Saturday, June 05, 2010

ஆர்குட் கணக்கினை ஹாக்கர்ஸிடம் இருந்து காக்க


ஆர்குட் கணக்கினை ஹாக்கர்ஸிடம் இருந்து காப்பது பற்றி பார்ப்போம். இந்தியாவில் பெரிதளவில் சாதித்த சமூகவலை இணையம் ஆர்குட்டாக தான் இருக்க முடியும். ஃபேஸ்புக், டுவிட்டர் போன்றவையெல்லாம் சமீபத்தில் தான் இந்தியாவில் பரவலாகப் பயன்படுத்தப்படுகின்றன. எத்தனை இணையம் வந்தாலும், பெரும்பாலானோர் தற்சமயம் விரும்பி பயன்படுத்துவது ஆர்குட் மட்டுமே. ஆர்குட் இணையம் முழுக்க முழுக்க JAVASCRIPT மூலமாக வடிவமைக்கப்பட்டுள்ளது.
இதனால், இந்த நுட்பம் தெரிந்த பலராலும் ஆர்குட் இணையம் அவ்வப்போது பாதிக்கப்பட்டு வருகிறது. கூகிள் என்ன தான் இதற்கான கட்டுப்பாடுகளும், பாதுகாப்பு முன்னேற்றம் கொண்டு வந்தாலும், பயனர்கள் நம்மால் மட்டுமே நமது ஆர்குட் கணக்கினைப் பாதுகாத்துக்கொள்ள முடியும்.

HACK என்றால் என்ன?

HACK என்பது, ஒரு கணக்கினையோ அல்லது ஒரு நிரல் பதிப்பினையோ அதை உருவாக்கியவர் அல்லது அதன் உரிமையாளரின் அனுமதி இல்லாமல் அவர் கோரியுள்ள கட்டுப்பாட்டு விதிகளை மீறி பயன்படுத்துவது ஆகும். தவறான முறையில் பயன்படுத்தாத வரை HACK எனும் செயல் சட்டவிரோதமானதல்ல. ஆனால், உரிமையாளர் தகுந்த அபராதம் விதிக்க சட்டம் வகை செய்யும்.

ஆர்குட்டில் HACK எப்படி?


ஆர்குட் இணையம் ஆச்சரியப்படும் வகையில் வெறும் JAVASCRIPT எனும் நிரலாக்க மொழியினை பயன்படுத்தியே உருவாக்கி உள்ளனர். இம்மொழி PHP போன்ற மொழிகளுடன் ஒப்பிடுகையில் மிக எளிதானது. எனவே, வலைப்பக்கம் பற்றிய SOURCE CODE-ஐ எளிதாக புரிந்துக்கொள்கிறார்கள். இதனால், அவர்களே ஒரு நிரலாக்க வரிகளை உருவாக்கி அதனை HTTP REQUEST ஆக ஆர்குட் சர்வருக்கு அனுப்பகிறார்கள்.

ஆர்குட் கணக்கினை HACK செய்யும் வழிகள்:

ஆர்குட் கணக்கினை HACK செய்ய 3 பொதுவான வழிகளை ஹாக்கர்ஸ் பின்பற்றுகின்றனர்.

1. ஃபிஷிங் தாக்குதல்(PHISHING ATTACK)

இது கிட்டதட்ட ஒரு சிங்கத்திடம் நிழலை நிஜம் என நம்ப வைத்த முயலின் சூட்சமம் தான். ஆர்குட் இணையம் போன்றே ஒரு தளம் வடிவமைக்கின்றனர். இதை clone என்று அழைப்பர். இவ்வாறு வடிவமைத்த தளத்தினை, 'ஆர்குட்' என அசப்பில் அறியப்படும் பெயர்களுடன் ஹோஸ்ட் செய்கின்றனர். (உம்: orkul, okrut, போன்றவை). பின்னர் உங்களுக்கு இந்த தளத்தினை முகவரியாக அனுப்பி விடுகின்றனர். நாமும், அதனை கிளிக் செய்து, தோன்றும் பொய்யான பக்கத்தில் நமது கணக்ககின் பயனர் பெயர், கடவுச்சொல் ஆகியவை கொடுத்து உள்னுழைகிறோம். நாம் டைப் செய்த விவரங்கள் ஆர்குட் இணையத்திற்கு SQLINJECTION அல்லது URL REWRITING மூலமாக சென்றடைந்து, நமது ஆர்குட் சுயவிவரப்பக்கம் வந்து விடும். ஆனால், நாம் அறியாமலேயே நம் விவரங்கள் ஹாக்கர்ஸிடமும் மெயில் மூலம் சென்றுவிடும்.

2. கீலாக்கிங் நிரல்கள்(KEYLOGGER SOFTWARES):

நம் ஒவ்வொரு கீ அழுத்தமும் இந்த நிரல்களினால் நோட்டம் விடப்படும். அவ்வபோது, நோட்டம் செய்யப்பட்ட விவரங்களை ஹாக்கருக்கு மெயில் மூலம் அனுப்பிவிடும். இவை அனைத்தும் நடப்பது நமக்கு தெரியாமலே. டாஸ்க் மானாஜரில் கூட கண்டறிய முடியாத வகை நிரல்கள் இவை. நம் பயனர் பெயரும், கடவுச்சொல்லும் இப்படியே அனுப்பப்பட்டு நம் கணக்கு அபகரிக்கப்படுகிறது.

