگا - اور مجھے حقیقت میں اس کی ایک کاپی موصول ہوئی ، اگرچہ خوش قسمتی سے میں نے اس پر کلک نہیں کیا - آپ کو کسی ساتھی سے یہ کہتے ہوئے موصول ہو رہا تھا کہ ، "یہ گوگل کا ڈاکٹر لنک ہے۔ آپ کو دیکھنے کے ل you آپ کو اس پر کلک کرنے کی ضرورت ہے کہ میں نے ابھی آپ کے ساتھ کیا شیئر کیا ہے۔ "ٹھیک ہے ، یہ کہ ایک ایسی تنظیم جو گوگل دستاویزات کا استعمال کرتی ہے ، بہت روایتی ہے ، آپ کو ایک دن میں درجنوں درخواستیں ملنے جا رہی ہیں۔ اگر آپ نے اس پر کلک کیا تو ، اس سے آپ کو اس دستاویز تک رسائی حاصل کرنے کی اجازت طلب ہوگی ، اور ہوسکتا ہے کہ آپ کہیں ، "ارے ، یہ قدرے عجیب لگ رہا ہے ، لیکن آپ جانتے ہو ، یہ بھی جائز معلوم ہوتا ہے ، لہذا میں آگے بڑھ کر اس پر کلک کریں ، "اور جیسے ہی آپ نے یہ کیا ، آپ اس تیسری پارٹی کو اپنے تمام گوگل دستاویزات تک رسائی دے رہے تھے ، اور اس طرح ، اس بیرونی اداکار کے لئے یہ لنک بنا کر کہ آپ کو گوگل ڈرائیو پر آپ کی تمام دستاویزات تک رسائی حاصل ہو۔ یہ ساری جگہ پر پریشان ہے۔ اس نے کئی گھنٹوں میں سیکڑوں ہزاروں افراد کو نشانہ بنایا۔ اور یہ بنیادی طور پر ایک فشینگ اٹیک تھا جس کو گوگل نے خود ہی بند کرنا پڑا ، کیونکہ اسے بہت اچھی طرح سے پھانسی دے دی گئی تھی۔ لوگ اس کے ل fell گر پڑے۔
میں یہاں سنیپ چیٹ ایچ آر کی خلاف ورزی کا ذکر کرتا ہوں۔ یہ صرف ایک عام فرد کی بات تھی ، جس کی بنا پر وہ سی ای او تھے ، محکمہ ایچ آر کو کہتے ہوئے ، "مجھے آپ کو اس اسپریڈ شیٹ کی ضرورت ہے۔" اور انھوں نے ان پر یقین کیا ، اور انہوں نے 700 افراد کے معاوضوں کے ساتھ ایک اسپریڈشیٹ بھی رکھی۔ معلومات ، ان کے گھر کے پتے ، وغیرہ ، کو اس دوسری پارٹی میں ایڈٹ کریں ، یہ دراصل سی ای او نہیں تھا۔ اب ، اعداد و شمار ختم ہوگئے تھے ، اور ان کے تمام ملازمین کی ذاتی ، نجی معلومات باہر تھیں اور استحصال کے ل. دستیاب تھیں۔ لہذا ، سوشل انجینئرنگ ایک ایسی چیز ہے جس کا میں ڈیٹا بیس کی دنیا میں اس کا تذکرہ کرتا ہوں ، کیوں کہ یہ وہ چیز ہے جس سے آپ تعلیم کے ذریعہ دفاع کرنے کی کوشش کرسکتے ہیں ، لیکن آپ کو یہ بھی یاد رکھنا ہوگا کہ کہیں بھی آپ کے پاس اپنی ٹکنالوجی کے ساتھ بات چیت کرنے والا فرد موجود ہے۔ اگر آپ بدعنوانی کو روکنے کے لئے ان کے اچھے فیصلے پر بھروسہ کررہے ہیں تو آپ ان سے بہت کچھ پوچھ رہے ہیں۔
لوگ غلطیاں کرتے ہیں ، لوگ ان چیزوں پر کلک کرتے ہیں جو انھیں نہیں ہونا چاہئے ، لوگ ہوشیار ٹوٹ پھوٹ کا شکار ہوجاتے ہیں۔ اور آپ ان کے خلاف ان کی حفاظت کے لئے بہت کوشش کر سکتے ہیں ، لیکن یہ اتنا مضبوط نہیں ہے ، آپ کو لوگوں کو اتفاقی طور پر اپنے ڈیٹا بیس سسٹم میں یہ معلومات دینے کی صلاحیت کو محدود کرنے کی کوشش کرنے کی ضرورت ہے۔ دوسری چیز جس کا میں نے تذکرہ کرنا چاہا وہ واضح طور پر بہت سی باتیں کر رہے تھے وہ ہے رینسم ویئر ، بوٹنیٹس ، وائرس۔ یہ سب خودکار طریقے ہیں۔ اور اس ل جو میں میرے خیال میں رینسم ویئر کے بارے میں سمجھنا ضروری سمجھتا ہوں کیا یہ واقعی حملہ آوروں کے لئے منافع کے ماڈل میں تبدیلی کرتا ہے۔ اس معاملے میں جب آپ کسی خلاف ورزی کی بات کر رہے ہیں تو ، انہیں کسی لحاظ سے ، ڈیٹا نکالنا ہوگا اور خود ہی اپنے پاس لانا ہوگا اور اس کا استعمال کرنا پڑے گا۔ اور اگر آپ کا ڈیٹا مبہم ہے ، اگر اس کا خفیہ کردہ ، اگر اس کی صنعت مخصوص ہے ، تو شاید اس کے ل for اس کی کوئی قیمت نہیں ہوگی۔
اس وقت تک ، لوگوں نے محسوس کیا ہوگا کہ یہ ان کے لئے ایک تحفظ تھا ، "مجھے اپنے آپ کو ڈیٹا کی خلاف ورزی سے بچانے کی ضرورت نہیں ہے ، کیونکہ اگر وہ میرے سسٹم میں آنے جا رہے ہیں ، تو وہ سب کچھ ہی ہوگا ، میں ایک فوٹوگرافی اسٹوڈیو ہوں۔ ، میرے پاس اگلے سال کون سے دن آنے والے ہیں ان کی فہرست موجود ہے۔ کون اس کی پرواہ کرتا ہے؟ ”ٹھیک ہے ، اس کا جواب یہ نکلا ہے کہ آپ کو اس کی پرواہ ہے۔ آپ اس معلومات کو ، آپ کی کاروباری اہم معلومات کو ذخیرہ کررہے ہیں۔ لہذا ، ایک حملہ آور تاوان کا استعمال کرتے ہوئے کہیں گے ، "ٹھیک ہے ، کوئی اور اس کے ل me مجھے پیسہ نہیں دے گا ، لیکن تم کرو گے۔" لہذا ، وہ اس حقیقت کا فائدہ اٹھاتے ہیں کہ ان کو اعداد و شمار کا پتہ لگانا بھی نہیں ہے ، انہیں یہاں تک کہ اس کی ضرورت نہیں ہے خلاف ورزی ہوتی ہے ، انہیں محض آپ کے خلاف جارحانہ حفاظتی اوزار استعمال کرنے کی ضرورت ہے۔ وہ آپ کے ڈیٹا بیس میں داخل ہوجاتے ہیں ، وہ اس کے مندرجات کو خفیہ کرتے ہیں ، اور پھر وہ کہتے ہیں ، "ٹھیک ہے ، ہمارے پاس پاس ورڈ ہے ، اور آپ کو اس پاس ورڈ کو حاصل کرنے کے لئے ہمیں $ 5،000 ادا کرنے پڑیں گے ، ورنہ آپ کے پاس ابھی یہ ڈیٹا موجود نہیں ہے۔ "
اور لوگ ادائیگی کرتے ہیں۔ وہ خود کو ایسا کرنا پاتے ہیں۔ کچھ مہینے پہلے مونگو ڈی بی کو ایک بہت بڑی پریشانی ہوئی تھی ، میرا خیال ہے کہ یہ جنوری میں تھا ، جہاں کچھ پہلے سے طے شدہ ترتیبات کی بنا پر ، انٹرنیٹ پر عوام کے سامنے موجود ایک ملین سے زیادہ منگو ڈی بی کے ڈیٹا بیس تھے۔ اور اس سے بھی بدتر یہ ہوا کہ لوگوں کو ادائیگی کی جارہی تھی لہذا دوسری تنظیمیں آکر دوبارہ خفیہ کاری کریں گی یا دعوی کریں گی کہ وہ جنہوں نے اصل میں اس کو خفیہ کیا تھا ، لہذا جب آپ نے اپنے پیسے ادا کیے ، اور میرا خیال ہے کہ وہ اس معاملے میں تھے $ 500 جیسی کوئی چیز مانگنے پر ، لوگ کہیں گے ، "ٹھیک ہے ، میں محقق کو ادھر ادھر ادائیگی کرنے کے لئے اس سے زیادہ ادائیگی کروں گا ، تاکہ معلوم کرنے میں کیا غلطی ہو۔ میں صرف 500 ڈالر ادا کروں گا۔ "اور وہ صحیح اداکار کو بھی ادائیگی نہیں کر رہے تھے ، لہذا وہ دس مختلف تنظیموں سے یہ کہتے ہوئے ڈھیر ہو گئے ،" ہمیں پاس ورڈ مل گیا ہے ، "یا" ہمیں آپ کو اپنے تاوان کا ڈیٹا انلاک کرنے کا راستہ مل گیا۔ . ”اور آپ کو ان سب کو ادائیگی کرنا ہوگی تاکہ یہ کام ممکنہ طور پر ہو سکے۔
