کمپیوٹر سیکورٹی
کمپیوٹر سیکورٹی

کمپیوٹر سیکورٹی ، جسے اکثر سائبر سیکورٹی یا انفارمیشن ٹیکنالوجی سیکیورٹی (آئی ٹی سیکیورٹی) کہا جاتا ہے ، انفارمیشن سسٹم کو ہارڈ ویئر ، سافٹ ویئر ، اور ذخیرہ کردہ ڈیٹا کو چوری یا نقصان سے بچانے کے ساتھ ساتھ ان کی فراہم کردہ خدمات میں خلل یا غلط سمت سے تحفظ ہے۔
بہتر کمپیوٹر سیکورٹی حاصل کرنے کے لئے ایک کثیر جہتی نقطہ نظر اپنانا ضروری ہے ، جس میں انفارمیشن سسٹم یا ڈیوائسز تک جسمانی رسائی / داخلے کی سختی سے نگرانی اور کنٹرول کرنا شامل ہے ، نیز کمپیوٹر کے نقصان سے تحفظ شامل ہے جو غیر ذمہ دارانہ / لاپرواہی انٹرنیٹ استعمال ، ڈیٹا اور کوڈ انجکشن کے ذریعہ ہوسکتا ہے ، اور آپریٹرز کی طرف سے بدانتظامی کی وجہ سے ، چاہے جان بوجھ کر ، حادثاتی ہو ، یا انہیں محفوظ طریقہ کار سے انحراف کرنے کی وجہ سے ہوسکتا ہے۔
ٹکنالوجی کی بڑھتی ہوئی تیزی سے ترقی کے ساتھ ، آہستہ آہستہ زیادہ جدید کمپیوٹر سسٹم پر انحصار بلا شبہ بڑھ رہا ہے۔ انٹرنیٹ کی ہمہ گیریت، "سمارٹ" ڈیوائسز کا عروج اور بلوٹوتھ اور وائی فائی جیسے وائرلیس نیٹ ورکس کے عروج نے سائبر سیکیورٹی کے لئے چیلنجوں اور کمزوریوں کا ایک نیا سیٹ متعارف کرایا ہے۔

کمزوریاں اور حملے

کمپیوٹر سیکورٹی میں ، کمزوری ایک کمزوری یا حادثاتی نقص ہے جس کا فائدہ اٹھایا جاسکتا ہے اور کسی بھی مہلک ادارے ، جیسے حملہ آور ، جو کمپیوٹر سسٹم کے اندر غیر قانونی ، غیر لائسنس یافتہ یا غیر مجاز کارروائیوں کو انجام دینا چاہتا ہے۔ کمزوری کا فائدہ اٹھانے کے لئے ، ایک حملہ آور کے پاس ایک پروگرام ، سافٹ ویئر کا ٹکڑا ، ایک مخصوص ٹول یا طریقہ ہونا ضروری ہے جو کمپیوٹر کی کمزوری کا فائدہ اٹھا سکتا ہے۔ اس تناظر میں ، کمزوری کو حملے کی سطح بھی کہا جاتا ہے۔
کسی دیئے گئے آلے کی کمزوریوں کو دریافت کرنے اور ان سے فائدہ اٹھانے کا بنیادی طریقہ یا تو خودکار آلے یا دستی اسکرپٹ کی مدد سے ہوتا ہے۔
اگرچہ کمپیوٹر سسٹم کے خلاف کیے جانے والے مختلف حملوں کی کثرت ہے ، لیکن ان خطرات کو عام طور پر ذیل میں ان میں سے ایک زمرے میں تقسیم کیا جاسکتا ہے:

بیک ڈور انٹری

ایک کمپیوٹر سسٹم ، ایک کرپٹو سسٹم ، ایک پروگرام یا سافٹ ویئر میں بیک ڈور ، عام توثیق یا سیکیورٹی کنٹرول کو بائی پاس کرنے کا کوئی بھی خفیہ طریقہ ہے۔ وہ متعدد وجوہات کی بنا پر موجود ہوسکتے ہیں ، بشمول اصل ڈیزائن یا خراب ترتیب سے۔ ہوسکتا ہے کہ انہیں کسی مجاز فریق کی طرف سے کسی جائز رسائی کی اجازت دینے کے لئے شامل کیا گیا ہو ، یا حملہ آور کے ذریعہ بدنیتی پر مبنی وجوہات کی بنا پر؛ لیکن ان کے وجود کے محرکات سے قطع نظر ، وہ ایک کمزوری پیدا کرتے ہیں۔

سروس سے انکار کا حملہ

انکار آف سروس حملے (ڈی او ایس) کا مقصد انفارمیشن سسٹم ، ڈیوائس یا نیٹ ورک کے وسائل کو اس کے صارفین کے لئے ناقابل رسائی بنانا ہے۔ ان سائبر حملوں کے نتیجے میں متاثرہ شخص کے اکاؤنٹ کو مکمل طور پر لاک ڈاؤن کیا جاسکتا ہے کیونکہ پاس ورڈ تیزی سے متعدد بار داخل کیا گیا ہے یا وہ کسی ڈیوائس کی پروسیسنگ کی صلاحیت کو مکمل طور پر اوور لوڈ کرسکتے ہیں ، جس کی وجہ سے تمام صارفین کو ایک ہی وقت میں بلاک کردیا جاسکتا ہے۔

