خبریں

بٹکوئن ایکسچینج ہیکنگز کے بیمار ہوا - بٹین، بارس شرم (حصہ 2)

بلاکسین ٹیکنالوجی اب ارتقاء کے ایک مرحلے میں بیٹھا ہے جو 1990 کے دہائی میں انٹرنیٹ کے کسی بھی طرح سے ہے؛ کوئی بھی لاکھوں ڈالر کا سرمایہ نظر انداز نہیں کرسکتا، بڑا مرچنٹ گودام اور بٹکوئن اور بلاچین ٹیکنالوجی کی طرف سے حوصلہ افزائی کی بڑی تعداد. تاہم، معیاری سیکورٹی ماڈلوں کی کمی نے آج کے بیشتر ایکسچینج اور کاروباری اداروں کو حملوں کو روکنے کے لئے کمزور پیشکش کی ہے، خاص طور پر جب بنیادی سیکورٹی اقدامات نظر آتے ہیں.

اس ناگزیر اور سیکورٹی کے معاملات سے متعلق متنوع ہینڈلنگ نے کئی سیکورٹی کے خلاف ورزیوں کو بے نقاب کیا ہے جس میں کئی بڑے بکٹکین ایکسچینج اور کاروباری اداروں (اس آرٹیکل کا حصہ 1 دیکھیں) پر حملہ کیا گیا ہے. اس کے مطابق، ہم سب سے بہتر سیکیورٹی معیاروں کو دیکھیں گے جو ہیک حملوں، چوری، دھوکہ دہی اور سیکورٹی کے خلاف ورزیوں کے دوسرے فارموں سے ہٹانے سے بچنے کے تبادلے اور آن لائن کاروباری اداروں کے دیگر اقسام کے ذریعہ اپنایا جانا چاہئے.

کرکٹ اکسیسی سیکورٹی معیارات

دنیا میں ہر مالیاتی ادارے اس کے جسمانی اور ڈیجیٹل اثاثے سمیت بینکوں، بروکرز، ادائیگی کے پروسیسرز اور ای کامرس کے کاروباری اداروں کے تحفظ کے لئے خصوصی سیکورٹی معیار رکھتے ہیں. بدقسمتی سے، بلاکسین ٹیکنالوجی پر اعتماد بکٹکو ایکسچینجوں اور آن لائن کاروباری اداروں کے دیگر اقسام کے لئے کوئی باقاعدگی سے سیکورٹی معیار تیار نہیں کیے گئے ہیں.

میں نے کچھ تحقیقی کام کرنے کے بعد، ایک مرحلہ وار گائیڈ تیار کیا ہے جسے مستقبل کے کرپٹیوورسیسی معیاروں کے لئے نیوکلینس کی نمائندگی کر سکتا ہے جو چوری اور دھوکہ دہی کے خلاف آن لائن کرپٹروسور کاروبار کو مستحکم کرسکتا ہے.

Cryptocurrency سیکورٹی کے معیاروں کو مجموعی طور پر مندرجہ ذیل نکات میں خلاصہ کیا جاسکتا ہے:

1 SSL اور DDoS تحفظ

2- محفوظ کلید / بیج نسل

3- محفوظ کلیدی اسٹوریج

4- محفوظ اکاؤنٹنگ لاگز

5- اسٹوریج کا ثبوت

6- سردی اسٹوریج

ایس ایس ایل سرٹیفکیٹ اور ڈی ڈی او ایس تحفظ:

ایس ایس ایل سرٹیفکیٹ اور ڈی ڈی او ایس تحفظ تحفظ آن لائن کاروباری اداروں کے لئے لازمی قابل اقدامات ہیں، بشمول cryptocurrency تبادلے.

ایس ایس ایل سرٹیفکیٹس کیا ہیں؟

محفوظ ساکٹ تہوں، یا ایس ایس ایل، سرٹیفکیٹ سیکورٹی پروٹوکول کے خاص شکل ہیں جو گاہک کے نام، ذاتی بینکنگ کی معلومات، رابطے کی معلومات (پتے، فون نمبر ... وغیرہ) اور اکاؤنٹس کے پاس ورڈز سمیت حساس معلومات کو منظم کرنے کے لئے استعمال کیے جاتے ہیں. ایس ایس ایل سرٹیفکیٹ ایک گاہک کے انٹرنیٹ براؤزر اور آن لائن کمپنی کے سرور کے درمیان ایک محفوظ خفیہ کردہ کنکشن تخلیق کرتا ہے جس کے ساتھ وہ بات چیت کررہا ہے. ایس ایس ایل سرٹیفکیٹ آن لائن کاروباری نوکوں کی وسیع صف کے لئے اہم ہیں جن میں cryptocurrency ایکسچینج، ای کامرس پورٹلز، فاریکس ٹریڈنگ پلیٹ فارم، بروکرج ... وغیرہ.

