Wednesday, June 5, 2013

இணையம் வெல்வோம் - 8


ஒரு வலையமைப்பை வேவு பார்த்து அதிலிருக்கும் வலையமைப்பு எண்கள், வெளித்தொடர்புக்காகத் திறந்து வைக்கப்பட்டிருக்கும் வலைத்தொடர்பு புள்ளிகள் ஆகியவற்றை அறிந்து கொள்ள ஹேக்கர்கள் மேற்கொள்ளும் Reconnaissance Scan முடிந்த பின் கிடைத்தத் தகவல்களுக்கேற்ப தங்கள் தாக்குதல் குறித்து திட்டமிடுவார்கள். இந்த தாக்குதல் எந்த ரூபத்தில் வருமென்று யாராலும் கணிக்க முடியாதபடி வித்தியாசமாக யோசிக்கும் கில்லாடி ஹேக்கர்களும், அவற்றை எதிர்கொள்ளும் போது தாக்குதலில் விதத்தை வைத்தே அவர்களின் இடம், வயது, உபயோகப்படுத்தும் மென்பொருட்கள் முதற்கொண்டு அவர்கள் வயதுக்கு வந்த நேரம் வரை புட்டுப்புட்டு வைக்கும் வலையமைப்பு பாதுகாப்பு வல்லுநர்களும் வாழும் ஒரே அதிசய உலகம் தான் இணையம்.

ஒரு வலையமைப்பின் வாஸ்து விவரங்கள் அனைத்தையும் வேவு பார்த்து முடித்த பின் (Reconnaisance Scan), கிடைத்த விவரங்களிற்கு ஏற்றவாறு வலைத்தாக்குலை முன்னெடுப்பதுதான் அடுத்த கட்டம். இந்த கட்டத்தில் தான் ஒரு வலையமைப்பில் தொடர்பு கொள்ளக்கூடிய உபகரணத்தின் அல்லது கணினியின் இயங்குதளம் என்ன, எந்தவிதமான பயன்பாட்டிற்கு அது பயன்படுத்தப்படுகிறது, என்னென்ன மென்பொருட்கள் இருக்கின்றன, சரவணா ஸ்டோர்ஸில் வாங்கியதா இல்லை ரத்னா ஸ்டொர்ஸிலா போன்ற விவரங்கள் வரை சகலமும் திரட்டப்படும்.

உலகில் உள்ள அனைத்து பொருட்களுக்கும், உயிர்களுக்கும் ஒரு பலவீனம் இருக்கும். அது புகழ்ச்சி, மது, மாது, சூதும் உணவு, பணம், பேஸ்புக் லைக்குகள், அதிகம் பரிந்துரைக்கப்பட்ட இடுகை, மதம், சாதி இப்படி எதுவாக வேண்டுமானாலும் இருக்கலாம். கிட்டத்தட்ட இதே தத்துவ விஞ்ஞானம் வலையமைப்புகளுக்கும், கணிணிகளுக்கும் கூட செல்லுபடியாகும்.  இயங்குதளங்கள் (OS), அனைத்து வலையமைப்பு உபகரணங்கள் (Network Appliances), தகவல்தளங்கள் (Databases) மற்றும் இந்த உலகத்தையே இணையத்தில் மேய விடும் உலாவிகள் இப்படி சகலமும் அடிப்படையில் ஏதோ ஒரு கணிணி மொழியில் எழுதப்பட்ட மென்பொருட்கள் தான் என்பதை நினைவில் கொள்ளவும்.

இரவும், பகலும் வீட்டுக்குக் காய்கறி கூட வாங்காமல் உழைக்கும் மென்பொருள் வல்லுநர்களின் மிகப்பெரிய சவால், அவர்கள் தயாரித்த மென்பொருட்கள் பொதுப்பயன்பாட்டுக்கென்று சந்தையில் விற்பனைக்குச் சென்றபின், அதில் இது நொட்டை, அது நொள்ளை என்று குறை சொல்லும் வாடிக்கையாளர்கள் தான். இது போன்ற குற்றச்சாட்டுகளைக் கேட்டு சீதையைப்போன்று தீக்குளிக்கத் தோன்றினாலும், அது மிகவும் சுடும்  என்பதால் குறிப்பிட்ட கால இடைவெளியில் அதுநாள் வரை தெரிவிக்கப்பட்டக் குறைகளை நிவர்த்தி செய்து புத்தம் புதிய ஈஸ்ட்மென் கலரில் பதிப்புருக்கள் (versions) வெளியிடுவது வழக்கம்.

இது போன்ற குறைபாடுகளைத் தவிர்க்கத்தான் அனைத்து மென்பொருள் நிறுவனங்களும், தயாரித்த மென்பொருட்களை சோதனை செய்து பார்க்க, குறை கண்டுபிடித்தே பெயர் வாங்கும் சோதனையாளர்கள் (testers)) குழுவினை உருவாக்கியது. இவர்கள் செய்யும் சோதனை பெரும்பாலும் குறிப்பிட்ட மென்பொருளின் பயன்பாட்டைச் சார்ந்ததாகவே இருக்கும்.

