Wednesday, June 5, 2013

இணையம் வெல்வோம் - 8


ஒரு வலையமைப்பை வேவு பார்த்து அதிலிருக்கும் வலையமைப்பு எண்கள், வெளித்தொடர்புக்காகத் திறந்து வைக்கப்பட்டிருக்கும் வலைத்தொடர்பு புள்ளிகள் ஆகியவற்றை அறிந்து கொள்ள ஹேக்கர்கள் மேற்கொள்ளும் Reconnaissance Scan முடிந்த பின் கிடைத்தத் தகவல்களுக்கேற்ப தங்கள் தாக்குதல் குறித்து திட்டமிடுவார்கள். இந்த தாக்குதல் எந்த ரூபத்தில் வருமென்று யாராலும் கணிக்க முடியாதபடி வித்தியாசமாக யோசிக்கும் கில்லாடி ஹேக்கர்களும், அவற்றை எதிர்கொள்ளும் போது தாக்குதலில் விதத்தை வைத்தே அவர்களின் இடம், வயது, உபயோகப்படுத்தும் மென்பொருட்கள் முதற்கொண்டு அவர்கள் வயதுக்கு வந்த நேரம் வரை புட்டுப்புட்டு வைக்கும் வலையமைப்பு பாதுகாப்பு வல்லுநர்களும் வாழும் ஒரே அதிசய உலகம் தான் இணையம்.

ஒரு வலையமைப்பின் வாஸ்து விவரங்கள் அனைத்தையும் வேவு பார்த்து முடித்த பின் (Reconnaisance Scan), கிடைத்த விவரங்களிற்கு ஏற்றவாறு வலைத்தாக்குலை முன்னெடுப்பதுதான் அடுத்த கட்டம். இந்த கட்டத்தில் தான் ஒரு வலையமைப்பில் தொடர்பு கொள்ளக்கூடிய உபகரணத்தின் அல்லது கணினியின் இயங்குதளம் என்ன, எந்தவிதமான பயன்பாட்டிற்கு அது பயன்படுத்தப்படுகிறது, என்னென்ன மென்பொருட்கள் இருக்கின்றன, சரவணா ஸ்டோர்ஸில் வாங்கியதா இல்லை ரத்னா ஸ்டொர்ஸிலா போன்ற விவரங்கள் வரை சகலமும் திரட்டப்படும்.

உலகில் உள்ள அனைத்து பொருட்களுக்கும், உயிர்களுக்கும் ஒரு பலவீனம் இருக்கும். அது புகழ்ச்சி, மது, மாது, சூதும் உணவு, பணம், பேஸ்புக் லைக்குகள், அதிகம் பரிந்துரைக்கப்பட்ட இடுகை, மதம், சாதி இப்படி எதுவாக வேண்டுமானாலும் இருக்கலாம். கிட்டத்தட்ட இதே தத்துவ விஞ்ஞானம் வலையமைப்புகளுக்கும், கணிணிகளுக்கும் கூட செல்லுபடியாகும்.  இயங்குதளங்கள் (OS), அனைத்து வலையமைப்பு உபகரணங்கள் (Network Appliances), தகவல்தளங்கள் (Databases) மற்றும் இந்த உலகத்தையே இணையத்தில் மேய விடும் உலாவிகள் இப்படி சகலமும் அடிப்படையில் ஏதோ ஒரு கணிணி மொழியில் எழுதப்பட்ட மென்பொருட்கள் தான் என்பதை நினைவில் கொள்ளவும்.

