வலையமைப்பிற்கான பாதுகாப்புக் கட்டுப்பாட்டு அறையில் வந்து குவியும் ஒவ்வொரு இணைப்பிற்கான தகவல்களையும் சரி பார்ப்பது நடைமுறை சாத்தியமில்லாதது. இவ்வாறு திரட்டப்படும் தகவல்களை நிர்வகிப்பதற்கென மென்பொருட்கள் பயன்பாட்டில் உள்ளன. அம்மென்பொருட்கள் மூலம் தேவைக்கேற்ப விதிமுறை நிரல்களை எழுதிக்கொள்ளலாம். குறிப்பிட்ட விதிமுறை மீறப்பட்டால் மட்டும் அந்த மென்பொருள் வலையமைப்பு வல்லுநர்களுக்கு தகவல் தெரிவிக்கும். அவர்களும் மேற்கொண்டு செய்ய வேண்டிய ஆய்வுகளைச் செய்து சரி பார்ப்பார்கள். உதாரணத்திற்கு, ஒரு வாடிக்கையாளர் இயல்பாக முதலிரண்டு முறை தவறான கடவுச்சொல் கொடுத்து விட்டு பின்னர் சரியான கடவுச்சொல் கொடுக்கிறார் என்று வைத்துக் கொள்வோம். மேற்சொன்ன மூன்று இணைப்புத் தகவல்களில் எதுவும் பிரச்சினைக்குரியது இல்லை. அதே நேரம் ஒரு வாடிக்கையாளர் ஒரு நாளில் 100 முறை தவறான கடவுச்சொல் தகவலை உள்ளிட்டதாக இணைப்புத் தகவல்கள் சொன்னால் அது நிச்சயம் வில்லங்கமானது தான். இது போன்று ஒவ்வொரு பிரச்சினைக்குரிய சந்தர்ப்பங்களையும் பரிசீலித்து அவற்றினைச் சமாளிப்பதற்கேற்ப தங்கள் விதிமுறை நிரல்களை அமைத்துக் கொள்வதன் மூலம் ஒவ்வொரு தனித்தனித் தகவல்களையும் ஆராயாமல். தங்கள் விதிமுறை நிரல்களை மீறும் தகவல்களை மட்டும் ஆராய்ந்து அலசி வலையமைப்பின் பாதுகாப்பினை நிலை நாட்டுகிறார்கள்.
இவ்வளவு கட்டுக்காவலிலும் சிட்டுக்குருவி மாதிரி தகவல்களைக் கொத்திக் கொண்டு போகும் பிஸ்தாக்கள் இருக்கத்தான் செய்கிறார்கள். எவ்வளவு பெரிய மதில் சுவராக இருந்தாலும் பொறுமையாக ஒவ்வொரு கல்லாக அசைத்துப் பார்த்து, நிதானமாக திருட்டு சுவைப்பது இவர்களுக்கு கைவந்த கலை. அப்படி எந்த வகையிலும் தகர்க்க முடியாத வலையமைப்புகளுக்கென இருக்கவே இருக்கிறது 'social engineering' முறை. அதாவது தகர்க்க நினைக்கும் வலையமைப்பினுள்ளே வேலை பார்க்கும் ஏதாவது ஒரு நபருடன் 'வாங்க பழகலாம்' திட்டத்தின் அடிப்படையில் அவர்களைப் பற்றிய பிரத்யேகத் தகவல்கள் மற்றும் பணியிடம் சம்பந்தப்பட்டத் தகவல்களை அவர்கள் அறியாமலேயே பேச்சுவாக்கில் போட்டு வாங்கிக் கொள்வது. அதிலும் ஜெயமில்லையென்றால், கடைசி பிரம்மாஸ்திரம் "பணம்", பிணம் கூட வாய்திறந்து கடவுச்சொல்லைச் சொல்லி விட்டு பழக்க தோஷத்தில் ஓட்டுப் போட விரலையும் நீட்ட வாய்ப்பிருப்பதால் இது தான் எளிதான மற்றும் 'வலி'மையான வழிமுறை.
