இணையத் திருடர்களை ஏமாற்றி தகவல்களைப் பாதுகாக்கும் கணினித் தொழில்நுட்பம்

இணையத் திருடர்களை ஏமாற்றும் கணினித் தொழில்நுட்பம் படத்தின் காப்புரிமை Getty Images
Image caption நேச நாடுகளின் விமானங்கள் தரை இறங்கும் இடம் மற்றும் நேரம் குறித்த பொய்களை நம்பி நாஜிக்கள் ஏமாந்தனர்.

இரண்டாம் உலகப் போரின்போது, தங்கள் எதிரிகளைவிட தங்களிடம் அதிகமான படை பலமும் ஆயுத பலமும் இருப்பதாக அவர்களை ஏமாற்றி நம்பவைப்பதற்காக, எல்லாவிதமான தந்திர உத்திகளையும் நேச நாடுகள் கையாண்டன.

வட ஆப்பிரிக்க பகுதியில் செயல்பட்டு வந்த ஒரு படை, மேடையில் மந்திர வித்தைகளை அரங்கேற்றும் ஒரு கலைஞரிடம், அவர் எப்படி அவரது பார்வையாளர்களை ஏமாற்றுகிறார் என்று ஆலோசனை கேட்டு நிகழ்த்திய ஏமாற்று யுத்திகள் பல ஊக முக்கியத்துவம் வாய்ந்த போர்க்களங்களில் அவர்களுக்குப் பலனளித்தன.

இதில் மிகப்பெரிய வெற்றியைத் தந்த தந்திரம், ஆபரேஷன் ஃபோர்ட்டிட்யூடு (Operation Fortitude) துன்று அழைக்கப்பட்ட, நேச நாடுகளின் விமானங்கள் தரை இறங்கும் பொய்யான இடம் மற்றும் நேரத்தை நாஜிக்களை நம்ப வைத்ததுதான்.

அதே போன்ற தந்திரங்களையும் தவறான வழிகாட்டுதல்களையும் சிறிய அளவில் பின்பற்றி சில அமைப்புகள், பாதுகாப்பாக உள்ள கணினிகளின் தகவல்களைத் திருட முயலும், இணையதள ஊடுருவிகளின் முயற்சிகளை முறியடித்து வருகின்றன.

"உங்கள் எதிராளி உங்களின் உண்மை நிலை என்ன என்பதை அறியாமல் தடுப்பது பழங்கால போர் உத்திகளில் ஒன்று," என்று கூறும் ட்ரேப்க்ஸ் (Trapx) என்னும் இந்த ஊடுருவிகளை ஏமாற்றும் தொழில்நுட்பத்தைப் பயன்படுத்தும் நிறுவனத்தைச் சேர்ந்த ஓரி பாக், "இது இரண்டாம் உலகப்போரில் நேச நாடுகள் செய்ததைப்போலதான். அவர்கள் டாங்கிகள், விமானப் படைத்தளங்கள் என எல்லாவற்றையுமே பொய்யாக உருவாக்கினார்கள்," என்கிறார்.

அந்தப் போரின்போது உருவாக்கப்பட்ட பொய்யான ஆயுதங்களைப் போல, கணினி வலையமைப்புகளில் (network) பொருத்தப்படும் பொய்யான தரவுகள் உண்மையானவற்றைப் பலவே தோன்றும்.

"உண்மையான கணினி வலையமைப்பைப் போன்றே இருக்கும் ஒரு நிழல் வலையமைப்பை நாங்கள் உருவாக்குகிறோம்," என்கிறார் அவர்.

எந்த ஒரு தொழில்நுட்ப அமைப்பாலும் இணையதள தகவல் திருட்டுகளுக்கு எதிரான பாதுகாப்பை உருவாக்க முடியாது என்பதை உணர்ந்த பின்னரே இந்த ஏமாற்றும் தொழில்நுட்பம் (deception technology) என்று அறியப்படும் உத்தி உருவாக்கப்பட்டுள்ளது.