ایک ایس ایس ایل سرٹیفکیٹ کے ساتھ ویب سائٹ کا ایک وزیٹر، ایک "https" پروٹوکول کو نوٹس کریں گے. براؤزر کے ایڈریس بار، عام طور پر "http" پروٹوکول کے بجائے، "تال" تصویر کے ساتھ ساتھ ویب سائٹ کے ویب سائٹ کے سامنے ظاہر ہوتا ہے.

مجموعی طور پر، کسی بھی ویب سائٹ کو قبول کرنے کی ادائیگی، چاہے Fiat، Cryptos، یا کسی دوسری ڈیجیٹل کرنسی کی صورت میں، ایک ایس ایس ایل سرٹیفکیٹ کو نافذ کرنے کی ضرورت ہے. ادائیگی کارڈ صنعت (PCI) کے معیار کے مطابق، کریڈٹ کارڈ کی ادائیگی کو قبول کرنے کے لئے ایک ویب سائٹ کے لئے اسے کم از کم 128 بٹس کی خفیہ کاری کی کلیدی سائز کے ساتھ ایک ایس ایس ایل سرٹیفکیٹ نافذ کرنا ہوگا. اسی طرح، تبادلے اور دوسرے آن لائن کاروباری اداروں کو بھی تسلیم کرنا چاہئے جو ایک ہی راستہ کے ساتھ کرایہ پرورسیسی ادائیگی بھی کریں (1) .

ایس ایس ایل سرٹیفکیٹ کس طرح بکٹکین ایکسچینج کی سلامتی کو فروغ دے سکتا ہے؟ :

ایک ایس ایس ایل سرٹیفکیٹ ڈیٹا کو خفیہ بنا دیتا ہے تاکہ اس کا مقصد صرف جماعتوں کے ذریعہ پڑھ اور محفوظ ہوجائے. ڈیٹا منتقل ہونے والے پہلے سے طے کردہ منزل تک پہنچنے سے پہلے اکثر کمپیوٹرز / سرورز کے ذریعہ کئی بار ریلے کرتا ہے. زیادہ سے زیادہ "ریل" کی تعداد، ممکنہ طور پر کسی غیر متغیر تیسری پارٹی منتقل شدہ ڈیٹا تک رسائی حاصل کرسکتا ہے. ایس ایس ایل سرٹیفکیٹ بے ترتیب حروف کے اندراج کے ذریعہ ڈیٹا کو انکوائری کرتے ہیں جو مناسب خفیہ کاری کی کلید کے بغیر سمجھنے کے لۓ ناممکن اعداد و شمار کو محدود کرتا ہے. اس کے مطابق، جب بھی منتقلی کردہ اعداد و شمار سے انفرادی پارٹی کی طرف سے مداخلت کی جاتی ہے، تو یہ کبھی بھی قابل یا قابل نہیں ہوسکتا ہے.

DDoS حملے کیا ہیں؟

DDoS "خدمت کے حملے سے انکار کرنے میں مصیبت" کے لئے کھڑا ہے. یہ "سروس سے انکار" کے حملوں کا ایک ایسا ذریعہ ہے جس میں کسی ایسے گروہ کا تعلق ہوتا ہے جب عام طور پر ٹروجن سے تعلق رکھنے والی ایک گروہ، جس کے سرور سرور، ایک مشین یا اس کے صارفین کو دستیاب نہیں ہے.