மேலே சொல்லப்பட்டுள்ள "பணம்" கொடுத்துத் தகவல் பெறுதல் மற்றும் 'Social Engineering" ஆகியவற்றைப் பிறரால் தடுக்க முடியாது. ஆனால் ஸ்விஸ் வங்கிகளின் விஷயத்தில் அந்நாட்டின் சட்டம் அதற்குக் கடுமையான சிறைத் தண்டனை மற்றும் அபராதம் விதிப்பதால் இவை கட்டுக்குள் இருக்கின்றன. எனவே ஸ்விஸ் வங்கிகளின் ஒரே பிரச்சினை எந்த தொழில்நுட்பக் குறைபாடுகள் காரணமாகவும் தங்கள் தகவல்கள் இணைய இணைப்பில் கசிந்து விடக் கூடாது என்பது தான். பொதுவாக ஒரு இணைய இணைப்பில் தகவல்களைத் திருடுவதற்கு இரண்டு முறைகள் மிக புகழ்பெற்றது. ஒன்று Man in Middle Attack மற்றது Trojan Attack.
ஆனால் இந்த Man in Middle Attack கொஞ்சம் வில்லங்கமானது மற்றும் இது போன்ற தகவல் திருட்டு சாத்தியமானால், அவ்வாறான பாதுகாப்புக் குறைவான இணையத் தொடர்பினைத் தனது வாடிக்கையாளருக்கு வழங்கிய குற்றம் வங்கியினையேச் சாரும். இது போன்ற அத்தனைப் பிரச்சினைக்கும் தீர்வாக இணையப் பாதுகாப்பு வல்லுநர்களால் வழிமொழியப்ப்பட்டது தான் 2 Factor Authentication (2FA). அதாவது உங்கள் பயனர்ச் சொல், கடவுச்சொல் இவற்றைத் தவிர மூன்றாவது ஒரு தகவல் வாடிக்கையாளரிடம் இருந்து பெரும் முறை.
இந்த 2FA முறையின்படி பயனாளர்களுக்கு ஒரு இலத்திரனியல் கருவித் தரப்படும் (token) அதில் ஒவ்வொரு நிமிடத்திற்கும் வெவ்வேறு ஆறு இலக்க எண் தோன்றும் (இது நான்கு முதல் எட்டு இலக்க எண் வரை இருக்கலாம்). வாடிக்கையாளர் தங்கள் கணக்கினை இணையத்தின் மூலம் கையாளும் போது தங்களின் கடவுச்சொல்லுடன் இந்த ஆறு இலக்க எண்ணையும் சேர்த்து கடவுச்சொல்லாக வழங்க வேண்டும். உங்களின் பயனர்ச்சொல்லும், கடவுச்சொல்லுடன் ஆறு இலக்க எண்ணும் இணையத்தில் பயணித்து வங்கியில் வலையமைப்பினைச் சென்று சேர்ந்ததும், உங்கள் தகவல்களை கணினி ஒன்று (Authentication Manager) உறுதி செய்யும். அந்த கணினியில் வங்கியின் சார்பில் வழங்கப்பட்டிருக்கும் அனைத்து இலத்திரனியல் கருவிகளின் விவரங்கள், அதனை வைத்திருக்கும் வாடிக்கையாளர்களின் பயனர்ச்சொல் விவரங்கள் சேமிக்கப்பட்டிருக்கும். உங்கள் பயனர்ச்சொல்லைக் கண்டதும் உங்களிடம் இருக்கும் கருவியில் அந்த நிமிடத்தில் என்ன ஆறு இலக்க எண் தோன்றியிருக்கக் கூடும் என்பதனை ஒரு சிறப்பு நிரலின் மூலம் கணித்து உங்கள் அடையாளத்தினை உறுதி செய்யும்.இன்றையத் தேதிக்கு இந்தத் தொழில்நுட்பம் தான் சுவை
இதைத்தான் ஸ்விஸ் வங்கிகள் கடந்த பதினைந்து வருடங்களுக்கும் மேலாக பயன்படுத்தி வருகின்றன. இதனைப் பயன்படுத்திப் பார்க்க நீங்கள்.வெறும் மின்னஞ்சல் மூலம் ஏதெனும் ஒரு ஸ்விஸ் வங்கியில் வங்கிக் கணக்கினைத் திறக்க முடியும். உங்களுக்கு வங்கியில் அனுப்பப்படும் கடிதத்தில் இந்த இலத்திரனியல் கருவியும் அனுப்பி வைக்கப்படும், பயன்படுத்தி மகிழலாம்.
இந்த அளவுக்கு தங்கள் பாதுகாப்பு விவரங்களினை இணையத்தில் கசிய விடாமல் இறுக்கிப் பிடித்திருந்த ஸ்விஸ் வங்கிகளின் வேட்டியை உருவுவதற்கென ஒருவர் பிறந்திருந்தார். விதி வலியது.... :).
அடுத்த பகுதியில்.....