اگرچہ ایک ہی ، جامد آئی پی سے آنے والے ڈی او ایس حملوں کو آسانی سے اینٹی وائرس سافٹ ویئر یا مناسب فائر وال کے ذریعہ بلاک کیا جاسکتا ہے ، تقسیم شدہ انکار (ڈی ڈی او ایس) حملے ، جہاں حملہ ایک ہی وقت میں متعدد ، متحرک آئی پی اور مقامات سے آتا ہے ، کو روکنا بہت مشکل ہوسکتا ہے۔ عام ڈی ڈی او ایس حملے خودکار بوٹس یا "زومبی کمپیوٹرز" کے ذریعہ کیے جاتے ہیں ، لیکن دیگر تکنیکوں کی ایک رینج ممکن ہے جس میں عکاسی اور توسیع کے حملے شامل ہیں ، جہاں معصوم سسٹم کو متاثرہ کو ٹریفک بھیجنے میں بیوقوف بنایا جاتا ہے۔

براہ راست رسائی کے حملے

براہ راست رسائی کا حملہ صرف ہدف شدہ کمپیوٹر سسٹم تک جسمانی رسائی حاصل کر رہا ہے۔ یہ حملہ آور کو ہارڈ ویئر اور سافٹ ویئر کو نقصان پہنچانے ، کی لاگرز ، کیڑے ، وائرس اور خفیہ سننے والے آلات انسٹال کرنے یا ڈیوائس سے حساس معلومات اور ڈیٹا دستی طور پر کاپی کرنے کے قابل بنائے گا۔
ڈسک خفیہ کاری اور قابل اعتماد پلیٹ فارم ماڈیول ان حملوں کو روکنے کے لئے ڈیزائن کیا گیا ہے.

ایویسڈراپنگ

ایویسڈرپنگ ، جسے اکثر وائر ٹیپنگ یا صرف جاسوسی کے طور پر جانا جاتا ہے ، دو یا دو سے زیادہ افراد کے مابین زبانی گفتگو کو خفیہ طور پر سننے یا ٹیکسٹ مواصلات کی مختلف شکلوں کو پڑھنے کا عمل ہے۔
ایف بی آئی اور این ایس اے کی جانب سے 'کارنیور' اور 'نرس ان سائٹ' جیسے پروگراموں کو انٹرنیٹ سروس پرووائیڈرز (آئی ایس پیز) پر اثر انداز ہونے کے لیے استعمال کیا گیا ہے۔
یہاں تک کہ ایسے آلات جو انٹرنیٹ یا لین نیٹ ورک سے منسلک نہیں ہیں (یعنی بیرونی دنیا کے ساتھ رابطے میں نہیں ہیں) اب بھی TEMPEST نگرانی کے ذریعے جاسوسی کی جاسکتی ہے جو ، جیسا کہ "8" میں بتایا گیا ہے۔ کوڈ نام کا دائرہ کار: TEMPEST"، ہارڈ ویئر کے ذریعہ پیدا ہونے والی ہلکی برقی مقناطیسی ٹرانسمیشن ہے۔

ملٹی ویکٹر، پولی مورفک حملے اور میلویئر

2017 میں منظر عام پر آنے والے ، پولی مورفک حملوں یا میلویئر کا پتہ لگانا انتہائی مشکل ہے کیونکہ وہ مسلسل اپنی شناختی خصوصیات (فائل کے نام اور اقسام یا خفیہ کاری کلید) کو تبدیل کرتے ہیں ، اس طرح آسانی سے خام تیل کا پتہ لگانے اور اینٹی وائرس پروگراموں سے بچ جاتے ہیں۔ میلویئر کی بہت سی عام شکلیں پولی مورفک ہوسکتی ہیں ، بشمول وائرس ، کیڑے ، بوٹس ، ٹروجن ، یا کی لاگرز۔

جعل سازی اور سوشل انجینئرنگ

فشنگ (لفظ "ماہی گیری" سے ماخوذ نیولوجیزم) حساس ڈیٹا اور معلومات جیسے لاگ ان کی تفصیلات یا کریڈٹ کارڈ نمبر براہ راست ہدف والے صارف سے حاصل کرنے کی دھوکہ دہی کی کوشش ہے۔
جعل سازی عام طور پر ای میل اسپوفنگ (جعلی بھیجنے والے پتے کے ساتھ ای میل پیغامات کی تخلیق) یا فوری پیغام رسانی (کوئی بھی آن لائن چیٹ جو انٹرنیٹ پر ریئل ٹائم ٹیکسٹ ٹرانسمیشن پیش کرتی ہے) کے ذریعہ کی جاتی ہے۔

