سائنسدان کی ویل چیئر کی ہیکنگ سے موت ممکن؟ سائبر سکیورٹی پر معاذ بن محمود کی تحریر

ایک فلمی قسم کا منظر تصور کیجئے۔

فرض کریں Stephen Hawking قسم کا سائنسدان ہے جو کسی ایسے جسمانی عارضے میں مبتلا یا کسی حادثے کا شکار ہو کر ایسے حال میں ہے کہ جس کے باعث وہیل چئیر اس کا مقدر بن چکا ہے۔ سائنسدان کو پیسے کی کمی نہیں لہذا اس کے پاس دنیا کی جدید ترین وہیل چئیر موجود ہے جس میں سال 2025 میں دستیاب بہترین فیچرز دستیاب ہیں۔ اب سائنس دان بھلے جسمانی طور پر چلنے پھرے سے معذور ہو، دماغ البتہ اس کا بھرپور کام کرتا ہے۔ فرض کیجئے گزشتہ دس سال سے وہ ایک فرسٹ ورلڈ کنٹری کے ایٹمی پروگرام پر کام کر رہا ہے اور کامیابی کے بہت قریب ہے۔ یہ سائنسدان آج صبح سے اپنی لیبارٹری میں کام میں لگا ہوا تھا سو اس وقت وہ تھکا ہوا ہے۔ وہ فیصلہ کرتا ہے کہ کچھ دیر کے لیے باہر سڑک کنارے تازہ ہوا میں جا کر فریش ہوجائے۔ وہ عمارت سے باہر جاتا ہے اور تازہ کھلے ڈیزی کے پھولوں کے پاس رک کر دماغ اور جسم کو تازہ کر دینے والی فضاء میں آکسیجن سے بھرپور ہوا کے سانس لیتا ہے۔ دور کھڑا سیکیورٹی گارڈ اسے دیکھ کر مسکرا رہا ہے کہ چاچا آج خوش ہے۔ اتنے میں گارڈ دیکھتا ہے کہ سائینسدان کی وہیل چئیر حرکت میں آتی ہے۔ سائنسدان کی وہیل چئیر پھولوں کی کیاری سے کچھ دور جاتی ہے اور پھر کیاری کے آگے فٹ پاتھ کی جانب رینگتی ہوئی اچانک۔۔۔ مصروف سڑک پر اتر جاتی ہے جہاں۔۔۔۔ ایک بڑا سا ٹرک اسے روندتا ہوا نکل جاتا ہے۔ اور یوں اس ملک کا ایٹمی پروگرام ایک بار پھر دس سال پیچھے جا پہنچتا ہے۔

بادی النظر میں یہ سائنسدان کی خوددد کشی معلوم ہوتی ہے۔ رائٹ؟

ویل۔۔۔۔ ضروری نہیں۔ آگے چل کر سمجھنے کی کوشش کرتے ہیں۔

ہم میں سے اکثر لوگ تازہ ترین خبر کا تجزیہ مستقبل پر اس خبر کے اثرات کو مدنظر رکھ کر کرتے ہیں۔ ہماری فیلڈ میں البتہ حساب الٹا ہوجاتا ہے۔ کیسے؟ آج اس طرف توجہ دلاتے ہیں۔

CVEs (Common Vulnerabilities and Exposures)

آپ اسے سائبرسیکیورٹی کی صحافت کا ایک حصہ سمجھ لیجیے۔ فرق بس اتنا ہے کہ ہماری صحافت میں sensationalization یا ہیجان خیزی نہیں ہوتی، ایک باقاعدہ طریقہ کار ہوتا ہے جس کی بنیاد پر ایک تکنیکی سقم کے متعلق خبر سامنے آتی ہے۔ پھر اس سقم کا ایک systematic طریقے سے جائزہ لیے جانے کے بعد CNAs یعنی CVE Numbering Authorities اسے CVSS Score نامی صفر سے دس تک ایک ریٹنگ الاٹ کرتی ہیں اور پھر اسے NVD یعنی National Vulnerability Database کا حصہ بنا دیا جاتا ہے۔ صفر سکور کا مطلب ہے کہ قابل ذکر سقم ہے، اس سے کسی کو خطرہ لاحق نہیں۔ دس سکور کا مطلب ہے دنیا جہاں کے کام چھوڑ کر اس مسئلے کو حل کیا جائے۔ اس کے بعد ایک اور اہم ترین ادارہ CISA یعنی امریکی Cybersecurity & Infrastructure Security Agency اس پر اپنی ایڈوائزری جاری کرتی ہے۔

(اور میرے دیگر کئی پیشہ ورانہ فرائض میں سے ایک فرض روزانہ کی بنیاد پر ان ایڈوائزریز کو پڑھ کر اپنے ادارے کا سائیبر سیکیورٹی انفراسٹرکچر محفوظ رکھنا ہے)

