இந்த தூண்டில்(Phishing) தாக்குதலினால், கடந்த 2007 ம் ஆண்டில் பெரிய அண்ணன் (அமெரிக்கா) க்கு ஏற்பட்ட இழப்பு $ 3 billion க்கு மேலாகும். சற்று மூச்சைப் பிடித்துக் கொள்ளுங்கள் -- இது 12,000 கோடி ரூபாயாகும்.
இது, இந்தியாவை மிக வேகமாக தாக்கக் கூடும். இதற்கு காரணங்கள், நமது பொருளாதார முன்னேற்றமும், பயனீட்டாளர்களிடம் போதுமான விழிப்புணர்வு இல்லாததும் மற்றும் நமது பெரும்பான்மையான மக்கள் தகவல் தொழில்நுட்ப பாதுகாப்பு முக்கியமானது என்று கருதாதும்தான். ஆக்கிரமிப்பாளர்களின்(Hackers) சொர்க்க பூமியாக, இந்தியா மாறாதிருக்க வேண்டும். இது நமது பொருளாதாரத்தை பாதாளத்தில் தள்ளிவிடும். முதலீட்டாளர்களின் நம்பிக்கை சரிய நேரிடும். வந்தபின் நோவதை விட, வரும் முன் காக்க வேண்டும்...
சரி. நாமும், அமெரிக்காவின் நிலைதான் என்ன என்று பார்க்கலாம்.
கார்ட்னர் (Gartner, Inc) என்ற நிறுவனம், அமெரிக்காவில் நடந்த தூண்டில்(Phishing) தாக்குதலினால் ஏற்பட்ட விளைவை பற்றிய ஒரு கணக்கெடுப்பை நடத்தியது. இந்த கணக்கெடுப்பு, 4,500 வயது வந்த (ஆன்லைன்) இணையதள பயனீட்டாளர்களிடம், ஆகஸ்ட் மாதம் 2007 -ல் நடத்தப் பட்டு, விவரம் டிசம்பர் மாதம் 2007ல் வெளியிடப்பட்டது. (கவனிக்க - இது தமிழகத்தில் நடந்த ஒப்புக்கு சப்பாணி கணக்கெடுப்பு போல் அல்ல...) அதன் விவரம் பின்வருமாறு...
1) இந்த தூண்டில்(Phishing) தாக்குதலினால், கடந்த 2007 ம் ஆண்டில் பெரிய அண்ணன் (அமெரிக்கா) க்கு ஏற்பட்ட இழப்பு $ 3 billion-க்கு மேலாகும்
2) 3.6 மில்லியன் (ஆன்லைன்) இணையதள பயனீட்டாளர்கள் தங்கள் பணத்தை, தூண்டில்(Phishing) தாக்குதலினால் இழந்திருகிறார்கள். இது 2006ம் ஆண்டு 2.3 மில்லியனோடு ஒப்பிடும் போது மிக அதிகமாகும்.
3) இந்த முறை தூண்டில்(Phishing) தாக்குதல் இ-மெயிலினால், பாதிக்கப் பட்டவர்கள் 3.3 சதவீதத்தினர். அதாவது, எனது "நான் பலிகடாவா? - தூண்டில்(Phishing) தாக்குதல்" பதிவில் சொல்லியுள்ள இ-மெயில் கிடைத்த 100 பேர்களில், சுமாராக 3 பேர் பலிகடா ஆகியுள்ளனர்.
இதனைப் பற்றி கார்ட்னர் (Gartner, Inc) நிறுவனத்தின் துணைத்தலைவரும், மிகப் புகழ்பெற்ற ஆய்வாளருமான அவைவாஹ் லிடன் (Avivah Litan) தெரிவிக்கும் போது, "தற்போதைக்கு இந்த தூண்டில்(Phishing) தாக்குதல்கள் மிகவும் வலிமையானதாகவும், எளிதில் கண்டுபிடிக்க முடியாத வகையிலும், பெரும்பாலும் கெட்ட மென்பொருள்களை(malware) பயனீட்டாளர்களின் கணிணியில் பதிவிறக்கம் செய்து, அவர்களின் பயனீட்டாளர் பெயர்(User name), கடவுச்சொல்(Password) மற்றும் பிற முக்கியமான தகவல்களை திருடிவிடுகின்றது" என்றார்.
இதைப் பற்றிய முழு விவரங்களுக்கு, கீழே உள்ள தொடர்பியில் சொடுக்குங்கள்.
http://www.businesswire.com/portal/site/google/?ndmViewId=news_view&newsId=20071217005365&newsLang=en
Sunday, January 27, 2008
நான் பலிகடாவா? - தூண்டில்(Phishing) தாக்குதல்
நான் சில ஆன்லைன் இணையதள வர்த்தகத்திற்காக, www.paypal.com -ல் உறுப்பினராக உள்ளேன். இப்பொழுது, என்னை நோக்கி ஏவப்பட்ட தூண்டில் தாக்குதலை பார்க்கலாம்.
1. இது ஜனவரி 26ம் தேதி, எனக்கு www.paypal.com -ல் இருந்து வந்த ஒரு இ-மெயில். தெளிவான படத்திற்கு, அதன் மேல் சொடுக்குங்கள்.
2. எனக்கு வந்த, www.paypal.com -ன் தூண்டில் தாக்குதல் இ-மெயிலின் முகவரியை கவனமாக பாருங்கள். தூண்டில் புழுவையும் (செய்தி) பாருங்கள். தூண்டிலின் கொக்கியினையும் பாருங்கள். தெளிவான படத்திற்கு, அதன் மேல் சொடுக்குங்கள்.
3. நான் அந்த தொடர்பியில்(லிங்க் - Link) சொடுக்கிய உடன், அது என்னை இழுத்து சென்ற இணையதளத்தை பாருங்கள். இணையதள முகவரி போலியானது. அது www.paypal.com -க்கு சொந்த்தமானது அல்ல. தெளிவான படத்திற்கு, அதன் மேல் சொடுக்குங்கள்.