یہ بھی ایسے معاملات ہوئے ہیں جہاں رینسم ویئر کے مصنفین کیڑے موجود تھے ، میرا مطلب ہے کہ ، یہ بالکل ہی اوپر کی صورتحال کی صورتحال کے بارے میں بات نہیں کررہا تھا ، لہذا اس پر ایک بار حملہ کردیا گیا ، یہاں تک کہ ایک بار ادائیگی کرنے کے بعد ، اس بات کی کوئی گارنٹی نہیں ہے کہ آپ اپنا سب کچھ حاصل کرنے جا رہے ہو اعداد و شمار کے بارے میں ، اس میں سے کچھ کو ہتھیاروں سے چلنے والی انفارمیشن ٹیک کے ذریعہ بھی پیچیدہ بنایا جارہا ہے۔ تو شیڈو بروکرز ایک گروپ ہے جس میں ایسے اوزار نکل رہے ہیں جو این ایس اے کے تھے۔ وہ اوزار تھے جو سرکاری ادارے کے ذریعہ جاسوسی کے مقاصد کے لئے بنائے گئے تھے اور حقیقت میں دیگر سرکاری اداروں کے خلاف کام کررہے تھے۔ ان میں سے کچھ واقعی میں اعلی سطح پر زیرو ڈے حملے ہوئے ہیں ، جو بنیادی طور پر معلوم سیکیورٹی پروٹوکول کو صرف ایک طرف چھوڑ دیتے ہیں۔ اور اس طرح ایس ایم بی پروٹوکول میں ایک اہم خطرہ تھا ، مثال کے طور پر ، شیڈو بروکرز کے حالیہ ڈمپوں میں۔
اور اس طرح یہ ٹولز جو یہاں آتے ہیں ، وہ آپ کے حملے کی سطح کے لحاظ سے ، کچھ ہی گھنٹے میں واقعی آپ پر کھیل کو تبدیل کرسکتے ہیں۔ لہذا جب بھی میں اس کے بارے میں سوچتا ہوں ، اس کی کوئی چیز جو تنظیمی سطح پر ، سیکیورٹی انفوسیک اپنا اپنا کام ہے ، اسے سنجیدگی سے لینے کی ضرورت ہے۔ جب بھی ڈیٹا بیس کے بارے میں بات کی جا رہی تھی ، میں اسے تھوڑا سا نیچے لے جا سکتا ہوں ، آپ کو ضروری نہیں ہے کہ اس ہفتے شیڈو بروکرز کے ساتھ کیا ہو رہا ہے اس کے بارے میں آپ کو ڈیٹا بیس ایڈمنسٹریٹر کی پوری سمجھ ہو ، لیکن آپ کو یہ جاننے کی ضرورت ہوگی کہ یہ سب تبدیل ہو رہے ہیں۔ ، وہاں چیزیں جاری ہیں ، اور اس طرح جس ڈگری پر آپ اپنے ڈومین کو سخت اور محفوظ رکھتے ہیں ، اس سے واقعی آپ کی مدد ہوگی کہ اس طرح کے معاملات آپ کے ماتحت ہوجائیں گے۔
لہذا ، میں خاص طور پر ایس کیو ایل سرور کے بارے میں بات کرنے سے پہلے ، یہاں کچھ لمحے رکھنا چاہتا تھا ، تاکہ اصل میں ہمارے پینلسٹ کے ساتھ ڈیٹا بیس کی سلامتی کے ساتھ کچھ معاملات پر کھلی بحث کی جا.۔ لہذا ، اس مقام پر پہنچ گیا ، کچھ چیزیں جن کا ہم نے ذکر نہیں کیا ، میں ایس کیو ایل انجیکشن کے بارے میں بطور ویکٹر بات کرنا چاہتا تھا۔ لہذا ، یہ ایس کیو ایل انجیکشن ہے ، ظاہر ہے اس طریقے سے جس میں لوگ ڈیٹا بیس سسٹم میں کمانڈ داخل کرتے ہیں ، ان پٹس کو خراب کرنے کی قسم سے۔
ایرک کااناگ: ہاں ، میں واقعتا a ایک لڑکے سے ملا تھا - مجھے لگتا ہے کہ یہ اینڈریوز ایئر فورس کے اڈے پر تھا - تقریبا years پانچ سال پہلے ، ایک مشیر جس سے میں دالان میں اس سے بات کر رہا تھا اور ہم محض جنگ کی داستانیں بانٹ رہے تھے - کوئی تعصب کا ارادہ نہیں تھا - اور وہ اس نے ذکر کیا کہ اسے کسی نے فوج کے ایک اعلی اعلی درجہ کے ممبر سے مشورہ کرنے کے لئے لایا تھا اور اس لڑکے نے اس سے پوچھا ، "ٹھیک ہے ، ہم کیسے جانتے ہو کہ آپ اپنے کام میں اچھے ہیں؟" اور یہ اور وہ۔ اور جب وہ ان سے بات کر رہا تھا جب وہ اپنے کمپیوٹر پر استعمال کرتا تھا ، نیٹ ورک میں داخل ہو گیا تھا ، اس نے اس اڈے اور ان لوگوں کے لئے رجسٹری میں جانے کے لئے ایس کیو ایل انجکشن استعمال کیا تھا۔ اور اسے وہ افراد ملے جن سے وہ بات کر رہا تھا اور اس نے اسے اپنی مشین پر دکھایا! اور وہ لڑکا ایسا ہی تھا ، "آپ نے یہ کیسے کیا؟" اس نے کہا ، "ٹھیک ہے ، میں نے ایس کیو ایل انجکشن استعمال کیا۔"
تو ، صرف پانچ سال پہلے ، اور یہ ایک ایئر فورس کے اڈے پر تھا ، ٹھیک ہے؟ تو ، میرا مطلب ہے ، Con کے لحاظ سے ، یہ چیز اب بھی بہت حقیقی ہے اور اسے واقعی خوفناک اثرات کے ساتھ استعمال کیا جاسکتا ہے۔ میرا مطلب ہے ، آئی ڈی کو جنگی کہانیوں کے بارے میں جاننے کے لئے دلچسپی ہو گی جو رابن کے عنوان سے ہے ، لیکن یہ سبھی تکنیک اب بھی درست ہیں۔ وہ ابھی بھی بہت سے معاملات میں استعمال ہوئے ، اور یہ خود کو تعلیم دینے کا سوال ہے ، ٹھیک ہے؟
رابن بلور: ہاں. ہاں ، کام کرکے SQL انجیکشن کے خلاف دفاع کرنا ممکن ہے۔ یہ سمجھنے میں آسان ہے کہ جب یہ خیال ایجاد ہوا اور پہلے پھیل گیا تو ، اس کو سمجھنا آسان ہے کہ اسے اتنا غلط کیوں سمجھا گیا ، کیوں کہ آپ اسے صرف ایک ویب صفحے پر ان پٹ فیلڈ میں چپکے رہ سکتے ہیں اور آپ کو اعداد و شمار واپس کرنے کے ل get ، یا حاصل کرسکتے ہیں۔ اس سے ڈیٹا بیس ، یا کسی بھی طرح کا ڈیٹا حذف ہوجانا ہے - آپ ایسا کرنے کے لئے SQL کوڈ لگاسکتے ہیں۔ لیکن بات یہ ہے کہ میری دلچسپی یہ ہے کہ کیا آپ جانتے ہیں ، آپ کو داخل ہونے والے ہر اعداد و شمار کی تھوڑی سی تجزیہ کرنا ہوگی ، لیکن یہ معلوم کرنا ممکن ہے کہ کوئی ایسا کرنے کی کوشش کر رہا ہو۔ اور یہ واقعی ، میں سمجھتا ہوں کہ یہ واقعی ہے ، اس کی وجہ سے لوگ اب بھی اس سے دور ہوجاتے ہیں ، میرا مطلب یہ ہے کہ یہ واقعی بہت ہی عجیب ہے کہ اس سے نمٹنے کا آسان طریقہ نہیں ہے۔ آپ جانتے ہو کہ ، ہر ایک آسانی سے استعمال کرسکتا ہے ، میرا مطلب ہے ، جہاں تک مجھے معلوم ہے ، وکی نہیں ہے ، وہاں ہے؟
