இணையம் வெல்வோம் - 7

ஹேக்கிங் என்பது ஒரு பெண்ணின் மனதை போல மிக ஆழமானது. எப்படி எப்பொழுதுமே ஒரே மாதிரியான உத்தியினைப் பயன்படுத்தி எல்லாப் பெண்களையும் கவர முடியாதோ அதே போல, இப்படித்தான் ஹேக்கிங் செய்ய வேண்டும் என்று அறுதியிட்டுச் சொல்லும் நேரடி வழிமுறைகளோ, செயல்முறை விளக்கங்களோ கிடையாது. உலகில் உள்ள வலையமைப்புகள் ஒவ்வொன்றும் ஒரு விதம், அவற்றுக்குத் தகுந்தவாறு தாக்குதல் உத்தியினைச் சமயோசிதமாக மாற்றியமைத்து வெற்றி பெறுபவர்களே ‘புத்திமான் பலவான்’ விருதினைப் பெறும் தகுதியினைப் பெறுகிறார்கள்.

பிறகு எப்படித்தான் இதனைக் கற்றுக் கொள்வது?. மணிமேகலைப் பிரசுரத்தின் ‘30 நாட்களில் தொப்பையைக் குறைப்பது எப்படி?’ வகையிலானப் புத்தகம் ஒன்றினை வாங்கி, 31வது நாளில் ‘நானும் ஒரு ஹேக்கர் தெரியும்ல’ ஒரு மீசை முறுக்க வாய்ப்பேயில்லை. வலையமைப்புகளின் அரிச்சுவடி தலைகீழ் மனப்பாடமாகத் தெரிந்து வைத்துக் கொள்ளுதலும், பொதுவாக வலைப் பாதுகாப்புக்கெனப் பின்பற்றப்படும் சிறப்பு ஏற்பாடுகள் குறித்தும் சகலமும் அறிந்திருத்தல் சிறப்பு. வயல்காட்டில் கட்டவிழ்த்தக் காளையைப் போல் தறிகெட்டு ஓடி, கையும் களவுமாக மாட்டும் போது சட்ட நடவடிக்கைகளால் உங்கள் பொன்னான எதிர்காலம் புண்ணாகிப் போகும் வாய்ப்புகள் பற்றி அறிந்திருத்தல் அதனினும் சிறப்பு. ஆக மொத்தம் வெற்றிகரமான ஹேக்கர் ஆவதற்குத் தேவையான முக்கிய தகுதிகள் குறித்து ஒரு பக்க அளவில் விவரி என்று யாராவது கேட்டால் வலையமைப்புகளில் தன் அடையாளம் மறைத்து களமாடும் அளவிற்கு ஆழ்ந்த தொழில்நுட்ப அறிவு, சம்பந்தப்பட்ட நாடுகளில் உள்ள இணையக் குற்றத்திற்கான சட்டங்கள் பற்றிய விழிப்புணர்வு, நிறைய பொறுமை, சமயோசிதமாக தாக்குதல்களை வலையமைப்பிற்கேற்ப மாற்றியமைக்கும் திறன் ஆகியவை என்று பதில் சொல்லி முழு மதிப்பெண்கள் வாங்கிக் கொள்ளவும். சுருக்கமாக சொன்னால் நல்ல அறிவார்ந்த களவாணித்தனம் வேண்டும்.

எதற்குக் கையேந்தினாலும் இல்லையென்று சொல்லாமல் வாரி வழங்கும் வள்ளலான இணையத்தில் ஏன் ஹேக்கிங் பற்றி நேரடியானத் தகவல்கள் எளிதில் கிடைப்பதில்லை, அப்படிக் கிடைத்தாலும் சித்தர்கள் பாடல் மாதிரி எதைச் சொன்னாலும் அதைப் பொடி வைத்துச் சொல்லியே தலைவலிக்க வைக்கிறார்களே என்று கவலையுறும் அன்பர்கள் கவனத்திற்கு, அப்படி ஏதாவது இணையத்தில் சொல்லி வைத்து அதைப்படித்து ஆர்வக்கோளாரான நண்பர்கள், ‘அதைப்பார்த்துத் தான் ஹேக்கிங் பழகலாமுன்னு உங்க வலைப்பக்கமா வந்தேன்’ என்று எங்காவது வில்லங்கமான இடத்தில் தலையை சொறியும் பட்சத்தில் ஆப்பு இரண்டு பேருக்குமே உண்டு என்பதே காரணம்.

ஹேக்கிங் என்பதனை ஒரு வீட்டில் திருடச் செல்வதோடு ஒப்பிடலாம். முதலில் எந்த வீட்டில் திருட போகிறோம் என்பதனை முடிவு செய்ய வேண்டும், பிறகு அங்கு மாட்டிக்கொண்டால் எந்தெந்த இடத்திலெல்லாம் இரத்தம் கட்டும் அளவுக்கு உள்காயமாக அடிப்பார்கள் என்பதைத் தெரிந்து கொள்ள வேண்டும். பிறகு வீட்டில் எத்தனை நுழைவுப்பாதைகள் உள்ளன,  தேவையானவற்றை ஆட்டையைப் போட்ட பிறகு தப்பிக்க எத்தனை வழிகள் உள்ளன, எத்தனை சன்னல்கள், எத்தனைக் கதவுகள், எத்தனைப் பூட்டுகள், பாதுகாப்புக்கு நாய் இருக்கிறதா, அப்படி இருந்தால் அதற்குப் போட ரொட்டித் துண்டுகள், வீட்டில் எத்தனை பேர் இருக்கிறார்கள், நாம் நுழையும் நேரத்தில் யாரும் முழித்திருப்பார்களா, அவர்களின் தினசரி நடவடிக்கைகள் ஆகியவற்றை வேவுப் பார்த்து தெரிந்து வைத்துக் கொண்டு பிறகு செயலில் இறங்குவதைப் போலவே தான் ஹேக்கிங்கும்.

வீடுகளில் சுவரேறித் திருடுபவர்களிலும், ஹேக்கர்களிலும் இரண்டு வகை உண்டு. ஒன்று வெற்றிகரமாக உள்நுழைந்ததும் உள்ளிருக்கும் அத்தனைப் பொருட்களையும் அள்ளியெறிந்து பரபரப்பாக சுருட்டிக் கொண்டு அந்த இடத்தையே ரணகளமாக்கிச் செல்பவர்கள், நகையோ அல்லது பாத்திரமோ போன்ற குறிப்பிட்ட பொருளை மட்டுமே குறி வைத்து நுழைந்து அதனை மட்டும் கவர்ந்து வந்த தடமின்றி வெளியேறிச் செல்பவர்கள். இந்த இரண்டாவது வகை தான் ஆபத்தானவர்கள், காரணம் இவர்களை கண்டுபிடிப்பது கடினம்.

இப்படியெல்லாம் சிரமப்படாமல் பட்டப்பகலிலேயே சேலையோ, வாசனைத்திரவியமோ அல்லது பித்தளைப்பாத்திரம், வெள்ளி, தங்க நகைக்களுக்கு மெருகேற்றுவதற்கோ என்று சொல்லு அழகாக பேசி வீட்டுக்குள் நுழைந்து சுருட்டும் வல்லவர்களும் உண்டு. ஹேக்கிங்கில் இதற்குப் பெயர் ‘Social Engineering’. உங்களிடம் நெருங்கிப் பழகி கடவுச்சொற்களைத் தட்டச்சும் பொழுது எட்டிப்பார்ப்பதும், உங்கள் பிறந்தநாள், குடும்பத்தினர்களில் பெயர்கள், படித்தப் பள்ளிக்கூடம் இப்படி அனைத்து தகவல்களையும் திரட்டி உங்களைப்போன்றே வலையமைப்பினுள் நுழைவது (Identity Theft), தொலைபேசியில் திடீரென அழைத்து உங்கள் வங்கியிலிருந்து பேசுவதைப்போலவோ அல்லது மேலதிகாரியைப் போலவோ அல்லது உங்கள் நிறுவனத்தின் கணிணித்துறையில் பணிபுரிபவரைப் போலவோப் பேசி நேரடியாகக் கடவுச்சொற்களை வாங்குவது ஆகியவை இதில் அடக்கம்.

மேற்சொன்னவாறு வேவுபார்த்து வலையமைப்பின் கட்டமைப்பினை ஆராய்வதற்குப் பெயர் ‘Reconnaissance Scan’. அதாவது உங்கள் வலையமைப்பில் என்னென்ன உபகரணங்கள் உள்ளன, அவற்றின் வலையமைப்பு எண்கள், உள்நுழைவதற்கு ஏதுவாக இருக்கும் வலைத்தொடர்புப் புள்ளிகள், கணிணிகள், இயங்குதளங்கள் மற்றும் மென்பொருட்கள், அவற்றின் வெளியீட்டு எண்கள் (Versions) ஆகியவற்றைத் திரட்டுவது தான் ஹேக்கிங்கின் முதல் படி. இதனைச் செய்வதற்கு ஏராளமான மென்பொருட்கள் இணையத்தில் பரவிக் கிடக்கின்றன, அவற்றில் பல நமக்கு மிகவும் பிடித்த விஷயமான “இலவச’ மென்பொருட்கள் என்பது குறிப்பிடத்தக்கது. நிரல்கள் எழுதும் வரம் பெற்றவர்கள் கொஞ்சம் முயன்றால் தாங்களே எழுதிக்கொள்ளலாம்.

Reconnaissance குறித்து இன்னும் விரிவாகத் தொடர்வதற்கு முன்னால் வலையமைப்பு எண்கள் குறித்து ஒரு முக்கிய விஷயத்தினைத் தெரிந்து கொள்ள வேண்டும். வலையமைப்பு எண்கள் எல்லாம் பார்க்க ஒரே மாதிரி இருந்தாலும் அவற்றுக்குள்ளும் வர்க்க பேதம் உண்டு. உள்வலையமைப்பிற்குள் மட்டுமே அனுமதிக்கப்பட்ட ஒடுக்கப்பட்ட எண்களும் (non-routable Private IP Addresses), இணைய வெளியில் உல்லாச உலா வர அனுமதிக்கப்பட்ட உயர்வகை எண்களும் இருக்கின்றன (routable public IP Addresses).

உதாரணத்திற்கு உங்கள் வீட்டிலுள்ள கணிணியின் உள் வலையமைப்பு எண் (192.168.x.x) வழியாகத் தகவல்கள் வெளியே இணையத்திற்குப் பயணிக்கும் போது உங்களுக்கு இணையவசதியினை வழங்கும் நிறுவனத்தின் உபகரணமான Modem/Router இன்  வெளி வலையமைப்பு எண் மூலமாக தான் தொடர்பு கொள்ளும். உங்கள் வலையமைப்பிற்கு வெளியே இருந்து எந்தத் தகவல் போக்குவரத்தும் நேரடியாக உங்கள் கணிணியின் வலையமப்பு எண்ணைத் தொடர்பு கொள்ள முடியாது. அவையனைத்தும் உங்களின் வெளிவலையமைப்பு எண் மூலமாகத் தான் உங்களை வந்தடைகிறது. உங்கள் வெளி வலையமைப்பு எண்ணைத் தெரிந்து கொள்ள நிறைய இணையத்தளங்கள் இருக்கின்றன. உதா: http://www.myipaddress.com

உங்கள் வீட்டிலிருக்கும் modem/router உபகரணத்தினை ஒவ்வொரு முறை நீங்கள் மின்னிணைப்பினைத் துண்டித்து இயக்கும் பொழுதும் உங்களுக்கு உங்களுக்கு இணையவசதியினை வழங்கும் நிறுவனம் புதிய வலையமைப்பு எண்ணையோ அல்லது அதே எண்ணையோ வழங்கும். பெரும் நிறுவனங்கள் இது போன்ற மாற்றத்தினை தாங்க முடியாது, வலையமைப்பின் கட்டமைப்பு மற்றும் பாதுகாப்புக் காரணங்களுக்காக தங்களுக்கென வெளி வலையமைப்பு எண்களைப் பணம் செலுத்தி வாங்கி வைத்திருப்பார்கள். எந்த ஒரு வெளி வலையமைப்பு எண்ணையும் யார் பெயரில் இருக்கிறது என்று உலகத்தில் எங்கிருந்தாலும் இணையத்தின் மூலம் கண்டுபிடிக்க முடியும் (WHOIS search)..