4. உங்களின் பார்வைக்கு, உண்மையான www.paypal.com -க்கு சொந்த்தமான இணையதளம். இணையதள் முகவரியினையும், பூட்டினையும் பாருங்கள். தெளிவான படத்திற்கு, அதன் மேல் சொடுக்குங்கள்.
தூண்டில் தாக்குதல்:: தடுப்பது எப்படி ?
1. உங்களுக்கு வரும் இ-மெயில் முகவரியினை முழுவதுமாக, கவனமாக பாருங்கள். முடிந்தால், முழு தலைப்பையும் (header) பாருங்கள்.
2. எப்பொழுதும், இ-மெயிலில் இருக்கும் அந்த தொடர்பியில்(லிங்க் - Link) சொடுக்காதீர்கள். அந்த இணையதள முகவரியை பிரதி எடுத்து, மற்றொரு இண்டெர்னெட் எக்ஃஸ்ஃப்லோரில் ஒட்டி, அதன் பின்னர் சொடுக்குங்கள்.
3. உங்கள் இணையதள பக்கத்தின் address bar -ல், சரியான பக்கத்தின் தகவல் தானா என்று சரி பார்த்துக் கொள்ளுங்கள்.
4. இதனை நீங்கள் உங்கள் நண்பர்களிடம் சொல்லி ஒரு விழிப்புணர்வை ஏற்படுத்துங்கள். இந்த வகையான தாக்குதலை, பொதுவாக தகவல் பாதுகாப்பு கருவிகளால் தடுக்க இயலாது.
2. எப்பொழுதும், இ-மெயிலில் இருக்கும் அந்த தொடர்பியில்(லிங்க் - Link) சொடுக்காதீர்கள். அந்த இணையதள முகவரியை பிரதி எடுத்து, மற்றொரு இண்டெர்னெட் எக்ஃஸ்ஃப்லோரில் ஒட்டி, அதன் பின்னர் சொடுக்குங்கள்.
3. உங்கள் இணையதள பக்கத்தின் address bar -ல், சரியான பக்கத்தின் தகவல் தானா என்று சரி பார்த்துக் கொள்ளுங்கள்.
4. இதனை நீங்கள் உங்கள் நண்பர்களிடம் சொல்லி ஒரு விழிப்புணர்வை ஏற்படுத்துங்கள். இந்த வகையான தாக்குதலை, பொதுவாக தகவல் பாதுகாப்பு கருவிகளால் தடுக்க இயலாது.
தூண்டில்(Phishing) தாக்குதல்
"போட்டு வாங்குறது" என்பது அனேகமாக அனைவருக்கும் தெரிந்ததே... உங்கள் நண்பரிடமிருந்து (சிலநேரம், எதிரிகளிடமிருந்தும்) நமக்கு தேவையான தகவல் ஏதாவது தெரிய வேண்டும். அதனை நேரடியாக கேட்டால் சொல்ல மாட்டார்கள். என்வே, நீங்கள் அவர்களிடம் ஏதாவது சம்பந்தமான அல்லது சம்பந்தமில்லாத ஒரு விஷயத்தை சொல்லி, கொஞ்சம் நிலை தடுமாற வைத்து, அவர்களிடமிருந்து உங்களுக்கு தேவையான தகவலை கரந்து விடுவீர்கள். இதுவும் ஒரு வகையான தாக்குதல் தானே...
ஆக்கிரமிப்பாளர்கள் (Hackers) உங்களிடம் வந்து, உங்களுடைய வங்கி கணக்கு விவரம், முக்கியமாக உங்களுடைய ஈமெயில் மற்றும் வங்கியின் இணையதள (ஆன்லைன்) பயனீட்டாளர் பெயர் (User name) மற்றும் கடவுச்சொல் (Password), கடன் அட்டை (Credit card) விவரங்களை நேரடியாக கேட்கும் பட்சத்தில், நீங்கள் தர மாட்டீர்கள். நீங்கள் தெளிவு தான்...
ஆனால், உங்களிடமிருந்து இந்த முக்கியமான தகவல்களை "தூண்டில்(Phishing) தாக்குதல்" முறையில், நீங்கள் சற்று கவனக் குறைவாக இருக்கும் சமயத்தில், மிக எளிதாக கவர்ந்து செல்ல முடியும். இது ஏறக்குறைய, "தூண்டில் வைத்து மீன் பிடிப்பது" அல்லது "போட்டு வாங்குறது" போன்ற தாக்குதல் தான். இந்த தாக்குதலை மிக எளிதாக ஒரு ஆக்கிரமிப்பாளரால் (Hacker) செயல் படுத்த முடியும்.
இனி, இந்த "தூண்டில் தாக்குதலை" பற்றி விவரமாக பார்ப்போம்.
தூண்டில்(Phishing) தாக்குதல்::
இந்த வகையான தாக்குதல் மூன்று கட்டமாக செயல்படுத்தப் படுகின்றது.
முதல் கட்டம்:
1. உங்களுக்கு ஒரு இ-மெயில், உங்கள் வங்கியின் இ-மெயில் முகவரி போன்ற ஒரு போலி முகவரியிலிருந்து அனுப்பப்படும். (இது மிக எளிதான செயல். விவரத்திற்கு, எனது அடுத்த பதிவு...)
2. அந்த இ-மெயிலில், உங்கள் வங்கியின் இணையதளத்தின் நுழைவு (login) பக்கத்திற்கு செல்வதற்கான ஒரு தொடர்பி (லிங்க் - Link) இருக்கும்.
3. உங்களை எப்படியாவது அந்த தொடர்பியில் சொடுக்குவதன் மூலம், அந்த வங்கியின் இணையதளத்தின் நுழைவு பக்கத்திற்கு சென்று, உங்களின் பயனீட்டாளர் பெயர் (User name) மற்றும் கடவுச்சொல்லை(Password) பயன் படுத்த செய்யவேண்டும்.
4. உதாரணத்திற்கு, கீழ்கண்ட செய்திகளை சொல்வதன் மூலம், உங்களை அந்த தொடர்பியில்(Link) சொடுக்க செய்யலாம்.
