Wednesday, March 6, 2013

இணையம் வெல்வோம் -3


திடீரென்று உங்கள் வீட்டுக் கதவைத் தட்டி காவல்துறையின் சீருடையில் ஒருவர் அதிகாரத் தோரணையில் விசாரித்தால் அனேகம் பேர் நிச்சயம் அந்த நபர் தங்கபதக்கம் சிவாஜியோ அல்லது வால்டர் வெற்றிவேல் சத்யராஜாகவோ தான் இருக்க வேண்டும் என்று நம்பி,கடகடவென நேற்று வைத்த மீன் குழம்பு முதல் இன்று காலை பல் விளக்கியது வரை விவரித்து புல்லரிக்க வைத்து விட வாய்ப்பிருக்கிறது. அப்படி ஒரு சந்தர்ப்பத்தில் சிக்கினால் முதலில் சீருடையில் இருப்பவர் உண்மையிலேயே காவல்துறையைச் சேர்ந்தவர் தானா என்று அடையாளப் படுத்திக் கொள்வேன் என்று கூறும் அன்பர்கள் தங்கள் தோளில் தட்டிக் கொடுத்துக் கொண்டு தொடரவும். கிட்டத்தட்ட அப்படியொரு சூழ்நிலையினை மின்னஞ்சல் மூலம் உருவாக்கி உங்களை உணர்ச்சி வசப்பட வைத்து பலியாடாக்குவது தான் Spear Phishing Attack.
ஒரு நல்ல திடம், மணம், சுவை நிறைந்த Spear Phishing தாக்குதலைச் சமைக்கத் தேவையான பொருட்களில் முதன்மையானது தரமான பலியாடு மற்றும் அதன் மின்னஞ்சல் முகவரி,  பலியாட்டின் நம்பிக்கைக்குரிய ஒருவரின் அல்லது எதைச் சொன்னாலும் உடனே செய்ய வைக்கக் கூடிய பணியிடத்தின் உயரதிகாரியின் பெயர் மற்றும் மின்னஞ்சல் முகவரியும் ஆகும். இவற்றுடன், தாக்குதலுக்கென பிரத்யேகமாகத் தயாரிக்கப்பட்ட virus, malware, spyware போன்ற ஆயுதங்களுடன் களமிறங்குதல் சிறப்பு. இவையெல்லாம் நம் தெரு முக்கில் உள்ள மளிகைக் கடையில் கிடைத்து விடாது எனபதை நினைவில் கொள்ளவும். முதலில் virus, spyware and malware ஆக செயல்படப்போகும் நிரல்களை எழுதும் திறன் வேண்டும். அந்த நிரல்கள் கணிணி மற்றும் வலையமைப்புப் பாதுகாப்புக்கான மென்பொருட்கள் மற்றும் தொழில்நுட்பங்களால் கண்டுபிடிக்க முடியாத வகையில் இருக்க வேண்டும். ஒரு வேளை உங்கள் தாக்குதல் வெற்றிகரமாக முடிந்தால் பலியாட்டின் கணிணியிலிருந்தும் அதன் வலையமைப்பில் இருந்து உங்களின் நிரல் உங்களிடம் தொடர்பு கொள்ள ஏதுவாக ஒன்றோ அல்லது உங்களது தாக்குதலின் நீள, அகலத்திற்கேற்ப பல வழங்கிகளோ இணையத்தின் இணைப்பிலிருக்க வேண்டும்.
 

பொதுவாக Spear Phishing Attack என்பது பெரும் நிறுவனங்களின் வலையமைப்பிற்குள் நுழைவதற்கும் அவர்களின் தகவல்களைத் திருடுவதற்குமே பெரும்பாலும் பயன்படுத்தப்பட்டு வந்திருக்கிறது. மேற்சொன்ன அனைத்தும் தயாரான பின், யாரைத் தாக்கப் போகிறோம் என்பதை முதலில் தீர்மானிக்க வேண்டும். உதாரணத்திற்கு உங்களின் தாக்குதலை ABC என்ற நிறுவனத்தின் மீது செயல்படுத்த வேண்டுமென்றால் முதலில் அங்கு வேலை பார்க்கும் நபர்களின் பெயர்கள் அவர்கள் பணிபுரியும் துறை, மேலதிகாரிகள், முதலாளிகள் போன்ற தகவல்களனைத்தையும் சேகரிக்க வேண்டும். இவையெல்லாம் கிடைத்ததும், பூப்போட்டுப் பார்த்து எளிதாக ஏமாற்றப்படுவதற்கு ஏற்றவகையில் அமைந்திருக்கும் பெயரைத் தேர்ந்தெடுக்கவும். தகவல் தொழில்நுட்பத்துறை சாராதவராகவும், தமிழ்ப் பெயராகவும் கிடைத்தால் சிறப்போ சிறப்பு.