ஏதாவது ஒரு சூழலில், இணையத் தாக்குதலாளிகள் மெதுவாக தரவுகள் அடங்கியுள்ள கணினி வலையமைப்புகளுக்குள் நுழைந்து விடுகின்றனர்.

எனவே அவர்கள் ஊடுருவுவதை எச்சரிக்கையுடன் எதிர்பார்த்து, அவர்களால் பாதிப்பு ஏற்படுத்த முடியாத இலக்குகளை உருவாக்கி வைப்பது பலனளிக்கும் என்கிறார் பாக்.

"இணையதள ஊடுருவிகளுக்கு (hackers) , நாங்கள் உருவாக்கும் நிழல் வலையமைப்பு, உண்மையான தரவுகளைக் கொண்டுள்ள வலையமைப்பைவிட கவர்ச்சிகரமானதாக இருக்க வேண்டும்," என்று விரும்புகிறார் பாக்.

இனிய வலை

ஹனி பாட்ஸ் (honey pots) என்று அழைக்கப்படும் இணையதள தகவல் திருடர்களைக் கண்டறிய உதவும் ஒரு தொழில்நுட்பத்தின் மீதான ஆய்வுகளின்போதுதான் இந்த ஏமாற்றும் தொழில்நுட்பம் உருவானாதாக, இதே தொழில்நுட்பத்தைப் பயன்படுத்தும் இன்னொரு மென்பொருள் நிறுவனமான சிம்மெட்ரியாவைச் சேர்ந்த ஜோ ஸ்டீவர்ட்.

படத்தின் காப்புரிமை Getty Images
Image caption இணையத் திருடர்களைக் குழப்பும் தரவுகள் அவர்களை வெறுப்படையச் செய்யும்.

இணைய ஊடுருவிகள் தரவுகளைத் திருட இலக்கு வைத்து, ஊடுருவியபின் தரவுகளைத் தேடித் திரியும், நிறுவனங்களின் தகவல்களைச் சேமிக்கும் சர்வர் கணினியைப் போன்ற அமைப்புடைய கணிப்பொறியே ஹனி பாட் எனப்படும். ஊடுருவுகள் பயன்படுத்தும் மென்பொருட்களைப் பற்றி அறியவும், அவற்றை மட்டுப்படுத்தவும், இணையதளப் பாதுகாப்பு நிறுவனங்கள் தனித்தனியாக பல ஹனி பாட் கணிப்பொறிகளைக் கட்டமைக்கின்றன.

ஆனால் தானாக செயல்பட முடியாத ஹனி பாட் கணிப்பொறிகளை, சில சர்வர் கணிப்பொறிகளுடன் மட்டுமே இணைக்க முடியும் என்கிறார் ஸ்டீவர்ட்.

மாறாக, இந்த ஏமாற்றும் தொழில்நுட்பத்தைப் பல கணிப்பொறி வலையமைப்புகளுடன் பயன்படுத்தப்படுவதால், ஊடுருவிகள் உண்மையான மற்றும் பொய்யான தரவுகளைப் பிரித்தறிவது கடினம்.

கவர்ச்சிகரமாக வடிவமைக்கப்பட்டிருக்கும் இந்தப் போலி வலையமைப்புகளுடன் பின்னப்பட்டிருக்கும் நிரல்மொழிக் குறியீடுகள், இணைய ஊடுருவிகள் சரியான வலையமைப்பில் நுழைய முற்பட்டாலும் அவர்களைப் போலி வலையமைப்பினுள் இட்டுச்செல்லும்.

இந்த ஏமாற்றும் அம்சங்கள் ஊடுருவிகள் திருட முயலும் பணப் பரிமாற்றம் குறித்த தகவல்கள், வாடிக்கையாளர்களின் விவரங்கள், இணையக் கணக்குகளின் உள்நுழையும் விவரங்கள், அறிவுசார் சொத்துகள் உள்ளிட்ட தகவல்கள் பற்றிக் குறிப்பளிக்கும். ஆனால் அவர்கள் பணமாக்க முயலும் உண்மையான தரவுகளுக்கு இட்டுச்செல்லாமல் அவர்களைக் குழப்பும் தரவுகளை நோக்கியே அழைத்துச்செல்லும்.