ஆக்கிரமிப்பாளர்கள் (Hackers) உங்களிடம் வந்து, உங்களுடைய வங்கி கணக்கு விவரம், முக்கியமாக உங்களுடைய ஈமெயில் மற்றும் வங்கியின் இணையதள (ஆன்லைன்) பயனீட்டாளர் பெயர் (User name) மற்றும் கடவுச்சொல் (Password), கடன் அட்டை (Credit card) விவரங்களை நேரடியாக கேட்கும் பட்சத்தில், நீங்கள் தர மாட்டீர்கள். நீங்கள் தெளிவு தான்...
ஆனால், உங்களிடமிருந்து இந்த முக்கியமான தகவல்களை "தூண்டில்(Phishing) தாக்குதல்" முறையில், நீங்கள் சற்று கவனக் குறைவாக இருக்கும் சமயத்தில், மிக எளிதாக கவர்ந்து செல்ல முடியும். இது ஏறக்குறைய, "தூண்டில் வைத்து மீன் பிடிப்பது" அல்லது "போட்டு வாங்குறது" போன்ற தாக்குதல் தான். இந்த தாக்குதலை மிக எளிதாக ஒரு ஆக்கிரமிப்பாளரால் (Hacker) செயல் படுத்த முடியும்.
இனி, இந்த "தூண்டில் தாக்குதலை" பற்றி விவரமாக பார்ப்போம்.
தூண்டில்(Phishing) தாக்குதல்::
இந்த வகையான தாக்குதல் மூன்று கட்டமாக செயல்படுத்தப் படுகின்றது.
முதல் கட்டம்:
1. உங்களுக்கு ஒரு இ-மெயில், உங்கள் வங்கியின் இ-மெயில் முகவரி போன்ற ஒரு போலி முகவரியிலிருந்து அனுப்பப்படும். (இது மிக எளிதான செயல். விவரத்திற்கு, எனது அடுத்த பதிவு...)
2. அந்த இ-மெயிலில், உங்கள் வங்கியின் இணையதளத்தின் நுழைவு (login) பக்கத்திற்கு செல்வதற்கான ஒரு தொடர்பி (லிங்க் - Link) இருக்கும்.
3. உங்களை எப்படியாவது அந்த தொடர்பியில் சொடுக்குவதன் மூலம், அந்த வங்கியின் இணையதளத்தின் நுழைவு பக்கத்திற்கு சென்று, உங்களின் பயனீட்டாளர் பெயர் (User name) மற்றும் கடவுச்சொல்லை(Password) பயன் படுத்த செய்யவேண்டும்.
4. உதாரணத்திற்கு, கீழ்கண்ட செய்திகளை சொல்வதன் மூலம், உங்களை அந்த தொடர்பியில்(Link) சொடுக்க செய்யலாம்.
- வாழ்த்துக்கள்... தீபாவளியை ஒட்டி எங்கள் வங்கியில் நடந்த சிற்ப்பு கணிணி குலுக்களில், நீங்கள் வெற்றி பெற்றீர்கள். வரும் தீபாவளியன்று, எங்கள் வங்கியின் தலைமை அலுவலகத்தில் நடைபெறும் விழாவில், நமீதா மற்றும் த்ரிக்ஷா அவர்களிடமிருந்து ரூபாய் 1,00,000 க்கான காசோலையை பரிசாக பெற அன்போடு அழைக்கிறோம். நீங்கள், உடனடியாக இங்கு தரப்பட்டுள்ள வங்கியின் இணையதள தொடர்பியில்(Link) சொடுக்கி, லாகின் (login) செய்து, உங்களின் வருகையை உறுதி செய்யுங்கள்.
- வங்கியின் புதிய தகவல் பாதுகாப்பு கொள்கையின்படி, நீங்கள் உங்கள் விவரங்களை உடனடியாக புதிப்பிக்க வேண்டும். இல்லையெனில், உங்களுடைய வங்கி இணைய கணக்கு முடக்கப் படும். இது, ஆக்கிரமிப்பாளர்களிடமிருந்து(Hackers) உங்களுடைய அடையாளத்தை (Identity - Username and Password) பாதுகாக்க வேண்டும் என்பதால் தான்.
இப்படி, பல காரணங்களை சொல்லிக் கொண்டே போகலாம்...
இரண்டாம் கட்டம்:
1. நீங்கள் இ-மெயிலில் உள்ள தொடர்பியில்(லிங்க் - Link) சொடுக்கிய உடன், அது உங்கள் வங்கியின் இணையதளத்தின் நுழைவு (login) பக்கம் போன்ற தோற்றத்தில் உள்ள ஆக்கிரமிப்பாளரின் (Hackers) இணையதளத்தின் ஒரு பக்கத்தை காட்டும்.
2. நீங்கள் எந்த ஒரு வித்தியாசமும் காண இயலாது.
3. உங்களின் பயனீட்டாளர் பெயர் (User name) மற்றும் கடவுச்சொல்லை(Password) பயன்படுத்தி நுழைய (login) முற்படுவீர்கள்.
4. அந்த விவரங்கள், ஆக்கிரமிப்பாளரால் (Hacker) பதிவு செய்யப்படும்.
5. அதற்கு அடுத்து, பெறும்பாலும், "தடங்களுக்கு வருந்துகிறோம்... தற்சமயம், அதிகப் பயன்பாட்டின் காரணமாக பிழை ஏற்பட்டுள்ளது. மீண்டும், 48 மணி நேரம் கழித்து முயற்சி செய்யுங்கள்." என்கிற மாதிரியான இணைய பக்கம் காட்டப் படும்.
மூன்றாம் கட்டம்:
1. நீங்களே வாரி வழங்கிய உங்களின் வங்கியின் கணக்கு விவரம் கொண்டு, ஆக்கிரமிப்பாளர் (Hacker) உங்கள் வங்கி கணக்கிலிருந்து அவருடைய வங்கிக்கு பணத்தை தள்ளியிருப்பார். அல்லது, "இவன் ரொம்ப நல்லவன் டா" என்று சொல்லி, இணையத்தில் எல்லாவற்றையும் வாங்கி, தீபாவளி கொண்டடிவிடுவார்.
2. உங்களின் கவனத்திற்கு வருவதற்குள், உங்களின் வங்கி கணக்கு திவாலாகியிருக்கும்.
