(ذرائع:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)

پرلوگ

سب سے پہلے، اس ہینڈ بک کو تلاش کرنے کے لیے مبارکباد! اس سے کوئی فرق نہیں پڑتا ہے کہ آپ کون ہیں – اگر آپ کرپٹو کرنسی ہولڈر ہیں یا آپ مستقبل میں کرپٹو دنیا میں کودنا چاہتے ہیں، تو یہ ہینڈ بک آپ کی بہت مدد کرے گی۔ آپ کو اس کتابچہ کو غور سے پڑھنا چاہیے اور اس کی تعلیمات کو حقیقی زندگی میں لاگو کرنا چاہیے۔

مزید برآں، اس کتابچہ کو مکمل طور پر سمجھنے کے لیے کچھ پس منظر کے علم کی ضرورت ہے۔ تاہم، براہ کرم فکر نہ کریں۔ جہاں تک مبتدیوں کا تعلق ہے، علمی رکاوٹوں سے نہ گھبرائیں جن پر قابو پایا جا سکتا ہے۔ اگر آپ کو کوئی ایسی چیز ملتی ہے جو آپ کو سمجھ نہیں آتی ہے، اور مزید دریافت کرنے کی ضرورت ہے، تو گوگل کی انتہائی سفارش کی جاتی ہے۔ اس کے علاوہ، ایک حفاظتی اصول کو ذہن میں رکھنا ضروری ہے: شکی رہو! اس سے کوئی فرق نہیں پڑتا ہے کہ آپ ویب پر جو بھی معلومات دیکھتے ہیں، آپ کو کراس ریفرنس کے لیے ہمیشہ کم از کم دو ذرائع تلاش کرنے چاہئیں۔

Again, always be skeptical 🙂 including the knowledge mentioned in this handbook.

Blockchain ایک عظیم ایجاد ہے جو پیداواری تعلقات میں تبدیلی لاتی ہے اور اعتماد کا مسئلہ کسی حد تک حل کرتی ہے۔ خاص طور پر، بلاکچین مرکزیت اور فریق ثالث کی ضرورت کے بغیر بہت سے "اعتماد" کے منظرنامے تخلیق کرتا ہے، جیسے کہ ناقابل تبدیلی، اتفاق کے مطابق عملدرآمد، اور انکار کی روک تھام۔ تاہم، حقیقت ظالمانہ ہے. بلاک چین کے بارے میں بہت سی غلط فہمیاں پائی جاتی ہیں، اور برے لوگ ان غلط فہمیوں کا استعمال اس خامی کا فائدہ اٹھانے اور لوگوں سے پیسے چرانے کے لیے کریں گے، جس سے بہت زیادہ مالی نقصان ہوگا۔ آج، کرپٹو دنیا پہلے ہی ایک تاریک جنگل بن چکی ہے۔

بلاک چین تاریک جنگل سے بچنے کے لیے براہ کرم درج ذیل دو حفاظتی اصول یاد رکھیں۔

1. زیرو ٹرسٹ: اسے آسان بنانے کے لیے، شک میں رہیں، اور ہمیشہ ایسے ہی رہیں۔
2. مسلسل سیکورٹی کی توثیق: کسی چیز پر بھروسہ کرنے کے لیے، آپ کو جس چیز پر شک ہے اس کی توثیق کرنی ہوگی، اور توثیق کرنے کی عادت بنانا ہوگی۔

نوٹ: اوپر دیے گئے دو حفاظتی اصول اس ہینڈ بک کے بنیادی اصول ہیں، اور اس ہینڈ بک میں مذکور دیگر تمام حفاظتی اصول ان سے اخذ کیے گئے ہیں۔

ٹھیک ہے، یہ سب ہمارے تعارف کے لیے ہے۔ آئیے ایک خاکہ کے ساتھ شروع کرتے ہیں اور اس تاریک جنگل کو دریافت کرتے ہیں کہ ہمیں کن خطرات کا سامنا کرنا پڑے گا اور ہمیں ان سے کیسے نمٹنا چاہیے۔

ایک خاکہ

باقی ہینڈ بک پر گہری نظر ڈالنے سے پہلے آپ اس خاکہ کو دیکھ سکتے ہیں۔ یہ سب اس دنیا کی اہم سرگرمیوں کے بارے میں ہے (جو بھی آپ اسے کہنا چاہتے ہیں: blockchain، cryptocurrency یا Web3)، جو تین اہم عملوں پر مشتمل ہے: پرس بنانا، بٹوے کا بیک اپ لینا اور بٹوے کا استعمال۔

آئیے ان تینوں عملوں کی پیروی کریں اور ان میں سے ہر ایک کا تجزیہ کریں۔

ایک والیٹ بنائیں

بٹوے کا بنیادی حصہ نجی کلید (یا بیج کا جملہ) ہے۔

یہاں پرائیویٹ کلید کیسی دکھتی ہے:

0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584

اس کے علاوہ، یہاں یہ ہے کہ بیج کا جملہ کیسا لگتا ہے:

ظالمانہ ویک اینڈ سپائیک پوائنٹ معصوم چکر آنے والے اجنبی استعمال ایووک شیڈ کو غلط ایڈجسٹ کریں۔

نوٹ: ہم یہاں Ethereum کو بطور مثال استعمال کر رہے ہیں۔ براہ کرم ذاتی کلیدوں/بیج کے فقرے کی مزید تفصیلات خود دیکھیں۔

نجی کلید آپ کی شناخت ہے۔ اگر پرائیویٹ کلید گم/چوری ہو جاتی ہے، تو آپ اپنی شناخت کھو دیتے ہیں۔ بہت سے معروف والٹ ایپلی کیشنز ہیں، اور یہ ہینڈ بک ان سب کا احاطہ نہیں کرے گی۔

تاہم، میں کچھ مخصوص بٹوے کا ذکر کروں گا. براہ کرم نوٹ کریں، یہاں جن بٹوے کا ذکر کیا گیا ہے ان پر کسی حد تک بھروسہ کیا جا سکتا ہے۔ لیکن میں اس بات کی گارنٹی نہیں دے سکتا کہ استعمال کے دوران ان میں کوئی حفاظتی مسئلہ یا خطرات نہیں ہوں گے، توقع ہے یا نہیں، (میں مزید نہیں دہراوں گا۔ براہ کرم تجویز میں بتائے گئے دو اہم حفاظتی اصولوں کو ہمیشہ ذہن میں رکھیں)

ایپلی کیشن کے لحاظ سے درجہ بندی، پی سی والیٹس، براؤزر ایکسٹینشن والیٹس، موبائل والیٹس، ہارڈویئر والیٹس اور ویب والیٹس ہیں۔ انٹرنیٹ کنکشن کے لحاظ سے، وہ بنیادی طور پر سرد بٹوے اور گرم بٹوے میں تقسیم کیا جا سکتا ہے. اس سے پہلے کہ ہم کرپٹو کی دنیا میں کودیں، ہمیں پہلے بٹوے کے مقصد کے بارے میں سوچنا چاہیے۔ مقصد نہ صرف یہ طے کرتا ہے کہ ہمیں کون سا پرس استعمال کرنا چاہیے بلکہ یہ بھی کہ ہم بٹوے کا استعمال کیسے کریں۔

اس سے کوئی فرق نہیں پڑتا ہے کہ آپ کس قسم کے بٹوے کا انتخاب کرتے ہیں، ایک چیز یقینی ہے: اس دنیا میں کافی تجربہ کرنے کے بعد، ایک بٹوہ کافی نہیں ہے۔

یہاں ہمیں ایک اور حفاظتی اصول کو ذہن میں رکھنا چاہیے: تنہائی، یعنی اپنے تمام انڈے ایک ہی ٹوکری میں نہ ڈالیں۔ پرس کا استعمال جتنا زیادہ ہوتا ہے، اتنا ہی زیادہ خطرہ ہوتا ہے۔ ہمیشہ یاد رکھیں: جب کوئی بھی نئی چیز آزمائیں تو پہلے ایک الگ پرس تیار کریں اور تھوڑی سی رقم کے ساتھ اسے تھوڑی دیر کے لیے آزمائیں۔ یہاں تک کہ میرے جیسے کرپٹو تجربہ کار کے لیے بھی، اگر آپ آگ سے کھیلتے ہیں، تو آپ آسانی سے جل سکتے ہیں۔

ڈاؤن لوڈ کریں

یہ آسان لگتا ہے، لیکن حقیقت میں یہ آسان نہیں ہے. وجوہات درج ذیل ہیں:

1. بہت سے لوگ حقیقی آفیشل ویب سائٹ، یا صحیح ایپلیکیشن مارکیٹ نہیں پا سکتے، اور آخر کار جعلی پرس انسٹال کر لیتے ہیں۔
2. بہت سے لوگ نہیں جانتے کہ کس طرح شناخت کرنا ہے کہ ڈاؤن لوڈ کردہ ایپلیکیشن میں چھیڑ چھاڑ کی گئی ہے یا نہیں۔

اس طرح، بہت سے لوگوں کے لیے، بلاک چین کی دنیا میں داخل ہونے سے پہلے، ان کا پرس پہلے ہی خالی ہے۔

اوپر دیے گئے پہلے مسئلے کو حل کرنے کے لیے، صحیح سرکاری ویب سائٹ تلاش کرنے کی کچھ تکنیکیں ہیں، جیسے

• گوگل کا استعمال کرتے ہوئے
• CoinMarketCap جیسی معروف سرکاری ویب سائٹس کا استعمال کرنا
• قابل اعتماد لوگوں اور دوستوں سے پوچھنا

آپ ان مختلف ذرائع سے حاصل کردہ معلومات کا حوالہ دے سکتے ہیں، اور آخر کار صرف ایک ہی سچائی ہے:) مبارک ہو، آپ کو درست سرکاری ویب سائٹ مل گئی ہے۔

اگلا، آپ کو ایپلی کیشن کو ڈاؤن لوڈ اور انسٹال کرنا ہوگا۔ اگر یہ پی سی والیٹ ہے۔سرکاری ویب سائٹ سے ڈاؤن لوڈ کرنے کے بعد، آپ کو اسے خود انسٹال کرنا ہوگا۔ تنصیب سے پہلے اس بات کی تصدیق کرنے کی انتہائی سفارش کی جاتی ہے کہ آیا لنک میں چھیڑ چھاڑ کی گئی ہے۔ اگرچہ یہ توثیق ان معاملات کو نہیں روک سکتی جہاں سورس کوڈ کو مکمل طور پر تبدیل کیا گیا تھا (اندرونی اسکیم کی وجہ سے، اندرونی ہیکنگ، یا سرکاری ویب سائٹ ہیک ہو سکتی ہے، وغیرہ) تاہم، یہ سورس کوڈ کی جزوی چھیڑ چھاڑ جیسے معاملات کو روک سکتی ہے، درمیانی حملہ، وغیرہ

اس بات کی تصدیق کرنے کا طریقہ کہ آیا کسی فائل میں چھیڑ چھاڑ کی گئی ہے، فائل کی مستقل مزاجی کی جانچ ہے۔ عام طور پر دو طریقے ہیں:

• ہیش چیک کرتا ہے۔: جیسے MD5، SHA256، وغیرہ۔ MD5 زیادہ تر معاملات میں کام کرتا ہے، لیکن پھر بھی ہیش کے تصادم کا ایک چھوٹا سا خطرہ ہے، اس لیے ہم عام طور پر SHA256 کا انتخاب کرتے ہیں، جو کافی محفوظ ہے۔
• جی پی جی دستخط کی تصدیق: یہ طریقہ بھی بہت مشہور ہے۔ GPG ٹولز، کمانڈز اور طریقوں میں مہارت حاصل کرنے کی انتہائی سفارش کی جاتی ہے۔ اگرچہ یہ طریقہ نئے آنے والوں کے لیے قدرے مشکل ہے، لیکن جب آپ اس سے واقف ہو جائیں گے تو آپ کو یہ بہت مفید معلوم ہوگا۔

تاہم، کرپٹو دنیا میں ایسے بہت سے منصوبے نہیں ہیں جو تصدیق فراہم کرتے ہیں۔ لہذا، یہ ایک تلاش کرنے کے لئے خوش قسمت ہے. مثال کے طور پر، یہاں ایک بٹ کوائن والیٹ ہے جسے Sparrow Wallet کہتے ہیں۔ اس کا ڈاؤن لوڈ صفحہ کہتا ہے "ریلیز کی تصدیق کرنا"، جو واقعی متاثر کن ہے، اور مذکورہ بالا دونوں طریقوں کے لیے واضح رہنما اصول موجود ہیں، لہذا آپ حوالہ کے لیے استعمال کر سکتے ہیں:

https://sparrowwallet.com/download/

ڈاؤن لوڈ صفحہ میں دو GPG ٹولز کا ذکر کیا گیا ہے۔

• GPG سویٹ، MacOS کے لیے۔
• Gpg4win، ونڈوز کے لیے۔

اگر آپ توجہ دیتے ہیں، تو آپ کو دونوں GPG ٹولز کے ڈاؤن لوڈ صفحات ملیں گے جو دونوں طریقوں کی مستقل مزاجی کو چیک کرنے کے بارے میں کچھ ہدایات دیتے ہیں۔ تاہم، کوئی قدم بہ قدم گائیڈ نہیں ہے، یعنی آپ کو خود سیکھنے اور اس پر عمل کرنے کی ضرورت ہے :)

اگر یہ براؤزر ایکسٹینشن والیٹ ہے۔، جیسا کہ MetaMask، صرف ایک چیز جس پر آپ کو توجہ دینی ہے وہ ہے کروم ویب اسٹور میں ڈاؤن لوڈ نمبر اور درجہ بندی۔ MetaMask، مثال کے طور پر، 10 ملین سے زیادہ ڈاؤن لوڈز اور 2,000 سے زیادہ ریٹنگز ہیں (حالانکہ مجموعی درجہ بندی زیادہ نہیں ہے)۔ کچھ لوگ سوچ سکتے ہیں کہ ڈاؤن لوڈز کی تعداد اور درجہ بندی میں اضافہ ہو سکتا ہے۔ سچ کہا جائے تو اتنی بڑی تعداد کو جعلی بنانا بہت مشکل ہے۔

موبائل پرس براؤزر ایکسٹینشن والیٹ کی طرح ہے۔ تاہم، یہ واضح رہے کہ ایپ اسٹور کے ہر علاقے کے لیے مختلف ورژن ہیں۔ مینلینڈ چین میں کریپٹو کرنسی پر پابندی ہے، لہذا اگر آپ نے اپنے چائنیز ایپ اسٹور اکاؤنٹ سے پرس ڈاؤن لوڈ کیا ہے، تو صرف ایک تجویز ہے: اسے استعمال نہ کریں، اسے کسی دوسرے خطے جیسے کہ امریکہ میں کسی دوسرے اکاؤنٹ میں تبدیل کریں اور پھر دوبارہ ڈاؤن لوڈ کریں۔ یہ. اس کے علاوہ، درست آفیشل ویب سائٹ آپ کو ڈاؤن لوڈ کے درست طریقے کی طرف بھی لے جائے گی (جیسے imToken، Trust Wallet وغیرہ۔ سرکاری ویب سائٹس کے لیے ویب سائٹ کی اعلیٰ حفاظت کو برقرار رکھنا ضروری ہے۔ اگر آفیشل ویب سائٹ ہیک ہو جاتی ہے تو بڑی پریشانیاں ہوں گی۔ )۔

اگر یہ ہارڈ ویئر والیٹ ہے۔، اسے سرکاری ویب سائٹ سے خریدنے کی انتہائی سفارش کی جاتی ہے۔ انہیں آن لائن اسٹورز سے نہ خریدیں۔ بٹوہ وصول کرنے کے بعد، آپ کو اس بات پر بھی توجہ دینی چاہیے کہ آیا پرس غیر فعال ہے۔ بلاشبہ، پیکیجنگ پر کچھ شہنائیاں ہیں جن کا پتہ لگانا مشکل ہے۔ کسی بھی صورت میں، ہارڈویئر والیٹ استعمال کرتے وقت، آپ کو شروع سے کم از کم تین بار بیج کا جملہ اور بٹوے کا پتہ بنانا چاہیے۔ اور اس بات کو یقینی بنائیں کہ ان کا اعادہ نہ ہو۔

اگر یہ ویب پرس ہے۔ہم اسے استعمال نہ کرنے کا مشورہ دیتے ہیں۔ جب تک کہ آپ کے پاس کوئی چارہ نہ ہو، یقینی بنائیں کہ یہ مستند ہے اور پھر اسے تھوڑا سا استعمال کریں اور اس پر کبھی بھروسہ نہ کریں۔

یادداشت کا جملہ

پرس بنانے کے بعد، کلیدی چیز جس سے ہم براہ راست ڈیل کرتے ہیں وہ یادداشت کا جملہ/بیج جملہ ہے، نہ کہ نجی کلید، جسے یاد رکھنا آسان ہے۔ یادداشت کے فقروں کے لیے معیاری کنونشنز ہیں (مثال کے طور پر، BIP39)؛ عام طور پر انگریزی کے 12 الفاظ ہیں۔ یہ دوسرے نمبر ہوسکتے ہیں (3 کے ضرب)، لیکن 24 الفاظ سے زیادہ نہیں۔ ورنہ یہ بہت پیچیدہ ہے اور یاد رکھنا آسان نہیں ہے۔ اگر الفاظ کی تعداد 12 سے کم ہے، تو حفاظت قابل اعتماد نہیں ہے۔ 12/15/18/21/24 الفاظ دیکھنا عام ہے۔ بلاک چین کی دنیا میں، 12 الفاظ کافی مقبول اور محفوظ ہیں۔ تاہم، ابھی بھی سخت ہارڈویئر والیٹس ہیں جیسے لیجر جو 24 الفاظ سے شروع ہوتے ہیں۔ انگریزی الفاظ کے علاوہ کچھ دوسری زبانیں بھی دستیاب ہیں، جیسے چینی، جاپانی، کورین وغیرہ۔ یہاں حوالہ کے لیے 2048 الفاظ کی فہرست ہے:

https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md

پرس بناتے وقت، آپ کا بیج کا جملہ کمزور ہوتا ہے۔ براہ کرم آگاہ رہیں کہ آپ لوگوں یا ویب کیمز یا کسی اور چیز سے گھرے ہوئے نہیں ہیں جو آپ کے بیج کے جملے کو چرا سکتے ہیں۔

اس کے علاوہ، براہ کرم اس بات پر بھی توجہ دیں کہ آیا بیج کا جملہ تصادفی طور پر تیار کیا گیا ہے۔ عام طور پر معروف بٹوے کافی تعداد میں بے ترتیب بیج کے جملے تیار کر سکتے ہیں۔ تاہم، آپ کو ہمیشہ محتاط رہنا چاہئے۔ یہ جاننا مشکل ہے کہ آیا بٹوے میں کچھ گڑبڑ ہے۔ صبر کریں کیونکہ آپ کی سلامتی کے لیے ان عادات کو تیار کرنا بہت فائدہ مند ہو سکتا ہے۔ آخر میں، بعض اوقات آپ پرس بنانے کے لیے انٹرنیٹ سے رابطہ منقطع کرنے پر بھی غور کر سکتے ہیں، خاص طور پر اگر آپ بٹوے کو کولڈ پرس کے طور پر استعمال کرنے جا رہے ہیں۔ انٹرنیٹ سے منقطع ہونا ہمیشہ کام کرتا ہے۔

بغیر چابی

کیلیس کا مطلب کوئی نجی کلید نہیں ہے۔ یہاں ہم Keyless کو دو بڑے منظرناموں میں تقسیم کرتے ہیں (وضاحت میں آسانی کے لیے۔ ایسی تقسیم صنعت کا معیار نہیں ہے)

• حراستی. مثالیں سنٹرلائزڈ ایکسچینج اور والیٹ ہیں، جہاں صارفین کو صرف اکاؤنٹس رجسٹر کرنے کی ضرورت ہوتی ہے اور نجی کلید کے مالک نہیں ہوتے ہیں۔ ان کی سیکورٹی مکمل طور پر ان مرکزی پلیٹ فارمز پر منحصر ہے۔
• غیر کسٹوڈیل. صارف کے پاس ایک نجی کلید جیسی کنٹرول پاور ہے، جو کہ اصل نجی کلید (یا بیج کا جملہ) نہیں ہے۔ یہ میزبانی اور تصدیق/ اجازت کے لیے معروف کلاؤڈ پلیٹ فارمز پر انحصار کرتا ہے۔ اس لیے کلاؤڈ پلیٹ فارم کی سیکیورٹی سب سے زیادہ کمزور حصہ بن جاتی ہے۔ دوسرے محفوظ ملٹی پارٹی کمپیوٹنگ (MPC) کا استعمال کرتے ہوئے خطرے کے واحد نقطہ کو ختم کرتے ہیں، اور صارف کے تجربے کو زیادہ سے زیادہ کرنے کے لیے مقبول کلاؤڈ پلیٹ فارمز کے ساتھ شراکت بھی کرتے ہیں۔

ذاتی طور پر، میں نے مختلف قسم کے کی لیس ٹولز استعمال کیے ہیں۔ گہری جیبوں اور اچھی شہرت کے ساتھ مرکزی تبادلے بہترین تجربہ فراہم کرتے ہیں۔ جب تک کہ آپ ٹوکن کھونے کے لیے ذاتی طور پر ذمہ دار نہیں ہیں (جیسے کہ اگر آپ کے اکاؤنٹ کی معلومات ہیک ہو گئی ہوں)، مرکزی تبادلہ عام طور پر آپ کے نقصان کی تلافی کرے گا۔ MPC پر مبنی Keyless پروگرام بہت امید افزا لگتا ہے اور اسے فروغ دیا جانا چاہیے۔ مجھے زینگو، فائر بلاکس اور سیفیرون کے ساتھ اچھا تجربہ ہے۔ فوائد واضح ہیں:

• ایم پی سی الگورتھم انجینئرنگ معروف بلاک چینز پر زیادہ سے زیادہ پختہ ہوتی جا رہی ہے، اور اسے صرف نجی کلیدوں کے لیے کرنے کی ضرورت ہے۔
• آئیڈیاز کا ایک مجموعہ مختلف بلاک چینز کے مسئلے کو حل کر سکتا ہے جس میں بہت سے مختلف کثیر دستخطی اسکیم ہوتے ہیں، جس سے صارف کا ایک مستقل تجربہ ہوتا ہے، جسے ہم اکثر کہتے ہیں: عالمگیر کثیر دستخط۔
• یہ اس بات کو یقینی بنا سکتا ہے کہ اصلی نجی کلید کبھی ظاہر نہ ہو اور کثیر دستخطی کیلکولیشن کے ذریعے خطرے کے واحد نقطہ کو حل کرے۔
• Cloud (یا Web2.0 ٹیکنالوجی) کے ساتھ مل کر MPC کو نہ صرف محفوظ بناتا ہے بلکہ ایک اچھا تجربہ بھی بناتا ہے۔

تاہم، اب بھی کچھ نقصانات ہیں:

• تمام اوپن سورس پروجیکٹ انڈسٹری کے منظور شدہ معیارات پر پورا نہیں اتر سکتے۔ مزید کام کرنے کی ضرورت ہے۔
• بہت سے لوگ بنیادی طور پر صرف Ethereum (یا EVM پر مبنی blockchain) استعمال کرتے ہیں۔ اس طرح، Gnosis Safe جیسے سمارٹ کنٹریکٹ اپروچ پر مبنی ایک کثیر دستخطی حل کافی ہے۔

مجموعی طور پر، اس بات سے کوئی فرق نہیں پڑتا ہے کہ آپ کون سا ٹول استعمال کرتے ہیں، جب تک کہ آپ خود کو محفوظ اور قابل کنٹرول محسوس کرتے ہیں اور آپ کے پاس اچھا تجربہ ہے، یہ ایک اچھا ٹول ہے۔

اب تک ہم نے ان باتوں کا احاطہ کیا ہے جس کے بارے میں ہمیں بٹوے کی تخلیق کے بارے میں آگاہ ہونے کی ضرورت ہے۔ سیکورٹی کے دیگر عمومی مسائل کا احاطہ بعد کے حصوں میں کیا جائے گا۔

اپنے بٹوے کا بیک اپ لیں۔

یہ وہ جگہ ہے جہاں بہت سے اچھے ہاتھ پھنس جائیں گے، بشمول میں۔ میں نے صحیح طریقے سے بیک اپ نہیں لیا اور میں جانتا تھا کہ یہ جلد یا بدیر ہوگا۔ خوش قسمتی سے، یہ پرس نہیں تھا جس میں بہت زیادہ اثاثے تھے اور SlowMist کے دوستوں نے اسے بازیافت کرنے میں میری مدد کی۔ پھر بھی، یہ ایک خوفناک تجربہ تھا جس کے بارے میں مجھے نہیں لگتا کہ کوئی بھی اس سے گزرنا چاہے گا۔ تو بکل اپ کریں اور آئیے سیکھیں کہ اپنے بٹوے کا محفوظ طریقے سے بیک اپ کیسے لیں۔