عام طور پر، ہیکرز ایک ٹروجن کوڈ اور فورم، سماجی میڈیا، سپیم ای میل ... کے ذریعہ پھیلاتے ہیں. وغیرہ یہ ٹروجن ایک "ڈی ڈو" حملے کے ہدف ویب سائٹ پر بڑی تعداد میں صارف بھیجے گا. دوسری طرف، بعض اوقات صارفین اعلی طور پر ہائی پروفائل کمپنیوں کے خلاف ڈی ڈی او کے حملوں میں شرکت کرتے ہیں، خاص طور پر جب وہ سوچتے ہیں کہ ان کمپنیوں نے اس عمل کو مشق کرتے ہیں کہ وہ یقین کرتے ہیں کہ وہ غیر قانونی، غیر منصفانہ یا پریشان ہیں. یہ 2010 میں ہوا جب اس کمپنیوں نے وکی لیکس (2) کو اپنی خدمات کو کاٹنے کا فیصلہ کیا تھا جب بڑی کمپنیوں جیسے ویزا، ماسٹر کارڈ اور پے پال ڈی ڈی او ایس کے حملوں سے ہٹ گئے تھے.

ایک Bitcoin ایکسچینج پر ڈی ڈی او ایس حملہ کے نتائج:

تھوڑا سا بزنس ایکسچینج پر DDoS کے حملوں پر ثانوی اخراجات کی قیمت سختی ہوسکتی ہے، خاص طور پر نہ صرف آپریشنل اخراجات میں اضافہ، بلکہ آمدنی میں اضافہ ڈی ڈی او ایس کے حملوں پر اثر انداز ہونے کے نتیجے میں. مندرجہ ذیل ایک ڈیوائس حملے کے کریڈیوکوورسی ایکسچینج پر مالی اثرات کی نمائندگی کرتا ہے:

- ٹریڈنگ کی روک تھام جس میں عام طور پر غیر معمولی مارکیٹ کے پیٹرن کے بعد صارف کے خوف سے نظر آتی ہے.

- "مدد ڈیسک" کی طرف سے موصول ہونے والی ٹکٹوں میں اضافے کا بہاؤ جس سے اس کے اخراجات میں اضافہ ہوسکتا ہے.

- گاہکوں کی تعداد میں اضافہ "ڈراپ آؤٹ" اور رقم کی واپسی.

- ایکسچینج کی ساکھ کے خاتمے کو جو مجموعی کاروباری ترقی کو روکتا ہے.

ڈی ڈی او ڈیفنس:

اگرچہ DDoS دفاعی نظام ٹریڈنگ کے آپریشن کی حفاظت کر سکتی ہے جو کریٹریٹوروسیسی ایکسچینج کے ٹریڈنگ پلیٹ فارم پر ہوتی ہے، زیادہ سے زیادہ دستیاب ڈی ڈی ایس دفاعی نظام کے اعلی لاگت کا مطلب یہ ہے کہ ہر شخص کو ہمیشہ ڈی ڈی او ایس کے عمل کو لاگو کرنا ہوگا سرمایہ کاری پر واپسی کے خلاف تحفظ کی خدمات (ROI).

آج کا استعمال کرتے ہوئے زیادہ سے زیادہ دفاعی حکمت عملی کم سے کم پر مبنی ہیں اور ویب سائٹ کی طرف سے پیش کی جانے والی خدمات کی تائید کرتے ہیں. بلیک ہولڈنگ ڈی ڈی او دفاعی حکمت عملی ہے جس میں ویب سائٹ اور اس کے گاہکوں کو بچانے کی کوشش میں "ویب سوراخ" کو ری ڈائریکٹری کے ذریعہ ویب سائٹ پر ویب ویب ٹریفک کو روکنے میں مدد ملتی ہے. روٹرز ڈی ڈی او ایس حملے کے دوران، رسائی کنٹرول فہرستوں (ACLs) کو ناکام کرنے کے لئے "غیر معمولی ٹریفک" استعمال کرنے کے لئے استعمال کرتے ہیں. اگرچہ مسافروں کو سادہ DDOS حملوں کے خلاف ویب سائٹ ڈھال سکتی ہے، جیسے پنگ حملوں کے، وہ ڈی ڈی او کے حملوں کے سب سے زیادہ جدید ترین فارموں کے خلاف ایک ویب سائٹ کی حفاظت نہیں کر سکتے ہیں (3) .