இரவும், பகலும் வீட்டுக்குக் காய்கறி கூட வாங்காமல் உழைக்கும் மென்பொருள் வல்லுநர்களின் மிகப்பெரிய சவால், அவர்கள் தயாரித்த மென்பொருட்கள் பொதுப்பயன்பாட்டுக்கென்று சந்தையில் விற்பனைக்குச் சென்றபின், அதில் இது நொட்டை, அது நொள்ளை என்று குறை சொல்லும் வாடிக்கையாளர்கள் தான். இது போன்ற குற்றச்சாட்டுகளைக் கேட்டு சீதையைப்போன்று தீக்குளிக்கத் தோன்றினாலும், அது மிகவும் சுடும்  என்பதால் குறிப்பிட்ட கால இடைவெளியில் அதுநாள் வரை தெரிவிக்கப்பட்டக் குறைகளை நிவர்த்தி செய்து புத்தம் புதிய ஈஸ்ட்மென் கலரில் பதிப்புருக்கள் (versions) வெளியிடுவது வழக்கம்.

இது போன்ற குறைபாடுகளைத் தவிர்க்கத்தான் அனைத்து மென்பொருள் நிறுவனங்களும், தயாரித்த மென்பொருட்களை சோதனை செய்து பார்க்க, குறை கண்டுபிடித்தே பெயர் வாங்கும் சோதனையாளர்கள் (testers)) குழுவினை உருவாக்கியது. இவர்கள் செய்யும் சோதனை பெரும்பாலும் குறிப்பிட்ட மென்பொருளின் பயன்பாட்டைச் சார்ந்ததாகவே இருக்கும்.

இன்றைய இணைய உலகில் பொதுப்பயன்பாட்டுக்கென எழுதப்படும் நிரல்கள்/மென்பொருட்களின் பாதுகாப்புத் திறன் குறித்து விரிவான அலசலோ அல்லது சோதனையோ செய்வது மிகமிக அரிது. காரணம் ஒரு மென்பொருளில் அல்லது நிரலின் எந்த விதமான குறைபாடுகளை (Vulnerabilities) ஹேக்கர்கள் பயன்படுத்துவார்கள் என்பதையும், அதன் மூலம் என்னென்ன விளைவுகளை ஏற்படுத்துவார்கள் என்பதையும் எல்லோரலும் கணித்து விட முடியாது. பாதுகாப்பு வல்லுநர்களோ அல்லது ஹேக்கர்களோ தாங்களே முன்வந்து சொல்லும் வரை யாருக்கும் தெரியப்ப்போவதில்லை.

நிறுவனங்கள்/மக்கள் அதிகமாகப் பயன்படுத்தும் மென்பொருட்களில் கூட சில சமயங்களில் பாதுகாப்புக் குறைபாடுகள் கடந்த காலங்களில் கண்டறியப்பட்டு வலையமைப்பு நிலவரம் கலவரம் ஆன வரலாறுகள் பல உண்டு. அதற்காக கூடலூரில் முருகேசன் அந்த மென்பொருளைப் பயன்படுத்தினால் கூட பெரும் ஆபத்து, அந்த மாவட்டமெங்கும் விஷவாயுக் கசிவு ஏற்படும் போன்ற பீதிகளைக் கெளப்பும் வதந்திகளை நம்ப வேண்டாம். ஒரு வேளை அதி தூரம் பயணிக்கக்கூடிய கண்டம் விட்டு கண்டம் பாயும் ஏவுகணைத் தளமோ, ஈரானுக்காக யுரேனியத்தினை பதப்படுத்தும் உலையோ உங்கள் வீட்டு கணிணி மூலம் செயல்படுத்தப் பட்டால் கவலைப்படுவதில் நியாயம் உண்டு.


உதாரணத்திற்கு உலகமெங்கும் உள்ள அனைத்து வீடுகளில் சீனப்பொருட்களுக்கு இணையாக இடம்பிடித்த ஒரே அமெரிக்கத் தயாரிப்பான மைக்ரோசாப்ட் நிறுவனத்தின் விண்டோஸ் இயங்குதளத்தினை எடுத்துக் கொள்வோம். பிரதி மாதம் இரண்டாவது செவ்வாய்க்கிழமை கணிணி உலகம் சம்பள நாளாக இல்லாத பட்சத்தில் எதிர்பார்க்கும் முக்கிய விஷயம் மைக்ரோசாப்ட் நிறுவனம் வெளியிடும் விண்டோஸ் இயங்குதளத்தின் பாதுகாப்புக் குறைபாடுகளை சரி செய்வதற்கான நிரல்திட்டுகள் (patches). கடந்த பதினைந்து வருடங்களுக்கும் மேலாக அந்த காலகட்டத்தில் பயன்பாட்ட்டுள் இயங்குதள பதிப்பிற்கான இந்த மாதாந்திர வெளியீடு நடந்து கொண்டே தான் இருக்கிறது, அடுத்த நாளே அடுத்த வெளியீட்டிற்கான குறைபாடுகள் கண்டுபிடித்து வெளியிடுவதற்கான பணிகள் ஆரம்பமாகி விடும்.