Reconnaissance செயல்பாட்டின் முதல் கட்டம் தாக்கப்போக்கும் வலையமைப்பில் உள்ள வெளி வலையமைப்பு எண்கள் என்னென்ன என்று கண்டுபிடித்து அந்த எண்ணுடன் செயல்படும் உபகரணத்தில் எந்த வலைத்தொடர்புப் புள்ளிகளெல்லாம் தொடர்புக்கெனத் திறந்து வைக்கப்பட்டிருக்கிறது என்பதனை கண்டறிவது தான் (Host Sweep and Port Scan).

தொடர்வோம்.

www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து...

இணையம் வெல்வோம் - 6

கடந்து செல்லும் தாவணிகளின் எண்ணிக்கை நூறானாலும் அல்லது ஆயிரமாயேனாலும் எப்படி ஒரு வயசுப் பையனின் கண்களும், மூளையும் பரபரத்துக், கடகடவென அத்தனையையும் அலசி, ஒன்றே ஒன்றைத் தேர்ந்தெடுத்து நிலை குத்தி நிற்கிறதோ, கிட்டத்தட்ட அதே வேகத்தோடும், விவேகத்தோடும், வந்து குவியும் வலையமைப்பின் அத்தனை செயற்பதிவுகளையும் ஆராய்ந்து முக்கியமான தகவல்களை மட்டும் பாதுகாப்பு வல்லுநர்களின் கவனத்திற்குக் கொண்டு செல்லும் தொழில்நுட்பம் தான் Security Incident and Event Management (SIEM).

SIEM தொழில்நுட்பம் களிமண் போன்றது. குரங்கும் பிடிக்கலாம், பிள்ளையாரும் பிடிக்கலாம் என்பது இதன் தனிச்சிறப்பு. ஒரு வலையமைப்பில் எந்தெந்த உபகரணங்கள், கணிணிகள், வழங்கிகளின் செயற்பதிவுகள் தேவை, அவற்றினை SIEM தொழில்நுட்ப உபகரணங்களுக்கு தங்கள் செயற்பதிவுகளை அனுப்பி வைக்கத் தேவையான நிரல்கள்/உத்தரவுகளை வழங்குதல் ஆகியவை பாதுகாப்பு வல்லுநர்களின் பொறுப்பு. மேலும் இப்படித் திரட்டும் செயற்பதிவுகளை வைத்து SIEM தொழில்நுட்பம் என்ன செய்ய வேண்டும் என்பதை நிரல்கள் மூலம் செயல்பட வைப்பதும் அவர்களின் வேலை. அப்படி என்னவெல்லாம் இதன் மூலம் செய்ய முடியும்?.

உதாரணத்திற்கு ஒரு நிறுவனத்திற்குப் பல நகரங்களில் கிளை நிறுவனங்கள் இருக்கிறது என்று வைத்துக் கொள்வோம். தினசரி டெல்லிக் கிளையிலிருந்து வலையமைப்பில் உள்நுழையும் சிதம்பரம் என்ற ஊழியர், அனைவரும் அலறும் வண்ணம் தீடீரென ஒருநாள் சிவகங்கையில் இருந்து வலையமைப்பில் உள்நுழைந்தால் SIEM தொழில்நுட்பத்தின் மூலம் கண்டுபிடிக்கலாம். சமயங்களில் நீங்கள் முக்கிய வேலையாக வெளியூர் சென்று முகப்புத்தகம் பார்க்காமல் முகம் வியர்த்து, கை நடுங்கி அவசர, அவசரமாக நீங்கள் உங்கள் பயனாளர் கணக்கினுள் உள்நுழைந்தால், நீங்கள் வழக்கமாக வரும் இணைய இணைப்பின் மூலம் உள்நுழையவில்லை என்று எச்சரிக்கக் கண்டிருப்பீர்கள். அதெல்லாம் கிட்டத்தட்ட SIEM வகை எச்சரிக்கைகள்.

வலையமைப்புப் பாதுகாப்பு வல்லுநர்களுக்கு SIEM மிகவும் சக்தி வாய்ந்த ஆயுதம், தாங்கள் நினைத்த வண்ணம், குறிப்பிட்ட சந்தேகத்திற்கிடமான சூழ்நிலைகளில் மட்டும் பாதுகாப்பு எச்சரிக்கைகளை அளித்து மில்லியன்/பில்லியன் எண்ணிக்கையிலான செயற்பதிவுகளை பின்னாளில் விசாரணக்குத் தோதாக சேமித்து வைக்கும் உற்ற தோழன்.

ஆதிகாலத்தில் ஹேக்கர்கள் சரவெடி போன்று தாக்குதல் நடத்துவது தான் வழக்கம். ஒரு இணையத்தளத்தில் பயனாளர் பெயர், கடவுச்சொல் உள்ளிடும் உள்நுழையும் பக்கம் (login page) இருந்தால் அதற்கு கண்ணிமைக்கும் நேரத்தில் நூற்றுக்கணக்கான உள்நுழையும் முயற்சிகளை நிரல்கள் மூலம் மேற்கொள்வது வழக்கம். ஒரு கடவுச்சொல்லை வைத்து பல பயனாளர்களின் பெயர்களை முயற்சி செய்வது, ஒரு பயனாளர் பெயரை வைத்து பலக் கடவுச்சொற்களை முயற்சி செய்வது, ஒவ்வொரு வலையமைப்பு உபகரணங்களுக்கு அதனைத் தயாரிக்கும் நிறுவனங்களின் பிரத்யேக பயனாளர் பெயர்/கடவுச்சொல் இருக்கும் (factory default admin account),  அவற்றை முயற்சி செய்வது இப்படி பலவகைத் தாக்குதல் சகட்டு மேனிக்கு நடக்கும்.

இதனைத் தவிர்க்கத் வலையமைப்பு பாதுகாப்பு வல்லுநர்கள் சில பரிந்துரைகளை முன்வைத்தனர். ஒவ்வொரு வலையமைப்பு உபகரணத்தின் தயாரிப்பு நிறுவனங்களின் பயனாளர் கணக்கின் கடவுச்சொல்லை மாற்றுவது, மூன்று முறைக்கு மேல் தவறான கடவுச்சொல் அளிக்கும் பயனாளர் கணக்கினை செயலிழக்கச் செய்வது, ஒரே வலையமைப்பு எண்ணில்/கணினியில் இருந்து குறிப்பிட்ட அளவுக்கு மேல் உள்நுழையும் முயற்சிகள் மேற்கொள்ளப்பட்டால், குறிப்பிட்ட கால அளவிற்கு அந்த வலையமைப்பு எண்ணைத் தடை செய்வது, CAPTCHA தொழில்நுட்பம் மூலம் தானியங்கி நிரல்கள் மூலம் தொடுக்கப்படும் முயற்சிகளைத் தவிர்ப்பது ஆகியவை அவற்றுள் சில.

ஊரே உலையில் விழுந்தாலும் எப்படி நாம் அன்று திரைப்படம் வெளியானால் அதற்கு திரைவிமர்சனம் எழுதி குதூகலிப்பதை நிறுத்துவதில்லையோ, அதைப் போல ஹேக்கர்களுக்கு தன் முயற்சிதனைக் கைவிடுதலும், தளர்ந்து போதலும் பழக்கமன்று. தாக்கப்போகும் வலையமைப்புகளை, இப்படிக் காட்டாற்று வெள்ளம் போல பாய்ந்து, பிராண்டினால் நிச்சயம் கண்டுபிடித்து விடுவார்கள், அதனால் ஒரு பலனும் இல்லை என்று உணர்ந்த ஹேக்கர்கள், கொண்டு வந்த மறுமலர்ச்சித் திட்டம் தான் APT எனப்படும் Advanced Persistence Threat. ‘இதயம்’ திரைப்பட முரளியைப் போன்று ஒரே இடத்தை பொறுமையாகக் குறி வைத்து அடிமேல் அடி வைத்தால் அம்மியும் நகரும் என்பதற்கேற்ப நிதானமாக மாதக்கணக்கில் நேரம் எடுத்து தாக்குதல் நடத்தி வெற்றி பெறும் போர் முறை தான் APT. இத்தகையத் தாக்குதல் நடத்துவதற்கு எந்த அளவு தேர்ந்த மதியும், நுட்பமும், நிதானமும் தேவையோ, அதனைவிட அதிகம் தேவை இவற்றைக் கண்டுபிடித்துத் தடுப்பதற்கு.

ஒரு பயனாளரின் பெயர் மட்டும் உங்களுக்குத் தெரிகிறது, கடவுச்சொல் தெரியவில்லை என்று வைத்துக் கொள்வோம். பயனாளர் கணக்கினை உடைத்து உள்நுழையும் முயற்சிகளுக்கு என்றே கடவுச்சொல் பட்டியல்கள் உண்டு. அது கிட்டத்தட்ட அகராதியில் உள்ள அத்தனை வார்த்தைகளையும், கணிணியின் விசைப்பலகையின் மூலம் உள்ளிடக்கூடிய அத்தனை எழுத்துக்கள்/எண்கள் அனைத்தையும் விதவிதமாகக் கூட்டமைத்தும் இருக்கும். இவையனைத்தும் எழுத்தின் எண்ணிக்கையின் படி வரிசைப்படுத்தப்பட்டிருக்கும். இதன் காரணமாகத் தான் கடவுச்சொற்களின் நீளம் இத்தனை எழுத்துக்கள் இருக்க வேண்டும், அனைத்து வகை எழுத்துக்கள், எண்கள் இவற்றின் கலவையாக இருக்க வேண்டும் போன்ற பரிந்துரைகள் பயனாளர்களுக்கு வழங்கப்படுகின்றன, அப்படி செய்வது மூலம் உங்கள் கணக்குப் பாதுகாப்பான ஒன்று நினைத்து விடக் கூடாது, திங்கள் கிழமை போக வேண்டிய மானம் சனிக்கிழமை போகும், அவ்வளவே. ஆனால் இதன் மூலம் வலையமைப்பு பாதுகாப்பு வல்லுநர்களுக்கு இது போன்ற தாக்குதலை கண்டுபிடிப்பதற்குப் போதிய கால அவகாசம் கிடைக்குமென்பதே முக்கியக் காரணம்.

அளவுக்கு மேல் பெருத்துக் கொழுத்த நிறுவனங்கள் தங்களின் இணையத்தளத்தின் வழங்கிகள் (Web Servers), உலகமெங்கும் பரவியிருக்கும் வாடிக்கையாளர்கள் மற்றும் ஊழியர்களின் கோப்புப் பறிமாற்றத்திற்கான வழங்கிகள் (FTP servers), எங்கிருந்து வேண்டுமானாலும் இணையத்தின் மூலம் நிறுவனத்தில் உள்வலையமைப்பிற்குள் பாதுகாப்பாக நுழைவதற்கான  VPN (Virtual Private Network) போன்றவற்றை இணையத்தின் மூலம் உலகத்தின் எந்த மூலையில் இருந்தாலும் நாம் தொடர்பு கொள்ள முடியும். இது போன்ற நிறுவனங்கள் இணையப் பாவனையில் இருக்கும் தங்களின் வழங்கிகளின் பாதுகாப்பினை உறுதியாக வைத்திருப்பது அவசியம், இல்லையேல் ஹேக்கர்கள் இணையத்தள வழங்கியில் உள்நுழைந்து உங்களின் இணையத்தளத்தின் முதல் பக்கத்தில் ‘இன்னும் 15 நாள்ல கரண்ட் வந்துரும்’ என்று பாண்டிச்சேரி நாரயணசாமியை பேசவைக்க முடியும்.

ஹேக்கர்களிலும் பல விதமானவர்கள் உண்டு. ஒரு வலையமைப்பின் மீது தாக்குதல் நடத்தி வெற்றியடைந்து உள்நுழைந்த உடன் அலறி அடித்து, கோப்புகளை அள்ளிச் சுருட்டி, செயற்பதிவுகளை அழித்து, “அசந்தா அடிக்கிறாது உங்க பாலிசி, அசராம அடிக்கிறது என் பாலிசி’ என்பது போன்ற முத்திரை வசனங்களை இணையத்தளங்களில் வலையேற்றி, சில நிமிடங்களில் அந்த இடத்தையே ரணகளமாக்கிச் செல்பவர்களும் உண்டு. உள்நுழைந்த சுவடே தெரியாமல் அப்படியே அமைதியாக மாதக்கணக்கில் உள்ளிருப்புப் போராட்டம் நடத்தி ஆணிவேர் வரை ஒட்டு மொத்தத் தகவல்களையும் மொத்தமாக, நிதானமாக உருவும் வித்தைக்காரக்ளும் உண்டு.