3. சில வித்தியாசமான ஆக்கிரமிப்பாளர்கள்(Hackers) பல ஆயிரம் பேரை ஆக்கிரமித்து, அவர்களின் வங்கி கணக்கிலிருந்து ஒரு சிறு தொகையை தன்னுடைய வங்கி கணக்கிற்கு மாற்றிக்கொள்வர். இதனை பொதுவாக கண்டு பிடிக்க இயலாது. ஏனெனில், இப்பொழுதுதெல்லாம் தனியார் வங்கிகளே பகல் கொள்ளையர்கள் அளவிற்கு, சிறு சிறு பணத்தை காரணமேயில்லாமல், சாப்பிட்டு விடுகின்றனர்.
தூண்டில் தாக்குதல்:: வகைகள்
1. வங்கி கணக்கு - தூண்டில் தாக்குதல் - வங்கி கணக்கை குறி வைத்து நடக்கும்
2. இணையதள விற்பனை - தூண்டில் தாக்குதல் - இது பொதுவாக, ஆன்லைன் வர்த்தக இணையதளத்தை அடிப்டையாக கொண்டது. (எடு. www.paypal.com or www.amazon.com or www.reliance.com ...etc)
3. இ-மெயில் - தூண்டில் தாக்குதல் - உங்களின் இ-மெயில் தகவலை குறி வைத்து நடத்தப் படுவது. (எடு. www.mail.yahoo.com or www.gmail.com ..etc)
தூண்டில் தாக்குதல்:: தடுப்பது எப்படி ?
1. உங்களுக்கு வரும் இ-மெயில் முகவரியினை முழுவதுமாக, கவனமாக பாருங்கள். முடிந்தால், முழு தலைப்பையும் (header) பாருங்கள்.
2. எப்பொழுதும், இ-மெயிலில் இருக்கும் அந்த தொடர்பியில்(லிங்க் - Link) சொடுக்காதீர்கள். அந்த இணையதள முகவரியை பிரதி எடுத்து, மற்றொரு இண்டெர்னெட் எக்ஃஸ்ஃப்லோரில் ஒட்டி, அதன் பின்னர் சொடுக்குங்கள்.
3. உங்கள் இணையதள பக்கத்தின் address bar -ல், சரியான பக்கத்தின் தகவல் தானா என்று சரி பார்த்துக் கொள்ளுங்கள்.
4. இதனை நீங்கள் உங்கள் நண்பர்களிடம் சொல்லி ஒரு விழிப்புணர்வை ஏற்படுத்துங்கள். இந்த வகையான தாக்குதலை, பொதுவாக தகவல் பாதுகாப்பு கருவிகளால் தடுக்க இயலாது.
Monday, January 21, 2008
பேங்க் ஆஃப் இண்டியா - இணையதள தாக்குதல்
நம்ம குப்புசாமியின் மடிக்கணிணியில் (லேப்டாப்) உள்ள அவரது வங்கி கணக்கு விவரம் முதல் ரிஸர்வ் வங்கியில் உள்ள மிகப் பெருங்கணிணியில் (சர்வர்) உள்ள கணக்கு வழக்கு வரை அனைத்துமே தாக்குதலுக்கு உள்ளாகிறது. நீங்கள் விழித்துக் கொண்டிருக்கும் போதே உங்களுடைய தனிப்பட்ட தகவல்கள் அனைத்தும், உங்களுடைய ஆன்லைன் வங்கி கணக்கு விவரம் வரை திருடு போகும் வாய்ப்பு பிரகாசமாக உள்ளது.
உதாரணத்திற்கு நீங்கள் கடந்த ஆகஸ்ட் மாதம் 30ம் தேதி "பேங்க் ஆஃப் இண்டியா" www.bankofindia.com வின் இணையதளத்தை (வெப்சைட்டை) எட்டிப் பார்த்திருந்தீர்கள் எனில், உங்களுடைய கணிணியில் இன்டெர்நெட் எக்ஃஸ்ஃப்லோரர் பழைய பதிவாக, பாதுகாக்கப்படாததாக இருக்கும் பட்சத்தில், உங்களுடைய கணிணியில் இருந்த அனைத்து தகவல்களும் திருடு போயிருக்க வாய்ப்புகள் உண்டு. நம்ம குப்புசாமி வெறும் பால் கணக்கு மட்டும் வைத்து இருந்திருந்தால் இது சிறிய திருடு தான். ஆனால், குப்புசாமி ஒரு பெரிய நிறுவனத்தின் தலைவராக இருந்தால், அவருடைய தொழிலின் அனைத்து ரகசியங்களும் திருடு போய் இருக்கும்.
அன்னியன் விக்ரம் வழிச் சொன்னால், இப்படி அந்த "பேங்க் ஆஃப் இண்டியா" www.bankofindia.com வின் இணையதளம் (வெப்சைட்) வந்த பலபேருடைய தகவல்களும் திருடு போனது மிகப் பெரிய தவறு தான்.
சரி. இப்பொழுது அது எப்படி நடந்தது என்று பார்க்கலாம். அதற்கு முன்பு, தகவல் திருடப்படும் அல்லது அழிக்கப்படும் சில வழிமுறைகளை பார்ப்போம்.
1. கணிணி வைரஸ் (computer virus) - தன்னைத் தானே பிரதி எடுத்துக்கொண்டு, கணிணியை உபயோகிப்பவரின் அனுமதி இல்லாமல், அவருக்கும் தெரியாமல் கணிணியில் உள்ள தகவல்களுக்கு (மாற்றவோ அல்லது அழிக்கவோ) தீங்கு விளைவிக்கும் கணிணி புரோகிராம். இவைகளால், வருடத்திற்கு பல கோடிக் கணக்கான டாலர் நஷ்டம். உதாரணம் - நிம்டா, ஐலவ்யூ வைரஸ்கள்.
