Friday, August 26, 2011

இணையத்தில் தப்பிப் பிழைக்கும் ஸ்விஸ் வங்கி- 3


வலையமைப்பிற்கான பாதுகாப்புக் கட்டுப்பாட்டு அறையில் வந்து குவியும் ஒவ்வொரு இணைப்பிற்கான தகவல்களையும் சரி பார்ப்பது நடைமுறை சாத்தியமில்லாதது. இவ்வாறு திரட்டப்படும் தகவல்களை நிர்வகிப்பதற்கென மென்பொருட்கள் பயன்பாட்டில் உள்ளன. அம்மென்பொருட்கள் மூலம் தேவைக்கேற்ப விதிமுறை நிரல்களை எழுதிக்கொள்ளலாம். குறிப்பிட்ட விதிமுறை மீறப்பட்டால் மட்டும் அந்த மென்பொருள் வலையமைப்பு வல்லுநர்களுக்கு தகவல் தெரிவிக்கும். அவர்களும் மேற்கொண்டு செய்ய வேண்டிய ஆய்வுகளைச் செய்து சரி பார்ப்பார்கள். உதாரணத்திற்கு, ஒரு வாடிக்கையாளர்  இயல்பாக முதலிரண்டு முறை தவறான கடவுச்சொல் கொடுத்து விட்டு பின்னர் சரியான கடவுச்சொல் கொடுக்கிறார் என்று வைத்துக் கொள்வோம். மேற்சொன்ன மூன்று இணைப்புத் தகவல்களில் எதுவும் பிரச்சினைக்குரியது இல்லை. அதே நேரம் ஒரு வாடிக்கையாளர் ஒரு நாளில் 100 முறை தவறான கடவுச்சொல் தகவலை உள்ளிட்டதாக இணைப்புத் தகவல்கள் சொன்னால் அது நிச்சயம் வில்லங்கமானது தான். இது போன்று ஒவ்வொரு பிரச்சினைக்குரிய சந்தர்ப்பங்களையும் பரிசீலித்து அவற்றினைச் சமாளிப்பதற்கேற்ப தங்கள் விதிமுறை நிரல்களை அமைத்துக் கொள்வதன் மூலம் ஒவ்வொரு தனித்தனித் தகவல்களையும் ஆராயாமல். தங்கள் விதிமுறை நிரல்களை மீறும் தகவல்களை மட்டும் ஆராய்ந்து அலசி வலையமைப்பின் பாதுகாப்பினை நிலை நாட்டுகிறார்கள்.


இவ்வளவு கட்டுக்காவலிலும் சிட்டுக்குருவி மாதிரி தகவல்களைக் கொத்திக் கொண்டு போகும் பிஸ்தாக்கள் இருக்கத்தான் செய்கிறார்கள். எவ்வளவு பெரிய மதில் சுவராக இருந்தாலும் பொறுமையாக ஒவ்வொரு கல்லாக அசைத்துப் பார்த்து, நிதானமாக திருட்டு சுவைப்பது இவர்களுக்கு கைவந்த கலை. அப்படி எந்த வகையிலும் தகர்க்க முடியாத வலையமைப்புகளுக்கென இருக்கவே இருக்கிறது 'social engineering' முறை. அதாவது தகர்க்க நினைக்கும் வலையமைப்பினுள்ளே வேலை பார்க்கும் ஏதாவது ஒரு நபருடன் 'வாங்க பழகலாம்' திட்டத்தின் அடிப்படையில் அவர்களைப் பற்றிய பிரத்யேகத் தகவல்கள் மற்றும் பணியிடம் சம்பந்தப்பட்டத் தகவல்களை அவர்கள் அறியாமலேயே பேச்சுவாக்கில் போட்டு வாங்கிக் கொள்வது. அதிலும் ஜெயமில்லையென்றால்,  கடைசி பிரம்மாஸ்திரம் "பணம்", பிணம் கூட வாய்திறந்து கடவுச்சொல்லைச் சொல்லி விட்டு பழக்க தோஷத்தில் ஓட்டுப் போட விரலையும் நீட்ட வாய்ப்பிருப்பதால் இது தான் எளிதான மற்றும் 'வலி'மையான வழிமுறை.