3. கூக்கி திருட்டு (COOKIE STEALING):

நாம் நம் கணக்கில் லாகின் செய்தவுடன், கீகிள் நம் கணினியில் ஒரு கூக்கி சேமித்து வைக்கும். இந்த கூக்கியில் நம் பயனர் சம்பந்தமான விவரங்கள் இருக்கும். இதனை SESSION COOKIES என்றழைப்பர். நாம் ஒவ்வொரு முறையும் ஆர்குட் சர்வரிடம் கோரிக்கை(HTTP REQUEST) அனுப்பும்போதும் நம் கணினியில் உள்ள கூக்கியினை ஆராய்ந்து நாம் தான் பயனர் என உறுதிப்படுத்திகொண்டு தான் பதில்(HTTP RESPONSE) அனுப்பும். இவ்வாறு நம் கூக்கியினை சர்வர் படிக்கும் போது, நாம் கடைசியாக அனுப்பப்பட்ட கோரிக்கை ஹாக்கரால் உருவாக்கப்பட்டிருப்பின், இந்த SCRIPT அந்த கூக்கியினை படிக்கும். இப்படி ஆர்குட் சர்வரும், ஹாக்கிங் ஸ்க்ரிப்டும் சேர்ந்துப் படித்துவிட்டு அவை தம் வேலையில் ஈடுபட சென்றுவிடும். அதாவது, வழக்கம் போல ஆர்குட் பதில் அனுப்பும். ஹாக்கிங் ஸ்க்ரிப்டும் நம் விவரங்களை ஹாக்கருக்கு அனுப்பிவிடும்.

மேற்கூறிய அனைத்து வழிகளிலும் நம் கணக்கினை வெறும் ஒரு சொடுக்கிலேயே அபகரிக்கத்தக்க வழிமுறைகள். கீலாகிங் இன்னும் ஆபத்தானவை. சொடுக்கவே வேண்டாம். அப்படியே தூக்கி விடும் நம் கணக்கினை. ஆர்குட் ஹாக்கிங் செய்ய இன்னும் சில வழிகள் இருந்தாலும் அவையும் மறைமுகமாக மேலே சொல்லப்பட்ட நுட்பத்தினையே பயன்படுத்தும். HACK செய்யப்படும் வழிகள் தெரிந்துவிட்டாலே, நாம் விழிப்புனர்வு பெற்று சுதாரித்துக் கொள்ளலாம். தடுக்கும் முறைகள் பற்றிப் பார்ப்போம்.

கணக்கினை காத்துக்கொள்ளும் வழிகள்:

1. நாம் சொடக்கும் எந்த ஒரு சுட்டியும் நேராக அந்த தளத்தினிற்கு செல்வதை ஆர்குட் அனுமதிப்பதில்லை. முன்னதாக சுட்டிகாட்டும் தளத்தின் முகவரியினை நமக்கு அறியக் காட்டும். அதனைப் பார்த்து, அது நம்பகமான சுட்டி தானா என்று அறிந்து சொடுக்க வேண்டும். (கூக்கி திருட்டினைத் தடுக்க)

2. கூகிளோ அல்லது ஆர்குட்டோ, நம்மை மீண்டும் மீண்டும் லாகின் செய்யக் கேட்காது. புதிதாக ஏதேனும் மாற்றங்கள் கொண்டு வந்தாலும் அதற்காக தனியாக லாகின் செய்யக் கேட்காது. அப்படி ஒரு கோரிக்கை வந்தால், விவரங்களை உள்விடாமல் தவிர்க்க வேண்டும். (ஃபிஷிங் தாக்குதலைத் தடுக்க)

3. முன்பின் தெரியாத நபரிடம் இருந்து மெயில் அல்லது தகவலிறக்கம் செய்ய வேண்டி சுட்டி வந்தாலோ அதைப் பயன்படுத்த வேண்டாம். கீலாகிங் நிரல்களை எந்த ஒரு EXE கோப்புடனும் கோர்த்துவிட முடியும். நாம் EXEஐ திறக்க, அது கூடவே கோர்க்கப்பட்டுள்ள KEYLOGGER SOFTWAREஐயும் திறக்கப்பட்டு நம் விவரங்களை சேகரிக்க ஆரம்பித்து விடும்.

4. ஆர்குட்டில் எந்த ஒரு மாற்றம் செய்தாலும் அது சத்தமில்லாமல் தான் செய்யப்படுமே தவிர, விளம்பரம் செய்து பரப்பச் செய்யப்பட மாட்டாது. அப்படி ஒரு விளம்பரம் வரின், http://officialorkutblog.blogspot.com/ என்ற தளத்தினில் இது சம்மந்தமாக செய்தி வெளியிடப்படிருக்கும். இதில் காணாத பட்சத்தில், உங்களுக்கு வந்துள்ள விளம்பர ஸ்க்ராப்போ அல்லது மெயிலோ வந்தால் அது போலி விளம்பரம் ஆகும். தவிர்த்துவிடுங்கள்.

கருத்து, பரிந்துரை, சந்தேகம், திட்டு எதுவாக இருந்தாலும் பின்னூட்டத்தில் சொல்லி விடுங்கள். பேசித் தீத்துக்குவோம்..

-வினோ =)

2 கருத்துரைகள்:

Lucky Limat லக்கி லிமட் said...

நல்ல பதிவு நண்பரே

வினோ said...

ரொம்ப நன்றி நன்பர் லக்கி! =)

Post a Comment

பட்டதை பட்-னு சொல்லிடுங்க -