یادداشت کا جملہ / نجی کلید

جب ہم پرس کا بیک اپ لینے کے بارے میں بات کرتے ہیں، تو ہم بنیادی طور پر یادداشت کے فقرے (یا نجی کلید۔ سہولت کے لیے، ہم ذیل میں یادداشت کا جملہ استعمال کریں گے) کے بارے میں بات کر رہے ہیں۔ زیادہ تر یادداشت کے فقروں کی درجہ بندی اس طرح کی جا سکتی ہے:

• سادہ متن
• پاس ورڈ کے ساتھ
• کثیر دستخط
• شمیر کی سیکرٹ شیئرنگ، یا مختصر کے لیے ایس ایس ایس

میں ہر قسم کی مختصر وضاحت کروں گا۔

سادہ متن، سادہ متن کو سمجھنا آسان ہے۔ ایک بار جب آپ کے پاس وہ 12 انگریزی الفاظ ہیں، تو آپ بٹوے میں موجود اثاثوں کے مالک ہیں۔ آپ کچھ خاص شفلنگ کرنے پر غور کر سکتے ہیں، یا یہاں تک کہ کسی ایک لفظ کو کسی اور چیز سے بدل سکتے ہیں۔ دونوں ہیکرز کے لیے آپ کے بٹوے کو ہیک کرنے میں دشواری میں اضافہ کریں گے، تاہم، اگر آپ اصولوں کو بھول جاتے ہیں تو آپ کو بڑا سر درد ہو گا۔ آپ کی یادداشت بلٹ پروف نہیں ہے۔ مجھ پر یقین کرو، آپ کی یادداشت کئی سالوں کے بعد الجھ جائے گی۔ کچھ سال پہلے، جب میں نے لیجر ہارڈویئر والیٹ کا استعمال کیا، تو میں نے 24 الفاظ کے یادداشت والے فقرے کی ترتیب کو تبدیل کر دیا۔ کچھ سالوں کے بعد، میں آرڈر بھول گیا اور مجھے یقین نہیں تھا کہ میں نے کوئی لفظ بدل دیا ہے۔ جیسا کہ پہلے ذکر کیا گیا ہے، میرا مسئلہ ایک خاص کوڈ بریکر پروگرام سے حل کیا گیا تھا جو صحیح ترتیب اور الفاظ کا اندازہ لگانے کے لیے بروٹ فورس کا استعمال کرتا ہے۔

پاس ورڈ کے ساتھ، معیار کے مطابق، یادداشت کے فقرے پاس ورڈ ہوسکتے ہیں۔ یہ اب بھی وہی جملہ ہے لیکن پاس ورڈ کے ساتھ، ایک مختلف بیج والا جملہ حاصل کیا جائے گا۔ بیج کا جملہ نجی چابیاں، عوامی چابیاں اور متعلقہ پتوں کی ایک سیریز حاصل کرنے کے لیے استعمال ہوتا ہے۔ لہذا آپ کو نہ صرف یادداشت کے جملے بلکہ پاس ورڈ کا بھی بیک اپ لینا چاہیے۔ ویسے، پرائیویٹ کیز کا پاس ورڈ بھی ہو سکتا ہے اور اس کے اپنے معیارات ہیں، جیسے بٹ کوائن کے لیے BIP 38 اور ایتھریم کے لیے کیسٹور۔

کثیر دستخطجیسا کہ نام سے پتہ چلتا ہے، بٹوے تک رسائی کے لیے اسے متعدد لوگوں کے دستخطوں کی ضرورت ہوتی ہے۔ یہ بہت لچکدار ہے کیونکہ آپ اپنے اصول خود ترتیب دے سکتے ہیں۔ مثال کے طور پر، اگر 3 لوگوں کے پاس کلید ہے (میمونی الفاظ یا پرائیویٹ کیز)، تو آپ بٹوے تک رسائی کے لیے کم از کم دو افراد سے دستخط کرنے کی ضرورت کر سکتے ہیں۔ ہر بلاکچین کا اپنا کثیر دستخطی حل ہوتا ہے۔ زیادہ تر معروف بٹ کوائن والیٹس کثیر دستخط کی حمایت کرتے ہیں۔ تاہم، Ethereum میں، کثیر دستخط بنیادی طور پر سمارٹ معاہدوں، جیسے Gnosis Safe کے ذریعے سپورٹ کیے جاتے ہیں۔ مزید برآں، MPC، یا Secure Multi-Party Computation زیادہ سے زیادہ مقبول ہوتا جا رہا ہے.. یہ روایتی کثیر دستخط جیسا تجربہ فراہم کرتا ہے، لیکن مختلف ٹیکنالوجی کے ساتھ۔ کثیر دستخطوں کے برعکس، MPC بلاکچین ایگنوسٹک ہے اور تمام پروٹوکولز کے ساتھ کام کر سکتا ہے۔

ایس ایس ایس, Shamir's Secret Sharing, SSS بیج کو متعدد حصص میں توڑ دیتا ہے (عام طور پر، ہر شیئر میں 20 الفاظ ہوتے ہیں)۔ بٹوے کی بازیابی کے لیے، ایک مخصوص تعداد میں شیئرز کو جمع کرنا اور استعمال کرنا پڑتا ہے۔ تفصیلات کے لیے، ذیل میں صنعت کے بہترین طریقوں سے رجوع کریں:

https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup

کثیر دستخط اور SSS جیسے حل کا استعمال آپ کو ذہنی سکون فراہم کرے گا اور سنگل پوائنٹ کے خطرات سے بچ جائے گا، لیکن یہ انتظام کو نسبتاً پیچیدہ بنا سکتا ہے اور بعض اوقات متعدد فریق اس میں شامل ہو جاتے ہیں۔ سہولت اور سلامتی کے درمیان ہمیشہ سمجھوتہ ہوتا ہے۔ فیصلہ کرنا فرد پر منحصر ہے لیکن اصولوں میں کبھی سستی نہ کریں۔

خفیہ کاری

خفیہ کاری ایک بہت، بہت وسیع تصور ہے۔ اس سے کوئی فرق نہیں پڑتا کہ خفیہ کاری ہموار، غیر متناسب ہے یا دیگر جدید ٹیکنالوجیز استعمال کرتی ہے۔ جب تک کہ ایک خفیہ کردہ پیغام کو آپ یا آپ کی ایمرجنسی ہینڈلنگ ٹیم آسانی سے ڈکرپٹ کر سکتی ہے لیکن دہائیوں کے بعد کوئی اور نہیں، یہ اچھی خفیہ کاری ہے۔

"زیرو ٹرسٹ" کے حفاظتی اصول کی بنیاد پر، جب ہم بٹوے کا بیک اپ لے رہے ہیں، تو ہمیں یہ فرض کرنا ہوگا کہ کسی بھی قدم کو ہیک کیا جا سکتا ہے، بشمول جسمانی ماحول جیسے کہ محفوظ۔ خیال رہے کہ آپ کے علاوہ کوئی اور نہیں جس پر مکمل بھروسہ کیا جا سکے۔ درحقیقت، بعض اوقات آپ خود پر بھروسہ بھی نہیں کر سکتے، کیونکہ آپ کی یادیں ختم ہو سکتی ہیں یا غلط جگہ پر جا سکتی ہیں۔ تاہم، میں ہر وقت مایوس کن مفروضے نہیں کروں گا، ورنہ یہ مجھے کچھ ناپسندیدہ نتائج کی طرف لے جائے گا۔

بیک اپ کرتے وقت، ڈیزاسٹر ریکوری پر خصوصی توجہ دی جانی چاہیے۔ ڈیزاسٹر ریکوری کا بنیادی مقصد خطرے کے ایک نقطہ سے بچنا ہے۔ اگر آپ چلے گئے یا وہ ماحول جہاں آپ بیک اپ اسٹور کرتے ہیں تو کیا ہوگا؟ اس لیے، اہم چیزوں کے لیے، ڈیزاسٹر ریکوری پرسن ہونا چاہیے اور متعدد بیک اپ ہونا چاہیے۔

میں اس بارے میں زیادہ تفصیل نہیں بتاؤں گا کہ ڈیزاسٹر ریکوری شخص کا انتخاب کیسے کیا جائے کیونکہ یہ اس بات پر منحصر ہے کہ آپ کس پر بھروسہ کرتے ہیں۔ میں ملٹی بیک اپ کرنے کے طریقے پر توجہ دوں گا۔ آئیے بیک اپ مقامات کی کچھ بنیادی شکلوں پر ایک نظر ڈالتے ہیں:

• بادل
• کاغذ
• ڈیوائس
• دماغ

بادل، بہت سے لوگ کلاؤڈ پر بیک اپ پر بھروسہ نہیں کرتے ہیں، وہ سمجھتے ہیں کہ یہ ہیکر کے حملوں کا خطرہ ہے۔ دن کے اختتام پر، یہ سب کچھ اس بارے میں ہے کہ کس طرف - حملہ آور یا محافظ - افرادی قوت اور بجٹ دونوں کے لحاظ سے زیادہ کوششیں کرتے ہیں۔ ذاتی طور پر، مجھے گوگل، ایپل، مائیکروسافٹ وغیرہ کے ذریعے چلنے والی کلاؤڈ سروسز پر یقین ہے، کیونکہ میں جانتا ہوں کہ ان کی سیکیورٹی ٹیمیں کتنی مضبوط ہیں اور انہوں نے سیکیورٹی پر کتنا خرچ کیا ہے۔ بیرونی ہیکرز کے خلاف لڑنے کے علاوہ، میں اندرونی سیکیورٹی رسک کنٹرول اور نجی ڈیٹا کے تحفظ کا بھی بہت خیال رکھتا ہوں۔ مجھے جن چند سروس فراہم کنندگان پر بھروسہ ہے وہ ان علاقوں میں نسبتاً بہتر کام کر رہے ہیں۔ لیکن کچھ بھی مطلق نہیں ہے۔ اگر میں اہم ڈیٹا (جیسے بٹوے) کا بیک اپ لینے کے لیے ان کلاؤڈ سروسز میں سے کسی کا انتخاب کرتا ہوں، تو میں یقینی طور پر بٹوے کو کم از کم ایک بار پھر انکرپٹ کروں گا۔

میں جی پی جی میں مہارت حاصل کرنے کی سختی سے سفارش کرتا ہوں۔ اسے "دستخط کی تصدیق" کے لیے استعمال کیا جا سکتا ہے، اور اس دوران خفیہ کاری اور ڈکرپشن کی مضبوط سیکیورٹی فراہم کرتا ہے۔ آپ GPG کے بارے میں مزید جان سکتے ہیں:

https://www.ruanyifeng.com/blog/2013/07/gpg.html

Okay, you have mastered GPG 🙂 Now that you have encrypted related data in your wallet (mnemonic phrase or private key) with GPG in an offline secured environment, you can now throw the encrypted files directly into these cloud services and save it there. All will be good. But I need to remind you here: never lose the private key to your GPG or forget the password of the private key…

اس وقت، آپ کو سیکیورٹی کی یہ اضافی سطح کافی پریشان کن معلوم ہو سکتی ہے: آپ کو GPG کے بارے میں جاننا ہوگا اور اپنی GPG نجی کلید اور پاس ورڈز کا بیک اپ لینا ہوگا۔ درحقیقت، اگر آپ نے مذکورہ بالا تمام اقدامات کر لیے ہیں، تو آپ اس عمل سے پہلے ہی واقف ہیں اور آپ اسے اتنا مشکل یا پریشان کن نہیں پائیں گے۔ میں مزید نہیں کہوں گا کیونکہ مشق کامل بناتی ہے۔

اگر آپ کچھ محنت بچانا چاہتے ہیں تو ایک اور امکان ہے لیکن اس کی حفاظت میں رعایت کی جا سکتی ہے۔ میں صحیح رعایت کی پیمائش نہیں کر سکتا لیکن بعض اوقات میں سست ہو جاتا ہوں جب میں مدد کے لیے کچھ معروف ٹولز استعمال کروں گا۔ وہ ٹول 1 پاس ورڈ ہے۔ 1 پاس ورڈ کا تازہ ترین ورژن پہلے سے ہی والیٹ سے متعلق ڈیٹا کے براہ راست ذخیرہ کرنے کی حمایت کرتا ہے، جیسے یادداشت کے الفاظ، پاس ورڈ، والیٹ ایڈریس وغیرہ، جو صارفین کے لیے آسان ہے۔ دوسرے ٹولز (جیسے Bitwarden) کچھ ایسا ہی حاصل کر سکتے ہیں، لیکن وہ اتنے آسان نہیں ہیں۔

کاغذ، بہت سے ہارڈویئر والیٹس میں کئی اعلیٰ معیار کے کاغذی کارڈ آتے ہیں جن پر آپ اپنے یادداشت کے جملے (سادہ متن، SSS وغیرہ میں) لکھ سکتے ہیں۔ کاغذ کے علاوہ، کچھ لوگ اسٹیل پلیٹیں بھی استعمال کرتے ہیں (آگ مزاحم، پانی مزاحم اور سنکنرن مزاحم، یقینا، میں نے ان کی کوشش نہیں کی ہے). یادداشت کے فقروں کو کاپی کرنے کے بعد اس کی جانچ کریں اور اگر سب کچھ کام کرتا ہے تو اسے ایسی جگہ پر رکھیں جہاں آپ خود کو محفوظ محسوس کریں، جیسے کہ کسی محفوظ میں۔ میں ذاتی طور پر کاغذ کا استعمال بہت پسند کرتا ہوں کیونکہ اگر صحیح طریقے سے ذخیرہ کیا جائے تو کاغذ کی عمر الیکٹرانکس سے کہیں زیادہ ہوتی ہے۔

ڈیوائساس سے مراد ہر قسم کا سامان ہے۔ الیکٹرانکس بیک اپ کے لیے ایک عام قسم ہے، جیسے کہ کمپیوٹر، آئی پیڈ، آئی فون، یا ہارڈ ڈرائیو وغیرہ، ذاتی ترجیحات پر منحصر ہے۔ ہمیں آلات کے درمیان محفوظ ترسیل کے بارے میں بھی سوچنا ہوگا۔ میں پیئر ٹو پیئر طریقوں جیسے کہ ایئر ڈراپ اور یو ایس بی کا استعمال کرتے ہوئے آرام دہ محسوس کرتا ہوں جہاں کسی درمیانی آدمی کے لیے اس عمل کو ہائی جیک کرنا مشکل ہوتا ہے۔ میں فطری طور پر اس حقیقت کے بارے میں بے چین ہوں کہ الیکٹرانک آلات ایک دو سال بعد ٹوٹ سکتے ہیں، اس لیے میں سال میں کم از کم ایک بار ڈیوائس کو چیک کرنے کی عادت کو برقرار رکھتا ہوں۔ کچھ دہرائے جانے والے اقدامات ہیں (جیسے انکرپشن) جنہیں آپ کلاؤڈ سیکشن کا حوالہ دے سکتے ہیں۔

دماغ، اپنی یادداشت پر بھروسہ کرنا دلچسپ ہے۔ درحقیقت ہر ایک کا اپنا ایک "میموری محل" ہوتا ہے۔ یادداشت پراسرار نہیں ہے اور اسے بہتر کام کرنے کی تربیت دی جا سکتی ہے۔ کچھ چیزیں ایسی ہیں جو واقعی میموری کے ساتھ زیادہ محفوظ ہیں۔ چاہے صرف دماغ پر انحصار کرنا ذاتی انتخاب ہے۔ لیکن دو خطرات پر دھیان دیں: اول، وقت گزرنے کے ساتھ ساتھ یاداشت ختم ہو جاتی ہے اور الجھن کا باعث بن سکتی ہے۔ دوسرا خطرہ یہ ہے کہ آپ کو حادثہ ہو سکتا ہے۔ میں یہاں رک جاؤں گا اور آپ کو مزید دریافت کرنے دوں گا۔

اب آپ سب بیک اپ ہیں۔ بہت زیادہ انکرپٹ نہ کریں، ورنہ کئی سالوں کے بعد آپ خود ہی نقصان اٹھائیں گے۔ "مسلسل توثیق" کے حفاظتی اصول کے مطابق، آپ کے خفیہ کاری اور بیک اپ کے طریقے، چاہے ضرورت سے زیادہ ہوں یا نہیں، مستقل طور پر اور تصادفی دونوں طرح سے تصدیق ہونی چاہیے۔ تصدیق کی فریکوئنسی آپ کی یادداشت پر منحصر ہے اور آپ کو پورا عمل مکمل کرنے کی ضرورت نہیں ہے۔ جب تک عمل درست ہے، جزوی تصدیق بھی کام کرتی ہے۔ آخر میں، تصدیق کے عمل کی رازداری اور حفاظت پر بھی توجہ دینا ضروری ہے۔

Okay, let’s take a deep breath here. Getting started is the hardest part. Now that you are ready, let’s enter this dark forest 🙂

اپنا والیٹ کیسے استعمال کریں۔

ایک بار جب آپ نے اپنے بٹوے بنائے اور اس کا بیک اپ لے لیا، تو یہ اصل چیلنج کی طرف آتا ہے۔ اگر آپ اکثر اپنے اثاثوں کے ارد گرد نہیں گھومتے ہیں، یا آپ بمشکل DeFi، NFT، GameFi، یا Web3 کے کسی بھی سمارٹ معاہدوں کے ساتھ تعامل کرتے ہیں، جو ان دنوں اکثر کہا جاتا ہے، تو آپ کے اثاثے نسبتاً محفوظ ہونے چاہئیں۔

اے ایم ایل

تاہم، "نسبتاً محفوظ" کا مطلب یہ نہیں ہے کہ "کوئی خطرہ نہیں"۔ کیوں کہ "آپ کو کبھی نہیں معلوم کہ کون سا پہلے آتا ہے، کل یا حادثات"، ٹھیک ہے؟ ایسا کیوں ہے؟ اس کے بارے میں سوچیں، آپ کو کرپٹو کرنسی کہاں سے ملی؟ یہ صرف کہیں سے نہیں آیا، ٹھیک ہے؟ آپ کو کسی بھی وقت ملنے والی تمام کریپٹو کرنسیوں پر AML (اینٹی منی لانڈرنگ) کا سامنا ہو سکتا ہے۔ اس کا مطلب ہے کہ اس وقت آپ کے پاس جو کریپٹو کرنسی ہے وہ گندی ہو سکتی ہے، اور اگر آپ خوش قسمت نہیں ہیں، تو یہ براہ راست زنجیر پر منجمد بھی ہو سکتی ہے۔ عوامی رپورٹس کے مطابق، Tether نے ایک بار قانون نافذ کرنے والے اداروں کی درخواست کے مطابق USDT کے کچھ اثاثے منجمد کر دیے۔ منجمد فنڈز کی فہرست یہاں مل سکتی ہے۔

https://dune.xyz/phabc/usdt—banned-addresses

آپ تصدیق کر سکتے ہیں کہ آیا USDT معاہدے سے ٹیتھر کے ذریعے کوئی پتہ منجمد ہے۔

https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract

چیک کرنے کے لیے ٹارگٹ والیٹ ایڈریس کو بطور ان پٹ int isBlackListed استعمال کریں۔ دوسری زنجیروں میں جو USDT لیتی ہیں ان کے پاس اسی طرح کی تصدیق کا طریقہ ہے۔

تاہم، آپ کا BTC اور ETH کبھی بھی منجمد نہیں ہونا چاہیے۔ اگر مستقبل میں ایک دن ایسا ہوتا ہے، تو وکندریقرت کا یقین بھی ٹوٹ جائے گا۔ زیادہ تر کریپٹو کرنسی اثاثہ منجمد کیسز جو آج ہم نے سنا ہے درحقیقت مرکزی پلیٹ فارمز (جیسے Binance، Coinbase، وغیرہ) میں ہوا لیکن بلاکچین پر نہیں۔ جب آپ کی کریپٹو کرنسی سنٹرلائزڈ ایکسچینج پلیٹ فارمز میں رہتی ہے، تو آپ اصل میں ان میں سے کسی کے مالک نہیں ہوتے ہیں۔ جب مرکزی پلیٹ فارم آپ کے اکاؤنٹ کو منجمد کرتے ہیں، تو وہ درحقیقت آپ کی تجارت یا واپسی کی اجازت کو منسوخ کر رہے ہوتے ہیں۔ منجمد کرنے کا تصور علاقے میں نئے آنے والوں کے لیے گمراہ کن ہو سکتا ہے۔ نتیجے کے طور پر، کچھ لاپرواہ سیلف میڈیا BitCoin کے بارے میں ہر طرح کی سازشی تھیوریز پھیلائے گا۔

اگرچہ آپ کے BTC اور ETH اثاثوں کو بلاکچین پر منجمد نہیں کیا جائے گا، لیکن سنٹرلائزڈ ایکسچینجز AML کی ضرورت کے مطابق آپ کے اثاثوں کو منجمد کر سکتے ہیں جب آپ کے اثاثے ان پلیٹ فارمز میں منتقل ہو جاتے ہیں اور وہ کسی ایسے کھلے کیس میں ملوث ہیں جن پر قانون نافذ کرنے والے کام کر رہے ہیں۔

AML مسائل سے بہتر طریقے سے بچنے کے لیے، ہمیشہ پلیٹ فارمز اور افراد کو اپنی ہم منصب کے طور پر اچھی ساکھ کے ساتھ منتخب کریں۔ اس قسم کے مسئلے کے لیے درحقیقت چند حل ہیں۔ مثال کے طور پر، Ethereum پر، تقریباً تمام برے لوگ اور وہ لوگ جو اپنی پرائیویسی کا بہت خیال رکھتے ہیں، سکے کے اختلاط کے لیے Tornado Cash کا استعمال کرتے ہیں۔ میں اس موضوع پر مزید غور نہیں کروں گا کیونکہ یہاں زیادہ تر طریقے برائی کے لیے استعمال ہو رہے ہیں۔

کولڈ پرس

کولڈ پرس استعمال کرنے کے مختلف طریقے ہیں۔ بٹوے کے نقطہ نظر سے، اسے ایک ٹھنڈا والیٹ سمجھا جا سکتا ہے جب تک کہ یہ کسی نیٹ ورک سے منسلک نہ ہو۔ لیکن جب یہ آف لائن ہو تو اسے کیسے استعمال کیا جائے؟ سب سے پہلے، اگر آپ صرف cryptocurrency وصول کرنا چاہتے ہیں، تو یہ کوئی بڑی بات نہیں ہے۔ ایک کولڈ والیٹ صرف واچ والے والیٹ کے ساتھ کام کر کے بہترین تجربہ فراہم کر سکتا ہے، جیسے کہ imToken، Trust Wallet، وغیرہ۔ ان بٹوے کو صرف ٹارگٹ والیٹ ایڈریسز شامل کر کے صرف واچ والیٹ میں تبدیل کیا جا سکتا ہے۔

اگر ہم کولڈ بٹوے کا استعمال کرتے ہوئے کریپٹو کرنسی بھیجنا چاہتے ہیں، تو یہاں سب سے زیادہ استعمال ہونے والے طریقے ہیں:

• QR کوڈ
• یو ایس بی
• بلوٹوتھ

ان سب کو کولڈ پرس کے ساتھ کام کرنے کے لیے ایک سرشار ایپ (جسے یہاں لائٹ ایپ کہا جاتا ہے) کی ضرورت ہوتی ہے۔ لائٹ ایپ مذکورہ بالا صرف واچ والیٹ کے ساتھ آن لائن ہوگی۔ ایک بار جب ہم بنیادی ضروری اصول کو سمجھ لیں، تو ہمیں ان طریقوں کو سمجھنے کے قابل ہونا چاہیے۔ ضروری اصول یہ ہے کہ: آخر کار، یہ صرف یہ معلوم کرنے کی بات ہے کہ بلاکچین پر دستخط شدہ مواد کو کیسے نشر کیا جائے۔ تفصیلی عمل درج ذیل ہے:

• دستخط کیے جانے والے مواد کو لائٹ ایپ کے ذریعے کولڈ والیٹ میں ان میں سے کسی ایک ذریعے سے منتقل کیا جاتا ہے۔
• دستخط کو کولڈ پرس کے ذریعے پروسیس کیا جاتا ہے جس میں پرائیویٹ کلید ہوتی ہے اور پھر اسی طریقے سے لائٹ ایپ کو واپس منتقل کیا جاتا ہے۔
• لائٹ ایپ بلاک چین پر دستخط شدہ مواد کو نشر کرتی ہے۔

لہذا اس بات سے کوئی فرق نہیں پڑتا ہے کہ کون سا طریقہ استعمال کیا جاتا ہے، QR کوڈ، USB یا بلوٹوتھ، اسے مندرجہ بالا عمل کی پیروی کرنا چاہئے. یقیناً، تفصیلات مختلف طریقوں سے مختلف ہو سکتی ہیں۔ مثال کے طور پر، QR کوڈ کی معلومات کی گنجائش محدود ہے، لہذا جب دستخطی ڈیٹا بہت بڑا ہو، تو ہمیں اسے الگ کرنا پڑے گا۔

