Tuesday, May 3, 2011

இணையத்தில் தப்பிப் பிழைக்கும் ஸ்விஸ் வங்கிக் கணக்குகள் - 3


வலையமைப்பிற்கான பாதுகாப்புக் கட்டுப்பாட்டு அறையில் வந்து குவியும் ஒவ்வொரு இணைப்பிற்கான தகவல்களையும் சரி பார்ப்பது நடைமுறை சாத்தியமில்லாதது. இவ்வாறு திரட்டப்படும் தகவல்களை நிர்வகிப்பதற்கென மென்பொருட்கள் பயன்பாட்டில் உள்ளன. அம்மென்பொருட்கள் மூலம் தேவைக்கேற்ப விதிமுறை நிரல்களை எழுதிக்கொள்ளலாம். குறிப்பிட்ட விதிமுறை மீறப்பட்டால் மட்டும் அந்த மென்பொருள் வலையமைப்பு வல்லுநர்களுக்கு தகவல் தெரிவிக்கும். அவர்களும் மேற்கொண்டு செய்ய வேண்டிய ஆய்வுகளைச் செய்து சரி பார்ப்பார்கள். உதாரணத்திற்கு, ஒரு வாடிக்கையாளர்  இயல்பாக முதலிரண்டு முறை தவறான கடவுச்சொல் கொடுத்து விட்டு பின்னர் சரியான கடவுச்சொல் கொடுக்கிறார் என்று வைத்துக் கொள்வோம். மேற்சொன்ன மூன்று இணைப்புத் தகவல்களில் எதுவும் பிரச்சினைக்குரியது இல்லை. அதே நேரம் ஒரு வாடிக்கையாளர் ஒரு நாளில் 100 முறை தவறான கடவுச்சொல் தகவலை உள்ளிட்டதாக இணைப்புத் தகவல்கள் சொன்னால் அது நிச்சயம் வில்லங்கமானது தான். இது போன்று ஒவ்வொரு பிரச்சினைக்குரிய சந்தர்ப்பங்களையும் பரிசீலித்து அவற்றினைச் சமாளிப்பதற்கேற்ப தங்கள் விதிமுறை நிரல்களை அமைத்துக் கொள்வதன் மூலம் ஒவ்வொரு தனித்தனித் தகவல்களையும் ஆராயாமல். தங்கள் விதிமுறை நிரல்களை மீறும் தகவல்களை மட்டும் ஆராய்ந்து அலசி வலையமைப்பின் பாதுகாப்பினை நிலை நாட்டுகிறார்கள்.


இவ்வளவு கட்டுக்காவலிலும் சிட்டுக்குருவி மாதிரி தகவல்களைக் கொத்திக் கொண்டு போகும் பிஸ்தாக்கள் இருக்கத்தான் செய்கிறார்கள். எவ்வளவு பெரிய மதில் சுவராக இருந்தாலும் பொறுமையாக ஒவ்வொரு கல்லாக அசைத்துப் பார்த்து, நிதானமாக திருட்டு மாங்காய் சுவைப்பது இவர்களுக்கு கைவந்த கலை. அப்படி எந்த வகையிலும் தகர்க்க முடியாத வலையமைப்புகளுக்கென இருக்கவே இருக்கிறது 'social engineering' முறை. அதாவது தாவணிகளின் அன்றாட நடவடிக்கைகள் மற்றும் விவரங்களை எதிரிலிருக்கும் ஒரு டைலர் கடையிலோ அல்லது டீக்கடையிலோ அடிக்கடி சென்று வசூலிப்பது போல, தகர்க்க நினைக்கும் வலையமைப்பினுள்ளே வேலை பார்க்கும் ஏதாவது ஒரு நபருடன் 'வாங்க பழகலாம்' திட்டத்தின் அடிப்படையில் அவர்களைப் பற்றிய பிரத்யேகத் தகவல்கள் மற்றும் பணியிடம் சம்பந்தப்பட்டத் தகவல்களை அவர்கள் அறியாமலேயே பேச்சுவாக்கில் போட்டு வாங்கிக் கொள்வது. அதிலும் ஜெயமில்லையென்றால்,  கடைசி பிரம்மாஸ்திரம் "பணம்", பிணம் கூட வாய்திறந்து கடவுச்சொல்லைச் சொல்லி விட்டு பழக்க தோஷத்தில் ஓட்டுப் போட விரலையும் நீட்ட வாய்ப்பிருப்பதால் இது தான் எளிதான மற்றும் 'வலி'மையான வழிமுறை.