کلید / بیج جنریشن کو محفوظ بنانے کے:

کرایے کراسکسیسی ایکسچینج کے اندر استعمال ہونے والی چابیاں اور بیجوں کی تخلیق ٹریڈنگ پلیٹ فارم کی سیکورٹی کی توثیق کرنے کے لئے ایک خفیہ کاری عمل ہونا چاہئے. یہ یقینی بنانے کے لئے یہ ضروری ہے کہ کسی بھی نئی پیدا شدہ چابیاں غیر منظم جماعتوں کی طرف سے فاسٹ نہیں کی جا سکتی. رازداری کی ضمانت دی جاسکتی ہے جب خفیہ کردہ چابیاں اور بیج صرف اس صارف کے ذریعہ پیدا ہوتے ہیں جو اسے استعمال کریں گے. A تعیناتی رینڈم بٹ جنریٹر (DRBG) ایک خفیہ الگورتھم ہے جس میں خفیہ کردہ چابیاں اور بیج پیدا ہو جائیں. متبادل طور پر، سچ بے ترتیب نمبر جنریٹر کے بارے میں بھی استعمال کیا جا سکتا ہے کہ یہ اعداد و شمار کے بے ترتیب کے لئے موجودہ صنعت کے معیار کے مطابق ہے.

کلیدی اسٹوریج کو محفوظ کرنا:

تبادلے پر مختلف cryptocurrency بٹوے کی نجی چابیاں کو محفوظ طریقے سے ذخیرہ کیا جانا چاہئے جب صارف ٹریڈنگ پلیٹ فارم پر فعال طور پر ان کا استعمال نہیں کر رہا ہے. نجی چابیاں کی خفیہیت کو لازمی طور پر انکوائری الگورتھم، جسمانی تالے اور خفیہ اشتراک کے استعمال کے ذریعے بڑھایا جانا چاہئے.

ایک خفیہ کاری الگورتھم کے استعمال سے زیر التواء نجی چابیاں کو انکوائری کرنا چاہئے جو متوقع مدت کے اندر متوقع گلوبل کمپیوٹنگ پاور x1000 کا استعمال کرتے ہوئے کلید ناممکن کی پیشکش کرے گی جس کے دوران کلید استعمال کی جائے گی. ای ای -256 ایک خفیہ کاری الگورتھم کا ایک مثال ہے جو اس طرح کے سیکورٹی کو فراہم کرسکتا ہے.

تخلیقی کریٹگرافک کی چابیاں (کم از کم ایک بیک اپ، کاغذ، ڈیجیٹل ... وغیرہ) بنائے جائیں. آگ، سیلاب اور دیگر اقسام کے قدرتی آفتوں سمیت مختلف ماحولیاتی خطرات کے خلاف بیک اپ محفوظ کیا جاسکتا ہے.

ریزرو کا ثبوت:

ریسکیو کا ثبوت ایکسچینج کی ویب سائٹ کی سکرپٹ کی صلاحیت کا ثبوت دیتا ہے جس میں ٹریڈنگ پلیٹ فارم کے تمام صارفین کی ملکیت کے 100 فیصد فنڈز کو سنبھالنے کے لۓ. ریزرو کا ثبوت تمام صارفین کو یقین دلاتا ہے کہ ان کے سکے اور فئیےٹ پیسہ ایکسچینج کے نظام کے لئے دستیاب ہے جس میں فنڈ کے نقصان کے خطرات کو کم کیا جاتا ہے. ریزرو کا ثبوت باقاعدگی سے مقرر شدہ ثبوت کے ریزرو کے آڈٹس کی تکمیل اور شائع کرنے کی حمایت کی جانی چاہیئے جو ایک آزاد تیسری پارٹی کے ذریعہ دستخط کئے جاتے ہیں.

سیکورٹی آڈٹ لاگ ان:

آڈٹ لاگ ان ٹریڈنگ پلیٹ فارم میں موجود تمام اطلاعاتی تبدیلیوں اور ٹرانزیکشن کا ریکارڈ فراہم کرتی ہے. جب بھی ایک سیکورٹی کی خلاف ورزی ہوتی ہے تو، آڈٹ لاگ ان لازمی اوزار ہیں جو اس طرح کے واقعات کو سنبھالنے اور اس کی نگرانی کرنے میں تحقیقات کرنے میں مدد کر سکتی ہیں.اس کے ذریعہ حاصل کیا جاسکتا ہے:

- جزوی آڈٹ لاگ ان : جس میں تبادلے کے ٹریڈنگ پلیٹ فارم میں تمام ذخائر اور اخراجات کا ریکارڈ شامل ہے.