بظاہر یہ تھوڑا سا پریشان کن ہے، لیکن جب آپ اس کی عادت ڈالیں گے تو یہ بہتر ہو جاتا ہے۔ یہاں تک کہ آپ کو تحفظ کا مکمل احساس بھی ہوگا۔ تاہم، اسے 100% محفوظ نہ سمجھیں کیونکہ یہاں اب بھی خطرات موجود ہیں، اور ان خطرات کی وجہ سے بھاری نقصانات کے بہت سے واقعات ہوئے ہیں۔ یہاں خطرے کے پوائنٹس ہیں:

• سکے کی منتقلی کے ٹارگٹ ایڈریس کو احتیاط سے چیک نہیں کیا گیا، جس کے نتیجے میں سکے کو کسی اور کو منتقل کر دیا گیا۔ لوگ کبھی کبھی سست اور لاپرواہ ہوتے ہیں۔ مثال کے طور پر، زیادہ تر وقت وہ پورے پتے کو مکمل طور پر چیک کرنے کے بجائے صرف بٹوے کے پتے کے شروع اور اختتام کے چند بٹس کو چیک کرتے ہیں۔ یہ برے لوگوں کے لیے ایک پچھلا دروازہ چھوڑ دیتا ہے۔ وہ بٹوے کے ایڈریس کو پہلے اور آخری چند بٹس کے ساتھ حاصل کرنے کے لیے پروگرام چلائیں گے جو آپ کے مطلوبہ ٹارگٹ ایڈریس کے طور پر ہے اور پھر آپ کے سکے کی منتقلی کے ٹارگٹ ایڈریس کو ان کے کنٹرول میں رکھنے والے ایڈریس سے بدل دیں گے۔
• سکے نامعلوم پتوں پر مجاز ہیں۔ عام طور پر اجازت Ethereum سمارٹ کنٹریکٹ ٹوکنز کا طریقہ کار ہے، "منظوری" فنکشن، جس میں ایک دلیل ہدف کی اجازت کا پتہ ہے اور دوسری مقدار ہے۔ بہت سے لوگ اس طریقہ کار کو نہیں سمجھتے ہیں، اس لیے وہ ہدف کے پتے پر لامحدود تعداد میں ٹوکن کی اجازت دے سکتے ہیں، جس مقام پر ہدف کے پتے کو ان تمام ٹوکنز کو منتقل کرنے کی اجازت ہوتی ہے۔ اسے مجاز سکے کی چوری کہا جاتا ہے، اور اس تکنیک کی دوسری قسمیں بھی ہیں، لیکن میں یہاں اس کی توسیع نہیں کروں گا۔
• کچھ دستخط جو بظاہر اہم نہیں لگتے ہیں درحقیقت پیچھے میں بہت بڑا جال ہوتا ہے، اور میں اسے ابھی نہیں کھودوں گا، لیکن تفصیلات بعد میں بیان کروں گا۔
• ہو سکتا ہے کولڈ پرس نے کافی ضروری معلومات فراہم نہ کی ہوں، جس کی وجہ سے آپ لاپرواہ اور غلط اندازہ لگا رہے ہیں۔

یہ سب دو نکات پر ابلتا ہے:

• "جو آپ دیکھتے ہیں وہ وہی ہے جس پر آپ دستخط کرتے ہیں" کا یوزر انٹریکشن سیکیورٹی میکانزم غائب ہے۔
• صارف کے پس منظر کی متعلقہ معلومات کی کمی۔

گرم والیٹ

ٹھنڈے پرس کے مقابلے میں، ایک گرم بٹوے میں بنیادی طور پر وہ تمام خطرات ہوتے ہیں جو ٹھنڈے پرس میں ہوتے ہیں۔ اس کے علاوہ، ایک اور بھی ہے: خفیہ جملہ (یا نجی کلید) کی چوری کا خطرہ۔ اس مقام پر گرم بٹوے کے ساتھ غور کرنے کے لیے مزید سیکیورٹی مسائل ہیں، جیسے رن ٹائم ماحول کی سیکیورٹی۔ اگر رن ٹائم ماحول سے وابستہ وائرس موجود ہیں تو پھر چوری ہونے کا خطرہ ہے۔ ایسے گرم بٹوے بھی ہیں جن میں کچھ کمزوریاں ہیں جن کے ذریعے خفیہ جملہ براہ راست چوری کیا جا سکتا ہے۔

کوائن ٹرانسفر کے باقاعدہ فنکشن کے علاوہ، اگر آپ دوسرے DApps (DeFi، NFT، GameFi، وغیرہ) کے ساتھ تعامل کرنا چاہتے ہیں، تو آپ کو یا تو اپنے براؤزر سے براہ راست ان تک رسائی حاصل کرنی ہوگی یا اپنے PC کے براؤزر میں کھولے گئے DApps کے ساتھ تعامل کرنا ہوگا۔ WalletConnect پروٹوکول۔

نوٹ: اس ہینڈ بک میں DApps کے حوالہ جات Ethereum blockchains پر چلنے والے سمارٹ کنٹریکٹ پراجیکٹس کا بطور ڈیفالٹ حوالہ دیتے ہیں۔

پہلے سے طے شدہ طور پر، اس طرح کے تعاملات خفیہ جملے کی چوری کا باعث نہیں بنتے، جب تک کہ بٹوے کے حفاظتی ڈیزائن میں کوئی مسئلہ نہ ہو۔ ہمارے سیکیورٹی آڈٹس اور سیکیورٹی ریسرچ ہسٹری سے، ٹارگٹ پیج پر بدنیتی پر مبنی JavaScript کے ذریعے بٹوے کے خفیہ جملے براہ راست چوری ہونے کا خطرہ ہے۔ تاہم، یہ ایک غیر معمولی معاملہ ہے، کیونکہ یہ دراصل ایک انتہائی نچلی سطح کی غلطی ہے جو کسی بھی معروف پرس کے کرنے کا امکان نہیں ہے۔

ان میں سے کوئی بھی اصل میں یہاں میرے حقیقی خدشات نہیں ہیں، وہ میرے لیے (اور آپ کے لیے بھی) قابل انتظام ہیں۔ میری سب سے بڑی تشویش/تشویش یہ ہے کہ: معروف بٹوے کی ہر تکرار اس بات کو کیسے یقینی بناتی ہے کہ کوئی بدنیتی پر مبنی کوڈ یا بیک ڈور نہیں لگایا گیا ہے؟ اس سوال کا مفہوم واضح ہے: میں نے تصدیق کی ہے کہ والیٹ کے موجودہ ورژن میں کوئی حفاظتی مسئلہ نہیں ہے اور میں اسے استعمال کرنے میں آرام سے ہوں، لیکن مجھے نہیں معلوم کہ اگلا ورژن کتنا محفوظ ہوگا۔ آخر کار، میں یا میری سیکیورٹی ٹیم کے پاس تمام تصدیقات کرنے کے لیے اتنا وقت اور توانائی نہیں ہو سکتی۔

نقصان دہ کوڈ یا بیک ڈور کی وجہ سے سکے کی چوری کے کئی واقعات ہوئے ہیں جیسا کہ یہاں بیان کیا گیا ہے، جیسے CoPay، AToken، وغیرہ۔ آپ خود مخصوص واقعات کو تلاش کر سکتے ہیں۔

اس صورت میں، برائی کرنے کے کئی طریقے ہیں:

• جب پرس چل رہا ہوتا ہے، نقصان دہ کوڈ پیکج کرتا ہے اور متعلقہ خفیہ جملہ کو براہ راست ہیکر کے زیر کنٹرول سرور میں اپ لوڈ کرتا ہے۔
• جب پرس چل رہا ہوتا ہے اور صارف منتقلی کا آغاز کرتا ہے، تو پرس کے پس منظر میں ٹارگٹ ایڈریس اور رقم جیسی معلومات کو خفیہ طور پر تبدیل کر دیا جاتا ہے، اور صارف کے لیے اس کا نوٹس لینا مشکل ہوتا ہے۔
• خفیہ فقروں کی نسل سے وابستہ بے ترتیب نمبر اینٹروپی اقدار کو خراب کرنا، جس سے ان کو سمجھنا نسبتاً آسان ہو جاتا ہے۔

سلامتی ایک جہالت اور علم کی چیز ہے، اور بہت سی چیزیں ایسی ہیں جنہیں آسانی سے نظر انداز یا یاد کیا جا سکتا ہے۔ لہذا اہم اثاثے رکھنے والے بٹوے کے لیے، میرا حفاظتی اصول بھی آسان ہے: استعمال کرنے کے لیے کافی ہونے پر کوئی آسان اپ ڈیٹ نہیں۔

DeFi سیکیورٹی کیا ہے؟

جب ہم DApp کے بارے میں بات کرتے ہیں، تو یہ DeFi، NFT یا GameFi وغیرہ ہو سکتا ہے۔ ان کے سیکورٹی کے بنیادی اصول زیادہ تر ایک جیسے ہیں، لیکن ان کی اپنی مخصوص خصوصیات ہوں گی۔ آئیے وضاحت کرنے کے لیے پہلے DeFi کو بطور مثال لیتے ہیں۔ جب ہم DeFi سیکیورٹی کے بارے میں بات کرتے ہیں تو ہمارا اصل مطلب کیا ہے؟ صنعت میں لوگ تقریباً ہمیشہ صرف سمارٹ معاہدوں کو دیکھتے ہیں۔ ایسا لگتا ہے کہ جب سمارٹ معاہدے اچھے ہوں گے تو سب کچھ ٹھیک ہو جائے گا۔ ٹھیک ہے، اصل میں، یہ سچ سے دور ہے.

ڈی فائی سیکیورٹی میں کم از کم درج ذیل اجزاء شامل ہیں:

• اسمارٹ کنٹریکٹ سیکیورٹی
• بلاکچین فاؤنڈیشن سیکیورٹی
• فرنٹ اینڈ سیکیورٹی
• کمیونیکیشن سیکیورٹی
• انسانی سلامتی
• مالی تحفظ
• تعمیل سیکورٹی

اسمارٹ کنٹریکٹ سیکیورٹی

اسمارٹ کنٹریکٹ سیکیورٹی درحقیقت سیکیورٹی آڈٹ کے لیے سب سے اہم انٹری پوائنٹ ہے، اور سمارٹ معاہدوں کے لیے SlowMist کے سیکیورٹی آڈٹ کے معیارات یہاں مل سکتے ہیں:

https://www.slowmist.com/service-smart-contract-security-audit.html

اعلی درجے کے کھلاڑیوں کے لیے، اگر اسمارٹ کنٹریکٹ کے حصے کی سیکیورٹی خود قابل کنٹرول ہے (چاہے وہ خود آڈٹ کر سکیں یا پیشہ ورانہ تنظیموں کی طرف سے جاری کردہ سیکیورٹی آڈٹ رپورٹس کو سمجھ سکیں)، تو اس سے کوئی فرق نہیں پڑتا کہ دوسرے حصے محفوظ ہیں۔ قابل کنٹرول ایک مشکل تصور ہے، جن میں سے کچھ کھلاڑی کی اپنی طاقت پر منحصر ہے۔ مثال کے طور پر، کھلاڑیوں کی ضرورت سے زیادہ سمارٹ کنٹریکٹ اتھارٹی کے خطرے کے سلسلے میں کچھ تقاضے ہوتے ہیں۔ اگر پروجیکٹ خود مضبوط ہے اور اس کے پیچھے لوگوں کی اچھی شہرت ہے تو مکمل مرکزیت سے کوئی فرق نہیں پڑے گا۔ تاہم، ان کم معروف، متنازعہ یا ابھرتے ہوئے پروجیکٹس کے لیے، اگر آپ کو احساس ہے کہ پروجیکٹ کے سمارٹ معاہدوں میں اجازت کا ضرورت سے زیادہ خطرہ ہے، خاص طور پر اگر ایسی اجازتیں آپ کے پرنسپل یا آمدنی کو بھی متاثر کرسکتی ہیں، تو آپ یقیناً ہچکچاہٹ کا شکار ہوں گے۔

ضرورت سے زیادہ اجازت کا خطرہ بہت لطیف ہے۔ بہت سے معاملات میں، پراجیکٹ کے منتظم کے لیے متعلقہ گورننس اور خطرے کی ہنگامی صورتحال کو انجام دینے کی جگہ موجود ہے۔ لیکن صارفین کے لیے یہ انسانی فطرت پر ایک امتحان ہے۔ اگر ٹیم برائی کرنے کا فیصلہ کرتی ہے تو کیا ہوگا؟ اس لیے صنعت میں ایک تجارتی عمل ہے: ضرورت سے زیادہ اجازت کے ایسے خطرات کو کم کرنے کے لیے ٹائم لاک کو شامل کرنا، مثال کے طور پر:

کمپاؤنڈ، ایک قائم شدہ اور معروف ڈی فائی پروجیکٹ، بنیادی سمارٹ کنٹریکٹ ماڈیولز کمپٹرولر اور گورننس، دونوں میں ٹائم لاک میکانزم کو ان کی ایڈمن کی اجازت میں شامل کیا گیا ہے:
کنٹرولر(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
گورننس(0xc0da02939e1441f497fd74f78ce7decb17b66529)
منتظم ان 2 ماڈیولز
ٹائم لاک(0x6d903f6003cca6255d85cca4d3b5e5146dc33925)

آپ چین پر براہ راست جان سکتے ہیں کہ ٹائم لاک (تاخیر متغیر) 48 گھنٹے (172,800 سیکنڈ) ہے:

کہنے کا مطلب یہ ہے کہ اگر کمپاؤنڈ کے منتظم کو ٹارگٹ سمارٹ کنٹریکٹ کے کچھ کلیدی متغیرات کو تبدیل کرنے کی ضرورت ہے، تو ٹرانزیکشن بلاک چین پر شروع ہونے کے بعد ریکارڈ کی جائے گی، لیکن لین دین کو حتمی شکل دینے اور اس پر عمل درآمد کرنے سے پہلے 48 گھنٹے انتظار کرنا ہوگا۔ اس کا مطلب یہ ہے کہ اگر آپ چاہیں تو، آپ منتظم سے ہر ایک آپریشن کا آڈٹ کر سکتے ہیں، اور آپ کے پاس کام کرنے کے لیے کم از کم 48 گھنٹے ہوں گے۔ مثال کے طور پر، اگر آپ کو یقین نہیں ہے، تو آپ 48 گھنٹوں کے اندر اپنے فنڈز نکال سکتے ہیں۔

ایڈمن کی ضرورت سے زیادہ اجازت کے خطرے کو کم کرنے کا دوسرا طریقہ یہ ہے کہ ملٹی سائن شامل کریں، جیسے کہ ملٹی سیگ مینجمنٹ کے لیے Gnosis Safe کا استعمال، تاکہ کم از کم کوئی آمر نہ ہو۔ یہاں یہ بات قابل غور ہے کہ ملٹی سیگ "شہنشاہ کے نئے کپڑے" ہو سکتا ہے۔ مثال کے طور پر، ایک شخص متعدد چابیاں رکھ سکتا ہے۔ لہذا، ہدف کے منصوبے کی ملٹی سیگ حکمت عملی کو واضح طور پر بیان کرنے کی ضرورت ہے۔ چابیاں کس کے پاس ہیں، اور ہر کلید رکھنے والے کی شناخت باوقار ہونی چاہیے۔

یہاں یہ بات قابل ذکر ہے کہ کسی بھی حفاظتی حکمت عملی سے "شہنشاہ کے نئے لباس" کا مسئلہ پیدا ہو سکتا ہے، جو بظاہر یہ حکمت عملی اچھی طرح سے ہو سکتی ہے، لیکن حقیقت میں ایسا نہیں ہے، جس کے نتیجے میں سیکورٹی کا بھرم پیدا ہوتا ہے۔ ایک اور مثال لیں، ٹائم لاک کاغذ پر اچھا لگتا ہے۔ درحقیقت، ایسے معاملات ہوئے ہیں جب کچھ پروجیکٹس کے ذریعے تعینات ٹائم لاک کے پیچھے دروازے ہیں۔ عام طور پر، صارفین ٹائم لاک کے سورس کوڈ کو نہیں دیکھتے، اور اگر وہ ایسا کرتے ہیں تو بھی وہ ضروری طور پر اسے سمجھ نہیں پائیں گے، اس لیے ایڈمن وہاں بیک ڈور لگا دیتا ہے، اور کوئی بھی کافی دیر تک نوٹس نہیں لے گا۔

ضرورت سے زیادہ اجازت کے خطرے کے علاوہ، سمارٹ کنٹریکٹ سیکیورٹی کے دیگر عناصر بھی اہم ہیں۔ تاہم، میں فہم کی شرائط کو مدنظر رکھتے ہوئے، یہاں توسیع نہیں کروں گا۔ میرا مشورہ یہ ہے: آپ کو کم از کم سیکیورٹی آڈٹ رپورٹ کو پڑھنا سیکھنا چاہیے، اور پریکٹس کامل بناتی ہے۔

بلاکچین فاؤنڈیشن سیکیورٹی

بلاکچین فاؤنڈیشن سیکیورٹی سے مراد خود بلاکچین کی سیکیورٹی ہے، جیسے کننسنس لیجر سیکیورٹی، ورچوئل مشین سیکیورٹی وغیرہ۔ اگر بلاکچین کی سیکیورٹی خود تشویشناک ہے تو چین پر چلنے والے سمارٹ کنٹریکٹ پروجیکٹس کو براہ راست نقصان پہنچے گا۔ کافی حفاظتی طریقہ کار اور شہرت کے ساتھ بلاک چین کا انتخاب کرنا بہت اہم ہے، اور لمبی عمر کے زیادہ امکان کے ساتھ بہتر ہے۔

فرنٹ اینڈ سیکیورٹی

فرنٹ اینڈ سیکیورٹی واقعی شیطان ہے۔ یہ صارفین کے بہت قریب ہے، اور صارفین کو دھوکے میں ڈالنا خاص طور پر آسان ہے۔ شاید ہر کسی کی بنیادی توجہ بٹوے اور سمارٹ کنٹریکٹ سیکیورٹی پر ہے، جس کے نتیجے میں فرنٹ اینڈ سیکیورٹی کو آسانی سے نظر انداز کیا جا سکتا ہے۔ میں ایک بار پھر اس بات پر زور دینا چاہتا ہوں کہ فرنٹ اینڈ سیکیورٹی شیطان ہے! مجھے گہرائی میں کھودنے کی اجازت دیں۔

فرنٹ اینڈ سیکیورٹی کے حوالے سے میری سب سے بڑی تشویش یہ ہے کہ: میں کیسے جان سکتا ہوں کہ میں اس مخصوص فرنٹ اینڈ پیج سے جس معاہدے کے ساتھ بات چیت کر رہا ہوں وہ سمارٹ کنٹریکٹ ہے جس کی میں توقع کر رہا ہوں؟

یہ عدم تحفظ بنیادی طور پر دو عوامل کی وجہ سے ہے:

• اندر کا کام
• تیسری پارٹی

اندرونی کام کو سمجھنا سیدھا ہے۔ مثال کے طور پر، devs خفیہ طور پر فرنٹ اینڈ پیج میں ٹارگٹ سمارٹ کنٹریکٹ ایڈریس کو کنٹریکٹ ایڈریس سے بدل دیتا ہے جس کا بیک ڈور ہوتا ہے، یا پھر اجازت فشنگ اسکرپٹ لگاتا ہے۔ جب آپ اس دھاندلی والے فرنٹ اینڈ پیج پر جاتے ہیں تو، آپ کے بٹوے میں کرپٹو کو شامل کرنے کے بعد کی کارروائیوں کا ایک سلسلہ ایک جال میں کیا جا سکتا ہے۔ اس سے پہلے کہ آپ کو احساس ہو، سکے پہلے ہی ختم ہو چکے ہوں گے۔

تیسری پارٹی بنیادی طور پر دو اقسام سے مراد ہے:

• ایک یہ کہ انحصار کا سلسلہ دراندازی کا شکار ہے۔ مثال کے طور پر، فرنٹ اینڈ پیج کے ذریعے استعمال ہونے والی تھرڈ پارٹی انحصار میں بیک ڈور ہوتا ہے جو پیکیجنگ اور ریلیز کے ساتھ ٹارگٹ فرنٹ اینڈ پیج میں گھس جاتا ہے۔ مندرجہ ذیل ہے SushiSwap کا پیکیج انحصاری ڈھانچہ (صرف مثال کے لیے، اس کا مطلب یہ نہیں ہے کہ اسکرین شاٹ کے پروجیکٹ میں ایسا مسئلہ ہے):
  

• دوسری مثال فرنٹ اینڈ پیج کے ذریعے درآمد کردہ تھرڈ پارٹی ریموٹ جاوا اسکرپٹ فائلز ہے۔ اگر یہ JavaScript فائل ہیک ہو جاتی ہے، تو ممکن ہے کہ ہدف کا فرنٹ اینڈ صفحہ بھی متاثر ہو، جیسے OpenSea (صرف مثال کے لیے، اس کا یہ مطلب نہیں ہے کہ اسکرین شاٹ میں موجود پروجیکٹ میں ایسا مسئلہ ہے):
  

جس وجہ سے ہم نے کہا کہ یہ صرف ممکن ہے لیکن یقینی طور پر نہیں ہے کہ خطرے کو کم کیا جا سکتا ہے اگر devs فرنٹ اینڈ پیج پر کسی تھرڈ پارٹی ریموٹ JavaScript فائل کا حوالہ درج ذیل طریقے سے کریں:

<script src=”https://example.com/example-framework.js” سالمیت=”sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″ crossorigin=”گمنام”>

یہاں کلیدی نکتہ HTML5 کا ایک اچھا حفاظتی طریقہ کار ہے: ٹیگز میں سالمیت کی خصوصیت (SRI میکانزم)۔ انٹیگریٹی SHA256، SHA384 اور SHA512 کو سپورٹ کرتی ہے۔ اگر فریق ثالث جاوا اسکرپٹ فائلیں ہیش انٹیگریٹی چیک کو پورا نہیں کرتی ہیں، تو فائلیں لوڈ نہیں ہوں گی۔ یہ غیر ارادی کوڈ پر عمل درآمد کو روکنے کا ایک اچھا طریقہ ہو سکتا ہے۔ تاہم، اس طریقہ کار کو استعمال کرنے کے لیے ہدف کے وسائل کی ضرورت ہوتی ہے تاکہ CORS ردعمل کی حمایت کی جائے۔ تفصیلات کے لیے درج ذیل سے رجوع کریں:

https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity

کمیونیکیشن سیکیورٹی

آئیے اس سیکشن میں HTTPS سیکیورٹی پر فوکس کرتے ہیں۔ سب سے پہلے، ہدف کی ویب سائٹ کو HTTPS کا استعمال کرنا چاہیے، اور HTTP سادہ متن کی ترسیل کی کبھی اجازت نہیں ہونی چاہیے۔ اس کی وجہ یہ ہے کہ ایچ ٹی ٹی پی سادہ متن کی منتقلی بہت آسان ہے کہ اسے درمیانی درجے کے حملوں سے ہائی جیک کیا جائے۔ آج کل HTTPS ایک محفوظ ٹرانسمیشن پروٹوکول کے طور پر بہت عام ہے۔ اگر HTTPS پر درمیانی درجے کا حملہ ہوتا ہے، اور حملہ آوروں نے ویب ایپلیکیشن کے فرنٹ اینڈ میں بدنیتی پر مبنی JavaScript داخل کیا ہے، تو صارف کے براؤزر میں HTTPS سرٹیفکیٹ کی غلطی کا ایک بہت واضح الرٹ ظاہر ہوگا۔

آئیے اس نکتے کو واضح کرنے کے لیے MyEtherWallet واقعہ کو بطور مثال استعمال کریں۔

MyEtherWallet ایک بہت مشہور ویب ایپلیکیشن والیٹ ہوا کرتا تھا، اور اب تک یہ بہت مشہور ہے۔ تاہم یہ اب صرف ایک ویب ایپلیکیشن والیٹ نہیں ہے۔ جیسا کہ پہلے ذکر کیا گیا ہے، میں سیکورٹی وجوہات کی بنا پر ویب ایپلیکیشن والیٹس کے استعمال کی سختی سے حوصلہ شکنی کرتا ہوں۔ فرنٹ اینڈ سیکیورٹی میں مختلف مسائل کے علاوہ، HTTPS ہائی جیکنگ بھی ایک بڑا ممکنہ خطرہ ہے۔