அந்த இணைப்புகளை அவர்கள் தொடர்ந்து சென்று, தரவுகளைத் திருட அவர்கள் மேற்கொள்ளும் ஒவ்வொரு முயற்சியும் பதிவு செய்யப்படும். அதில் கிடைக்கும் தகவல்கள், அந்தத் தானியங்கி மென்பொருட்கள் மூலம் அவர்கள் போலியான தரவுகளுக்குச் சென்றபின்னர், அதன் வலையமைப்பில் என்னவெல்லாம் செய்து தகவல்களைத் திருட முயல்கிறார்கள் என்பதை அறிய உதவும் என்கிறார் ஸ்டீவர்ட்.

"அவர்கள் முதல் முறை நம் வலையமைப்பில் நுழையும் முயற்சி, போலியான தரவுகளைக்கொண்டு நிகழ்த்தப்படும்," என்று கூறும் ஸ்டீவர்ட, பின்னர் அத்தைகைய முயற்சிகள் கண்டறியப்பட்டு, இணையப் பாதுகாப்பு அமைப்புகளால் தடுக்கப்படும் என்றார்.

"ஊடுருவல்களை இரண்டாவது முறையும் உறுதிப்படுத்தும் மென்பொருளின் அம்சங்கள் இன்னும் சுவாரசியமானவை," என்கிறார் அவர்.

ஊடுருவிகள் ஒரு முறை, ஒரு வலையமைப்பில் உள்ள தரவுகளைத் திருடிவிட்டால், அதை முடக்கி அவர்கள் என்ன செய்தனர், எங்கு சென்றனர், அவர்களுக்கு அவற்றைச் செய்ய உதவிய மென்பொருள் எது போன்ற தரவுகளை அழிக்கவே முயல்வார்கள் என்று கூறும் அவர், தரவுகளை இணையதள வலையமைப்புகளில் சேமிக்கும் நிறுவனங்கள் இதைப் பெரிதாகக் கண்டுகொள்வதில்லை என்கிறார்.

எளிய நடைமுறைகள்

எந்த நிறுவனமும் தகவல் திருட்டு முயற்சிகளைத் தடுக்க இதுபோன்ற ஏமாற்றும் தொழில்நுட்பத்தைப் பயன்படுத்த பெரிய அளவில் செலவு செய்யத் தேவை இல்லை என்கிறார், BAE என்னும் பாதுகாப்புத் தளவாடங்கள் தயாரிக்கும் நிறுவனத்தின் இணையப் பாதுகாப்புப் பிரிவைச் சேர்ந்த கெல்லி சாட்ரிட்ஜ் .

அதற்குப் பதிலாக, ஊடுருவிகளின் கவனத்தைத் திசை திருப்பவும், அவர்களின் நேரத்தை வீணடிக்கவும் வேறு சில எளிய தொழில்நுட்பங்களைப் பயன்படுத்தலாம் என்கிறார் அவர்.

உதாரணமாக, சேன்ட்பாக்ஸ் (sandbox) என்னும் நம்பகத்தன்மை இல்லாத மென்பொருட்களை இயக்கம் மெய்நிகர் தொழில்நுட்பம் மூலம், கணினி அமைப்புகளில் ஊடுருவ முயலும் ஆபத்தான மென்பொருட்களைக் கண்டறிந்து, அவை நம் தரவுகளை அடையாமல் தடுக்க முடியும். சந்தேகத்திற்குரிய மென்பொருட்களை, கணினியின் இயங்குதளத்தில் இருந்து தனித்து, சேன்ட்பாக்ஸ் மூலம் இயக்குவதன் மூலம் பல நிறுவனங்கள் தடுப்புகாப்பாற்றுகின்றன.

சேன்ட்பாக்ஸினுள் வைத்து இயக்கப்படுவதாக அந்தத் தீய மென்பொருள் நம்பினால், அது செயல்படாது என்கிறார் சாட்ரிட்ஜ்.

