வலையமைப்பிற்கான பாதுகாப்புக் கட்டுப்பாட்டு அறையில் வந்து குவியும் ஒவ்வொரு இணைப்பிற்கான தகவல்களையும் சரி பார்ப்பது நடைமுறை சாத்தியமில்லாதது. இவ்வாறு திரட்டப்படும் தகவல்களை நிர்வகிப்பதற்கென மென்பொருட்கள் பயன்பாட்டில் உள்ளன. அம்மென்பொருட்கள் மூலம் தேவைக்கேற்ப விதிமுறை நிரல்களை எழுதிக்கொள்ளலாம். குறிப்பிட்ட விதிமுறை மீறப்பட்டால் மட்டும் அந்த மென்பொருள் வலையமைப்பு வல்லுநர்களுக்கு தகவல் தெரிவிக்கும். அவர்களும் மேற்கொண்டு செய்ய வேண்டிய ஆய்வுகளைச் செய்து சரி பார்ப்பார்கள். உதாரணத்திற்கு, ஒரு வாடிக்கையாளர் இயல்பாக முதலிரண்டு முறை தவறான கடவுச்சொல் கொடுத்து விட்டு பின்னர் சரியான கடவுச்சொல் கொடுக்கிறார் என்று வைத்துக் கொள்வோம். மேற்சொன்ன மூன்று இணைப்புத் தகவல்களில் எதுவும் பிரச்சினைக்குரியது இல்லை. அதே நேரம் ஒரு வாடிக்கையாளர் ஒரு நாளில் 100 முறை தவறான கடவுச்சொல் தகவலை உள்ளிட்டதாக இணைப்புத் தகவல்கள் சொன்னால் அது நிச்சயம் வில்லங்கமானது தான். இது போன்று ஒவ்வொரு பிரச்சினைக்குரிய சந்தர்ப்பங்களையும் பரிசீலித்து அவற்றினைச் சமாளிப்பதற்கேற்ப தங்கள் விதிமுறை நிரல்களை அமைத்துக் கொள்வதன் மூலம் ஒவ்வொரு தனித்தனித் தகவல்களையும் ஆராயாமல். தங்கள் விதிமுறை நிரல்களை மீறும் தகவல்களை மட்டும் ஆராய்ந்து அலசி வலையமைப்பின் பாதுகாப்பினை நிலை நாட்டுகிறார்கள்.
இவ்வளவு கட்டுக்காவலிலும் சிட்டுக்குருவி மாதிரி தகவல்களைக் கொத்திக் கொண்டு போகும் பிஸ்தாக்கள் இருக்கத்தான் செய்கிறார்கள். எவ்வளவு பெரிய மதில் சுவராக இருந்தாலும் பொறுமையாக ஒவ்வொரு கல்லாக அசைத்துப் பார்த்து, நிதானமாக திருட்டு மாங்காய் சுவைப்பது இவர்களுக்கு கைவந்த கலை. அப்படி எந்த வகையிலும் தகர்க்க முடியாத வலையமைப்புகளுக்கென இருக்கவே இருக்கிறது 'social engineering' முறை. அதாவது தாவணிகளின் அன்றாட நடவடிக்கைகள் மற்றும் விவரங்களை எதிரிலிருக்கும் ஒரு டைலர் கடையிலோ அல்லது டீக்கடையிலோ அடிக்கடி சென்று வசூலிப்பது போல, தகர்க்க நினைக்கும் வலையமைப்பினுள்ளே வேலை பார்க்கும் ஏதாவது ஒரு நபருடன் 'வாங்க பழகலாம்' திட்டத்தின் அடிப்படையில் அவர்களைப் பற்றிய பிரத்யேகத் தகவல்கள் மற்றும் பணியிடம் சம்பந்தப்பட்டத் தகவல்களை அவர்கள் அறியாமலேயே பேச்சுவாக்கில் போட்டு வாங்கிக் கொள்வது. அதிலும் ஜெயமில்லையென்றால், கடைசி பிரம்மாஸ்திரம் "பணம்", பிணம் கூட வாய்திறந்து கடவுச்சொல்லைச் சொல்லி விட்டு பழக்க தோஷத்தில் ஓட்டுப் போட விரலையும் நீட்ட வாய்ப்பிருப்பதால் இது தான் எளிதான மற்றும் 'வலி'மையான வழிமுறை.