اختی ہارپ: ٹھیک ہے ، دراصل یرغمال حل میں سے کچھ ، جیسے SQL Azure ، میرے خیال میں کچھ بہتر اچھ methodsے طریقے ہیں جو مشین لرننگ پر مبنی ہیں۔ شاید یہ مستقبل میں جو کچھ دیکھنے کو مل رہا ہے ، وہ کچھ ہے جس میں ایک ہی سائز کے ساتھ آنے کی کوشش سب کو فٹ بیٹھتی ہے۔ میرے خیال میں اس کا جواب دیا گیا ہے کہ ایک سائز ہر ایک پر فٹ نہیں ہے ، لیکن ہمارے پاس ایسی مشینیں ہیں جو آپ کے سائز کی چیزیں سیکھ سکتی ہیں اور اس بات کو یقینی بناتی ہیں کہ آپ اس کے قابل ہو ، ٹھیک ہے؟ اور اس لئے کہ اگر آپ کے پاس کوئی غلط مثبت ہے ، اس کی وجہ یہ ہے کہ آپ واقعی کوئی غیر معمولی کام کررہے ہیں ، اس کی وجہ یہ نہیں ہے کہ آپ کو آپ کی ایپلی کیشن کے ذریعہ ہونے والی ہر چیز کی بڑی محنت اور مشقت سے نشاندہی کرنا ہوگی۔
میرے خیال میں اس کی ایک وجہ یہ ہے کہ اس کی واقعی ابھی تک اتنی پھیلائو ہے کہ لوگ اب بھی تھرڈ پارٹی کی ایپلی کیشنز ، اور آئی ایس وی کی درخواستوں پر انحصار کرتے ہیں اور وقت گزرنے کے ساتھ ساتھ اس کی وجہ سے ان کی مدد کی جاتی ہے۔لہذا ، آپ ایک ایسی تنظیم کے بارے میں بات کرتے ہیں جس نے انجینئرنگ کی درخواست خریدی ہے جو 2001 میں لکھی گئی تھی۔ اور انہوں نے اسے اپ ڈیٹ نہیں کیا ، کیوں کہ اس کے بعد سے اب تک کوئی اہم عملی تبدیلیاں نہیں ہوئیں ، اور اس کا اصل مصنف ایک طرح کا تھا ، وہ انجینئر نہیں تھے ، وہ ڈیٹا بیس سیکیورٹی کے ماہر نہیں تھے ، وہ درخواست میں صحیح طریقے سے کام نہیں کرتے تھے اور وہ ایک ویکٹر ہونے کے ناطے ختم ہوجاتے ہیں۔ میری سمجھ یہ ہے کہ - میرے خیال میں یہ ٹارگٹ ڈیٹا کی خلاف ورزی تھی ، واقعتا really ایک بڑا حملہ - حملہ کرنے والا ویکٹر اپنے ائر کنڈیشنگ سپلائر میں سے کسی ایک کے ذریعہ ہوا تھا ، ٹھیک ہے؟ لہذا ، ان تیسرے فریق کے ساتھ مسئلہ ، آپ کر سکتے ہیں ، اگر آپ اپنی ہی ڈویلپمنٹ شاپ رکھتے ہیں تو آپ ان اصولوں میں سے کچھ کو اپنے پاس رکھ سکتے ہیں ، جب بھی عام طور پر کرتے ہو۔ ایک تنظیم کی حیثیت سے آپ کے پاس تمام مختلف پروفائلز کے ساتھ سیکڑوں یا اس سے بھی ہزاروں ایپلی کیشنز چل سکتی ہیں۔ میرے خیال میں یہی ہے جہاں مشین لرننگ بھی آرہی ہے اور ہماری بہت مدد کرنا شروع کردے گی۔
میری جنگ کی کہانی تعلیمی تھا۔ مجھے ایس کیو ایل انجیکشن اٹیک دیکھنے کو ملا ، اور میرے ساتھ کبھی ایسا نہیں ہوا تھا جو سادہ پڑھنے کے قابل ایس کیو ایل کا استعمال کریں۔ میں ان چیزوں کو کرتا ہوں جنہیں پی ایس کیو ایل چھٹیوں کے کارڈز کہتے ہیں۔ مجھے کرنا پسند ہے ، آپ اس ایس کیو ایل کو ہر ممکن حد تک الجھاؤ بنائیں۔ تھریسس نے سی ++ کوڈ مقابلہ کی دہائیوں سے اب کئی دہائیوں سے چلے آرہے ہیں ، اور اسی طرح کا نظریہ۔ لہذا ، جو آپ کو واقعی ملا ہے وہ ایس کیو ایل انجکشن تھا جو کھلی سٹرنگ والے فیلڈ میں تھا ، اس نے تار کو بند کردیا ، اس نے سیمکولن میں ڈال دیا ، اور پھر اس نے ایکسیکٹ کمانڈ لگایا جس کے بعد اس کی تعداد تھی اور پھر یہ بنیادی طور پر استعمال کررہا تھا کاسٹنگ کمانڈ تاکہ ان نمبروں کو بائنری میں ڈالے اور پھر ان کو کاسٹ کریں ، اس کے نتیجے میں ، کردار کی اقدار میں ڈالیں اور پھر اس پر عملدرآمد کریں۔ لہذا ، ایسا نہیں ہے کہ آپ نے کچھ ایسا دیکھا جس میں کہا گیا ہو کہ ، "پروڈکشن ٹیبل سے اسٹارٹ اپ کو ڈیلیٹ کردیں" ، یہ اصل میں ایسے ہندسوں والے فیلڈز میں بھر گیا تھا جس کو دیکھنا زیادہ مشکل ہو گیا تھا۔ یہاں تک کہ ایک بار جب آپ نے اسے دیکھنے کے بعد ، کیا ہو رہا ہے اس کی نشاندہی کرنے کے ل it ، اس کو کچھ حقیقی SQL شاٹس لگے ، جو کچھ ہو رہا ہے اس کا اندازہ کرنے کے قابل ہو گیا ، اس وقت تک جب کام پہلے ہی ہوچکا تھا۔
رابن بلور: اور یہ کہ ہیکنگ کی پوری دنیا میں واقعات میں سے ایک یہ ہے کہ اگر کسی کو کوئی کمزوری محسوس ہوتی ہے اور یہ سافٹ ویئر کے ٹکڑے میں ہوتا ہے جس کو عام طور پر فروخت کیا جاتا ہے تو ، آپ جانتے ہو ، ابتدائی دشواریوں میں سے ایک ڈیٹا بیس کا پاس ورڈ ہے جب آپ کو ایک ڈیٹا بیس انسٹال ہونے کے وقت دیا گیا تھا ، اصل حقیقت میں بہت سارے ڈیٹا بیس صرف ایک ڈیفالٹ تھے۔ اور بہت سارے ڈی بی اے نے کبھی بھی اسے آسانی سے نہیں بدلا ، اور اسی وجہ سے آپ نیٹ ورک میں آنے کا انتظام کرسکتے ہیں۔ آپ صرف اس پاس ورڈ کو آزما سکتے ہیں اور اگر یہ کام کرتا ہے تو ، ٹھیک ہے ، آپ نے ابھی لاٹری جیت لی ہے۔ اور دلچسپ بات یہ ہے کہ وہ تمام معلومات ہارک نیٹ ورک ویب سائٹس پر موجود ہیکنگ برادریوں کے مابین بہت ہی موثر اور مؤثر طریقے سے پھیلی ہیں۔ اور وہ جانتے ہیں۔ تو ، وہ وہاں بہت کچھ کر سکتے ہیں ، کچھ واقعات ڈھونڈ سکتے ہیں اور خود بخود کچھ ہیکنگ کا استحصال کرتے ہیں اور وہ اندر آ جاتے ہیں۔ اور میں سوچتا ہوں کہ بہت سارے لوگ جو کم سے کم حد تک ہیں ان سب کے باوجود ، حقیقت میں یہ نہیں سمجھتے کہ ہیکنگ نیٹ ورک خطرے سے دوچار ہونے کے لئے کتنا تیز ردعمل دیتا ہے۔
اختی ہارپ: ہاں ، یہ حقیقت میں ایک اور چیز سامنے لاتا ہے جس سے میں آگے بڑھنے سے پہلے میں اس کا ذکر کرنا چاہتا تھا ، یہ ساکھ بھرنے کا یہی تصور ہے ، جو کچھ ایسا ہوتا ہے جو بہت زیادہ پاپنگ ہوتا ہے ، یہی وجہ ہے کہ ایک بار جب آپ کے لئے کسی بھی جگہ پر اسناد چوری ہوچکے ہیں۔ سائٹ ، ان اسناد کو پورے بورڈ میں دوبارہ استعمال کرنے کی کوشش کی جارہی ہے۔ لہذا ، اگر آپ ڈپلیکیٹ پاس ورڈ استعمال کررہے ہیں تو ، کہتے ہیں کہ اگر آپ کے صارف ، یہاں تک کہ ، اس طرح ڈالتے ہیں تو ، کوئی شخص اس دستاویزات کا مکمل طور پر جائز سیٹ دکھائی دیتا ہے جس کے ذریعے بھی رسائی حاصل کرسکتا ہے۔ تو ، بتادیں کہ آئیویون نے میرا وہی پاس ورڈ ایمیزون اور میرے بینک میں ، اور ایک فورم میں بھی اور فورم کے سافٹ ویئر کو ہیک کیا تھا ، ٹھیک ہے ، ان کے پاس میرا صارف نام اور میرا پاس ورڈ ہے۔ اور پھر وہی وہی صارف نام ایمیزون پر استعمال کرسکتے ہیں ، یا وہ اسے بینک میں استعمال کرتے ہیں۔ اور جہاں تک بینک کا تعلق ہے تو ، یہ ایک مکمل طور پر درست لاگ ان تھا۔ اب ، آپ مکمل طور پر مجاز رسائی کے ذریعے مذموم اقدامات کرسکتے ہیں۔