24 اپریل 2018 کو MyEtherWallet میں HTTPS ہائی جیکنگ کا ایک بڑا سیکیورٹی واقعہ پیش آیا۔ اس واقعے کا خلاصہ یہاں پایا جا سکتا ہے:

https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/

حملے میں، ہیکر نے ڈی این ایس سروس (گوگل پبلک ڈی این ایس) کو ہائی جیک کر لیا جو MyEtherWallet صارفین کی ایک بڑی تعداد کے ذریعے BGP کے ذریعے استعمال کیا جاتا تھا، جو ایک قدیم روٹنگ پروٹوکول تھا، جس کی وجہ سے براہ راست ہر صارف کے براؤزر میں HTTPS ایرر الرٹس ظاہر ہوتے تھے جب وہ دیکھنے کی کوشش کرتے تھے۔ MyEtherWallet ویب سائٹ۔ درحقیقت، صارفین کو اس الرٹ کو دیکھتے ہی رک جانا چاہیے، کیونکہ یہ بنیادی طور پر اس بات کی نشاندہی کرتا ہے کہ ہدف کا ویب صفحہ ہائی جیک ہو گیا ہے۔ تاہم، حقیقت میں، بہت سے صارفین نے فوری طور پر الرٹ کو نظر انداز کر دیا اور ہائی جیک کی گئی سائٹ کے ساتھ اپنے تعامل کو جاری رکھنے کے لیے آگے بڑھے، کیونکہ وہ HTTPS ایرر الرٹ کے پیچھے سیکیورٹی کے خطرے کو بالکل نہیں سمجھتے تھے۔

چونکہ ٹارگٹ ویب پیج کو ہائی جیک کر لیا گیا تھا اور ہیکر نے وہاں پر بدنیتی پر مبنی JavaScript داخل کر دیا تھا، اس لیے صارفین کی بات چیت پر، ہیکرز نے کامیابی کے ساتھ ان کی سادہ تحریر پرائیویٹ کلید چوری کر لی ہوگی اور ان کے فنڈز (زیادہ تر ETH) منتقل کر دیے ہوں گے۔

یہ یقینی طور پر ایک کلاسک کیس ہے جہاں ہیکرز نے کرپٹو چوری کرنے کے لیے BGP ہائی جیکنگ تکنیک کا استعمال کیا۔ یہ صرف حد سے زیادہ ہے۔ اس کے بعد بھی اسی طرح کے کئی کیسز سامنے آئے ہیں اور میں ان کا یہاں تفصیل سے ذکر نہیں کروں گا۔ صارف کے لیے صرف ایک چیز ہے جس پر واقعی توجہ دینے کی ضرورت ہے: اگر آپ کبھی بھی ویب ایپلیکیشن والیٹ استعمال کرنے کا فیصلہ کرتے ہیں، یا کسی DApp کے ساتھ بات چیت کرنے کی کوشش کرتے ہیں، تو ہمیشہ یقینی بنائیں کہ جب بھی آپ کو HTTPS سرٹیفکیٹ کی غلطی کا انتباہ نظر آئے تو آپ صفحہ کو روکیں اور بند کردیں! اور آپ کے فنڈز ٹھیک ہو جائیں گے۔ سیکورٹی میں ایک ظالمانہ حقیقت ہے: جب کوئی خطرہ ہو، صارفین کو کوئی انتخاب نہ دیں۔ گویا آپ ایسا کرتے ہیں، صارفین ہمیشہ کسی بھی وجہ سے اس جال میں پھنستے رہیں گے۔ دراصل، پروجیکٹ ٹیم کو ذمہ داری اٹھانے کی ضرورت ہے۔ آج تک، اوپر مذکور HTTPS ہائی جیکنگ کے مسئلے کے لیے پہلے سے ہی بہت مؤثر حفاظتی حل موجود ہیں: پروجیکٹ ٹیم کو HSTS کو مناسب طریقے سے ترتیب دینے کی ضرورت ہے۔ HSTS کا مطلب ہے HTTP سخت ٹرانسپورٹ سیکیورٹی؛ یہ ایک ویب سیکیورٹی پالیسی میکانزم ہے جسے زیادہ تر جدید براؤزرز کے ذریعے سپورٹ کیا جاتا ہے۔ اگر HSTS فعال ہے تو، HTTPS سرٹیفکیٹ کی خرابی کی صورت میں براؤزر صارفین کو ہدف والے ویب ایپلیکیشنز تک رسائی بند کرنے پر مجبور کر دے گا اور اس پابندی کو نظرانداز نہیں کیا جا سکتا۔ اب آپ سمجھ گئے کہ میرا کیا مطلب ہے؟

انسانی فطرت کی حفاظت

اس حصے کو سمجھنا آسان ہے۔ مثال کے طور پر پراجیکٹ ٹیم برے ذہن کی ہے اور بے ایمانی سے کام کرتی ہے۔ میں نے پچھلے حصوں میں کچھ متعلقہ مواد کا ذکر کیا ہے، لہذا میں یہاں مزید تفصیلات میں نہیں جاؤں گا۔ بعد کے حصوں میں مزید احاطہ کیا جائے گا۔

مالی تحفظ

مالیاتی تحفظ کا گہرا احترام کیا جانا چاہیے۔ DeFi میں، صارفین ٹوکن کی قیمت اور واپسی پر پوری توجہ دیتے ہیں۔ وہ سرمایہ کاری پر اعلی، یا کم از کم مستحکم واپسی چاہتے ہیں۔ دوسرے لفظوں میں، ایک صارف کے طور پر، میں جیتنے کے لیے گیم کھیلتا ہوں اور اگر میں ہارتا ہوں، تو کم از کم مجھے اس بات پر یقین کرنے کی ضرورت ہے کہ یہ ایک منصفانہ کھیل ہے۔ یہ صرف انسانی فطرت ہے۔

DeFi میں مالی تحفظ ان شکلوں میں حملوں کے لیے حساس ہے:

• غیر منصفانہ لانچ کے طریقے جیسے پری کان کنی یا پری سیل؛
• کرپٹو وہیل حملہ؛
• پمپ اور ڈمپ؛
• بلیک سوان کے واقعات، جیسے اچانک بازار آبشار؛ یا یوں کہہ لیں کہ جب ایک DeFi پروٹوکول نیسٹڈ یا دوسرے DeFi/Tokens کے ساتھ انٹرآپریٹ کیا جاتا ہے، تو اس کی سیکورٹی/ وشوسنییتا بہت زیادہ دوسرے پروٹوکول پر منحصر ہوگی۔
• دوسرے تکنیکی حملے یا جسے ہم سائنسی تکنیک کہتے ہیں جیسے کہ فرنٹ رننگ، سینڈوچ اٹیک، فلیش لون اٹیک وغیرہ

تعمیل کے تقاضے

تعمیل کی ضرورت ایک بہت بڑا موضوع ہے، پہلے ذکر کردہ AML (اینٹی منی لانڈرنگ) صرف ایک نکات ہے۔ KYC (اپنے صارف کو جانیں)، پابندیاں، سیکیورٹیز کے خطرات وغیرہ جیسے پہلو بھی ہیں۔ درحقیقت ہمارے صارفین کے لیے یہ ہمارے کنٹرول میں نہیں ہیں۔ جب ہم کسی خاص پروجیکٹ کے ساتھ تعامل کرتے ہیں، کیونکہ یہ بعض ممالک میں متعلقہ ضوابط کے تابع ہو سکتا ہے، ہماری رازداری کی معلومات اکٹھی کی جا سکتی ہیں۔ ہو سکتا ہے آپ کو رازداری کے اس طرح کے مسائل کی پرواہ نہ ہو، لیکن ایسے لوگ ہیں جو ایسا کرتے ہیں۔

مثال کے طور پر، 2022 کے اوائل میں ایک چھوٹا سا واقعہ پیش آیا: کچھ بٹوے نے ایڈریس اونرشپ پروف پروٹوکول (AOPP) پروٹوکول کو سپورٹ کرنے کا فیصلہ کیا:

میں نے پروٹوکول ڈیزائن پر ایک نظر ڈالی، یہ پتہ چلا کہ AOPP کو سپورٹ کرنے والے بٹوے صارف کی رازداری کو لیک کر سکتے ہیں۔ ریگولیٹرز ایک ریگولیٹڈ کرپٹو ایکسچینج اور ایک نامعلوم بیرونی والیٹ ایڈریس کے درمیان باہمی ربط کو جان سکتے ہیں۔

https://gitlab.com/aopp/address-ownership-proof-protocol

کوئی تعجب کی بات نہیں ہے کہ بہت سے پرائیویسی پر مبنی بٹوے صارف کے تاثرات کے بارے میں بہت فکر مند ہیں اور انہوں نے اپنی مصنوعات سے AOPP سپورٹ کو فوری طور پر ہٹا دیا۔ لیکن سچ پوچھیں: پروٹوکول ڈیزائن کافی دلچسپ ہے۔ میں نے دیکھا ہے کہ کچھ بٹوے میں AOPP کی حمایت کو ہٹانے کا کوئی منصوبہ نہیں ہے، جیسے EdgeWallet۔ ان کی رائے یہ ہے کہ AOPP ضروری نہیں کہ زیادہ صارف کی رازداری کو بے نقاب کرے، اس کے برعکس یہ cryptocurrency کی گردش کو بڑھانے میں مدد کرتا ہے۔ بہت سے ریگولیٹڈ کرپٹو ایکسچینجز میں، صارفین کو کسی خاص بیرونی والیٹ ایڈریس پر واپس لینے کی اجازت نہیں ہے، اس سے پہلے کہ وہ اس پر اپنی ملکیت ثابت کر سکے۔

سب سے پہلے، معروف ہارڈویئر والیٹ Trezor نے AOPP سپورٹ کو ہٹانے سے انکار کر دیا۔ لیکن بعد میں اسے سمجھوتہ کرنے پر مجبور کیا گیا اور ٹویٹر پر کمیونٹی اور صارفین کے دباؤ کی وجہ سے ایسا کیا۔

جیسا کہ آپ دیکھ سکتے ہیں، یہ اتنا چھوٹا واقعہ ہے لیکن کچھ لوگوں کے لیے، رازداری واقعی اہم ہے۔ اس کا مطلب یہ نہیں ہے کہ ہمیں ضوابط کے خلاف جانا چاہیے، اور تعمیل کی ضروریات کو مکمل طور پر نظر انداز کرنا چاہیے۔ درحقیقت میں سمجھتا ہوں کہ تعمیل کی ضروریات کے لیے ایک خاص سطح پر سمجھوتہ کرنا ضروری ہے۔ ہم اس موضوع میں گہرائی میں ڈوبنا جاری نہیں رکھیں گے، بلا جھجھک مواد کو اپنے طریقے سے ہضم کریں۔

اب تک، ہم نے DeFi سیکیورٹی سیکشن میں زیادہ تر مواد کا احاطہ کیا ہے۔

مزید یہ کہ مستقبل میں اضافے یا اپ ڈیٹس کے ذریعے متعارف کرائے جانے والے حفاظتی مسائل بھی ہیں۔ ہم اکثر کہتے ہیں "سیکیورٹی کرنسی متحرک ہے، جامد نہیں"۔ مثال کے طور پر آج کل زیادہ تر پروجیکٹ ٹیمیں سیکیورٹی آڈٹ کرتی ہیں اور صاف سیکیورٹی آڈٹ رپورٹس دکھاتی ہیں۔ اگر آپ کبھی بھی اچھے معیار کی رپورٹس کو غور سے پڑھتے ہیں تو آپ دیکھیں گے کہ یہ رپورٹس واضح طور پر آڈٹ شدہ مواد کے دائرہ کار، ٹائم فریم اور منفرد شناخت کنندہ کی وضاحت کریں گی (مثلاً تصدیق شدہ اوپن سورس سمارٹ کنٹریکٹ ایڈریس، یا GitHub ریپو پر کمٹ ایڈریس، یا ٹارگٹ سورس کوڈ فائل کا ہیش)۔ کہنے کا مطلب یہ ہے کہ رپورٹ جامد ہے، لیکن اگر کسی پروجیکٹ میں آپ نے رپورٹ میں بیان کردہ چیزوں سے کوئی انحراف دیکھا ہے، تو آپ اس کی نشاندہی کر سکتے ہیں۔

این ایف ٹی سیکیورٹی

DeFi سیکیورٹی پر پہلے بیان کردہ تمام مواد کو NFT سیکیورٹی پر لاگو کیا جا سکتا ہے، اور خود NFT میں کچھ خاص اور منفرد حفاظتی موضوعات ہیں، مثال کے طور پر:

• میٹا ڈیٹا سیکیورٹی
• دستخط کی حفاظت

میٹا ڈیٹا بنیادی طور پر ایمبیڈڈ تصویر، موشن پکچرز اور دیگر مواد سے مراد ہے۔ مخصوص معیارات پر OpenSea سے رجوع کرنے کی سفارش کی جاتی ہے:

https://docs.opensea.io/docs/metadata-standards

یہاں دو اہم سیکورٹی خدشات پیدا ہو سکتے ہیں:

• ایک یہ کہ URI جہاں تصویر (یا موشن پکچر) واقع ہے وہ قابل اعتماد نہیں ہو سکتا۔ یہ صرف ایک تصادفی طور پر منتخب کردہ مرکزی خدمت ہو سکتی ہے، ایک طرف تو دستیابی کی کوئی گارنٹی نہیں ہے، دوسری طرف پراجیکٹ ٹیم اپنی مرضی سے تصاویر میں ترمیم کر سکتی ہے، اس طرح NFT اب ایک ناقابل تغیر "ڈیجیٹل کلیکٹیبل" نہیں رہے گا۔ عام طور پر یہ سفارش کی جاتی ہے کہ مرکزی اسٹوریج کے حل جیسے IPFS، Arweave، اور ایک معروف URI گیٹ وے سروس کو منتخب کریں۔
• دوسرا رازداری کے رساو کا امکان ہے۔ تصادفی طور پر منتخب کردہ URI سروس صارف کی بنیادی معلومات (جیسے IP، User-Agent، وغیرہ) حاصل کر سکتی ہے۔

سیکورٹی پر دستخط کرنا یہاں ایک اور بڑی تشویش ہے، اور ہم ذیل میں اس کی وضاحت کریں گے۔

دستخط کرنے کے ساتھ محتاط رہیں!

دستخط کی حفاظت ایک ایسی چیز ہے جس کا میں خاص طور پر ذکر کرنا چاہتا ہوں کیونکہ بہت سارے نقصانات ہیں اور آپ کو ہر وقت محتاط رہنا چاہئے۔ خاص طور پر NFT ٹریڈنگ پر کئی واقعات ہوئے ہیں۔ تاہم، میں نے دیکھا ہے کہ بہت زیادہ لوگ یہ نہیں سمجھتے ہیں کہ اس طرح کے حفاظتی مسائل کے لیے تیاری اور ان سے کیسے نمٹا جائے۔ بنیادی وجہ یہ ہے کہ بہت کم لوگوں نے مسئلہ کو کافی واضح کیا ہے۔

دستخط کی حفاظت میں نمبر 1 اور سب سے اہم حفاظتی اصول یہ ہے: آپ جو دیکھتے ہیں وہی آپ دستخط کرتے ہیں۔. یعنی دستخطی درخواست میں جو پیغام آپ کو موصول ہوا وہ وہی ہے جس کی آپ کو دستخط کرنے کے بعد توقع کرنی چاہیے۔ اس پر دستخط کرنے کے بعد، نتیجہ وہی ہونا چاہیے جس کی آپ کو توقع تھی بجائے اس کے کہ آپ کو پچھتاوا ہو۔

"کولڈ والیٹ" سیکشن میں دستخطی سیکورٹی کی کچھ تفصیلات کا ذکر کیا گیا ہے۔ اگر آپ یاد نہیں کر سکتے ہیں، تو میں آپ کو اس سیکشن کو دوبارہ دیکھنے کا مشورہ دوں گا۔ اس سیکشن میں، ہم دوسرے پہلوؤں پر توجہ مرکوز کریں گے.

2022 کے آس پاس OpenSea پر کئی مشہور NFT ہیکس تھے۔ 20 فروری 2022 کو، ایک بڑی وبا پھیل گئی۔ بنیادی وجوہات یہ ہیں:

• صارفین نے OpenSea پر NFT لسٹنگ کی درخواستوں پر دستخط کیے۔
• ہیکرز نے صارفین سے متعلقہ دستخط حاصل کرنے کے لیے فش کیا۔

اصل میں ہیکرز کے لیے متعلقہ دستخط حاصل کرنا مشکل نہیں ہے۔ ہیکر کو 1) کی ضرورت ہے۔ دستخط کرنے کے لیے پیغام بنائیں، 2)۔ اسے ہیش کریں، 3)۔ ٹارگٹ یوزر سے درخواست پر دستخط کرنے کے لیے چال چلائیں (یہ ایک اندھا دستخط ہوگا، جس کا مطلب ہے کہ صارفین حقیقت میں نہیں جانتے کہ وہ کیا دستخط کر رہے ہیں)، 4)۔ دستخط شدہ مواد حاصل کریں اور ڈیٹا تیار کریں۔ اس وقت، صارف کو ہیک کر لیا گیا ہے۔

میں Opensea کو بطور مثال استعمال کروں گا (حقیقت میں، یہ کوئی بھی NFT بازار ہو سکتا ہے)۔ ہدف والے صارف کے بازار میں NFT لسٹنگ آپریشن کی اجازت دینے کے بعد، ہیکر دستخط کرنے کے لیے پیغام تیار کرے گا۔ Keccak256 کے ساتھ ہیش کرنے کے بعد، ایک دستخطی درخواست فشنگ پیج پر پاپ اپ ہوگی۔ صارفین کو مندرجہ ذیل کی طرح کچھ نظر آئے گا:

غور سے دیکھئے. اس MetaMask پاپ اپ ونڈو سے ہم کس قسم کی معلومات حاصل کر سکتے ہیں؟ اکاؤنٹ کی معلومات اور اکاؤنٹ کا بیلنس، وہ ماخذ ویب سائٹ جہاں سے دستخط کی درخواست آتی ہے، وہ پیغام جس پر صارفین دستخط کرنے والے ہیں اور… اور کچھ نہیں۔ صارفین کو کیسے شک ہو سکتا ہے کہ تباہی پہلے ہی راستے میں ہے؟ اور وہ کیسے سمجھ سکتے ہیں کہ ایک بار جب وہ "سائن" بٹن پر کلک کریں گے تو ان کے NFTs چوری ہو جائیں گے۔

یہ دراصل اندھے دستخط کی ایک مثال ہے۔ صارفین کو NFT مارکیٹ پلیس میں دستخط کرنے کی ضرورت نہیں ہے۔ اس کے بجائے، صارفین کو ان دستخطوں کے اصل معنی اور نتیجہ کو پوری طرح سے سمجھے بغیر پیغام پر دستخط کرنے کے لیے کسی بھی فشنگ ویب سائٹ پر دھوکہ دیا جا سکتا ہے۔ بدقسمتی سے، ہیکرز جانتے ہیں۔ بطور صارف، بس ذہن میں رکھیں: کبھی بھی اندھا دستخط نہ کریں۔ OpenSea میں بلائنڈ سائن کرنے کا مسئلہ تھا، اور انہوں نے 20 فروری 2022 کے بعد EIP-712 کو اپنا کر اسے ٹھیک کیا۔ تاہم، اندھا دستخط کیے بغیر، صارفین اب بھی لاپرواہ رہ سکتے ہیں اور دوسرے طریقوں سے ہیک ہو سکتے ہیں۔

ایسا کیوں ہو رہا ہے اس کی سب سے اہم وجہ یہ ہے کہ دستخط براؤزر کی ایک ہی اصل کی پالیسی پر عمل کرنے تک محدود نہیں ہے۔ آپ اسے آسانی سے اس طرح سمجھ سکتے ہیں: ایک ہی اصل کی پالیسی اس بات کو یقینی بنا سکتی ہے کہ کوئی کارروائی صرف ایک مخصوص ڈومین کے تحت ہوتی ہے اور ڈومینز کو عبور نہیں کرے گی، جب تک کہ پروجیکٹ ٹیم جان بوجھ کر ڈومین کراسنگ نہیں کرنا چاہتی۔ اگر دستخط ایک ہی اصل کی پالیسی کی پیروی کرتا ہے، تو پھر بھی اگر صارف غیر ہدف والے ڈومین کے ذریعہ تیار کردہ دستخطی درخواست پر دستخط کرتا ہے، ہیکرز ٹارگٹ ڈومین کے تحت حملوں کے لیے دستخط کا استعمال نہیں کرسکتے ہیں۔ مزید تفصیلات میں جانے سے پہلے میں یہاں رک جاؤں گا۔ میں نے پروٹوکول کی سطح پر سیکورٹی میں بہتری کے حوالے سے نئی تجاویز دیکھی ہیں، اور مجھے امید ہے کہ اس صورتحال کو جلد از جلد بہتر کیا جا سکتا ہے۔

ہم نے اٹیک کے زیادہ تر بڑے فارمیٹس کا تذکرہ کیا ہے جو پیغام پر دستخط کرتے وقت ہو سکتا ہے، لیکن حقیقت میں اس کی کچھ مختلف شکلیں ہیں۔ اس سے کوئی فرق نہیں پڑتا ہے کہ وہ کتنے مختلف نظر آتے ہیں، وہ ایک جیسے پیٹرن کی پیروی کرتے ہیں. ان کو سمجھنے کا بہترین طریقہ یہ ہے کہ کسی حملے کو شروع سے آخر تک خود سے دوبارہ پیش کیا جائے، یا حملے کے کچھ منفرد طریقے بھی بنائیں۔ مثال کے طور پر، یہاں ذکر کردہ دستخطی درخواست کے حملے میں دراصل بہت ساری تفصیلات شامل ہیں، جیسے کہ دستخط کرنے کے لیے پیغام کو کیسے بنایا جائے، اور دستخط کرنے کے بعد بالکل کیا پیدا ہوتا ہے؟ کیا "منظوری" کے علاوہ اجازت دینے کے کوئی طریقے ہیں (ہاں، مثال کے طور پر: الاؤنس میں اضافہ)۔ ٹھیک ہے، اگر ہم یہاں پھیلائیں تو یہ بہت تکنیکی ہوگا۔ اچھی بات یہ ہے کہ آپ کو پیغام پر دستخط کرنے کی اہمیت کو پہلے ہی سمجھ لینا چاہیے۔

صارف اجازت/منظوری کو منسوخ کرکے ذریعہ پر ایسے حملوں کو روک سکتے ہیں۔ ذیل میں کچھ معروف ٹولز ہیں جنہیں آپ استعمال کر سکتے ہیں۔

• ٹوکن کی منظوری

  https://etherscan.io/tokenapprovalchecker
  یہ Ethereum کے آفیشل براؤزر کے ذریعہ فراہم کردہ اجازت کی جانچ اور منسوخی کا ٹول ہے۔ دیگر EVM ہم آہنگ بلاکچینز میں کچھ ایسا ہی ہوتا ہے جیسا کہ ان کے بلاکچین براؤزرز بنیادی طور پر ایتھرسکین کے ذریعے تیار کیے گئے ہیں۔ مثال کے طور پر:
  https://bscscan.com/tokenapprovalchecker
  https://hecoinfo.com/tokenapprovalchecker
  https://polygonscan.com/tokenapprovalchecker
  https://snowtrace.io/tokenapprovalchecker
  https://cronoscan.com/tokenapprovalchecker

• Revoke.cash

  https://revoke.cash/
  اچھی شہرت کے ساتھ سپر پرانا اسکول اور بڑھتی ہوئی طاقت کے ساتھ ملٹی چین سپورٹنگ

• ریبی ایکسٹینشن والیٹ

  https://rabby.io/
  بٹوے میں سے ایک جس کے ساتھ ہم نے بہت تعاون کیا ہے۔ ای وی ایم سے مطابقت رکھنے والے بلاک چینز کی تعداد جہاں وہ "آتھورائزیشن چیک اینڈ کینسلیشن" فنکشن فراہم کرتے ہیں وہ سب سے زیادہ ہے جو میں نے کبھی دیکھی ہے۔

⚠️نوٹ: اگر آپ SIGNATURE SECURITY کے بارے میں مزید جامع اور گہرائی سے سمجھنا چاہتے ہیں، تو براہ کرم حوالہ کے طور پر درج ذیل مخزن کے اضافے میں توسیعات کو چیک کریں:

https://github.com/evilcos/darkhandbook
It is true that the knowledge of SIGNATURE SECURITY is quite challenging for beginners. The repository compiles relevant content, and carefully reading through it will help you grasp the security knowledge. Thus, you will no longer find it difficult. (If you can read and understand everything, I believe that security knowledge will no longer be tough for you 🙂

جوابی بدیہی دستخطوں کی درخواستوں سے محتاط رہیں!

میں خاص طور پر ایک اور خطرے کا ذکر کرنا چاہوں گا: انسداد بدیہی خطرہ.