மேலே சொல்லப்பட்டுள்ள "பணம்" கொடுத்துத் தகவல் பெறுதல் மற்றும் 'Social Engineering" ஆகியவற்றைப் பிறரால் தடுக்க முடியாது. ஆனால் ஸ்விஸ் வங்கிகளின் விஷயத்தில் அந்நாட்டின் சட்டம் அதற்குக் கடுமையான சிறைத் தண்டனை மற்றும் அபராதம் விதிப்பதால் இவை கட்டுக்குள் இருக்கின்றன. எனவே ஸ்விஸ் வங்கிகளின் ஒரே பிரச்சினை எந்த தொழில்நுட்பக் குறைபாடுகள் காரணமாகவும் தங்கள் தகவல்கள் இணைய இணைப்பில் கசிந்து விடக் கூடாது என்பது தான். பொதுவாக ஒரு இணைய இணைப்பில் தகவல்களைத் திருடுவதற்கு இரண்டு முறைகள் மிக புகழ்பெற்றது. ஒன்று Man in Middle Attack மற்றது Trojan Attack.
Man in the Middle Attack என்பது வாடிக்கையாளர் மற்றும் வங்கி இணைப்பிற்கு நடுவே நந்தி போல் இருந்து கொண்டு, வங்கிக்கு வாடிக்கையாளர் போலவும், வாடிக்கையாளருக்கு வங்கி போலவும் தகவல்களைப் பறிமாறிக் கும்மாளம் போடுவது. Trojan Attack என்பது தகவல்களைத் திரட்டித் தரும் மென்பொருளை எப்படியாவது வாடிக்கையாளரின் கணினியில் நிறுவி விடுவது. அதன் பின் வாடிக்கையாளரின் கணினியில் நடக்கும் அத்தனை நடவடிக்கைகளும் சேர வேண்டிய இடத்திற்குச் சென்று கொண்டேயிருக்கும். இவையிரண்டில் Trojan Attack முறைக்கு வாடிக்கையாளரே பொறுப்பாளி. தேவையற்ற மென்பொருட்களை நிறுவுவதைத் தடுப்பதற்கேற்ப பாதுகாப்பு மென்பொருட்களை நிறுவி வைத்து தனது கணினியினைப் பாதுகாத்துக் கொள்வது அவர் பொறுப்பு.
ஆனால் இந்த Man in Middle Attack கொஞ்சம் வில்லங்கமானது மற்றும் இது போன்ற தகவல் திருட்டு சாத்தியமானால், அவ்வாறான பாதுகாப்புக் குறைவான இணையத் தொடர்பினைத் தனது வாடிக்கையாளருக்கு வழங்கிய குற்றம் வங்கியினையேச் சாரும். இது போன்ற அத்தனைப் பிரச்சினைக்கும் தீர்வாக இணையப் பாதுகாப்பு வல்லுநர்களால் வழிமொழியப்ப்பட்டது தான் 2 Factor Authentication (2FA). அதாவது உங்கள் பயனர்ச் சொல், கடவுச்சொல் இவற்றைத் தவிர மூன்றாவது ஒரு தகவல் வாடிக்கையாளரிடம் இருந்து பெரும் முறை.
இந்த 2FA முறையின்படி பயனாளர்களுக்கு ஒரு இலத்திரனியல் கருவித் தரப்படும் (token) அதில் ஒவ்வொரு நிமிடத்திற்கும் வெவ்வேறு ஆறு இலக்க எண் தோன்றும் (இது நான்கு முதல் எட்டு இலக்க எண் வரை இருக்கலாம்). வாடிக்கையாளர் தங்கள் கணக்கினை இணையத்தின் மூலம் கையாளும் போது தங்களின் கடவுச்சொல்லுடன் இந்த ஆறு இலக்க எண்ணையும் சேர்த்து கடவுச்சொல்லாக வழங்க வேண்டும். உங்களின் பயனர்ச்சொல்லும், கடவுச்சொல்லுடன் ஆறு இலக்க எண்ணும் இணையத்தில் பயணித்து வங்கியில் வலையமைப்பினைச் சென்று சேர்ந்ததும், உங்கள் தகவல்களை கணினி ஒன்று (Authentication Manager) உறுதி செய்யும். அந்த கணினியில் வங்கியின் சார்பில் வழங்கப்பட்டிருக்கும் அனைத்து இலத்திரனியல் கருவிகளின் விவரங்கள், அதனை வைத்திருக்கும் வாடிக்கையாளர்களின் பயனர்ச்சொல் விவரங்கள் சேமிக்கப்பட்டிருக்கும். உங்கள் பயனர்ச்சொல்லைக் கண்டதும் உங்களிடம் இருக்கும் கருவியில் அந்த நிமிடத்தில் என்ன ஆறு இலக்க எண் தோன்றியிருக்கக் கூடும் என்பதனை ஒரு சிறப்பு நிரலின் மூலம் கணித்து உங்கள் அடையாளத்தினை உறுதி செய்யும். ( பார்க்கப் படம்).
