ایک گلوبل، مقامی خریدیں: زیرو ڈے ایکسپلوئٹ مارکیٹ کی ناکاریاں
کچھ سال پہلے، "BuggiCorp" کے نام سے مشہور ایک ہیکر نے ایک ناقابل یقین حد تک طاقتور صفر دن کے استحصال کو روس کے زیر زمین فورم پر فروخت کے لیے پیش کیا جسے exploit.in کہتے ہیں۔ زیرو ڈے وہ کارنامے ہیں جو پہلے سے نامعلوم سافٹ ویئر کی کمزوری کو ظاہر کرتے ہیں اور اس طرح، خاص طور پر ان گروپوں یا افراد کے لیے طاقتور ہو سکتے ہیں جو کمپیوٹر سسٹم تک رسائی حاصل کرنا یا بڑھانا چاہتے ہیں۔ BuggiCorp کے مطابق، فروخت پر استحصال شدہ کمزوری "کرہ ارض پر تقریباً تمام ونڈوز مشینوں کو متاثر کر سکتی ہے۔" BuggiCorp، دوسرے لفظوں میں، ہیکر بادشاہی کی چابیاں پیش کر رہی تھی۔ یہ پہلی بار نہیں ہے کہ ان طاقتور کارناموں کی عوامی سطح پر تشہیر کی گئی ہو۔ صفر دنوں کے بازار کو پھلتا پھولتا، عالمی اور ہمیشہ سے موجود کہا جاتا ہے۔ وہ "سیکیورٹی تجارت کے خون کے ہیرے ہیں،" نکول پرلروتھ لکھتی ہیں، "ایک طرف قومی ریاستوں، دفاعی ٹھیکیداروں، اور سائبر کرائمینلز کے ذریعے تعاقب کیا جاتا ہے، اور دوسری طرف سیکورٹی کے محافظ۔" ڈیوڈ سینگر کے مطابق، "فورٹ میڈ کے مضافات سے لے کر سلیکن ویلی تک بہت سی فرمیں … 'زیرو ڈے' خامیوں کی تلاش—یا خفیہ طور پر خریداری کرتی ہیں۔" 2013 میں، نیشنل سیکیورٹی ایجنسی کے پاس زیرو ڈے کی خریداری کے لیے $25 ملین سے زیادہ کا بجٹ تھا، ایک اندرونی بجٹ دستاویز میں جسے "سافٹ ویئر کی کمزوریوں کی خفیہ خریداری" کہا جاتا ہے۔ والٹ 7 لیکس میں سی آئی اے سے مبینہ طور پر چوری شدہ دستاویزات سے پتہ چلتا ہے کہ اس وقت ایجنسی کی ملکیت ایپل کے iOS کے 14 کارناموں میں سے چار خریدے گئے تھے۔ لیکن بڑھتی ہوئی مارکیٹ موثر سے بہت دور ہے۔ دو ٹوک الفاظ میں، صفر دن کی مارکیٹ مارکیٹ کی ناکامی کا انتہائی خطرہ ہے۔ مارکیٹ میں فروخت کنندگان اور خریداروں کے درمیان معلومات کی بڑی مطابقت پائی جاتی ہے، اور فروخت سے پہلے استحصال کے معیار کو ظاہر کرنا اکثر مشکل ہوتا ہے۔ یہ اکثر فروخت کو روکتا ہے۔ اس کے علاوہ، فروخت ہونے والے استحصال پر زیادہ سے زیادہ معلومات اور کنٹرول حاصل کرنے کے لیے، خریداروں کے مقامی خریدنے اور بیچنے والوں کے صرف ایک منتخب گروپ کے پاس جانے کا امکان بہت زیادہ ہوتا ہے جو اکثر محسوس ہوتا ہے۔ مارکیٹ برائے لیموں جارج اکرلوف نے اپنی تحقیق کے لیے نوبل انعام جیتا ہے جس میں بتایا گیا ہے کہ کس طرح معلومات کی ہم آہنگی مارکیٹوں میں منفی انتخاب کا باعث بن سکتی ہے۔ جب کار خریداروں کے پاس نامکمل معلومات ہوتی ہیں — گاڑی کے نرالا اور مسائل کے بارے میں اتنا نہیں جانتے جتنا کہ بیچنے والے کے پاس جو تھوڑی دیر کے لیے کار کا مالک ہے — کم معیار کی کاریں ("لیموں") بیچنے والے اپنی طرف سے ہر ایک کو باہر نکال سکتے ہیں۔ مارکیٹ، باہمی فائدہ مند لین دین کو روکنا۔ اگر خریدار اچھی کار اور لیموں کے درمیان فرق بتانے سے قاصر ہے، تو وہ اعلیٰ درجے کی قیمتیں ادا کرنے کو تیار نہیں ہے۔ اس کا مطلب یہ ہے کہ قیمت اس سے کم ہوگی جس کے بیچنے والے اعلیٰ معیار کی کاروں کو فروخت کرنے کے لیے تیار ہوں گے، اور انہیں بازار سے باہر نکال دیں گے۔
زیرو ڈے ایکسپلائیٹ مارکیٹ ایک ایسی مارکیٹ ہے جس میں انتہائی معلومات کی مطابقت نہیں ہے۔ بیچنے والے کے پاس اس بارے میں بہت زیادہ معلومات ہیں کہ آیا یہ استحصال دراصل کام کر رہا ہے۔ بازار بھی لیموں سے بھر گیا ہے۔ پیش کردہ بہت سے کارنامے فروخت کنندگان کی ابتدائی رپورٹ کے مقابلے میں بہت کم قابل اعتماد ہیں۔ اس کے علاوہ، استحصال کا خریدار ہمیشہ اس قابل نہیں ہوتا ہے کہ استحصال کو خریدنے سے پہلے اس کی جانچ کر سکے، کیونکہ ایک بار خریدار کو "ٹیسٹنگ" کے لیے دی جانے پر معاشی قدر ختم ہو جائے گی۔ یہ ساختی سیٹ اپ فائدہ مند صفر دن کے لین دین کو بھی مشکل بنا دیتا ہے۔ مہنگے سگنلز مائیکل اسپینس نے نوبل انعام اکرلوف کے ساتھ اس کی وضاحت کے لیے شیئر کیا کہ ایجنٹ "لیموں کی منڈی" کی صورت حال کے اثرات کا مقابلہ کرنے کے لیے سگنلنگ کا استعمال کر سکتے ہیں، بصورت دیگر "منفی انتخاب" کے نام سے جانا جاتا ہے۔ اس غیر متناسب معلومات کے سیاق و سباق میں، سگنلنگ سے مراد وہ قابل مشاہدہ اقدامات ہیں جو اداکاروں کی طرف سے دوسرے فریق کو ان کی مصنوعات یا خدمات کی قدر کے بارے میں قائل کرنے کے لیے کیے جاتے ہیں۔ Spence کی طرف سے تیار کردہ ایک اہم بصیرت یہ ہے کہ سگنلنگ صرف اس صورت میں کامیاب ہو سکتی ہے جب سگنلنگ کی لاگت "بھیجنے والوں" میں مختلف ہو۔ ایک مثال کے طور پر، Spence فرض کرتا ہے کہ دو قسم کے کارکن ہیں، دونوں نوکری کی تلاش میں ہیں۔ ایک کارکن دوسرے سے زیادہ پیداواری صلاحیت رکھتا ہے۔ مسئلہ یہ ہے کہ آجر دو کارکنوں میں فرق نہیں کر سکتا اور اس طرح وہ اوسط اجرت پیش کرے گا (جیسے استعمال شدہ کاروں کا بازار)۔ تاہم، زیادہ پیداواری کارکن نمایاں ہونے کے لیے کچھ کر سکتا ہے۔ وہ، مثال کے طور پر، اپنی قابلیت کا اشارہ دینے کے لیے تعلیمی ڈگری حاصل کر سکتی ہے۔ لیکن کم پیداواری امیدوار کو بھی وہی تعلیم حاصل کرنے سے کیا روکے گا؟ اسپینس نوٹ کرتا ہے کہ سگنل کے قابل اعتماد ہونے کے لیے کم پیداواری کارکن کے لیے ڈگری حاصل کرنے کی قیمت زیادہ ہونی چاہیے۔ یہ معاملہ ہو سکتا ہے، مثال کے طور پر، اگر کم پیداواری کارکن کو اپنی تعلیم مکمل کرنے میں زیادہ وقت لگتا ہے۔ اس کے بعد اسے ڈگری حاصل کرنا غیر منافع بخش لگے گا تاکہ صرف ہائرنگ فرم کو یہ باور کرایا جا سکے کہ وہ واقعی اس سے زیادہ قابل ہے۔ یہ ایک ایسا رویہ ہے جو ایکسپلائٹ سیل مارکیٹ میں ہوتا ہے۔ مثال کے طور پر، BuggiCorp نے یہ ثابت کرنے کے لیے دو ویڈیوز شامل کیں کہ وہ جو استحصال فروخت کر رہی تھی وہ کام کر رہی تھی۔ سمجھے جانے والے طاقتور استحصال کو فروخت کرنے کی کوشش میں، BuggiCorp نے اس ڈیل کو ویب سائٹ کے ایڈمنسٹریٹر سے بطور ایسکرو جانے کے لیے کہا۔ اس کا مطلب ہے کہ ویب سائٹ کا منتظم تیسرے فریق کے طور پر کام کرتا ہے اور BuggiCorp کو رقم صرف اسی صورت میں منتقل کرتا ہے جب خریدار پروڈکٹ سے مطمئن ہو۔ اس کے باوجود یہ حقیقت کہ بیچنے والے نے ایکسپلائیٹ کی طویل مدت تک تشہیر کرنے کے بعد قیمت کو $95,000 سے کم کر کے $90,000 کر دیا ہے اس سے پتہ چلتا ہے کہ دیگر فریقوں کو استحصال خریدنے کے لیے قائل کرنے کے لیے سگنلنگ ناکافی تھی۔ درحقیقت، $95,000 کی قیمت پہلے ہی ایک قابل اعتماد استحصال کے لیے کم ہے جو Microsoft Windows کے تمام ورژنز کو متاثر کر سکتی ہے۔ Coordinated Vulnerability Disclosure (CVD) کے اصول کے تحت، محققین کے پاس اکثر یہ اختیار ہوتا ہے کہ وہ نئی دریافت شدہ کمزوریوں کو وینڈرز یا دوسرے کوآرڈینیٹر (اسے کسی ایسے ادارے کو فروخت کرنے کے بجائے جو ہیکنگ کے مقاصد کے لیے استحصال کو استعمال کرنا چاہتی ہے) کے سامنے ظاہر کریں۔ CVD کے ذریعے، مائیکروسافٹ نے جولائی 2020 اور جون 2021 کے درمیان 341 محققین کو $13.6 ملین انعامات کی ادائیگی کی ہے۔ جیسا کہ کریبس آن سیکیورٹی بھی بتاتا ہے، مائیکروسافٹ بہت زیادہ پابندی لگاتا ہے کہ کون سی کمزوریاں بگ باؤنٹی کے لیے اہل ہیں، لیکن اس خطرے کا انعام جو EMET کو مکمل طور پر نظرانداز کر سکتا ہے $100,000 ہے۔ یہ $10,000 اس سے زیادہ ہے جو BuggiCorp اپنے صفر دن کے لیے مانگ رہی ہے۔ دوسرے الفاظ میں، اگر BuggiCorp کا استحصال صحیح معنوں میں کام کر رہا تھا، تو اسے اس ویب سائٹ پر بیچنے کی کوشش کیوں کی جائے اور براہ راست مائیکرو سافٹ کے پاس نہ جائے؟ مزید منتخب کریں، مقامی فروخت کنندگان صفر دن کے استحصال کے لیے مارکیٹ میں معلومات کی ہم آہنگی اعتماد کو استحصال کی فروخت کی ایک اہم جہت بناتی ہے اور مارکیٹ کو علاقائی بناتی ہے۔ سب سے پہلے، حکومتیں ترجیحی فروخت کنندگان کے انتہائی منتخب گروپ سے، اگر وہ بالکل بھی خریدتی ہیں، خریدنے کا رجحان رکھتی ہیں۔ مثال کے طور پر، امریکی حکومت امریکہ میں مقیم بڑے دفاعی ٹھیکیداروں سے اپنے کارناموں کو خریدتی ہے۔
0 Response to "ایک گلوبل، مقامی خریدیں: زیرو ڈے ایکسپلوئٹ مارکیٹ کی ناکاریاں"
Post a Comment