Monday, May 6, 2013

இணையம் வெல்வோம் - 7


ஹேக்கிங் என்பது ஒரு பெண்ணின் மனதை போல மிக ஆழமானது. எப்படி எப்பொழுதுமே ஒரே மாதிரியான உத்தியினைப் பயன்படுத்தி எல்லாப் பெண்களையும் கவர முடியாதோ அதே போல, இப்படித்தான் ஹேக்கிங் செய்ய வேண்டும் என்று அறுதியிட்டுச் சொல்லும் நேரடி வழிமுறைகளோ, செயல்முறை விளக்கங்களோ கிடையாது. உலகில் உள்ள வலையமைப்புகள் ஒவ்வொன்றும் ஒரு விதம், அவற்றுக்குத் தகுந்தவாறு தாக்குதல் உத்தியினைச் சமயோசிதமாக மாற்றியமைத்து வெற்றி பெறுபவர்களே ‘புத்திமான் பலவான்’ விருதினைப் பெறும் தகுதியினைப் பெறுகிறார்கள்.
பிறகு எப்படித்தான் இதனைக் கற்றுக் கொள்வது?. மணிமேகலைப் பிரசுரத்தின் ‘30 நாட்களில் தொப்பையைக் குறைப்பது எப்படி?’ வகையிலானப் புத்தகம் ஒன்றினை வாங்கி, 31வது நாளில் ‘நானும் ஒரு ஹேக்கர் தெரியும்ல’ ஒரு மீசை முறுக்க வாய்ப்பேயில்லை. வலையமைப்புகளின் அரிச்சுவடி தலைகீழ் மனப்பாடமாகத் தெரிந்து வைத்துக் கொள்ளுதலும், பொதுவாக வலைப் பாதுகாப்புக்கெனப் பின்பற்றப்படும் சிறப்பு ஏற்பாடுகள் குறித்தும் சகலமும் அறிந்திருத்தல் சிறப்பு. வயல்காட்டில் கட்டவிழ்த்தக் காளையைப் போல் தறிகெட்டு ஓடி, கையும் களவுமாக மாட்டும் போது சட்ட நடவடிக்கைகளால் உங்கள் பொன்னான எதிர்காலம் புண்ணாகிப் போகும் வாய்ப்புகள் பற்றி அறிந்திருத்தல் அதனினும் சிறப்பு. ஆக மொத்தம் வெற்றிகரமான ஹேக்கர் ஆவதற்குத் தேவையான முக்கிய தகுதிகள் குறித்து ஒரு பக்க அளவில் விவரி என்று யாராவது கேட்டால் வலையமைப்புகளில் தன் அடையாளம் மறைத்து களமாடும் அளவிற்கு ஆழ்ந்த தொழில்நுட்ப அறிவு, சம்பந்தப்பட்ட நாடுகளில் உள்ள இணையக் குற்றத்திற்கான சட்டங்கள் பற்றிய விழிப்புணர்வு, நிறைய பொறுமை, சமயோசிதமாக தாக்குதல்களை வலையமைப்பிற்கேற்ப மாற்றியமைக்கும் திறன் ஆகியவை என்று பதில் சொல்லி முழு மதிப்பெண்கள் வாங்கிக் கொள்ளவும். சுருக்கமாக சொன்னால் நல்ல அறிவார்ந்த களவாணித்தனம் வேண்டும்.

எதற்குக் கையேந்தினாலும் இல்லையென்று சொல்லாமல் வாரி வழங்கும் வள்ளலான இணையத்தில் ஏன் ஹேக்கிங் பற்றி நேரடியானத் தகவல்கள் எளிதில் கிடைப்பதில்லை, அப்படிக் கிடைத்தாலும் சித்தர்கள் பாடல் மாதிரி எதைச் சொன்னாலும் அதைப் பொடி வைத்துச் சொல்லியே தலைவலிக்க வைக்கிறார்களே என்று கவலையுறும் அன்பர்கள் கவனத்திற்கு, அப்படி ஏதாவது இணையத்தில் சொல்லி வைத்து அதைப்படித்து ஆர்வக்கோளாரான நண்பர்கள், ‘அதைப்பார்த்துத் தான் ஹேக்கிங் பழகலாமுன்னு உங்க வலைப்பக்கமா வந்தேன்’ என்று எங்காவது வில்லங்கமான இடத்தில் தலையை சொறியும் பட்சத்தில் ஆப்பு இரண்டு பேருக்குமே உண்டு என்பதே காரணம்.