இன்றைய இணைய உலகில் பொதுப்பயன்பாட்டுக்கென எழுதப்படும் நிரல்கள்/மென்பொருட்களின் பாதுகாப்புத் திறன் குறித்து விரிவான அலசலோ அல்லது சோதனையோ செய்வது மிகமிக அரிது. காரணம் ஒரு மென்பொருளில் அல்லது நிரலின் எந்த விதமான குறைபாடுகளை (Vulnerabilities) ஹேக்கர்கள் பயன்படுத்துவார்கள் என்பதையும், அதன் மூலம் என்னென்ன விளைவுகளை ஏற்படுத்துவார்கள் என்பதையும் எல்லோரலும் கணித்து விட முடியாது. பாதுகாப்பு வல்லுநர்களோ அல்லது ஹேக்கர்களோ தாங்களே முன்வந்து சொல்லும் வரை யாருக்கும் தெரியப்ப்போவதில்லை.

நிறுவனங்கள்/மக்கள் அதிகமாகப் பயன்படுத்தும் மென்பொருட்களில் கூட சில சமயங்களில் பாதுகாப்புக் குறைபாடுகள் கடந்த காலங்களில் கண்டறியப்பட்டு வலையமைப்பு நிலவரம் கலவரம் ஆன வரலாறுகள் பல உண்டு. அதற்காக கூடலூரில் முருகேசன் அந்த மென்பொருளைப் பயன்படுத்தினால் கூட பெரும் ஆபத்து, அந்த மாவட்டமெங்கும் விஷவாயுக் கசிவு ஏற்படும் போன்ற பீதிகளைக் கெளப்பும் வதந்திகளை நம்ப வேண்டாம். ஒரு வேளை அதி தூரம் பயணிக்கக்கூடிய கண்டம் விட்டு கண்டம் பாயும் ஏவுகணைத் தளமோ, ஈரானுக்காக யுரேனியத்தினை பதப்படுத்தும் உலையோ உங்கள் வீட்டு கணிணி மூலம் செயல்படுத்தப் பட்டால் கவலைப்படுவதில் நியாயம் உண்டு.


உதாரணத்திற்கு உலகமெங்கும் உள்ள அனைத்து வீடுகளில் சீனப்பொருட்களுக்கு இணையாக இடம்பிடித்த ஒரே அமெரிக்கத் தயாரிப்பான மைக்ரோசாப்ட் நிறுவனத்தின் விண்டோஸ் இயங்குதளத்தினை எடுத்துக் கொள்வோம். பிரதி மாதம் இரண்டாவது செவ்வாய்க்கிழமை கணிணி உலகம் சம்பள நாளாக இல்லாத பட்சத்தில் எதிர்பார்க்கும் முக்கிய விஷயம் மைக்ரோசாப்ட் நிறுவனம் வெளியிடும் விண்டோஸ் இயங்குதளத்தின் பாதுகாப்புக் குறைபாடுகளை சரி செய்வதற்கான நிரல்திட்டுகள் (patches). கடந்த பதினைந்து வருடங்களுக்கும் மேலாக அந்த காலகட்டத்தில் பயன்பாட்ட்டுள் இயங்குதள பதிப்பிற்கான இந்த மாதாந்திர வெளியீடு நடந்து கொண்டே தான் இருக்கிறது, அடுத்த நாளே அடுத்த வெளியீட்டிற்கான குறைபாடுகள் கண்டுபிடித்து வெளியிடுவதற்கான பணிகள் ஆரம்பமாகி விடும்.

குறைபாடுகள் கண்டுபிடிக்கப்பட்ட அன்றே அதனைப் பயன்படுத்தி தாக்குதலை தொடுத்து அனைவரையும் திணறடிக்கும் அதிரடி ஹேக்கர்களைக் கையாள்வது தான் இருப்பதிலேயே கடினமான பணி (Zero Day Attack).  கன்னித்தீவு கதை போல் இது தொடர்ந்து கொண்டே தான் இருக்கப் போகிறது. இதன் மூலம் பாதுகாப்பு குறைபாடுகளை முழுமையாக சரிசெய்து எவ்வளவு கடினம் என்பதை அறிந்து கொள்ளலாம். மைக்ரோசாப்ட் போன்ற திமிங்கலங்களையேத் திணறடிக்கும் இப்பிரச்சினை சிறு நிறுவனங்களுக்கு எவ்வளவு சவாலாக இருக்குமென்பதையும் ஊகித்துக் கொள்ளலாம்.