لہذا ، اس قسم کی دوبارہ بات ہوتی ہے جو میں اندرونی خلاف ورزیوں اور داخلی استعمال کے بارے میں کہہ رہا تھا۔ اگر آپ کو اپنی تنظیم میں ایسے افراد مل گئے ہیں جو داخلی رسائی کے لئے وہی پاس ورڈ استعمال کررہے ہیں جو وہ بیرونی رسائی کے ل do کرتے ہیں تو ، آپ کو یہ امکان مل گیا ہے کہ کسی اور جگہ آنے اور آپ کو کسی دوسری سائٹ پر ہونے والی خلاف ورزی کے ذریعہ نقالی بنانا ہے جس کے بارے میں آپ جانتے بھی نہیں ہیں۔ اور یہ اعداد و شمار بہت تیزی سے پھیلاتے ہیں۔ فہرستیں موجود ہیں ، مجھے لگتا ہے کہ ٹرائے ہنٹ کے ذریعہ "مجھے پیوند کردیا گیا" کرنے کا سب سے حالیہ بوجھ ، انہوں نے کہا کہ اس کے پاس آدھا ارب اسناد موجود ہیں ، جو ہے - اگر آپ سیارے پر موجود لوگوں کی تعداد پر غور کریں تو - واقعی بڑی تعداد میں اسناد جو اسناد کو بھرنے کے ل made فراہم کی گئیں ہیں۔
لہذا ، میں تھوڑا سا گہرا جاؤں گا اور ایس کیو ایل سرور سیکیورٹی کے بارے میں بات کروں گا۔ اب میں یہ کہنا چاہتا ہوں کہ اگلے 20 منٹ میں اپنے ایس کیو ایل سرور کو محفوظ بنانے کے ل everything آپ کو وہ سب کچھ دینے کی ضرورت نہیں ہے جو آپ کو جاننے کی ضرورت ہے۔ یہ تھوڑا سا لمبا حکم لگتا ہے۔ تو ، یہاں تک کہ ، میں یہ کہنا چاہتا ہوں کہ آن لائن گروپس موجود ہیں اور آن لائن وسائل آن لائن ہیں کہ آپ یقینی طور پر گوگل کرسکتے ہیں ، کتابیں موجود ہیں ، مائیکروسافٹ پر بہترین پریکٹس دستاویزات موجود ہیں ، ایس کیو ایل سرور میں پیشہ ور ساتھیوں کے لئے سیکیورٹی ورچوئل باب موجود ہے۔ وہ سیکیورٹی.پاس ڈاٹ آرگ پر ہیں اور مجھے یقین ہے کہ ، ماہانہ ویب کاسٹ اور ویب کاسٹوں کی ریکارڈنگ ایسی نوعیت کے مطابق ہوتی ہے جس میں ایس کیو ایل سرور سیکیورٹی کو کس طرح کرنا ہے۔ لیکن یہ کچھ ایسی چیزیں ہیں جو میں آپ سے ڈیٹا پروفیشنل ، آئی ٹی پروفیشنلز ، بطور ڈی بی اے ، آپ سے بات کر رہا ہوں ، میں چاہتا ہوں کہ آپ کو یہ معلوم کرنا چاہ S کہ آپ کو ایس کیو ایل سرور سیکیورٹی کے ساتھ جاننے کی ضرورت ہے۔
تو پہلا جسمانی تحفظ ہے۔ تو ، جیسا کہ میں نے پہلے کہا ، جسمانی میڈیا چوری کرنا اب بھی بہت عام ہے۔ اور اس طرح کا منظر نامہ جو میں نے دیو مشین کے ساتھ دیا تھا ، دیو مشین پر آپ کے ڈیٹا بیس کی ایک کاپی کے ساتھ جو چوری ہو جاتی ہے۔ ایک انتہائی عام ویکٹر کو چلاتا ہے ، کسی ایسے ویکٹر کو چلاتا ہے جس کے بارے میں آپ کو آگاہ ہونے کی ضرورت ہے اور اس کے خلاف اقدامات اٹھانے کی کوشش کرتے ہیں۔ بیک اپ سیکیورٹی کے ل Its یہ بھی درست ہے ، لہذا جب بھی آپ اپنے ڈیٹا کا بیک اپ لیتے ہو ، آپ کو اس کا خفیہ کردہ پشت پناہ لینے کی ضرورت ہوتی ہے ، آپ کو ایک محفوظ مقام تک بیک اپ لینے کی ضرورت ہوتی ہے۔ یہ اعداد و شمار جو واقعتا the ڈیٹا بیس میں محفوظ تھا ، جیسے ہی یہ ڈیف مشینوں پر ، آزمائشی مشینوں پر سے گھریلو مقامات میں جانے لگتا ہے ، ہم پیچ کرنے کے بارے میں تھوڑا سا محتاط ہوجاتے ہیں ، ہمیں تھوڑا سا کم ہوجاتا ہے ان لوگوں کے بارے میں محتاط رہیں جن کو اس تک رسائی حاصل ہے۔ اگلی چیز جس کے بارے میں آپ جانتے ہو ، آپ کو بہت سے مختلف لوگوں سے استحصال کے ل available اپنی تنظیم میں عوامی حص onہ پر غیر خفیہ کردہ ڈیٹا بیس بیک اپز حاصل ہوگئے ہیں۔ تو ، جسمانی سلامتی کے بارے میں اور اتنا ہی آسان کے بارے میں سوچو ، کیا کوئی چل سکتا ہے اور صرف ایک USB کی کلید اپنے سرور میں ڈال سکتا ہے؟ آپ کو اس کی اجازت نہیں دی جانی چاہئے۔
اگلی آئٹم میں آپ کے بارے میں سوچنا چاہتا ہوں وہ ہے پلیٹ فارم سیکیورٹی ، لہذا تازہ ترین OS ، تازہ ترین پیچ۔ لوگوں کو ونڈوز کے پرانے ورژن ، ایس کیو ایل سرور کے پرانے ورژن پر قائم رہنے کے بارے میں بات کرتے ہوئے یہ سن کر بہت تکلیف ہوتی ہے کہ یہ سوچتے ہوئے کہ صرف پیسہ صرف لاگت لائسنسنگ اپ گریڈ کی لاگت ہے ، جو معاملہ نہیں ہے۔ ہم سلامتی کے ساتھ ہیں ، یہ ایک ندی ہے جو پہاڑی سے نیچے جاتی رہتی ہے اور وقت گزرنے کے ساتھ ساتھ اور بھی استحصال پائے جاتے ہیں۔ اس معاملے میں مائیکروسافٹ ، اور دوسرے گروپس جیسے بھی ہو سکتے ہیں ، وہ پرانے سسٹم کو ایک مقام پر اپ ڈیٹ کردیں گے ، اور آخر کار وہ حمایت سے محروم ہوجائیں گے اور وہ انھیں مزید اپ ڈیٹ نہیں کریں گے ، کیونکہ بحالی کا یہ صرف ایک نہ ختم ہونے والا عمل ہے۔
اور اسی طرح ، آپ کو ایک تعاون یافتہ OS پر رہنے کی ضرورت ہے اور آپ کو اپنے پیچ پر جدید رہنا ہوگا ، اور شیڈو بروکرز کی طرح حال ہی میں ہمیں بھی مل گیا ہے ، کچھ معاملات میں مائیکروسافٹ کو آنے والے بڑے حفاظتی خلاف ورزیوں پر بصیرت حاصل کر سکتی ہے ، ان سے قبل عوامی ، انکشاف کرنے سے پہلے ، لہذا اپنے آپ کو ہر طرح سے مڑے ہوئے نہ ہونے دیں۔ آئی ڈی بجائے ٹائم ٹائم نہیں لیتا ہے ، آئی ڈی بجائے انتظار کریں اور ان میں سے ہر ایک کو پڑھیں اور فیصلہ کریں۔ آپ کو یہ معلوم نہیں ہوگا کہ اس کی قیمت کیا ہے جب تک کہ جب آپ کو معلوم ہوجائے کہ یہ پیچ کیوں ہوا ہے اس لائن کے نیچے کچھ ہفتوں تک ہے۔ تو ، اس کے اوپر رہیں.