மேற்சொன்ன அத்தனை சூழ்நிலைகளையும் ஒரு தேர்ந்த வலையமைப்புப் பாதுகாப்பு வல்லுநர் SIEM தொழில்நுட்பத்தின் மூலம் கண்டுபிடித்துத் தடுக்க முடியும். SIEM தொழில்நுட்பத்தினை ஒரு வலையமைப்பில் நிறுவி, நிர்வகிப்பதும், ஷங்கர் படத்தைத் தயாரிப்பதும் ஒன்று, எவ்வளவு பணம் போட்டாலும் முழுங்கும் வல்லமை வாய்ந்தது.

HP, IBM, McAfee, RSA போன்ற நிறுவனங்களின் SIEM தயாரிப்புகளே இன்றைய தேதிக்கு முண்ணனியில் இருப்பவை. இவற்றை வாங்கி நிறுவவதற்கும், அதனைத் திறம்பட நிர்வகித்து அவற்றின் முழுத்திறனையும், பயனையும் பெற்றிடத் திறமையுள்ள பாதுகாப்பு வல்லுநர்களை வேலைக்கு வைத்துக் கொள்வதற்கும் நல்ல கனமான பணப்பை முக்கியம். இப்படி விதவிதமான தொழில்நுட்பங்கள் மூலம் தங்கள் வலையமைப்பிற்கு அரண் அமைக்கும் அளவிற்கு இவர்களை மிரட்டும் ஹேக்கர்களின் பிரபலமான தாக்குதல் வகைகள் என்ன, அவற்றை எதிர்கொள்ளும் உத்திகள் என்ன?...

தொடர்வோம்..

www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து...

இணையம் வெல்வோம் - 5

வலையமைப்புப் பாதுகாப்பின் அச்சாணியாக விளங்குவது செயற்பதிவு (event log) என்னும் சமாச்சாரம் தான். அதில் அப்படி என்ன விசேஷம் என்றால், எந்த ஒரு கணிணி, வலையமைப்பு உபகரணங்கள் மற்றும் நாம் பயன்படுத்தும் மென்பொருட்கள் இவையனைத்தும் வெளிப்பார்வைக்கு நாம் சொல்வதெல்லாம் செய்யும் விளையாட்டுப் பொருளாகத் தெரிந்தாலும், பயனாளராகிய நாம் என்னெவெல்லாம் செய்யச் சொல்கிறோம், அதனைச் செயல்படுத்துவதன் மூலம் உங்கள் கணிணி, கோப்புகள் மற்றும் உங்கள் வலையமைப்பில் நிகழும் மாற்றங்கள் அனைத்தும் செயற்பதிவுகள் மூலம் சேமிக்கப்படுகின்றன.

‘இன்னைக்கி எங்க வீட்ல தோசை சுட்டோம்’ என்று சொன்னால் கூட, எங்கள் ஆட்சிக்காலத்தில் தான் அதற்கு மாவாட்டிக் கொடுத்தோம் என்று பெருமை பாராட்டும் சட்டமன்றத்தில் எப்படி நம் அரசியல்வியாதிகள் தங்கள் திருவாய் மலர்ந்தருளும் அனைத்தும் பதிவு செய்யப்படுகின்றதோ கிட்டத்தட்ட அதைப்போலவே உங்கள் மென்பொருள், வலையமைப்புப் போக்குவரத்து அனைத்தும் பதிவு செய்யப்பட்டு ஒரு கோப்பினில் சேமித்து வைக்கப்படும். ஒரு வித்தியாசம், செயற்பதிவுகளில் இருந்து எதையும் சபைக்குறிப்பில் இருந்து நீக்கி விடுவதைப்போல அழித்து விட முடியாது. உடனே செயற்பதிவுகள் எப்படி இருக்கும் என்று பார்த்து விடத் ‘துடிக்குது புஜம், ஜெயிப்பது நிஜம்’ என்று திமிறும் அன்பர்கள் உங்கள் கணிணி Windows இயங்குதளத்தில் செயல்படுவதாக இருந்தால் Control Panel -> Event Viewer சென்று சுற்றிவரவும்.

கேட்பதற்கு எளிமையாக இருக்கும் இந்த செயற்பதிவுகள் தரும் தகவல்களின் ஆழம் மிகமிக அதிகம். செயற்பதிவுகள் மூலம் உங்கள் கணிணியோ அல்லது வலையமைப்பு உபகரணமோ எத்தனை மணிக்கு இயங்க ஆரம்பிக்கிறது, நிறுத்தப்படுகிறது என்பது முதல், யாரெல்லாம் உள்நுழைகிறார்கள், அவர்கள் என்னென்ன மென்பொருட்களைப் பயன்படுத்துகிறார்கள், எந்தெந்த கோப்புகளை பயன்படுத்துகிறார்கள், எவற்றைப் படிக்கிறார்கள், எவற்றில் மாற்றம் செய்கிறார்கள், கணிணியின் வெப்பமதிகமாகி காய்ச்சலடிக்கிறதா, செயலி (processor) அதிக வேலைப்பளுவால் மூச்சுத்திணறுகிறதா, உபகரணத்தினுள் வெப்பத்தினை வெளியேற்ற வைத்திருக்கும் காற்றாடி சுற்றுகிறதா என்பது வரை அனைத்தும் வருடம், மாதம், தேதி, மணி, நிமிடம், நொடி என்று அத்தனை விவரங்களையும் ஒரு கணிணியிலோ/வலையமைப்பு உபகரணத்திலேயோ கண்டுபிடிக்க முடியும்.

இந்த செயற்பதிவுகள் தான் இணையக் குற்றங்களுக்கு சட்டரீதியான ஆதாரம். எந்த ஒரு முறையான வலையமைப்பிலும் செயற்பதிவுகளை மாற்றம் செய்வதோ, பார்வையிடுவதோ பொதுப்பயனாளர்களுக்குத் தடை விதிக்கப்பட்டிருக்கும். அதை மீறி ஏதாவது குறுக்கு வழியில் அதனை அழிப்பதோ, மாற்றம் செய்வதோ கடும் பின்விளைவுகளை ஏற்படுத்தும். இவை சட்டரீதியான விசாரணைகளுக்கு முக்கிய ஆதாரங்களாக நீதிமன்றங்களால் எடுத்துக் கொள்ளப்படுமென்பதை அவ்வளவு எளிதாகப் படித்து விட்டுக் கடந்து சென்றுவிட முடியாது. செயற்பதிவுகளுக்கு உண்மையிலேயே அது பதிவு செய்யும் செயல்களுக்கான ஆணைகளைத் தரும் மனிதர் யார் என்பது தெரியாது, அதனைப் பொருத்தவரை ஒவ்வொரு செயலுக்கும் ஒரு பயனாளர் பெயர் தான் காரணம். குறிப்பிட்ட ஒரு செயல்பாடு நடக்கும் பொழுது அந்தக் கணிணியிலொ அல்லது வலையமைப்பு உபகரணத்திலோ எந்த பயனாளர் உள்நுழைந்திருக்கிறாரோ அவர் பெயர் தான் பதிவு செய்யப்படும்.

அலுவலகத்தில் பணிபுரிந்து கொண்டிருக்கும் பொழுது பட்சி கூப்பிடுகிறதென்று சலனப்பட்டு உங்கள் கணிணியினை பூட்டாமல் காபி குடிக்கப் போனாலோ அல்லது உங்கள் கடவுச்சொல் அடிக்கடி மறந்துபோய் இம்சிக்கிறதென்று கணிணித்திரையின் மேலேயே ஒரு காகிதத்தில் கோவில் மின்விளக்கிற்கு உபயம் எழுதும் அளவுக்கு பெரிதாக அதனை எழுதி வைத்தாலோ உங்களை நிமிடத்தில், மறுநாள் காலை அனைத்து தொலைக்காட்சி நிருபர்களும் ‘இவர் இப்பத்தான் இப்படியா இல்ல சின்ன வயசிலேர்ந்தே ஒரு மாதிரி தானா?’ என்று உங்கள் வீட்டுத் தெருவில் விசாரிக்கும் அளவுக்கு பிரபலமான குற்றவாளியாக்க முடியும். ஏனெனில் உங்கள் கணிணியின் மூலமாகவோ அல்லது உங்களின் வடமில்லா வலையமைப்பு மூலமாகவோ உள்நுழைந்து இணைய இணைப்பினைப் பயன்படுத்தி யாராவது வழக்குப் போடும் அளவிற்கு மானமிருக்கும் பிரபலங்களை மானக்கேடாகத் திட்டி மின்னஞ்சலாம், டிவிட்டலாம், உங்கள் உலாவியில் பயன்படுத்தும் மின்னஞ்சல், முகப்புத்தகம் ஆகியவற்றின் கடவுச்சொற்களை உங்கள் வசதிக்காக உலாவியிலேயே (remember password feature) சேமித்து வைக்கும் ஆசாமியாக நீங்கள் இருந்து விட்டால் மிகச் சிறப்பு, இப்படி செய்யப்படும் அனைத்து குற்றங்களுக்கும் தொழில்நுட்ப ரீதியாக விசாரணை நடத்தும் போது, முக்கிய ஆட்டக்காரராக ஆடப்போவது செயற்பதிவுகள் மட்டுமே. செயற்பதிவுகள் பயனாளர் பெயரை மட்டுமே சொல்லும், அதனைப் பயன்படுத்திய மனிதர் யாரென்பது குறித்து சட்டமும், செயற்பதிவும் கொஞ்சம்  கூட அலட்டிக் கொள்ளப்போவதில்லை.

பிறகு இது குறித்து யார் தான் கவலைப்படுவது?. நாம் தான். இதனை மனதில் வைத்துத்தான் ஒவ்வொரு பயனாளரும் தங்கள் கடவுச்சொற்களை இறுக்கி முடிந்து வைத்துக்கொள்ளுங்கள், உங்கள் வீட்டில் வடமில்லா வலையமைப்பு இருந்தால் அதனைக் கடுமையானக் கடவுச்சொல் மூலம் பூட்டி வையுங்கள் என்று வன்மையாக வலையமைப்புப் பாதுகாப்பு வல்லுநர்கள் பரிந்துரைக்கிறார்கள். ‘நாங்களும் காசு கொடுத்து வாங்கிட்டோம்ல’ என்று வடமில்லா வலையமைப்பு உபகரணங்களை வாங்கி வைத்து விட்டு மார்தட்டும் மைனர் குஞ்சுகள் தயவு செய்து அது எந்த அளவு பாதுகாப்பாக இருக்கிறது என்பதனை, அதனை நிறுவ வரும் வல்லுநரிடம் நறுக்கென்று கேட்டு, அதனை செயல்படுத்தவும் சொல்லவும். இதனை இங்கு அழுத்திச் சொல்லக் காரணம் எந்தப் பொருள் வாங்கினாலும், எப்பொழுதும் நாம் படிக்காமலேயேக் கையெழுத்திடும் காகிதங்களின் நிபந்தனைகள் பட்டியலில் பாதுகாப்புப் பாலெல்லாம் அழும் குழந்தைகளுக்கு மட்டும் கொடுக்கவும் என்று தான் இருக்கும். எனவே மறக்காமல் அழுது வைக்கவும். இப்படி நிபந்தனை விதிப்பது, வாரத்திற்கு இருமுறை ‘அக்கா… மறந்து போச்சு.. கொஞ்சம் மாத்திக் கொடுங்களேன்’ என்று வாடிக்கையாளர்கள் சேவைக்கு வரும் கடவுச்சொல் மறந்து போனவர்களின் அன்புத்தொல்லைகளைத் தவிர்க்கவும், அதற்குத் தேவைப்படும் தொழில்நுட்ப வல்லுநரின் கூடுதல் மணித்துளிகளுக்கான ஊதியமும் என்பது குறிப்பிடத்தக்கது.

இப்படி நம் கணிணிகளிலும், சாதாரண வலையமைப்பு உபகரணங்களிலுமே இவ்வளவு தகவல்கள் கிடைத்தால், வலையமைப்பின் பாதுகாப்புக்கென பயன்படுத்தப்படும் சிறப்பு உபகரணங்கள் சொல்லும் கதைகள் இன்னும் சுவாரசியம். காலை அலுவலகத்திற்குச் சென்றதும் சூடான காபி சுவைத்துக் கொண்டே நாளெடுகளின் செய்திகளை நிதானமாக வலைமேய்ந்த பின் வேலை பார்க்க ஆரம்பிக்கும் பழக்கமுள்ள தனிநபர் அந்த நேரத்தில் மட்டுமே சில நூறு செயற்பதிவுகளை உருவாக்க முடியும் என்றால், நூற்றுக்கணக்கான பயனாளர்கள் பணிபுரியும் நிறுவனங்களின் வலையமைப்பின் வேலைநேரத்தில் உண்டாகும் வலையமைப்புக் போக்குவரத்துகள், கணிணி, இணையம்/மின்னஞ்சல் தொடர்பான செயல்பாடுகள் மொத்தமாக உருவாக்கும் செயல்பதிவுகள் மில்லியன்/பில்லியன் எண்ணிக்கையில் இருக்கும்.