2. பொய்க் குதிரை (Trojan horse) - இது கிரேக்க நாட்டு காவியம், ஒடிசியில் சொல்லப்பட்டுள்ள ஒரு போர் தந்திரத்தை அடிப்படையாகக் கொண்டது. பொய்யான ஒரு மிகப் பெரிய மரத்தினால் ஆன ஒரு குதிரைக்குள் போர் வீரர்கள் மறைந்து கொண்டு போரிட்டு வெற்றி பெறுவார்கள். அதனை போலவே, ஒரு குறிப்பிட்ட நல்ல தேவையான வேலையை செய்து கொண்டே மறைமுகமாக தகவல்களுக்கு தீங்கோ அல்லது ஆக்கிரமிப்பாளர்கள் (Hacker) சொல்லும் வேலையும் செய்யும் கணிணி புரோகிராம் பொய்க் குதிரை (Trojan horse) எனப்படும்.
3. வஞ்சக மென்பொருள் (Malware) - திட்டமிட்டே மற்றவர்களின் கணிணி மற்றும் தகவல்களுக்கு தீங்கு (மாற்றவோ, திருடவோ அல்லது அழிக்கவோ) விளைவிக்கும் பொருட்டு தயாரிக்கப் படும் மென்பொருள் (software) வஞ்சக மென்பொருள்(Malware) எனப்படும். ஏறக்குறைய முக்கால்வாசி இணைய தளத்தில் கிடைக்கும் இலவச மென்பொருள்கள் எல்லாமே நீங்கள் உங்கள் கணிணியில் உபயோகப்படுத்தும் போது உங்களுடைய தகவல்களை திருடும் வண்ணம் வடிவமைக்கப் பட்டுள்ளது. இவை வஞ்சக மென்பொருள் (Malware) வகையை சேர்ந்தது.
இப்பொழுது, "பேங்க் ஆஃப் இண்டியா" www.bankofindia.com வின் இணையதளம் (வெப்சைட்) எப்படி தாக்கப் பட்டது, ஆக்கிரமிப்பாளர்களால் (Hacker) எப்படி கபளீகரம் செய்யப்பட்டது மற்றும் அந்த வெப்சைட்டுக்கு வந்தவர்களின் கணிணிகளும் ஆக்கிரமிப்பாளர்களால் (Hacker) எப்படி ஆக்கிரமிக்கப்பட்டது என்றும் பார்க்கலாம்.
தாக்குதல்:
உதாரணத்திற்கு நீங்கள் கடந்த ஆகஸ்ட் மாதம் 30ம் தேதி "பேங்க் ஆஃப் இண்டியா" www.bankofindia.com வின் இணையதளத்தை (வெப்சைட்டை) எட்டிப் பார்த்திருந்தீர்கள் எனில், உங்களுடைய கணிணியில் இன்டெர்நெட் எக்ஃஸ்ஃப்லோரர் பழைய பதிவாக, பாதுகாக்கப்படாததாக இருக்கும் பட்சத்தில், உங்களுடைய கணிணியில் இருந்த அனைத்து தகவல்களும் திருடு போயிருக்க வாய்ப்புகள் உண்டு. நம்ம குப்புசாமி வெறும் பால் கணக்கு மட்டும் வைத்து இருந்திருந்தால் இது சிறிய திருடு தான். ஆனால், குப்புசாமி ஒரு பெரிய நிறுவனத்தின் தலைவராக இருந்தால், அவருடைய தொழிலின் அனைத்து ரகசியங்களும் திருடு போய் இருக்கும்.
அன்னியன் விக்ரம் வழிச் சொன்னால், இப்படி அந்த "பேங்க் ஆஃப் இண்டியா" www.bankofindia.com வின் இணையதளம் (வெப்சைட்) வந்த பலபேருடைய தகவல்களும் திருடு போனது மிகப் பெரிய தவறு தான்.
சரி. இப்பொழுது அது எப்படி நடந்தது என்று பார்க்கலாம். அதற்கு முன்பு, தகவல் திருடப்படும் அல்லது அழிக்கப்படும் சில வழிமுறைகளை பார்ப்போம்.
1. கணிணி வைரஸ் (computer virus) - தன்னைத் தானே பிரதி எடுத்துக்கொண்டு, கணிணியை உபயோகிப்பவரின் அனுமதி இல்லாமல், அவருக்கும் தெரியாமல் கணிணியில் உள்ள தகவல்களுக்கு (மாற்றவோ அல்லது அழிக்கவோ) தீங்கு விளைவிக்கும் கணிணி புரோகிராம். இவைகளால், வருடத்திற்கு பல கோடிக் கணக்கான டாலர் நஷ்டம். உதாரணம் - நிம்டா, ஐலவ்யூ வைரஸ்கள்.
2. பொய்க் குதிரை (Trojan horse) - இது கிரேக்க நாட்டு காவியம், ஒடிசியில் சொல்லப்பட்டுள்ள ஒரு போர் தந்திரத்தை அடிப்படையாகக் கொண்டது. பொய்யான ஒரு மிகப் பெரிய மரத்தினால் ஆன ஒரு குதிரைக்குள் போர் வீரர்கள் மறைந்து கொண்டு போரிட்டு வெற்றி பெறுவார்கள். அதனை போலவே, ஒரு குறிப்பிட்ட நல்ல தேவையான வேலையை செய்து கொண்டே மறைமுகமாக தகவல்களுக்கு தீங்கோ அல்லது ஆக்கிரமிப்பாளர்கள் (Hacker) சொல்லும் வேலையும் செய்யும் கணிணி புரோகிராம் பொய்க் குதிரை (Trojan horse) எனப்படும்.
3. வஞ்சக மென்பொருள் (Malware) - திட்டமிட்டே மற்றவர்களின் கணிணி மற்றும் தகவல்களுக்கு தீங்கு (மாற்றவோ, திருடவோ அல்லது அழிக்கவோ) விளைவிக்கும் பொருட்டு தயாரிக்கப் படும் மென்பொருள் (software) வஞ்சக மென்பொருள்(Malware) எனப்படும். ஏறக்குறைய முக்கால்வாசி இணைய தளத்தில் கிடைக்கும் இலவச மென்பொருள்கள் எல்லாமே நீங்கள் உங்கள் கணிணியில் உபயோகப்படுத்தும் போது உங்களுடைய தகவல்களை திருடும் வண்ணம் வடிவமைக்கப் பட்டுள்ளது. இவை வஞ்சக மென்பொருள் (Malware) வகையை சேர்ந்தது.