آپ کو اپنا فائر وال کنفیگر کرنا چاہئے۔ ایس این بی کی خلاف ورزی میں یہ چونکانے والی بات تھی کہ انٹرنیٹ پر کھلا فائر وال کے ساتھ کتنے لوگ ایس کیو ایل سرور کے پرانے ورژن چلا رہے ہیں ، لہذا کوئی بھی اپنے سرورز کے ذریعہ جو کچھ بھی کرنا چاہتا ہے کر سکتا ہے۔ آپ کو فائر وال استعمال کرنا چاہئے۔ حقیقت یہ ہے کہ آپ کو وقتا فوقتا قواعد تشکیل دینا پڑتے ہیں یا جس طرح سے آپ اپنا کاروبار کررہے ہیں اس کے لئے مخصوص استثناء پیش کرنا ایک ٹھیک قیمت ہے۔ آپ کو اپنے ڈیٹا بیس سسٹم میں سطح کے رقبے کو کنٹرول کرنے کی ضرورت ہے - کیا آپ ایک ہی مشین پر IIS جیسی خدمات یا ویب سرور جیسے شریک انسٹال کر رہے ہیں؟ ایک ہی ڈسک اسپیس کا اشتراک ، آپ کے ڈیٹا بیس اور اپنے نجی ڈیٹا جیسی میموری اسپیس شیئر کرنا؟ ایسا کرنے کی کوشش نہ کریں ، اسے الگ تھلگ کرنے کی کوشش کریں ، سطح کے رقبے کو چھوٹا رکھیں ، تاکہ آپ کو اس بات کی فکر کرنے کی ضرورت نہ ہو کہ ڈیٹا بیس کے سب سے اوپر پر یہ سب محفوظ ہے۔ آپ ان کو جسمانی طور پر الگ کرسکتے ہیں ، پلیٹ فارم ، انہیں الگ کرسکیں ، اپنے آپ کو سانس لینے کا کمرہ تھوڑا سا دیں۔
آپ کو ہر جگہ ہر جگہ دوڑنے والے سپر ایڈمنز نہیں ہونے چاہئیں جو آپ کو اپنے تمام ڈیٹا تک رسائی حاصل کرسکیں۔ OS ایڈمن اکاؤنٹس کو لازمی طور پر آپ کے ڈیٹا بیس تک ، یا ڈیٹا بیس میں انکرپشن کے ذریعے بنیادی ڈیٹا تک رسائی حاصل کرنے کی ضرورت نہیں ہوسکتی ہے ، جس کے بارے میں ایک منٹ میں اچھی طرح سے بات کرتے ہیں۔ اور ڈیٹا بیس فائلوں تک رسائی ، آپ کو بھی اس پر پابندی لگانی ہوگی۔ اس طرح کی بیوقوف ہے اگر آپ یہ کہتے ہیں ، ٹھیک ہے ، کوئی ان ڈیٹا بیس تک ڈیٹا بیس کے ذریعے رسائی حاصل نہیں کرسکتا ہے۔ ایس کیو ایل سرور خود ان کو اس تک رسائی حاصل کرنے کی اجازت نہیں دیتا ہے ، لیکن اگر پھر وہ گھوم سکتے ہیں تو ، حقیقی ایم ڈی ایف فائل کی ایک کاپی لے سکتے ہیں ، اسے صرف اتنا منتقل کردیں ، اسے اپنے ہی ایس کیو ایل سرور سے منسلک کریں ، آپ نے واقعی بہت زیادہ کامیابی حاصل نہیں کی۔
خفیہ کاری ، تو خفیہ کاری وہ مشہور دو طرفہ تلوار ہے۔ خفیہ کاری کی مختلف سطحیں ہیں جو آپ OS سطح پر کرسکتے ہیں اور ایس کیو ایل اور ونڈوز کے لئے کام کرنے کا معاصر طریقہ بٹ لاکر کے پاس ہے اور ڈیٹا بیس کی سطح پر اس کو TDE یا شفاف ڈیٹا انکرپشن کہا جاتا ہے۔ لہذا ، یہ دونوں طریقے ہیں کہ آپ آرام سے اپنے ڈیٹا کو خفیہ رکھیں۔ اگر آپ اپنے کوائف کو مزید جامع طور پر خفیہ رکھنا چاہتے ہیں تو ، آپ کو خفیہ کردہ کام کر سکتے ہیں - معذرت ، Ive قسم کا قدم آگے بڑھا۔ آپ کو انکرپٹڈ کنکشن لگ سکتے ہیں تاکہ جب بھی ٹرانزٹ میں ، اس کی خفیہ کاری ہو تاکہ اگر کوئی سن رہا ہو ، یا کسی حملے کے بیچ میں کوئی آدمی ہے ، تو آپ کو اس تار سے اعداد و شمار کا کچھ تحفظ مل گیا ہے۔ آپ کے بیک اپ کو خفیہ کرنے کی ضرورت ہے ، جیسا کہ میں نے کہا ہے کہ ، یہ دوسروں کے لئے قابل رسائی ہوسکتے ہیں اور پھر ، اگر آپ چاہتے ہیں کہ یہ میموری میں اور استعمال کے دوران خفیہ ہوجائے ، تو ہمیں کالم کو خفیہ کاری مل گئی اور پھر ، SQL 2016 میں "ہمیشہ خفیہ کردہ" کا یہ تصور موجود ہے جہاں اس نے اصل میں اس ڈسک پر ، میموری میں ، تار پر ، اس اطلاق کے پورے راستے کو جس میں واقعی اعداد و شمار کو استعمال کیا جارہا ہے انکرپٹ کیا گیا ہے۔
اب ، یہ ساری خفیہ کاری مفت نہیں ہے: تھریسس سی پی یو اوور ہیڈ ، کبھی کبھی کالم کی خفیہ کاری اور ہمیشہ سے خفیہ کردہ معاملے کے ل. ہوتا ہے ، اس اعداد و شمار کو تلاش کرنے کی آپ کی صلاحیت کے لحاظ سے کارکردگی پر مضمرات پڑتے ہیں۔ تاہم ، اگر یہ خفیہ کاری صحیح طور پر ایک ساتھ رکھی گئی ہے تو ، اس کا مطلب یہ ہے کہ اگر کسی کو آپ کے ڈیٹا تک رسائی حاصل کرنا پڑے تو ، نقصان بہت کم ہوجاتا ہے ، کیونکہ وہ اسے حاصل کرنے میں کامیاب تھے اور پھر وہ اس کے ساتھ کچھ نہیں کرسکتے ہیں۔ تاہم ، یہ بھی وہ طریقہ ہے جس میں رینسم ویئر کام کرتا ہے ، کیا یہ ہے کہ کوئی داخل ہوتا ہے اور ان اشیا کو اپنے سرٹیفکیٹ یا اپنے پاس ورڈ کے ساتھ موڑ دیتا ہے اور آپ اس تک رسائی نہیں رکھتے ہیں۔ لہذا ، اس بات کو یقینی بنانا کیوں ضروری ہے کہ آپ یہ کر رہے ہیں ، اور آپ کو اس تک رسائی حاصل ہے ، لیکن آپ اسے نہیں دے رہے ہیں ، دوسروں اور حملہ آوروں کے لئے کھلا ہے۔
اور پھر ، حفاظتی اصول - میں اس مقام پر کوئی بات نہیں کروں گا ، لیکن اس بات کو یقینی بنائے کہ آپ کے پاس ہر صارف SQL سرور میں بطور سپر ایڈمن چل رہا ہے۔ آپ کے ڈویلپرز یہ چاہتے ہیں ، مختلف صارف یہ چاہتے ہیں - انفرادی اشیاء تک رسائی حاصل کرنے کی درخواست کر کے مایوس ہوچکے ہیں - لیکن آپ کو اس کے بارے میں مستعد رہنے کی ضرورت ہے ، اور اس کے باوجود یہ زیادہ پیچیدہ ہوسکتا ہے ، اشیاء اور ڈیٹا بیس تک رسائی فراہم کریں۔ اور یہ اسکیما جو جاری کام کے لئے موزوں ہیں ، اور اس میں ایک خاص کیس موجود ہے ، ہوسکتا ہے کہ اس کا مطلب خصوصی لاگ ان ہو ، اس کا مطلب یہ نہیں ہے کہ اوسط کیس صارف کے لئے حقوق کی بلندی ہو۔
اور پھر ، انضباطی تعمیل کے بارے میں غور و فکر کیا گیا ہے جو اس پر عمل درآمد کرتے ہیں اور کچھ معاملات حقیقت میں اپنی طرح سے چل سکتے ہیں۔ لہذا وہاں HIPAA ، SOX ، PCI - ان تمام مختلف غور و فکر پر مشتمل ہے۔ اور جب آپ آڈٹ کرتے ہیں تو آپ سے یہ توقع کی جاسکتی ہے کہ آپ اس کی تعمیل میں رہنے کے ل actions اقدامات کر رہے ہیں۔ اور اس طرح ، بہت زیادہ باتوں پر نظر رکھنا ہے ، میں ایک ڈی بی اے ٹو ڈو لسٹ کی حیثیت سے کہوں گا ، آپ سیکیورٹی فزیکل انکرپشن کنفیگریشن کو یقینی بنانے کی کوشش کر رہے ہیں ، آپ اس بات کو یقینی بنانے کی کوشش کر رہے ہیں کہ آپ کے تعمیل کے مقاصد کے لئے اس ڈیٹا تک رسائی کو آڈٹ کیا جا رہا ہے۔ ، اس بات کو یقینی بنانا کہ آپ کے حساس کالم ، آپ کو معلوم ہو کہ وہ کیا ہیں ، وہ کہاں ہیں ، آپ کو کون سے خفیہ کاری کرنی ہوگی اور اس تک رسائی دیکھنے میں ہوگی۔ اور یہ یقینی بنانا کہ تشکیلات ان ریگولیٹری رہنما خطوط کے مطابق ہیں جو آپ کے تابع ہیں۔ اور آپ کو یہ سب کچھ تازہ رکھنا ہوگا کیونکہ حالات بدل رہے ہیں۔
تو ، یہ کرنے کے لئے بہت کچھ ہے ، اور اس ل I اگر میں اسے ابھی وہاں چھوڑ دوں تو ، میں کہوں گا کہ جاؤ۔ لیکن اس کے ل different بہت سارے ٹولز موجود ہیں ، اور اس طرح ، اگر میں آخری لمحوں میں کرسکتا ہوں ، تو میں آپ کو اس کے لئے آئیڈیرا میں موجود کچھ ٹولز آپ کو دکھانا چاہتا تھا۔ اور میں جن دو کے بارے میں آج میں بات کرنا چاہتا ہوں وہ ہیں ایس کیو ایل سیکیور اور ایس کیو ایل تعمیل منیجر۔ ایس کیو ایل سیکور ہمارا ٹول ہے جو ترتیب میں پائے جانے والے خطرات سے متعلق شناخت کرنے میں مدد کرتا ہے۔ آپ کی حفاظتی پالیسیاں ، آپ کے صارف کی اجازت ، آپ کی سطح کے رقبے کی تشکیلات۔ اور اس میں آپ کو مختلف ریگولیٹری فریم ورک کی تعمیل کرنے میں مدد کرنے کے لئے ٹیمپلیٹس ہیں۔ یہ خود ہی ، آخری سطر ، لوگوں کے لئے اس پر غور کرنے کی وجہ ہوسکتی ہے۔ کیونکہ ان مختلف ضوابط کے بارے میں پڑھنے اور ان کا کیا مطلب ہے اس کی نشاندہی کرنا ، پی سی آئی اور پھر اس راستے کو اپنی دکان میں واقع اپنے ایس کیو ایل سرور تک لے جانے سے ، بہت کام ہوتا ہے۔ کچھ ایسا کام کرتا ہے جس کے لئے آپ مشورے کی بہت سی رقم ادا کرسکتے ہیں۔ ہم نے یہ مشورہ کیا ہے کہ ہم نے مختلف آڈیٹنگ کمپنیوں وغیرہ کے ساتھ کام کیا ہے ، ان ٹیمپلیٹس کے ساتھ جو کچھ سامنے آتا ہے - کچھ ایسی بات ہے کہ اگر یہ جگہ موجود ہو تو آڈٹ پاس ہوجائے گا۔ اور پھر آپ اپنے ماحول میں ان سانچوں کو استعمال کرسکتے ہیں اور انہیں دیکھ سکتے ہیں۔
