Thursday, May 30, 2013

Hacking அறிந்தும் அறியாமலும் – பாகம் 2


ஹக்கிங் பற்றிய இந்த தொடரில், ஹக்கிங் என்றால் என்ன? என்பது பற்றியும் மற்றும் ஹக்கேர்ஸ் பற்றியும் கடந்த பதிவில் பார்த்தோம்.ஹக்கிங் அறிந்தும் அறியாமலும் – பாகம் 1
அதன் தொடர்ச்சியாக இன்று அனைவரும் கட்டாயம் அறிந்து வைத்திருக்க வேண்டிய சிலவற்றை பற்றி பார்க்கலாம்.
அதாவது தனிநபர் பாதுகாப்புக்கு அச்சுறுத்தல் விடும் ஹக்கிங் முறைகள், அவற்றிற்கான பாதுகாப்பு ஏற்பாடுகள் பற்றிய விடயங்களை தொடர்ந்து பார்க்கலாம்.
ஹக்கேர்ஸ்ஸைப் பொறுத்தவரையில் அவர்கள்  ஒரு தனிநபரின் இணையக்கணக்குகளின் மீதோ அல்லது அதையொத்த தனிநபர் தகவல்கள் மீதோ தாக்குதல் நடாத்துவதற்கு குறிப்பிட்டு சொல்லக்கூடிய ஒருசில வழிவகைகளை பயன்படுத்துகிறார்கள். அவை வருமாறு