இப்பொழுது, "பேங்க் ஆஃப் இண்டியா" www.bankofindia.com வின் இணையதளம் (வெப்சைட்) எப்படி தாக்கப் பட்டது, ஆக்கிரமிப்பாளர்களால் (Hacker) எப்படி கபளீகரம் செய்யப்பட்டது மற்றும் அந்த வெப்சைட்டுக்கு வந்தவர்களின் கணிணிகளும் ஆக்கிரமிப்பாளர்களால் (Hacker) எப்படி ஆக்கிரமிக்கப்பட்டது என்றும் பார்க்கலாம்.
தாக்குதல்:
1. "பேங்க் ஆஃப் இண்டியா" www.bankofindia.com வின் இணையதளம் (வெப்சைட்), அமெரிக்காவில் உள்ள ஒரு நிறுவனத்தின் மூலமாக இன்டெர்னெட்டில் இணைய தளமாக நிறுவப் பட்டுள்ளது.
2. ஒன்றுக்கும் மேற்பட்ட தாக்குதல்கள் "பேங்க் ஆஃப் இண்டியா" www.bankofindia.com வின் வெப்சைட் மீது நடத்தப் பட்டது.
3. அதில், (MPack toolkit) எம்பேக் டூல்கிட் என்ற வஞ்சக மென்பொருளின் (Malware) தாக்குதல் வெற்றி அடைகின்றது.
4. ருஷ்யாவை சேர்ந்த ஆக்கிரமிப்பாளர்கள் (Hacker) வெப்சைட்டை தன் வசப்படுத்துகின்றனர்.
5. அதன்பின், கெடுதலை உண்டு பண்ணக் கூடிய ஐஃபிரேம் (IFRAME) புரோகிராம் வரிகள், இணைய தளத்தின் முதல் பக்கத்தில் (Index) இணைக்கப் படுகிறது.
6. இந்த ஐஃபிரேம் (IFRAME) வெளியில் தெரியா வண்ணம் மறைவான முறையில், முதல் பக்கத்தின் புரோகிராம் வரிகளுடன் கலக்கப் படுகிறது.
கபளீகரம் செய்தல்:
1. இணைய தளத்தின் முதல் பக்கத்தை முழுமையாக ஆக்கிரமிப்பாளர்கள் தன் வசப்படுத்துகின்றனர்.
2. இதன் மூலம், இணைய தளத்தின் முதல் பக்கம் மாற்றப் பட்டாலும், மீண்டும் தங்க்களுடைய கெடுதலை உண்டு பண்ணக் கூடிய ஐஃபிரேம் (IFRAME) புரோகிராம் வரிகளை உட்செலுத்த முடியும் வகையில் பார்த்துக் கொள்கின்றனர்.
இணையதளத்திற்கு வந்தவர்களின் கணிணியின் கதி என்ன ஆயிற்று:
1. வழக்கம் போல், அன்று "பேங்க் ஆஃப் இண்டியா" www.bankofindia.com வின் இணையதளத்திற்கு (வெப்சைட்) வந்தவுடன், அதனுடைய பயனீட்டளர்களுக்கு (Usres) எந்த வித்தியாசமும் தெரிய வில்லை.
2. ஆனால், பின்னனியில் அந்த ஐஃபிரேம் (IFRAME) புரோகிராம் வரிகளின் காரணமாக முதலில் வேறு ஒரு இணைய தளத்திற்கு அவர்களுடைய கணிணி தன்னிச்சையாக தொடர்பு ஏற்படுத்தியது
3. பின்னர், அது ஏறக்குறைய 31 வஞ்சக மென்பொருள்(Malware)களை இறக்குமதி செய்து, அவர்களுடைய கணிணியில் அவர்களுக்கு தெரியாமலேயே தானாக நிறுவிக் (Install) கொண்டது.
4. இணையதளத்திற்கு (வெப்சைட்) வந்தவரின் கணிணி முறையான இன்டெர்நெட் எஃஸ்ஃப்லோரர் அல்லது விண்டோஸ் சமீபத்திய பதிவு இல்லாத பட்சத்தில், அந்த கணிணியும் ஆக்கிரமிப்பாளர்களால் (Hacker) தன் வசப்படுத்தப் பட்டு விட்டது.
5. உங்களுடைய தனிப்பட்ட கணிணியில் உள்ள அத்தனை தகவல்களும் உங்கள் கண் முன்னாடியே திருடப்பட்டிருக்கலாம்.
6. உங்களுடைய வங்கியின் விவரம், கடன் அட்டை (கிரெடிட் கார்டு) மற்றும் தொழில் சம்பத்தப்பட்ட அனைத்து விவரங்களும் திருடு போய் இருக்க நிறையவே வாய்ப்புகள் உண்டு.
யூடுயூப் -ல், அதன் விவரம் படமாக்கப் பட்டுள்ளது. அதுவும் உங்களின் பார்வைக்கு...
http://www.youtube.com/watch?v=aWV8d2rWf8E
தாக்கப்பட்ட "பேங்க் ஆஃப் இண்டியா" www.bankofindia.com வின் இணையதளத்திற்கு வந்ததிற்கு பரிசாக, உங்கள் கணிணிக்கு, உங்களுக்கு தெரியாமல், உங்களின் அனுமதி இல்லாமல், இறக்குமதி செய்யப் பட்ட வஞ்சக மென்பொருள்(Malware)களின் தொகுப்பு கீழே உங்கள் பார்வைக்கு....