ஒரு மிகப்பெரிய நிறுவனம் தன் இணையத்தளங்களை ஒரு விண்டோஸ் இயங்குதளத்தில் செயல்படும் வழங்கியின் மூலம் இணையத்தள சேவையினை வழங்கி வருகிறது. அதனை ஹேக்கர்கள் தாக்க முற்படும் பொழுது அதன் இயங்குதளம் மற்றும் அதன் பதிப்புரு (OS Version) ஆகியவற்றினை அறிந்ததும் செய்யும் முதன் வேலை அதன் பாதுகாப்புக் குறைப்பாடுகள் என்னென்ன அதில் எவற்றைப் பயன்படுத்தினால் என்ன மாதிரியான பயன்கள் கிடைக்கும் போன்ற தகவல்களைத் திரட்டி, தேவைக்கேற்ப செயல்படுத்துவார்கள். அந்நிறுவனத்தின் வழங்கியினைப் பராமரிக்கும் நபர் பிரதி மாதம் மைக்ரோசாப்ட் நிறுவனம் வெளியிடும் பாதுகாப்பு நிரல்திட்டுகளை (security patches) நிறுவாமல் இருக்கும் பட்சத்தில் நிறுவனத்தின் இணையத்தளம் சந்தி சிரிக்கவும், வழங்கியின் முழுக் கட்டுப்பாடும் ஹேக்கர்களின் கைக்கு செல்லவும் வாய்ப்புகள் பிரகாசம்.

எனவே பயன்பாட்டில் இருக்கும் மென்பொருட்களின் பாதுகாப்புக் குறைபாடுகள் குறித்து ஏதேனும் தகவல்கள் வெளியானால் அவற்றை விரல்நுனியில் வைத்திருப்பதும், அவற்றை சரி செய்வதற்கான திட்டங்களை வரைவு செய்து செயல்படுத்துவதும் பாதுகாப்பு வல்லுநர்களின் பணிகளில் ஒன்று. பாதுகாப்புக் குறைபாடுகளைப் பற்றியோ அவற்றை உபயோகித்து வலையமைப்புகளை கட்டுடைத்து உள்நுழையும் விதம் குறித்தோ அனைத்து ஹேக்கர்களும் தாங்களே சொந்தமாக ஆராய்ச்சி செய்து கண்டுபிடிப்பதில்லை. இணையத்தில் அது குறித்த தகவல்கள் ஏராளமாகக் கிடைக்குமென்பதால் அது அவர்களுக்கு ஒரு பிரச்சினையே இல்லை,

பாதுகாப்பு நிரல்திட்டுகளை நிறுவுவதென்பது நீச்சலடிப்பதைத்  தரையில் இருந்து பார்ப்பதைப் போன்று தோன்றினாலும், ஆயிரக்கணக்கில் உலகில் பல்வேறு மூலைகளில் பரந்து விரிந்துள்ள நிறுவனங்களின் கணிணிகளைப் பராமரிப்பதென்பது மனைவியைச் சமாளிப்பதினும் கடிது. அவற்றை நிறுவுவதால் வேறேதெனும் மென்பொருள் செயல்பாட்டுகளுக்குப் பாதிப்பு ஏற்படுமா, மீள் இயக்கம் (reboot) செய்ய வேண்டுமா அப்படியென்றால் தொழிலுக்கு பாதிப்பு ஏற்படுத்துமா போன்ற பல விஷயங்களை பரிசோதித்து செயலில் இறங்க வேண்டும். பெரும்பாலும் இந்த வேலையை பெரும் நிறுவனங்களில் செய்யும் அன்பர்கள் ராக்கோழிகளாக இருப்பதைக் காண முடியும். மற்றவர்கள் அனைவரும் பணி முடிந்து சென்று மறுநாள் திரும்பி வரும் போது ஒவ்வொருவரின் கணிணியும் புதிய நிரல்திட்டுகளோடு பாதுகாப்பாக இருப்பதினை உறுதி செய்யும் பணியே இவர்களின் கடமை, கண்ணியம், கட்டுப்பாடு மற்றும் பல.

முழு இரவும் ஒவ்வொரு கணிணிக்கும் சென்று வேலை செய்ய வேண்டுமா என்ற சந்தேகம் தோன்றுபவர்களுக்கு, இதற்கென்றே பிரத்யேக மென்பொருட்கள் இருக்கின்றன (endpoint management). ஒரு கணிணியில் இருந்து கொண்டே அந்த வலையமைப்பில் இருக்கும் அனைத்து கணிணிகளிலும் என்னென்ன மென்பொருட்களை/நிரல்களை நிறுவலாம், நீக்கலாம் என்பதனைக்கூடத் தீர்மானிக்க முடியும்.

இப்படி ஹேக்கர்களுக்கும், பாதுகாப்பு வல்லுநர்களுக்கும் இடையேயான போலீஸ்-திருடன் விளையாட்டின் வாயிலாக எத்தனை சுவராஸ்யமான அத்தியாயங்களை உலகம் கண்டிருக்கிறது.

தொடர்வோம்.
www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து.