தனிநபர் கணக்குகள்/தகவல்கள் மீதான ஹக்கேர்ஸ்ஸின் தாக்குதல் வழிமுறைகள்
1. Phishing
2.Key Loggers
3.Social Engineering
4.Tap Napping
இந்த மேற்குறிப்பிட்ட வழிமுறைகளையே தனிநபர் கணக்குகள்/தகவல்கள் மீதான தாக்குதல்களுக்கு இன்று அதிகம் ஹக்கேர்ஸ் பயன்படுத்துகின்றனர். இவற்றைப்பற்றியும் இதிலிருந்து எவ்வாறெம்மை பாதுகாத்துக் கொள்வது பற்றியும் சற்று விரிவாக பார்ப்பதன் மூலம் ஹக்கேர்ஸ்ஸின் கடைக்கண் பார்வையிலிருந்து ஓரளவேனும் எம்மை பாதுகாத்து கொள்ள முடியும்.
Phishing- 
பிஸ்ஸிங் என்பது,  நாம்  பிரவேசிக்கும் இணையத்தளங்களின் (பேஸ்புக்,ஈ-மெயில்,இணையவங்கி….) முகப்பு பக்கத்தினை அதாவது login page போன்ற போலியான ஒரு பக்கத்தினை உருவாக்குவதன் மூலமாக ஏனையோரின் கணக்கு விபரங்களை (பயனர் பெயர் – user name, பாஸ்வேர்ட்,மற்றும் ஏனையவை) திருடுதல்.
எப்படி இது சாத்தியமாகிறது? அதாவது பிஸ்ஸிங் செய்பவர்கள் முதலில் ஒரு போலி இணையப் பக்கத்தினை உருவாக்கிக் கொள்வார்கள். எடுத்துக்காட்டாக ஒரு பேஸ்புக் கணக்கின் நுழைவுப் பக்கத்தைப் போன்றோ, ஈமெயில் கணக்கின் நுழைவுப்பக்கத்தைப் போன்றோ, நீங்கள் தொடர்பிலுள்ள இணையவங்கியின் நுழைவுப் பக்கத்தைப்போன்றோ அல்லது வேறு எதாயினும் ஒரு இணையத்தளத்தின் அச்சு அசல் login பக்கத்தினைப் போன்றோ அது இருக்கலாம்.
நாங்களும் இதனை உண்மையான தளம்தான் என நம்பி கணக்கு விபரங்களைக் கொடுத்து உள்நுழைவோம். அந்த நொடியே நாம் அளித்த தகவல்கள் இதை ஏவிய ஹக்கேர்ஸ் கைகளுக்கு சென்றுவிடும். அதன்பிறகு என்ன எங்க எக்கவுண்டயே மறக்க வேண்டியதுதான்.
சற்று விரிவாக பார்த்தால், எங்களுடைய மின்னஞ்சல் முகவரிக்கு நிகழ்காலத்தில் பிரபலமான ஒன்றை தொடர்புபடுத்தி கவர்ச்சிகரமான செய்தி ஒன்று வருகிறதென வைத்துக்கொள்வோம். கூடவே கீழே கொடுக்கப்பட்டுள்ள இணைப்பில் சென்று மேலதிக விபரங்களை காணமுடியும் என்ற அறிவிப்பும். நாம் என்ன செய்வோம் ஆர்வ மேலீட்டால் தடாலென இணைப்பை சொடுக்கி சென்று விடுவோம். அங்கதான் உங்களுக்கு ஆப்பு ரெடியா இருக்கிறது.
அதாவது அங்கே உங்களுடைய ஈமெயில் பயனர் பெயர், பாஸ்வேர்ட்டை உள்ளிட சொல்வார்கள். பார்ப்பதற்கு ஈமெயில் தளத்தின் லாக் இன் பேஜ்ஜைப்போல அச்சுஅசலாக  இருப்பதால் நாங்களும் யூசர் நேம், பாஸ்வேர்ட் கொடுத்து என்டர் ஆவோம்.
ஆனா நாங்கள் இருப்பது ஒரு பிஸ்ஸிங் தளமென்று எங்களுக்கு தெரியாது. எங்க கணக்கு விபரங்களை கறந்துவிட்டு அவர்கள் எங்களை உண்மையாக நாங்கள் தேடிவந்த தளத்திற்கே லாவகமாக திருப்பி விடுவார்கள்.
இதிலும் இணையவங்கி நடவடிக்கைகளில் ஈடுபடுவோர் மிக அவதானமாக இருக்க வேண்டும். உங்கள் மின்னஞ்சல் முகவரிக்கு நீங்கள் தொடர்பில் இருக்கும் இணைய வங்கியிலிருந்து இப்படியொரு செய்தி ” அன்பார்ந்த வாடிக்கையாளரே நீங்கள் சிங்கப்பூர் சவாரிக்கான விமான ரிக்கெற்றை வென்றிருக்கிறீர்கள். தயவுசெய்து கீழ்காணும் சுட்டியில் சென்று உங்கள் பரிசை பெற்றுக்கொள்ளுங்கள்”
நீங்க என்ன செய்வீர்கள். அந்த சுட்டியில் நீங்கள் செல்வீர்களானால் உங்கள் வங்கிக் கணக்கு எண், கடவுச்சொல், முகவரி, credit card number என அத்தனையும் கேட்பார்கள். நீங்களும் அட வழமையாக செய்யுற வேலைதானே என்று நினைத்து அப்பிடியே எல்லாத்தையும் கொடுப்பீர்கள்.
அது நீங்க கணக்கு வைத்திருக்கும் இணைய வங்கியின் நுழைவுப்பக்கம்தானா என்று யோசிக்காம வேண்டியதெல்லாம் கொடுத்து உள்நுழைவோம். (ஏனெனில் அது ஒரிஜினல் login  page மாதிரிதான் இருக்கும்) ஆனா நீங்க இருப்பது ஒரு பிஸ்ஸிங் பேஜ் அப்படியானால் உங்கள் தரவுகள், அவை இப்போது இந்த சுட்டியை அனுப்பிய ஹக்கேர்ஸ்ஸின் சேர்வர் கணக்கொன்றில் சேமிக்கப்பட்டிருக்கும். இதன்பிறகு உங்கள் நிலைமை எப்படியென்று சொல்ல தேவையில்லை. எக்கவுண்டை மறக்க வேண்டியதுதான்.
பிஸ்ஸிங் செய்வதற்கு சாதாரணமாக  PHP / HTML  போன்ற கணினி உரைகளில் குறிப்பிட்டளவு அறிவு போதுமானது. பலராலும் செய்துவிடமுடியும். போலிப்பக்கம் ஒன்றை உருவாக்க முன் அதன் ஒரிஜினல் பக்கத்தின் source codeஇனை பெற்றுக்கொள்ள வேண்டும்.உதாரணத்திற்கு பேஸ்புக் தளத்தின் முகப்புப்பக்கத்தினைப் போல ஒரு போலியான பக்கத்தினை உருவாக்க வேண்டுமென்றால், பேஸ்புக் தளத்தின் login  page சென்று Right clickஇனை அழுத்தி View page source என்பதை அழுத்தினால் அத்தளத்தின்  source code கிடைக்கும்