Trojan-Downloader.Win32.Small.ddy
Trojan-Proxy.Win32.Agent.nu
Trojan-Proxy.Win32.Wopla.ag
Trojan.Win32.Agent.awz
Trojan-Proxy.Win32.Xorpix.Fam
Trojan-Downloader.Win32.Agent.ceo
Trojan-Downloader.Win32.Tibs.mt
Trojan-Downloader.Win32.Agent.boy
Trojan-Proxy.Win32.Wopla.ah
Trojan-Proxy.Win32.Wopla.ag
Rootkit.Win32.Agent.ea
Trojan.Pandex
Goldun.Fam
Backdoor.Rustock
Trojan.SpamThru
Trojan.Win32.Agent.alt
Trojan.Srizbi
Trojan.Win32.Agent.awz
Email-Worm.Win32.Agent.q
Trojan-Proxy.Win32.Agent.RRbot
Trojan-Proxy.Win32.Cimuz.G
TSPY_AGENT.AAVG (Trend Micro)
Trojan.Netview
நன்றி - பல இணைய தளத்தில் கிடைத்த விவரம் இங்கு தொகுக்கப் பட்டுள்ளது.
Sunday, January 20, 2008
பாதுகாப்பு அடிப்படை
முன்பே சொன்ன மாதிரி, தகவல் (டேடா) என்பது பணத்தையும் விட பல மடங்கு மதிப்பு வாய்ந்தது. எனவே, அதனை பாதுகாப்பாக வைத்திருப்பது மிக முக்கியம். ஏனெனில், எப்பொழுது தகவல் என்பது பணத்தை விட மதிப்பு வய்ந்தது ஆனதோ, அப்போதே அதனை கவர்ந்து செல்ல பல பேர் முயற்சி செய்ய ஆரம்பித்து விடுகிறார்கள். முக்கியமாக போட்டியாளர்கள், தீய எண்ணம் கொண்ட ஆக்கிரமிப்பாளர்கள் (ஹேக்கர்), மதிப்பு குறை மற்றும் வேலை நிறுத்தம் செய்யப்பட்ட ஊழியர்கள் மற்றும் பலர் இந்த முக்கியமான தகவலை அழிக்கவோ அல்லது கவர்ந்து செல்லவோ முயற்சி செய்கின்றனர். இவர்களிடமிருந்து தகவலை (டேடாவை) பாதுகாப்பது மிக முக்கியமானது.
தகவல் தொழில் நுட்ப பாதுகாப்பு என்பது மூன்று முக்கியமான கருத்துக்களை அடிப்படையாக கொண்டது.
1. இரகசியத் தன்மை (கான்ஃபிடென்சியாலிடி)
2. உண்மைத் தன்மை(இன்டெகிரிடி)
3. உபயோயகத் தன்மை(அவெய்லபிலிடி)
இன்னும் சற்று விவரமாக பார்க்கலாம்.
1. இரகசியத் தன்மை (கான்ஃபிடென்சியாலிடி) - தகவலை யார் அறிந்து கொள்ளவேண்டுமோ, அவர்கள் மட்டுமே அறிந்து கொள்ள வேண்டும். உதாரணத்திற்கு, அடுத்த கட்ட போர் நடவடிக்கைகள் தலைமை தளபதிக்கும் மற்ற தேவையான தளபதிகளுக்கு மட்டுமே தெரிய வேண்டும். எதிரிகளுக்கு தெரியாமல், அதன் இரகசியத் தன்மை காக்கப் பட வேண்டும். நீங்கள் ஆன்லைனில் (இன்டெர்னெட்டில்) உங்கள் கடன் அட்டயை (கிரெடிட் கார்டு) பயன் படுத்தி எதை வேண்டுமானாலும் வாங்கலாம். உங்கள் கடன்அட்டை(கிரெடிட் கார்டு) தகவலின் இரகசியத் தன்மையை பாதுகாக்க வேண்டியது, நீங்கள் பயன்படுத்திய அந்த வெப் சைட்டின் கடமை. அந்த கடன்அட்டை(கிரெடிட் கார்டு) தகவல் வேறு யாருக்காவது கிடைக்கும் பட்சத்தில், அவர்கள் உங்கள் கணக்கில், தேவையானதை வாங்கி கொள்வர்கள்.
2. உண்மைத் தன்மை(இன்டெகிரிடி) - உருவான தகவலை எந்த வித அனுமதிக்க படாத மாற்றங்களுக்கும் உட்படாமல் பாதுகாப்பது. உதாரணத்திற்கு, நீங்கள் 1000 ரூபாய்க்கு காசோலை (செக்) தருகிறீர்கள். அதனை, மற்றவர் 1,00,000 என்று மாற்றிவிட கூடாது. இதே போல், நீங்கள் 1000 ரூபாய்க்கு ஆன்லைன் பண மாற்றத்தின் போது, அதன் மதிப்பு 1,00,00,000 என்று மாறிவிடக்கூடாது. தகவலின் உண்மைத் தன்மை(இன்டெகிரிடி) பாதுகாக்க பட வேண்டும்.
3. உபயோயகத் தன்மை(அவெய்லபிலிடி) - தகவல் உங்களுக்கு தேவையான போது கிடைக்க வேண்டும். உதாரணத்திற்கு, உங்களுடைய வங்கியின் வெப்சைட், உங்கள் வாடிக்கையாளர்களுக்கு தேவையான போது கிடைக்க வேண்டும். இல்லையெனில், நீங்கள் உங்கள் வாடிக்கையாளரை இழக்க நேரிடும்.
தகவல் தொகுப்பு (டேடா பேஸ்) என்பதை மன்னர் காலத்து கருவூலத்திற்கு (கஜானா) இணையாக கருதலாம். அதனை எப்படி பாதுகாப்பது என்று இன்னொரு முறை பார்க்கலாம்.
தகவல் தொழில் நுட்ப பாதுகாப்பு என்பது மூன்று முக்கியமான கருத்துக்களை அடிப்படையாக கொண்டது.
1. இரகசியத் தன்மை (கான்ஃபிடென்சியாலிடி)
2. உண்மைத் தன்மை(இன்டெகிரிடி)
3. உபயோயகத் தன்மை(அவெய்லபிலிடி)
இன்னும் சற்று விவரமாக பார்க்கலாம்.