انسداد بدیہی کیا ہے؟ مثال کے طور پر، آپ Ethereum سے پہلے ہی بہت واقف ہیں، اور ہر قسم کے DeFi اور NFTs کے OG بن چکے ہیں۔ جب آپ پہلی بار سولانا ماحولیاتی نظام میں داخل ہوتے ہیں، تو شاید آپ کو کچھ ایسی ہی فشنگ ویب سائٹس کا سامنا کرنا پڑے گا۔ آپ شاید اتنی اچھی طرح سے تیار محسوس کر سکتے ہیں کہ آپ سوچنا شروع کر دیں کہ "میں نے ایتھرئم ماحولیاتی نظام میں ان کو ہزار بار دیکھا ہے اور میں کیسے بے وقوف بن سکتا ہوں؟"

اس دوران، ہیکرز خوش ہوں گے کیونکہ آپ پہلے ہی بے وقوف بن چکے ہیں۔ لوگ اپنے بدیہی جذبات کی پیروی کرتے ہیں جس کی وجہ سے وہ لاپرواہ ہوجاتے ہیں۔ جب کوئی جوابی حملہ ہوتا ہے تو لوگ جال میں پھنس جاتے ہیں۔

ٹھیک ہے، آئیے ایک حقیقی کیس پر ایک نظر ڈالتے ہیں جس نے انسداد بدیہی کا فائدہ اٹھایا۔

سب سے پہلے، ایک انتباہ: سولانا پر اجازت کی فشنگ زیادہ ظالمانہ ہے۔ مندرجہ بالا مثال 5 مارچ 2022 کو پیش آئی۔ حملہ آوروں نے NFTs کو بیچوں میں استعمال کرنے والوں کو چھوڑا (شکل 1)۔ صارفین نے ایئر ڈراپ شدہ NFT (www_officialsolanarares_net) کی تفصیل میں لنک کے ذریعے ہدف کی ویب سائٹ میں داخل کیا اور اپنے بٹوے کو جوڑ دیا (شکل 2)۔ صفحہ پر "ٹکسال" بٹن پر کلک کرنے کے بعد، منظوری کی کھڑکی کھل گئی (شکل 3)۔ نوٹ کریں کہ اس وقت پاپ اپ ونڈو میں کوئی خاص اطلاع یا پیغام نہیں تھا۔ ایک بار ان کی منظوری کے بعد، بٹوے میں موجود تمام SOLs کو منتقل کر دیا جائے گا۔

جب صارفین "منظور کریں" کے بٹن پر کلک کرتے ہیں، تو وہ درحقیقت حملہ آوروں کے ذریعے لگائے گئے بدنیتی پر مبنی سمارٹ معاہدوں کے ساتھ تعامل کر رہے ہوتے ہیں: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

اس نقصان دہ سمارٹ کنٹریکٹ کا حتمی مقصد "SOL ٹرانسفر" شروع کرنا ہے، جو صارف کے تقریباً تمام SOLs کو منتقل کرتا ہے۔ آن چین ڈیٹا کے تجزیے سے، فشنگ کا رویہ کئی دنوں تک جاری رہا، اور وقت کے دوران متاثرین کی تعداد میں اضافہ ہوتا رہا۔

اس مثال سے دو نقصانات ہیں جن پر آپ کو توجہ دینے کی ضرورت ہے:

1. صارف کی منظوری کے بعد، بدنیتی پر مبنی سمارٹ کنٹریکٹ صارف کے مقامی اثاثوں کو منتقل کر سکتا ہے (اس معاملے میں SOL)۔ یہ Ethereum پر ممکن نہیں ہے۔ Ethereum پر اجازت کی فشنگ صرف دوسرے ٹوکنز کو متاثر کر سکتی ہے لیکن ETH کے مقامی اثاثے کو نہیں۔ یہ انسداد بدیہی حصہ ہے جو صارفین کو کم چوکسی بنائے گا۔
2. Solana، Phantom کے سب سے مشہور پرس میں اپنے حفاظتی طریقہ کار میں خامیاں ہیں کہ یہ "جو آپ دیکھتے ہیں وہی ہے جس پر آپ دستخط کرتے ہیں" کے اصول پر عمل نہیں کرتا ہے (ہم نے ابھی تک دوسرے بٹوے کا تجربہ نہیں کیا ہے)، اور ایسا نہیں ہوتا ہے۔ صارفین کو خطرے کی کافی وارننگ فراہم کریں۔ یہ آسانی سے حفاظتی بلائنڈ سپاٹ بنا سکتا ہے جس پر صارفین کے سکے خرچ ہوتے ہیں۔

حملہ کرنے کے کچھ جدید طریقے

دراصل، حملہ کرنے کے بہت سے جدید طریقے ہیں، لیکن انہیں زیادہ تر عوام کے نقطہ نظر سے فشنگ سمجھا جاتا ہے۔ تاہم، کچھ عام فشنگ حملے نہیں ہیں۔ مثال کے طور پر:

https://twitter.com/Arthur_0x/status/1506167899437686784

ہیکرز نے اس طرح کے اٹیچمنٹ کے ساتھ ایک فشنگ ای میل بھیجی:

Stablecoin (محفوظ) docx کا ایک بہت بڑا خطرہ

سچ پوچھیں تو یہ ایک پرکشش دستاویز ہے۔ تاہم، ایک بار کھولنے کے بعد صارف کے کمپیوٹر کو ٹروجن کے ساتھ لگایا جائے گا (عام طور پر آفس میکرو یا 0day / 1day exploit کے ذریعے)، جس میں عام طور پر درج ذیل افعال ہوتے ہیں:

• ہر قسم کی اسناد جمع کرنا، مثال کے طور پر، براؤزر سے متعلق، یا SSH سے متعلق، وغیرہ۔ اس طرح، ہیکرز ہدف صارف کی دیگر خدمات تک اپنی رسائی بڑھا سکتے ہیں۔ لہذا، انفیکشن کے بعد صارفین کو عام طور پر مشورہ دیا جاتا ہے کہ وہ نہ صرف ٹارگٹ ڈیوائس کو صاف کریں بلکہ متعلقہ اکاؤنٹ کی اجازت بھی دیں۔
• Keylogger، خاص طور پر ان لوگوں کو نشانہ بنانا جو عارضی طور پر ظاہر ہونے والی حساس معلومات جیسے کہ پاس ورڈز۔
• متعلقہ اسکرین شاٹس، حساس فائلز وغیرہ جمع کرنا۔
• اگر یہ رینسم ویئر ہے تو، ٹارگٹ سسٹم میں موجود تمام فائلوں کو مضبوطی سے انکرپٹ کیا جائے گا، اور عام طور پر بٹ کوائن کے ذریعے تاوان کی ادائیگی کے لیے شکار کا انتظار کیا جائے گا۔ لیکن اس معاملے میں یہ ransomware نہیں تھا جس میں زیادہ واضح اور شور مچانے والا سلوک اور سیدھے ارادے ہوں۔

مزید برآں، کرپٹو انڈسٹری کو نشانہ بنانے والے ٹروجنز کو خاص طور پر معروف بٹوے یا ایکسچینجز سے حساس معلومات اکٹھا کرنے کے لیے اپنی مرضی کے مطابق بنایا جائے گا، تاکہ صارف کے فنڈز کو چوری کیا جا سکے۔ پیشہ ورانہ تجزیہ کے مطابق، مذکورہ ٹروجن میٹاماسک پر ٹارگٹڈ حملہ کرے گا:

https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

ٹروجن صارف کے میٹا ماسک کو پچھلے دروازوں والے جعلی سے بدل دے گا۔ بیک ڈور میٹا ماسک کا بنیادی طور پر مطلب یہ ہے کہ جو بھی فنڈز آپ اپنے اندر محفوظ کرتے ہیں وہ اب آپ کے نہیں ہیں۔ یہاں تک کہ اگر آپ ہارڈویئر والیٹ استعمال کر رہے ہیں، تو یہ جعلی میٹا ماسک منزل کے پتے یا رقم کی معلومات میں ہیرا پھیری کرکے آپ کے فنڈز چوری کرنے کا انتظام کرے گا۔

یہ نقطہ نظر خاص طور پر معروف پرس پتوں کے ساتھ معروف اہداف کے لیے تیار کیا گیا ہے۔ میں نے جو دیکھا ہے وہ یہ ہے کہ بہت سے ایسے لوگ خود کو ہیک ہونے سے روکنے کے لیے بہت مغرور ہوتے ہیں۔ ہیک کے بعد، بہت سے لوگ سبق سے سیکھیں گے، مکمل جائزے لیں گے، نمایاں بہتری لائیں گے، اور بھروسہ مند سیکیورٹی پیشہ ور افراد یا ایجنسیوں کے ساتھ طویل مدتی تعاون اور دوستی بھی قائم کریں گے۔ تاہم، اس دنیا میں ہمیشہ استثناء موجود ہیں. کچھ لوگ یا پروجیکٹ بار بار ہیک ہوتے رہتے ہیں۔ اگر ہر بار یہ کسی ایسی چیز کی وجہ سے ہوتا ہے جس کا پہلے کسی کو سامنا نہیں ہوا تھا، تو میں ان کا بہت احترام کروں گا اور انہیں علمبردار کہوں گا۔ زیادہ امکان ہے کہ وہ وقت کے ساتھ ساتھ کامیاب ہوں گے۔ بدقسمتی سے بہت سے واقعات انتہائی احمقانہ اور بار بار کی جانے والی غلطیوں کا نتیجہ ہیں جن سے آسانی سے بچا جا سکتا ہے۔ میں ان منصوبوں سے دور رہنے کا مشورہ دوں گا۔

اس کے مقابلے میں، وہ بڑے پیمانے پر فشنگ حملے بالکل بھی جامع نہیں ہیں۔ حملہ آور اسی طرح کے نظر آنے والے ڈومین ناموں کا ایک گروپ تیار کریں گے اور ٹوئٹر یا دوسرے سوشل پلیٹ فارمز پر اکاؤنٹس، فالوورز اور ریٹویٹ خرید کر پے لوڈز کو پھیلا دیں گے۔ اگر اچھی طرح سے انتظام کیا گیا تو بہت سے لوگ جال میں پھنس جائیں گے۔ اس قسم کے فشنگ اٹیک میں واقعی کوئی خاص بات نہیں ہے، اور عام طور پر حملہ آور صارف کو ٹوکنز (بشمول NFT) کو منتقل کرنے کی اجازت دے گا۔

دیگر قسم کے جدید حملے ہیں، مثال کے طور پر حملے کے عمل کو ہموار کرنے کے لیے XSS، CSRF، ریورس پراکسی جیسی تکنیکوں کا استعمال۔ میں یہاں ان سب کی وضاحت نہیں کروں گا، سوائے ایک بہت ہی خاص کیس کے (کلاؤڈ فلیئر مین-ان-دی-مڈل اٹیک) جو ریورس پراکسی کے منظرناموں میں سے ایک ہے۔ اس انتہائی خفیہ طریقہ کو استعمال کرتے ہوئے حقیقی حملے ہوئے ہیں جن سے مالی نقصان ہوا۔

یہاں مسئلہ خود Cloudflare کا برائی یا ہیک ہونے کا نہیں ہے۔ اس کے بجائے یہ پروجیکٹ ٹیم کا Cloudflare اکاؤنٹ ہے جس سے سمجھوتہ کیا جاتا ہے۔ عام طور پر عمل اس طرح ہوتا ہے: اگر آپ Cloudflare استعمال کرتے ہیں، تو آپ ڈیش بورڈ میں اس "Worker" ماڈیول کو دیکھیں گے، جس کی آفیشل تفصیل یہ ہے:

بغیر سرور ایپلی کیشنز کی تعمیر اور انہیں فوری طور پر پوری دنیا میں تعینات کرنا، بہترین کارکردگی، بھروسے اور پیمانے کو حاصل کرنا۔ تفصیلات کے لیے، براہ کرم رجوع کریں۔ https://developers.cloudflare.com/workers/

میں نے بہت عرصہ پہلے ایک ٹیسٹ پیج بنایا تھا:

https://xssor.io/s/x.html

جب آپ صفحہ دیکھیں گے تو ایک پاپ اپ ونڈو آئے گی جس میں کہا جائے گا:

xssor.io، Cloudflare کے ذریعے ہائی جیک کیا گیا۔

درحقیقت، یہ پاپ اپ، اور یہاں تک کہ x.html کا پورا مواد بھی دستاویز سے تعلق نہیں رکھتا۔ یہ سب Cloudflare کے ذریعہ فراہم کیے گئے ہیں۔ طریقہ کار ذیل میں دکھایا گیا ہے:

اسکرین شاٹ میں کوڈ کے ٹکڑوں کا اشارہ بہت آسان ہے: اگر میں ہیکر ہوتا اور میں نے آپ کے Cloudflare اکاؤنٹ کو کنٹرول کیا ہے، تو میں کسی بھی ویب صفحہ پر من مانی نقصان دہ اسکرپٹ لگانے کے لیے Workers کا استعمال کر سکتا ہوں۔ اور صارفین کے لیے یہ سمجھنا بہت مشکل ہے کہ ٹارگٹ ویب پیج کو ہائی جیک کیا گیا ہے اور اس کے ساتھ چھیڑ چھاڑ کی گئی ہے، کیونکہ اس میں کوئی ایرر الرٹس نہیں ہوں گے (جیسے HTTPS سرٹیفکیٹ کی خرابی)۔ یہاں تک کہ پراجیکٹ ٹیم بھی اپنے سرورز اور عملے کی سیکیورٹی کو چیک کرنے میں بہت زیادہ وقت صرف کیے بغیر مسئلے کی آسانی سے شناخت نہیں کر پائے گی۔ جب تک وہ سمجھتے ہیں کہ یہ Cloudflare ورکرز ہے، نقصان پہلے سے ہی اہم ہو سکتا ہے۔

Cloudflare دراصل ایک اچھا ٹول ہے۔ بہت سی ویب سائٹس یا ویب ایپلیکیشنز اسے اپنی ویب ایپلیکیشن فائر وال، اینٹی DDoS سلوشن، گلوبل CDN، ریورس پراکسی وغیرہ کے طور پر استعمال کریں گی۔ چونکہ ایک مفت ورژن ہے، اس لیے ان کا ایک بڑا کسٹمر بیس ہے۔ متبادل طور پر، اکائیمائی وغیرہ جیسی خدمات موجود ہیں۔

صارفین کو ایسے اکاؤنٹس کی سیکیورٹی پر توجہ دینی چاہیے۔ اکاؤنٹ کی حفاظت کے مسائل انٹرنیٹ کے عروج کے ساتھ پیدا ہوتے ہیں۔ یہ دنیا کا اتنا عام موضوع ہے کہ تقریباً ہر کوئی ہر جگہ اس پر بات کر رہا ہے لیکن پھر بھی بہت سے لوگ اس کی وجہ سے ہیک ہو رہے ہیں۔ کچھ بنیادی وجوہات یہ ہو سکتی ہیں کہ وہ اہم سروسز کے لیے منفرد مضبوط پاس ورڈ استعمال نہیں کرتے ہیں (پاس ورڈ مینیجر جیسے کہ 1 پاس ورڈ ویسے بھی اتنا مقبول نہیں ہے)، کچھ یہ ہو سکتے ہیں کہ وہ 2 فیکٹر توثیق (2FA) کو آن کرنے کی زحمت نہیں کرتے، یا ہو سکتا ہے انہیں اس چیز کا بھی علم نہیں ہے۔ کچھ مخصوص خدمات کے لیے ذکر نہ کرنا، پاس ورڈز کو کم از کم سالانہ ری سیٹ کیا جانا چاہیے۔

ٹھیک ہے، یہ اس حصے کا اختتام ہوگا۔ آپ کو صرف یہ سمجھنے کی ضرورت ہے کہ یہ واقعی ایک تاریک جنگل ہے، اور آپ کو زیادہ سے زیادہ حملہ آور طریقوں کے بارے میں جاننا چاہیے۔ کاغذ پر کافی دیکھنے کے بعد، اگر آپ کم از کم ایک یا دو بار جال میں پھنس چکے ہیں، تو آپ اپنے آپ کو ایک شوقیہ سیکیورٹی پروفیشنل کے طور پر سمجھ سکتے ہیں (جس سے آپ کو بہرحال فائدہ ہوگا)۔

روایتی رازداری کا تحفظ

مبارک ہو، آپ اس حصے تک پہنچ گئے ہیں۔ روایتی رازداری کا تحفظ ایک پرانا موضوع ہے: یہ وہ مضمون ہے جو میں نے 2014 میں لکھا تھا۔

رازداری کی خلاف ورزیوں کے دور میں اپنے آپ کو بچانے کے لیے آپ کو کچھ ترکیبیں سیکھنی ہوں گی۔
https://evilcos.me/yinsi.html

اس مضمون کو دوبارہ پڑھنا، اگرچہ یہ 2014 میں ایک اندراجی سطح کا مضمون تھا، تاہم، اس میں زیادہ تر مشورے پرانے نہیں ہیں۔ مضمون کو دوبارہ پڑھنے کے بعد، میں یہاں کچھ نیا پیش کروں گا: درحقیقت، رازداری کے تحفظ کا سیکیورٹی سے گہرا تعلق ہے۔ . روایتی رازداری سلامتی کا سنگ بنیاد ہے۔ اس سیکشن میں آپ کی نجی کلیدیں شامل ہیں جو رازداری کا حصہ ہیں۔ اگر کونے کے پتھر محفوظ نہیں ہیں، کونے کے پتھروں کی رازداری بے معنی ہے، تو سپر اسٹرکچر ہوا میں عمارت کی طرح نازک ہوگا۔

درج ذیل دو وسائل کی انتہائی سفارش کی جاتی ہے:

سرویلنس سیلف ڈیفنس
محفوظ آن لائن مواصلات کے لیے ٹپس، ٹولز اور طریقہ کار
https://ssd.eff.org/

SSD کے لیے سرویلنس سیلف ڈیفنس مختصر ہے۔ معروف الیکٹرانک فرنٹیئر فاؤنڈیشن (EFF) کی طرف سے شروع کیا گیا، جس نے خاص طور پر متعلقہ رہنما خطوط جاری کیے ہیں تاکہ آپ کو یہ بتانے کے لیے کہ بڑے بھائی آپ کو مانیٹرنگ انٹرنیٹ کی دنیا میں دیکھنے سے کیسے بچیں، جن میں کئی مفید ٹولز (جیسے ٹور، واٹس ایپ، سگنل، وغیرہ شامل ہیں۔ پی جی پی، وغیرہ)

پرائیویسی گائیڈ: انکرپشن اور پرائیویسی ٹولز کے ساتھ نگرانی سے لڑیں۔
https://www.privacytools.io/

مندرجہ بالا ویب سائٹ جامع فہرست ہے جس میں متعدد ٹولز شامل ہیں۔ یہ کچھ کرپٹو کرنسی ایکسچینجز، بٹوے وغیرہ کی بھی سفارش کرتا ہے۔ تاہم، یہ بات ذہن نشین رہے کہ میں ویب سائٹ پر درج بہت سارے ٹولز استعمال نہیں کرتا، کیونکہ میرے پاس اپنا طریقہ ہے۔ اس طرح، آپ کو مسلسل موازنہ اور بہتری کے ساتھ، اپنے طریقے کو بھی تیار کرنا چاہیے۔

یہاں ٹولز کی کچھ جھلکیاں ہیں جو میں تجویز کرتا ہوں کہ آپ کو استعمال کرنا چاہئے۔

آپریشن سسٹم

Windows 10 ایڈیشن (اور اس سے زیادہ) اور macOS دونوں محفوظ اختیارات ہیں۔ اگر آپ کے پاس قابلیت ہے تو، آپ لینکس کا انتخاب کرسکتے ہیں، جیسے Ubuntu، یا حتیٰ کہ انتہائی سیکیورٹی اور پرائیویسی فوکسڈ جیسے Tails، یا Whonix۔

آپریشن سسٹم کے موضوع پر، سب سے سیدھا سیدھا سیکیورٹی اصول ہے: سسٹم اپ ڈیٹس پر پوری توجہ دیں، اور دستیاب ہونے پر انہیں جلد از جلد لاگو کریں۔ آپریٹنگ سسٹم میں مہارت حاصل کرنے کی صلاحیت اگلی آتی ہے۔ لوگ پوچھ سکتے ہیں، آپ کو ونڈوز یا میک او ایس جیسے آپریٹنگ سسٹم میں مہارت حاصل کرنے کے لیے زمین پر کیا سیکھنے کی ضرورت ہے؟ کیا یہ صرف کلک کرنا نہیں ہے؟ ٹھیک ہے یہ حقیقت میں کافی ہونے سے بہت دور ہے۔ نوسکھئیے صارفین کے لیے، ایک اچھا اینٹی وائرس سافٹ ویئر، جیسا کہ Kaspersky، BitDefender، ضروری ہے، اور وہ دونوں MacOS پر دستیاب ہیں۔

اور پھر، ڈاؤن لوڈ سیکیورٹی کے بارے میں مت بھولنا، جس کا میں نے پہلے ذکر کیا تھا۔ اگر آپ پروگراموں کو لاپرواہی سے ڈاؤن لوڈ اور انسٹال نہیں کرتے ہیں تو آپ زیادہ تر خطرات کو ختم کر چکے ہوں گے۔

اگلا، اس بارے میں سوچیں کہ آپ کیا کرنے والے ہیں، اگر آپ کا کمپیوٹر گم ہو گیا یا چوری ہو گیا۔ بوٹ پاس ورڈ کا ہونا ظاہر ہے کافی اچھا نہیں ہے۔ اگر ڈسک انکرپشن کو آن نہیں کیا گیا ہے تو، خراب اداکار صرف ہارڈ ڈسک کو باہر نکال سکتے ہیں اور اندر موجود ڈیٹا کو بازیافت کرسکتے ہیں۔ اس لیے میرا مشورہ یہ ہے کہ اہم کمپیوٹرز کے لیے ڈسک انکرپشن کو آن کیا جانا چاہیے۔

https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837

ہمارے پاس طاقتور اور افسانوی ٹولز بھی ہیں جیسے VeraCrypt (سابقہ TrueCrypt)، اگر آپ دلچسپی رکھتے ہیں تو بلا جھجھک اسے آزمائیں:

https://veracrypt.fr/

آپ BIOS یا فرم ویئر پاس ورڈ کو فعال کرنے کے لیے ایک قدم آگے جا سکتے ہیں۔ میں نے خود کیا ہے لیکن یہ مکمل طور پر آپ کی اپنی مرضی پر منحصر ہے۔ بس یاد رکھیں: اگر آپ ایسا کرتے ہیں تو پاس ورڈ کو بہت واضح طور پر یاد رکھیں، ورنہ کوئی بھی آپ کی مدد نہیں کر سکتا۔ میں کافی خوش قسمت ہوں کہ اس سے پہلے خود خرگوش کے سوراخ میں گر گیا تھا، جس کی وجہ سے مجھے ایک لیپ ٹاپ، کچھ کرپٹو، اور ایک ہفتے کا وقت لگا۔ دوسری طرف، یہ ایک بہت اچھا سیکھنے کا تجربہ بھی ہے۔

موبائل فون

آج کل آئی فون اور اینڈرائیڈ صرف دو مرکزی دھارے کے موبائل فونز کے زمرے ہیں۔ میں بلیک بیری کا بہت بڑا پرستار ہوا کرتا تھا، لیکن وقت کے ساتھ ساتھ اس کی شان ختم ہوتی گئی۔ ماضی میں، اینڈرائیڈ فونز کی سیکیورٹی پوزیشن نے مجھے بہت پریشان کیا تھا۔ ایک طرف یہ ابھی ابتدائی مرحلے میں تھا، دوسری طرف ورژن بہت بکھرے ہوئے تھے، ہر برانڈ کے پاس اپنے کانٹے دار اینڈرائیڈ ورژن ہوں گے۔ لیکن اب حالات بہت بہتر ہو چکے ہیں۔

موبائل فونز پر ہمیں سیکیورٹی اپ ڈیٹس اور ڈاؤن لوڈ سیکیورٹی پر بھی توجہ دینے کی ضرورت ہے۔ اس کے علاوہ، مندرجہ ذیل نکات پر توجہ دیں:

• اپنے فون کو جیل بریک/روٹ نہ کریں، یہ اس وقت تک غیر ضروری ہے جب تک کہ آپ متعلقہ سیکیورٹی ریسرچ نہیں کر رہے ہیں، اگر آپ اسے پائریٹڈ سافٹ ویئر کے لیے کر رہے ہیں تو یہ واقعی اس بات پر منحصر ہے کہ آپ اس مہارت میں کتنی مہارت حاصل کر سکتے ہیں۔
• غیر سرکاری ایپ اسٹورز سے ایپس ڈاؤن لوڈ نہ کریں۔
• ایسا نہ کریں جب تک کہ آپ کو معلوم نہ ہو کہ آپ کیا کر رہے ہیں۔ یہاں تک کہ سرکاری ایپ اسٹورز میں بہت ساری جعلی ایپس موجود ہیں۔
• آفیشل کلاؤڈ سنکرونائزیشن فنکشن کو استعمال کرنے کی شرط یہ ہے کہ آپ کو یہ یقینی بنانا ہوگا کہ آپ کا اکاؤنٹ محفوظ ہے، بصورت دیگر اگر کلاؤڈ اکاؤنٹ سے سمجھوتہ ہوجاتا ہے تو موبائل فون بھی ایسا ہی ہوگا۔