اس نظام میں بظاہر سب تو اچھا ہے۔۔۔ تاہم۔۔۔ ضروری نہیں کہ اصل میں بھی واقعی سب اچھا ہو۔ گمبھیرتائیں یہاں بھی موجود ہیں جس کی بابت ہم بات کریں گے۔ ایسا نہیں کہ سارا نظام ہی باطل کے شکنجے میں ہے، ایسا بھی نہیں کہ حق ہی جیت رہا ہے۔ ہر معاملے کی طرح یہاں بھی اصل دنیا گرے میں پڑی ہے۔

سی وی ای کا اعلان ایک عدد Not for Profit ادارہ The MITRE Corporation کیا کرتا ہے۔ اس ادارے کی تفصیلات میں جانا فی الوقت ہمارا موضوع نہیں تاہم ذرا سا ہنٹ دینے کی نیت سے یہ جان لیں کہ اس ادارے کی بنیادیں مشہور زمانہ MIT University کی MIT Lincoln Laboratory سے نکلتی ہیں جس کا قیام اللہ کے فضل و کرم کے بعد امریکہ کے ڈیپارٹمنٹ آف ڈیفینس کی جانب سے جاری کردہ فنڈنگ سے ہوا۔ اس لیبارٹری کے قیام کا مقصد جدید ٹیکنالوجی کی مدد سے نیشنل سیکیورٹی کو لاحق خطرات کا سدباب بتایا گیا۔ (کہا تھا ناں کہ گمبھیرتا یہاں بھی ہوتی ہے؟)

ایک لمحہ رکیے۔۔۔ اور اس پیٹرن پر توجہ دیجئے۔

“دفاعی اداروں کی اعلیٰ تعلیمی اداروں میں سرمایہ کاری اور ان کی تحقیقات میں دلچسپی”

(ویسے ہی مفتی تقی عثمانی کی ایک حالیہ تقریر یاد آگئی)

آگے چلتے ہیں۔

سو اب تک ہم نے یہ جانا کہ The MITRE Corporation نامی ایک آزاد نان پرافٹ ادارہ انفارمیشن سسٹمز میں مستعمل اکائیوں سے متعلق ایسے سقم کی فہرست جاری کرتا ہے جس سے سائبرسیکیورٹی متاثر ہوتی ہو۔ اس کے بعد چند بڑے انفارمیشن سسٹم وینڈرز جیسے مائیکروسافٹ، گوگل، ریڈ ہیٹ، اوریکل وغیرہ ایک منظم طریقہ کار کے تحت اس سقم یا خرابی کو ایک ریٹنگ الاٹ کرتے ہیں۔ یہ ریٹنگ کسی سقم کے باعث خطرات اور ان کی حساسیت کے مطابق اسے ایک مخصوص سیکیورٹی لیبل دے دیتی ہے جس کا مطلب کچھ یوں نکالا جا سکتا ہے۔۔

CVSS Score: 0.0
Severity Label: None
Meaning in real life: Technically exists, practically useless

CVSS Score: 0.1 – 3.9
Severity Label: Low
Meaning in real life: Mild annoyance, no panic

CVSS Score: 4.0 – 6.9
Severity Label: Medium
Meaning in real life: Needs fixing, not today

CVSS Score: 7.0 – 8.9
Severity Label: High
Meaning in real life: Patch soon or regret later

CVSS Score: 9.0 – 10.0
Severity Label: Critical
Meaning in real life: Drop everything and patch

مثلاً آپ گزشتہ روز جاری ہونے والی 9.8 سکور حساسیت والی CVE-2025-14346 پر نظر دوڑائیے جو آسٹریلین تاریخ کے مطابق آج مورخہ ۳۱ دسمبر ۲۰۲۵، امریکی تاریخ کے مطابق گزشتہ روز جاری ہوئی ہے۔ یہ vulnerability ایک عدد وہیل چئیر بنانے والی کمپنی WHILL کے دو عدد وہیل چئیر ماڈلز، ماڈل C2 اور ماڈل F کو لاحق ایک انتہائی حساس قسم کی vulnerability کی جانب نشاندہی کرتی ہے جس کا استعمال کرتے ہوئے ان وہیل چئیرز کو بغیر کسی authentication یعنی یوزر نیم پاسورڈ اور MFA کا کشت اٹھائے بغیر کنٹرول کیا جا سکتا ہے۔

مطلب؟

مطلب۔۔۔ جس بندے کو اس خرابی کا علم ہو وہ کسی بھی معذور سائینسدان کو WHILL Model C2 or Model F Wheelchair پر براجمان ہو، کے قریب بلیو ٹوتھ رینج کے اندر موجود رہ کر اگلے کو ڈیزی کے پھول سونگھاتے سونگھاتے قریب موجود مصروف سڑک پر ٹرک کے نیچے دینے کا اہل ہے۔۔۔