- " تمام صارفین کے اعمال" آڈٹس : جس میں صارف کے اکاؤنٹس تک رسائی حاصل کرنے کے لئے استعمال ہونے والے تمام IP پتوں کے ریکارڈ کے ساتھ تمام لاگ ان اور لاگ آؤٹ کی کوشش کا ریکارڈ شامل ہے.

- مکمل آڈٹ بیک اپ : تمام اکاؤنٹس کو ایکسچینج (4) کے بجائے سرور کے علاوہ باقاعدگی سے بیک اپ کیا جانا چاہئے.

سرد اسٹوریج:

ٹھنڈ اسٹوریج بٹکوئن کی نجی چابیاں ذخیرہ کرنے کے عمل سے متعلق ہے، یا کسی دوسرے کرپٹوکریسی، آف لائن کاغذ بٹوے، جسمانی ہارڈ ڈرائیو کا استعمال کرتے ہوئے آف لائن وغیرہ وغیرہ. "ریزرو کا ثبوت"، اس صورت میں استعمال کیا جا سکتا ہے جب صارفین طویل عرصے سے بچت کے بچاؤ کے تبادلے کے بٹوے کا استعمال کریں گے. اس کے علاوہ غیر ٹریڈنگ کے گھنٹوں اور سرور کی بحالی کی مدت کے دوران ٹھنڈا اسٹوریج استعمال کرنا چاہئے.

ایک cryptocurrency تبادلہ کو ایک چیلنج کام ہے جو مسلسل جائزہ لیا اور جائزہ لیا جانا چاہئے. باقاعدگی سے دخول کی جانچ کرنا کسی بھی آن لائن کاروبار کی حفاظت کے مسلسل تشخیص کے عمل کا حصہ ہونا چاہئے جس میں کریٹروسکوسیسی شامل ہے. اخلاقی ہیکرز کی بھرتی جس میں بکٹکو کے بارے میں حوصلہ افزائی ہوسکتی ہے وہ محفوظ بٹکوین ایکسچینج کی انوینٹری میں قیمتی آلے کے طور پر کام کرسکتا ہے.

اختتامی:

گزشتہ 500 سالوں میں بلاچین ٹیکنالوجی سے زیادہ جدید مالیاتی تخلیق کی طرف سے ہے. یہ ایک جینیاتی تبدیلی کی طرح ہے جس کے باوجود زندہ رہیں گے کہ دنیا بھر میں تمام بڑے بڑے "مرکزی بینک" کو تباہ کرنے کی کوشش کریں گے. تاہم، سیکورٹی کے خلاف ورزیوں اور ہیکنگ حملوں نے ایک اہم خطرہ پیش کیا ہے جو "بٹکوئن معیشت" کے مستقبل کو دھمکی دے سکتی ہے. انٹرنیٹ سیکورٹی پروٹوکول، سب سے اوپر نشان خفیہ کاری الگورتھم، باقاعدگی سے رسائی کی جانچ اور بٹکوئن پرجوش، اخلاقی ہیکرز کو دنیا کی پسندیدہ غیر مہذب ڈیجیٹل کرنسی کو محفوظ بنانے میں مدد مل سکتی ہے.

حوالہ جات:

1- پی سی آئی سیکیورٹی معیار کونسل کے تاجروں کے لئے وسائل. // www. پیسیفیکچرسٹینڈڈ. org / تاجر / انڈیکس. پی ایچ پی

2- ماسٹرکارڈ، ویزا دیگروں نے وکی لیکس پر ڈی ڈی ایس کے حملہ سے مارا. کمپیوٹر. جکرم ویجا // www. computerworld. com / article / 2514804 / cybercrime-hacking / update-mastercard-visa-others-hit-by-ddos-attacks-over-wikileaks. ایچ ٹی ایم ایل

3- وائٹ پیپر: ڈی ڈی ایس حملوں کو ہٹانے. سسکو گارڈ ڈی ڈی ایس کمشنر آلات. // www. سسکو. com / c / en / us / products / collateral / security / traffic-anomaly-detector-xt-5600a / prod_white_paper0900aecd8011e927. HTML

4- کرپٹ اکسیسی سیکورٹی معیارات // www. سکریٹریڈ com / doc / 256083263 / CCSS-drafting proposal