ஒரு வலையமைப்பில் குறிப்பிட்ட நேரத்தில் என்ன நடந்து கொண்டிருக்கிறது என்பதனை செயற்பதிவுகள் மூலமே பாதுகாப்பு வல்லுநர்கள் கண்காணிக்கிறார்கள். அதிலும் வெளிவலைப்போக்குவரத்து உள்நுழையும் இடத்திலும், உள்வலைப்போக்குவரத்து வெளியேறிச் செல்லும் இடத்திலும் உள்ள வலையமைப்பு உபகரணங்களின் செயற்பதிவுகளைக் கண்காணிப்பது மிகவும் முக்கியம். உதாரணத்திற்கு வலைத்தடுப்பு உபகரணத்தின் (firewall) செயற்பதிவுகளை நேரடியாக பார்வையிட்டால் கணிணித் திரையில் செயற்பதிவுகள் மும்மாரி பொழியும், நயாகரா நீர்வீழ்ச்சிக்கடியில் குடை பிடித்து நுழைந்த அனுபவம் கிடைக்கும். இவற்றை ஒவ்வொரு பக்கமாக எச்சில் தொட்டுப் புரட்டிப் படித்து முடிப்பதற்குள் அடித் தொண்டை வரண்டு, கண்கள் இருட்டி, மயக்கமே வந்து விடும், நடைமுறைக்கும் ஒத்துவராது. ஒவ்வொரு செயற்பதிவினையும் நூறு அல்லது ஆயிரக்கணக்கான கணிணிகள், வலையமைப்பு உபகரணங்கள், பயனாளர்கள் உள்ள ஒரு வலையமைப்பில் சோதித்துப் பார்ப்பதென்பது ‘தமிழகத்தில் தடையில்லா மின்சாரம்’ என்பதை விடவும் கடினம், நிச்சயம் சாத்தியமில்லை.

ஒரு வலையமைப்பில் வெளியிலிருந்தோ அல்லது உள்ளிருந்தோ நடத்தப்படும் வலைத்தாக்குதல்களை சில நிமிடங்களில் கண்டுபிடித்து விருது வாங்குவதில் வல்லவர்களான பாதுகாப்பு வல்லுநர்கள், மலைக்கும் அளவு எண்ணிக்கையில் இருக்கும் செயற்பதிவுகளை எப்படி கட்டி மேய்க்கிறார்கள்?, எத்தகையத் தாக்குதல்களை ஹேக்கர்களிடமிருந்து இவர்கள் எதிர்கொள்கிறார்கள், எல்லோராலும் ஹேக்கிங் செய்ய முடியுமா?, இவ்வளவு தொழில்நுட்பங்கள் இருந்தாலும் ஏன் ஹேக்கர்களின் தாக்குதலை எல்லா நேரங்களிலும் தடுக்க முடிவதில்லை?....

தொடர்வோம்..

www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து...

இணையம் வெல்வோம் - 4

வலையமைப்புப் பாதுகாப்பு வல்லுநர்களுக்கு இரு பெரும் பொறுப்புகள் உண்டு. ஒன்று தாங்கள் கண்காணிக்கும் வலையமைப்பினை எந்தவித தாக்குதலுக்கும் பலியாகாமல் வருமுன் காப்பது,அது முடியாதபட்சத்தில் அதனைக் கண்டுபிடித்து சீராக்குவது. படிப்பதற்கு எளிதாகத் தோன்றினாலும், மிகவும் சிரமமான, தகவல் தொழில்நுட்ப வேலைகளில் முதலிடம் இதற்குத் தான். தாங்கள் பாதுகாக்க வேண்டிய வலையமைப்பின் கட்டமைப்பு, பயன்பாட்டுக்கு உள்ள பாதுகாப்புத் தொழில்நுட்பங்கள், அணுதினமும் மாறிவரும் பாதுகாப்புச் சூழலை கிரகித்து வருதல், தங்கள் வலையமைப்பின் பயன்பாடு குறித்தான தகவல்களை விரல் நுனியில் வைத்திருத்தல், நடு ராத்திரி தூக்கத்தில் எழுப்பினாலும் முனகல் சத்தம் கூட போடாமல் வேலை பார்க்கத் தயாரயிருத்தல் ஆகியவை இவர்களின் அத்தியாவசியமான அம்சங்கள். இவர்களுக்குள்ளும் குறிப்பிட்ட தொழில்நுட்பத்தின் சிறப்பு வல்லுநர்கள், கணினித் தடயவியல் நிபுணர்கள், வலைக் கட்டமைப்புக் ஆலோசகர்கள் என பலவகைக் குழுக்கள் உண்டு. உதாரணத்திற்கு ஒரு நிறுவனத்தில பணி நேரத்தில் வேலை பார்க்காமல் அளவு கடந்து வலை மேய்பவர்கள், சக ஊழியர்களிடம் சாட்டில் வரம்பு மீறி சதா ஜொள்ளித் திரிபவர்கள், போட்டியாளர்களிடமோ அல்லது எதிரிகளிடமோ முக்கிய, ரகசியத் தகவல்களை வலை மூலம் கருணா வேலை செய்பவர்கள் என்று கணிணித் திரைக்குப்பின் முகம் மறைந்திருப்பதால் மிகவும் பாதுகாப்பாக இருப்பதாக நினைத்துக் கொண்டு அட்டகாசம் செய்யும் சகலரையும் கையும், கணிணியுமாகப் பிடித்து பீதியூட்டுவது இவர்களின் அன்றாட பணிகளில் சாதாரணம். இதன் பின்விளைவுகளாக குற்றம் செய்பவரின் வாழ்க்கையில் ஏற்படும் பாதிப்புகள் மிகக்கடுமையாக இருக்கும். சிறை, வேலை இழப்பு, விவாகரத்து, சமயங்களில் தற்கொலை என எதுவாக வேண்டுமானாலும் இருக்கலாம், பொதுவாக இது போன்ற பின் விளைவுகள் குறித்து பாதுகாப்பு வல்லுநர்களுக்கு எதுவும் தெரியாதவாறு அவர்கள் பணிபுரியும் நிறுவனங்கள் பார்த்துக் கொள்ளும். அதன் மூலம் ஏற்படும் மன உளைச்சலும், குற்றவுணர்ச்சியும் அடுத்த முறை ஒரு வலைக்குற்றத்தினைப் பற்றி விசாரணை செய்யும் பொழுது பாதிக்க வாய்ப்பிருப்பதே காரணம்.

எல்லோரையும் போல சாதரணமாக நேர்முகத்தேர்வு, குற்றவியல் பின்னணி குறித்தான விசாரணை போன்ற சம்பிரதாயங்கள் முடிந்து பணியில் சேரும் சாதா வல்லுநர்களும் உண்டு, ஜீன்ஸ்-டீஷர்ட் அணிந்து வரவேற்பறையில் இருக்கும் வண்ணத்துப்பூச்சிகளைக் கவிழ்த்து வலையமைப்பினை ஹேக் செய்து தங்களின் சகல திறமைகளையும் நிரூபித்து அசத்தலாக நுழையும் சூப்பர் வல்லுநர்களும் உண்டு, இவர்கள் உள்ளே நுழைந்ததும் செய்யும் முதல் வேலை வலையமைப்பின் கட்டமைப்பினை அலசித் துவைத்துக் காயப்போடுவது தான். காரணம் ‘ஊசி இடம் கொடுத்தால் தானே நூல் நுழைய முடியும்’ என்று ஐம்பது வருடங்களுக்கு முன்பே நம்மூர் வக்கீல்கள் கற்பழிப்பு வழக்குகளுக்கென சிறப்பாகக் கண்டுபிடித்த அதே தத்துவம் தான்.

வலையமைப்பு என்பது உங்கள் வீட்டைப் போன்றது. எந்தெந்த இடத்தில் ஜன்னல், நிலைக்கதவு, வாசல் வைக்க வேண்டும் என்று ஒரு முறை இருக்கிறதோ அதே போன்று வலையமைப்பிலும் இருக்கிறது. வீட்டுக்கு வெளியில் இருந்து உள்ளே நுழைய ஏதுவாயிருக்கும் முன்வாசல், பின் வாசல், ஜன்னல் கதவுகளை எப்படி சிறப்புக் கவனத்துடன் கனத்த இரும்புக் கம்பிகளைக் கொண்டும், பெரிய அளவு பூட்டுக்களையும் போட்டு அலங்கரித்து அழகு பார்க்கிறோமோ அதைப் போலவே வலையமைப்பினிலும் வடிவமைப்பிற்கான சாஸ்திர, சம்பிரதாயங்கள் உண்டு. ஒவ்வொரு வலையமப்பிலும் இரண்டு புள்ளிகள் சிறப்புக் கவனம் பெறுகின்றன. ஒன்று உள் வலைப்போக்குவரத்து வெளியே இணையத்துக்குச் செல்லும் வழி (Egress Point) மற்றது இணையத்தில் இருந்து வரும் வலைப்போக்குவரத்து உங்கள் நிறுவனத்தின் உள்வலையமைப்பிற்குள் நுழையும் வழி (ingress Point). உங்கள் வீட்டில் உங்களுக்கு இணைய வசதியினை தரும் நிறுவனத்தின் வலைத்தொடர்பு சாதனமே உள்ளே நுழைவதற்கும், வெளியே செல்லுவதற்குமானத் தொடர்புப் புள்ளியாக விளங்குகிறது என்பதனை நினைவில் கொள்ளவும்.

உதாரணத்திற்கு நீங்கள் பணிபுரியும் நிறுவனத்தில் இருந்து ஒரு இணையத்தளத்தின் முகவரியினை உங்கள் உலாவியில் உள்ளிடும் பொழுது உங்களின் வலைப்போக்குவரத்து வெளியே இணையத்திற்குச் சென்று (egress point) நீங்கள் கேட்கும் தகவல்களை அத்தளத்தின் வழங்கியிடம் தெரிவிக்கும். அதற்குப் பதிலாக வழங்கி தரும் தகவல்களை இணையத்திலிருந்து உங்கள் நிறுவனத்தின் வலையமப்பிற்குள் (ingress point) கொண்டு வந்து சேர்க்கும். ஒரு வலையமைப்பின் பாதுகாப்பு அரண் இந்த இரண்டு புள்ளிகளிளும் தான். வலையமைப்பில் இருந்து வெளியே செல்லும் தகவல்கள் அனைத்தும் அனுமத்திக்க பட்ட இடத்திற்கு மட்டும் செல்வதையும், அவை எந்தவித வில்லங்கம் இல்லாத தகவல் பறிமாற்றம் என்பதையும் உறுதி செய்வது பாதுகாப்பு வல்லுநர்களுடைய பணி. சிலநேரம் நிறுவனத்தில் பணிபுரியும் கணக்குப்பிள்ளை திடீரென ’30 நாட்களுக்குள் ஹேக்கராவது எப்படி?’ படித்து விட்டு வந்து நிறுவனத்தின் வலையமைப்புக்குள் இருந்து கொண்டு நாசாவின் இணையத்தளத்திற்குள் ராக்கெட் விட்டு உங்களுக்கு காய்ச்சல் வரவைக்க வாய்ப்பிருப்பதால் தாங்கள் நிர்வகிக்கும் வலையமைப்பின் பயனாளர்கள் யார், அவர்கள் வலையமைப்பிற்கு வெளியே இணையத்திற்கு எதற்கெல்லாம் செல்கிறார்கள், எங்கெல்லாம் செல்கிறார்கள் என்பதைக் கட்டுக்குள் வைத்திருப்பது பாதுகாப்பு வல்லுநர்கள் பணிகளில் ஒன்று.