کچھ ڈاٹس کنیکٹ ہوئے؟ چلیے کچھ مزید آگے چلتے ہیں۔

اگر آپ جلدی جلدی میں بین السطور اس CVE کی تاریخ اجراء بظرانداز کر گئے ہیں تو میں دوبارہ سے یاد دلا دیتا ہوں، اس کا اعلان۔۔۔ آج ہوا ہے۔

کیا اس کا مطلب یہ ہے کہ آج سے پہلے یہ خرابی یہ سقم یہ vulnerability موجود ہی نہیں تھی؟

جی نہیں۔ اس کا مطلب ہرگز یہ نہیں۔

اب آپ پوچھیں گے کہ یہ خرابی کب سے موجود تھی؟

تو جواب ہے۔۔۔ پتہ نہیں۔

سی وی ای میں نشاندہی شدہ vulnerability کی موجودگی کا تعین اوکھا بھی ہو سکتا ہے سوکھا بھی۔ اگر تو پرابلم کسی خاص لائبریری یا سافٹ وئیر یا فرم وئیر کے مخصوص ورژن سے شروع ہوتا ہے تو پتہ چل سکتا ہے لیکن یہ کام اتنا آسان ہوتا نہیں خاص کر جب فیس بک، واٹس ایپ وغیرہ اپنی ایپلیکیشن ورژن تو بتاتے ہیں ان میں استعمال ہونے والی لائبریری کا ورژن سب کو بتانے کے پابند نہیں ہوتے۔

مثلاً۔۔ ۲۰۱۸ میں فیس بک کی ایک vulnerability سامنے آئی جسے استعمال کرتے ہوئے View As فیچر کے ذریعے یوزر/صارف کے اکاؤنٹ تک رسائی ممکن تھی۔ یہ vulnerability قریب 14 ماہ تک موجود رہنے کے بعد دریافت ہوئی اور اسے ٹھیک کیا گیا۔

۲۰۱۹ ہی میں ایک اور ولنربلٹی CVE-2019-11932 کے ذریعے سامنے آئی جس کے ذریعے اینڈرائیڈ واٹس ایپ پر ایک مخصوص طریقے سے بنائی گئی GIF امیج بھیج کر وکٹم کے موبائل تک رسائی حاصل کی جا سکتی تھی۔ کچھ اندازوں کے مطابق ہیکنگ کا یہ طریقہ کار 2013 سے 2019 تک موجود رہا۔

اسی طرح سال ۲۰۲۵ میں سامنے آنے والی CVE-2025-55177 کے مطابق آئی فون واٹس ایپ میں ایک vulnerability کئی ماہ موجود رہی جس کے زریعے ٹارگٹ آئی فون تک بغیر کسی physical interaction رسائی ممکن تھی۔

اب سوال یہ پیدا ہوتا ہے کہ کیا یہ لوپ ہولز قصداً by design چھوڑے جاتے ہیں یا انسانی غلطیوں کے نتیجے میں ایسا ہوتا ہے؟ میری ادنی دانست کے مطابق ان چور راستوں میں سے قابلِ ذکر یا شاید اکثر جان بوجھ کر چھوڑے جاتے ہیں۔

ایسا کیوں ہوتا ہے؟

اس سوال کا جواب سمجھنے کے لیے واپس اس نکتے پر جائیے جسے نوٹ کرنے کی استدعا کی گئی تھی۔

“دفاعی اداروں کی اعلیٰ تعلیمی اداروں میں سرمایہ کاری اور ان کی تحقیقات میں دلچسپی”

یہاں سے آگے کچھ food for thought کہ دلچسپی رکھنے والے احباب آگے بھی مصروف رہیں۔

آپ نے Pegasus نامی spyware کا نام سنا ہے؟ نہیں سنا تو سرچ کریں۔

آپ نے نیو، شالیو، عمری کی کمپنی The NSO Group کا نام سنا ہے؟ نہیں سنا تو سرچ کر لیں۔

آپ Citizen Lab کے متعلق کچھ جانتے ہیں؟ نہیں تو لازمی جانیے اور ان کے نیوز لیٹر سبسکرائب کر لیجیے۔

آپ نے NSA اور بڑے اینڈ پوائینٹ تا نیٹورک تا کلاؤڈ بئیر میٹل وینڈرز جیسے Dell/HP وغیرہ کے گٹھ جوڑ پر کچھ پڑھا ہے؟ نہیں تو Edward Snowden کی کتاب Permanent Record ضرور پڑھیے۔

آپ نے ڈیجیٹل پلیٹ فارمز پر رائے عامہ استوار کرنے کے غیرقانونی طریقوں پر کبھی جاننے کی کوشش کی ہے؟ نہیں تو Christopher Wyllie کی کیمبرج اینیلیٹکا پر کتاب Mindf*ck ضرور پڑھیے۔