மேலே சொல்லப்பட்டுள்ள "பணம்" கொடுத்துத் தகவல் பெறுதல் மற்றும் 'Social Engineering" ஆகியவற்றைப் பிறரால் தடுக்க முடியாது. ஆனால் ஸ்விஸ் வங்கிகளின் விஷயத்தில் அந்நாட்டின் சட்டம் அதற்குக் கடுமையான சிறைத் தண்டனை மற்றும் அபராதம் விதிப்பதால் இவை கட்டுக்குள் இருக்கின்றன. எனவே ஸ்விஸ் வங்கிகளின் ஒரே பிரச்சினை எந்த தொழில்நுட்பக் குறைபாடுகள் காரணமாகவும் தங்கள் தகவல்கள் இணைய இணைப்பில் கசிந்து விடக் கூடாது என்பது தான். பொதுவாக ஒரு இணைய இணைப்பில் தகவல்களைத் திருடுவதற்கு இரண்டு முறைகள் மிக புகழ்பெற்றது. ஒன்று Man in Middle Attack மற்றது Trojan Attack.
Man in the Middle Attack என்பது வாடிக்கையாளர் மற்றும் வங்கி இணைப்பிற்கு நடுவே நந்தி போல் இருந்து கொண்டு, வங்கிக்கு வாடிக்கையாளர் போலவும், வாடிக்கையாளருக்கு வங்கி போலவும் தகவல்களைப் பறிமாறிக் கும்மாளம் போடுவது. Trojan Attack என்பது தகவல்களைத் திரட்டித் தரும் மென்பொருளை எப்படியாவது வாடிக்கையாளரின் கணினியில் நிறுவி விடுவது. அதன் பின் வாடிக்கையாளரின் கணினியில் நடக்கும் அத்தனை நடவடிக்கைகளும் சேர வேண்டிய இடத்திற்குச் சென்று கொண்டேயிருக்கும். இவையிரண்டில் Trojan Attack முறைக்கு வாடிக்கையாளரே பொறுப்பாளி. தேவையற்ற மென்பொருட்களை நிறுவுவதைத் தடுப்பதற்கேற்ப பாதுகாப்பு மென்பொருட்களை நிறுவி வைத்து தனது கணினியினைப் பாதுகாத்துக் கொள்வது அவர் பொறுப்பு. 

ஆனால் இந்த Man in Middle Attack கொஞ்சம் வில்லங்கமானது மற்றும் இது போன்ற தகவல் திருட்டு சாத்தியமானால், அவ்வாறான பாதுகாப்புக் குறைவான இணையத் தொடர்பினைத் தனது வாடிக்கையாளருக்கு வழங்கிய குற்றம் வங்கியினையேச் சாரும். இது போன்ற அத்தனைப் பிரச்சினைக்கும் தீர்வாக இணையப் பாதுகாப்பு வல்லுநர்களால் வழிமொழியப்ப்பட்டது தான் 2 Factor Authentication (2FA). அதாவது உங்கள் பயனர்ச் சொல், கடவுச்சொல் இவற்றைத் தவிர மூன்றாவது ஒரு தகவல் வாடிக்கையாளரிடம் இருந்து பெரும் முறை.


இந்த 2FA முறையின்படி பயனாளர்களுக்கு ஒரு இலத்திரனியல் கருவித் தரப்படும் (token) அதில் ஒவ்வொரு நிமிடத்திற்கும் வெவ்வேறு ஆறு இலக்க எண் தோன்றும் (இது நான்கு முதல் எட்டு இலக்க எண் வரை இருக்கலாம்).   வாடிக்கையாளர் தங்கள் கணக்கினை இணையத்தின் மூலம் கையாளும் போது தங்களின் கடவுச்சொல்லுடன் இந்த ஆறு இலக்க எண்ணையும் சேர்த்து கடவுச்சொல்லாக வழங்க வேண்டும். உங்களின் பயனர்ச்சொல்லும், கடவுச்சொல்லுடன் ஆறு இலக்க எண்ணும் இணையத்தில் பயணித்து வங்கியில் வலையமைப்பினைச் சென்று சேர்ந்ததும், உங்கள் தகவல்களை  கணினி ஒன்று (Authentication Manager) உறுதி செய்யும். அந்த கணினியில் வங்கியின் சார்பில் வழங்கப்பட்டிருக்கும் அனைத்து இலத்திரனியல் கருவிகளின் விவரங்கள், அதனை வைத்திருக்கும் வாடிக்கையாளர்களின் பயனர்ச்சொல் விவரங்கள் சேமிக்கப்பட்டிருக்கும். உங்கள் பயனர்ச்சொல்லைக் கண்டதும் உங்களிடம் இருக்கும் கருவியில் அந்த நிமிடத்தில் என்ன ஆறு இலக்க எண் தோன்றியிருக்கக் கூடும் என்பதனை ஒரு சிறப்பு நிரலின் மூலம் கணித்து உங்கள் அடையாளத்தினை உறுதி செய்யும்.இன்றையத் தேதிக்கு இந்தத் தொழில்நுட்பம் தான் சுவை
இதைத்தான் ஸ்விஸ் வங்கிகள் கடந்த பதினைந்து வருடங்களுக்கும் மேலாக பயன்படுத்தி வருகின்றன. இதனைப் பயன்படுத்திப் பார்க்க நீங்கள்.வெறும் மின்னஞ்சல் மூலம் ஏதெனும் ஒரு ஸ்விஸ் வங்கியில் வங்கிக் கணக்கினைத் திறக்க முடியும். உங்களுக்கு வங்கியில் அனுப்பப்படும் கடிதத்தில் இந்த இலத்திரனியல் கருவியும் அனுப்பி வைக்கப்படும், பயன்படுத்தி மகிழலாம்.

இந்த அளவுக்கு தங்கள் பாதுகாப்பு விவரங்களினை இணையத்தில் கசிய விடாமல் இறுக்கிப் பிடித்திருந்த ஸ்விஸ் வங்கிகளின் வேட்டியை உருவுவதற்கென ஒருவர் பிறந்திருந்தார். விதி வலியது.... :).

அடுத்த பகுதியில்.....
பிடிஎப்பாக சேமிப்பதற்கான வசதி 'Download As PDF