அதே போன்று இணையத்தில் இருந்து உங்கள் உள்வலையமைப்பிற்குள் வரும் தகவல்களான மின்னஞ்சல்கள், பயனாளர்கள் உலாவியின் வழியாகக் கேட்டுப்பெறும் அனைத்து வகையான இணையத்தளங்கள் என அனைத்தையும் கட்டுப்பாடோடும், கண்காணிப்பிலும் வைத்திருப்பது அவசியம். இவையனைத்தையும் கண்காணிப்பதும், கட்டுக்குள் வைத்திருப்பதும் அவ்வளவு எளிதல்ல. இவ்வளவுத் தகவல்களும் திரைக்காட்சிகளாகத் துல்லியமாக திரையில் தோன்றப்போவதில்லை, இவையனைத்தும் வலையமைப்பு எண்களாகவும் (IP Address), வலைத்தொடர்பு எண்களாகவுமே காணக்கிடைக்கும் (Port numbers), இப்படி எங்கேங்கே காணினும் எண்களாக காட்சி தரும் தகவல்களை எப்படி இனங்கண்டு கொள்வது?. வலையமைப்பினில் உள்ள ஒவ்வொரு உபகரணத்திற்கும், உங்கள் கணிணி உட்பட உள்ள முகவரி மற்றும் அடையாளம் தான் வலையமைப்பு எண். உங்கள் வலைதொடர்பின் முறையினைப் பொறுத்து (protocol)) பயன்படுத்தப்படும் வலைத்தொடர்பு எண் மாறுபடும். உலாவியில் நாம் பொதுவாக பயன்படுத்தும் இணையத்தள மேய்தலுக்கு (http) 80, கோப்புகள் பகிரப் பயன்படுத்தபடும் FTPக்கு (File Transfer Protocol) 21, பாதுகாப்பான இணையத்தளத் தொடர்புக்கு பயன்படுத்தப்படும் குறீயீட்டு முறைப்படுத்தப்பட்ட வலைப்போக்குவரத்துக்கு 443 இப்படி அடுக்கிக் கொண்டே போகலாம். இது போல நாம் கணிணியில் செயல்படுத்தும் ஓவ்வொரு நிரலுக்கும் அல்லது மென்பொருளுக்கு என்று தனிக்குணங்களில் அவைப் பயன்படுத்தப்படும் வலைத்தொடர்பு எண்களும் உண்டு.

இப்படி, வலையமைப்பினுள் இருக்கும் ஒவ்வொரு சாதனத்தின் வலையமைப்பு எண்களையும் அவர் பயன்படுத்தும் அனைத்து வகையான வலைத்தொடர்பு எண்களையும் பார்த்துப் பார்த்துக் கண்கள் சிவந்த பாதுகாப்பு வல்லுநர்களுக்கு இவையனைத்தும் தலைகீழ் மனப்பாடம். இவர்களின் விவாதங்களின் போது மென்பொருட்களின் பெயர்களைத் தனியே உச்சரிப்பது அரிது அப்படியே உச்சரித்தாலும் கூடவே வலைத்தொடர்பு எண்களைக் குறிப்பிட மறக்க மாட்டார்கள். அத்தனைத் தகவல்களையும் அறிந்து வைத்திருந்தாலும் 24 மணி நேரமும் வலையமைப்பின் செயல்பாடுகளைக் கட்டுக்குள் வைத்திருப்பது மிகக் கடினம். பாதுகாப்பு வல்லுநர்களின் வேலையை எளிதாக்க மின்னஞ்சல் (Email Security gateway), இணையதளப் பயனளார்களின் போக்குவரத்து (Web Gateway/URL Filtering), இணையத் தள வழங்கிகளுக்கு (Web Application Firewall), பொதுவான வலைப்போக்குவரத்து (Network Security – IPS/IDS), தகவல் இழப்பினைத் தடுத்தல் (Data Loss Prevention) என பலவிதமான தொழில்நுட்பங்கள் உண்டு.

இப்படி ஆயிரம் தொழில்நுட்பங்கள் இருந்தாலும், அசகாய சூரர்களான பாதுகாப்பு வல்லுநர்கள் இருந்தாலும், இணைய உலகின் வலைப்பாதுகாப்புக்கான அச்சாணியாக விளங்கும் சமாச்சாரம் ஒன்று உள்ளது. அது இன்றி வலையுலகில் அணுவும் அசைவதில்லை. ஒரு வலையமைப்பினை கட்டுடைத்து உள்நுழைவதை விடவும் இதனை அழித்தலோ அல்லது மாற்றியமைத்தலோ மிகப்பெரியக் குற்றமாகக் கருதப்படும். அது என்ன?

தொடரும்…

www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து...

இணையம் வெல்வோம் -3

திடீரென்று உங்கள் வீட்டுக் கதவைத் தட்டி காவல்துறையின் சீருடையில் ஒருவர் அதிகாரத் தோரணையில் விசாரித்தால் அனேகம் பேர் நிச்சயம் அந்த நபர் தங்கபதக்கம் சிவாஜியோ அல்லது வால்டர் வெற்றிவேல் சத்யராஜாகவோ தான் இருக்க வேண்டும் என்று நம்பி,கடகடவென நேற்று வைத்த மீன் குழம்பு முதல் இன்று காலை பல் விளக்கியது வரை விவரித்து புல்லரிக்க வைத்து விட வாய்ப்பிருக்கிறது. அப்படி ஒரு சந்தர்ப்பத்தில் சிக்கினால் முதலில் சீருடையில் இருப்பவர் உண்மையிலேயே காவல்துறையைச் சேர்ந்தவர் தானா என்று அடையாளப் படுத்திக் கொள்வேன் என்று கூறும் அன்பர்கள் தங்கள் தோளில் தட்டிக் கொடுத்துக் கொண்டு தொடரவும். கிட்டத்தட்ட அப்படியொரு சூழ்நிலையினை மின்னஞ்சல் மூலம் உருவாக்கி உங்களை உணர்ச்சி வசப்பட வைத்து பலியாடாக்குவது தான் Spear Phishing Attack.

ஒரு நல்ல திடம், மணம், சுவை நிறைந்த Spear Phishing தாக்குதலைச் சமைக்கத் தேவையான பொருட்களில் முதன்மையானது தரமான பலியாடு மற்றும் அதன் மின்னஞ்சல் முகவரி,  பலியாட்டின் நம்பிக்கைக்குரிய ஒருவரின் அல்லது எதைச் சொன்னாலும் உடனே செய்ய வைக்கக் கூடிய பணியிடத்தின் உயரதிகாரியின் பெயர் மற்றும் மின்னஞ்சல் முகவரியும் ஆகும். இவற்றுடன், தாக்குதலுக்கென பிரத்யேகமாகத் தயாரிக்கப்பட்ட virus, malware, spyware போன்ற ஆயுதங்களுடன் களமிறங்குதல் சிறப்பு. இவையெல்லாம் நம் தெரு முக்கில் உள்ள மளிகைக் கடையில் கிடைத்து விடாது எனபதை நினைவில் கொள்ளவும். முதலில் virus, spyware and malware ஆக செயல்படப்போகும் நிரல்களை எழுதும் திறன் வேண்டும். அந்த நிரல்கள் கணிணி மற்றும் வலையமைப்புப் பாதுகாப்புக்கான மென்பொருட்கள் மற்றும் தொழில்நுட்பங்களால் கண்டுபிடிக்க முடியாத வகையில் இருக்க வேண்டும். ஒரு வேளை உங்கள் தாக்குதல் வெற்றிகரமாக முடிந்தால் பலியாட்டின் கணிணியிலிருந்தும் அதன் வலையமைப்பில் இருந்து உங்களின் நிரல் உங்களிடம் தொடர்பு கொள்ள ஏதுவாக ஒன்றோ அல்லது உங்களது தாக்குதலின் நீள, அகலத்திற்கேற்ப பல வழங்கிகளோ இணையத்தின் இணைப்பிலிருக்க வேண்டும்.

 

பொதுவாக Spear Phishing Attack என்பது பெரும் நிறுவனங்களின் வலையமைப்பிற்குள் நுழைவதற்கும் அவர்களின் தகவல்களைத் திருடுவதற்குமே பெரும்பாலும் பயன்படுத்தப்பட்டு வந்திருக்கிறது. மேற்சொன்ன அனைத்தும் தயாரான பின், யாரைத் தாக்கப் போகிறோம் என்பதை முதலில் தீர்மானிக்க வேண்டும். உதாரணத்திற்கு உங்களின் தாக்குதலை ABC என்ற நிறுவனத்தின் மீது செயல்படுத்த வேண்டுமென்றால் முதலில் அங்கு வேலை பார்க்கும் நபர்களின் பெயர்கள் அவர்கள் பணிபுரியும் துறை, மேலதிகாரிகள், முதலாளிகள் போன்ற தகவல்களனைத்தையும் சேகரிக்க வேண்டும். இவையெல்லாம் கிடைத்ததும், பூப்போட்டுப் பார்த்து எளிதாக ஏமாற்றப்படுவதற்கு ஏற்றவகையில் அமைந்திருக்கும் பெயரைத் தேர்ந்தெடுக்கவும். தகவல் தொழில்நுட்பத்துறை சாராதவராகவும், தமிழ்ப் பெயராகவும் கிடைத்தால் சிறப்போ சிறப்பு.

உங்களால் தேர்ந்தெடுக்கப்பட்டவரின் துறை மேலாளரின் பெயரிலோ அல்லது உயரதிகாரியின் பெயரிலோ ஒரு மின்னஞ்சலை அனுப்பி, அதில் நயமாக பேசி, அவரின் கணிணியில் உங்கள் நிரலை விதைக்க வேண்டியது உங்களின் சாமர்த்தியம். ‘இத்துடன் இணைத்திருக்கும் கோப்பினைப் பிழைதிருத்தி அனுப்பவும்’ என்று சொல்லலாம், அல்லது ‘சென்ற வாரவிடுமுறையில் குடும்பத்துடன் கச்சத்தீவிற்கு சுற்றுலா சென்றிருந்தோம்.. புகைப்படங்களைப் பார்க்க இங்கு செல்லவும்’ என்று சொல்லி இணையத்திற்கு வரவைத்தும் உங்கள் நிரலை நிறுவலாம். எப்படி மற்றொருவரின் மின்னஞ்சல் முகவரியின் பெயரில் நாம் மின்னஞ்சல் அனுப்ப முடியும் என்று  மண்டைக்குள் விளக்கெரியும் நண்பர்கள் கூகுளாடவும், அதிக நேரமிருப்பவர்கள் இணைய நிரல்கள் எழுதக் கற்றுக் கொள்ளவும் பரிந்துரைக்கப்படுகிறது. இத்தாக்குதலில் பயன்படுத்தப்படும் மின்னஞ்சல்களின் முகவரிகள் மிகச்சரியாக இருக்கும் காரணத்தால் உணர்ச்சிவசப்பட்டு பல பேர் பலியாவதற்கான வாய்ப்புகள் அதிகம். இதன் மூலம் நடைபெறும் சிறு தவறு மூலம் நீங்கள் பணிபுரியும் நிறுவனத்தின் அல்லது உங்கள் கணிணி இருக்கும் வலையமைப்பின் சகல சங்கதிகளையும் எங்கோ ஒருக்கும் கட்டுப்பாட்டு வழங்கியிடம் அனுப்பிக் கொண்டிருப்பீர்கள்,

மெதுவாக பரவும் விஷம் போல உங்கள் கணிணியிலிருந்து கிடைக்கும் மேலதிகத் தகவல்கள் மூலம் கிட்டத்தட்ட வலையமைப்பில் இருக்கும் ஒவ்வொருவரையும் நாளொரு மேனியும், பொழுதொரு வண்ணமும் பலியாடாக மாற்றி, ஒரு நாள் நிறுவனத்தின் மொத்த மானமும் ஊடகங்களிலும், இணையத்திலும் மணக்க மணக்க பிரியாணியாகப் படைக்கப்படும். இது போன்ற தாக்குதலுக்குப் பலியாவது பெரும்பாலும் அரசாங்கத் துறைகள், இராணுவம், விண்வெளி மற்றும் அணு ஆய்வு மையங்கள், தொழில்நுட்பத் துறை நிறுவனங்கள் அதிலும் குறிப்பாக வலையமைப்பின் பாதுகாப்புத் துறை நிறுவனங்கள். பொதுமக்களுக்குத் தெரிந்தே விடக்கூடாத உண்மைகள் சந்தி சிர்ப்பதும், அதனால் ஏற்படும் அரசியல் சதிராட்டங்களும் தான் அரசாங்கம் இத்தகையத் தாக்குதல் மூலம் சந்திக்கும் பாதிப்புகள். மற்ற தனியார் நிறுவனங்கள் இதன் மூலம் பெருத்த பொருள் நஷ்டம் அடைந்து ஊமைக்காயத்துடன் அவையடக்கத்துடன் சங்கடப்பட்டு கூனிக் குறுகும் நிலைக்கு ஆளாவார்கள்.