இன்றையத் தேதிக்கு இந்தத் தொழில்நுட்பம் தான் சுவை, திடம், நிறம் மூன்று நற்குணங்களும் நிறைந்த த்ரீ ரோஸஸ். இதைத்தான் ஸ்விஸ் வங்கிகள் கடந்த பதினைந்து வருடங்களுக்கும் மேலாக பயன்படுத்தி வருகின்றன. இதனைப் பயன்படுத்திப் பார்க்க நீங்கள் நீரா ராடியாவுடன் தொலைபேசியில் ஜொள்ளியவராக இருக்க வேண்டியதில்லை. அறந்தாங்கியில் மாதச்சம்பளம் வாங்கும் குமரேசன் கூட வெறும் மின்னஞ்சல் மூலம் ஏதெனும் ஒரு ஸ்விஸ் வங்கியில் வங்கிக் கணக்கினைத் திறக்க முடியும். உங்களுக்கு வங்கியில் அனுப்பப்படும் கடிதத்தில் இந்த இலத்திரனியல் கருவியும் அனுப்பி வைக்கப்படும், பயன்படுத்தி மகிழலாம்.
இந்த அளவுக்கு தங்கள் பாதுகாப்பு விவரங்களினை இணையத்தில் கசிய விடாமல் இறுக்கிப் பிடித்திருந்த ஸ்விஸ் வங்கிகளின் வேட்டியை உருவுவதற்கென ஒருவர் பிறந்திருந்தார். விதி வலியது.... :).
அடுத்த பகுதியில்.....
இந்த 2FA முறையின்படி பயனாளர்களுக்கு ஒரு இலத்திரனியல் கருவித் தரப்படும் (token) அதில் ஒவ்வொரு நிமிடத்திற்கும் வெவ்வேறு ஆறு இலக்க எண் தோன்றும் (இது நான்கு முதல் எட்டு இலக்க எண் வரை இருக்கலாம்). வாடிக்கையாளர் தங்கள் கணக்கினை இணையத்தின் மூலம் கையாளும் போது தங்களின் கடவுச்சொல்லுடன் இந்த ஆறு இலக்க எண்ணையும் சேர்த்து கடவுச்சொல்லாக வழங்க வேண்டும். உங்களின் பயனர்ச்சொல்லும், கடவுச்சொல்லுடன் ஆறு இலக்க எண்ணும் இணையத்தில் பயணித்து வங்கியில் வலையமைப்பினைச் சென்று சேர்ந்ததும், உங்கள் தகவல்களை கணினி ஒன்று (Authentication Manager) உறுதி செய்யும். அந்த கணினியில் வங்கியின் சார்பில் வழங்கப்பட்டிருக்கும் அனைத்து இலத்திரனியல் கருவிகளின் விவரங்கள், அதனை வைத்திருக்கும் வாடிக்கையாளர்களின் பயனர்ச்சொல் விவரங்கள் சேமிக்கப்பட்டிருக்கும். உங்கள் பயனர்ச்சொல்லைக் கண்டதும் உங்களிடம் இருக்கும் கருவியில் அந்த நிமிடத்தில் என்ன ஆறு இலக்க எண் தோன்றியிருக்கக் கூடும் என்பதனை ஒரு சிறப்பு நிரலின் மூலம் கணித்து உங்கள் அடையாளத்தினை உறுதி செய்யும். ( பார்க்கப் படம்).
இன்றையத் தேதிக்கு இந்தத் தொழில்நுட்பம் தான் சுவை, திடம், நிறம் மூன்று நற்குணங்களும் நிறைந்த த்ரீ ரோஸஸ். இதைத்தான் ஸ்விஸ் வங்கிகள் கடந்த பதினைந்து வருடங்களுக்கும் மேலாக பயன்படுத்தி வருகின்றன. இதனைப் பயன்படுத்திப் பார்க்க நீங்கள் நீரா ராடியாவுடன் தொலைபேசியில் ஜொள்ளியவராக இருக்க வேண்டியதில்லை. அறந்தாங்கியில் மாதச்சம்பளம் வாங்கும் குமரேசன் கூட வெறும் மின்னஞ்சல் மூலம் ஏதெனும் ஒரு ஸ்விஸ் வங்கியில் வங்கிக் கணக்கினைத் திறக்க முடியும். உங்களுக்கு வங்கியில் அனுப்பப்படும் கடிதத்தில் இந்த இலத்திரனியல் கருவியும் அனுப்பி வைக்கப்படும், பயன்படுத்தி மகிழலாம்.
இந்த அளவுக்கு தங்கள் பாதுகாப்பு விவரங்களினை இணையத்தில் கசிய விடாமல் இறுக்கிப் பிடித்திருந்த ஸ்விஸ் வங்கிகளின் வேட்டியை உருவுவதற்கென ஒருவர் பிறந்திருந்தார். விதி வலியது.... :).