ہمارے پاس بھی ایس کیو ایل کمپلینس منیجر کی شکل میں بہن کا ایک اور ٹول ہے ، اور یہ وہ جگہ ہے جہاں ایس کیو ایل سیکیور ترتیب کی ترتیبات کے بارے میں ہے۔ ایس کیو ایل تعمیل منیجر یہ دیکھنے کے بارے میں ہے کہ کس کے ذریعہ ، کب کیا گیا تھا۔ لہذا ، اس کا آڈٹ کرنا ، لہذا یہ آپ کو اس کی سرگرمی کی نگرانی کرنے کی اجازت دیتا ہے اور واقعی اس بات کی نشاندہی کرتا ہے کہ کون چیزوں تک رسائی حاصل کر رہا ہے۔ کیا کوئی ، مثال کے طور پر مثال کے طور پر آپ کے اسپتال میں مشہور شخصیات کی حیثیت سے جانچ پڑتال کر رہا تھا ، کیا کوئی تجسس کی بناء پر کوئی جا رہا تھا اور ان کی معلومات تلاش کر رہا تھا؟ کیا ان کے پاس ایسا کرنے کی کوئی وجہ تھی؟ آپ آڈٹ کی تاریخ پر ایک نظر ڈال سکتے ہیں اور دیکھ سکتے ہیں کہ کیا ہو رہا ہے ، کون ان ریکارڈوں تک رسائی حاصل کر رہا تھا۔ اور آپ اس کی نشاندہی کرسکتے ہیں کہ حساس کالموں کی نشاندہی کرنے میں آپ کی مدد کرنے کے لئے ٹولز موجود ہیں ، لہذا آپ کو خود پڑھنے اور خود ہی یہ کام کرنے کی ضرورت نہیں ہے۔
لہذا ، اگر میں کرسکتا ہوں تو ، میں ان آخری ٹینٹوں میں آپ کو آگے بڑھنے اور ان آلات میں سے کچھ آپ کو یہاں دکھاتا ہوں - اور براہ کرم اس کو گہرائی میں ڈیمو کے طور پر نہ سمجھیں۔ میں ایک پروڈکٹ مینیجر ہوں ، سیلز انجینئر نہیں ہوں ، لہذا میں آپ کو کچھ ایسی چیزیں دکھاتا ہوں جو میرے خیال میں اس بحث سے متعلق ہیں۔ تو ، یہ ہماری ایس کیو ایل محفوظ مصنوعات ہے۔ اور جیسا کہ آپ یہاں دیکھ سکتے ہیں ، Ive کو اس قسم کا ایک اعلی سطحی رپورٹ کارڈ ملا ہے۔ میں نے کل یہ خیال کیا تھا۔ اور یہ مجھے کچھ چیزیں دکھاتا ہے جو صحیح طور پر مرتب نہیں ہوئے ہیں اور کچھ چیزیں جو صحیح طریقے سے ترتیب دی گئی ہیں۔ لہذا ، آپ نے یہاں 100 سے زیادہ مختلف چیک کی جانچ کی ہے جو ہم نے یہاں کیا ہے۔ اور میں دیکھ سکتا ہوں کہ جو بیک اپ میں کر رہا ہوں اس پر میرا بیک اپ انکرپشن ، Ive بیک اپ انکرپشن استعمال نہیں کررہا ہے۔ میرا SA اکاؤنٹ ، واضح طور پر "SA اکاؤنٹ" کا نام دیا گیا ہے اسے غیر فعال یا نام تبدیل نہیں کیا گیا ہے۔ عوامی سرور کے کردار کی اجازت ہے ، لہذا یہ وہ سب چیزیں ہیں جن کو میں تبدیل کرنا چاہتا ہوں۔
Ive نے یہاں پالیسی تشکیل دی ہے ، لہذا اگر میں اپنے سرورز پر اطلاق کرنے کے لئے ایک نئی پالیسی مرتب کرنا چاہتا ہوں تو ہمیں ان تمام اندرونی پالیسیاں مل گئیں۔ لہذا ، میں موجودہ پالیسی ٹیمپلیٹ کا استعمال کرتا ہوں اور آپ دیکھ سکتے ہیں کہ میرے پاس سی آئی ایس ، HIPAA ، پی سی آئی ، ایس آر موجود ہیں اور ہم در حقیقت ان چیزوں کی بنیاد پر مستقل طور پر اضافی پالیسیاں شامل کرنے کے عمل میں ہیں جو لوگوں کو اس شعبے میں درکار ہیں۔ اور آپ ایک نئی پالیسی بھی تشکیل دے سکتے ہیں ، لہذا اگر آپ کو معلوم ہو کہ آپ کا آڈیٹر کیا ڈھونڈ رہا ہے تو آپ خود بھی تشکیل دے سکتے ہیں۔ اور پھر ، جب آپ ایسا کرتے ہیں تو ، آپ ان تمام ترتیبات میں سے کسی ایک کا انتخاب کرسکتے ہیں ، جسے آپ کو ترتیب دینے کی ضرورت ہے ، کچھ معاملات میں ، آپ کو مجھے واپس جانے دیں اور پہلے سے تیار کردہ ایک تلاش کریں۔ یہ آسان ہے ، میں منتخب کرسکتا ہوں ، کہوں ، کہوں ، HIPAA - مجھے پہلے ہی HIPAA مل گیا ہے ، میرا برا - PCI ، اور پھر ، جیسے ہی میں یہاں پر کلک کر رہا ہوں ، میں واقعتا اس ضابطے کے سیکشن کا خارجی حوالہ دیکھ سکتا ہوں کہ یہ ہے سے متعلق. اس کے بعد آپ کی مدد ہوگی ، جب آپ یہ جاننے کی کوشش کر رہے ہو کہ میں یہ کیوں ترتیب دے رہا ہوں؟ میں کیوں اس کو دیکھنے کی کوشش کر رہا ہوں؟ اس کا کس سیکشن سے تعلق ہے؟
اس میں ایک عمدہ آلہ بھی ہے جس سے یہ آپ کو اپنے صارفین کو اندر جانے اور براؤز کرنے دیتا ہے ، لہذا آپ کے صارف کے کردار کی کھوج کے بارے میں ایک مشکل چیز یہ ہے کہ ، دراصل ، میں یہاں ایک نظر ڈالنے جا رہا ہوں۔ لہذا ، اگر میں اپنے لئے اجازت دکھاتا ہوں ، چلنے دیتا ہوں ، تو صارف کو یہاں منتخب کرتا ہوں۔ اجازت نامے دکھائیں۔ میں اس سرور کے لئے تفویض کردہ اجازتیں دیکھ سکتا ہوں ، لیکن پھر میں یہاں کلک کرسکتا ہوں اور موثر اجازتوں کا حساب کتاب کرسکتا ہوں ، اور اس کی بنیاد پر مجھے پوری فہرست دے گا ، لہذا اس معاملے میں یہ ایڈمن ہے ، لہذا یہ اتنا دلچسپ نہیں ہے ، لیکن میں کرسکتا ہوں مختلف صارفین کو دیکھیں اور ان مختلف گروپوں کی بنیاد پر دیکھیں کہ ان کے موثر اجازتیں کیا ہیں ، جن کا ان سے تعلق ہوسکتا ہے۔ اگر آپ کبھی خود ہی یہ کام کرنے کی کوشش کرتے ہیں تو درحقیقت یہ پریشانی کا باعث ہوسکتی ہے ، معلوم کرنے کے لئے ، ٹھیک ہے یہ صارف ان گروپس کا ممبر ہے لہذا گروپوں وغیرہ کے ذریعہ ان چیزوں تک رسائی حاصل ہے۔
لہذا ، جس طرح سے یہ پروڈکٹ کام کرتی ہے ، کیا یہ اسنیپ شاٹس لیتا ہے ، لہذا یہ واقعی میں مستقل طور پر سرور کا سنیپ شاٹ لینا کوئی مشکل عمل نہیں ہے اور پھر وہ اس سنیپ شاٹس کو وقت کے ساتھ ساتھ رکھتا ہے تاکہ آپ تبدیلیوں کا موازنہ کرسکیں۔ لہذا ، یہ کارکردگی کی نگرانی کے آلے کی طرح روایتی معنوں میں مستقل نگرانی نہیں ہے۔ یہ وہ چیز ہے جو آپ نے ایک رات میں ایک بار ، ہفتے میں ایک بار چلانے کے لئے تیار کی ہے - تاہم اکثر آپ کو درست معلوم ہوتا ہے - تاکہ جب بھی آپ تجزیہ کرتے ہو اور آپ کچھ زیادہ ہی کرتے ہو تو ، آپ واقعی ہمارے آلے میں کام کر رہے ہو۔ آپ اپنے سرور سے اتنا زیادہ واپس نہیں جڑ رہے ہیں ، لہذا اس طرح کی مستحکم ترتیبات پر عمل پیرا ہونے کے ل work ، کام کرنے کا یہ ایک بہت اچھا سا ٹول ہے۔
دوسرا آلہ جو میں آپ کو دکھانا چاہتا ہوں وہ ہمارے تعمیل منیجر کا آلہ ہے۔ تعمیل منیجر مزید مستقل طور پر مانیٹر کرنے جارہا ہے۔ اور دیکھنا یہ ہے کہ کون آپ کے سرور پر کیا کررہا ہے اور آپ کو اس پر ایک نگاہ ڈالنے کی اجازت دیتا ہے۔ تو ، میں نے یہاں کیا کیا ، پچھلے کچھ گھنٹوں میں یا اس سے ، Ive نے واقعی میں کچھ چھوٹی مشکلات پیدا کرنے کی کوشش کی۔ تو ، یہاں یہ ہو گیا کہ آیا یہ مسئلہ ہے یا نہیں ، مجھے اس کے بارے میں معلوم ہوسکتا ہے ، کسی نے واقعتا a لاگ ان بنایا ہے اور اسے سرور کے کردار میں شامل کیا ہے۔ لہذا ، اگر میں اندر جاکر اس پر ایک نگاہ ڈالوں تو ، میں دیکھ سکتا ہوں- مجھے لگتا ہے کہ میں وہاں دائیں کلک نہیں کرسکتا ہوں ، میں دیکھ سکتا ہوں کہ کیا ہو رہا ہے۔تو ، یہ میرا ڈیش بورڈ ہے اور میں دیکھ سکتا ہوں کہ آج سے تھوڑا پہلے میرے پاس بہت سے ناکام لاگ ان تھے۔ میں سیکیورٹی سرگرمی ، DBL سرگرمی کا ایک گروپ تھا.