குறைபாடுகள் கண்டுபிடிக்கப்பட்ட அன்றே அதனைப் பயன்படுத்தி தாக்குதலை தொடுத்து அனைவரையும் திணறடிக்கும் அதிரடி ஹேக்கர்களைக் கையாள்வது தான் இருப்பதிலேயே கடினமான பணி (Zero Day Attack).  கன்னித்தீவு கதை போல் இது தொடர்ந்து கொண்டே தான் இருக்கப் போகிறது. இதன் மூலம் பாதுகாப்பு குறைபாடுகளை முழுமையாக சரிசெய்து எவ்வளவு கடினம் என்பதை அறிந்து கொள்ளலாம். மைக்ரோசாப்ட் போன்ற திமிங்கலங்களையேத் திணறடிக்கும் இப்பிரச்சினை சிறு நிறுவனங்களுக்கு எவ்வளவு சவாலாக இருக்குமென்பதையும் ஊகித்துக் கொள்ளலாம்.

ஒரு மிகப்பெரிய நிறுவனம் தன் இணையத்தளங்களை ஒரு விண்டோஸ் இயங்குதளத்தில் செயல்படும் வழங்கியின் மூலம் இணையத்தள சேவையினை வழங்கி வருகிறது. அதனை ஹேக்கர்கள் தாக்க முற்படும் பொழுது அதன் இயங்குதளம் மற்றும் அதன் பதிப்புரு (OS Version) ஆகியவற்றினை அறிந்ததும் செய்யும் முதன் வேலை அதன் பாதுகாப்புக் குறைப்பாடுகள் என்னென்ன அதில் எவற்றைப் பயன்படுத்தினால் என்ன மாதிரியான பயன்கள் கிடைக்கும் போன்ற தகவல்களைத் திரட்டி, தேவைக்கேற்ப செயல்படுத்துவார்கள். அந்நிறுவனத்தின் வழங்கியினைப் பராமரிக்கும் நபர் பிரதி மாதம் மைக்ரோசாப்ட் நிறுவனம் வெளியிடும் பாதுகாப்பு நிரல்திட்டுகளை (security patches) நிறுவாமல் இருக்கும் பட்சத்தில் நிறுவனத்தின் இணையத்தளம் சந்தி சிரிக்கவும், வழங்கியின் முழுக் கட்டுப்பாடும் ஹேக்கர்களின் கைக்கு செல்லவும் வாய்ப்புகள் பிரகாசம்.

எனவே பயன்பாட்டில் இருக்கும் மென்பொருட்களின் பாதுகாப்புக் குறைபாடுகள் குறித்து ஏதேனும் தகவல்கள் வெளியானால் அவற்றை விரல்நுனியில் வைத்திருப்பதும், அவற்றை சரி செய்வதற்கான திட்டங்களை வரைவு செய்து செயல்படுத்துவதும் பாதுகாப்பு வல்லுநர்களின் பணிகளில் ஒன்று. பாதுகாப்புக் குறைபாடுகளைப் பற்றியோ அவற்றை உபயோகித்து வலையமைப்புகளை கட்டுடைத்து உள்நுழையும் விதம் குறித்தோ அனைத்து ஹேக்கர்களும் தாங்களே சொந்தமாக ஆராய்ச்சி செய்து கண்டுபிடிப்பதில்லை. இணையத்தில் அது குறித்த தகவல்கள் ஏராளமாகக் கிடைக்குமென்பதால் அது அவர்களுக்கு ஒரு பிரச்சினையே இல்லை,