மேலே சொல்லப்பட்டுள்ள "பணம்" கொடுத்துத் தகவல் பெறுதல் மற்றும் 'Social Engineering" ஆகியவற்றைப் பிறரால் தடுக்க முடியாது. ஆனால் ஸ்விஸ் வங்கிகளின் விஷயத்தில் அந்நாட்டின் சட்டம் அதற்குக் கடுமையான சிறைத் தண்டனை மற்றும் அபராதம் விதிப்பதால் இவை கட்டுக்குள் இருக்கின்றன. எனவே ஸ்விஸ் வங்கிகளின் ஒரே பிரச்சினை எந்த தொழில்நுட்பக் குறைபாடுகள் காரணமாகவும் தங்கள் தகவல்கள் இணைய இணைப்பில் கசிந்து விடக் கூடாது என்பது தான். பொதுவாக ஒரு இணைய இணைப்பில் தகவல்களைத் திருடுவதற்கு இரண்டு முறைகள் மிக புகழ்பெற்றது. ஒன்று Man in Middle Attack மற்றது Trojan Attack. 


Man in the Middle Attack என்பது வாடிக்கையாளர் மற்றும் வங்கி இணைப்பிற்கு நடுவே நந்தி போல் இருந்து கொண்டு, வங்கிக்கு வாடிக்கையாளர் போலவும், வாடிக்கையாளருக்கு வங்கி போலவும் தகவல்களைப் பறிமாறிக் கும்மாளம் போடுவது. Trojan Attack என்பது தகவல்களைத் திரட்டித் தரும் மென்பொருளை எப்படியாவது வாடிக்கையாளரின் கணினியில் நிறுவி விடுவது. அதன் பின் வாடிக்கையாளரின் கணினியில் நடக்கும் அத்தனை நடவடிக்கைகளும் சேர வேண்டிய இடத்திற்குச் சென்று கொண்டேயிருக்கும். இவையிரண்டில் Trojan Attack முறைக்கு வாடிக்கையாளரே பொறுப்பாளி. தேவையற்ற மென்பொருட்களை நிறுவுவதைத் தடுப்பதற்கேற்ப பாதுகாப்பு மென்பொருட்களை நிறுவி வைத்து தனது கணினியினைப் பாதுகாத்துக் கொள்வது அவர் பொறுப்பு. 


ஆனால் இந்த Man in Middle Attack கொஞ்சம் வில்லங்கமானது மற்றும் இது போன்ற தகவல் திருட்டு சாத்தியமானால், அவ்வாறான பாதுகாப்புக் குறைவான இணையத் தொடர்பினைத் தனது வாடிக்கையாளருக்கு வழங்கிய குற்றம் வங்கியினையேச் சாரும். இது போன்ற அத்தனைப் பிரச்சினைக்கும் தீர்வாக இணையப் பாதுகாப்பு வல்லுநர்களால் வழிமொழியப்ப்பட்டது தான் 2 Factor Authentication (2FA). அதாவது உங்கள் பயனர்ச் சொல், கடவுச்சொல் இவற்றைத் தவிர மூன்றாவது ஒரு தகவல் வாடிக்கையாளரிடம் இருந்து பெரும் முறை.