உங்களால் தேர்ந்தெடுக்கப்பட்டவரின் துறை மேலாளரின் பெயரிலோ அல்லது உயரதிகாரியின் பெயரிலோ ஒரு மின்னஞ்சலை அனுப்பி, அதில் நயமாக பேசி, அவரின் கணிணியில் உங்கள் நிரலை விதைக்க வேண்டியது உங்களின் சாமர்த்தியம். ‘இத்துடன் இணைத்திருக்கும் கோப்பினைப் பிழைதிருத்தி அனுப்பவும்’ என்று சொல்லலாம், அல்லது ‘சென்ற வாரவிடுமுறையில் குடும்பத்துடன் கச்சத்தீவிற்கு சுற்றுலா சென்றிருந்தோம்.. புகைப்படங்களைப் பார்க்க இங்கு செல்லவும்’ என்று சொல்லி இணையத்திற்கு வரவைத்தும் உங்கள் நிரலை நிறுவலாம். எப்படி மற்றொருவரின் மின்னஞ்சல் முகவரியின் பெயரில் நாம் மின்னஞ்சல் அனுப்ப முடியும் என்று  மண்டைக்குள் விளக்கெரியும் நண்பர்கள் கூகுளாடவும், அதிக நேரமிருப்பவர்கள் இணைய நிரல்கள் எழுதக் கற்றுக் கொள்ளவும் பரிந்துரைக்கப்படுகிறது. இத்தாக்குதலில் பயன்படுத்தப்படும் மின்னஞ்சல்களின் முகவரிகள் மிகச்சரியாக இருக்கும் காரணத்தால் உணர்ச்சிவசப்பட்டு பல பேர் பலியாவதற்கான வாய்ப்புகள் அதிகம். இதன் மூலம் நடைபெறும் சிறு தவறு மூலம் நீங்கள் பணிபுரியும் நிறுவனத்தின் அல்லது உங்கள் கணிணி இருக்கும் வலையமைப்பின் சகல சங்கதிகளையும் எங்கோ ஒருக்கும் கட்டுப்பாட்டு வழங்கியிடம் அனுப்பிக் கொண்டிருப்பீர்கள்,