ஹேக்கிங் என்பதனை ஒரு வீட்டில் திருடச் செல்வதோடு ஒப்பிடலாம். முதலில் எந்த வீட்டில் திருட போகிறோம் என்பதனை முடிவு செய்ய வேண்டும், பிறகு அங்கு மாட்டிக்கொண்டால் எந்தெந்த இடத்திலெல்லாம் இரத்தம் கட்டும் அளவுக்கு உள்காயமாக அடிப்பார்கள் என்பதைத் தெரிந்து கொள்ள வேண்டும். பிறகு வீட்டில் எத்தனை நுழைவுப்பாதைகள் உள்ளன,  தேவையானவற்றை ஆட்டையைப் போட்ட பிறகு தப்பிக்க எத்தனை வழிகள் உள்ளன, எத்தனை சன்னல்கள், எத்தனைக் கதவுகள், எத்தனைப் பூட்டுகள், பாதுகாப்புக்கு நாய் இருக்கிறதா, அப்படி இருந்தால் அதற்குப் போட ரொட்டித் துண்டுகள், வீட்டில் எத்தனை பேர் இருக்கிறார்கள், நாம் நுழையும் நேரத்தில் யாரும் முழித்திருப்பார்களா, அவர்களின் தினசரி நடவடிக்கைகள் ஆகியவற்றை வேவுப் பார்த்து தெரிந்து வைத்துக் கொண்டு பிறகு செயலில் இறங்குவதைப் போலவே தான் ஹேக்கிங்கும்.

வீடுகளில் சுவரேறித் திருடுபவர்களிலும், ஹேக்கர்களிலும் இரண்டு வகை உண்டு. ஒன்று வெற்றிகரமாக உள்நுழைந்ததும் உள்ளிருக்கும் அத்தனைப் பொருட்களையும் அள்ளியெறிந்து பரபரப்பாக சுருட்டிக் கொண்டு அந்த இடத்தையே ரணகளமாக்கிச் செல்பவர்கள், நகையோ அல்லது பாத்திரமோ போன்ற குறிப்பிட்ட பொருளை மட்டுமே குறி வைத்து நுழைந்து அதனை மட்டும் கவர்ந்து வந்த தடமின்றி வெளியேறிச் செல்பவர்கள். இந்த இரண்டாவது வகை தான் ஆபத்தானவர்கள், காரணம் இவர்களை கண்டுபிடிப்பது கடினம்.

இப்படியெல்லாம் சிரமப்படாமல் பட்டப்பகலிலேயே சேலையோ, வாசனைத்திரவியமோ அல்லது பித்தளைப்பாத்திரம், வெள்ளி, தங்க நகைக்களுக்கு மெருகேற்றுவதற்கோ என்று சொல்லு அழகாக பேசி வீட்டுக்குள் நுழைந்து சுருட்டும் வல்லவர்களும் உண்டு. ஹேக்கிங்கில் இதற்குப் பெயர் ‘Social Engineering’. உங்களிடம் நெருங்கிப் பழகி கடவுச்சொற்களைத் தட்டச்சும் பொழுது எட்டிப்பார்ப்பதும், உங்கள் பிறந்தநாள், குடும்பத்தினர்களில் பெயர்கள், படித்தப் பள்ளிக்கூடம் இப்படி அனைத்து தகவல்களையும் திரட்டி உங்களைப்போன்றே வலையமைப்பினுள் நுழைவது (Identity Theft), தொலைபேசியில் திடீரென அழைத்து உங்கள் வங்கியிலிருந்து பேசுவதைப்போலவோ அல்லது மேலதிகாரியைப் போலவோ அல்லது உங்கள் நிறுவனத்தின் கணிணித்துறையில் பணிபுரிபவரைப் போலவோப் பேசி நேரடியாகக் கடவுச்சொற்களை வாங்குவது ஆகியவை இதில் அடக்கம்.