சேன்ட்பாக்ஸின் குணாதிசியங்களைக் கொண்ட மென்பொருட்களை பரவலாகப் பயன்படுத்துவதன் மூலம் ஊடுருவல் மென்பொருட்களைத் தடுக்க முடியும், என்கிறார் அவர்.

தகவல் திருடர்கள் தேடும் சொற்களை ஒரு கணினியின் வலைப்பின்னலின் தரவுகளில் பதிவேற்றம் செய்வது இன்னொரு உத்தி. அது அவர்களைக் குழப்பி வெறுப்படையச் செய்வதுடன், எளிய இலக்குகளை நோக்கிச் செல்லத் தூண்டும் என்கிறார் அவர்.

தகவல் திருடர்களின் சக்தியை வீணடித்தல்

இணையத் தாக்குதல்கள் குறித்த தகவல்களை சேகரிப்பதில் மட்டும் இந்த ஏமாற்றுத் தொழில்நுட்பம் உதவவில்லை என்கிறார் ட்ரேப்க்ஸ் நிறுவனத்தைச் சேர்ந்த பாக்.

Image caption இமானுவேல் மக்ரோங்கின் தேர்தல் பிரசாரத்தின்போது இணைய ஊடுருவிகளின் முயற்சிகளைத் தடுக்கப் போலியான தரவுகள் பயன்படுத்தப்பட்டன.

அவர்களை தவறான இலக்குகளை அடைவதற்கான முயற்சிகளில் ஈடுபாடச் செய்வதன் மூலம் அவர்களின் முக்கியமான ஆதாரமான நேரத்தை வீணடிக்கிறோம் என்கிறார் அவர்.

நிறுவனங்களின் உண்மையான தரவுகளைக் கொண்டுள்ள வலைப்பின்னல்களின் நிழல் அமைப்புகளில் அவர்களை செயல்பட வைக்கும்போது, இணையத் தாக்குதலாளிகள் அவர்களிடம் உள்ள தரவுகளையும் சில சமயம் பயன்படுத்தக்கூடும்.

அவற்றில் முக்கியமானது, இதற்கு முன்னர் நாம் அறியாத, இணையத்தின் கருப்புச் சந்தைகளில் மட்டும் கிடைக்கக்கூடிய பாதிப்பை ஏற்படுத்தும் மென்பொருட்களாகும்.

"அந்த மென்பொருட்களை வாங்க அவர்கள் அதிகமான பொருட் செலவு செய்து, அதை பலனளிக்காத இணையத் தாக்குகள்களில் அவர்கள் பயன்படுத்தினால், அது தரவுகளைப் பாதுகாக்க முயல்பவர்களுக்குப் பெரும் வெற்றியாகும்," என்கிறார் அவர். அந்தத் தீய மென்பொருட்களைப் பற்றிய தகவல்களை அறிவதன் மூலம், அவற்றின் தாக்குதலுக்குத் தயாராவதுடன், அவை உண்டாக்கும் சேதங்களையும் சரி செய்ய முடியும்.

பாதிப்புகளை ஏற்படுத்தும் மென்பொருட்களைக் கண்டறியவும், வாங்கவும் அதிக நேரமும், பணமும் தேவை என்று கூறும் பாக் அவற்றைக் குறைத்து மதிப்பிடுவது இணைய ஊடுருவிகளால் நீண்ட கால பாதிப்புகளை உண்டாக்க வழிவகுக்கும் என்கிறார்.

"இணையத்தில் திருடுபவர்கள் ஆராய்ச்சி, தகவல் திரட்டுதல் ஆகியவற்றுக்காக நிறையப் பணம் செலவளிக்கின்றனர். அவர்களுக்கு இதன் மூலம் இன்னும் அதிகமான பணம் கிடைக்காவிடில், அவர்களின் குற்றத் தொழில் தோல்வியிலேயே முடியும்," என்று முடிக்கிறார் அவர்.

பிற செய்திகள்:

சமூக ஊடகங்களில் பிபிசி தமிழ் :