பாதுகாப்பு நிரல்திட்டுகளை நிறுவுவதென்பது நீச்சலடிப்பதைத்  தரையில் இருந்து பார்ப்பதைப் போன்று தோன்றினாலும், ஆயிரக்கணக்கில் உலகில் பல்வேறு மூலைகளில் பரந்து விரிந்துள்ள நிறுவனங்களின் கணிணிகளைப் பராமரிப்பதென்பது மனைவியைச் சமாளிப்பதினும் கடிது. அவற்றை நிறுவுவதால் வேறேதெனும் மென்பொருள் செயல்பாட்டுகளுக்குப் பாதிப்பு ஏற்படுமா, மீள் இயக்கம் (reboot) செய்ய வேண்டுமா அப்படியென்றால் தொழிலுக்கு பாதிப்பு ஏற்படுத்துமா போன்ற பல விஷயங்களை பரிசோதித்து செயலில் இறங்க வேண்டும். பெரும்பாலும் இந்த வேலையை பெரும் நிறுவனங்களில் செய்யும் அன்பர்கள் ராக்கோழிகளாக இருப்பதைக் காண முடியும். மற்றவர்கள் அனைவரும் பணி முடிந்து சென்று மறுநாள் திரும்பி வரும் போது ஒவ்வொருவரின் கணிணியும் புதிய நிரல்திட்டுகளோடு பாதுகாப்பாக இருப்பதினை உறுதி செய்யும் பணியே இவர்களின் கடமை, கண்ணியம், கட்டுப்பாடு மற்றும் பல.

முழு இரவும் ஒவ்வொரு கணிணிக்கும் சென்று வேலை செய்ய வேண்டுமா என்ற சந்தேகம் தோன்றுபவர்களுக்கு, இதற்கென்றே பிரத்யேக மென்பொருட்கள் இருக்கின்றன (endpoint management). ஒரு கணிணியில் இருந்து கொண்டே அந்த வலையமைப்பில் இருக்கும் அனைத்து கணிணிகளிலும் என்னென்ன மென்பொருட்களை/நிரல்களை நிறுவலாம், நீக்கலாம் என்பதனைக்கூடத் தீர்மானிக்க முடியும்.

இப்படி ஹேக்கர்களுக்கும், பாதுகாப்பு வல்லுநர்களுக்கும் இடையேயான போலீஸ்-திருடன் விளையாட்டின் வாயிலாக எத்தனை சுவராஸ்யமான அத்தியாயங்களை உலகம் கண்டிருக்கிறது.

தொடர்வோம்.
www.4tamilmedia.com தளத்தின் வாராந்திர சிறப்புத் தொடருக்காக சுடுதண்ணி எழுதியதிலிருந்து.

5 comments:

திண்டுக்கல் தனபாலன் said...

திருடன்- போலீஸ் விளையாட்டு...! வியக்க வைக்கும் தாக்குதல்கள்...!

Thomas Ruban said...

அருமை :)
விதிக்கு வேலி போட்டு தடுத்தாலும், புடுங்கி வச்சுட்டு புகுந்திரும்..

மகரன் said...

பதிவு ரொம்ப சின்னதா இருக்கே....? ஆர்வம் தாங்க முடியவில்லை...!

மகரன் said...
This comment has been removed by the author.
Anonymous said...

அருமையாக எழுதியுள்ளீர்கள். Interesting to read.

//ஒரு கணிணியில் இருந்து கொண்டே அந்த வலையமைப்பில் இருக்கும் அனைத்து கணிணிகளிலும் என்னென்ன மென்பொருட்களை/நிரல்களை நிறுவலாம், நீக்கலாம் என்பதனைக்கூடத் தீர்மானிக்க முடியும்.//

remote assitance மூலம் off ஆகி இருக்கிற இன்னொரு கணினியை ON செய்வதற்கு ஏதாவது தொழில்நுட்பம் இருக்குறதா?