زیادہ تر ویب سائٹ مالکان سرور پر فائلیں اَپ لوڈ اور ڈاؤن لوڈ کرنے کے لیے کوئی نہ کوئی ایف ٹی پی (FTP) پروٹوکول استعمال کرنے والا پروگرام جیسے فائل زیلا یا کیوٹ ایف ٹی پی وغیرہ استعمال کرتے ہیں۔ یہ طریقہ بے حد عام ہے اور زیادہ تر ویب سائٹ کے مالکان کے درمیان یہی طریقہ رائج ہے تاہم یہ طریقہ کافی خطرناک ثابت ہوسکتا ہے۔ اس تحریر میں ہم اس طریقے سے درپیش خطرات اور ان سے بچاؤ کے طریقہ کار پر روشنی ڈالیں گے۔ خیال رہے کہ یہ تحریر صرف لینکس کے صارفین کے لیے ہی نہیں بلکہ ونڈوز کے لیے بھی ہے لہٰذا وہ پڑھنا جاری رکھ سکتے ہیں تاہم سب سے اہم بات یہ ہے کہ آپ کی ویب سائٹ لینکس یا یونیکس یا اس کے کسی دوسرے تبدیل شدہ ورژن والے آپریٹنگ سسٹم پر چلنے والے سرور پر ہوسٹ ہونی چاہیے۔ اگر آپ کی ویب سائٹ ونڈوز سرور پر ہوسٹ ہے تو پھر آپ کے لئے ویب سائٹ ہیک ہونے کے خطرات بڑھ جاتے ہیں اور اس تحریر میں درج کردہ باتیں آپ کے سرور پر لاگو نہیں ہوتیں سوائے چند مخصوص حالات کے۔
مسئلہ اور خطرے کی نشاندہی
مسئلہ بڑا سادہ سا ہے، اور وہ یہ ہے کہ ایف ٹی پی کے وہ پروگرام جو آپ استعمال کرتے ہیں آپ کے یوزر نیم اور پاس ورڈ کو اِنکرپٹ کرنے کے لیے کوئی بھی طریقہ استعمال نہیں کرتے، یعنی یہ پروگرام انہیں ویب سائٹ کو صاف متن یعنی Clear Text کی شکل میں ارسال کرتے ہیں۔ اب سوال یہ ہے کہ آخر یہ کلیئر ٹیکسٹ Clear Text ہے کیا؟ جیسا کہ نام سے ہی واضح ہے کہ یوزر نیم اور پاس ورڈ کو بالکل اسی شکل میں سرور کو ارسال کرتا ہے مثلاً اگر آپ کا پاس ورڈ 12345 ہے تو آپ کا ایف ٹی پی پروگرام اسے بالکل اسی شکل میں یعنی 12345 میں ہی سرور کو ارسال کرے گا ناکہ غیر مفہوم انکرپٹڈ شکل میں یعنی ایسے:
$1$/OZFw$nEVRAn9aW0V0NVZdaqWX7/
اب سوال یہ ہے کہ اس میں خطرہ کہاں ہے؟ فرض کرتے ہیں کہ آپ ایک انٹرنیٹ کیفے میں بیٹھے ہیں اور اپنی ویب سائٹ mysite.com پر بذریعہ کسی ایف ٹی پی پروگرام کے لاگ اِن ہوکر اپنے سرور پر کچھ فائلیں اپ لوڈ کرنا چاہتے ہیں۔ جس وقت آپ اپنے ایف ٹی پی کلائنٹ میں اپنا یوزر نیم اور پاس ورڈ ڈال کر لاگ ان ہو رہے ہوتے ہیں ہم فرض کرتے ہیں کہ اسی کیفے میں ایک ہیکر بھی کسی کونے میں براجمان ہے اور اس نے کوئی سنیفر Sniffer پروگرام چلا رکھا ہے۔ سنیفر پروگرام نیٹ ورک پر سے گزرنے والے ہر طرح کے ڈیٹا کو سونگھتا رہتا ہے۔ اب جب آپ اپنے ایف ٹی پی کلائنٹ سے لاگ ان ہوں گے تو اسے آپ کی معلومات سونے کی طشتری میں رکھی اس طرح مل جائیں گی:
220 (vsFTPd 2.0.7)