மேற்சொன்னவாறு வேவுபார்த்து வலையமைப்பின் கட்டமைப்பினை ஆராய்வதற்குப் பெயர் ‘Reconnaissance Scan’. அதாவது உங்கள் வலையமைப்பில் என்னென்ன உபகரணங்கள் உள்ளன, அவற்றின் வலையமைப்பு எண்கள், உள்நுழைவதற்கு ஏதுவாக இருக்கும் வலைத்தொடர்புப் புள்ளிகள், கணிணிகள், இயங்குதளங்கள் மற்றும் மென்பொருட்கள், அவற்றின் வெளியீட்டு எண்கள் (Versions) ஆகியவற்றைத் திரட்டுவது தான் ஹேக்கிங்கின் முதல் படி. இதனைச் செய்வதற்கு ஏராளமான மென்பொருட்கள் இணையத்தில் பரவிக் கிடக்கின்றன, அவற்றில் பல நமக்கு மிகவும் பிடித்த விஷயமான “இலவச’ மென்பொருட்கள் என்பது குறிப்பிடத்தக்கது. நிரல்கள் எழுதும் வரம் பெற்றவர்கள் கொஞ்சம் முயன்றால் தாங்களே எழுதிக்கொள்ளலாம்.

Reconnaissance குறித்து இன்னும் விரிவாகத் தொடர்வதற்கு முன்னால் வலையமைப்பு எண்கள் குறித்து ஒரு முக்கிய விஷயத்தினைத் தெரிந்து கொள்ள வேண்டும். வலையமைப்பு எண்கள் எல்லாம் பார்க்க ஒரே மாதிரி இருந்தாலும் அவற்றுக்குள்ளும் வர்க்க பேதம் உண்டு. உள்வலையமைப்பிற்குள் மட்டுமே அனுமதிக்கப்பட்ட ஒடுக்கப்பட்ட எண்களும் (non-routable Private IP Addresses), இணைய வெளியில் உல்லாச உலா வர அனுமதிக்கப்பட்ட உயர்வகை எண்களும் இருக்கின்றன (routable public IP Addresses).

உதாரணத்திற்கு உங்கள் வீட்டிலுள்ள கணிணியின் உள் வலையமைப்பு எண் (192.168.x.x) வழியாகத் தகவல்கள் வெளியே இணையத்திற்குப் பயணிக்கும் போது உங்களுக்கு இணையவசதியினை வழங்கும் நிறுவனத்தின் உபகரணமான Modem/Router இன்  வெளி வலையமைப்பு எண் மூலமாக தான் தொடர்பு கொள்ளும். உங்கள் வலையமைப்பிற்கு வெளியே இருந்து எந்தத் தகவல் போக்குவரத்தும் நேரடியாக உங்கள் கணிணியின் வலையமப்பு எண்ணைத் தொடர்பு கொள்ள முடியாது. அவையனைத்தும் உங்களின் வெளிவலையமைப்பு எண் மூலமாகத் தான் உங்களை வந்தடைகிறது. உங்கள் வெளி வலையமைப்பு எண்ணைத் தெரிந்து கொள்ள நிறைய இணையத்தளங்கள் இருக்கின்றன. உதா: http://www.myipaddress.com

உங்கள் வீட்டிலிருக்கும் modem/router உபகரணத்தினை ஒவ்வொரு முறை நீங்கள் மின்னிணைப்பினைத் துண்டித்து இயக்கும் பொழுதும் உங்களுக்கு உங்களுக்கு இணையவசதியினை வழங்கும் நிறுவனம் புதிய வலையமைப்பு எண்ணையோ அல்லது அதே எண்ணையோ வழங்கும். பெரும் நிறுவனங்கள் இது போன்ற மாற்றத்தினை தாங்க முடியாது, வலையமைப்பின் கட்டமைப்பு மற்றும் பாதுகாப்புக் காரணங்களுக்காக தங்களுக்கென வெளி வலையமைப்பு எண்களைப் பணம் செலுத்தி வாங்கி வைத்திருப்பார்கள். எந்த ஒரு வெளி வலையமைப்பு எண்ணையும் யார் பெயரில் இருக்கிறது என்று உலகத்தில் எங்கிருந்தாலும் இணையத்தின் மூலம் கண்டுபிடிக்க முடியும் (WHOIS search)..


Reconnaissance செயல்பாட்டின் முதல் கட்டம் தாக்கப்போக்கும் வலையமைப்பில் உள்ள வெளி வலையமைப்பு எண்கள் என்னென்ன என்று கண்டுபிடித்து அந்த எண்ணுடன் செயல்படும் உபகரணத்தில் எந்த வலைத்தொடர்புப் புள்ளிகளெல்லாம் தொடர்புக்கெனத் திறந்து வைக்கப்பட்டிருக்கிறது என்பதனை கண்டறிவது தான் (Host Sweep and Port Scan).

தொடர்வோம்.

www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து...