تو ، مجھے اپنے آڈٹ واقعات پر جانے اور ایک نگاہ ڈالنے دو۔ یہاں Ive نے اپنے آڈٹ واقعات کو زمرہ اور ہدف آبجیکٹ کے مطابق گروپ کیا ، لہذا اگر میں پہلے سے اس سیکیورٹی پر ایک نظر ڈالتا ہوں تو ، میں ڈیمو نیوزر کو دیکھ سکتا ہوں ، یہ تخلیق سرور لاگ ان ہوا۔ اور میں دیکھ سکتا ہوں کہ لاگ ان SA نے یہ ڈیمو نیو صارف اکاؤنٹ ، یہاں ، 2:42 بجے تیار کیا۔ اور پھر ، میں دیکھ سکتا ہوں کہ اس کے بدلے میں ، سرور میں لاگ ان شامل کریں ، اس ڈیمو نیوزر کو سرور ایڈمن گروپ میں شامل کیا گیا تھا ، انہیں سیٹ اپ ایڈمن گروپ میں شامل کیا گیا تھا ، انہیں سیسڈمین گروپ میں شامل کیا گیا تھا۔ لہذا ، کچھ ایسی بات ہے جو میں جاننا چاہتا ہوں کہ ہوا تھا۔ Ive نے یہ بھی ترتیب دیا ہے تاکہ میری ٹیبلز میں حساس کالموں کا سراغ لگایا جاسکے ، لہذا میں دیکھ سکتا ہوں کہ کون اس تک رسائی حاصل کر رہا ہے۔
لہذا ، یہاں مجھے کچھ جوڑے ملے جو میری ذاتی میز پر پائے گئے ہیں ، ایڈونچر ورکس سے۔ اور میں ایک نظر ڈال سکتا ہوں اور دیکھ سکتا ہوں کہ ساہسک ورکس ٹیبل پر موجود صارف SA نے ڈاٹ شخص سے ایک منتخب ٹاپ ٹین اسٹار کیا۔ تو ہوسکتا ہے کہ میں اپنی تنظیم میں نہیں چاہتا ہوں کہ لوگ شخصی ڈاٹ شخص سے منتخب ستارے کریں ، یا میں صرف کچھ صارفین کی توقع کر رہا ہوں ، اور اس لئے میں اسے یہاں دیکھوں گا۔ لہذا ، آپ کو اپنے آڈٹ کے ضمن میں جس چیز کی ضرورت ہے ، ہم اسے فریم ورک کی بنیاد پر مرتب کرسکتے ہیں اور یہ کچھ زیادہ ہی وسعت والا ذریعہ ہے۔ یہ ورژن کے لحاظ سے ایس کیو ایل ٹریس ، یا ایس کیو ایل ایکس واقعات کا استعمال کررہا ہے۔ اور یہ وہ چیز ہے جو آپ کو ایڈجسٹ کرنے کے ل your آپ کے سرور پر کچھ ہیڈ روم رکھنا پڑتی ہے ، لیکن اس میں سے ان چیزوں میں سے ایک قسم کی انشورنس ہے ، جو اچھی بات ہے اگر ہمارے پاس کار انشورنس نہ کرنی پڑے - یہ ایک قیمت ہوگی جس کا ہم ارادہ نہیں کریں گے۔ لینا پڑتا ہے - لیکن اگر آپ کے پاس ایسا سرور ہے جہاں آپ کو کچھ کرنے کی ضرورت رکھنے کی ضرورت ہو تو آپ کو ایسا کرنے کے ل a تھوڑا سا اضافی ہیڈ روم اور ایک ٹول بھی ملنا پڑ سکتا ہے۔ چاہے آپ ہمارے آلے کو استعمال کررہے ہو یا آپ خود ہی اسے رول کررہے ہو ، بالآخر آپ ریگولیٹری تعمیل کے مقاصد کے لئے یہ معلومات حاصل کرنے کے ذمہ دار ہوں گے۔
لہذا جیسا کہ میں نے کہا ، گہرائی کا ڈیمو نہیں ، صرف ایک تیز ، چھوٹا سا خلاصہ۔ میں اس ایس کیو ایل کالم سرچ کی شکل میں آپ کو ایک تیز ، چھوٹا سا مفت ٹول بھی دکھانا چاہتا تھا ، جو آپ کو اس بات کی شناخت کے ل can استعمال کرسکتے ہیں کہ آپ کے ماحول میں کون سے کالم حساس معلومات دکھائی دیتے ہیں۔ لہذا ، ہمارے پاس تلاش کی متعدد تشکیلات موجود ہیں جہاں یہ کالموں کے مختلف ناموں کی تلاش میں ہے جو عام طور پر حساس اعداد و شمار پر مشتمل ہوتے ہیں ، اور پھر Ive ان کی یہ پوری فہرست مل گئی ہے جس کی شناخت کی گئی ہے۔ ایوین نے ان میں سے 120 کو حاصل کرلیا ، اور پھر میں نے انہیں یہاں برآمد کیا ، تاکہ میں ان کا یہ کہنے کے لئے استعمال کر سکوں ، دیکھنے کی اجازت دیتا ہوں اور یہ یقینی بناتا ہوں کہ میں وسط نام ، ایک شخص ڈاٹ شخص یا سیلز ٹیکس کی شرح وغیرہ تک رسائی حاصل کرسکتا ہوں۔
مجھے معلوم ہے کہ ہمارے وقت کے اختتام پر یہ ٹھیک ہو رہے تھے۔ اور یہی وہ سب ہے جو مجھے دراصل آپ کو دکھانا تھا ، تو میرے لئے کوئی سوال؟
ایرک کااناگ: میرے پاس آپ کے لئے کچھ اچھے ہیں۔ میں اسے یہاں سکرول کرتا ہوں۔ ایک شرکا واقعی ایک اچھا سوال پوچھ رہا تھا۔ جن میں سے ایک پرفارمنس ٹیکس کے بارے میں پوچھ رہا ہے ، لہذا میں جانتا ہوں کہ یہ حل سے حل تک مختلف ہوتا ہے ، لیکن کیا آپ کو اس بارے میں کوئی عام خیال ہے کہ آئی ڈی آر اے سیکیورٹی ٹولز کے استعمال کے ل the پرفارمنس ٹیکس کیا ہے؟
اختی ہارپ: لہذا ، ایس کیو ایل سیکیور پر ، جیسا کہ میں نے کہا ، یہ بہت کم ہے ، بس یہ کبھی کبھار سنیپ شاٹس لینے جا رہا ہے۔ اور یہاں تک کہ اگر آپ بہت آسانی سے چل رہے ہیں تو ، اس کی ترتیبات کے بارے میں مستحکم معلومات مل رہی ہیں ، اور اس وجہ سے یہ بہت ہی کم ، تقریبا نہ ہونے کے برابر ہے۔ تعمیل منیجر کے لحاظ سے ، یہ ہے
ایرک کااناگ: ایک فیصد کی طرح؟
اختی ہارپ: اگر مجھے ایک فیصد نمبر دینا ہے ، ہاں ، یہ ایک فیصد یا اس سے کم ہوگا۔ ایس ایس ایم ایس کو استعمال کرنے اور سیکیورٹی ٹیب میں جانے اور چیزوں کو بڑھانے کے حکم پر اس کی بنیادی معلومات۔ تعمیل کی طرف ، اس سے کہیں زیادہ - یہ کیوں ہے کہ میں نے کیوں کہا کہ اس کو تھوڑا سا ہیڈ روم کی ضرورت ہے - اس طرح کی کارکردگی کی نگرانی کے معاملے میں جو کچھ آپ کے پاس ہے اس سے بھی اچھا ہے۔ اب ، میں لوگوں کو اس سے دور رہنا نہیں چاہتا ہوں ، تعمیل مانیٹرنگ کی چال ، اور اگر اس کا آڈٹ کرنا یہ یقینی بنائے کہ آپ صرف اس بات کا آڈٹ کررہے ہیں کہ آپ جس چیز پر کارروائی کررہے ہیں۔ لہذا ، ایک بار جب آپ یہ کہتے ہوئے فلٹر کرتے ہیں کہ ، "ارے ، میں یہ جاننا چاہتا ہوں کہ لوگ ان مخصوص میزوں تک کب پہنچتے ہیں ، اور میں جب بھی لوگوں تک رسائی حاصل کرنا چاہتا ہوں ، ان مخصوص اقدامات کو جاننا چاہتا ہوں ،" تو یہ اس بات پر مبنی ہوگا کہ یہ چیزیں کتنی بار ہوتی ہیں ہو رہا ہے اور آپ کتنا ڈیٹا تیار کررہے ہیں؟ اگر آپ کہتے ہیں کہ ، "میں ان ٹیبلز میں سے ہر ایک پر ہونے والی ہر سلیکٹ کا مکمل ایس کیو ایل چاہتا ہوں ،" تو یہ ممکنہ طور پر گیگا بائٹ اور گیگا بائٹس کا ڈیٹا ہوگا جس کو ایس کیو ایل سرور نے پارس کرنے کی ضرورت ہے ، کو ہماری مصنوعات وغیرہ میں منتقل کردیا ہے۔ .