USER abcd
331 Please specify the password.
PASS 12345
230 Login successful.
SYST
215 UNIX Type: L8
جیسا کہ اوپر کی مثال سے واضح ہے آپ کا یوزر نیم (USER abcd) اور پاس ورڈ (PASS 12345) بڑی آسانی سے ہیکر کے ہاتھ لگ جائے گا جو کہ خطرناک صورتِ حال ہے۔ امید ہے خطرہ واضح ہوگیا ہوگا اور یہی وجہ ہے کہ ہم ایس ایس ایچ کے استعمال پر زور دے رہے ہیں۔
مسئلے کا حل
ہوسٹنگ کمپنی کے ذریعے SSH فعال کروانا
اپنی ہوسٹنگ کمپنی سے SSH اکاؤنٹ کا مطالبہ کریں جو کہ عام طور پر مفت ہوتا ہے اور پیکیج پلان کے ساتھ آتا ہے۔ آپ کی ہوسٹنگ کمپنی آپ کو آپ کے SSH کا یوزر نیم اور پاس ورڈ فراہم کردے گی۔ چونکہ ایس ایس ایچ ایکسس جس کے ہاتھ لگ جائے وہ آپ کی ویب سائٹ کی کل کائنات کا مالک ہوجاتا ہے اس لئے ہوسٹنگ کمپنیاں خود یہ سہولت فعال نہیں رکھتیں اور صارف کی درخواست پر ہی ایسا کیا جاتا ہے۔فعال کرنے سے پہلے ہوسٹنگ کمپنی آپ سے مختلف دستاویزات جیسے شناختی کارڈ یا ڈرائیونگ لائسنس طلب کرسکتی ہے۔ جن کی فراہمی کے بعد ہی آپ کو مطلوبہ سہولت فراہم کی جائے گی۔ بعض ایسی ہوسٹنگ کمپنیاں بھی ہیں جو پہلے سے ہی یہ سہولت فعال کررکھتی ہیں۔ لیکن ایسی کمپنیوں کی تعداد خاصی کم ہے اور وہ زیادہ مقبول بھی نہیں۔ کچھ ہوسٹنگ کمپنیاں جن کا نام بے حد مشہور ہے، یہ سہولت سرے سے فعال ہی نہیں کرتیں۔ اس لئے ہوسٹنگ خریدنے سے پہلے یہ بھی ضرور دیکھ لیں کہ آیا وہ ایس ایس ایچ کی سہولت فراہم بھی کرتے ہیں کہ نہیں۔
ایس ایس ایچ SSH کیا ہے؟
ایس ایس ایچ سرور یا آپ کے کسی ذاتی کمپیوٹر کو دور سے انتہائی محفوظ طریقے سے کنٹرول کرنے اور فائلیں منتقل کرنے کا ایک محفوظ پروٹوکول ہے، یعنی جو ڈیٹا ایس ایس ایچ SSH پروٹوکول کے ذریعے آپ کے کمپیوٹر سے سرور کی طرف جائے گا وہ سو فیصد انکرپٹڈ ہوگا اب چاہے بیچ میں کوئی ہیکر بیٹھا سن گن کیوں نہ لے رہا ہو اسے جو کچھ حاصل ہوگا وہ یوں ہوگا:
SSH-2.0-OpenSSH_5.1
SSH-2.0-OpenSSH_5.1
./,C…….k.-.mH…….er)…..u.!=`.K!…….
………~.6.H..&..k?L.._.L5.m….f8..[..$..c..
?(a…..8………_.0..N.`…..2`…….m.j.1…
(.\(…+……g.1^.Q$……..h..rx.z.z..s.dn..u…D.[….U.aE.
.XV……..?a…..].T.vCYd…T….u…+.8RG~…..G.bl..[rl..-r..\..V.K`.
NQ…P…:zf.v..0…….l……zXc…|.CDU.1\ec”
.+…..i.n.^.=….”`…N.].C.o.K.6…..ZtRn%..=l.\….VI{1mx
اور جیسا کہ اوپر کی مثال میں نظر آرہا ہے آپ کا یوزر نیم اور پاس ورڈ انکرپٹڈ اور محفوظ ہے۔ لہٰذا اگر یہ ہیکر کے ہاتھ لگ بھی جائے تو اسے اصل متن میں بدلنا یا تو ناممکن ہے یا پھر اس میں سینکڑوں سال کا کمپیوٹیشن وقت درکار ہے جو عملاً نا ممکن ہی ہے۔اس طرح آپ درمیانی آدمی کے حملے Man In The Middle Attack (MITM)سے محفوظ رہتے ہیں۔
لینکس صارفین کے لیے استعمال کا طریقہ
ایس ایس ایچ کے ذریعے سرور سے رابطہ کر کے فائلوں پر کام کرنے کا ایک سے زائد طریقہ ہے تاہم یہاں ہم GUI نوعیت کے پروگراموں کا ذکر کریں گے جن کے ذریعے آپ محفوظ طریقے سے بذریعہ ایس ایس ایچ اپنے سرور سے رابطہ قائم کر سکیں گے۔
لینکس کے صارفین اس کام کے لیے gFTP نامی پروگرام کا استعمال کر سکتے ہیں، ابنٹو پر اس کی انسٹالیشن کے لیے یہ کمانڈ چلائیں:
sudo apt-get install gftp
فیڈورا پر تنصیب کے لیے:
yum install gftp