மெதுவாக பரவும் விஷம் போல உங்கள் கணிணியிலிருந்து கிடைக்கும் மேலதிகத் தகவல்கள் மூலம் கிட்டத்தட்ட வலையமைப்பில் இருக்கும் ஒவ்வொருவரையும் நாளொரு மேனியும், பொழுதொரு வண்ணமும் பலியாடாக மாற்றி, ஒரு நாள் நிறுவனத்தின் மொத்த மானமும் ஊடகங்களிலும், இணையத்திலும் மணக்க மணக்க பிரியாணியாகப் படைக்கப்படும். இது போன்ற தாக்குதலுக்குப் பலியாவது பெரும்பாலும் அரசாங்கத் துறைகள், இராணுவம், விண்வெளி மற்றும் அணு ஆய்வு மையங்கள், தொழில்நுட்பத் துறை நிறுவனங்கள் அதிலும் குறிப்பாக வலையமைப்பின் பாதுகாப்புத் துறை நிறுவனங்கள். பொதுமக்களுக்குத் தெரிந்தே விடக்கூடாத உண்மைகள் சந்தி சிர்ப்பதும், அதனால் ஏற்படும் அரசியல் சதிராட்டங்களும் தான் அரசாங்கம் இத்தகையத் தாக்குதல் மூலம் சந்திக்கும் பாதிப்புகள். மற்ற தனியார் நிறுவனங்கள் இதன் மூலம் பெருத்த பொருள் நஷ்டம் அடைந்து ஊமைக்காயத்துடன் அவையடக்கத்துடன் சங்கடப்பட்டு கூனிக் குறுகும் நிலைக்கு ஆளாவார்கள்.
இராணுத்தளவாடங்களைத் தயாரிக்கும் உலகின் முன்னணி நிறுவனமான லக் ஹீட் மார்ட்டின் மற்றும் வலையமைப்புப் பாதுகாப்பற்கானத் தொழிநுட்பத்துறையின் முன்னணி நிறுவனங்களில் ஒன்றான RSA போன்ற முதலைகள் இத்தாக்குதலினால் ஏற்பட்ட பொருளாதார இழப்புகளுக்கு பூஜ்ஜியங்கள் மிகமிக அதிகம். மிகவும் ரகசியத் தகவல்களை கையாளும் நிறுவனங்கள் இது போன்று ஒருவர் செய்யும் சிறு தவறினால் தங்கள் வாடிக்கையாளர்களின் நம்பிக்கையினை இழந்து விடுவதும், RSA போன்ற ஊரில் உள்ள மற்றவர்களின் வலையமைப்பின் பாதுகாப்பினை உறுதிப்படுத்தும் நிறுவனங்கள் மற்றவர்களால் கேலியும், கிண்டலும் செய்யப்படும் நிலைக்கு ஆளாவதுமே இது போன்ற தாக்குதல்களைக் கண்டு அனைவரும் அஞ்சுவதற்குக் காரணம்.

இதுவரை நாம் கனவிலும் நினைத்திராத எத்தனையோ தொழிநுட்பங்கள் வலையமைப்பின் பாதுகாப்பிற்காக அறிமுகப்படுத்தப்பட்டிருந்தாலும் உலகம் இருக்கும் வரை சவாலாக இருக்கப் போவது மனித தவறுகள் மட்டுமே. ஹேக்கர்கள் தங்கள் திறமையை விட அதிகம் நம்புவதும் இவற்றைத்தான். யாராவது தொலைபேசியில் ‘ஐயாம் மேஜர் சுந்தர்ராஜன் ஸ்பீக்கீங், நான் தான் மேஜர் சுந்தர்ராஜன் பேசுறேன்’ என்று சொன்னால் உடனே நம்பி தங்களின் கடவுச்சொல் முதல் வீட்டு நிலைக்கதவில் சாவி ஒளித்து வைத்திருக்கும் இடம் வரை பதார்த்தமாக பகிர்ந்து கொள்ளும் அன்பர்கள் இருக்கும் வரை இது போன்ற தாக்குதல்கள் வெள்ளை மாளிகை முதல் நேமத்தான்பட்டி வரை தொடர்ந்து கொண்டு தான் இருக்கும்.
இதற்குத் தீர்வே இல்லையா?. இருக்கிறது. மின்னஞ்சலில் வெறும் தகவல்களை மட்டுமே பரிமாறும், கோப்புகளையோ அல்லது இணையச்சுட்டிகளையோ அனுமதிக்காத நிறுவனங்களும் அமைப்புகளும் உண்டு. குறிப்பிட்டக் கால இடைவெளியில் அனைத்து பணியாள்ர்களையும் அழைத்து வலையமைப்பின் பாதுகாப்புக் குறித்துக் காதைத் திருகி  வகுப்பெடுத்து, விழிப்பாக இருந்து கொள்ள அறிவுரைகள் வழங்கி செம்மைப்படுத்தும் நிறுவனங்களும் உண்டு. இது போன்று இணையத்தின் மூலம் தொடுக்கப்படும் தாக்குதல்கள் வெற்றியடைகிறதா அல்லது தோல்வியடைகிறதா என்பது அதனை நடத்தும் ஹேக்கர்களுத்தானேத் தெரியும். ஒரு வேளை வெற்றியடைந்து விட்டால், பாதிக்கப்பட்ட நிறுவனங்கள் எப்படி, எப்பொழுது அதனைக் கண்டுபிடிப்பார்கள்?.