இராணுத்தளவாடங்களைத் தயாரிக்கும் உலகின் முன்னணி நிறுவனமான லக் ஹீட் மார்ட்டின் மற்றும் வலையமைப்புப் பாதுகாப்பற்கானத் தொழிநுட்பத்துறையின் முன்னணி நிறுவனங்களில் ஒன்றான RSA போன்ற முதலைகள் இத்தாக்குதலினால் ஏற்பட்ட பொருளாதார இழப்புகளுக்கு பூஜ்ஜியங்கள் மிகமிக அதிகம். மிகவும் ரகசியத் தகவல்களை கையாளும் நிறுவனங்கள் இது போன்று ஒருவர் செய்யும் சிறு தவறினால் தங்கள் வாடிக்கையாளர்களின் நம்பிக்கையினை இழந்து விடுவதும், RSA போன்ற ஊரில் உள்ள மற்றவர்களின் வலையமைப்பின் பாதுகாப்பினை உறுதிப்படுத்தும் நிறுவனங்கள் மற்றவர்களால் கேலியும், கிண்டலும் செய்யப்படும் நிலைக்கு ஆளாவதுமே இது போன்ற தாக்குதல்களைக் கண்டு அனைவரும் அஞ்சுவதற்குக் காரணம்.

இதுவரை நாம் கனவிலும் நினைத்திராத எத்தனையோ தொழிநுட்பங்கள் வலையமைப்பின் பாதுகாப்பிற்காக அறிமுகப்படுத்தப்பட்டிருந்தாலும் உலகம் இருக்கும் வரை சவாலாக இருக்கப் போவது மனித தவறுகள் மட்டுமே. ஹேக்கர்கள் தங்கள் திறமையை விட அதிகம் நம்புவதும் இவற்றைத்தான். யாராவது தொலைபேசியில் ‘ஐயாம் மேஜர் சுந்தர்ராஜன் ஸ்பீக்கீங், நான் தான் மேஜர் சுந்தர்ராஜன் பேசுறேன்’ என்று சொன்னால் உடனே நம்பி தங்களின் கடவுச்சொல் முதல் வீட்டு நிலைக்கதவில் சாவி ஒளித்து வைத்திருக்கும் இடம் வரை பதார்த்தமாக பகிர்ந்து கொள்ளும் அன்பர்கள் இருக்கும் வரை இது போன்ற தாக்குதல்கள் வெள்ளை மாளிகை முதல் நேமத்தான்பட்டி வரை தொடர்ந்து கொண்டு தான் இருக்கும்.

இதற்குத் தீர்வே இல்லையா?. இருக்கிறது. மின்னஞ்சலில் வெறும் தகவல்களை மட்டுமே பரிமாறும், கோப்புகளையோ அல்லது இணையச்சுட்டிகளையோ அனுமதிக்காத நிறுவனங்களும் அமைப்புகளும் உண்டு. குறிப்பிட்டக் கால இடைவெளியில் அனைத்து பணியாள்ர்களையும் அழைத்து வலையமைப்பின் பாதுகாப்புக் குறித்துக் காதைத் திருகி  வகுப்பெடுத்து, விழிப்பாக இருந்து கொள்ள அறிவுரைகள் வழங்கி செம்மைப்படுத்தும் நிறுவனங்களும் உண்டு. இது போன்று இணையத்தின் மூலம் தொடுக்கப்படும் தாக்குதல்கள் வெற்றியடைகிறதா அல்லது தோல்வியடைகிறதா என்பது அதனை நடத்தும் ஹேக்கர்களுத்தானேத் தெரியும். ஒரு வேளை வெற்றியடைந்து விட்டால், பாதிக்கப்பட்ட நிறுவனங்கள் எப்படி, எப்பொழுது அதனைக் கண்டுபிடிப்பார்கள்?.

இங்கு தான் ‘காவல்துறை உங்கள் நண்பன்’ என்ற அறிவிப்புப் பலகையுடன் உலா வரும் வலையமைப்புப் பாதுகாப்பு வல்லுநர்களைப் பற்றி நாம் தெரிந்து கொள்வது அவசியமாகிறது. பொதுவாக சிறுநகரங்களிலும், குக்கிராமங்களிலும் ஊருக்குள் புதிதாக ஒரு காகம் வந்தால் கூட சரியாகக் கண்டுபிடித்து, பயணம் தொடங்கிய இடம், செல்லும் இடம், பார்க்கப் போகும் நபர், அவருக்கு எந்த வகையில் சொந்தம் என்று சகலத்தையும் அலசிய பின் அனுப்பி வைக்கும் ஜெய்சங்கர்கள் ஊருக்கு வெளியே சுமைதாங்கிக் கல்லின் மேலோ அல்லது பாலத்திலோ இருந்து கொண்டு எப்படி ஊருக்குள் வருவோர், போவோரை அளவெடுப்பார்களோ கிட்டத்தட்ட அதே வேலையினை உங்கள் கண்ணி வலையமைப்பில் பார்ப்பவர்கள் தான் இவர்கள். இவர்களின் உலகம் முற்றும் மாறுபட்டது, இவர்கள் பார்வைபடும் இடமெல்லாம் வலையமைப்பு எண்களும்(IP Address) மற்றும் வலைத்தொடர்பு எண்களுமே (port) நிறைந்திருக்கும். ஆயிரக்கணக்காண நபர்கள் பணியாற்றும் இடமாக இருந்தாலும் இத்துறையில் இரண்டு அல்லது மூன்று பேர் தான் இருப்பார்கள். இவர்களால் எப்படி மிகப்பெரிய வலையமைப்பின் பாதுகாப்பினைக் கட்டுப்படுத்த முடிகிறது, எப்படி வலையமைப்பின் தாக்குதல் ஏற்பட்டாலோ அல்லது பாதுகாப்புக் குறைபாட்டினால் பாதிக்கப்பாட்டாலோ இவர்களின் கண்களுக்கு மட்டும் அது தெரியவருகிறது?.. இவர்கள் பயன்படுத்தும் தொழில்நுட்பங்கள் என்ன?

தொடர்வோம்..

www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து...

இணையம் வெல்வோம் -2

வலையமைப்பின் பாதுகாப்புக்கென சராசரியாகத் தனியார் நிறுவனங்களே மூன்று முதல் நான்கு மில்லியன் டாலர்கள் செலவு செய்யும் போது, கொம்பு முளைத்த அரசாங்கங்களைப் பற்றி சொல்லவே தேவையில்லை. இவ்வளவுப் பணத்தை வைத்து எப்படி செலவழிப்பது, கண்ணுக்குத் தெரியாத எதிரியிடமிருந்து எப்படிக் கணிணி வலையமைப்பைப் பாதுகாப்பது போன்ற கேள்விகள் உங்கள் காதுகளுக்குள் ரீங்காரமிடலாம்.

பிறந்தநாள், மஞ்சள் நீராட்டு, திருமணம் மற்றும் முதலிரவு போன்ற விழாக்களுக்கு ப்ளெக்ஸ் போர்டுகள் வைப்பதில் வையகத்தின் முன்னோடிகளான நாம், எப்படி அவற்றிற்கு வாழ்த்து வசனங்கள் எழுத 12 பேர் கொண்ட குழு வைத்து ஒரு அமைப்பாகத் திறம்பட செயல்படுகிறோமோ, அதைப் போலவே ஒவ்வொரு நிறுவனத்திற்கும் வலையமைப்பின் வடிவமைப்போர், அவற்றை வடிவமைப்புத் திட்டத்தின்படி நிறுவுவோர், செயல்பாட்டின் போது சிக்கல்கள் ஏற்பட்டால் சரி செய்வோர், பாதுகாப்பு வல்லுநர்கள் போன்ற பல அணிகள் சேர்ந்து தான் ஒரு வலையமைப்பின் தரத்தினை நிர்ணயிக்கிறார்கள்.

மேற்சொன்ன அணிகளுக்கு வழங்கப்படும் ஊதியம், மற்றும் வலையமைப்பு உபகரணங்கள், குறிப்பாக வலையமைப்பின் பாதுகாப்புக்கென பிரத்யேகமான உபகரணங்கள் ஆகியவை தான்  நிறுவனங்களின் பணப்பெட்டிகளுக்கு கடும் சேதாரம் விளைவிக்கும் காரணிகள். இவற்றை வெறுமனே வாங்கி வைத்து விட்டால் மட்டும் பாதுகாப்புக்கு உத்தரவாதமா?, இல்லவே இல்லை. வலையமைப்பின் பாதுகாப்பென்பது இருமனம் இணையும் திருமணம் போல,  இருக்கும் காலம் வரை பராமரித்துக் கொண்டே இருப்பதும்,  ஒவ்வொரு காலகட்டத்திலும் மாறுபடும் தேவைகளுக்கேற்ப பாதுகாப்பு உபகரணங்களின் கட்டமைப்புகளில் மாற்றங்கள் செய்வதும் அவசியம்.

 இவ்வளவு சிரமப்பட்டு வலையமைப்பினை ஏன் பாதுகாக்க வேண்டும், உண்மையாகவே ஆபத்துகள் அதிகமா இல்லை எல்லாம் மனப்பிராந்தியா போன்ற எண்ணங்கள் நமக்கு அலைமோதுவது இயல்பான விஷயம். பொதுவாக இணையத்திற்கு செல்ல வழியில்லாத வலையமைப்புகளுக்கு ஆபத்துக் குறைவு. எனவே தான் இராணுவங்களின் போர் நடவடிக்கைகளுக்குப் பயன்படுத்தப்படும் கணினி வலையமைப்புகள் திறந்தவெளி இணையத்தில் மேய்வதற்கு விடப்படுவதில்லை. இணைய இணைப்பில் இருக்கும் ஒவ்வொரு கணிணியும், லட்சுமண ரேகைக்குப் பின்னிருக்கும் சீதையினைப் போலத்தான், திக்குதெரியாத காடான இணையத்தில், எட்டுத் திக்கிலும் மாயவலை விரிக்கப்பட்டிருக்கும்.   இங்கு வில்லன்கள் வைரஸ், ட்ரோஜன், மால்வெர், ஸ்பைவெர் மற்றும் சில்லறை ஏமாற்று வேலைகளாகக் கூட இருக்கலாம்.

நீங்கள் சிவனே என்று சினிமா கிசுகிசு படித்துக் கொண்டிருக்கும் பொழுது திடீரென்று உங்கள் கணிணிக்கு கல்லீரலில் வீக்கமென்றும் எங்கள் மருந்து மூலம் சரிசெய்து வேகமாய் செயல்பட வையுங்கள் என்றும் திரையில் தகவல் தோன்றலாம் அல்லது கடும் வைரஸ் பாதிக்கப்பட்டுள்ள உங்கள் கணிணியினைக் காப்பாற்ற உடனே இங்கு க்ளிக்கவும் என்று உங்களைக் கலவரப்படுத்தலாம். இவற்றைக் கண்ட உடனே காஷ்மீர் வில்லன்களை அழிக்க மதுரையிலிருந்து லாரியில் கிளம்பும் விஜயகாந்தைப் போல் அவசரப் பட்டு விடக் கூடாது. உங்கள் வீட்டுத் தொலைக்காட்சியில் சூப்பர் சிங்கர் பார்த்துக் கொண்டிருக்கும் பொழுது, சட்டென  பாடுபவர் உங்கள் பெயரைக் குறிப்பிட்டு ‘அழகேசண்ணே இவ்வளோ பக்கத்துல உக்காந்து டிவி பார்க்காதீங்கண்ணே, கண்ணு கெட்டுப் போயிரும்’ என்று சொன்னால் எந்த அளவிற்கு நம்புவீர்களோ அந்தளவுக்குத் தான் நம்ப வேண்டும்.