ذاتی طور پر میں آئی فون پر زیادہ انحصار کرتا ہوں۔ اور آپ کو کم از کم دو iCloud اکاؤنٹس کی ضرورت ہوگی: ایک چین اور ایک بیرون ملک۔ آپ کو مختلف علاقائی پابندیوں والی ایپس انسٹال کرنے کے لیے ان کی ضرورت ہوگی۔ (جو بہت عجیب لگتا ہے لیکن حقیقت میں خوش آمدید)

نیٹ ورک

نیٹ ورک سیکورٹی کے مسائل گدی میں درد ہوا کرتے تھے، لیکن حالیہ برسوں میں پہلے سے ہی نمایاں بہتری آئی ہے، خاص طور پر جب سے HTTPS ہر جگہ پالیسی کو بڑے پیمانے پر اپنایا گیا ہے۔

جاری نیٹ ورک ہائی جیکنگ (مین-ان-دی-درمیان حملہ) کے حملے کی صورت میں، متعلقہ سسٹم ایرر الرٹس ہوں گے۔ لیکن ہمیشہ مستثنیات ہوتے ہیں، لہذا جب آپ کے پاس کوئی انتخاب ہو تو زیادہ محفوظ آپشن استعمال کریں۔ مثال کے طور پر، جب تک زیادہ مقبول اور محفوظ 4G/5G نیٹ ورک دستیاب نہ ہو یا مستحکم نہ ہو، غیر مانوس Wi-Fi نیٹ ورکس سے متصل ہوں۔

براؤزرز

سب سے مشہور براؤزر کروم اور فائر فاکس ہیں، کرپٹو فیلڈز میں کچھ بہادر بھی استعمال کریں گے۔ ان معروف براؤزرز کی ایک مضبوط ٹیم ہے اور بروقت سیکیورٹی اپ ڈیٹس ہوں گی۔ براؤزر سیکیورٹی کا موضوع بہت وسیع ہے۔ آپ کے بارے میں آگاہ ہونے کے لیے کچھ نکات یہ ہیں:

• جتنی جلدی ممکن ہو اپ ڈیٹ کریں، موقع نہ لیں۔
• اگر ضروری نہ ہو تو ایکسٹینشن کا استعمال نہ کریں۔ اگر آپ ایسا کرتے ہیں تو، صارف کے جائزوں، صارفین کی تعداد، کمپنی کو برقرار رکھنے، وغیرہ کی بنیاد پر اپنے فیصلے کریں، اور اس کی اجازت پر توجہ دیں۔ یقینی بنائیں کہ آپ اپنے براؤزر کے آفیشل ایپ اسٹور سے ایکسٹینشن حاصل کرتے ہیں۔
• متعدد براؤزرز کو متوازی طور پر استعمال کیا جا سکتا ہے، اور اس کی سختی سے سفارش کی جاتی ہے کہ آپ ایک براؤزر میں اہم آپریشنز کریں، اور زیادہ معمول، کم اہم آپریشنز کے لیے دوسرا براؤزر استعمال کریں۔
• یہاں کچھ مشہور پرائیویسی فوکسڈ ایکسٹینشنز ہیں (جیسے uBlock Origin، HTTPS Everywhere، ClearURLs وغیرہ)، انہیں بلا جھجھک آزمائیں۔

خاص طور پر فائر فاکس میں، میں افسانوی قدیم ایکسٹینشن NoScript کا بھی استعمال کروں گا، جس میں جاوا اسکرپٹ کے نقصان دہ پے لوڈز کو روکنے کا ثابت شدہ ریکارڈ موجود تھا۔ آج کل براؤزر زیادہ سے زیادہ محفوظ ہوتے جا رہے ہیں کیونکہ وہ ایک ہی اصل کی پالیسی، CSP، کوکی سیکیورٹی پالیسی، HTTP سیکیورٹی ہیڈرز، ایکسٹینشن سیکیورٹی پالیسی وغیرہ کے لیے سپورٹ شامل کرتے ہیں۔ اس طرح NoScript جیسے ٹول کو استعمال کرنے کی ضرورت کم ہوتی جارہی ہے۔ چھوٹا، اگر دلچسپی ہو تو بلا جھجھک ایک نظر ڈالیں۔

پاس ورڈ مینیجر

اگر آپ نے ابھی تک پاس ورڈ مینیجر استعمال نہیں کیا ہے، یا تو آپ اسے استعمال کرنے کی سہولت نہیں جانتے، یا آپ کے پاس اپنا مضبوط میموری محل ہے۔ دماغی یادداشت کے خطرے کا ذکر پہلے بھی کیا جا چکا ہے، ایک یہ کہ وقت آپ کی یادداشت کو کمزور یا خراب کر دے گا۔ دوسرا یہ کہ آپ کو حادثہ ہو سکتا ہے۔ دونوں صورتوں میں، میں اب بھی تجویز کرتا ہوں کہ آپ اپنی دماغی یادداشت کے ساتھ جانے کے لیے پاس ورڈ مینیجر کا استعمال کریں، 1Password، Bitwarden وغیرہ جیسے معروف کا استعمال کریں۔

مجھے اس حصے کو زیادہ کور کرنے کی ضرورت نہیں ہے، بہت سارے متعلقہ ٹیوٹوریل آن لائن ہیں، بغیر ٹیوٹوریل کے شروع کرنا آسان ہے۔

مجھے یہاں آپ کو یاد دلانے کی ضرورت ہے:

• اپنا ماسٹر پاس ورڈ کبھی نہ بھولیں، اور اپنے اکاؤنٹ کی معلومات کو محفوظ رکھیں، ورنہ سب کچھ ضائع ہو جائے گا۔
• یقینی بنائیں کہ آپ کا ای میل محفوظ ہے۔ اگر آپ کی ای میل سے سمجھوتہ کیا گیا ہے، تو ہو سکتا ہے کہ یہ آپ کے پاس ورڈ مینیجر میں موجود حساس معلومات سے براہ راست سمجھوتہ نہ کرے، لیکن برے اداکار اسے تباہ کرنے کی صلاحیت رکھتے ہیں۔
• میں نے جن ٹولز کا ذکر کیا ہے ان کی سیکورٹی کی تصدیق کر لی ہے (جیسے 1 پاس ورڈ)، اور میں نے سیکورٹی کے متعلقہ واقعات، صارف کے جائزوں، خبروں وغیرہ کو قریب سے دیکھا ہے۔ لیکن میں اس بات کی گارنٹی نہیں دے سکتا کہ یہ ٹولز بالکل محفوظ ہیں، اور کوئی بلیک سوان واقعات نہیں ہوں گے۔ مستقبل میں کبھی ان کے ساتھ ہونے والا ہے۔

ایک چیز جس کی میں تعریف کرتا ہوں وہ ہے 1 پاس ورڈ کے سیکیورٹی پیج کا تعارف اور تفصیل، مثال کے طور پر۔

https://1password.com/security/

اس صفحہ میں سیکیورٹی ڈیزائن کے تصورات، متعلقہ رازداری اور سیکیورٹی سرٹیفکیٹ، سیکیورٹی ڈیزائن کے سفید کاغذات، سیکیورٹی آڈٹ رپورٹس وغیرہ ہیں۔ شفافیت اور کھلے پن کی یہ سطح صنعت میں ضروری توثیق میں بھی سہولت فراہم کرتی ہے۔ تمام پروجیکٹ ٹیموں کو اس سے سبق حاصل کرنا چاہیے۔

بٹوارڈن ایک قدم آگے بڑھتا ہے، کیونکہ یہ مکمل طور پر اوپن سورس ہے، بشمول سرور سائیڈ، اس لیے کوئی بھی تصدیق، آڈٹ اور تعاون کر سکتا ہے۔ اب آپ دیکھیں؟ 1 پاس ورڈ اور بٹوارڈن کا ارادہ بہت واضح ہے:

میں بہت محفوظ ہوں اور مجھے رازداری کی فکر ہے۔ یہ نہ صرف میں خود کہتا ہوں، تیسرے فریق کے حکام بھی ایسا ہی کہتے ہیں۔ بلا جھجھک میرا آڈٹ کریں، اور آپ کے آڈٹ کو آسان بنانے کے لیے، میں جہاں بھی ممکن ہو کھلے رہنے کے لیے کافی کوشش کرتا ہوں۔ اگر میں جو کچھ کرتا ہوں اس سے میل نہیں کھاتا جو میں کہتا ہوں، تو مجھے چیلنج کرنا آسان ہے۔ اور اسے سیکورٹی کا اعتماد کہا جاتا ہے۔

دو عنصر کی تصدیق

انٹرنیٹ پر آپ کی شناخت کی حفاظت کے بارے میں بات کرتے ہوئے، پہلی پرت پاس ورڈز پر انحصار کرتی ہے، دوسری پرت دو عنصر کی توثیق پر انحصار کرتی ہے، اور تیسری پرت خود ہدف پروجیکٹ کی رسک کنٹرول کی صلاحیت پر انحصار کرتی ہے۔ میں یہ نہیں کہہ سکتا کہ دو عنصر کی توثیق ضروری ہے۔ مثال کے طور پر، اگر آپ وکندریقرت والیٹ استعمال کر رہے ہیں، تو پاس ورڈ کی ایک تہہ کافی پریشان کن ہے (اب وہ بنیادی طور پر بائیو میٹرک شناخت کی حمایت کرتے ہیں جیسے کہ چہرے کی شناخت یا صارف کے تجربات کو بہتر بنانے کے لیے فنگر پرنٹ)، کوئی بھی دوسرا عنصر استعمال نہیں کرنا چاہتا۔ لیکن ایک مرکزی پلیٹ فارم میں، آپ کو 2FA استعمال کرنا ہوگا۔ کوئی بھی مرکزی پلیٹ فارم تک رسائی حاصل کر سکتا ہے، اور اگر آپ کی اسناد چوری ہو جاتی ہیں، تو آپ کے اکاؤنٹ کی خلاف ورزی ہو جائے گی اور آپ کا فنڈ ضائع ہو جائے گا۔ اس کے برعکس، آپ کے وکندریقرت والے والیٹ کا پاس ورڈ صرف ایک مقامی تصدیق ہے، یہاں تک کہ اگر ہیکر کو پاس ورڈ مل جاتا ہے، تب بھی انہیں اس ڈیوائس تک رسائی حاصل کرنے کی ضرورت ہوتی ہے جہاں آپ کا بٹوہ واقع ہے۔

اب آپ فرق دیکھتے ہیں؟ کچھ معروف ٹو فیکٹر توثیق (2FA) ٹولز میں شامل ہیں: Google Authenticator، Microsoft Authenticator، وغیرہ۔ یقیناً، اگر آپ پاس ورڈ مینیجر (جیسے 1Password) استعمال کرتے ہیں، تو یہ 2FA ماڈیول کے ساتھ بھی آتا ہے۔ ، جو بہت آسان ہے۔ ہمیشہ بیک اپ بنانا یاد رکھیں، کیونکہ 2FA کو کھونا ایک پریشانی کا باعث ہو سکتا ہے۔

اس کے علاوہ، دو عنصر کی توثیق بھی ایک وسیع تر تصور ہو سکتی ہے۔ مثال کے طور پر، جب ٹارگٹ پلیٹ فارم میں لاگ ان کرنے کے لیے اکاؤنٹ کا شناخت کنندہ اور پاس ورڈ استعمال کیا جاتا ہے، تو ہمارا اکاؤنٹ شناخت کنندہ عام طور پر ایک ای میل یا موبائل فون نمبر ہوتا ہے۔ اس وقت، توثیقی کوڈ حاصل کرنے کے لیے میل باکس یا موبائل فون نمبر کو 2FA کے طور پر استعمال کیا جا سکتا ہے۔ لیکن اس طریقہ کار کی حفاظت کی سطح اتنی اچھی نہیں ہے۔ مثال کے طور پر، اگر میل باکس سے سمجھوتہ ہو جاتا ہے یا سم کارڈ ہائی جیک ہو جاتا ہے، یا ای میلز اور ٹیکسٹ پیغامات بھیجنے کے لیے استعمال ہونے والی تھرڈ پارٹی سروس ہیک ہو جاتی ہے، تو پلیٹ فارم کی طرف سے بھیجا گیا تصدیقی کوڈ بھی سامنے آ جائے گا۔

سائنسی انٹرنیٹ سرفنگ

پالیسی وجوہات کی بناء پر، آئیے اس کے بارے میں زیادہ بات نہ کریں، صرف ایک معروف حل کا انتخاب کریں۔ اگر آپ اپنا حل خود بنا سکتے ہیں تو معاملات زیادہ قابو میں ہوں گے۔ آخر کار، ہمارا نقطہ آغاز سائنسی اور محفوظ طریقے سے انٹرنیٹ پر سرفنگ کرنا ہے۔

اگر آپ خود ساختہ حل استعمال نہیں کر رہے ہیں، تو آپ درمیانی حملے کے امکان کو مکمل طور پر رد نہیں کر سکتے۔ جیسا کہ پہلے ذکر کیا گیا ہے، انٹرنیٹ سیکورٹی کی صورت حال اتنی خراب نہیں ہے جتنی کہ پہلے تھی، خاص طور پر HTTPS ایوریویئر پالیسی کو بڑے پیمانے پر اپنانے کے بعد۔ تاہم، کچھ امن صرف پانی کی سطح کا ہو سکتا ہے، اور سطح کے نیچے پہلے سے ہی انڈر کرینٹ موجود ہیں جو آسانی سے قابل توجہ نہیں ہیں۔ سچ پوچھیں تو، میرے پاس واقعی اس کے لیے چاندی کی گولی نہیں ہے۔ اپنا حل خود بنانا آسان نہیں ہے، لیکن یہ یقینی طور پر اس کے قابل ہے۔ اور اگر آپ ایسا نہیں کر سکتے ہیں، تو یقینی بنائیں کہ آپ متعدد ذرائع کا استعمال کرتے ہوئے چیک کرتے ہیں اور ایک معروف کا انتخاب کرتے ہیں جو کافی عرصے سے موجود ہے۔

ای میل

ای میل ہماری ویب پر مبنی شناخت کا سنگ بنیاد ہے۔ ہم بہت ساری خدمات کے لیے سائن اپ کرنے کے لیے ای میل کا استعمال کرتے ہیں۔ تقریباً تمام ای میل سروسز جو ہم استعمال کرتے ہیں مفت ہیں۔ یہ ہوا کی طرح لگتا ہے، اور آپ کو نہیں لگتا کہ یہ غائب ہو جائے گا. کیا ہوگا اگر ایک دن آپ کی ای میل سروس ختم ہوجاتی ہے، تو دوسری تمام خدمات جو اس پر منحصر ہیں ایک عجیب و غریب صورتحال میں ہوں گی۔ یہ انتہائی صورت حال واقعی ناممکن نہیں ہے اگر جنگیں ہوں، قدرتی آفات وغیرہ۔ یقیناً، اگر یہ انتہائی حالات پیش آتے ہیں، تو ای میل آپ کے لیے بقا سے کم اہم ہوگی۔

جب بات ای میل سروسز فراہم کرنے والوں کی ہو، تو آپ کو ٹیک جنات، جیسے Gmail، Outlook، یا QQ ای میل میں سے انتخاب کرنا چاہیے۔ ایسا ہوتا ہے کہ میری پچھلی سیکیورٹی ریسرچ اس علاقے کا احاطہ کرتی ہیں۔ ان میل باکسز کی حفاظتی کرنسی کافی اچھی ہے۔ لیکن پھر بھی آپ کو ای میل فشنگ حملوں کے بارے میں محتاط رہنا ہوگا۔ آپ کو ہر ایک ای میل سے نمٹنے کی ضرورت نہیں ہے، خاص طور پر ایمبیڈڈ لنکس اور منسلکات، جہاں ٹروجن چھپے ہوسکتے ہیں۔

اگر آپ کو اپنے ای میل سروسز فراہم کنندگان پر انتہائی نفیس حملہ آتا ہے، تو آپ خود ہی ہیں۔

ان ٹیک جنات کی ای میل سروسز کے علاوہ، اگر آپ پرائیویسی کے بارے میں بہت فکر مند ہیں، تو آپ ان دو مشہور پرائیویسی فرینڈلی ای میل سروسز پر ایک نظر ڈال سکتے ہیں: پروٹون میل اور توتانوٹا۔ میری تجویز یہ ہے کہ ان نجی دوستانہ میل باکس کو روزانہ کے استعمال سے الگ کیا جائے، اور انہیں صرف ان خدمات کے لیے استعمال کریں جن پر رازداری پر خصوصی توجہ دینے کی ضرورت ہے۔ طویل عرصے سے غیرفعالیت کی وجہ سے اپنے اکاؤنٹس کو معطل ہونے سے روکنے کے لیے آپ کو اپنی مفت ای میل سروسز کو باقاعدگی سے استعمال کرنے کی بھی ضرورت ہے۔

سم کارڈ

سم کارڈ اور موبائل فون نمبر بھی بہت سے معاملات میں بہت اہم بنیادی شناخت ہیں، بالکل ای میل کی طرح۔ حالیہ برسوں میں، ہمارے ملک کے بڑے آپریٹرز نے موبائل فون نمبروں کی حفاظت میں بہت اچھا کام کیا ہے۔ مثال کے طور پر، SIM کارڈ کو منسوخ کرنے اور دوبارہ جاری کرنے کے لیے سخت حفاظتی پروٹوکول اور تصدیقی عمل ہیں، اور یہ سب سائٹ پر ہوتے ہیں۔ سم کارڈ حملوں کے موضوع پر، میں آپ کو ایک مثال دیتا ہوں:

2019.5 میں، کسی کے Coinbase اکاؤنٹ کو SIM پورٹ اٹیک (SIM Card Transfer Attack) کا سامنا کرنا پڑا، اور بدقسمتی سے 100,000 امریکی ڈالر سے زیادہ کرپٹو کرنسی کا نقصان ہوا۔ حملے کا عمل تقریباً اس طرح ہے:

حملہ آور نے سوشل انجینئرنگ اور دیگر طریقوں کے ذریعے ٹارگٹ صارف کی رازداری کی معلومات حاصل کیں، اور موبائل فون آپریٹر کو دھوکہ دے کر اسے ایک نیا سم کارڈ جاری کیا، اور پھر اس نے اسی موبائل فون نمبر کے ذریعے ٹارگٹ صارف کے Coinbase اکاؤنٹ پر آسانی سے قبضہ کر لیا۔ سم ٹرانسفر کر دی گئی ہے جو کہ بہت پریشان کن ہے۔ اگر آپ کا سم کارڈ حملہ آور کے ذریعے منتقل کر دیا گیا تو یہ بہت پریشان کن ہے، جیسا کہ آج کل، بہت سی آن لائن سروسز ہمارے موبائل فون نمبر کو براہ راست توثیق کے عنصر یا 2FA کے طور پر استعمال کرتی ہیں۔ یہ ایک بہت ہی مرکزی تصدیقی طریقہ کار ہے، اور موبائل فون نمبر کمزور نقطہ بن جاتا ہے۔

تفصیلی تجزیہ کے لیے ملاحظہ کیجیے:

https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

اس کے لیے دفاعی تجویز دراصل آسان ہے: ایک معروف 2FA حل کو فعال کریں۔

سم کارڈ کو ایک اور خطرہ ہے: وہ یہ ہے کہ اگر فون گم ہو یا چوری ہو جائے، تو یہ شرمناک ہو گا کہ برا آدمی سم کارڈ نکال کر استعمال کر سکتا ہے۔ میں نے یہ کیا ہے: سم کارڈ پاس ورڈ (پن کوڈ) کو فعال کریں، لہذا جب بھی میں اپنے فون کو آن کرتا ہوں یا کسی نئے آلے میں اپنا سم کارڈ استعمال کرتا ہوں، مجھے درست پاس ورڈ درج کرنے کی ضرورت ہوتی ہے۔ براہ کرم گوگل سے تفصیلی طریقہ کے بارے میں پوچھیں۔ یہ میری طرف سے یاد دہانی ہے: اس پاس ورڈ کو مت بھولنا، ورنہ یہ بہت پریشانی کا باعث ہوگا۔

جی پی جی

اس حصے کے بہت سے مشمولات کا تذکرہ پچھلے حصوں میں کیا جا چکا ہے، اور میں یہاں مزید بنیادی تصورات شامل کرنا چاہوں گا: بعض اوقات آپ کو پی جی پی، اوپن پی جی پی، اور جی پی جی جیسے ملتے جلتے ناموں کا سامنا کرنا پڑے گا۔ بس ان کو مندرجہ ذیل طور پر الگ کریں:

• PGP، Pretty Good Privacy کے لیے مختصر، ایک 30 سال پرانا کمرشل انکرپشن سافٹ ویئر ہے جو اب Symantec کی چھتری کے نیچے ہے۔
• اوپن پی جی پی پی جی پی سے اخذ کردہ ایک خفیہ کاری کا معیار ہے۔
• GPG، پورا نام GnuPG ہے، اوپن پی جی پی معیار پر مبنی ایک اوپن سورس انکرپشن سافٹ ویئر ہے۔

ان کے کور ایک جیسے ہیں، اور جی پی جی کے ساتھ آپ دوسروں کے ساتھ مطابقت رکھتے ہیں۔ یہاں میں ایک بار پھر سختی سے تجویز کرتا ہوں: سیکیورٹی انکرپشن میں، وہیل کو دوبارہ ایجاد کرنے کی کوشش نہ کریں۔ جی پی جی، اگر صحیح طریقے سے استعمال کیا جائے، تو سیکورٹی کی سطح کو نمایاں طور پر بہتر کر سکتا ہے!