عام طور پر ، جعل سازی متاثرہ کو ایک جعلی ویب سائٹ کی طرف لے جاتی ہے جس کی ظاہری شکل تقریبا ایک اچھی طرح سے قائم ، جائز ویب سائٹ سے ملتی جلتی ہے۔ اگر متاثرہ شخص جال کا ادراک کرنے کے لئے تکنیکی طور پر اتنا سمجھدار نہیں ہے تو ، اس بات کا بہت زیادہ امکان ہے کہ وہ اپنے اکاؤنٹ تک رسائی حاصل کرنے کے لئے ضروری لاگ ان کی تفصیلات درج کرے گا ، جعلی ویب سائٹ انہیں چوری کرے گی اور انہیں سائبر حملہ آور کو بھیج دے گی۔

جعل سازی کو سوشل انجینئرنگ کی ایک شکل کے طور پر درجہ بندی کیا جاسکتا ہے جو معلومات کی حفاظت کے تناظر میں ، لوگوں کو اعمال انجام دینے یا خفیہ معلومات فراہم کرنے میں نفسیاتی ہیرا پھیری ہے۔

زیادہ تر معاملات میں ، سوشل انجینئرنگ کا بنیادی مقصد ہدف صارف (اکثر کمزور اور غلط معلومات والے شخص) کو ذاتی معلومات جیسے پاس ورڈ ، کارڈ نمبر وغیرہ کو ظاہر کرنے کے لئے مکمل طور پر قائل کرنا ہے۔ مثال کے طور پر، کسی سرکاری ادارے جیسے بینک، حکومت یا ٹھیکیدار کا روپ دھار کر۔

استحقاق میں اضافہ

استحقاق میں اضافہ ایک قسم کی دھوکہ دہی کی سرگرمی ہے جہاں حملہ آور ، جس نے استحقاق یا اجازت کی کمی کی وجہ سے کسی آلے تک رسائی کو محدود کردیا ہے ، داخلے کے حصول کے لئے اپنی مراعات کو بڑھانے / بڑھانے کے قابل ہے۔

زیادہ تر معاملات میں ، یہ اس وقت ہوتا ہے جب حملہ آور انتظامی حقوق یا یہاں تک کہ "بنیادی" رسائی حاصل کرنے کے لئے کمزوری کا فائدہ اٹھانے کے قابل ہوتا ہے اور کسی نظام تک مکمل بلا روک ٹوک رسائی حاصل کرتا ہے۔

دھوکہ دہی

اسپوفنگ ایک قسم کی دھوکہ دہی کی سرگرمی ہے جہاں حملہ آور یا پروگرام ایک حقیقی صارف کا روپ دھارتا ہے اور حساس معلومات یا الیکٹرانک وسائل تک رسائی حاصل کرنے کے مقصد سے ڈیٹا (جیسے آئی پی ایڈریس) کی جعل سازی کے ذریعے غیر قانونی فائدہ حاصل کرتا ہے۔
دھوکہ دہی کی کئی اقسام ہیں، بشمول:

  • ای میل اسپوفنگ ، جہاں حملہ آور یا پروگرام ای میل بھیجنے والے (ماخذ سے) پتے کو غلط ثابت کرتا ہے۔
  • آئی پی ایڈریس اسپوفنگ ، جہاں حملہ آور یا پروگرام اپنی شناخت چھپانے یا کسی دوسرے کمپیوٹنگ سسٹم کی نقل کرنے کے لئے نیٹ ورک پیکٹ میں ماخذ آئی پی ایڈریس کو تبدیل کرتا ہے۔
  • میک اسپوفنگ ، جہاں حملہ آور یا پروگرام اپنے نیٹ ورک انٹرفیس کے میڈیا ایکسیس کنٹرول (ایم اے سی) ایڈریس میں ترمیم کرتا ہے تاکہ نیٹ ورک پر ایک درست صارف کے طور پر پیش کیا جاسکے۔
  • بائیومیٹرک اسپوفنگ ، جہاں حملہ آور یا پروگرام کسی دوسرے صارف کی شناخت کی خصوصیات حاصل کرنے کے لئے جعلی بائیومیٹرک (جسمانی پیمائش اور حساب کے لئے تکنیکی اصطلاح) نمونہ تیار کرتا ہے۔

ٹیمپرنگ

چھیڑ چھاڑ تخریب کاری کی بہت سی شکلوں کا حوالہ دے سکتی ہے ، لیکن اس اصطلاح کو اکثر مصنوعات یا خدمات کی دانستہ ترمیم کے معنی میں استعمال کیا جاتا ہے جو صارف کے لئے نقصان دہ ہونے کی قیمت پر حملہ آور کو اہمیت دیتا ہے۔
کمپیوٹر سیکورٹی کے تناظر میں ، "ایول میڈ حملے" چھیڑ چھاڑ کی ایک بنیادی مثال ہیں۔ ایول میڈ حملہ ایک قسم کی دھوکہ دہی کی سرگرمی ہے جو ایک لاوارث ڈیوائس پر کی جاتی ہے ، جس میں جسمانی رسائی کے ساتھ دراندازی کرنے والا ادارہ اسے کسی ناقابل شناخت طریقے سے تبدیل کرنے کے قابل ہوتا ہے تاکہ وہ بعد میں ڈیوائس تک رسائی حاصل کرسکیں۔