இது தவிர வாங்காத லாட்டரியில் கிடைத்த பல கோடிப் பரிசுப்பணத்தினை அனுப்பி வைக்க கொரியர் செலவுக்கு 500 ரூபாய் கேட்கும் அன்பர்கள், ஏதோ ஒரு நாட்டில் இராணுவப் புரட்சியின் போது பெரும் பணம் சுருட்டிய பின் மரணமடைந்த இராணுவத் தளபதிகள் அல்லது அரசியல்வாதிகளின் 18 முதல் 25 வயதிற்குட்பட்ட, உங்களிடம் சகலத்தையும் ஒப்படைக்கத் தயாராக இருக்கும் கல்யாணமாகாத அழகு மகள்கள், ஒரு மணி நேரத்திற்கு முன் உங்களுடன் ரோட்டுக் கடையில் பஜ்ஜி தின்ற அதே நண்பர் லண்டன் மாநகரில் கடவுச்சீட்டு, பணம், செல்பேசி  என அனைத்தையும் தொலைத்து விட்டு நடுரோட்டில் அபலையாய் உங்கள் பணத்தை எதிர்பார்த்துத் திரிவதாய் சொல்லும் மின்னஞ்சல்கள், என இணையத்தில் நமக்காக விரிக்கப்பட்டிருக்கும் வலைகளின் பட்டியல் மிக நீளம். இவற்றில் இரண்டு வகை உண்டு. உங்கள் பணத்தினையோ அல்லது உங்கள் கணிணியில் இருக்கும் தகவல்களையோ குறி வைப்பவை ஒரு வகை, நம்மை முட்டாளாக்குவதோடு மட்டுமே திருப்தியடைந்து சரக்கடித்து திருப்தியடைவது இரண்டாம் வகை, உதாரணத்திற்கு இது திருப்பதி பெருமாளின் அபூர்வ புகைப்படம் உடனே முகப்புத்தகத்தில் 100 பேருடன் பகிர்ந்து கொள்ளவும் அல்லது உங்கள் முகப்புத்தகக் கணக்கு முடக்கமாகி விடும் என மிரட்டுவதும், உடனே கடமையே  கண்ணாயினாராக அப்படியே அதனைச் செய்வதும் இணையத்தின் அன்றாட நிகழ்வுகள். பேருந்து நிலையங்களில் அம்பாளின் திருவிளையாடல் குறித்துச் சொல்லி, உடனேயே அதனை அஞ்சலில் 50 பேருக்கு அனுப்பச் சொல்லி மிரட்டும் துண்டுப்பிரசுரங்களின் பல நவீன அவதாரங்களில் இதுவும் ஒன்று.

மிகச்சமீபத்திய உதாரணமாக LinkedIn நிறுவனத்தின் சர்ச்சைக்குரிய மார்க்கெட்டிங் உத்திக்குப் பலியானவர்களைச் சொல்லலாம். நந்தன வருடம், தைத் திங்கள், மூகூர்த்தம் நிறைந்த ஒரு சுபயோக சுபதினத்தில் LinkedIn நிறுவனம் தங்களது பயனாளர்களாகிய ஏறத்தாழ 20 மில்லியன் பேருக்கு ‘எங்கள் தளத்தில் கணக்கு வைத்திருப்பர்களிலேயே நீங்கள் தான் பவர் ஸ்டார், உங்களை வாழ்த்த வயதில்லை வணங்குகிறோம்’ என்ற பொருள் படும் விதத்தில் கண்ணைக் கவரும் வடிவமைப்பில் ஒரு மின்னஞ்சலை அனுப்பியது. அந்த மின்னஞ்சலின் அடிப்பகுதியில் அத்தகவலை முகப்புத்தகம், டிவிட்டர் மற்றும் இன்னபிற சமூக வலைத்தளங்களுக்கு பகிர்ந்து கொள்வதற்கான வசதியும் கொடுக்கப்பட்டிருந்தது, கவனிக்கப்பட வேண்டிய விஷயம்.

இதற்கு பலியான ஆடுகளின் எண்ணிக்கை மிக அதிகம். ஒரே கல்லில் உலக அளவில் பல மாங்காய்களைச் சராமாரியாகப் போட்டுத்தள்ளியது LinkedIn நிறுவனம். இதன் மூலம் அவர்கள் அடைந்த பயன், சகட்டுமேனிக்கு சமூக வலைத்தளங்களில் ஆடுகளின் மூலமாக LinkedIn நிறுவனத்திற்குக் கிடைத்த இலவச விளம்பரம், மற்றும் சில உணர்ச்சிவசப்பட்ட பணக்கார ஆடுகள் தங்களது LinkedIn கணக்கினை கட்டணச் சேவைக்கு மாற்றியது மூலம் கிடைத்த வருமானம். அதாவது நாம் இவ்வளவு பிரபலமாகிற அளவுக்கு கூட்டம் கூட்டமாக யாரெல்லாம் தங்களது விவரங்களை LinkedIn தளத்தில் பார்வையிடுகிறார்கள் என்பதனை அறியும் அவாவின் விளைவாக LinkedIn நிறுவனத்திற்கு கிடைத்த அல்வா எக்கச்சக்கம். எங்கோ, எப்போதோ கைதவறி LinkedIn தளத்தில் கணக்கைத் தொடங்கி விட்டு, அந்தப்பக்கம் திரும்பிக்கூட பார்க்காத பல பேருக்கும் இம்மின்னஞ்சல் கிடைக்கும் பாக்கியம் பெற்றது குறிப்படத்தக்க அம்சம்.

மேற்கூறிய அனைத்து உதாரணங்களிலுமே பலியாவதா வேண்டாமா என்பதனை நம் செயல்களே தீர்மானிக்கின்றன. மிகச்சாதரணமாக ஏதாவது ஏடாகூடமான தளத்தில் பார்க்கக் கூடாததைப் பார்த்தக் காய்ச்சலில் எதிலாவது கைதவறி ஒரு முறை க்ளிக்கினால் கூட உங்கள் கணிணி பாதிக்கப்பட வாய்ப்பிருக்கிறது. வேகமாக செயல்படுவதுதான் மேதமை என்று நினைத்து கண்டபடி தட்டச்சிக் கொண்டே இருப்பது,  மற்றும் மவுஸ் மூலம் படபடவென க்ளிக்குவது போன்ற வியாதியஸ்தர்கள் இதற்குப் பலியாவது உறுதி.

எளிதாகத் தோன்றும் சில சமாச்சாரங்கள் இணையத்தொழில்நுட்பத்தில் விளைவிக்கும் சேதம் கனவிலும் நினைக்க முடியாத அளவிற்கு இருக்கும். இது போன்ற மிகச் சாதரணமாகத் தோன்றும் பொறிக்கு சில சமயம் அமெரிக்க வெள்ளை மாளிகை மற்றும் உலகத்தின் மிகப்பெரிய இராணுவத் தளவாடங்களை உற்பத்தி செய்யும் நிறுவனமான லக்ஹீட் மார்ட்டின் போன்ற முதலைகளும் சிக்கியிருக்கின்றன. வெள்ளை மாளிகையிலும், லக்ஹீட் மார்டின் நிறுவனத்திலும் வலையமைப்பின் பாதுகாப்புக்கு அள்ளி இறைத்திருப்பார்கள் என்பதையும், அங்கு பணிபுரிபவர்களுக்கு வலையமைப்பின் பாதுகாப்புக் குறித்து பயிற்சியளித்திருப்பார்கள் என்பதையும் சொல்லித் தெரியவேண்டியதில்லை. இருந்தாலும் அவர்களை வீழ்த்துவதற்கு ஹேக்கர்கள் பயன்படுத்திய ஆயுதம் Spear Phishing Attack.

அப்படி அத்தாக்குதலில் என்ன விசேஷம்?

அதனைத் தெரிந்து கொள்ளச் சற்றுப் பொறுத்திருங்கள்.

www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து...

இணையம் வெல்வோம் - 1

ஆரொன் ஸ்வார்ட்ஸ், சிகாகோ நகரைச் சேர்ந்த 26 வயது அமெரிக்க வாலிபர்.

இன்று இணையத்தளங்களின் இண்டு இடுக்கிலெல்லாம் உபயோகிக்கப்படும் தகவலூட்டம் (RSS - web feed) எனும் தொழில்நுட்பத்தினை உருவாக்கிய முக்கியப் புள்ளிகளில் ஒருவராக இணையம் கூறும் நல்லுலகிற்கு அறிமுகமாகும் பொழுது அவருக்கு வயது வெறும் 14. தன் ஆழ்ந்த அறிவாற்றல் மூலம் ஏதெனும் மென்பொருள் நிறுவனத்தில் பணியாற்றி கைகொள்ளாமல் சம்பளம் வாங்கி, விடுமுறையில் பட்டாம்பூச்சிகளோடு விண்ணைத்தாண்டும் வாய்ப்புகள் இருந்தாலும், அதையெல்லாம் தவிர்த்து கட்டற்ற தகவல் களஞ்சியமாக இணையத்தினை மாற்றுவதில் தீவிர ஈடுபாடு கொண்ட ஆரொன், இன்று வாசகர்களே செய்திகளின் முக்கியத்துவத்தைத் தீர்மானிக்கும் செய்தித்தளமாக புகழ்பெற்று விளங்கும் www.reddit.com தளத்தின் நிறுவனர்களில் ஒருவர்.

ஆரொன் ஸ்வார்ட்ஸ்

இணையத்தில் உள்ள தகவல்கள் அனைத்தும் உலகத்திலுள்ள அனைவருக்கும் இலவசமாகக் கிடைக்க வேண்டும் என்று போராடும் Open Access Movement எனும் குழுவின் கதாநாயகன், அதற்கு எதிராக அமெரிக்க அரசு கொண்டு வந்த SOPA (Stop Online Piracy Act) எனும் சட்டத்தினை எதிர்த்து Demand Progress எனும் இயக்கத்தினை ஆரம்பித்து அதில் வெற்றியும் கண்டவர். கட்டற்ற தகவல் களஞ்சியமான விக்கிப்பீடியாவின் முக்கிய ஆர்வலர்.

ஸ்டான்போர்டு பல்கலைக்கழகத்தில் ஒரு வருடம் சமூகவியல் படித்து விட்டு அங்கு அறிவுப்பூர்வமான சூழல் இல்லை என்று காரணம் கூறி விலகி கல்வியாளர்களை வியர்க்க வைத்தவர். பின்பு ஹார்வர்டில் ஒழுக்கவியல் குறித்தான ஆராய்ச்சிப் படிப்பில் சேர்ந்தார். தமிழ் சினிமாவில் காதலர்களுக்கே யோசனை சொல்லும் குழந்தைகளுக்கு இணையாக கணிணித் தொழில்நுட்பத்தில் சிறு வயதிலேயே கோலோச்சிய ஆரொனின் சிந்தனையெல்லாம் இணையத்தில் தகவல்களை அனைவருக்கும் இலவசமாகக் கிடைக்கச் செய்வதிலேயே இருந்தது. தன் 21வது வயதில் அமெரிக்க நீதிமன்றங்களின் வழக்கு விசாரணை ஆவணங்களை இணையத்தில் கட்டணச்சேவை மூலம் தரவிறக்கம் செய்து கொள்ள ஏற்பாடு செய்திருந்த PACER (Public Access to Court Electronic Records) என்னும் தளத்தின் வழங்கியில் தன் சொந்த செலவில் ஏறக்குறைய அனைத்து ஆவணங்களையும் தரவிறக்கம் செய்து இணையத்தில் இலவசமாக உலவ விட்டு உலகத்தின் பார்வையைத் தன் பக்கம் திருப்பியவர். இதுகுறித்து உள்ளூர் போலீஸ் முதல் FBI வரை விசாரணை செய்தும் முடிவில் குற்றம் சாட்ட சட்டத்தில் இடமில்லாத காரணத்தால் விடுவிக்கப்பட்டவர்.

இப்படி இணைய உலகின் அசகாயசூரனாக அனைவராலும் பார்க்கப்பட்ட ஆரொன், கடந்த ஜனவரி 11, 2013 அன்று புரூக்ளினில் உள்ள தனது அடுக்குமாடிக் குடியிருப்பில் தூக்குப் போட்டுத் தற்கொலை செய்து கொண்டார் என்ற செய்தி, ஆரொன் குறித்து அறிந்தவர்களனைவருக்கும் பேரதிர்ச்சியையும், தாங்க முடியாத கோபத்தையும் ஏற்படுத்தியது. கோபத்திற்குக் காரணம் தற்கொலைக்கு முன்பான 24 மாதங்களில் ஆரொனின் வாழ்க்கையில் நடந்த சம்பவங்கள். அமெரிக்க பல்கலைக்கழகங்களின் ஆராய்ச்சிக் கட்டுரைகளின் ஆவணக் களஞ்சியமான JSTOR (Journal Storage) எனும் இணையத்தளத்தின் வழங்கியில் இருந்து எக்கச்சக்கமான ஆவணங்களைத் தரவிறக்கம் செய்தார் ஆரோன். இத்தளத்திலிருந்து எல்லோராலும் தரவிறக்கம் செய்து விட முடியாது. ஆனால் ஹார்வர்டின் ஆராய்ச்சி மாணவர் என்ற வகையில் ஆரொனுக்கு JSTOR தளத்தினைப் பார்வையிடவும், தரவிறக்கம் செய்து கொள்ளவும் உரிமை இருந்தது. இது தவிர MIT (Massachusetts Institute of Technology) வளாகத்தினுள் இருக்கும் வலையமைப்பில் உங்களை விருந்தினராகப் பதிவு செய்து கொண்டாலும் JSTOR தளத்திற்குச் சென்று தேவையான ஆவணங்களை யாரும் பதிவு செய்து கொள்ள முடியும்.