علیحدگی

علیحدگی کے حفاظتی اصول کے پیچھے بنیادی قدر، صفر اعتماد کی ذہنیت ہے۔ آپ کو سمجھنا ہوگا کہ ہم کتنے ہی مضبوط کیوں نہ ہوں، ہمیں جلد یا بدیر ہیک کر لیا جائے گا، چاہے یہ بیرونی ہیکرز، اندرونی یا ہم خود ہی کیوں نہ ہوں۔ ہیک ہونے پر، نقصان کو روکنا پہلا قدم ہونا چاہیے۔ نقصان کو روکنے کی صلاحیت کو بہت سے لوگ نظر انداز کر دیتے ہیں، اور اسی وجہ سے وہ بار بار ہیک ہو جاتے ہیں۔ بنیادی وجہ یہ ہے کہ کوئی حفاظتی ڈیزائن نہیں ہے، خاص طور پر سیدھے طریقے جیسے علیحدگی

علیحدگی کا ایک اچھا عمل اس بات کو یقینی بنا سکتا ہے کہ سیکیورٹی کے واقعات کی صورت میں، آپ دوسرے اثاثوں کو متاثر کیے بغیر، صرف سمجھوتہ کیے گئے ہدف سے براہ راست تعلق رکھنے والوں کو کھو دیتے ہیں۔

مثال کے طور پر:

• اگر آپ کے پاس ورڈ کی حفاظت کی مشق اچھی ہے، جب آپ کا ایک اکاؤنٹ ہیک ہوجاتا ہے، تو وہی پاس ورڈ دوسرے اکاؤنٹس پر سمجھوتہ نہیں کرے گا۔
• اگر آپ کی کریپٹو کرنسی کو یادداشت کے بیجوں کے ایک سیٹ کے نیچے ذخیرہ نہیں کیا گیا ہے، اگر آپ کبھی کسی جال میں قدم رکھتے ہیں تو آپ سب کچھ کھو نہیں پائیں گے۔
• اگر آپ کا کمپیوٹر متاثر ہے، تو خوش قسمتی سے یہ صرف ایک کمپیوٹر ہے جو آرام دہ سرگرمیوں کے لیے استعمال ہوتا ہے، اور اس میں کوئی اہم چیز نہیں ہے، اس لیے آپ کو گھبرانے کی ضرورت نہیں ہے، کیونکہ کمپیوٹر کو دوبارہ انسٹال کرنے سے زیادہ تر مسائل حل ہو جائیں گے۔ اگر آپ ورچوئل مشینیں استعمال کرنے میں اچھے ہیں، تو چیزیں اور بھی بہتر ہیں، کیونکہ آپ صرف اسنیپ شاٹ کو بحال کر سکتے ہیں۔ اچھے ورچوئل مشین ٹولز ہیں: VMware، Parallels۔
• خلاصہ کرنے کے لیے، آپ کے پاس کم از کم دو اکاؤنٹس، دو ٹولز، دو ڈیوائسز وغیرہ ہو سکتے ہیں۔ اس سے واقف ہونے کے بعد مکمل طور پر ایک آزاد ورچوئل شناخت بنانا ناممکن نہیں ہے۔

میں نے پہلے ایک اور انتہائی رائے کا ذکر کیا تھا: رازداری کی حفاظت ہمارے لیے نہیں ہے، رازداری کو کنٹرول کیا جانا چاہیے۔

اس نقطہ نظر کی وجہ یہ ہے کہ: موجودہ انٹرنیٹ ماحول میں، رازداری کو درحقیقت سنجیدگی سے لیک کیا گیا ہے۔ خوش قسمتی سے، حالیہ برسوں میں رازداری سے متعلق ضوابط زیادہ سے زیادہ وسیع پیمانے پر اپنائے گئے ہیں، اور لوگ زیادہ سے زیادہ توجہ دے رہے ہیں۔ واقعی سب کچھ صحیح سمت میں جا رہا ہے۔ لیکن اس سے پہلے، کسی بھی صورت میں، جب آپ میرے درج کردہ علمی نکات میں مہارت حاصل کر لیں گے، تو آپ آسانی سے اپنی رازداری کو کنٹرول کر سکیں گے۔ انٹرنیٹ پر، اگر آپ اس کے عادی ہیں، تو آپ کی کئی مجازی شناختیں ہوسکتی ہیں جو ایک دوسرے سے تقریباً آزاد ہیں۔

انسانی فطرت کی حفاظت

انسان ہمیشہ سب سے زیادہ اور ابدی خطرے میں رہتا ہے۔ تھری باڈی پرابلم کا ایک اقتباس ہے: "کمزوری اور جہالت بقا کی راہ میں رکاوٹ نہیں بلکہ تکبر ہے۔"

• مغرور نہ ہوں: اگر آپ کو لگتا ہے کہ آپ پہلے ہی مضبوط ہیں، تو آپ خود ٹھیک ہیں۔ پوری دنیا کو حقیر مت دیکھو۔ خاص طور پر، ضرورت سے زیادہ فخر نہ کریں اور یہ سوچیں کہ آپ عالمی ہیکرز کو چیلنج کر سکتے ہیں۔ سیکھنے کی کوئی انتہا نہیں ہے، اور اب بھی بہت سی رکاوٹیں ہیں۔
• لالچی نہ بنیں: لالچ ہی بہت سے معاملات میں آگے بڑھنے کا محرک ہوتا ہے، لیکن اس کے بارے میں سوچیں کہ اتنا اچھا موقع صرف آپ کے لیے کیوں مخصوص ہے؟
• جذباتی نہ بنو: جذباتیت ایک شیطان ہے جو آپ کو پھندے میں لے جائے گا۔ جلدی کارروائی جوا ہے۔

انسانی فطرت میں بات کرنے کے لیے لامتناہی چیزیں ہیں اور آپ زیادہ محتاط نہیں رہ سکتے۔ براہ کرم درج ذیل نکات پر خصوصی توجہ دیں، اور دیکھیں کہ برے اداکار مختلف آسان پلیٹ فارمز کا استعمال کرتے ہوئے، انسانی فطرت کی کمزوری کا کیسے فائدہ اٹھاتے ہیں۔

ٹیلی گرام

میں پہلے کہہ چکا ہوں کہ ٹیلی گرام سب سے بڑا ڈارک ویب ہے۔ مجھے یہ کہنا ہے کہ لوگ ٹیلیگرام کو اس کی سیکیورٹی، استحکام اور کھلے ڈیزائن کی خصوصیات کے لیے پسند کرتے ہیں۔ لیکن ٹیلیگرام کی کھلی ثقافت برے لوگوں کو بھی اپنی طرف متوجہ کرتی ہے: صارفین کی بڑی تعداد، انتہائی حسب ضرورت فعالیت، ہر قسم کی بوٹ سروسز بنانے کے لیے کافی آسان۔ کریپٹو کرنسی کے ساتھ مل کر، حقیقی تجارتی تجربات ٹور میں ان تاریک ویب بازاروں سے کہیں زیادہ ہیں۔ اور اس میں بہت زیادہ مچھلیاں ہیں۔

عام طور پر، سوشل میڈیا اکاؤنٹس کا منفرد شناخت کنندہ صرف ایک صارف نام، صارف کی شناخت کی طرح ہے، لیکن یہ مکمل طور پر خراب اداکاروں کی طرف سے کلون کیا جا سکتا ہے. کچھ سماجی پلیٹ فارمز میں اکاؤنٹ کی توثیق کے طریقہ کار ہوتے ہیں، جیسے نیلے رنگ کا V آئیکن یا کچھ اور شامل کرنا۔ عوامی سوشل میڈیا اکاؤنٹس کی توثیق کچھ اشارے کے ذریعے کی جا سکتی ہے، جیسے کہ پیروکار کی تعداد، پوسٹ کردہ مواد، مداحوں کے ساتھ بات چیت وغیرہ۔ غیر عوامی سوشل میڈیا اکاؤنٹس کچھ زیادہ مشکل ہوتے ہیں۔ یہ دیکھ کر خوشی ہوئی کہ ٹیلی گرام نے "ہم کن گروپس میں اکٹھے ہیں" کا فنکشن جاری کیا۔

جہاں کہیں بھی خامیاں ہیں جن سے فائدہ اٹھایا جا سکتا ہے اور فائدہ کافی ہے، وہاں برے لوگوں کا ایک گروپ پہلے سے موجود ہونا چاہیے، یہ انسانی فطرت ہے۔

نتیجے کے طور پر، سوشل میڈیا پلیٹ فارمز فشنگ کے جال سے بھرے ہوئے ہیں۔ مثال کے طور پر: ایک گروپ چیٹ میں، کوئی ایسا شخص جو آفیشل کسٹمر سروس کی طرح نظر آتا ہے اچانک نمودار ہوا اور اس نے پرائیویٹ چیٹ شروع کر دی (any2any پرائیویٹ چیٹ ٹیلی گرام کی خصوصیت ہے، اس کے لیے فرینڈ ریکوسٹ کی ضرورت نہیں ہے)، اور پھر کلاسک ہتھکنڈوں سے ہٹ کر سپیم، مچھلی ایک کے بعد ایک کاٹ لے گی۔

یا حملہ آور ایک قدم آگے بڑھ سکتے ہیں، اور آپ کو دوسرے گروپ میں شامل کر سکتے ہیں۔ تمام شرکاء آپ کو خریدتے ہیں جعلی ہیں، لیکن آپ کو یہ بہت حقیقت پسندانہ لگتا ہے۔ ہم اس تکنیک کو زیر زمین معاشرے میں گروپ کلوننگ کہتے ہیں۔

یہ انسانی فطرت کے ساتھ ہیرا پھیری کے صرف بنیادی طریقے ہیں، جدید تکنیکوں کو خطرات کے ساتھ جوڑ دیا جائے گا اور اس طرح روکنا زیادہ مشکل ہے۔

اختلاف

ڈسکارڈ ایک نیا اور مقبول سماجی پلیٹ فارم/آئی ایم سافٹ ویئر ہے جو پچھلے دو سالوں میں اٹھایا گیا ہے۔ بنیادی فنکشن کمیونٹی سرورز ہے (روایتی سرور کا تصور نہیں)، جیسا کہ سرکاری بیان میں کہا گیا ہے:

Discord ایک مفت آواز، ویڈیو اور ٹیکسٹ چیٹ ایپ ہے جسے 13+ سال کی عمر کے لاکھوں افراد اپنی کمیونٹیز اور دوستوں کے ساتھ بات کرنے اور گھومنے پھرنے کے لیے استعمال کرتے ہیں۔

لوگ روزانہ Discord کا استعمال بہت سی چیزوں کے بارے میں بات کرنے کے لیے کرتے ہیں، جس میں آرٹ پروجیکٹس اور فیملی ٹرپ سے لے کر ہوم ورک اور دماغی صحت کی مدد شامل ہیں۔ یہ کسی بھی سائز کی کمیونٹیز کے لیے ایک گھر ہے، لیکن یہ سب سے زیادہ بڑے پیمانے پر لوگوں کے چھوٹے اور فعال گروپس استعمال کرتے ہیں جو باقاعدگی سے بات کرتے ہیں۔

یہ بہت اچھا لگتا ہے لیکن اس کے لیے کافی مضبوط سیکیورٹی ڈیزائن کا معیار درکار ہے۔ Discord کے مخصوص حفاظتی اصول اور پالیسیاں ہیں جیسا کہ:

https://discord.com/safety

بدقسمتی سے، زیادہ تر لوگ اسے غور سے پڑھنے کی زحمت نہیں کریں گے۔ مزید یہ کہ ڈسکارڈ ہمیشہ کچھ بنیادی حفاظتی مسائل کو واضح طور پر بیان کرنے کے قابل نہیں رہے گا، کیونکہ انہیں حملہ آور کی ٹوپی پہننی ہوگی جو ہمیشہ ممکن نہیں ہوتی۔

مثال کے طور پر:

Discord پر اتنی زیادہ NFT چوریوں کے ساتھ، حملے کے اہم طریقے کیا ہیں؟ اس سے پہلے کہ ہم اس کا پتہ لگائیں، ڈسکارڈ سیکیورٹی مشورہ بیکار ہے۔

بہت سے پروجیکٹ Discordhacks کے پیچھے کی اہم وجہ دراصل Discord Token ہے، جو HTTP درخواست کے ہیڈر میں اجازت دینے والے فیلڈ کا مواد ہے۔ یہ ڈسکارڈ میں بہت طویل عرصے سے موجود ہے۔ ہیکرز کے لیے، اگر وہ اس ڈسکارڈ ٹوکن کو حاصل کرنے کا کوئی طریقہ تلاش کر سکتے ہیں، تو وہ ٹارگٹ ڈسکارڈ سرور کے تمام مراعات کو تقریباً کنٹرول کر سکتے ہیں۔ کہنے کا مطلب یہ ہے کہ اگر ہدف ایک منتظم ہے، انتظامی مراعات والا اکاؤنٹ یا Discord bot ہے، تو ہیکرز جو چاہیں کر سکتے ہیں۔ مثال کے طور پر NFT فشنگ سائٹ کا اعلان کرکے، وہ لوگوں کو یہ سوچنے پر مجبور کرتے ہیں کہ یہ سرکاری اعلان ہے، اور مچھلی ہک کو کاٹ لے گی۔

کچھ پوچھ سکتے ہیں، اگر میں اپنے Discord اکاؤنٹ میں دو عنصر کی تصدیق (2FA) شامل کروں تو کیا ہوگا؟ بالکل ایک اچھی عادت! لیکن Discord Token کا آپ کے اکاؤنٹ 2FA اسٹیٹس سے کوئی تعلق نہیں ہے۔ ایک بار جب آپ کے اکاؤنٹ کی خلاف ورزی ہو جاتی ہے، تو آپ کو فوری طور پر اپنا Discord پاس ورڈ تبدیل کرنا چاہیے تاکہ اصل Discord ٹوکن کو غلط بنایا جا سکے۔

اس سوال کے لیے کہ ہیکر ڈسکارڈ ٹوکن کیسے حاصل کرسکتا ہے، ہم نے کم از کم تین بڑی تکنیکیں تلاش کی ہیں، اور ہم مستقبل میں اس کی تفصیل سے وضاحت کرنے کی کوشش کریں گے۔ عام صارفین کے لیے، بہت کچھ کیا جا سکتا ہے، لیکن بنیادی نکات یہ ہیں: جلدی نہ کریں، لالچی نہ ہوں، اور متعدد ذرائع سے تصدیق کریں۔

"آفیشل" فشنگ

برے اداکار کردار ادا کرنے کا فائدہ اٹھانے میں اچھے ہیں، خاص طور پر سرکاری کردار۔ مثال کے طور پر ہم نے پہلے جعلی کسٹمر سروس کے طریقہ کار کا ذکر کیا ہے۔ اس کے علاوہ، اپریل 2022 میں، معروف ہارڈویئر والیٹ Trezor کے بہت سے صارفین کو trezor.us سے فشنگ ای میلز موصول ہوئیں، جو Trezor ڈومین trezor.io نہیں ہے۔ ڈومین نام کے لاحقے میں معمولی فرق ہے۔ مزید یہ کہ درج ذیل ڈومینز بھی فشنگ ای میلز کے ذریعے پھیلائے گئے تھے۔

https://suite.trẹzor.com

اس ڈومین نام میں ایک "ہائی لائٹ اسپاٹ" ہے، اس میں موجود حرف ẹ کو قریب سے دیکھیں، اور آپ کو معلوم ہوگا کہ یہ حرف e نہیں ہے۔ مبہم؟ یہ دراصل Punycode ہے، معیاری وضاحت ذیل میں ہے:

ایپلی کیشنز (IDNA) میں بین الاقوامی ڈومین ناموں کے لیے یونیکوڈ کی بوٹ سٹرنگ انکوڈنگ ایک بین الاقوامی ڈومین نام کی انکوڈنگ ہے جو یونیکوڈ اور ASCII دونوں کوڈز میں حروف کے ایک محدود سیٹ کی نمائندگی کرتی ہے۔

اگر کوئی trẹzor کو ڈی کوڈ کرتا ہے، تو یہ اس طرح لگتا ہے: xn-trzor-o51b، جو کہ اصلی ڈومین نام ہے!

ہیکرز برسوں سے فشنگ کے لیے Punycode کا استعمال کر رہے ہیں، 2018 میں، کچھ Binance صارفین کو اسی چال سے سمجھوتہ کیا گیا تھا۔

اس قسم کی فشنگ سائٹس پہلے ہی بہت سے لوگوں کو گرا سکتی ہیں، ان مزید جدید حملوں کا ذکر نہیں کرنا جیسے آفیشل میل باکس کا کنٹرول ہونا، یا SPF کنفیگریشن کے مسائل کی وجہ سے میل جعلسازی کے حملے۔ نتیجے کے طور پر، ای میل کا ماخذ بالکل وہی لگتا ہے جیسا کہ سرکاری ہے۔

اگر یہ بدمعاش اندرونی ہے تو صارف کچھ نہیں کر سکتا۔ پراجیکٹ ٹیموں کو اندرونی خطرات کو روکنے کے لیے بہت زیادہ کوشش کرنی چاہیے۔ اندرونی سب سے بڑا ٹروجن ہارس ہیں، لیکن وہ اکثر نظر انداز ہو جاتے ہیں.

Web3 رازداری کے مسائل

Web3 کی بڑھتی ہوئی مقبولیت کے ساتھ، زیادہ سے زیادہ دلچسپ یا بورنگ پروجیکٹس نمودار ہوئے: جیسے ہر قسم کے Web3 انفراسٹرکچر، سوشل پلیٹ فارمز، وغیرہ۔ ان میں سے کچھ نے بڑے پیمانے پر ڈیٹا کا تجزیہ کیا ہے اور اہداف کے مختلف رویے کے پورٹریٹ کی نشاندہی کی ہے، نہ صرف بلاک چین پر۔ طرف، بلکہ معروف Web2 پلیٹ فارمز پر بھی۔ ایک بار جب پورٹریٹ سامنے آجائے تو ہدف بنیادی طور پر ایک شفاف شخص ہوتا ہے۔ اور Web3 سوشل پلیٹ فارمز کی ظاہری شکل بھی رازداری کے اس طرح کے مسائل کو بڑھا سکتی ہے۔

اس کے بارے میں سوچیں، جب آپ ویب 3 سے متعلق ان تمام چیزوں کے ساتھ کھیلتے ہیں، جیسے دستخط کی پابندی، زنجیر کے تعاملات پر، وغیرہ، تو کیا آپ اپنی رازداری کا زیادہ حصہ دے رہے ہیں؟ ہو سکتا ہے کہ بہت سے لوگ متفق نہ ہوں، لیکن جتنے ٹکڑے اکٹھے ہوں گے ایک زیادہ درست اور جامع تصویر ہو گی: آپ کون سے NFTs کو اکٹھا کرنا پسند کرتے ہیں، آپ کن کمیونٹیز میں شامل ہوئے، آپ کن وائٹ لسٹ میں ہیں، آپ کس کے ساتھ جڑے ہوئے ہیں، کون سے Web2 اکاؤنٹس آپ پابند ہیں کہ آپ کس وقت کے وقفوں میں سرگرم ہیں، وغیرہ۔ دیکھیں، بلاکچین بعض اوقات رازداری کو مزید خراب کر دیتا ہے۔ اگر آپ رازداری کا خیال رکھتے ہیں، تو آپ کو ہر نئی چیز سے محتاط رہنا ہوگا اور اپنی شناخت کو الگ کرنے کی اچھی عادت کو برقرار رکھنا ہوگا۔

اس مقام پر، اگر پرائیویٹ کلید غلطی سے چوری ہو جاتی ہے، تو نقصان اتنا آسان نہیں جتنا صرف پیسے کا، بلکہ تمام احتیاط سے ویب 3 کے حقوق اور مفادات کو برقرار رکھا جاتا ہے۔ ہم اکثر کہتے ہیں کہ پرائیویٹ کلید ہی شناخت ہے، اور اب آپ کو ایک حقیقی ID کا مسئلہ درپیش ہے۔

انسانی فطرت کا کبھی امتحان نہ لیں۔

بلاکچین شینانیگنز

بلاکچین ٹکنالوجی نے ایک پوری نئی صنعت بنائی۔ چاہے آپ اسے BlockFi، DeFi، cryptocurrency، ورچوئل کرنسی، ڈیجیٹل کرنسی، Web3، وغیرہ کہیں، ہر چیز کا مرکز اب بھی بلاکچین ہے۔ زیادہ تر ہائپ مالی سرگرمیوں پر مرکوز ہے، جیسے کرپٹو اثاثے، بشمول نان فنگیبل ٹوکنز (یا NFT، ڈیجیٹل کلیکٹیبل)۔

بلاک چین انڈسٹری انتہائی متحرک اور دلکش ہے، لیکن برائی کرنے کے بہت سارے طریقے ہیں۔ بلاکچین کی خاص خصوصیات کچھ بلکہ منفرد برائیوں کو جنم دیتی ہیں، بشمول کرپٹو چوری، کرپٹو جیکنگ، رینسم ویئر، ڈارک ویب ٹریڈنگ، C2 حملہ، منی لانڈرنگ، پونزی اسکیمیں، جوا وغیرہ۔ میں نے 2019 میں ایک ذہن کا نقشہ بنایا تھا۔ حوالہ کے لیے

https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png

دریں اثنا، SlowMist ٹیم SlowMist Hacked کو برقرار اور اپ ڈیٹ کر رہی ہے – بلاک چین سے متعلقہ ہیکنگ سرگرمیوں کے لیے ایک بڑھتا ہوا ڈیٹا بیس۔

https://hacked.slowmist.io/

اس ہینڈ بک نے بہت سے حفاظتی اقدامات متعارف کرائے ہیں، اور اگر آپ انہیں اپنی حفاظت پر لاگو کر سکتے ہیں، تو مبارک ہو۔ میں بلاکچین شینیگنز پر زیادہ وضاحت نہیں کروں گا۔ اگر آپ دلچسپی رکھتے ہیں، تو آپ اسے خود سیکھ سکتے ہیں، جو یقیناً ایک اچھی بات ہے، خاص طور پر چونکہ نئے گھوٹالے اور فراڈ مسلسل تیار ہو رہے ہیں۔ آپ جتنا زیادہ سیکھیں گے، اتنا ہی بہتر آپ اپنا دفاع کر سکتے ہیں اور اس صنعت کو بہتر بنا سکتے ہیں۔

جب آپ ہیک ہوجائیں تو کیا کریں۔

یہ صرف وقت کی بات ہے اس سے پہلے کہ آپ بالآخر ہیک ہو جائیں۔ تو پھر کیا کیا جائے؟ میں بس سیدھا پیچھا کروں گا۔ ضروری نہیں کہ درج ذیل اقدامات ترتیب میں ہوں۔ ایسے اوقات ہوتے ہیں جب آپ کو آگے پیچھے جانا پڑتا ہے، لیکن عام خیال یہی ہے۔

پہلے نقصان کو روکیں۔

نقصان کو روکنے کا مطلب آپ کے نقصان کو محدود کرنا ہے۔ اسے کم از کم دو مرحلوں میں تقسیم کیا جا سکتا ہے۔

• فوری کارروائی کا مرحلہ۔ فوری طور پر عمل کریں! اگر آپ دیکھتے ہیں کہ ہیکرز آپ کے اثاثے منتقل کر رہے ہیں تو مزید نہ سوچیں۔ بس جلدی کریں اور باقی اثاثوں کو محفوظ جگہ پر منتقل کریں۔ اگر آپ کو فرنٹ رننگ ٹریڈز کا تجربہ ہے تو بس پکڑو اور دوڑو۔ اثاثے کی قسم پر منحصر ہے، اگر آپ بلاکچین پر اپنے اثاثے منجمد کر سکتے ہیں، تو اسے جلد از جلد کریں؛ اگر آپ آن چین تجزیہ کر سکتے ہیں اور آپ کے اثاثوں کو سنٹرلائزڈ ایکسچینج میں منتقل کر سکتے ہیں، تو آپ ان کے رسک کنٹرول ڈیپارٹمنٹ سے رابطہ کر سکتے ہیں۔
• پوسٹ ایکشن مرحلہ۔ صورتحال کے مستحکم ہونے کے بعد، آپ کی توجہ اس بات کو یقینی بنانے پر مرکوز ہونی چاہیے کہ ثانوی یا تیسرے درجے کے حملے نہ ہوں۔

منظر کی حفاظت کریں۔

جب آپ کو معلوم ہو کہ کچھ غلط ہے تو پرسکون رہیں اور گہری سانس لیں۔ منظر کی حفاظت کرنا یاد رکھیں۔ یہاں چند تجاویز ہیں:

• اگر حادثہ کسی کمپیوٹر، سرور یا انٹرنیٹ سے منسلک دیگر آلات پر ہوتا ہے، تو آلات کو بجلی کی فراہمی کے ساتھ آن رکھتے ہوئے نیٹ ورک کو فوری طور پر منقطع کر دیں۔ کچھ لوگ دعویٰ کر سکتے ہیں کہ اگر یہ ایک تباہ کن وائرس ہے تو مقامی سسٹم کی فائلیں وائرس سے تباہ ہو جائیں گی۔ وہ درست ہیں، تاہم بند کرنے سے صرف اس صورت میں مدد ملتی ہے جب آپ وائرس سے زیادہ تیزی سے رد عمل ظاہر کر سکتے ہیں…
• جب تک کہ آپ خود ہی اس کو سنبھالنے کے قابل نہیں ہیں، تجزیہ کے لیے سیکیورٹی کے پیشہ ور افراد کا انتظار کرنا ہمیشہ بہتر انتخاب ہوتا ہے۔

یہ واقعی اہم ہے کیونکہ ہم نے کافی بار اس بات کا سامنا کیا ہے کہ جب ہم تجزیہ کرنے کے لئے قدم رکھتے تھے تب تک منظر پہلے سے ہی گڑبڑ میں تھا۔ اور ایسے معاملات بھی تھے جب کلیدی شواہد (مثلاً لاگز، وائرس فائلز) کو صاف کر دیا گیا تھا۔ اچھی طرح سے محفوظ جرم کے منظر کے بغیر، یہ بعد کے تجزیے اور سراغ لگانے کے لیے انتہائی خلل ڈال سکتا ہے۔

جڑ کا تجزیہ

وجہ کا تجزیہ کرنے کا مقصد مخالف کو سمجھنا اور ہیکر کے پورٹریٹ کو آؤٹ پٹ کرنا ہے۔ اس مقام پر واقعہ کی رپورٹ بہت اہم ہے جسے پوسٹ مارٹم رپورٹ بھی کہا جاتا ہے۔ واقعہ کی رپورٹ اور پوسٹ مارٹم رپورٹ ایک ہی چیز کا حوالہ دیتے ہیں۔

ہم ایسے بہت سے لوگوں سے ملے ہیں جو اپنے سکے چوری ہونے کے بعد مدد کے لیے ہمارے پاس آئے، اور ان میں سے بہت سے لوگوں کے لیے واضح طور پر بتانا بہت مشکل تھا کہ کیا ہوا ہے۔ ان کے لیے واقعہ کی واضح رپورٹ پیش کرنا اور بھی مشکل ہے۔ لیکن میرے خیال میں اس پر عمل کیا جا سکتا ہے اور مثالوں کا حوالہ دے کر یہ مددگار ثابت ہو گا۔ مندرجہ ذیل ایک اچھا نقطہ آغاز ہو سکتا ہے:

• خلاصہ 1: کون ملوث تھا، یہ کب ہوا، کیا ہوا، اور مجموعی نقصان کتنا ہوا؟
• خلاصہ 2: نقصان سے متعلق بٹوے کے پتے، ہیکر کے بٹوے کا پتہ، سکے کی قسم، سکے کی مقدار۔ یہ صرف ایک میز کی مدد سے زیادہ واضح ہو سکتا ہے۔
• عمل کی تفصیل: یہ حصہ سب سے مشکل ہے۔ آپ کو واقعے کے تمام پہلوؤں کو تمام تفصیلات کے ساتھ بیان کرنے کی ضرورت ہوگی، جو ہیکر سے متعلق مختلف قسم کے نشانات کا تجزیہ کرنے اور آخر کار ان سے ہیکر کا پورٹریٹ حاصل کرنے کے لیے مفید ہے (بشمول محرک)