அதன்பின்  அக்கோடிங்கில்(source code) சிறிது மாற்றம் செய்ய வேண்டும். அதாவது இந்த போலிப்பக்கத்தின் சுட்டியை சொடுக்குபவர்(இலக்குவைக்கப்பட்டிருப்போர்) இந்த போலியான பக்கத்தில் தரவுகளை வழங்கி விட்டு login செய்யும்போது தாக்குதல் தொடுப்பவரின் சர்வர் கணக்கில் அத்தரவுகள் சேமிக்கப்பட்டு இலக்குவைக்கப்பட்டிருப்பவர் தேடிவந்த பக்கத்திற்கே அவரை திருப்பிவிடக்கூடியதாக  இருப்பதற்கே கோடிங்கில் இந்த சிறிய மாற்றம். கோடிங் எழுத தெரிஞ்சா இதெல்லாம் சப்பை மேட்டர் நண்பன்ஸ்.
பின்னர் இந்த போலிப்பக்கத்தினை  இலவசமாக சேவை வழங்கும் Web hosting தளமொன்றில் பதிவேற்றம் செய்ய வேண்டும். அங்கே ஒரு சின்ன சிக்கல்  அதாவது இப்படி போலியான பக்கங்களை Web hosting தளங்களில் பதிவேற்றம் செய்யும் போது அங்கேயிருக்கின்ற Scripts ஏற்பாடுகள்  இப்படியான போலிப் பக்கங்களை தானாகவே கண்டுபிடித்து அடுத்த நொடியே உங்கள் கணக்கை செயலிழக்கச்செய்துவிடும். ஆனாலும் இப்படியான Scripts ஏற்பாடுகள்   சரிவர இயங்காத ஒரு சில Web hosting தளங்களும் இருக்கத்தான் செய்கின்றன. (இது உங்கள் தேடலுக்கொரு சவால்)
அதன்பிறகு இப்போலிப்பக்கத்தின் சுட்டியினைப் பெற்றுக்கொண்டு அதை மின்னஞ்சல் வழியோ,இணைய அரட்டை வழியோ கவர்ச்சிகரமான ஏதாவது செய்திக்குறிப்புடன் அனுப்பிவிடவேண்டியதுதான். mission start…..
இந்த பிஸ்ஸிங் தாக்குதலிருந்து எவ்வாறு எம்மை பாதுகாத்துகொள்வது?
நீங்கள் உள்நுழையும் பக்கங்களின்  URL மற்றும் பெற்றுக்கொள்ளும் மின்னஞ்சல் முகவரிகள் என்பவற்றின் எழுத்துக்களை சரிபாருங்கள். சிறிய அளவில் ஓரிரு எழுத்துக்கள் வித்தியாசமாக இருக்கும். இப்படியேதாவது மாற்றமிருந்தால் உசாராகிவிடவேண்டும்.Phishing தள முகவரிகள் அதிகமாக Second Level Domainகளாகவே காணப்படும்.
நீங்கள்  login ஆகும் தள முகவரியில் HTTPS ,HTTP  என்பவற்றில் மாற்றத்தை அவதானியுங்கள்.
HTTPS – Hyper Text Transfer Protocol Secure – இதுதான் எப்போழுதும் பாதுகாப்பு
HTTP – Hyper Text Transfer Protocol
‘Secure’ இல்லாத தளங்களில் உங்கள் Credit card no, Banking details, username and password மற்றும் பிரத்தியேக தகவல்களை வழங்கிவிட்டு பின்னர் அவஸ்தை படாதீர்கள்.
உங்கள் Facebook(முகநூல்), E-mail(ஈமெயில்) கணக்குகளிற்கு வரும் Spam மெசேஜ்களை திறந்துபார்க்காதீர்கள், அப்படியே கண்டுகொள்ளாமல் விட்டுவிடுங்கள்.
 மின்னஞ்சல்கள்  அல்லது இணைய அரட்டைகளின்  ஊடாக கிடைக்கப்பெற்ற சுட்டிகளை தொடர்ந்து இணைய தளங்களுக்கு செல்வதை இயன்ற அளவில் தவிர்த்துக்கொள்ள வேண்டும்.
சமூக வலைத்தளங்களில் உங்கள் மின்னஞ்சல் முகவரிகளை மறைத்து வையுங்கள். அத்தோடு உங்கள் மின்னஞ்சலுக்கு வரும் கவர்சிகரமான சில செய்திகளை நம்பி அவற்றின் சுட்டிகளை பின்பற்றி செல்லாதீர்கள். அப்படிச்சென்றாலும் உங்களின் தகவல்கள் எதனையும் அங்கே வழங்காதீர்கள்.
Online Banking நடவடிக்கைகளில் ஈடுபடுவோர் கவனிக்கவேண்டிய ஒன்று, தற்சமயம் இப்படியான பிஸ்ஸிங் அச்சுறுத்தல்களால் எந்த ஒரு வங்கியும் கடவுச்சொல் உள்ளிடும்படியான இணைப்புக்களை  மின்னஞ்சல் வழியே அனுப்புவதில்லை. நேரடியாக உங்கள் உலவியின் ஊடாக வந்தே பாஸ்வேர்ட் மற்றும் இன்னோரன்ன பிறதகவல்களை உள்ளிடச்சொல்கின்றன.
இவற்றையெல்லாம் விட இன்னுமொரு சூப்பரான தீர்விருக்கு அதாவது Anti Phishing Filters.  இவை நீங்கள் பின்பற்றிச்செல்லும் சுட்டிகளை சரிபார்த்து அவற்றின் உண்மைத்தன்மையை தெரியப்படுத்தும். இவை தற்போது சில உலவிகளிலும் அன்ரிவைரஸ் மென்பொருட்களிலும் இணைக்கப்பட்டிருப்பது கூடுதல் நன்மையே.
மொத்ததில் தேவையற்ற மின்னஞ்சல் செய்திகளையும், சந்தேகப்படும்படியான சுட்டிகளையும் தூர ஒதுக்கி கண்டுகொள்ளாமல் விட்டாலே அரைவாசி ஆபத்து குறைந்த மாதிரி.
தொடர்ந்து வரவுள்ள பதிவுகளில் மீதியுள்ள ஹக்கிங் வழிமுறைகளையும் அவற்றிற்கான தீர்வுகளையும் பார்க்கலாம்.

No comments:

Post a Comment