இங்கு தான் ‘காவல்துறை உங்கள் நண்பன்’ என்ற அறிவிப்புப் பலகையுடன் உலா வரும் வலையமைப்புப் பாதுகாப்பு வல்லுநர்களைப் பற்றி நாம் தெரிந்து கொள்வது அவசியமாகிறது. பொதுவாக சிறுநகரங்களிலும், குக்கிராமங்களிலும் ஊருக்குள் புதிதாக ஒரு காகம் வந்தால் கூட சரியாகக் கண்டுபிடித்து, பயணம் தொடங்கிய இடம், செல்லும் இடம், பார்க்கப் போகும் நபர், அவருக்கு எந்த வகையில் சொந்தம் என்று சகலத்தையும் அலசிய பின் அனுப்பி வைக்கும் ஜெய்சங்கர்கள் ஊருக்கு வெளியே சுமைதாங்கிக் கல்லின் மேலோ அல்லது பாலத்திலோ இருந்து கொண்டு எப்படி ஊருக்குள் வருவோர், போவோரை அளவெடுப்பார்களோ கிட்டத்தட்ட அதே வேலையினை உங்கள் கண்ணி வலையமைப்பில் பார்ப்பவர்கள் தான் இவர்கள். இவர்களின் உலகம் முற்றும் மாறுபட்டது, இவர்கள் பார்வைபடும் இடமெல்லாம் வலையமைப்பு எண்களும்(IP Address) மற்றும் வலைத்தொடர்பு எண்களுமே (port) நிறைந்திருக்கும். ஆயிரக்கணக்காண நபர்கள் பணியாற்றும் இடமாக இருந்தாலும் இத்துறையில் இரண்டு அல்லது மூன்று பேர் தான் இருப்பார்கள். இவர்களால் எப்படி மிகப்பெரிய வலையமைப்பின் பாதுகாப்பினைக் கட்டுப்படுத்த முடிகிறது, எப்படி வலையமைப்பின் தாக்குதல் ஏற்பட்டாலோ அல்லது பாதுகாப்புக் குறைபாட்டினால் பாதிக்கப்பாட்டாலோ இவர்களின் கண்களுக்கு மட்டும் அது தெரியவருகிறது?.. இவர்கள் பயன்படுத்தும் தொழில்நுட்பங்கள் என்ன?
தொடர்வோம்..

www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து...

9 comments:

அகல்விளக்கு said...

:)

சுடுதண்ணி said...

வருகைக்கு நன்றி..நலமா? @ அகல்விளக்கு..

அரசூரான் said...

ம்ம்ம்... சுடுதண்ணியில் பிரியாணி எல்லாம் பரிமாறி பதிவை சுவை கூட்டிட்டீங்க!

Thomas Ruban said...

எளிமையாகவும் விறுவிறுப்பாகவும் தொடர் அருமையாக சென்று கொண்டிருக்கிறது நன்றி:)

Unknown said...

Soopper.. 3 Part Excellent , waiting for another part. quick post asap ..

Continue..

சுடுதண்ணி said...

ஊக்கத்துக்கு மிக்க நன்றி @ அரசூரான், தாமஸ், சுல்தான் :).. தொடர்ந்து வாங்க..

ஜோசப் இருதயராஜ் said...
This comment has been removed by the author.
ஜோசப் இருதயராஜ் said...

" அவருக்கு எந்த வகையில் சொந்தம் என்று சகலத்தையும் அலசிய பின் அனுப்பி வைக்கும் ஜெய்சங்கர்கள் ஊருக்கு வெளியே சுமைதாங்கிக் கல்லின் மேலோ அல்லது பாலத்திலோ இருந்து கொண்டு எப்படி ஊருக்குள் வருவோர், போவோரை அளவெடுப்பார்களோ"....

சூப்பர் உதாரணம்... ஆனா ஜெய்சங்கர் நடித்த அந்த சினிமா பெயரை சொல்லியிருந்தால் இன்னும் நல்லா இருந்து இருக்கும்.. .எனக்கு மறந்து போச்சி... ஹீ ஹீ....!

* எப்பவும் போல பதிவு சூப்பர் பின்னுரீங்க
* அனைவருக்கும் பயனுள்ள பதிவு.

குறிப்பா என்ன மாதிரி... ஹி ஹீ.

கீழக்குடிக்காடுமனிதன் said...

சூப்பர்