ஆரொன் MIT வளாகத்தினுள் ஒரு மடிக்கணிணியினை வைத்து விருந்தினராக அவர்களின் வலையமைப்பில் பதிவு செய்து, தான் எழுதிய ஒரு நிரல் மூலம் கிட்டத்தட்ட அனைத்து ஆவணங்களையும் தரவிறக்கம் செய்ய ஆரம்பித்தார். ஒரு குறிப்பிட்ட கணிணி மட்டும் ஏகப்பட்ட ஆவணங்களைத் தொடர்ந்து மேய்வதைக் கண்ட கண்காணிப்பாளர்கள் அந்த கணிணியின் MAC (Media Access Control) முகவரியினைத் தடை செய்தனர். வலையமைப்பின் பாதுகாப்பு சூட்சுமங்களை அறிந்த அன்பர்களுக்கு MAC முகவரியினை மாற்றுவதன்பது நம்மூரில் திரைப்படங்களுக்குத் தடை விதிக்கக் கோரி வழக்குப் போடுவதை விட எளிதானது. தன் முயற்சியில் சற்றும் மனம் தளராத ஆரொன் ஆவன செய்து தனது தரவிறக்க வேட்டையினைத் தொடர்ந்தார். JSTOR வலையமைப்பின் கண்காணிப்பாளர்கள் இம்சை தொடர்வது கண்டு, இம்முறை எத்தடையினையும் உருவாக்காமல், அதன் மூலத்தை நோக்கி தங்கள் தேடல் குதிரையை முடுக்கி விட்டனர், அது சென்று சேர்ந்த இடம் ஆரொன். கையும், கணிணியுமாக மாட்டிக் கொண்ட ஆரொன், ஆவணங்களனைத்தையும் திரும்ப ஒப்படைத்து JSTOR உடனான பஞ்சாயத்தினை முடித்து கொண்டார். MIT இது குறித்து வாயே திறக்கவில்லை.

ஆனால் ஆரொனைத் தொடர்ந்து கண்காணித்து வந்த அமெரிக்க அரசாங்கம் இப்பிரச்சினையை விடுவதாக இல்லை. MAC முகவரியினை மாற்றியது, நிரல் மூலம் விதிமுறைக்குப் புறம்பாக ஆவணங்களைத் தரவிறக்கம் செய்தது, மற்றும் பலப்பல காரணங்களைக் கூறி ஆரொன் மேல் வழக்குத் தொடர்ந்தது. இன்று பிறந்த குழந்தையை, இது வளர்ந்து 25 வயதில் திருடுவதற்குத் தான் இது பிறந்திருக்கிறது என்று கூறி கைது செய்வது போல, தரவிறக்கம் செய்த ஆவணங்களை, மாட்டியிருக்காவிட்டால் அவற்றை இணையத்தில் உலவ விட்டிருப்பார் ஆரொன் என்பதும் அமெரிக்க அரசின் முக்கியக் குற்றச்சாட்டு.

MAC முகவரியினை மாற்றுவதென்பது அனேக இணைய வல்லுநர்களின் அன்றாட நடவடிக்கைகளில் ஒன்று, ஆனால் சட்டப்படி அது ஆள்மாறாட்டம், தவறாக அடையாளப்படுத்தி ஏமாற்றுதல் போன்ற குற்றங்களுக்கு ஒப்பாகும் என்று ஒப்பாரி வைத்ததின் விளைவாக ஆரொனுக்கு சுமாராக 35 வருடங்கள் சிறையும், 1 மில்லியன் டாலர் அபராதமும் விதிக்க சட்டத்தில் இடமிருப்பதாக நீதிமன்றம் கூறியது, அதுவரை குற்றத்தினை ஒத்துக் கொள்ளாத ஆரொன், ஒப்புக் கொண்டால் குறைந்தபட்ச தண்டனை வழங்க வாய்ப்பிருப்பதாகவும் தெரிவித்தது. விசாரணை, வாய்தா என்று இவ்வளவும் நடந்து முடிய இரண்டு வருடங்கள் ஆனது, இதனால் தொடர்ந்து ஏற்பட்ட மன உளைச்சலும், குற்றத்தினை ஒப்புக் கொள்ளாவிட்டால் கிடைக்கப் போகும் தண்டனை குறித்தான பயமும் ஆரொனை தூக்கில் தஞ்சமடைய வைத்து விட்டது.

மேலே ஆரொனின் மேல் சாட்டப்பட்டுள்ள அனைத்தும் கணிணி வலையமைப்புக் குறித்து அறிந்த, உணர்ச்சி வசப்படும் நபர்கள் அனைவரும் அவ்வப்போது செய்யும் செயல்கள். ஆனால் சட்டத்தின் படி உங்கள் வலையமைப்பில் உங்கள் அடையாளத்தினை வலையமைப்பு எண் மூலமாகவோ அல்லது MAC முகவரி மூலமாகவோ விதிமுறைகளை மீறி தரவிறக்கம் செய்வதை எந்த நாட்டிலும், எவரையும் ஆதாரமிருந்தால் தண்டிக்க முடியும். தினம், தினம் ராமசாமியும், கந்தசாமியும் இவற்றைச் செய்யும் பொழுது ஏன் ஆரொனை நோக்கி இப்படி கழுகெனப் பாய்ந்தது அமெரிக்க அரசு?. காரணம் விக்கிலீக்ஸ் மற்றும் அனானிமஸ்.

ஜூலியன் அசான்ஞ்

Collateral Murder காணொளியினை விக்கிலீக்ஸ் தளத்திற்கு வழங்கியதாகக் குற்றம் சாட்டப்பட்டு மூன்று வருடங்களுக்கு மேல் சிறையிலிருந்து வழக்கு விசாரணைக்குட்படுத்தப்பட்டு வரும் பிராட்லி மேனிங் விசாரணையின் போதும், சிறையிலும் நடத்தப்படும் விதம் குறித்து தகவல் அறியும் உரிமைச் சட்டத்தின் கீழ் மனு செய்திருந்தார் ஆரொன். மேலும் இணையத்தில் கட்டற்ற தகவல் முறையினைத் தடுக்கும் சட்டமான SOPA வினை எதிர்த்து வெற்றி காண்பதில் ஆரொனுக்கு உறுதுணையாக இருந்தது அனானிமஸ் எனும் இணையப் போராளிகள் இயக்கம். இது இரண்டுமே அமெரிக்க அரசாங்கத்தின் ரேடார் பார்வையில் ஆரொனைக் கொண்டு வந்து நிறுத்தியது.

இணையத்தின் எதிர்காலத்தை ஆழ்ந்த தொழில்நுட்ப அறிவாலும், சமூகப் பார்வையாலும் நிர்ணயிக்கப்போகும் சக்திகளில் ஒன்றாகப் பார்க்கப் பட்ட ஆரொனின் மரணத்திற்குப் பிறகு, ஆரொன் எங்கள் நீண்ட கால நண்பர் என்றும், தாங்கள் வெளியிட்ட சில தகவல்களை அனுப்பியவர்கள் யார் என்பதற்கான ஆதாரமில்லையென்றாலும் ஆரொன் கொடுத்திருக்கலாம் என்று சேதாரமில்லாமல் தங்கள் தொடர்பினைத் தெரிவித்து விக்கிலீக்ஸ் அஞ்சலி தெரிவித்தது, 2010-2011 காலகட்டத்தில் விக்கிலீக்ஸின் ஜூலியன் அசான்ஞ் உடன் நேரடித் தொடர்பில் ஆரொன் இருந்ததாகவும் சந்தேகிக்கப்படுகிறது. விக்கிலீக்ஸ் தங்கள் நட்பினைக் கூறி அஞ்சலி செலுத்த, அதிரடி ஆட்டக்காரர்களான அனானிமஸ் குழு அஞ்சலி செய்த விதம் அமெரிக்க அரசை அலற விட்டது. சட்டத்தினையும், அதன் விளைவானத் தண்டனைகளையும் காட்டி, நெருக்கடியில் தள்ளி ஆரொனை தற்கொலைக்குத் தூண்டியதாக அமெரிக்க நீதித்துறையினை நேரடியாகக் குற்றம் சாட்டிய அனானிமஸ், அவர்களின் இணையத்தளங்களுள் ஒன்றான www.ussc.gov தளத்தினை ஹேக் செய்து, அதில் ஆரொனுக்கு அஞ்சலி செலுத்தும் வாசகங்களை  வலையேற்றினர். அதிர்ந்து போன அமெரிக்க அரசு, உடனே வலைத்தளத்தினை சரி செய்தது. அடுத்த சில நாட்களில் அதே தளத்தினை மீண்டும் ஹேக் செய்து தங்கள் வலிமையை உணர்த்திய அனானிமஸ், தளத்திற்கு வருபவர்கள் இன்புறும் வண்ணம் கணிணியில் குழந்தைகள் விளையாடும் ஒரு விளையாட்டினையும் வலையேற்றி அமெரிக்க அரசிற்கு வெறியேற்றியது. மேலும் வழங்கியில் இருந்த அனைத்து குறியீடாக்கப்பட்ட ஆவணங்களனைத்தையும் (encrypted files) இணையத்தில் விநியோகித்தது. ஆரொனின் தற்கொலைக்குக் காரணமான இணையக் குற்றங்களுக்கானக் கடும் சட்டங்களை மாற்றியமைக்கா விட்டால் விநியோகிக்கப்பட்ட ஆவணங்களை அனைவரும் படிக்கும் வண்ணம் அவற்றுக்கான குறியீட்டுச் சொற்களை வெளியிடப் போவதாகவும் மிரட்டல் விடுத்தனர்.

அமெரிக்காவின் போர்முறைகளில் ஒன்றாக இணைய யுத்தம் (Cyber warfare) மாறி பலகாலமாகிவிட்ட சமயத்தில், உலக நாடுகளில் தங்கள் வலையமைப்பின் பாதுகாப்புக்காக அதிகம் செலவு செய்யும் நாடான அமெரிக்காவிற்கு அனானிமஸின் வலைத்தளத் தாக்குதல் வரலாற்றில் மறைக்க முடியாத வடு. இச்சம்பவத்திற்கு பிறகு அமெரிக்கப் பாதுகாப்பு அமைச்சகம் சுமார் 2500க்கும் மேலான வலையமைப்புப் பாதுகாப்பு வல்லுநர்களை வேலைக்கு அமர்த்தப் போவதாக அறிவித்திருப்பதின் மூலம் இச்சம்பவத்தின் ஆழத்தினை புரிந்து கொள்ளலாம். அமெரிக்கர்களின் வரிப்பணத்தில் கணிசமான அளவினை முழுங்கும் அளவிற்கு வலையமைப்பின் பாதுகாப்பிற்கு எப்படி செலவு செய்கிறார்கள், அப்படி என்ன தான் ஒன்றுக்கு பத்தாய் பூட்டுகள் போட்டாலும் அதனை போகிற போக்கில் போட்டுத்தள்ளும் இந்த அனானிமஸ் குழுவினரின் வலிமையின் ரகசியம் என்ன, அவர்கள் யார், அவர்களின் வீரதீர சாகசங்கள், சத்தமில்லாமல் திரைமறைவில் நடக்கும் இணைய யுத்தங்களின் கருப்புப் பக்கங்கள், அவற்றுக்கு பலியான ஆரொன் போன்றவர்கள், இவற்றின் மூலம் இணையமென்னும் ரத்த பூமியில், பஞ்சு மிட்டாயும், குருவி ரொட்டியும் தேடி மனம் போன போக்கில் பின் விளைவுகள் குறித்து அறியாமல் அலைந்து திரியும் சாமனியர்களாகிய நாம் கற்றுக் கொள்ள வேண்டியவை என்ன...?.. அடுத்த பகுதியில்..

www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து....