இந்த 2FA முறையின்படி பயனாளர்களுக்கு ஒரு இலத்திரனியல் கருவித் தரப்படும் (token) அதில் ஒவ்வொரு நிமிடத்திற்கும் வெவ்வேறு ஆறு இலக்க எண் தோன்றும் (இது நான்கு முதல் எட்டு இலக்க எண் வரை இருக்கலாம்).   வாடிக்கையாளர் தங்கள் கணக்கினை இணையத்தின் மூலம் கையாளும் போது தங்களின் கடவுச்சொல்லுடன் இந்த ஆறு இலக்க எண்ணையும் சேர்த்து கடவுச்சொல்லாக வழங்க வேண்டும். உங்களின் பயனர்ச்சொல்லும், கடவுச்சொல்லுடன் ஆறு இலக்க எண்ணும் இணையத்தில் பயணித்து வங்கியில் வலையமைப்பினைச் சென்று சேர்ந்ததும், உங்கள் தகவல்களை  கணினி ஒன்று (Authentication Manager) உறுதி செய்யும். அந்த கணினியில் வங்கியின் சார்பில் வழங்கப்பட்டிருக்கும் அனைத்து இலத்திரனியல் கருவிகளின் விவரங்கள், அதனை வைத்திருக்கும் வாடிக்கையாளர்களின் பயனர்ச்சொல் விவரங்கள் சேமிக்கப்பட்டிருக்கும். உங்கள் பயனர்ச்சொல்லைக் கண்டதும் உங்களிடம் இருக்கும் கருவியில் அந்த நிமிடத்தில் என்ன ஆறு இலக்க எண் தோன்றியிருக்கக் கூடும் என்பதனை ஒரு சிறப்பு நிரலின் மூலம் கணித்து உங்கள் அடையாளத்தினை உறுதி செய்யும். ( பார்க்கப் படம்).

இன்றையத் தேதிக்கு இந்தத் தொழில்நுட்பம் தான் சுவை, திடம், நிறம் மூன்று நற்குணங்களும் நிறைந்த த்ரீ ரோஸஸ். இதைத்தான் ஸ்விஸ் வங்கிகள் கடந்த பதினைந்து வருடங்களுக்கும் மேலாக பயன்படுத்தி வருகின்றன. இதனைப் பயன்படுத்திப் பார்க்க நீங்கள் நீரா ராடியாவுடன் தொலைபேசியில் ஜொள்ளியவராக இருக்க வேண்டியதில்லை. அறந்தாங்கியில் மாதச்சம்பளம் வாங்கும் குமரேசன் கூட வெறும் மின்னஞ்சல் மூலம் ஏதெனும் ஒரு ஸ்விஸ் வங்கியில் வங்கிக் கணக்கினைத் திறக்க முடியும். உங்களுக்கு வங்கியில் அனுப்பப்படும் கடிதத்தில் இந்த இலத்திரனியல் கருவியும் அனுப்பி வைக்கப்படும், பயன்படுத்தி மகிழலாம்.


இந்த அளவுக்கு தங்கள் பாதுகாப்பு விவரங்களினை இணையத்தில் கசிய விடாமல் இறுக்கிப் பிடித்திருந்த ஸ்விஸ் வங்கிகளின் வேட்டியை உருவுவதற்கென ஒருவர் பிறந்திருந்தார். விதி வலியது.... :).

அடுத்த பகுதியில்.....

19 comments:

Athiban said...

அருமையான தொடர்!! அடுத்த பதிவுக்காக காத்திருக்கிறேன்!

Raja said...

நகைச்சுவை துள்ளி விளையாடுது தொழில்நுட்ப விஷயங்களுக்கு இடையில் ........superb....waiting for the next post eagerly

அகல்விளக்கு said...

நகைச்சுவையுடன் தகவல்களை அள்ளித்தெளிக்கிறீர்கள்...

தொழில்நுட்பத்தை இந்த அளவிற்கு சுவைபட வேறு யாராலும் சொல்ல முடியாது தல...

தொடர்ந்து கலக்குங்க...

http://rajavani.blogspot.com/ said...

நல்லா போகுதுங்க சுடுதண்ணி...

கோட்டைமகா said...