அடுத்த பகுதியில்.....
அருமையான தொடர்!! அடுத்த பதிவுக்காக காத்திருக்கிறேன்!
ReplyDeleteநகைச்சுவை துள்ளி விளையாடுது தொழில்நுட்ப விஷயங்களுக்கு இடையில் ........superb....waiting for the next post eagerly
ReplyDeleteநகைச்சுவையுடன் தகவல்களை அள்ளித்தெளிக்கிறீர்கள்...
ReplyDeleteதொழில்நுட்பத்தை இந்த அளவிற்கு சுவைபட வேறு யாராலும் சொல்ல முடியாது தல...
தொடர்ந்து கலக்குங்க...
நல்லா போகுதுங்க சுடுதண்ணி...
ReplyDeleteஉங்கள் அடுத்த பகுதியை ஆவலுடன் எதிர் பார்கிறேன் .
ReplyDeleteநல்ல எழுதுறீங்க..
வாழ்த்துக்கள்..
சீக்கிரம் அடுத்த பகுதியை பதிவேற்றுங்கள்...
ஆங்கிலப்படம் பார்ப்பது போல விறுவிறுப்பான உண்மைகள்..
ReplyDeleteகாத்திருக்கிறேன்..அடுத்த பதிவிற்கு..
வாழ்த்துகள் சுடுதண்ணி
அண்ணா....
ReplyDeleteசெம..சூடா..இருக்கு..சீக்கிரம்...அடுத்த.பாகத்துக்கு.காத்திருக்கின்றேன்..
would possible share Reference URLs for improve our knowledge
மிகவும் அருமையான பதிவு. தெளிந்த நீரோடை போல அனைவருக்கும் புரிவது போல எழுதுவது பாராட்டுக்குரியது.
ReplyDeletenanri..
ReplyDeleteகணிணி தகவல்களை நீங்கள் அழகுத்தமிழில் சொல்லும் நடை மிகவும் அருமையாக உள்ளது.
ReplyDeleteமிகவும் சிறப்பாகவும் ராஜேஷ்குமார் நாவல் போன்று விறுவிறுப்பாகவும் செல்கிறது உங்கள் கட்டுரை. அடுத்த பதிவை ஆவலுடன் எதிர் நோக்குகிறேன்.
நல்ல விவரங்களுக்காக மிக்க நன்றி.
ReplyDeleteஅடுத்து என்ன நடக்கும் என்பதை அறியக்காத்திருக்கிறேன்.
ReplyDeleteOnce again Suduthanni is rocking
ReplyDeleteதொழில்நுட்ப செய்தினாலே செம போர்
ReplyDeleteஆனா உங்க பதிவை சிரிச்சிகிட்டே படிக்கிறேன் ..
கடைசில வட்சிங்க பாருங்க... ஒரு மேட்டர் விதி வலியது னு
இதைத்தான் வெள்ளைக்காரன் வெரிகுட் என்று சொன்னான். தினமும் ஒன்றுபோட மனசு வந்ததே? அதுக்குத்தான்.
ReplyDeleteஅப்புறம் சரியான நேரத்தில் கமா போட்டு தொடரும் போட்ட காரணத்தால் ஒரு நெடுந்தொடர் எடுக்க கொடுக்க வாய்ப்பு அருகில் இருப்பது போல் தெரிகிற்து.
அப்புறம்
அறந்தாங்கியில் மாதச்சம்பளம் வாங்கும் குமரேசன் கூட வெறும் மின்னஞ்சல் மூலம் ஏதெனும் ஒரு ஸ்விஸ் வங்கியில் வங்கிக் கணக்கினைத் திறக்க முடியும்.
தான் ஆடாவிட்டாலும் தன் சதை ஆடுமோ?
தொழில்நுட்பத்தை இந்த மாதிரி வாத்தியார் சொல்லிக் கொடுத்தா எவ்ளோ அருமையா இருக்கும். மர்ம நாவல் படிப்பது போல் உள்ளது. தொடர்ந்து எழுதுங்கள். தாங்கள் இணைக்கும் புகைப்படங்கள் தனிச்சிறப்பு.
ReplyDeleteவணக்கம் சுடுதண்ணி அண்ணே
ReplyDeleteஇப்பொழுதுதான் உங்களின் புதிய மூன்று பதிவுகளை படித்தேன் அனைத்தும் வழக்கம் போல் அருமை.
ஆறு இலக்க எண் தோன்றும் கருவி இதுவா ??
http://www.nomad4ever.com/wp-content/uploads/2008/02/hsbc-security-otp-token-tn.jpg
நன்றி
அருமையான தொடர்!
ReplyDeleteஅகக போ.....!
ReplyDeleteஅருமை :-)