اگر آپ اسے نیچے رکھتے ہیں تو اس سے بھی زیادہ معلومات آپ کے ساتھ ہوسکتی ہیں اس سے بھی زیادہ معلومات ہوسکتی ہیں۔ اگر آپ اسے ایک چھوٹی سی سیٹ پر لے جاسکتے ہیں ، تاکہ آپ کو روزانہ دو سو واقعات مل رہے ہوں ، تو یہ واضح طور پر کہیں کم ہے۔ تو ، واقعی ، کچھ طریقوں سے ، آسمان کی حد ہے۔ اگر آپ ہر چیز کے لئے تمام مانیٹرنگ پر تمام ترتیبات کو چالو کرتے ہیں ، تو ہاں ، اس کی کارکردگی میں پچاس فیصد کارکردگی ہوگی۔ لیکن اگر آپ اسے کسی حد تک اعتدال پسند ، سمجھے جانے والے درجے کی طرف موڑنے جا رہے ہیں تو ، میں شائد 10 فیصد آنکھوں کی بال ہوں گی؟ یہ واقعی ، ان چیزوں میں سے ایک ہے جو آپ کے کام کے بوجھ پر بہت زیادہ انحصار کرے گی۔
ایرک کااناگ: ہاں درست. ہارڈ ویئر کے بارے میں ایک اور سوال ہے۔ اور پھر ، ہارڈ ویئر کے دکاندار کھیل میں شامل ہو رہے ہیں اور واقعی میں سافٹ ویئر فروشوں کے ساتھ تعاون کر رہے ہیں اور میں نے سوال و جواب کی ونڈو کے ذریعے جواب دیا۔ مجھے ایک خاص معاملہ کا علم ہے ، کلوڈیرہ انٹیل کے ساتھ کام کر رہا تھا جہاں انٹیل نے ان میں بہت بڑی سرمایہ کاری کی تھی ، اور حساب کتاب کا ایک حصہ یہ تھا کہ کلوڈرا کو چپ ڈیزائن تک جلد رسائی حاصل ہوجائے گی ، اور اس طرح وہ سیکیورٹی کو چپ کی سطح تک بنا سکے گی۔ فن تعمیر ، جو بہت متاثر کن ہے۔ لیکن بہر حال ، اس کی کچھ چیزیں وہاں سے نکلنے کو ملتی ہیں ، اور پھر بھی دونوں طرف سے فائدہ اٹھایا جاسکتا ہے۔ کیا آپ سیکیورٹی پروٹوکول پر سافٹ ویئر فروشوں کے ساتھ تعاون کرنے کے لئے ہارڈ ویئر فروشوں کے کسی رجحانات یا کسی رجحانات کے بارے میں جانتے ہیں؟
اختی ہارپ: ہاں ، حقیقت میں ، میں سمجھتا ہوں کہ مائیکرو سافٹ نے کچھ تعاون کرنے کے لئے تعاون کیا ہے ، جیسے ، کچھ خفیہ کاری کے کام کے لئے میموری کی جگہ دراصل مدر بورڈز پر علیحدہ چپس پر ہو رہی ہے جو آپ کی اصل میموری سے الگ ہے ، تاکہ اس میں سے کچھ چیزیں جسمانی طور پر الگ ہے۔ اور مجھے یقین ہے کہ حقیقت میں یہ وہ چیز تھی جو مائیکروسافٹ سے دکانداروں کے پاس جانے کے سلسلے میں آئی تھی ، "کیا ہم اس کو بنانے کے لئے کوئی راستہ لے کر آسکتے ہیں ، بنیادی طور پر اس کی پریشان کن میموری ، میں بفر اوور فلو کے ذریعے اس یادداشت کو حاصل نہیں کرسکتا ، کیونکہ یہ وہاں بھی نہیں ہے ، کسی لحاظ سے ، لہذا میں جانتا ہوں کہ اس میں سے کچھ ہو رہا ہے۔
ایرک کااناگ: ہاں
اختی ہارپ: غالبا. واقعی بہت بڑے دکاندار ہونے والے ہیں ، غالبا.۔
ایرک کااناگ: ہاں میں اس کے لئے دیکھنا چاہتا ہوں ، اور ہوسکتا ہے کہ رابن ، اگر آپ کا دوسرا تیز رفتار ہے تو ، آئیڈ سالوں میں آپ کے تجربے کو جاننے کے لئے دلچسپ ہوں ، کیوں کہ ایک بار پھر ، ہارڈ ویئر کے لحاظ سے ، اصل ماد scienceی سائنس کے معاملے میں جو آپ ڈال رہے ہو وینڈر کی طرف سے ، یہ معلومات دونوں اطراف میں جاسکتی ہے ، اور نظریاتی طور پر ہم دونوں اطراف میں کافی تیزی سے چلے جاتے ہیں ، تو کیا ہارڈ ویئر کو زیادہ محتاط طریقے سے استعمال کرنے کا کوئی طریقہ ہے ، ڈیزائن کے نقطہ نظر سے ، سلامتی کو بہتر بنانے کے لئے؟ آپ کیا سوچتے ہیں؟ رابن ، کیا آپ گونگا ہیں؟
رابن بلور: جی ہاں. مجھے افسوس ہے ، میں یہاں ہوں۔ میں صرف سوال پر غور کر رہا ہوں۔ سچ پوچھیں تو ، میں نے ایک رائے نہیں لی ، یہ ایک ایسا علاقہ ہے جس میں میں نے اہم گہرائی سے دیکھا ہے ، لہذا میں اس قسم کا ہوں ، آپ جانتے ہو ، میں اپنی رائے ایجاد کرسکتا ہوں ، لیکن میں واقعتا نہیں جانتا ہوں۔ میں سافٹ ویئر میں چیزوں کو محفوظ رکھنے کو ترجیح دیتا ہوں ، بالکل اسی طرح جو میں کھیلتا ہوں ، بنیادی طور پر۔
ایرک کااناگ: ہاں ٹھیک ہے ، لوگ ، ایک گھنٹہ گزر کر یہاں تبدیل ہو گئے۔ اپنے وقت اور توجہ کے لئے وکی ہارپ کا بہت بہت شکریہ۔ ہم ان چیزوں کو ظاہر کرنے کی تعریف کرتے ہیں۔ یہ ایک بہت بڑی بات ہے۔ یہ کسی بھی وقت جلد دور نہیں ہوگا۔ یہ بلی اور ماؤس کا کھیل ہے اور چلتا ہی رہتا ہے۔ اور اسی طرح شکر گزار تھے کہ کچھ کمپنیاں وہاں موجود ہیں ، انھوں نے سیکیورٹی کو چالو کرنے پر توجہ دی ، لیکن جیسے ہی اختی نے دن کے اختتام پر اپنی پیش کش میں تھوڑا سا کے بارے میں بھی اشارہ کیا اور اس کے بارے میں بات کی ، تنظیموں میں شامل اس کے لوگوں کو جن کے بارے میں بہت احتیاط سے سوچنے کی ضرورت ہے۔ فشینگ حملوں ، اس قسم کی سوشل انجینئرنگ ، اور اپنے لیپ ٹاپ پر تھامے - اسے کافی شاپ پر چھوڑنے کی ضرورت نہیں! اپنا پاس ورڈ تبدیل کریں ، بنیادی باتیں کریں ، اور آپ وہاں 80 فیصد راستہ حاصل کریں گے۔
تو ، اس کے ساتھ ، لوگ ، آپ کو الوداع کرنے کے لئے جارہے تھے ، اپنے وقت اور توجہ کے لئے ایک بار پھر آپ کا شکریہ۔ اچھی طرح سے اگلی بار آپ کو سنبھال لیں ، خیال رکھنا۔ خدا حافظ.
اختی ہارپ: الوداع ، شکریہ۔