உங்கள் அடுத்த பகுதியை ஆவலுடன் எதிர் பார்கிறேன் .
நல்ல எழுதுறீங்க..
வாழ்த்துக்கள்..
சீக்கிரம் அடுத்த பகுதியை பதிவேற்றுங்கள்...

நிகழ்காலத்தில்... said...

ஆங்கிலப்படம் பார்ப்பது போல விறுவிறுப்பான உண்மைகள்..

காத்திருக்கிறேன்..அடுத்த பதிவிற்கு..

வாழ்த்துகள் சுடுதண்ணி

ஆல் இன் ஆல் அழகு ராஜா said...

அண்ணா....
செம..சூடா..இருக்கு..சீக்கிரம்...அடுத்த.பாகத்துக்கு.காத்திருக்கின்றேன்..

would possible share Reference URLs for improve our knowledge

malaikkottai mannan said...

மிகவும் அருமையான பதிவு. தெளிந்த நீரோடை போல அனைவருக்கும் புரிவது போல எழுதுவது பாராட்டுக்குரியது.

ரகோத்மன் said...

nanri..

MANI said...

கணிணி தகவல்களை நீங்கள் அழகுத்தமிழில் சொல்லும் நடை மிகவும் அருமையாக உள்ளது.

மிகவும் சிறப்பாகவும் ராஜேஷ்குமார் நாவல் போன்று விறுவிறுப்பாகவும் செல்கிறது உங்கள் கட்டுரை. அடுத்த பதிவை ஆவலுடன் எதிர் நோக்குகிறேன்.

தருமி said...

நல்ல விவரங்களுக்காக மிக்க நன்றி.

சிநேகிதன் அக்பர் said...

அடுத்து என்ன நடக்கும் என்பதை அறியக்காத்திருக்கிறேன்.

AjinHari said...

Once again Suduthanni is rocking

ANaND said...

தொழில்நுட்ப செய்தினாலே செம போர்

ஆனா உங்க பதிவை சிரிச்சிகிட்டே படிக்கிறேன் ..
கடைசில வட்சிங்க பாருங்க... ஒரு மேட்டர் விதி வலியது னு

ஜோதிஜி said...

இதைத்தான் வெள்ளைக்காரன் வெரிகுட் என்று சொன்னான். தினமும் ஒன்றுபோட மனசு வந்ததே? அதுக்குத்தான்.

அப்புறம் சரியான நேரத்தில் கமா போட்டு தொடரும் போட்ட காரணத்தால் ஒரு நெடுந்தொடர் எடுக்க கொடுக்க வாய்ப்பு அருகில் இருப்பது போல் தெரிகிற்து.

அப்புறம்

அறந்தாங்கியில் மாதச்சம்பளம் வாங்கும் குமரேசன் கூட வெறும் மின்னஞ்சல் மூலம் ஏதெனும் ஒரு ஸ்விஸ் வங்கியில் வங்கிக் கணக்கினைத் திறக்க முடியும்.

தான் ஆடாவிட்டாலும் தன் சதை ஆடுமோ?

2sudhakar said...

தொழில்நுட்பத்தை இந்த மாதிரி வாத்தியார் சொல்லிக் கொடுத்தா எவ்ளோ அருமையா இருக்கும். மர்ம நாவல் படிப்பது போல் உள்ளது. தொடர்ந்து எழுதுங்கள். தாங்கள் இணைக்கும் புகைப்படங்கள் தனிச்சிறப்பு.

puduvaisiva said...

வணக்கம் சுடுதண்ணி அண்ணே

இப்பொழுதுதான் உங்களின் புதிய மூன்று பதிவுகளை படித்தேன் அனைத்தும் வழக்கம் போல் அருமை.


ஆறு இலக்க எண் தோன்றும் கருவி இதுவா ??
http://www.nomad4ever.com/wp-content/uploads/2008/02/hsbc-security-otp-token-tn.jpg

நன்றி

Unknown said...

அருமையான தொடர்!

Bharathi Dhas said...

அகக போ.....!
அருமை :-)