اور فری بی ایس ڈی FreeBSD میں پورٹس کے ذریعے:
cd /usr/ports/ftp/gftp; make install clean
انسٹالیشن کے بعد پروگرام کو gftp کمانڈ سے چلائیں یا مینو سے یہاں سے چلائیں:
Applications>> Internet>> gFTP
پروگرام کسی بھی عام ایف ٹی پی کلائنٹ جیسا ہی ہے، اسے ایف ٹی پی پروٹوکول کی بجائے ایس ایس ایچ پروٹوکول پر چلانے کے لیے مینیو بار کے نیچے پاس ورڈ کے خانے کے بعد ایک ڈراپ ڈاؤن بکس ہے اس میں سے SSH2 منتخب کر لیں، بائیں طرف کے باقی خانوں میں ڈومین، یوزر نیم اور پاس ورڈ ڈال کر رابطے کے بٹن پر کلک کردیں جو کمپیوٹر کے آئی کن کی شکل میں ہے۔
ونڈوز صارفین کے لیے استعمال کا طریقہ
ونڈوز صارفین ون ایس سی پی WinSCP نامی پروگرام کا استعمال کر سکتے ہیں جو کہ مفت اور اوپن سورس ہے یعنی نا کریک اور نا ایکٹی ویشن۔ یہ پروگرام کئی پروٹوکولز کو سپورٹ کرتا ہے جن میں ایس ایس ایچ بھی شامل ہے، ون ایس سی پی کو اس ربط سے ڈاؤن لوڈ کیا جاسکتاہے:
http://winscp.net/download/
اس پروگرام کی خاص بات یہ ہے کہ اس میں صارف ونڈوز ایکسپلورر کے انداز میں فائلز پر مختلف کام جیسے ڈیلیٹ، کاپی ، پیسٹ وغیرہ انجام دے سکتا ہے۔ نیز فائلز اپ لوڈ کرنے کے ڈریگ اینڈ ڈراپ کی جاسکتی ہیں۔اس کے علاوہ ونڈوز کے صارفین فائل زیلا FileZilla کا استعمال بھی کر سکتے ہیں جو کہ یہ بھی مفت اور اوپن سورس ہے، اپنی پسند کا پروگرام ڈاؤن لوڈ کرنے کے بعد اسے انسٹال کریں۔ یہ بتانے کی ضرورت نہیں ہے کہ آپ نے صرف نیکسٹ نیکسٹ نیکسٹ ہی کرنا ہے۔
ون ایس سی پی کو چلانے پر سرور سے رابطے کا دریچہ نمودار ہوگا جو تصویر 03میں دکھایا گیا ہے۔اس میں ضروری معلومات جیسے ہوسٹ کا نام، یوزر نیم اور پاس ورڈڈالیں، پروٹوکول کے ذیل میں فائل پروٹوکول SFTP منتخب کریں اور Allow SCP fallback پر چیک لگا دیں۔ چلنے پر اس کا دریچہ اس طرح نظر آتا ہے جو کہ اختیارات سے بھرپور اور استعمال میں از حد آسان ہے:
اہم باتیں
1- کیا ایس ایس ایچ SSH کا استعمال شروع کرنے کے بعد آپ کی ویب سائٹ ہیکنگ سے محفوظ ہوگئی ہے؟
نہیں… محفوظ نہیں بلکہ پہلے سے زیادہ محفوظ ہوگئی ہے۔ تاہم یاد رکھیں اس دنیا میں کوئی بھی چیز سو فیصد 100% پرفیکٹ نہیں ہے۔ انسان کی بنائی ہوئی چیزوں میں ہمیشہ اصلاح کی گنجائش رہتی ہے اور وہ سافٹ ویئر ہی کیا جس میں کوئی بگ نہ ہو۔
2- صرف ایف ٹی پی FTP ہی ایک اکلوتا پروٹوکول نہیں ہے جو معلومات کو صاف متن Clear Text میں ارسال کرتا ہے، HTTP اور Telnet پروٹوکولز بھی یہی کرتے ہیں تاہم ان پر پھر کبھی گفتگو کریں گے۔
3- جیسا کہ آپ نے نوٹ کیا ہے ہم نے فائلوں کو SSH کے ذریعے منتقل کیا ہے، ایس ایس ایچ سے فائلیں منتقل کرنے کے پروٹوکول کو SFTP یعنی Secure FTP کہا جاتا ہے یعنی محفوظ ایف ٹی پی۔
4- ایس ایس ایچ SSH اور SFTP کی پورٹ عام طور پر22 ہے، ماسوائے اگر ہوسٹ نے یہ تبدیل کردی ہو۔یاد رہے کہ عام ایف ٹی پی کیلئے پورٹ 21استعمال کی جاتی ہے۔تاہم بعض اوقات ویب سائٹ ہوسٹنگ کمپنی سکیوریٹی وجوہات کی بنیاد پر اسے بھی تبدیل کردیتی ہے۔
5۔ بعض حالات میں ایف ٹی پی کا استعمال ہی بہتر ہوتا ہے۔ مثلاً اگر آپ فائلز کی ایک بڑی تعداد اپنے کمپیوٹر سے سرور پر منتقل کرنا چاہ رہے ہیں تو ایسے میں ایس ایس ایچ کا استعمال کافی وقت لے سکتا ہے۔