1. இரகசியத் தன்மை (கான்ஃபிடென்சியாலிடி) - தகவலை யார் அறிந்து கொள்ளவேண்டுமோ, அவர்கள் மட்டுமே அறிந்து கொள்ள வேண்டும். உதாரணத்திற்கு, அடுத்த கட்ட போர் நடவடிக்கைகள் தலைமை தளபதிக்கும் மற்ற தேவையான தளபதிகளுக்கு மட்டுமே தெரிய வேண்டும். எதிரிகளுக்கு தெரியாமல், அதன் இரகசியத் தன்மை காக்கப் பட வேண்டும். நீங்கள் ஆன்லைனில் (இன்டெர்னெட்டில்) உங்கள் கடன் அட்டயை (கிரெடிட் கார்டு) பயன் படுத்தி எதை வேண்டுமானாலும் வாங்கலாம். உங்கள் கடன்அட்டை(கிரெடிட் கார்டு) தகவலின் இரகசியத் தன்மையை பாதுகாக்க வேண்டியது, நீங்கள் பயன்படுத்திய அந்த வெப் சைட்டின் கடமை. அந்த கடன்அட்டை(கிரெடிட் கார்டு) தகவல் வேறு யாருக்காவது கிடைக்கும் பட்சத்தில், அவர்கள் உங்கள் கணக்கில், தேவையானதை வாங்கி கொள்வர்கள்.
2. உண்மைத் தன்மை(இன்டெகிரிடி) - உருவான தகவலை எந்த வித அனுமதிக்க படாத மாற்றங்களுக்கும் உட்படாமல் பாதுகாப்பது. உதாரணத்திற்கு, நீங்கள் 1000 ரூபாய்க்கு காசோலை (செக்) தருகிறீர்கள். அதனை, மற்றவர் 1,00,000 என்று மாற்றிவிட கூடாது. இதே போல், நீங்கள் 1000 ரூபாய்க்கு ஆன்லைன் பண மாற்றத்தின் போது, அதன் மதிப்பு 1,00,00,000 என்று மாறிவிடக்கூடாது. தகவலின் உண்மைத் தன்மை(இன்டெகிரிடி) பாதுகாக்க பட வேண்டும்.
3. உபயோயகத் தன்மை(அவெய்லபிலிடி) - தகவல் உங்களுக்கு தேவையான போது கிடைக்க வேண்டும். உதாரணத்திற்கு, உங்களுடைய வங்கியின் வெப்சைட், உங்கள் வாடிக்கையாளர்களுக்கு தேவையான போது கிடைக்க வேண்டும். இல்லையெனில், நீங்கள் உங்கள் வாடிக்கையாளரை இழக்க நேரிடும்.
தகவல் தொகுப்பு (டேடா பேஸ்) என்பதை மன்னர் காலத்து கருவூலத்திற்கு (கஜானா) இணையாக கருதலாம். அதனை எப்படி பாதுகாப்பது என்று இன்னொரு முறை பார்க்கலாம்.
தகவல் வகைப்பாடு
இன்றைய சூழ்நிலையில், தகவல் தொழில் நுட்ப அறிவியல் என்பது தவிர்க இயலாதது. இந்த நூற்றாண்டில், கடவுளுக்கு (கடவுளை நம்பாதவர்கள், பணத்திற்கு) அடுத்தபடியாக, எங்கும் நீக்கமற நிறைந்திருப்பது தகவல் (டேடா). உங்களுடைய வாக்காளர் பட்டியலிருந்து வங்கி கணக்கு விவரம் வரை எல்லாமே தகவல் (டேடா) தான்.
இந்த தகவலை பொதுவாக அதனுடைய முக்கியதுவத்தின் அடிப்படையில் வகைபடுத்தலாம்.
1. அதிரகசியமானது (டாப் சீக்ரெட்)
2. ரகசியமானது (சீக்ரெட்)
3. கட்டுப்படுத்தபட்டது (ரெஸ்ட்ரிக்டடு)
4. பொதுவானது (ஜெனெரல்)
5. தனிப்பட்டவருக்கு சொந்தமானது (பெர்சனல்)
6. வகைப்படுத்தப் படாதது (அன் கிலாகிசிஃபைடு)
இன்னும் கொஞ்சம் விவரமாக பார்க்கலாம்.
1. அதிரகசியமானது (டாப் சீக்ரெட்) - இந்த தகவல் வெளிப்படும் பட்சத்தில், ஒரு நாட்டின் இறையான்மைக்கும், பாதுகப்புக்கும் பங்கம் ஏற்படலாம். பொதுவாக, இராணுவம் (மிலிடறி) பற்றிய தகவல் இவ் வகையை சேர்ந்தது.
2. ரகசியமானது (சீக்ரெட்) - தொழில் ரகசியங்கள் இந்த வகையை சேர்ந்தது. உதாரணத்திற்கு விலை குறைவான கார் தயாரிக்கும் தொழிலில், அந்த கார் தயாரிக்கும் முறை தகவல், இந்த வகையை சேர்ந்தது. இந்த தகவல் மற்றவர்களுக்கு கிடைக்கும் பட்சத்தில், அதனை ஆராய்ச்சி செய்து கண்டுபிடித்த நிறுவனம் தோல்வியை தழுவ நேரிடும்.
3. கட்டுப்படுத்தபட்டது (ரெஸ்ட்ரிக்டடு) - ஒரு நிறுவனத்தின் தனிப்பட்ட பயன்பாட்டிற்கு உட்பட்ட தகவல் இந்த வகையை சேர்ந்தது. இது மற்றவர்களுக்கு கிடைக்கும் பட்சத்தில், எதிர் விளைவுகளை ஏற்படுத்தும்.
4. பொதுவானது (ஜெனெரல்) - இதனை யார் வேண்டுமானாலும் அறியலாம்.
5. தனிப்பட்டவருக்கு சொந்தமானது (பெர்சனல்) - உங்களுடைய சம்பள விவரம், தொலை பேசி எண் மற்றும் முகவரி.
6. வகைப்படுத்தப் படாதது (அன் கிலாகிசிஃபைடு) - மேல் குறிப்பிட்ட எந்த வகையையும் சேராத தகவல், இந்த வகையில் முறைப்படுத்தலாம்.
இப்போதைக்கு, தகவல் என்பது பணத்தையும் விட மதிப்பு வாய்ந்தது.
Subscribe to:
Posts (Atom)