جب بات خاص معاملات کی ہو تو ٹیمپلیٹ بہت زیادہ پیچیدہ ہوگا۔ بعض اوقات انسانی یادداشت بھی ناقابل اعتبار ہو سکتی ہے، اور یہاں تک کہ اہم معلومات کو جان بوجھ کر چھپانا بھی ہے جو وقت ضائع کرنے یا وقت میں تاخیر کا باعث بن سکتا ہے۔ لہذا عملی طور پر، بہت زیادہ کھپت ہوگی اور ہمیں کام کی اچھی رہنمائی کے لیے اپنے تجربے کو استعمال کرنے کی ضرورت ہے۔ آخر میں ہم اس شخص یا ٹیم کے ساتھ واقعہ کی رپورٹ تیار کرتے ہیں جس نے سکے کھوئے ہیں، اور اس واقعے کی رپورٹ کو اپ ڈیٹ کرتے رہتے ہیں۔

ماخذ کا سراغ لگانا

روکا کے قانون کے مطابق، جہاں حملہ ہوتا ہے، وہاں ایک پگڈنڈی ہوتی ہے۔ اگر ہم کافی تحقیق کریں تو ہمیں ہمیشہ کچھ سراغ ملیں گے۔ تفتیش کا عمل دراصل فرانزک تجزیہ اور سورس ٹریسنگ ہے۔ ہم فرانزک تجزیہ سے ہیکر کے پورٹریٹ کے مطابق ذرائع کا پتہ لگائیں گے، اور اسے مسلسل افزودہ کریں گے، جو ایک متحرک اور تکراری عمل ہے۔

ماخذ کا سراغ لگانا دو اہم حصوں پر مشتمل ہے:

• آن چین انٹیلی جنس۔ ہم بٹوے کے پتوں کی اثاثہ جاتی سرگرمیوں کا تجزیہ کرتے ہیں، جیسے سنٹرلائزڈ ایکسچینجز، کوائن مکسر وغیرہ میں جانا، اس کی نگرانی کرتے ہیں اور نئی منتقلی کے الرٹس حاصل کرتے ہیں۔
• آف چین انٹیلی جنس: یہ حصہ ہیکر کے آئی پی، ڈیوائس کی معلومات، ای میل ایڈریس اور ان متعلقہ نکات کے باہمی تعلق سے متعلق مزید معلومات بشمول طرز عمل کی معلومات کا احاطہ کرتا ہے۔

اس معلومات کی بنیاد پر سورس ٹریسنگ کا کافی کام ہے، اور اس میں قانون نافذ کرنے والے اداروں کی شمولیت کی بھی ضرورت ہوگی۔

مقدمات کا اختتام

یقیناً ہم سب ایک خوش کن انجام چاہتے ہیں، اور یہاں عوامی طور پر ظاہر ہونے والے واقعات کی کچھ مثالیں ہیں جو ہم نے شامل کی ہیں جن کے اچھے نتائج برآمد ہوئے ہیں:

• Lendf.Me، $25 ملین کی مالیت
• SIL فنانس، $12.15 ملین کی مالیت
• پولی نیٹ ورک، $610 ملین کی مالیت

ہم نے بہت سے دوسرے غیر مطبوعہ کیسز کا تجربہ کیا ہے جو اچھے یا ٹھیک نتائج پر ختم ہوئے۔ تاہم ان میں سے بیشتر کے انجام خراب تھے، جو کہ کافی بدقسمتی ہے۔ ہم نے ان عملوں میں بہت سے قیمتی تجربات حاصل کیے ہیں اور ہم امید کرتے ہیں کہ مستقبل میں اچھے نتائج کا تناسب بڑھ جائے گا۔

اس حصے کا مختصراً ذکر اوپر کیا گیا ہے۔ اس علاقے سے متعلق علم کی ایک بڑی مقدار ہے اور میں اس میں سے کچھ سے بالکل واقف نہیں ہوں۔ اس لیے میں یہاں اس کی تفصیلی وضاحت نہیں کروں گا۔ منظر نامے پر منحصر ہے، ہمیں جن صلاحیتوں میں مہارت حاصل کرنے کی ضرورت ہے وہ ہیں:

• اسمارٹ کنٹریکٹ سیکیورٹی تجزیہ اور فرانزکس
• آن چین فنڈ ٹرانسفرز کا تجزیہ اور فرانزک
• ویب سیکیورٹی تجزیہ اور فرانزک
• لینکس سرور سیکیورٹی تجزیہ اور فرانزکس
• ونڈوز سیکیورٹی تجزیہ اور فرانزکس
• میک او ایس سیکیورٹی تجزیہ اور فرانزکس
• موبائل سیکیورٹی تجزیہ اور فرانزک
• بدنیتی پر مبنی کوڈ کا تجزیہ اور فرانزک
• نیٹ ورک ڈیوائسز یا پلیٹ فارمز کا سیکیورٹی تجزیہ اور فرانزک
• اندرونی سیکیورٹی تجزیہ اور فرانزک
• …

یہ سیکورٹی کے تقریباً ہر پہلو کا احاطہ کرتا ہے اور اسی طرح یہ ہینڈ بک بھی۔ تاہم، ان حفاظتی نکات کا مختصراً یہاں تعارفی گائیڈ کے طور پر ذکر کیا گیا ہے۔

غلط فہمی

شروع سے ہی، یہ ہینڈ بک آپ کو شک میں رہنے کو کہتی ہے! اس میں وہ سب کچھ شامل ہے جس کا یہاں ذکر کیا گیا ہے۔ یہ ایک انتہائی متحرک اور امید افزا صنعت ہے، جو ہر قسم کے جال اور افراتفری سے بھری ہوئی ہے۔ آئیے یہاں کچھ غلط فہمیوں پر ایک نظر ڈالتے ہیں، جنہیں اگر سچ مان لیا جائے تو آپ آسانی سے پھنس سکتے ہیں اور خود انتشار کا حصہ بن سکتے ہیں۔

ضابطہ قانون ہے۔

ضابطہ قانون ہے۔ تاہم، جب کوئی پروجیکٹ (خاص طور پر سمارٹ کنٹریکٹ سے متعلق) ہیک یا ناہموار ہوجاتا ہے، تو کوئی بھی شکار کبھی بھی "کوڈ از قانون" کی خواہش نہیں کرے گا، اور یہ پتہ چلتا ہے کہ انہیں حقیقی دنیا میں قانون پر بھروسہ کرنے کی ضرورت ہے۔

آپ کی چابیاں نہیں، آپ کے سکے نہیں۔

اگر آپ کے پاس اپنی چابیاں نہیں ہیں، تو آپ اپنے سکے کے مالک نہیں ہیں۔ درحقیقت، بہت سے صارفین اپنی ذاتی کلیدوں کا صحیح طریقے سے انتظام کرنے میں ناکام رہے۔ سیکورٹی کے مختلف طریقوں کی وجہ سے وہ اپنے کرپٹو اثاثوں سے بھی محروم ہو جاتے ہیں۔ کبھی کبھی آپ کو معلوم ہوگا کہ اپنے کریپٹو اثاثے کو بڑے اور معروف پلیٹ فارمز میں رکھنا درحقیقت زیادہ محفوظ ہے۔

بلاکچین میں ہمیں بھروسہ ہے۔

ہمیں اس پر بھروسہ ہے کیونکہ یہ بلاکچین ہے۔ درحقیقت، بلاکچین خود اعتماد کے بہت سے بنیادی مسائل کو حل کرنے کی صلاحیت رکھتا ہے، کیونکہ یہ چھیڑ چھاڑ، سنسرشپ کے خلاف مزاحمت، وغیرہ ہے۔ اگر میرا اثاثہ اور متعلقہ سرگرمیاں سلسلہ میں ہیں، تو میں بطور ڈیفالٹ بھروسہ کر سکتا ہوں کہ کوئی اور میرا اثاثہ نہیں لے سکے گا یا اجازت کے بغیر میری سرگرمی سے چھیڑ چھاڑ نہیں کر سکے گا۔ تاہم حقیقت اکثر تلخ ہوتی ہے، اول تو ہر بلاکچین ان بنیادی نکات کو حاصل کرنے کے قابل نہیں ہوتا، اور دوم انسانی فطرت ہمیشہ کمزور ترین کڑی بن جاتی ہے۔ آج کل ہیکنگ کی بہت سی تکنیکیں ہم میں سے اکثر کے تصور سے باہر ہیں۔ اگرچہ ہم ہمیشہ کہتے ہیں کہ حملہ اور دفاع لاگت اور اثر کے درمیان توازن ہے، جب آپ کے پاس کوئی بڑا اثاثہ نہیں ہے تو کوئی بھی ہیکر آپ کو نشانہ بنانے میں وقت ضائع نہیں کرے گا۔ لیکن جب آپ جیسے متعدد اہداف ہوں تو ہیکرز کے لیے حملہ کرنا بہت فائدہ مند ہوگا۔

میرا حفاظتی مشورہ بہت آسان ہے: ڈیفالٹ کے ذریعے عدم اعتماد (یعنی، ہر چیز پر بطور ڈیفالٹ سوال کریں)، اور مسلسل تصدیق کریں۔ تصدیق یہاں کلیدی حفاظتی کارروائی ہے، اور مسلسل توثیق کا بنیادی طور پر مطلب یہ ہے کہ سیکیورٹی کبھی بھی جامد حالت میں نہیں رہتی ہے، یہ اب محفوظ ہے اس کا مطلب یہ نہیں ہے کہ یہ کل محفوظ ہے۔ مناسب طریقے سے تصدیق کرنے کی صلاحیت ہم سب کے لیے سب سے بڑا چیلنج ہے، لیکن یہ کافی دلچسپ ہے، کیونکہ اس عمل میں آپ کو کافی علم حاصل ہو جائے گا۔ جب آپ کافی مضبوط ہوتے ہیں تو کوئی بھی آپ کو آسانی سے نقصان نہیں پہنچا سکتا۔

کرپٹوگرافک سیکیورٹی سیکیورٹی ہے۔

خفیہ نگاری طاقتور اور اہم ہے۔ کرپٹوگرافروں کی تمام محنت، تمام ٹھوس کرپٹوگرافک الگورتھم اور انجینئرنگ کے نفاذ کے بغیر، کوئی جدید مواصلاتی ٹیکنالوجی، انٹرنیٹ، یا بلاک چین ٹیکنالوجی نہیں ہوگی۔ تاہم، کچھ افراد کرپٹوگرافک سیکیورٹی کو مکمل سیکیورٹی سمجھتے ہیں۔ اور اس طرح عجیب و غریب سوالات کا ایک گروپ پیدا ہوتا ہے:

کیا بلاک چین اتنا محفوظ نہیں ہے کہ ایک نجی کلید کو توڑنے میں کھربوں سال لگ گئے؟ ایف بی آئی ڈارک ویب بٹ کوائن کو ڈکرپٹ کیسے کر سکتا ہے؟ زمین پر جے چو کا NFT کیوں چوری ہو سکتا ہے؟

میں ان نئے سوالات کو برداشت کر سکتا ہوں… جو بات میں برداشت نہیں کر سکتا وہ یہ ہے کہ بہت سے نام نہاد سیکیورٹی پروفیشنلز عوام کو بیوقوف بنانے کے لیے خفیہ حفاظتی تصورات کا استعمال کرتے ہیں، وہ ملٹری گریڈ انکرپشن، دنیا کی بہترین انکرپشن، کاسمک جیسی اصطلاحات کا ذکر کر رہے ہیں۔ -سطح کی خفیہ کاری، مکمل نظام کی حفاظت، غیر ہیکیبلٹی، وغیرہ۔

ہیکرز؟ وہ کچھ نہیں دیتے…

کیا ہیک ہونا ذلت آمیز ہے؟

یہ سچ ہے کہ ہیک ہونے سے ملے جلے احساسات پیدا ہو سکتے ہیں، اور بعض اوقات شرمندگی کا احساس بھی ہوتا ہے۔ لیکن آپ کو یہ سمجھنے کی ضرورت ہے کہ ہیک ہونا تقریباً 100% کی ضمانت ہے لہذا شرمندہ ہونے کی کوئی بات نہیں ہے۔

ایک بار ہیک ہو جانے کے بعد، اس سے کوئی فرق نہیں پڑتا کہ آپ صرف اپنے لیے ذمہ دار ہیں۔ تاہم، اگر آپ بہت سے دوسرے لوگوں کے لیے ذمہ دار ہیں، تو آپ کو اس واقعے سے نمٹتے وقت شفاف اور کھلا ہونا چاہیے۔

اگرچہ لوگ سوال کر سکتے ہیں یا آپ پر خود ہی ہیک کرنے کا الزام لگا سکتے ہیں، لیکن ایک شفاف اور کھلا اپ ڈیٹ شدہ عمل ہمیشہ اچھی قسمت اور سمجھ کا باعث بنے گا۔

اس کے بارے میں اس طرح سوچیں: اگر آپ کا پروجیکٹ معروف نہیں ہے تو کوئی بھی آپ کو ہیک نہیں کرے گا۔ شرم کی بات ہے ہیک نہیں ہو رہی۔ شرم تمہاری تکبر ہے.

امکانی نقطہ نظر سے، ہیک ہونا ایک عام رجحان ہے، عام طور پر، سیکیورٹی کے زیادہ تر مسائل صرف چھوٹے مسائل ہوتے ہیں، جو آپ کے پروجیکٹ کو بڑھنے میں مدد دے سکتے ہیں۔ تاہم، شدید بڑی پریشانیوں سے حتی الامکان بچنا ہے۔

فوری طور پر اپ ڈیٹ کریں۔

کئی بار یہ ہینڈ بک اپ ڈیٹ کرنے پر توجہ دینے کا مشورہ دیتی ہے۔ اگر کوئی سیکیورٹی اپ ڈیٹ دستیاب ہے تو اسے فوری طور پر لاگو کریں۔ اب غور سے سوچیں، کیا یہ چاندی کی گولی ہے؟

دراصل، زیادہ تر معاملات میں، "ابھی اپ ڈیٹ" کرنا صحیح کام ہے۔ تاہم، تاریخ میں ایسے وقت بھی آئے ہیں جب ایک اپ ڈیٹ ایک مسئلہ حل کرتا ہے لیکن دوسرا متعارف کراتا ہے۔ ایک مثال iPhone اور Google Authenticator ہے:

آئی او ایس 15 کی نئی اپڈیٹ کا خطرہ ہے، یعنی آئی فون اپ گریڈ کرنے کے بعد گوگل آتھنٹیکیٹر میں موجود معلومات کو مٹا یا دگنا ہو سکتا ہے۔ اس صورت میں، ڈپلیکیٹ اندراجات کو کبھی بھی حذف نہ کریں اگر آپ کو معلوم ہوتا ہے کہ وہ دگنی ہو گئی ہیں، کیونکہ یہ دوبارہ کھولنے کے بعد Google Authenticator میں موجود تمام معلومات کے ضائع ہونے کا سبب بن سکتا ہے۔

ان لوگوں کے لیے جنہوں نے iOS 15 سسٹم میں اپ گریڈ نہیں کیا ہے اور وہ Google Authenticator استعمال کر رہے ہیں، ان کے لیے انتہائی سفارش کی جاتی ہے کہ اپ گریڈ کرنے سے پہلے اس کا بیک اپ لیں۔

بعد میں، گوگل نے اس مسئلے کو مستقل طور پر حل کرتے ہوئے Authenticator ایپ کو اپ ڈیٹ کر دیا ہے۔

اس کے علاوہ، میں بٹوے کو بار بار اپ ڈیٹ کرنے کی سفارش نہیں کرتا ہوں، خاص طور پر اثاثے والے پرس کے لیے، جب تک کہ کوئی بڑا سیکیورٹی پیچ، یا کوئی بہت اہم خصوصیت نہ ہو جو ناگزیر اپ ڈیٹ کی طرف لے جائے۔ ان صورتوں میں آپ کو اپنے خطرے کی تشخیص خود کرنی ہوگی اور اپنا فیصلہ خود کرنا ہوگا۔

نتیجہ

Recall that this handbook starts with this diagram 🙂

کیا آپ نے دیکھا ہے کہ میں نے خاکے میں شخص کو سرخ رنگ میں نشان زد کیا ہے؟، میں ایسا سب کو دوبارہ یاد دلانے کے لیے کرتا ہوں کہ انسان سب کی بنیاد ہیں (جسے کاسمولوجی میں "انسانی اصول" کہا جاتا ہے)۔ اس سے کوئی فرق نہیں پڑتا ہے کہ یہ انسانی فطرت کی حفاظت ہے، یا حفاظتی مہارتوں میں مہارت حاصل کرنے کی صلاحیت، یہ سب آپ پر منحصر ہے۔ جی ہاں، جب آپ کافی مضبوط ہوتے ہیں، تو کوئی بھی آپ کو آسانی سے نقصان نہیں پہنچا سکتا۔

میں نے خاکے کی بنیاد پر توسیع کرنا شروع کی، اور تینوں عمل میں بہت سے حفاظتی کلیدی نکات کی وضاحت کی، والیٹ بنانا، والیٹ کا بیک اپ لینا اور بٹوے کا استعمال۔ پھر میں نے روایتی رازداری کا تحفظ متعارف کرایا۔ میں نے کہا کہ اس طرح کے روایتی چیزیں ہمارے لیے بلاک چین ماحولیاتی نظام میں محفوظ رہنے کے لیے بنیاد اور تعمیراتی بلاکس ہیں۔ انسانی فطرت کے تحفظ کے حصے کو اوور ڈریس نہیں کیا جا سکتا۔ برائی کرنے کے مختلف طریقوں کے بارے میں مزید سمجھنا اچھا ہے، خاص طور پر اگر آپ چند گڑھوں میں قدم رکھتے ہیں، تو کاغذ پر موجود حفاظتی بیداری بالآخر آپ کا سیکیورٹی تجربہ بن سکتی ہے۔ کوئی مکمل سیکورٹی نہیں ہے، لہذا میں نے وضاحت کی کہ جب آپ کو ہیک کیا جائے تو کیا کرنا ہے. میں نہیں چاہتا کہ آپ کے ساتھ کوئی ناخوشگوار واقعہ پیش آئے، لیکن ایسا ہونے کی صورت میں، مجھے امید ہے کہ یہ کتابچہ آپ کی مدد کر سکتا ہے۔ آخری بات کچھ غلط فہمیوں پر بات کرنا ہے۔ میرا ارادہ بہت سادہ ہے، مجھے امید ہے کہ آپ اپنی تنقیدی سوچ کو استوار کر سکتے ہیں، کیونکہ دنیا خوبصورت بھی ہے اور خوفناک بھی۔

میں نے بہت دنوں سے اتنے الفاظ نہیں لکھے۔ میرے خیال میں آخری بار 10 سال پہلے تھا جب میں نے کتاب لکھی تھی۔ویب 前端黑客技术揭秘" یہ کافی کڑوا تھا۔ ویب سیکیورٹی کے ساتھ ساتھ سائبر سیکیورٹی میں کئی سالوں کے بعد، میں نے سائبر اسپیس سرچ انجن ZoomEye بنانے کے لیے ایک ٹیم کی قیادت کی۔ سائبرسیکیوریٹی کے اندر، میں نے بہت سے شعبوں میں کام کیا ہے، جن میں سے صرف چند ہی میں کہہ سکتا ہوں کہ میں ماہر ہوں۔

اب بلاک چین سیکیورٹی میں، SlowMist اور مجھے علمبردار سمجھا جاتا ہے۔ ان سالوں میں ہم نے بہت سارے معاملات کا سامنا کیا ہے کہ آپ تقریبا سوچ سکتے ہیں کہ ہم ہر ایک دن ٹرانس کی حالت میں ہیں۔ یہ افسوس کی بات ہے کہ بہت سی بصیرتیں ریکارڈ اور شیئر نہیں کی جاتی ہیں۔ اور نتیجتاً کئی دوستوں کے زور پر یہ کتابچہ پیدا ہوا۔

جب آپ اس ہینڈ بک کو پڑھ چکے ہیں، تو آپ کو مشق کرنا چاہیے، ماہر بننا چاہیے اور اندازہ لگانا چاہیے۔ جب بعد میں آپ کی اپنی دریافت یا تجربہ ہوگا، مجھے امید ہے کہ آپ اپنا حصہ ڈالیں گے۔ اگر آپ محسوس کرتے ہیں کہ حساس معلومات ہیں تو آپ ان کو چھپا سکتے ہیں، یا معلومات کو گمنام کر سکتے ہیں۔

آخر میں، سلامتی اور رازداری سے متعلق قانون سازی اور نفاذ کی عالمی پختگی کی بدولت؛ تمام اہم کرپٹوگرافرز، انجینئرز، اخلاقی ہیکرز اور ایک بہتر دنیا کی تخلیق میں شامل تمام افراد کی کوششوں کا شکریہ، جس میں ساتوشی ناکاموتو بھی شامل ہیں۔

اپینڈکس

حفاظتی اصول اور اصول

اس ہینڈ بک میں ذکر کردہ حفاظتی اصولوں اور اصولوں کا خلاصہ درج ذیل ہے۔ مندرجہ بالا متن میں کافی کچھ اصول شامل کیے جا رہے ہیں اور انہیں یہاں خاص طور پر بہتر نہیں کیا جائے گا۔

دو اہم حفاظتی اصول:

• صفر اعتماد. اسے آسان بنانے کے لیے، شک میں رہیں، اور ہمیشہ ایسے ہی رہیں۔
• مسلسل توثیق. کسی چیز پر بھروسہ کرنے کے لیے، آپ کو جس چیز پر شک ہے اس کی توثیق کرنی ہوگی، اور توثیق کرنے کی عادت بنانا ہوگی۔

سلامتی کے اصول:

• انٹرنیٹ سے تمام معلومات کے لیے، کم از کم دو ذرائع سے رجوع کریں، ایک دوسرے کی تصدیق کریں، اور ہمیشہ شک میں رہیں۔
• الگ کرنا۔ تمام انڈے ایک ٹوکری میں مت ڈالیں۔
• اہم اثاثوں والے بٹوے کے لیے، غیر ضروری اپ ڈیٹس نہ کریں۔
• آپ جو دیکھتے ہیں وہی آپ دستخط کرتے ہیں۔ آپ کو اس بات سے آگاہ ہونے کی ضرورت ہے کہ آپ کس چیز پر دستخط کر رہے ہیں، اور دستخط شدہ لین دین کے بھیجے جانے کے بعد متوقع نتیجہ کے بارے میں۔ ایسے کام نہ کریں جس سے آپ کو بعد میں پچھتانا پڑے۔
• سسٹم سیکیورٹی اپ ڈیٹس پر توجہ دیں۔ جیسے ہی وہ دستیاب ہوں ان کا اطلاق کریں۔
• پروگراموں کو لاپرواہی سے ڈاؤن لوڈ اور انسٹال نہ کریں درحقیقت زیادہ تر خطرات کو روک سکتے ہیں۔

تعاون کرنے والے

تعاون کرنے والوں کا شکریہ، اس فہرست کو مسلسل اپ ڈیٹ کیا جائے گا اور مجھے امید ہے کہ اگر اس ہینڈ بک کے لیے کوئی آئیڈیا ہے تو آپ مجھ سے رابطہ کر سکتے ہیں۔

کیونکہ، ٹویٹر(@evilcos)、即刻(@余弦.jpg)

تعاون کرنے والے

میری بیوی SlowMist، Twitter (@SlowMist_Team)، جیسے Pds, Johan, Kong, Kirk, Thinking, Blue, Lisa, Keywolf... Jike app کچھ گمنام دوست... مزید: https://darkhandbook.io/contributors.html

اگر آپ کا تعاون اس ہینڈ بک میں شامل کرنے کے لیے قبول کر لیا جاتا ہے، تو آپ کو شراکت داروں کی فہرست میں شامل کر دیا جائے گا۔

مثال کے طور پر: فراہم کردہ مخصوص حفاظتی دفاعی تجاویز یا مقدمات؛ ترجمہ کے کام میں حصہ لیا؛ بڑی غلطیوں کو درست کیا، وغیرہ

سرکاری سائٹس

SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Sparrow Wallet https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ ٹرسٹ والیٹ https:// ://trustwallet.com/ Gnosis Safe https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ کی اسٹون https://keyst.one/ Trezor https://trezor.io/ Rabby https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ Phantom https: //phantom.app/ ٹورنیڈو کیش https://tornado.cash/ Binance https://www.binance.com/ Coinbase https://coinbase.com کمپاؤنڈ https://compound.finance/ SushiSwap https://www .sushi.com/ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ 即刻 https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ SURVEILLANCE SELF-DEFENSE https://ssd .eff.org/ پرائیویسی گائیڈ https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG Suite https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1Password https://1password.com/ Bitwarden https://bitwarden.com/ Google Authenticator https://support.google.com/accounts/answer/1066447 Microsoft Authenticator https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ Tutanota https://tutanota.com/ VMware ورک سٹیشن https://www.vmware.com/products/workstation- pro.html متوازی https://www.parallels.com/